Gestão Das Tres Linhas - MASSI 06-2022

Gestão das Três Linhas
MSc. Marcos Assi

© Todos os direitos reservados – proibida a reprodução
Currículo
Prof. MSc. Marcos Assi, CCO,CRISC, ISFS
Mestre em Ciências Contábeis e Atuariais pela PUC-SP, Bacharel em Ciências Contábeis pela FMU, com Pós-Graduação em Auditoria
Interna e Pericia pela FECAP, Certified Compliance Officer – CCO pelo GAFM - USA, Certified in Risk and Information Systems Control –
CRISC pelo ISACA, Information Security Foundation – ISFS pela Exin, Lead Implementer and Internal Auditor ISO 37001 e Auditor Lider
da ISO 37301 pela QMS Brasil.
Exerceu a função de Auditor, Contador e Controller, posições estas, assumidas em bancos nacionais e internacionais com 37 anos de
experiência exercidos no Banco Toyota do Brasil, Banco BBA Creditanstalt (Atual ITAU-BBA), Banco ABC Brasil, entre outros.
Professor do MBA da FECAP, da Saint Paul Escola de Negócios, da SUSTENTARE Escola de Negócios de Joinville-SC, da TREVISAN
Escola de Negócios, do IBMEC, da Católica Business School – CBS - PE, do Centro Paula Sousa – FATEC, da FIA (Labfin), da UNIMAR
– Universidade de Marilia – SP, da FADISMA – Faculdade de Direito de Santa Maria – RS, da FDV – Faculdade de Direito de Vitoria – ES,
da REGES – Rede Gonzaga de Ensino Superior de Dracena, Faculdade La Salle em Lucas do Rio Verde – MT.
Conselheiro Fiscal da CDP Latin América

Curador Acadêmico e Professor da Pos-graduação em GRC pela Sustentare Escola de Negócios - SC
Instrutor de Gestão de Riscos, Compliance e finanças do portal MeuSucesso.com
Instrutor de Controles Internos e Compliance do IBGC.
Instrutor de Controles Internos e Compliance da Fecontesc – SC
Instrutor do ICA (International Compliance Association), para Compliance de PLD/FT.
Academic Advocate do ISACA, associado do IIA Brasil – Instituto dos Auditores Internos do Brasil.
Membro do IBGC e da Comissão de Gerenciamento de Riscos Corporativos.
Honorary Global Advisory Council do Global Academy of Finance and Management – GAFM.

Ementa do Curso
• A importância do modelo das Três Linhas

• Gestão de Compliance:
o Programa de Integridade,
o Transparência, e
o Conduta e Ética.
• Reflexos das Três Linhas na governança corporativa
• Principais conceitos envolvidos nas práticas das Três Linhas
• O que são as Três Linhas na prática
o A primeira linha do negócio
o A segunda linha do negócio
o Como estruturar a Segunda Linha
o Principais funções de Segunda Linha
o A Terceira Linha no negócio
• Gestão de riscos na Governança Corporativa
• Fatores críticos de sucesso

Ementa do Curso
• Módulo de prática e estudo de caso - STM

o Modelo prático de governança das Três Linhas - STM
o Formulando a estratégia das Três Linhas - STM
o Modelo operacional das Três Linhas - STM
o Integração estratégica, tática e Operacional

Pensamento Inicial
Há três caminhos para o FRACASSO:
Não ensinar o que sabe, não praticar o que se

ensina e não perguntar o que se ignora!
Beda "O Venerável"

A importância do modelo das Três Linhas

Gestão de Controles Internos e Mapeamento de Processos 7
“ O que não se conhece...
O que não se controla...

...não se pode controlar.
...não se pode mensurar.

O que não se mensura...
O que não se gerencia...

...não se pode gerenciar.
...não se pode aprimorar.

“
Fonte: Morris A. Cohen
Panasonic Professor of Manufacturing and Logistics; Professor of Operations and Information Management Co-Director,
Fishman-Davidson Center for Service and Operations Management, PhD - Northwestern University, 1974; MSc,
Northwestern University, 1971; BASc, University of Toronto, 1970
Diagrama de Assi

As três linhas de defesa do IIA
Órgão de Governança/Conselho/Comitê de Auditoria
Órgãos reguladores
Alta administração
Auditoria Externa
Mercado
1ª Linha de Defesa 2ª Linha de Defesa 3ª Linha de Defesa
Controle Financeiro
Medidas Segurança Informação
Controles Auditoria
de Gerenciamento Riscos
da Interna
Controle
Gerencia Conformidade
Interno
Monitoramento
Qualidade
Adaptado do IIA Global

As três linhas do IIA
CORPO ADMINISTRATIVO
Prestação de contas aos stakeholders pela supervisão organizacional
PRESTADORES EXTERNOS DE AVALIAÇÃO

Papéis do corpo administrativo: integridade, liderança e transparência
GESTÃO AUDITORIA INTERNA

Ações (incluindo gerenciar riscos) para Avaliação independente
atingir os objetivos organizacionais
Papéis da 2ª linha Papéis da 3ª linha

Papéis da 1ª linha
Expertise, apoio, Avaliação e assessoria
Provisão de
monitoramento e independentes e objetivas
produtos/serviços
questionamento sobre questões relativas
aos clientes;
sobre questões ao atingimento dos
gerenciar riscos
relacionadas a riscos objetivos
Delegar, orientar, Alinhamento, comunicação,

Prestação de contas,
recursos, supervisão coordenação, colaboração
reporte

Principio Descrição
Principio 1 Governança
Princípio 2 Papeis do corpo diretivo
Princípio 3 Gestão e papéis da segunda e da terceira linha
Princípio 4 Papéis da terceira linha
Princípio 5 Independência da terceira linha
Princípio 6 Criando e protegendo valor
✓ Aproximação das três linhas no mesmo objetivo;

✓ Minimização das sobreposições e lacunas entre as linhas;
✓ Mais cooperação e menos conflito;
✓ Maior Independência da Auditoria Interna, sem assumir a 2ª linha;
✓ Perda de Independência da Auditoria Interna caso assuma alguma função da 2ª. Linha,
terá necessidade de uma opinião externa.

Resolução CNJ nº 309 de 11/03/2020
Art. 2º - IV – Linhas de Defesa – modelo de gerenciamento de riscos, fomentado Internacionalmente, que

consiste na atuação coordenada de três camadas do órgão, com as seguintes responsabilidades e funções:
a) 1ª Linha de Defesa: contempla os controles primários, que devem ser instituídos e mantidos pelos gestores
responsáveis pela implementação das políticas públicas durante a execução de atividades e tarefas, no
âmbito de seus macroprocessos finalísticos e de apoio, e é responsável por:
1) instituir, implementar e manter controles internos adequados e eficientes;

2) implementar ações corretivas para resolver deficiências em processos e controles internos;
3) identificar, mensurar, avaliar e mitigar riscos;
4) dimensionar e desenvolver os controles internos na medida requerida pelos riscos, em conformidade
com a natureza, a complexidade, a estrutura e a missão da organização; e
5) guiar o desenvolvimento e a implementação de políticas e procedimentos internos destinados a
garantir que as atividades sejam realizadas de acordo com as metas e objetivos da organização.

Resolução CNJ nº 309 de 11/03/2020
b) 2ª Linha de Defesa: contempla os controles situados ao nível da gestão e objetivam assegurar que as
atividades realizadas pela 1ª linha de defesa sejam desenvolvidas e executadas de forma apropriada, tendo
como principais responsabilidades:
1) intervenção na 1ª linha de defesa para modificação dos controles internos estabelecidos; e

2) estabelecimento de diversas funções de gerenciamento de risco e conformidade para ajudar a
desenvolver e/ou monitorar os controles da 1ª linha de defesa.
c) 3ª Linha de Defesa: representada pela atividade de auditoria interna, é responsável por avaliar as atividades
da 1ª e 2ª linhas de defesa no que tange à eficácia da governança, do gerenciamento de riscos e dos controles
internos, mediante a prestação de serviços de avaliação e de consultoria com base nos pressupostos de
autonomia técnica e de objetividade.

