Data: janeiro/2019

Autor: Eduardo Poggi, MBA

CGEIT, CRISC, CISA, CISSP, PCI QSA, PCIP, MCSO, MCRM

Resumo da ISO 31000:2018 e 3

linhas de defesa (3LoD do IIA)
 Especificação  Resumo ISO 31000:2018  janeiro 2019

Atualizações no Documento

Data Versão Descrição

Janeiro 2019 1.0 Versão Inicial produzida

2
 Especificação  Resumo ISO 31000:2018  janeiro 2019

Sumário
Atualizações no Documento ........................................................................................................................................................ 2
Resumo da ISO 31000:2018 .......................................................................................................................................................... 4

1. Introdução ..........................................................................................................................................................................4

2. A ABNT NBR ISO 31000:2018 ............................................................................................................................................. 5

2.1 Termos e Definições...........................................................................................................................................................5
2.2 Princípios ........................................................................................................................................................................... 6
2.3 Estrutura ............................................................................................................................................................................. 7
2.4 Processo de Gestão de Riscos ......................................................................................................................................... 10
2.4.1 Comunicação e Consulta.................................................................................................................................................. 10
2.4.2 Escopo, Contexto e Critérios ............................................................................................................................................ 11
2.4.3 Identificação de riscos ..................................................................................................................................................... 12
2.4.4 Análise de riscos ............................................................................................................................................................... 12
2.4.5 Avaliação de Riscos .......................................................................................................................................................... 12
2.4.6 Tratamento de riscos ....................................................................................................................................................... 13
2.4.7 Monitoramento e análise crítica ..................................................................................................................................... 14
2.4.8 Registro e relato............................................................................................................................................................... 14

3. As Três linhas de defesa................................................................................................................................................... 14

3.1 Introdução ........................................................................................................................................................................ 14
3.2 O Modelo .......................................................................................................................................................................... 15
3.3 1ª Linha de Defesa: Gestão Operacional .......................................................................................................................... 16
3.4 2ª Linha de Defesa: Funções de Gestão de Risco e Conformidade ................................................................................ 17
3.5 3ª Linha de Defesa: Auditoria Interna ......................................................................................................................... 17
3.6 Auditores Externos, Reguladores e outros órgãos externos ................................................................................... 18
3.7 Integração das Três Linhas de Defesa ............................................................................................................................ 19

3
 Especificação  Resumo ISO 31000:2018  janeiro 2019

Resumo da ISO 31000:2018

1. Introdução
A prática de gestão de riscos adotada pelas diferentes organizações, tem como finalidade alcance de seus
objetivos e resultados. A definição de risco, conforme a ISO 31000 é o efeito da incerteza nos objetivos. Assim,
a implementação de controles apropriados visa garantir uma maior certeza de que os objetivos serão
alcançados, o que significa maior eficácia nas atividades da gestão pública.
A gestão de riscos também apoia a governança corporativa no sentido em que suporta a tomada de decisão e
aumenta a possibilidade de alcance dos resultados desejados. A governança corporativa pode ser entendida
como o meio pelo qual uma organização é controlada e dirigida para alcançar objetivos, assim, o fator comum
que liga gestão de riscos, controle e governança corporativa é o alcance dos objetivos.
A necessidade de adoção da gestão de riscos na esfera pública se faz presente já há algum tempo e, neste
sentido, em 2012 o TCU publicou um Relatório de Levantamento para avaliação da gestão de riscos e controles
internos na administração pública federal indireta1, gerando um modelo de avaliação da maturidade em
gestão de riscos para empresas públicas.
O quadro a seguir mostra a evolução da gestão de riscos e controles ao longo do tempo. Observa-se que
desde a primeira versão do COSO ICIF em 1985, baseado exclusivamente em controles internos e auditoria
para proteger os objetivos e resultados, o modelo evoluiu até a atualidade para uma abordagem integrada de
governança, gestão de riscos e controles internos, presente no COSO ERM de 2017 e referenciado na ISO
31000 de 2018.

Nesta evolução, salientamos também a importância da Norma Neozelandesa e Australiana AS/NZS 4630:2004
que serviu como base para a primeira versão da ISO 31000 de 2009 que unificou os conceitos e padrões do
processo de gestão de riscos, influenciando as outras normas que se seguiram.
Outro organismo de grande importância também alinhado com a ISO 31000:2018 é a OCEG – Open Compliance
and Ethic Group2, responsável por cunhar o termo GRC – Governance, Risk and Compliance com o conceito de
abordagem integrada na organização para os processos de GRC, evitando-se o que se chamam de “silos” ou
áreas e processos isolados.

