Declarao de Posicionamento do IIA:

AS TRS LINHAS DE DEFESA

NO GERENCIAMENTO EFICAZ
DE RISCOS E CONTROLES
JANEIRO 2013
NDICE DE CONTEDOS

Introduo ......................................................................1

Antes das Trs Linhas: Superviso do Gerenciamento

de Riscos e Estabelecimento de Estratgias ........................ 2

1 Linha de Defesa: Gesto Operacional ............................3

2 Linha de Defesa: Funes de Gerenciamento de Riscos

e Conformidade ...............................................................4

3 Linha de Defesa: Auditoria Interna ............................... 5

Auditores Externos, Reguladores e Outros

rgos Externos ............................................................. 6

Coordenando as Trs Linhas de Defesa ................................ 6

DECLARAO DE POSICIONAMENTO DO IIA:
AS TRS LINHAS
DE DEFESA NO
GERENCIAMENTO
EFICAZ DE RISCOS
E CONTROLES

INTRODUO
Em negcios do sculo XXI, no raro encontrar diversas equipes de
auditores internos, especialistas em gerenciamento de riscos corporativos,
executivos de compliance, especialistas em controle interno, inspetores de
qualidade, investigadores de fraude e outros profissionais de riscos e
controle trabalhando em conjunto para ajudar suas empresas a gerenciar
riscos. Cada uma dessas especialidades tem uma perspectiva nica e
habilidades especficas de valor inestimvel s organizaes que atendem;
no entanto, j que as atividades relacionadas ao gerenciamento de riscos e
controle esto sendo cada vez mais divididas entre diversos departamentos
e setores, o trabalho deve ser coordenado com cuidado, para garantir que
os processos de riscos e controle sejam conduzidos como intencionado.

No basta que diferentes atividades de risco e controle existam - o desafio

determinar funes especficas e coordenar com eficcia e eficincia
esses grupos, de forma que no haja lacunas em controles, nem
duplicaes desnecessrias na cobertura. Responsabilidades claras devem
ser definidas para que cada grupo de profissionais de riscos e controle
entenda os limites de suas responsabilidades e como seus cargos se
encaixam na estrutura geral de riscos e controle da organizao.

H muito a perder. Sem uma abordagem coesa e coordenada, os recursos

limitados de riscos e controle podem no ser aplicados com eficcia e os
riscos significantes podem no ser identificados e gerenciados de forma
apropriada. Nos piores casos, a comunicao entre os diversos grupos de
riscos e controle pode regredir a um debate contnuo para entender de
quem o trabalho de realizar tarefas especficas.

O problema pode existir em qualquer organizao, no importando se

usada uma estrutura formal de gerenciamento de riscos corporativos.
Embora estruturas de gerenciamento de riscos possam identificar com
eficcia os tipos de riscos que os negcios modernos devem controlar,
essas estruturas, em sua maioria, no definem como responsabilidades
especficas devem ser delegadas e coordenadas dentro da organizao.

DECLARAO DE POSICIONAMENTO DO IIA: AS TRS LINHAS DE DEFESA NO GERENCIAMENTO EFICAZ DE RISCOS E CONTROLES / 1
 Felizmente, esto surgindo melhores prticas que podem ajudar as
organizaes a delegar e coordenar tarefas essenciais de gerenciamento de
riscos com uma abordagem sistemtica. O modelo de Trs Linhas de Defesa
uma forma simples e eficaz de melhorar a comunicao do gerenciamento de
riscos e controle por meio do esclarecimento dos papis e responsabilidades
essenciais. O modelo apresenta um novo ponto de vista sobre as operaes,
ajudando a garantir o sucesso contnuo das iniciativas de gerenciamento de
riscos, e aplicvel a qualquer organizao - no importando seu tamanho ou
complexidade. Mesmo em empresas em que no haja uma estrutura ou
sistema formal de gerenciamento de riscos, o modelo de Trs Linhas de
Defesa pode melhorar a clareza dos riscos e controles e ajudar a aumentar a
eficcia dos sistemas de gerenciamento de riscos.

ANTES DAS TRS LINHAS: SUPERVISO DO GERENCIAMENTO

DE RISCOS E ESTABELECIMENTO DE ESTRATGIAS
No modelo de Trs Linhas de Defesa, o controle da gerncia a primeira
linha de defesa no gerenciamento de riscos, as diversas funes de controle
de riscos e superviso de conformidade estabelecidas pela gerncia so a
segunda linha de defesa e a avaliao independente a terceira. Cada uma
dessas trs linhas desempenha um papel distinto dentro da estrutura mais
ampla de governana da organizao.