Gestão de Compliance

Como andam os trabalhos na sua unidade?
Como andam os trabalhos na sua diretoria?
Como andam os trabalhos no seu órgão?

Se a resposta for:
A MIL POR HORA!
ÓTIMO!!! Mas cuidado...

18
“Não há nada mais inútil quanto

fazer eficientemente o que não
deveria ser feito”
(Peter Drucker)

INTEGRIDADE
CORRUPÇÃO

DECRETO 9.203/2018

Programa de integridade
Portaria CGU 1.089/2018
Conjunto estruturado de medidas institucionais voltadas

para a prevenção, detecção, punição e remediação de
fraudes e atos de corrupção, em apoio à boa
governança

Decreto 10.756/2021
Institui o Sistema de Integridade Pública do Poder Executivo
Federal.
Art. 1º (...)
I - programa de integridade - conjunto estruturado de medidas
institucionais para prevenção, detecção, punição e remediação de
práticas de corrupção e fraude, de irregularidades e de outros
desvios éticos e de conduta;

Aumento da consciência organizacional
DIMINUIÇÃO DAS OPORTUNIDADES
PREVENÇÃO
PUNIÇÃO DETECÇÃO
Expectativa de controle
Aumento do custo de transação

Prevenir Detectar Responder
“Exemplo vem de cima”
Organização deve estar de Compliance
✓ Politicas e Procedimentos ✓ Jurídico e Processos

✓ Conduta e Consequências
✓ Comunicação do Programa ✓ Auditorias rotineiras
✓ Rastreabilidade e reporte
✓ Centralização das informações ✓ Analise de Compliance
✓ Efetividade do monitoramento
✓ Treinamento ✓ Controles de Compliance
Compliance – Suporte Interno
✓ Integração com os Melhoria

processos e pessoas Continua
Politicas claras, programas Sistema abrangente Consequências claras e

de treinamento e apoio de controle respostas sem conflitos

O que é estar em Compliance?
Estar em compliance é estar em conformidade com leis e regulamentos internos e externos, e é acima de
tudo, é uma obrigação individual de cada colaborador dentro da instituição. E alguns procedimentos devem
ser adotados, implantados e verificados, tais como:
✓ Processos de validação, verificação e aderência as normas;
✓ Cumprir leis locais, estaduais, federais e do país de origem;
✓ Gerenciar o risco de Compliance nos processos;
✓ Implantar procedimentos e controles internos;
✓ Implantar Matriz de Controles Internos e Compliance;
✓ Implantar modelo “faça a coisa certa”
✓ Testes periódicos verificando aderência dos itens acima.

Disseminação da cultura de Compliance
Segundo a ISO 37301:2021 o comprometimento ativo, visível, consistente e

sustentado do Conselho de Administração, da Alta Direção e dos principais
gestores a um padrão comum de comportamento, publicado, e que seja
requerido em todas as áreas da organização.

Compliance efetivo é feito
por pessoas,
com pessoas,
para pessoas.

Importância da prática do Compliance
Conhecer a teoria é importante, mas saber aplicá-la na prática é primordial.

Você se submeteria a uma cirurgia de coração se o seu médico soubesse tudo de teoria,
mas nunca tivesse pegado um bisturi na mão?
Com o Compliance dá-se o mesmo!
De nada adianta o conhecimento da lei se não houver pleno domínio da cultura
organizacional, das práticas e processos existentes, do dia a dia da empresa e das
pessoas, do comportamento do mercado, da forma de negociação e demais elementos
fundamentais para o sucesso da empresa.
Além de compreender o cenário na totalidade, o profissional de Compliance precisa ter
lucidez e experiência para construir e/ou manter a cultura da ética e integridade na
organização, principalmente em relação ao ambiente propício e nas relações humanas.

Os sete elementos-chave de Compliance
Os sete elementos-chave capaz de estruturar um programa realmente eficaz perante o mercado,
possibilitando que funcionários sigam as regras estabelecidas pela corporação e saibam explicá-las a
terceiros, inclusive em eventual fiscalização promovida pelos setores públicos competentes.
Os sete elementos, detalhadamente explicados abaixo são:
1-) Comprometimento da diretoria;

2-) Criação de padrões, procedimentos e controles;
3-) Treinamento efetivo e comunicação;
4-) Avaliação, monitoramento e auditoria;
5-) Execução, incentivos e disciplina;
6-) Devido cuidado na delegação de responsabilidades; e
7-) Melhoria contínua.

Papel do Compliance
Segundo a ISO 37301:2021 convém que a organização identifique as suas obrigações de
compliance e suas implicações para as atividades, produtos e serviços. A organização deve
levar em consideração as obrigações de estabelecer, desenvolver, implementar, avaliar,
manter e melhorar o sistema de gestão de compliance.
A organização deve documentar as obrigações de compliance de forma apropriada ao seu
porte, complexidade, estrutura e operações.
As fontes de obrigações de compliance devem incluir requisitos de compliance e possam
incluir comprometimento de compliance.

Elementos chaves da área de Compliance
Pessoas Comportamentos Objetivo:

(Essência do Compliance) (Foco de atuação: Atitudes) proteção ao
• Interagem com outras • Impactam outras negócio
pessoas, com meio pessoas, meio
ambiente, processos, • Aprimoramento do
ambiente, processos, nível de
sistemas, empresas, sistemas, empresas,
sociedade, mercado... conformidade legal,
sociedade, mercado... regulatória e da
integridade
corporativa

Pessoas
Segurança
Gestão de Administração
Riscos Geral
Gestão
Gestão de Pessoas
Processos Física,
Controles Gestão da
Riscos Lógica,
Internos Conduta
operacionais, Cibernética
Negócios Educadoria
Continuidade de Proteção de
Estrutura, Metodologias de Psicologia
Monitoramento,
Negócios - PCN Dados
Planejamento, Gestão de Crises Sociologia
Gestão, Ativos da
Modelagem e Comportamento
Relatórios, Informação
Gestão Humano
Controles Contábeis
Gestão de projeto Neurolinguística

Direitos Humanos,
Alinhamento à Alinhamento à Minorias, Meio
Conformidade Gestão de estratégia e Ambiente,
Riscos Ética Respeito aos
Regulação
animais
Ameaças Desempenho
Diversidade
Percebido como
estratégia de Não é uma
negócio e Integridade
protetor da Commoditie
reputação

O que é necessário fazer para que a primeira linha desempenhe adequadamente a sua função?
Muitas pessoas questionam como implementar com eficácia a gestão de riscos e o sistema de
controles internos para que possam atender às questões legais e ainda proporcionar o suporte
operacional à primeira linha.
Geralmente a política de conformidade determina a necessidade de evidenciar tudo isso

internamente para atender aos órgãos reguladores e cumprir todas as obrigações relativas à
conformidade, sem contar as questões de controles internos, para evidenciação do processo de
gestão.
Portanto, um sistema de gestão de controles internos e compliance (GCIC) se faz necessário para
viabilizar as atividades relacionadas a seguir:

1) Gestão de apontamentos dos órgãos reguladores e auditorias na gestão de riscos – para os
eventuais apontamentos realizados por órgãos reguladores e auditorias que devem ser
acompanhados pela área de compliance, podemos realizar a gestão dos apontamentos, e essa
metodologia determina a realização da cobrança dos gestores com o registro do histórico de
cobranças.
2) Monitoramento de planos de ação – eventuais apontamentos podem sugestionar alguns

planos de ação por parte das áreas que deverão ser monitorados, e a metodologia deve possuir
um plano de melhorias com alerta de prazo de vencimento.
3) Treinamentos – o controle dos treinamentos realizados com registros de presença podem ser
realizados na metodologia para melhoria da gestão, bem como o controle de prazo para
realização de novos treinamentos.

