1 - Diagrama de Assi

“Muitas vezes, os funcionários também rejeitam os programas

de compliance porque os consideram como uma série de rotinas para “ticar” nos
quadradinhos e exercícios de treinamento sem sentido. Em nossa visão, essas
despesas e frustrações são trágicas — e evitáveis.”

Quando as pessoas não respeitam as regras da organização os riscos, lembrando que

existem riscos inerentes às atividades de todo mundo, podem ser críticos ou
irrelevantes, mas não podem ser desprezados, por esse motivo o compliance, controle
internos e gestão de riscos devem conhecer o negócio, estar presentes nas principais
atividades, e se possível identificar as falhas e melhorar processos, fazendo valer a
governança corporativa na organização, pois entre a gestão e a estratégia do negócio
pode ser construído um vale de tamanha proporção, que nenhuma ponte poderia ser
construída para ligar os dois extremos.

2 - Teoria da agencia:
“grupos de indústrias se uniram e adotaram políticas e procedimentos internos para
delatar e tentar evitar a má conduta.”

Criam um novo modelo de controle empresarial. Nesse modelo, o principal, o titular da

propriedade, delega ao agente o poder de decisão sobre esse bem. Uma vez que os interesses
do primeiro nem sempre estão alinhados aos do último, podem ocorrer conflitos.

3 – Três linhas de defesa

“ Mas o mais preocupante foi que Soltes viu empresas escolherem dados
seletivamente para dar a impressão de que suas práticas eram eficientes, em vez de
admitirem que algumas estavam claramente muito aquém do exigido.”

“As empresas produziam rotineiramente grandes calhamaços de políticas e

procedimentos e contabilizavam os números de controle em seus sistemas
financeiros. Mas não mostravam evidências de terem testado essas políticas,
procedimentos e controles, nem acompanhado o número de violações que haviam
sofrido. A empresa, por exemplo, citava seu programa interno de longa duração de
denunciantes, mas não tinha dados sobre a taxa de utilização do programa pelos
funcionários”.
O modelo de Três Linhas de Defesa é uma forma simples e eficaz de melhorar a
comunicação do gerenciamento de riscos e controle por meio do esclarecimento dos
papéis e responsabilidades essenciais.
A primeira linha de defesa tem como responsabilidade a gestão (alta e média gestão, e
outros tomadores de decisão) como executores do processo de gerenciamento de
riscos e dos sistemas de controles internos da organização.
A segunda linha são os órgãos e profissionais de staff que tem como objetivo apoiar a
gestão para que cumpram com suas responsabilidades de primeira linha, fornecendo
conhecimento e ferramentas adequadas para este processo. Nesta linha se encontram
os especialistas em controles internos, gestão de riscos, processos, compliance e
outros profissionais de apoio.
A terceira linha se resume na atividade de auditoria interna a qual tem como objetivo
uma avaliação objetiva e independente da gestão dos riscos, controles e governança
da organização. O resultado é a comunicação e efetivação das oportunidades de
melhoria identificadas.