Modelo de Trs Linhas de Defesa

rgo de Governana / Conselho / Comit de Auditoria

Alta Administrao

External audit

Regulator
1a Linha de Defesa 2a Linha de Defesa 3a Linha de Defesa
Controle
FinancialFinanceiro
Control
Segurana
Security
Medidas
Internalde
Controles da
Controle
Gerenciamento de Riscos
Risk Management Auditoria
Internal
Gerncia Control
Interno
Measures Qualidade
Quality Interna
Audit

Inspection
Inspeo
Compliance
Conformidade

Adaptao da Guidance on the 8th EU Company Law Directive da ECIIA/FERMA, artigo 41

Embora os rgos de governana e a alta administrao no sejam

considerados dentre as trs linhas desse modelo, nenhuma discusso sobre
sistemas de gerenciamento de riscos estaria completa sem considerar, em
primeiro lugar, os papis essenciais dos rgos de governana (i.e., conselho
de administrao e rgos equivalentes) e da alta administrao. Os rgos
de governana e a alta administrao so as principais partes interessadas
atendidas pelas linhas e so as partes em melhor posio para ajudar a
garantir que o modelo de Trs Linhas de Defesa seja aplicado aos processos
de gerenciamento de riscos e controle da organizao.

2 / DECLARAO DE POSICIONAMENTO DO IIA: AS TRS LINHAS DE DEFESA NO GERENCIAMENTO EFICAZ DE RISCOS E CONTROLES
A alta administrao e os rgos de governana tm, coletivamente, a
responsabilidade e o dever de prestao de contas sobre o estabelecimento
dos objetivos da organizao, a definio de estratgias para alcanar esses
objetivos e o estabelecimento de estruturas e processos de governana para
melhor gerenciar os riscos durante a realizao desses objetivos. O modelo de
Trs Linhas de Defesa implementado melhor com o apoio ativo e a
orientao do rgo de governana e da alta administrao da organizao.

1 LINHA DE DEFESA: GESTO OPERACIONAL

O modelo de Trs Linhas de Defesa diferencia trs grupos (ou linhas)
envolvidos no gerenciamento eficaz de riscos:

Funes que gerenciam e tm propriedade sobre riscos.

Funes que supervisionam riscos.
Funes que fornecem avaliaes independentes.

Como primeira linha de defesa, os gerentes operacionais gerenciam os riscos

e tm propriedade sobre eles. Eles tambm so os responsveis por
implementar as aes corretivas para resolver deficincias em processos e
controles.

A gerncia operacional responsvel por manter controles internos eficazes e

por conduzir procedimentos de riscos e controle diariamente. A gerncia
operacional identifica, avalia, controla e mitiga os riscos, guiando o
desenvolvimento e a implementao de polticas e procedimentos internos e
garantindo que as atividades estejam de acordo com as metas e objetivos. Por
meio de uma estrutura de responsabilidades em cascata, os gerentes do nvel
mdio desenvolvem e implementam procedimentos detalhados que servem
como controles e supervisionam a execuo, por parte de seus funcionrios,
desses procedimentos.

A gerncia operacional serve naturalmente como a primeira linha de defesa,

porque os controles so desenvolvidos como sistemas e processos sob sua
orientao de gesto operacional. Deve haver controles de gesto e de
superviso adequados em prtica, para garantir a conformidade e para
enfatizar colapsos de controle, processos inadequados e eventos inesperados.

DECLARAO DE POSICIONAMENTO DO IIA: AS TRS LINHAS DE DEFESA NO GERENCIAMENTO EFICAZ DE RISCOS E CONTROLES / 3
 2 LINHA DE DEFESA: FUNES DE GERENCIAMENTO
DE RISCOS E CONFORMIDADE
Em um mundo perfeito, apenas uma linha de defesa talvez fosse necessria
para garantir o gerenciamento eficaz dos riscos. No mundo real, no entanto,
uma nica linha de defesa pode, muitas vezes, se provar inadequada. A
gerncia estabelece diversas funes de gerenciamento de riscos e
conformidade para ajudar a desenvolver e/ou monitorar os controles da
primeira linha de defesa. As funes especficas vo variar entre organizaes
e indstrias, mas funes tpicas dessa segunda linha de defesa incluem:

Uma funo (e/ou comit) de gerenciamento de riscos que facilite

e monitore a implementao de prticas eficazes de gerenciamento
de riscos por parte da gerncia operacional e auxilie os
proprietrios dos riscos a definir a meta de exposio ao risco e a
reportar adequadamente informaes relacionadas a riscos em toda
a organizao.
Uma funo de conformidade que monitore diversos riscos
especficos, tais como a no conformidade com as leis e
regulamentos aplicveis. Nesse quesito, a funo separada reporta
diretamente alta administrao e, em alguns setores do negcio,
diretamente ao rgo de governana. Mltiplas funes de
conformidade existem frequentemente na mesma organizao, com
responsabilidade por tipos especficos de monitoramento da
conformidade, como sade e segurana, cadeia de fornecimento,
ambiental e monitoramento da qualidade.
Uma funo de controladoria que monitore os riscos financeiros e
questes de reporte financeiro.

A gerncia estabelece essas funes para garantir que a primeira linha de

defesa seja apropriadamente desenvolvida e posta em prtica e que opere
conforme intencionado. Cada uma dessas funes tem seu nvel de
independncia em relao primeira linha de defesa, mas so, por natureza,
funes de gesto. Como funes de gesto, elas podem intervir diretamente,
de modo a modificar e desenvolver o controle interno e os sistemas de riscos.
Portanto, a segunda linha de defesa tem um propsito vital, mas no pode
oferecer anlises verdadeiramente independentes aos rgos de governana
acerca do gerenciamento de riscos e dos controles internos.

As responsabilidades dessas funes variam em sua natureza especfica, mas

podem incluir:

Apoiar as polticas de gesto, definir papis e responsabilidades e

estabelecer metas para implementao.
Fornecer estruturas de gerenciamento de riscos.
Identificar questes atuais e emergentes.
Identificar mudanas no apetite ao risco implcito da organizao.
Auxiliar a gerncia a desenvolver processos e controles para
gerenciar riscos e questes.

4 / DECLARAO DE POSICIONAMENTO DO IIA: AS TRS LINHAS DE DEFESA NO GERENCIAMENTO EFICAZ DE RISCOS E CONTROLES
 Fornecer orientaes e treinamento sobre processos de
gerenciamento de riscos.
Facilitar e monitorar a implementao de prticas eficazes de
gerenciamento de riscos por parte da gerncia operacional.
Alertar a gerncia operacional para questes emergentes e para as
mudanas no cenrio regulatrio e de riscos.
Estabelecer uma
Monitorar a adequao e a eficcia do controle interno, a preciso e
a integridade do reporte, a conformidade com leis e regulamentos e atividade prossional
a resoluo oportuna de deficincias. de auditoria interna
deveria ser um requisito
3 LINHA DE DEFESA: AUDITORIA INTERNA de governana para
Os auditores internos fornecem ao rgo de governana e alta administrao todas as organizaes.
avaliaes abrangentes baseadas no maior nvel de independncia e objetividade No importante
dentro da organizao. Esse alto nvel de independncia no est disponvel na
segunda linha de defesa. A auditoria interna prov avaliaes sobre a eficcia da apenas para empresas
governana, do gerenciamento de riscos e dos controles internos, incluindo a de grande e mdio
forma como a primeira e a segunda linhas de defesa alcanam os objetivos de
gerenciamento de riscos e controle. O escopo dessa avaliao, que reportada
porte, mas tambm
alta administrao e ao rgo de governana, normalmente cobre: pode ser igualmente
importante para
Uma grande variedade de objetivos, incluindo a eficincia e a
eficcia das operaes; a salvaguarda de ativos; a confiabilidade e a
negcios menores,
integridade dos processos de reporte; e a conformidade com leis, j que eles podem
regulamentos, polticas, procedimentos e contratos.
enfrentar ambientes
Todos os elementos da estrutura de gerenciamento de riscos e
controle interno, que inclui: o ambiente de controle interno; todos os igualmente complexos
elementos da estrutura de gerenciamento de riscos da organizao com uma estrutura
(i.e. identificao de riscos, avaliao de riscos e resposta);
informao e comunicao; e monitoramento. organizacional menos
A empresa como um todo, divises, subsidirias, unidades de formal e robusta para
operao e funes - incluindo os processos do negcio, como
vendas, produo, marketing, segurana, funes voltadas para o
garantir a eccia de
cliente e operaes - assim como funes de suporte (ex., seus processos de
contabilidade de receita e despesas, recursos humanos, compras,
governana e
folha de pagamento, oramentos, gesto de infraestrutura e ativos,
inventrio e tecnologia da informao). gerenciamento de
riscos.
Estabelecer uma atividade profissional de auditoria interna deveria ser um
requisito de governana para todas as organizaes. No importante apenas para
empresas de grande e mdio porte, mas tambm pode ser igualmente importante
para negcios menores, j que eles podem enfrentar ambientes igualmente
complexos com uma estrutura organizacional menos formal e robusta para garantir
a eficcia de seus processos de governana e gerenciamento de riscos.