4) Mapeamento de processos – esse trabalho tem como objetivo a identificação dos processos
(fluxos de trabalho) de cada área. Assim, podem-se identificar falhas de controle, riscos e a
necessidade do desenvolvimento de políticas e manuais. Podemos registrar a existência dos
documentos, como planilha Excel, Bizagi em .pdf, sistemas de diagramação dos fluxos.
5) Monitoramento dos prazos das obrigações legais – por motivos da observância e do controle
quanto aos prazos dos ofícios recebidos pelos órgãos reguladores com a possibilidade de
distribuição de tarefas e controle de prazos, podemos ajustar um plano de melhorias ou
mesmo na matriz de compliance. Além das obrigações que as áreas encaminham diretamente
ao órgão regulador, entre elas a contabilidade e as diversas áreas da organização que
encaminham via e-mail as evidências de que as obrigações solicitadas foram enviadas,
podemos evidenciar o controle por área/gestor.
6) Monitoramento dos prazos para revisão das políticas e manuais – políticas, procedimentos,
manuais, instruções de trabalho, regimentos, regulamentos, entre outros documentos, devem
ser revisados periodicamente, e a metodologia realiza a gestão de revisões, com prazos de 12
a 36 meses, dependendo da criticidade e com envio de alertas para gestores.

7) Aprovação das políticas – a maioria das políticas devem ser aprovadas pelo corpo
administrativo, segundo as Três Linhas, também está o conselho de administração. Esta seria a
última instância mediante a elaboração de ata de aprovação em papel que, após a confecção
dessas atas, deve ser apresentada ao corpo administrativo para assinatura; depois,
dependendo do fluxo que sua organização possua, finalmente publicar o documento na
intranet e lançá-lo no sistema para controle do prazo de revisão.
Acreditamos que, dessa forma, a gestão pode ser aperfeiçoada, e a primeira linha estará mais
próxima de suas responsabilidades e devidamente suportadas e apoiadas pela segunda linha,
evidenciando que, quanto mais simples for o processo de gestão, mais fácil será a prestação de
contas de cada parte envolvida no processo de gestão.

Reflexos das Três Linhas na governança corporativa

Para tratar da importância do modelo das Três Linhas do IIA na governança
corporativa, é necessário resgatar o seu conceito que, conforme o IBGC, é
definido como:
Sistema pelo qual as empresas e demais organizações são dirigidas, monitoradas

e incentivadas, envolvendo os relacionamentos entre sócios, conselho de
administração, diretoria, órgãos de fiscalização e controle e demais partes
interessadas (IBGC, 2015).

GOVERNANÇA CORPORATIVA NA PRÁTICA

Planejamento Resultado
O QUE GARANTE QUE ATINGIREMOS OS OBJETIVOS ESTABELECIDOS?
COMO “ADMINISTRAMOS” TAL ALCANCE DE RESULTADOS?
COMO GOVERNAMOS OS RESULTADOS?
A GOVERNANÇA é o conjunto de macroprocessos relacionados à tomada de decisão, definição de estratégias e

controle tendentes a maximizar a chance do alcance eficiente de objetivos organizacionais, alinhados com
determinada missão e estratégia organizacionais.
Objetivos Metas Prestação de contas Avaliação de riscos Fluxo de informações Monitoramento Alçadas decisórias
Compliance Expectativa de controle Conformidade normativa Integridade Politica de contratação (...)

Para que o modelo das Três Linhas possa atender a todas as necessidades da organização de ponta a
ponta, sua governança deve considerar os seguintes objetivos, conforme preconizado no COBIT 5:
✓ Viabilizadores da governança: criação de recursos organizacionais que podem ser usados na
governança, como princípios, estruturas, processos e práticas.
✓ Escopo da governança: área em que será aplicada a governança, de preferência em toda a
organização ou somente em uma parte, mas cuidado com a avaliação.
✓ Papéis, atividades e relacionamentos: definem quem estará envolvido com o processo de
governança, identificando o que fazem e como interagem dentro do escopo da governança.

Por esse motivo, citamos o COBIT 5, que faz alguns esclarecimentos sobre papéis, atividades e
relacionamentos de governança. No seu modelo, define quem está envolvido na governança, como
estão envolvidos, o que fazem e como interagem, dentro do escopo de qualquer sistema de
governança.
É sensacional a forma e a essência apresentadas, pois fazem clara diferenciação entre as atividades
de governança e gestão nos domínios corporativos, bem como a interação entre elas e os
especialistas envolvidos, e as interações entre os diferentes papéis, conforme exemplificamos a
seguir.
Papéis, Atividades e Relacionamentos segundo o COBIT 5

Nesse exemplo ficam evidentes as definições das responsabilidades e da prestação
de contas entre os componentes da governança; por isso, sempre que possível,
podemos utilizar esse modelo para definir os níveis de participação das Três Linhas
dentro de um processo corporativo.
Outros pontos importantes são a efetividade das áreas de controle interno, gestão
de riscos, compliance, segurança da informação, qualidade e, em certos casos, até
a auditoria, que acaba assumindo responsabilidade da primeira linha, por falta de
entendimento do nível de responsabilidade, dos conflitos de interesse e do
retrabalho.
Isso acarreta uma confusão do entendimento de cada uma dessas áreas quanto à
sua responsabilidade, e é muito comum ver atividades sobrepostas, duplicidades
de avaliação, execução de controle entre elas.

Como estabelecem as boas práticas de controles internos do COSO, o
ambiente interno deve ser avaliado, identificado e tratado adequadamente,
pois, quando esse ambiente está enfraquecido, e suas políticas e seus
procedimentos estão desatualizados, temos sérios problemas operacionais
para serem tratados.
Quando não damos a devida atenção aos processos de gestão de

competências, como já comentado anteriormente, pela falta de visão da cadeia
de valores ou dos seus ciclos de negócios, podemos prejudicar muito o
processo de governança e gestão da organização.

O aperfeiçoamento do processo de sensibilização da estrutura das Três Linhas
deve considerar os diversos mecanismos de melhoria da cultura, seja por meio
de palestras, oficinas de trabalhos, treinamentos, ensino a distância (EaD), seja
por meio de outras formas de transferência de conhecimento.
Isso é essencial para o fortalecimento e amadurecimento da organização nos

processos de governança, riscos e compliance (GRC), de maneira que os
diversos níveis de gestão estejam preparados para compreender e executar
suas responsabilidades de forma clara e coordenada conforme proposto no
modelo das Três Linhas.

Nesse sentido, as funções de asseguração são desempenhadas por fontes
internas e externas que reportam seus resultados a toda a estrutura da
governança corporativa envolvendo sócios, conselho de administração,
órgãos de fiscalização e controle, corpo administrativo, a primeira, segunda
e a terceira linhas.
Ainda com relação às funções e aos programas de asseguração, podemos

citar: auditorias internas e externas, programa de compliance, gestão de
riscos, auditorias ambientais, social e de saúde e segurança, auditorias de
reguladores e de partes interessadas, como, por exemplo, clientes,
parceiros, programas do sistema de controles internos, entre outros.

Relatório gestão de
riscos corporativos
Relatórios de sustentabilidade
Relatório auditoria
independente Alto
Relatório de Governança Baixo
Corporativa
Carta de controles internos
Auditor independente
Relatório de Governança Médio
Relatórios de auditoria
interna Muito baixo
Relatórios Global
Report Initiative Relatórios riscos
Necessita melhorias ambientais
significativas Relatórios de risco
operacional
Baixo
Relatórios de risco
Moderado
de terceiro
Médio
Relatórios gerenciais
executivos
Critico Relatórios de saúde
Relatórios de controles e segurança
internos
Relatórios de compliance
Baixo
Muito alto
Moderate

Dicas para identificar as funções, as fontes e os programas de asseguração da
companhia.
Compreender o contexto de asseguração da companhia é fundamental:
✓ Identifique todas as funções de asseguração aplicáveis à companhia;

✓ Compreenda quais são as fontes internas e externas que provêm asseguração;
✓ Compreenda quais são os programas de cada uma das funções e fontes de asseguração;
✓ Compreenda o calendário de execução de cada uma das funções e fontes de asseguração (em geral
sugere-se o calendário de um ano fiscal);
✓ Identifique os resultados de cada um dos programas de todas as funções e fontes e como estas se
relacionam.
Esse levantamento deve considerar 100% das fontes de asseguração da companhia.