1 TCU, TC 011.745/2012-5. 2012. Disponível em <https://portal.tcu.gov.br/lumis/portal/file/fileDownload.jsp?inline=1&fileId=8A8182A14D92792C014D928007272EAC>. Acesso

em: Novembro de 2018.

2 OCEG – Open Compliance and Ethic Group. Link: https://www.oceg.org/ Acesso em: Novembro de 2018

4
 Especificação  Resumo ISO 31000:2018  janeiro 2019

Em uma análise geral, os modelos de referência de gestão de riscos estão sempre alinhados à ISO 31000:2018
pelo fato da mesma ser um documento genérico de alto nível que fornece diretrizes para gerenciar riscos de
todos os tipos em todas as diversas organizações, podendo a sua aplicação ser personalizada para qualquer
tipo e tamanho de organização, não sendo específica para uma indústria ou setor, e que pode ser usada e
aplicada em qualquer atividade em todos os níveis.
Em resumo, a “gestão de riscos” é uma disciplina que deve ser incorporada aos diversos processos e
atividades da organização, apoiando os tomadores de decisão a alcançar seus objetivos, protegendo e criando
valor para as organizações.

2. A ABNT NBR ISO 31000:2018

A ISO – International Standard Organization vem desde o início do anos 2000 promovendo estudos sobre
gestão de riscos, inicialmente através do ISO Guide 73 onde publicou um guia com os principais termos e
definições de gestão de riscos. Após o envolvimento de diversos países para equalizar os conceitos de gestão
de riscos, foram construídos os princípios, estrutura e processo de gestão de riscos.
A ABNT NBR ISO 31000:2009 foi elaborada pela Comissão de Estudo Especial de Gestão de Riscos. O Projeto
circulou em Consulta Nacional conforme Edital no 08, de 07.08.2009 a 08.09.2009, com o número de Projeto
63:000.01-001. A Norma de 2018 foi uma adoção idêntica, em conteúdo técnico, estrutura e redação, à ISO
31000:2009, que foi elaborada pelo ISO Technical Management Board Working Group on risk management
(ISO/TMB/WG), conforme ISO/IEC Guide 21-1:2005.
A ISO 31000:2018 foi elaborada pelo Technical Committee Risk Management (ISO/TC 262), conforme ISO/IEC
Guide 21-1:2005, e foi feita para substituir a edição anterior (ABNT NBR ISO 31000:2009) após sua aprovação.
Reproduzimos alguns pontos principais definidos na nova ISO 31000:2018, o qual seu correto entendimento e
aplicação consideramos de fundamental importância para uma implantação eficaz da gestão de riscos nas
organizações.

2.1 Termos e Definições

O primeiro conceito a ser entendido é a própria definição de riscos, que na pela norma é “o efeito da incerteza
nos objetivos”. A figura a seguir apresenta esta definição ao relacionar pela linha vermelha pontilhada a
incerteza com o efeito no objetivo.

Mas o que seria o “efeito no objetivo”? Pela norma, a Consequência é definida como “o resultado de um
Evento que afeta os objetivos”. Uma consequência pode ser certa ou incerta e pode ter efeitos positivos ou