DECLARAO DE POSICIONAMENTO DO IIA: AS TRS LINHAS DE DEFESA NO GERENCIAMENTO EFICAZ DE RISCOS E CONTROLES / 5
 A auditoria interna contribui ativamente para a governana organizacional
eficaz, desde que algumas condies - que promovam sua independncia e
profissionalismo - sejam atendidas. A melhor prtica estabelecer e manter
uma funo independente de auditoria interna, com uma equipe adequada e
competente, que inclua:

Atuar de acordo com as normas internacionais reconhecidas para

a prtica de auditoria interna.
Reportar a um nvel suficientemente alto na organizao, de modo
a cumprir com suas responsabilidades de forma independente.
Ter uma linha de reporte ativa e eficaz ao rgo de governana.

AUDITORES EXTERNOS, REGULADORES E

OUTROS RGOS EXTERNOS
Auditores externos, reguladores e outros rgos externos esto fora da
estrutura da organizao, mas podem desempenhar um papel importante em
sua estrutura geral de governana e controle. Isso vale principalmente para
indstrias regulamentadas, como a de servios financeiros ou seguros. Os
reguladores, s vezes, estabelecem requisitos com a inteno de fortalecer os
controles em uma empresa e, em outras ocasies, tm uma funo
independente e objetiva, para avaliar o todo ou parte da primeira, segunda ou
terceira linha de defesa no que tange a esses requisitos. Quando coordenados
com sucesso, os auditores externos, reguladores e outros grupos externos
organizao podem ser considerados linhas adicionais de defesa, que
fornecem avaliaes s partes interessadas da organizao, incluindo o rgo
de governana e a alta administrao. Considerando o escopo e objetivos
especficos de suas misses, no entanto, as informaes de riscos reunidas
so, em geral, menos extensas do que o escopo abordado pelas trs linhas
internas de defesa de uma organizao.

COORDENANDO AS TRS LINHAS DE DEFESA

J que cada organizao nica e situaes especficas variam, no h uma
forma certa de coordenar as Trs Linhas de Defesa. Durante a diviso de
responsabilidades especficas e a coordenao entre funes de
gerenciamento de riscos, no entanto, pode ser til ter em mente o papel
inerente de cada grupo no processo de gerenciamento de riscos.

1 LINHA DE DEFESA 2 LINHA DE DEFESA 3 LINHA DE DEFESA

Proprietrios/ Controle de Risco e

Avaliao de Riscos
Gestores de Riscos Conformidade
gerncia operacional independncia limitada auditoria interna
reporta primariamente maior independncia
gerncia reporta ao rgo de
governana