Para aumentar a efetividade da rede de asseguração combinada, é vital que o conceito de Três Linhas
esteja claramente definido e funcionando na companhia. Compreender qual é o caminho a ser
percorrido, mesmo considerando os desafios, é vital para o sucesso.
Alguns especialistas diriam que as batalhas têm crescido constantemente entre as funções de
asseguração de gestão de riscos e as funções de controle, portanto deveria:
A função de compliance é se reportar à área jurídica ou ser independente?

Acreditamos que deveria reportar diretamente ao conselho de administração. Caso não possua, seria
diretamente ao presidente.
A função de compliance e de auditoria interna devem ser combinadas?

Caso as empresas tenham bem definidas as suas funções e obrigações, e fazendo que o trabalho seja
complementar, um focado na eficiência e outros na eficácia. Respectivamente, porém cabe salientar que
esse não é o modelo ideial, e a auditoria perderia a independência.

A função de auditoria interna deve assumir também a gestão de riscos ou vice-versa?
Depende do tamanho da organização e do prazo que o trabalho será realizado, tendo em vista que
devemos evitar conflitos de interesses e sobreposições de funções no processo
Cabe salientar que, quando a auditoria interna assume alguma atividade da segunda linha, ela perde a
independência em relação às funções que assumiu, devendo recorrer a um recurso externo, no caso da
necessidade de uma avaliação independente sobre essas áreas.
Também é fundamental entender qual é o setor em que a empresa atua, o nível de regulação e se
permite essas combinações.
Geralmente a auditoria interna acolhe essas atividades como processo de implantação dessas funções e,
quando a área atinge um nível de maturidade elevado, passa a reportar aos níveis adequados.

Dicas para identificar as linhas da organização
Identifique um representante na primeira linha:
✓ De posse da estrutura organizacional, identifique com o líder um representante da primeira linha que será o
ponto focal do modelo das Três Linhas;
✓ Quanto mais pessoas estiverem envolvidas na primeira linha, maior chance de sucesso na implementação
do modelo das Três Linhas e maior efetividade da rede de asseguração combinada.
Compreenda exatamente quais são as segundas linhas:

✓ De modo geral estão na segunda linha todas as funções que exercem o papel de supervisão e
monitoramento de riscos e controles.
Compreenda como é exercida a função de auditoria interna (terceira linha):

✓ É importante compreender como o plano anual de auditoria está relacionado com a abordagem baseada
em riscos;
✓ É importante compreender a metodologia utilizada pela auditoria para a identificação de riscos, falhas de
controles e eventos de perdas, assim como as classificações utilizadas para os resultados dos trabalhos.

Quanto às responsabilidades do corpo administrativo, devem garantir
que as estruturas e os processos estejam implementados
adequadamente, em outras palavras, que não sejam somente
documentos, que tenham efetividade e possam permitir um processo
de governança eficaz.
Cuidado quando misturar as responsabilidades de cada um desses

níveis, tendo em vista que o conselho de administração tem como função
primordial estabelecer a estratégia, delegar e supervisionar a diretoria
executiva que, por sua vez, delega e supervisiona as áreas de gestão
corporativas por meio de seus departamentos e gestores.

Agora vem o grande desafio: como delegar responsabilidades e
fazer com que os objetivos sejam alcançados?
Esse é o dilema que enfrentamos todos os dias, pois a atividade não é
somente delegar uma função e, devemos repassar os riscos também;
porém, em muitos casos, as pessoas usam isso como ferramenta de
poder, e o apego também prejudica a gestão dos negócios. Imaginem
os riscos, portanto, quando delegar a responsabilidade.
Devemos repassar tudo, garantir que as expectativas legais,
regulatórias e éticas estejam sendo atendidas; por isso, é sempre bom
documentar por meios de políticas que determinam as diretrizes e os
procedimentos, e evidenciam como os controles e processos estão
sendo executados.

Principais conceitos envolvidos nas práticas das Três Linhas

No processo de gestão, foca nos papéis da primeira linha no corpo
administrativo e direcionamento de ações na aplicação de recursos para
atingir os objetivos da organização, mantendo diálogo contínuo com o
corpo administrativo e reportando resultados planejados, reais e
esperados, vinculados aos objetivos da organização, e seus riscos.
Além disso, estabelecer e manter estruturas e processos apropriados para a

gestão de operações e riscos, incluindo o controle interno, que possa
garantir a conformidade com as expectativas legais, regulatórias e éticas.

Muitos gestores estão focados nas tarefas e não no processo, muito
menos no próposito e na missão da empresa, o que realmente ela
entrega a seus clientes e a todas as partes interessadas.
Muitas organizações têm repensado seus propósitos e como fazem para
realizá-los.
Se esses conceitos fossem mais bem esclarecidos, ficaria muito mais
fácil para os gestores endenderem seu papel de primeira linha no
modelo das Três Linhas.

No que tange aos papéis e às responsabilidades da segunda linha,
devemos evidenciar que é de suma importância fornecer expertise
complementar, apoio, monitoramento e questionamento quanto à
gestão de riscos, incluindo o desenvolvimento, a implantação e a
melhoria contínua das práticas de gestão de riscos.
Mais uma vez inclui-se o controle interno, que facilita na

evidenciação das atividades implementadas nos níveis de processo
e sistemas da entidade, e muito mais.

E não podia faltar a terceira linha, exercida pela auditoria interna,
que deve manter a prestação de contas primária perante o corpo
administrativo e sua independência das responsabilidades da gestão.
Tem como função comunicar a avaliação e fornecer uma assessoria

independente e objetiva à gestão e ao corpo administrativo sobre a
adequação e eficácia da governança e da gestão de riscos. E, aqui
também, abrange o controle interno, para apoiar o atingimento dos
objetivos organizacionais e promover e facilitar a melhoria contínua.

Ainda temos algumas referências sobre os prestadores externos de avaliação que
poderão cumprir com as expectativas legislativas e regulatórias que servem para
proteger os interesses das partes interessadas e atender aos pedidos da gestão e
do corpo administrativo para complementar as fontes internas de avaliação.
Portanto, entendemos que podemos gerar mais valor aos negócios desde que
tenhamos processos bem estabelecidos e com profundidade operacional e
sempre que buscamos formas de melhoria na governança e na gestão, devemos
buscar um processo de criação de sinergia e melhoria da gestão de riscos,
controles internos, compliance e auditoria, para proteção dos negócios.

Cabe refletir que não há um modelo único para implementar as Três Linhas e integrá-
las à rede de asseguração combinada maximizando seu valor e minimizando a fadiga
de asseguração nas companhias
Para entender a correlação das práticas das Três Linhas, assim como seus pontos de
conexão, temos que compreender a associação de riscos, falhas de controles e eventos
de perdas.
Para iniciar essa reflexão, formulamos conceitos bem simples

Termo Definição Exemplo prático
É a possibilidade de ocorrer um evento que possa ter impacto na realização de
objetivos de negócios.
Acesso ou modificação não autorizada a
Risco Muitas vezes é medido em termos de potencial probabilidade e impacto, incluindo dados pessoais.
uma combinação de consequências financeiras, reputações, legais, ambientais,
sociais, entre outras.
É um problema conhecido que merece remediação.
Ausência de inventário e monitoramento
Pode ser um controle ausente ou fraco, vulnerabilidade conhecida, uma auditoria ou dos usuários com perfil de
descoberta regulatória, um desvio de política ou o fato de que um risco excede um administradores dos bancos de dados,
Falha de controle nível de tolerância aceitável e precisa ser reduzido. relacionados a identificação dos usuários
(próprios e terceiros) e ao registro de
Esse problema é apresentado na forma de uma declaração de falha de controle, um
login de modificação dos dados e login
plano de remediação é criado para resolver a falha de controle e, em seguida, essa
das transações realizadas.
falha de controle deve ser rastreada para garantir que ele seja corrigido.
Relativamente a riscos, um evento é a materialização de um impacto negativo no
negócio. Multas por descumprimento da Lei Geral
Um único evento de risco pode ter múltiplos impactos de diferentes tipos, incluindo de Proteção de Dados (LGPD)
impactos no EBIT (Earnings Before Interest and Taxes) ou no preço das ações da
Evento de perda empresa.
Ações civis de pessoas naturais que
Um evento pode ou não resultar em perda financeira real. tiveram seus dados manipulados sem
Em alguns casos, a perda pode ser evitada, seja por ações tomadas pelo negócio ou autorização.
outros, ou seja, apenas boa sorte.

A primeira linha tem como responsabilidade a execução da gestão, seja alta ou
média gestão, bem como os tomadores de decisão, que, em certos casos, são os
comitês internos, para que os executores do processo de gestão de riscos e dos
sistemas de controles internos da organização estejam alinhados e no mesmo
propósito.
A segunda linha é exercida pelas áreas e por profissionais de suporte e apoio

operacional da primeira linha; portanto, a segunda linha tem como objetivo principal
apoiar a gestão na tomada de decisão, sendo assim uma forma para que possam
cumprir suas responsabilidades de gestores de seus processos, fornecendo
conhecimento e ferramentas adequadas para que esse processo esteja em
conformidade e produzindo resultados planejados. Nessa linha estão os especialistas
em controles internos, gestão de riscos, segurança da informação, processos,
compliance, financeiro, qualidade e outros profissionais de apoio.

A terceira linha foca na atividade de auditoria interna, a qual tem como objetivo
uma avaliação objetiva e independente da gestão dos riscos, controles e
governança da organização, sempre que possível assessorando a organização de
forma preventiva e segura. Acreditamos que em certos casos seja até educativa,
tendo em vista que devemos melhorar os processos e permitir a confiança a todos
os envolvidos nos processos.
Portanto, o resultado é o estabelecimento de comunicação mais efetiva, em que

as oportunidades de melhoria sejam identificadas dentro de cada um dos
processos, sempre que possível alinhados ao planejamento estratégico, tático e
operacional.
Essa nossa sugestão tem como objetivo favorecer o fluxo dos processos com
resultados aderentes e auditáveis.

O que são as Três Linhas na prática

Como começou o modelo das Três Linhas do IIA
Diversos fatores foram os motivadores para a elaboração de um modelo de

atuação nos temas de gestão de riscos e de controles internos, entre eles:
i. a necessidade de resposta aos diversos escândalos contábeis e éticos

ocorridos nas últimas décadas;
ii. o aumento da complexidade dos negócios;
iii. a velocidade das transformações do mundo corporativo;
iv. a necessidade de transparência das organizações;
v. a melhoria no ambiente de riscos e controles.
Nas duas últimas décadas, várias leis e referências surgiram no sentido de

aprofundar o tema de gestão de riscos e de controles internos, destacando papéis
e responsabilidades e incentivando o fortalecimento da governança corporativa.

Nesse sentido, podemos destacar a Lei Sarbanes-Oxley, publicada em julho de
2002, como um dos principais marcos para a melhoria de gestão de riscos e
controles no mundo corporativo, vigente há duas décadas.
Em 2010, a União Europeia, em seu 8th European Company Law Directive,

publicou uma diretriz para os conselhos de administração e comitês de auditoria,
que dizia:
“[...] O comitê de auditoria deve monitorar a eficácia do controle interno da

empresa, auditoria interna, quando aplicável, e sistemas de gestão de riscos [...]”.

Publicado como “mais evolução do que revolução”, o modelo das Três Linhas atualizado visa a
ajudar as companhias a “identificar estruturas e processos que melhor auxiliam a realização dos
objetivos e facilitam uma forte governança e gestão de riscos” (IIA, 2020, p. 1).
Uma das mudanças mais significativas e bem-vindas é a que destaca a “contribuição da gestão de
riscos para alcançar objetivos e criar valor, bem como para questões de “defesa” e proteção de
valor” (IIA, 2020, p. 1).
Isso agora está mais alinhado à missão atualizada da auditoria interna, para fornecer “previsão”,
bem como “percepção”, e as ferramentas de gestão de riscos que gerem valor.
O novo modelo também coloca maior ênfase na governança e, semelhante aos movimentos nos
últimos anos em vários setores, em uma governança “baseada em princípios”, em vez de
conformidade. O novo modelo das Três Linhas destaca seis princípios-chave, anteriormente
mencionados, nos quais se baseia.

Princípio Descrição
Princípio 1 – Governança A governança de uma organização requer estruturas e processos apropriados que permitam prestação de
contas, ações, avaliação e assessoria.
Princípio 2 – Papéis do O corpo administrativo garante que estruturas e processos adequados estejam em vigor para uma
corpo administrativo governança eficaz, bem como os objetivos e as atividades organizacionais estejam alinhados com os
interesses priorizados pelos stakeholders.
Princípio 3 – Gestão e os A responsabilidade da gestão para atingir os objetivos organizacionais compreende os papéis da primeira e
papéis da primeira e segunda linhas.
segunda linhas
1.Os papéis de primeira linha estão mais diretamente alinhados com a entrega de produtos e/ou serviços aos
clientes da organização, incluindo funções de apoio. Os papéis de segunda linha fornecem assistência na
gestão de riscos.
2.Os papéis de primeira e segunda linhas podem ser combinados ou separados. Alguns papéis de segunda
linha podem ser atribuídos a especialistas para fornecer conhecimentos complementares, apoio,
monitoramento e questionamento àqueles com papéis de primeira linha.
Os papéis de segunda linha podem se concentrar em objetivos específicos da gestão de riscos, como
conformidade com leis, regulamentos e comportamento ético aceitável; controle interno; segurança da
informação e tecnologia; sustentabilidade; avaliação da qualidade. Como alternativa, os papéis de segunda
linha podem abranger uma responsabilidade mais ampla pela gestão de riscos corporativos (Enterprise Risk
Management – ERM). No entanto, a responsabilidade pelo risco segue fazendo parte dos papéis de primeira
linha e dentro do escopo da gestão.

Princípio Descrição
Princípio 4 – Papéis da A auditoria interna presta avaliação e assessoria independentes e objetivas sobre a adequação e eficácia da
terceira linha governança e da gestão de riscos. Isso é feito por meio da aplicação competente de processos sistemáticos e
disciplinados, expertise e conhecimentos. Ela reporta suas descobertas à gestão e ao corpo administrativo para
promover e facilitar a melhoria contínua. Ao fazê-lo, pode considerar a avaliação de outros prestadores internos e
externos.
Princípio 5 – A A independência da auditoria interna em relação a responsabilidades da gestão é fundamental para sua
independência da objetividade, autoridade e credibilidade. É estabelecida por meio de prestação de contas ao corpo administrativo;
terceira linha acesso irrestrito a pessoas, recursos e dados necessários para concluir seu trabalho; liberdade de viés ou
interferência no planejamento e prestação de serviços de auditoria.
Princípio 6 – Criação e Todos os papéis que trabalham juntos contribuem coletivamente para a criação e proteção de valor quando estão
proteção de valor alinhados entre si e com os interesses priorizados pelos stakeholders. O alinhamento das atividades é feito por
meio de comunicação, cooperação e colaboração. Isso garante a confiabilidade, coerência e transparência das
informações necessárias para a tomada de decisões com base em riscos.
Fonte: IIA (2020).

Temos muito a perder quando despendemos energia sem sinergia. Se não tivermos
uma abordagem coesa e bem coordenada, sabendo que os recursos são sempre bem
limitados, a gestão de riscos e os sistemas de controles internos podem não ser
devidamente identificados e gerenciados. Os riscos significativos não serão
devidamente monitorados e supervisionados, deixando de lado a boa gestão por falta
de planejamento.
Na pior das hipóteses, a falta de comunicação entre os especialistas de gestão de

riscos e do sistema de controles internos pode levar a organização a gerar inúmeros
documentos, fluxos e processos sem conexão, podendo incorrer no erro de gastar
mais tempo debatendo quem é o culpado, ao invés de buscar uma solução.
Esse é um problema que existe em qualquer organização, independentemente do

tamanho ou do negócio em que atua, conforme explicado no conceito de asseguração
anteriormente descrito.