6 / DECLARAO DE POSICIONAMENTO DO IIA: AS TRS LINHAS DE DEFESA NO GERENCIAMENTO EFICAZ DE RISCOS E CONTROLES
As trs linhas deveriam existir, de alguma forma, em todas as organizaes, no
importando tamanho ou complexidade. O gerenciamento de riscos, normalmente,
mais slido quando h trs linhas de defesa separadas e claramente identificadas.
No entanto, em situaes excepcionais que podem surgir, especialmente em
pequenas empresas, certas linhas de defesa podem ser combinadas. Por exemplo,
h casos em que foi solicitado que a auditoria interna estabelecesse ou gerenciasse
as atividades de gerenciamento de riscos ou conformidade. Nessas situaes, a
auditoria interna deve comunicar claramente ao rgo de governana e alta
administrao o impacto da combinao. Se responsabilidades duplas forem
delegadas a uma nica pessoa ou departamento, seria apropriado considerar
separar a responsabilidade por essas funes em um momento posterior para
estabelecer as trs linhas.
As trs linhas
Independente de como o modelo de Trs Linhas de Defesa implementado, a alta deveriam existir,
administrao e os rgos de governana devem comunicar claramente a
expectativa de que as informaes sejam compartilhadas e as atividades
de alguma forma,
coordenadas entre cada um dos grupos responsveis por gerenciar os riscos e em todas as
controles da organizao. Segundo as Normas Internacionais para Prtica
Profissional de Auditoria Interna, os diretores executivos de auditoria devem organizaes, no
compartilhar informaes e coordenar atividades com outros prestadores internos
e externos de servios de avaliao e consultoria, para assegurar a cobertura importando tamanho
apropriada e minimizar a duplicao de esforos.
ou complexidade.
PRTICAS RECOMENDADAS: O gerenciamento de
riscos, normalmente,
Os processos de riscos e controle devem ser estruturados de acordo com
o modelo de Trs Linhas de Defesa. mais slido quando
Cada linha de defesa deve ser apoiada por polticas e definies de
papis apropriadas. h trs linhas de
Deve haver a coordenao apropriada entre as diferentes linhas de
defesa para promover a eficincia e a eficcia.
defesa separadas e
As funes de riscos e controle em operao nas diferentes linhas devem claramente
compartilhar conhecimento e informaes apropriadamente, para
auxiliar todas as funes a desempenhar melhor seus papis de forma identificadas.
eficiente.
As linhas de defesa no devem ser combinadas ou coordenadas de uma
forma que comprometa sua eficcia.
Em situaes em que as funes de diferentes linhas forem
combinadas, o rgo de governana deve ser aconselhado a respeito da
estrutura e seu impacto. Em organizaes que ainda no tenham uma
atividade de auditoria interna estabelecida, deve-se exigir que a gerncia
e/ou o rgo de governana explique e divulgue s suas partes
interessadas que consideraram como ser obtida a avaliao adequada
da eficcia das estruturas de governana, gerenciamento de riscos e
controle da organizao.

DECLARAO DE POSICIONAMENTO DO IIA: AS TRS LINHAS DE DEFESA NO GERENCIAMENTO EFICAZ DE RISCOS E CONTROLES / 7
Sobre o Instituto significantes de governana, riscos e controle
e a delinear os papis e responsabilidades de
Criado em 1941, The Institute of Internal
auditoria interna relacionados.
Auditors (IIA) uma associao profissional
internacional, com sede global em Altamonte
Para outros materiais de orientao oficial
Springs, Flrida, EUA. O IIA o lder
fornecidos pelo IIA, visite nosso site:
reconhecido, principal defensor e educador em
www.iiabrasil.org.br
auditoria interna.

Declaraes de Posicionamento
Importante
Declaraes de Posicionamento fazem parte da
O IIA publica esse documento para fins
Estrutura Internacional de Prticas Profissionais
informativos e educacionais. Esse material de
(IPPF) do IIA, a estrutura conceitual que
orientao no tem como objetivo fornecer
organiza as orientaes oficiais promulgadas pelo
respostas definitivas a especficas
IIA. rgo global confivel, fonte de orientao, o
circunstncias individuais e, como tal, tem o
IIA fornece aos profissionais de auditoria interna
nico propsito de servir de guia. O IIA
no mundo todo orientaes oficiais organizadas
recomenda que voc busque sempre conselhos
na IPPF como obrigatrias e fortemente
especializados independentes relacionados
recomendadas. As Declaraes fazem parte da
diretamente a qualquer situao especfica. O
categoria fortemente recomendadas - a
IIA no assume qualquer responsabilidade por
conformidade no obrigatria, mas fortemente
qualquer pessoa que confie unicamente nesse
recomendada - e as orientaes so reforadas
material de orientao.
pelo IIA por meio de processos formais de reviso
e aprovao.
Direitos Autorais
As Declaraes de Posicionamento auxiliam uma Copyright 2013 The Institute of Internal
grande variedade de partes interessadas, Auditors. Para permisso para reproduo, favor
incluindo partes no envolvidas na profisso de entrar em contato com o IIA pelo e-mail:
auditoria interna, a entender questes iiabrasil@iiabrasil.org.br

Sede Global T +1-407-937-1111

247 Maitland Avenue F +1-407-937-1101
Altamonte Springs, Florida 32701 USA W www.globaliia.org
121691-2