No mundo corporativo atual, geralmente encontramos diversas equipes de
auditores internos, especialistas em gestão e monitoramento de riscos corporativos.
Há também especialistas de compliance, controles internos, gestores de qualidade,

meio ambiente, saúde e segurança, práticas sociais, sustentabilidade, segurança
da informação, especialistas em prevenção a fraudes, em prevenção à lavagem de
dinheiro e outros profissionais que têm a função de fornecer suporte para a gestão
de riscos e controles internos nas organizações.
Esses profissionais trabalham em conjunto para ajudar sua empresa a gerenciar os

tão falados e temidos riscos empresariais.

Entendemos que uma das principais necessidades é a definição de papéis e
responsabilidades de cada uma das funções e, apesar de parecer uma tarefa
simples, há de se considerar que existem dúvidas em relação aos limites de cada
função quando incorporadas ao modelo das Três Linhas.
Já identificamos, em algumas empresas, alguns especialistas buscando ser

protagonistas dos processos corporativos; no entanto, sabemos que esses
protagonismos devem ser da primeira linha (área de negócio).
Também acreditamos que as funções de segunda e a terceira linhas devem prover

suporte, supervisão e monitoramento; caso contrário, podemos afirmar, sem medo
de errar, que os processos corporativos não estão sendo realizados
adequadamente e precisamos intervir para justificar as possíveis não conformidades
existentes.

Cada uma dessas especialidades, relacionadas às segunda e terceira linhas, tem
perspectivas únicas, em certos casos, bem personalizadas e certas habilidades bem
específicas na busca para agregar valor às organizações a que prestam seus
serviços.
No entanto, já que as atividades relacionadas à gestão de riscos e controles estão

sendo cada vez mais divididas entre diversos departamentos, processos e setores,
o trabalho deve ser coordenado com cuidado, para garantir que os processos de
gestão de riscos e de controles internos sejam conduzidos como determinado pela
alta administração ou corpo administrativo, segundo a nova versão das Três Linhas
do IIA.

O modelo apresenta de maneira bastante lúdica um novo ponto de vista sobre as
operações, favorecendo a garantia do sucesso contínuo das iniciativas de gestão de
riscos, e o mais importante: pode ser aplicado a qualquer organização,
independentemente do tamanho e de seu porte.
Embora a organização ainda não comporte um sistema formal de gestão de risco, é

importante questionar quando ele será necessário.
O modelo das Três Linhas pode, sem sombra de dúvida, melhorar a forma de
apresentação da gestão dos riscos e controles e auxiliar no aumento da eficácia
dos sistemas e processos de gestão, fortalecendo, assim, as práticas de asseguração
combinada.

O modelo apresenta de maneira bastante lúdica um novo ponto de vista sobre as
operações, favorecendo a garantia do sucesso contínuo das iniciativas de gestão de
riscos, e o mais importante: pode ser aplicado a qualquer organização,
independentemente do tamanho e de seu porte.
Embora a organização ainda não comporte um sistema formal de gestão de risco, é

importante questionar quando ele será necessário.
O modelo das Três Linhas pode, sem sombra de dúvida, melhorar a forma de
apresentação da gestão dos riscos e controles e auxiliar no aumento da eficácia
dos sistemas e processos de gestão, fortalecendo, assim, as práticas de asseguração
combinada.

Segundo o terceiro princípio das Três Linhas do IIA, que faz menção à gestão e aos papéis da
primeira e segunda linhas, fica bem claro que a responsabilidade da gestão por atingir os objetivos
organizacionais compreende os papéis da primeira e segunda linhas, e quanto mais alinhadas
estiverem, melhor será a forma de fazer isso acontecer.
Fica aqui a nossa dica: a primeira linha deve ser apoiada pela segunda linha, mas como isso
acontece?
Vamos pensar na seguinte situação: o gestor de uma área necessita entender que as
responsabilidades pela gestão de riscos e pelo sistema de controles internos devem partir dele e da
equipe, mas como responsabilizá-lo se o próprio gestor desconhece as metodologias do COSO, as
normas ISO que temos implementado em nossa organização, entre outros processos e
metodologias?
Portanto, cabe à segunda linha proporcionar apoio e suporte técnico para exercer a sua função,
conforme preconiza o modelo das Três Linhas.

Então os papéis de primeira linha estão mais diretamente alinhados com a entrega de produtos e/ou
serviços aos clientes da organização, incluindo funções de apoio, em que os papéis de segunda linha
fornecem assistência à gestão de riscos. Segundo essa nova versão das Três Linhas, os papéis de
primeira e segunda linhas podem ser combinados ou separados.
Quais seriam os papéis de segunda linha? Podem ser atribuídos a especialistas, para fornecer
conhecimentos complementares, apoio, monitoramento e questionamento àqueles com papéis de
primeira linha. Os papéis de segunda linha podem se concentrar em objetivos específicos da gestão de
riscos, como:
✓ conformidade com leis;

✓ regulamentos e comportamento ético aceitável;
✓ controle interno;
✓ segurança da informação e tecnologia;
✓ sustentabilidade;
✓ avaliação da qualidade.

É importante refletir porque há tantos desafios e problemas no aculturamento
da primeira linha.
Geralmente pela falta de entendimento do papel e da responsabilidade,

bem como do grau de importância na gestão dos processos e controles
internos.
Muitas vezes a segunda linha ouve dos gestores, quando tratam dos temas de
gestão de riscos e melhorias do sistema de controles internos, o seguinte
questionamento:
“Eu tenho que fazer o seu trabalho?”.
Nesse ponto, afirmamos que sim, essa responsabilidade é da primeira linha.

As responsabilidades dos indivíduos nas funções de segunda linha variam amplamente, mas
geralmente incluem:
i. Auxiliar o corpo administrativo no desenho e na implementação das práticas de gestão de riscos e

controles internos;
ii. Definir atividades para monitorar e como medir o sucesso em comparação com as expectativas do
corpo administrativo;
iii. Monitorar a adequação e eficácia das atividades de controle interno;
iv. Escalar questões críticas, riscos emergentes e pontos fora da curva (outliers);
v. Fornecer os frameworks integrados de cada uma das funções de asseguração da segunda linha;
vi. Identificar e monitorar problemas conhecidos e emergentes que afetam os riscos e controles da
companhia;
vii. Propor e identificar mudanças no apetite e tolerância ao risco implícito da organização;
viii. Fornecer orientação apropriada a todos da organização em relação aos frameworks específicos de
cada função por meio da operacionalização de processos, treinamentos, ferramentas e
procedimentos;
ix. Realizar a supervisão do funcionamento da asseguração de sua função.

O monitoramento pelas funções de asseguração da segunda linha deve ser adaptado para
atender às necessidades específicas da companhia. Normalmente, essas atividades são
separadas das atividades operacionais do dia a dia.
Em muitos casos, as atividades de monitoramento estão dispersas por toda a organização.

Em algumas organizações, no entanto, as funções de monitoramento podem ser limitadas a
uma ou a algumas áreas.
Cada função de segunda linha tem algum grau de independência das atividades que
constituem a primeira linha, mas são, por natureza, funções de gestão. Essas funções de
segunda linha podem desenvolver, implementar e/ou modificar diretamente o controle
interno e os riscos dos processos da companhia.

Função da segunda linha Nome do programa
Gestão de riscos Programa de autoavaliaçao de riscos e controles
Gestão de riscos Gestão de falhas de controles
Gestão de riscos Gestão de eventos de perdas
Compliance Programa de integridade
Compliance Programa de due diligence de terceiros
Compliance Programa de avaliação de riscos de compliance
Compliance Programa de avaliação dos riscos de fraude
Segurança da informação Programa de avaliação de segurança de informação de projeto
Segurança da informação Programa de avaliação de segurança de informação em ativos de informação
Segurança da informação Programa de avaliação de segurança da informação de terceiros
Segurança da informação Programa de teste de intrusão (teste de penetração) de segurança em vulnerabilidades

Segurança da informação Programa de prevenção a perda de dados (data loss prevention)
Segurança física Programa de segurança patrimonial
Continuidade de negócio Programa de continuidade de negócio
Continuidade de negócio Programa de gestão de crises
Continuidade de negócio Plano de respostas a incidentes
Continuidade de negócio Plano de recuperação de desastres
Continuidade de negócio Programa de avaliação de continuidade de negócio de terceiros
Sustentabilidade Programa de saúde e segurança
Sustentabilidade Programa de meio ambiente
Sustentabilidade Programa de responsabilidade social

Gestão de riscos na Governança Corporativa

Embora os órgãos de governança não façam parte da execução das três linhas
nesse modelo do IIA, nenhuma discussão sobre gestão de riscos estaria
completa sem considerar, em primeiro lugar, os papéis essenciais dos órgãos de
governança (i.e., conselho de administração e órgãos equivalentes).
Os órgãos de governança são as principais partes interessadas atendidas pelas

linhas, que tomam decisões com base nas informações de asseguração e são as
partes em melhor posição para assegurar que o modelo das Três Linhas seja
aplicado aos processos de gestão de riscos e do sistema de controles internos
da organização, ou seja, sem apoio e participação do corpo administrativo,
nada disso é possível, e serão somente declarações descritas em relatórios e
políticas.

Como integrar a gestão dos riscos com a estratégia, a
governança corporativa e o controle interno?
4 EDUCAR
3 AVALIAR
2 NORMATIZAR
SINERGIA
1 PROPÓSITO DA ORGANIZAÇÃO
CAPACITAÇÃO
RISCOS
COMPLIANCE
QUALIDADE
Ter riscos é inerente a qualquer
negócio, o grande problema é
não saber quais são os riscos a
que estamos expostos,
inviabilizando uma gestão
preventiva e sustentável.
Por Marcos Assi

NEGÓCIO
1 8 GESTÃO DE
RISCOS
CONTROLES
INTERNOS
2 7 AUDITORIA
COMPLIANCE
3 6 SEGURANÇA
INFORMAÇÃO
PROCESSOS
4 © Todos os direitos reservados – proibida a reprodução
5 QUALIDADE
Gestão de Riscos Estratégicos
A Gestão de Riscos Estratégicos é primordial para a condução das estratégias e
atingimento de seus objetivos, à medida que possibilita o estabelecimento
adequado de diretrizes e controles conforme o apetite ao risco, prevenindo,
desta forma, surpresas indesejadas, como a concretização de riscos inesperados,
bem como, a perda de oportunidades.
As incertezas permeiam a estratégia, os processos, as atividades e as áreas de

qualquer organização. É dever do gestor que, de forma proativa, se antecipe as
incertezas, estabelecendo um processo estruturado e robusto de Gestão de
Riscos proporcionando garantia razoável de que os objetivos sejam alcançados.

Ajuste de Capital Humano ou HC – Human Capital

Gestão Integrada de Riscos
Auditoria
Compliance
Interna
Gestão De Gestão do
Riscos Conhecimento
Controles
Internos
(PROCESSOS)

GESTÃO DE RISCOS CORPORATIVOS

20% tendem a se corromper
Gerenciamento de risco de
fraude
60% são honestos, mas suscetíveis a desvios,
caso a situação permita
Gerenciamento da ética
Código de conduta
Controles internos
Denúncias anônimas
“O exemplo vem de cima”, chefia,
autoridades
20% são honestos
Dispensam medidas
preventivas
Maior impacto de um programa de integridade

Fonte: do autor

Expectativas reais de consequência
Expectativa de
controle e
PROBABILIDADE
...reduzem a chance de uma tomada de decisão delitiva.

Probabilidade e decisão
Vale a pena?
Vou ser pego?
O que eu ganho?
Se for pego, o
que acontece?

MÉTODO
FORMA DE FAZER PLANO RITOS
ACOMPANHAMENTO ENGA JAMENTO
Não existe GAMBIARRA na gestão de processos

Modelo de Excelência em Gestão (MEG)
Por Luiz Buosi

Princípios básicos dos fundamentos
Pensamento sistêmico - É preciso que todos os colaboradores tenham o entendimento de
que todas as atividades da organização possuem relação de interdependência
Aprendizado organizacional e inovação - Para ser competitiva no mercado, toda

organização, seus colaboradores e redes precisam sempre buscar novos patamares de
competência,
Liderança transformadora - Corresponde à atuação dos líderes de forma ética, inspiradora,
exemplar e comprometida com a excelência, sempre atenta aos cenários e tendências e
seus possíveis impactos para a organização e as partes interessadas
Compromisso com as partes interessadas - É preciso o entendimento das necessidades e

demandas, bem como o estabelecimento de pactos com as partes interessadas.
Por Fundação Nacional de Qualidade (FNQ)
Princípios básicos dos fundamentos

Adaptabilidade - Toda organização tem de ter flexibilidade e capacidade de mudança em
tempo hábil.
Desenvolvimento sustentável - Corresponde ao compromisso da organização em

responder pelos impactos de suas decisões e atividades, na sociedade e no meio ambiente
Orientação por processos - Neste Fundamento, fica clara a importância dos processos,
que devem ser gerenciados visando à busca da eficiência e da eficácia nas atividades
Geração de valor - De nada valeria todos os esforços se eles, no final, não estivessem
voltados para o alcance de resultados econômicos, sociais e ambientais, bem como de
resultados dos processos
Por Fundação Nacional de Qualidade (FNQ)

Processo de identificação
Inventário de Processo
Atividade Operacional Objetivo da Atividade Operacional

Seq. Processo
Descrição Descrição

Gerenciamento de Riscos
Normas
Riscos Operacionais
Causa
Consequência ou
Probabilidade Impacto Classificação Relacionadas
Efeito
Descrição

Classificação dos Controles
Atividade de Controle
Tipo de Controle Natureza do controle Frequência do controle Componente do Coso
Descrição
Manuall Preventivo Diário Ambientes de Controles
Automático Detectivo Semanal Avaliação de Riscos
Ambosl Contabil Quinzenall Atividades de Controles
Terceiros Administrativo Mensal Informação e

Comunicação
Operacional Trimestral Atividades de
Monitoramento

Proposta de Controle Monitoramento

Fatores críticos de sucesso

Avaliação, Indicadores e monitoramento dos processos
Entradas Processo Saidas

Na realidade o que é monitoramento?
Agentes de Gestão de Riscos realizam o interface do gerenciamento das atividades de cada

departamento com o as respectivas diretorias. Entre essas atividades que exigem a
disponibilização tempestiva de informações, para a alimentação de sistemas de gestão de riscos,
a elaboração de planos de mitigação de riscos e participação na elaboração de planos de
continuidade de negócios.
Cadeia de valor é a representação lógica dos processos de trabalho ou conjunto de atividades

que criam valor para a organização.
Matriz de riscos: gráfico que relaciona a probabilidade e o impacto de eventos de risco. Em

geral, eventos de risco avaliados com alto impacto e alta chance de ocorrência recebem a cor
vermelha no gráfico. Eventos na faixa intermediária recebem a cor amarela e eventos com baixa
chance de ocorrência e/ou baixo impacto recebem a cor verde.

113
Na realidade o que é monitoramento?
Perda esperada: é a soma do produto das probabilidades de inadimplência pelo valor perdido em
caso de default da contraparte.
Perda inesperada: é uma medida da variabilidade associada à perda esperada.
Resiliência: capacidade de voltar ao estado normal de operação.
Tolerância a risco: reflete o risco que uma organização está disposta a aceitar para alcançar
seus objetivos.
Valor em Risco: valor numérico associado a um nível de confiança estatística e horizonte de

tempo, utilizado como medida de risco financeiro.

114
Estruturas Cultura, Ética e
Processos
Organizacionais Comportamento
Princípios, Políticas e Melhores Práticas
Recursos
Serviços,
Pessoas, Habilidades
Informação Infraestrutura e
e Competências
Aplicativos

Elaboração/Revisão de
Análise do regulatório e Mapeamento dos
documentos padrão
da Estrutura processos, Identificação e
(Norma / Política/POP/
Organizacional da área análise dos riscos
IT/Formulário /ATA)
Auditorias Contínuas
baseada em Riscos
Estrutura Comunicação dos riscos
mapeados
Treinamento de Gestão de
Monitoramento dos Definição de Planos de
Processos com as áreas
Controles e Indicadores Ação
envolvidas

Quando nos referimos aos fatores críticos de sucesso em uma empresa, devemos avaliar
quais são os postos-chave dos processos que, quando bem executados, podem definir e
garantir, mesmo que parcialmente no desenvolvimento e no crescimento de uma empresa e
seu negócio, com a meta de atingir seus objetivos estratégicos.
Mas, em contrapartida, quando estes mesmos fatores são negligenciados ou ignorados,

contribuem e muito para o fracasso da empresa ou do empreendimento, por isso
mencionamos que garantimos parcialmente os resultados, pois dependemos de pessoas na
execução das suas funções operacionais.

Os fatores críticos de sucesso necessitam ter conhecimento de seus processos de negócios e
para isso devem e precisam ser encontrados através de um estudo aprofundado dos próprios
objetivos da empresa, derivando de sua missão, sua visão e seus valores, tornando-
se referências obrigatórias e fundamentais para que a empresa sobreviva, seja competitiva e
tenha sucesso, seja qual for o segmento

Fatores críticos de sucesso também ajudam os gestores a definir as principais diretrizes para a
implementação do controle de processos e da governança de TI no dia a dia da empresa e no
modelo de administração das empresas. Exemplos de alguns fatores críticos de sucesso:
✓ Reputação de solidez financeira,

✓ Qualificação da administração,
✓ Conhecimento do mercado,
✓ Imagem com os stakeholders,
✓ Equipamentos disponíveis,
✓ Relacionamento com os fornecedores,
✓ Expertise no controle de custos,
✓ Localização (ponto),
✓ Linhas de produtos e serviços,
✓ Expertise nos canais de distribuição e logística,
✓ Expertise em campanhas promocionais.

Outro critério que se deve observar na implementação do processo de inteligência
competitiva é entender que ele é feito por meio da coleta e análise de informações,
proporcionando a antecipação às necessidades e exigências do mercado no segmento de
atuação da empresa. Isso se torna possível quando a empresa é gerenciada por profissionais
com visão estratégica, que segundo nossa experiência, facilita muito.
Aliás, a inteligência competitiva determina que é necessário saber gerenciar os dados sobre o
mercado, que neste caso estamos falando de consumidores, concorrência e fornecedores,
entre outros de maneira também estratégica.

O ciclo da inteligência competitiva acontece em quatro fases distintas, sendo elas:
1. Planejamento: é a etapa de estudo preliminar em relação a um determinado problema.

Com identificação dos procedimentos necessários que são estabelecidos;
2. Coleta: consiste no processo de obtenção de informações que, posteriormente, serão

transformadas em dados úteis para a análise;
3. Análise: é o ponto do sucesso, pois a inteligência é gerada por meio da análise dos dados
obtidos na etapa anterior;
4. Disseminação: trata-se da última etapa do ciclo e se resume à remessa de inteligência

formalizada, demonstrada de maneira lógica e de fácil assimilação para o usuário da
informação, conhecido como gestores da empresa.

Você já ouviu falar sobre a metodologia DMAIC?
Explicando de modo simples, essa metodologia é uma das ferramentas mais utilizadas na
gestão de qualidade em pequenas, médias e grandes empresas.
Além disso, é responsável por diminuir desperdícios, amenizar falhas, solucionar problemas,
melhorar processos e dar uma visão mais ampla e detalhada de tudo que acontece dentro
da organização, garantindo um maior controle da equipe sobre essas atividades.
Indo além, gostaria de acrescentar, que a ferramenta DMAIC proporciona o desenvolvimento

do planejamento estratégico, pois permite ser feito de forma mais quantitativa e organizada,
aumentando sua eficiência.

Mas o que exatamente significa DMAIC? Bom, a sigla DMAIC significa:
✓ Definir,
✓ Medir,
✓ Analisar,
✓ Melhorar (Improve, em inglês), e
✓ Controlar.

Já ficou mais claro que o uso dessa metodologia se desenvolve nos processos? Essa
ferramenta possui um roteiro de 5 etapas, elaborado a partir da metodologia Lean Six Sigma,
que também ajuda as empresas a utilizar a análise dos dados da gestão em prol das tomadas
de decisões.
Os principais objetivos da metodologia DMAIC são:
✓ Melhorar os processos e impulsionar a gestão de qualidade da empresa;

✓ Focar constantemente no aprimoramento das atividades e dos produtos;
✓ Levar a empresa a alcançar maior sucesso e destaque;
✓ Entregar serviços cada vez melhores para os consumidores;
✓ Utilizar ao máximo seus recursos disponíveis

Módulo de prática e estudo de caso - STM

Muito Obrigado a todos pela paciência e participação
Prof. MSc. Marcos Assi
marcos.assi@massiconsultoria.com.br
Blog do Assi: www.marcosassi.com.br
http://twitter.com/PROF_MASSI
Facebook: Marcos Assi
br.linkedin.com/in/marcosassi/

Gestão Das Tres Linhas - MASSI 06-2022

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Gestão Das Tres Linhas - MASSI 06-2022

Enviado por

Direitos autorais:

Formatos disponíveis

Gestão das Três Linhas

MSc. Marcos Assi

Conselheiro Fiscal da CDP Latin América

© Todos os direitos reservados – proibida a reprodução

• A importância do modelo das Três Linhas

© Todos os direitos reservados – proibida a reprodução

• Módulo de prática e estudo de caso - STM

© Todos os direitos reservados – proibida a reprodução

Há três caminhos para o FRACASSO:

Não ensinar o que sabe, não praticar o que se

Beda "O Venerável"

© Todos os direitos reservados – proibida a reprodução

© Todos os direitos reservados – proibida a reprodução

O que não se controla...

...não se pode mensurar.

O que não se gerencia...

...não se pode aprimorar.

© Todos os direitos reservados – proibida a reprodução

Órgão de Governança/Conselho/Comitê de Auditoria

Adaptado do IIA Global

© Todos os direitos reservados – proibida a reprodução

PRESTADORES EXTERNOS DE AVALIAÇÃO

GESTÃO AUDITORIA INTERNA

Papéis da 2ª linha Papéis da 3ª linha

Delegar, orientar, Alinhamento, comunicação,

© Todos os direitos reservados – proibida a reprodução

✓ Aproximação das três linhas no mesmo objetivo;

© Todos os direitos reservados – proibida a reprodução

Art. 2º - IV – Linhas de Defesa – modelo de gerenciamento de riscos, fomentado Internacionalmente, que

1) instituir, implementar e manter controles internos adequados e eficientes;

© Todos os direitos reservados – proibida a reprodução

1) intervenção na 1ª linha de defesa para modificação dos controles internos estabelecidos; e

© Todos os direitos reservados – proibida a reprodução

© Todos os direitos reservados – proibida a reprodução

© Todos os direitos reservados – proibida a reprodução

A MIL POR HORA!

ÓTIMO!!! Mas cuidado...

© Todos os direitos reservados – proibida a reprodução

“Não há nada mais inútil quanto

© Todos os direitos reservados – proibida a reprodução

© Todos os direitos reservados – proibida a reprodução

© Todos os direitos reservados – proibida a reprodução

Portaria CGU 1.089/2018

Conjunto estruturado de medidas institucionais voltadas

© Todos os direitos reservados – proibida a reprodução

© Todos os direitos reservados – proibida a reprodução

© Todos os direitos reservados – proibida a reprodução

Organização deve estar de Compliance

✓ Politicas e Procedimentos ✓ Jurídico e Processos

Compliance – Suporte Interno

✓ Integração com os Melhoria

Politicas claras, programas Sistema abrangente Consequências claras e

© Todos os direitos reservados – proibida a reprodução

© Todos os direitos reservados – proibida a reprodução

Segundo a ISO 37301:2021 o comprometimento ativo, visível, consistente e

© Todos os direitos reservados – proibida a reprodução

© Todos os direitos reservados – proibida a reprodução

Conhecer a teoria é importante, mas saber aplicá-la na prática é primordial.

© Todos os direitos reservados – proibida a reprodução

Os sete elementos, detalhadamente explicados abaixo são:

1-) Comprometimento da diretoria;

© Todos os direitos reservados – proibida a reprodução

© Todos os direitos reservados – proibida a reprodução