5
 Especificação  Resumo ISO 31000:2018  janeiro 2019

negativos, diretos ou indiretos, nos objetivos. Na mesma figura, pode-se visualizar a linha cheia vermelha
representando este efeito nos objetivos.
O Evento pela norma é definido como uma “ocorrência ou mudança em um conjunto específico de
circunstâncias”, sendo que um evento pode consistir em uma ou mais ocorrências e pode ter várias causas e
várias Consequências em diversos objetivos. Um evento pode também ser algo que é esperado, mas não
acontece, ou algo que não é esperado, mas acontece.
A Incerteza está presente quando não sabemos se um Evento ocorrerá e se vai gerar consequências. O
principal ponto da gestão de riscos é apoiar a tomada de decisão sobre o que deve ser feito para modificar o
risco, ou reduzir a incerteza que afete os meus objetivos.
Para isso, é necessário compreender e fazer a identificação, análise e avaliação de algum Evento incerto
ocorrer e gerar efeito nos objetivos. A forma de fazer isso é através de métricas e critérios que apoiem a
análise e avaliação. A palavra Probabilidade traduz a métrica utilizada para referir-se à chance de algo
acontecer, não importando se definida, medida ou determinada, ainda que objetiva ou subjetivamente,
qualitativa ou quantitativamente.
A palavra Impacto traduz a métrica que é utilizada para referir-se ao nível de consequência aos objetivos. Ao
se multiplicar ambas obtém-se uma métrica, possui um valor denominado de nível de Risco. Esta métrica
traduz um nível de risco que será usado na
avaliação de risco para definir a estratégia
de tratamento e, consequentemente o
plano de Tratamento (caso o Risco não seja
tolerado). Veremos estes processos mais
adiante, ao evoluirmos as orientações da
norma.
A gestão de riscos baseia-se nos
componentes: Princípios, Estrutura e
Processos, como ilustrado no seu
relacionamento na Figura a seguir.
Estes componentes podem já existir na
organização, mas podem necessitar ser
adaptados ou melhorados, de forma que a
gestão de riscos seja eficiente, eficaz e
consistente.

2.2 Princípios
A finalidade principal da gestão de riscos é a criação e proteção de
valor na organização. Ela melhora o desempenho, encoraja a
inovação e apoia o alcance de objetivos.
Os Princípios descritos na norma e abaixo relacionados fornecem
orientações sobre as características da gestão de riscos eficaz e
eficiente, comunicando seu valor e explicando sua intenção e
objetivo.
Pela norma, os Princípios são a base para gerenciar riscos e devem
ser considerados quando se estabelecerem a Estrutura e os
Processo de gestão de riscos da organização. Estes princípios
devem permitir que uma organização gerencie “os efeitos da
incerteza nos seus objetivos”.

6
 Especificação  Resumo ISO 31000:2018  janeiro 2019

a) Integrada – A gestão de riscos é parte integrante de todas as atividades organizacionais.

b) Estruturada e abrangente – Uma abordagem estruturada e abrangente para a gestão de riscos contribui
para resultados consistentes e comparáveis.
c) Personalizada – A estrutura e o processo de gestão de riscos são personalizados e proporcionais aos
contextos externo e interno da organização relacionados aos seus objetivos.
d) Inclusiva – O envolvimento apropriado e oportuno das partes interessadas possibilita que seus
conhecimentos, pontos de vista e percepções sejam considerados. Isto resulta em melhor conscientização e
gestão de riscos fundamentada.
e) Dinâmica – Riscos podem emergir, mudar ou desaparecer à medida que os contextos externo e interno de
uma organização mudem. A gestão de riscos antecipa, detecta, reconhece e responde a estas mudanças e
eventos de uma maneira apropriada e oportuna.
f) Melhor informação disponível – As entradas para a gestão de riscos são baseadas em informações
históricas e atuais, bem como em expectativas futuras. A gestão de riscos explicitamente leva em
consideração quaisquer limitações e incertezas associadas a estas informações e expectativas. Convém que a
informação seja oportuna, clara e disponível para as partes interessadas pertinentes.
g) Fatores humanos e culturais – O comportamento humano e a cultura influenciam significativamente todos
os aspetos da gestão de riscos em cada nível e estágio.
h) Melhoria contínua – A gestão de riscos é melhorada
continuamente por meio do aprendizado e experiências.

2.3 Estrutura
A finalidade da Estrutura da gestão de riscos é apoiar a
organização na integração da gestão de riscos em suas
atividades e funções. A eficácia da gestão de riscos dependerá
da sua integração na governança e em todas as atividades da
organização, incluindo a tomada de decisão. Isto requer apoio
das partes interessadas, em particular da Alta Direção.
O desenvolvimento da estrutura envolve integração,
concepção, implementação, avaliação e melhoria da gestão de
riscos através da organização. A figura anterior da estrutura
ilustra os componentes de uma estrutura. As observações extraídas da norma a seguir devem ser seguidas
pela Alta Direção.
Liderança e Comprometimento
A Alta Direção e os órgãos de supervisão, devem assegurar que a gestão de riscos esteja integrada em todas
as atividades da organização, e deve demonstrar a liderança e comprometimento por:

 Personalizar e implementar todos os componentes da estrutura;

 Emitir uma declaração ou política que estabeleça uma abordagem, plano ou curso de ação da gestão de
riscos;
 Assegurar que os recursos necessários sejam alocados para gerenciar riscos;
 Atribuir autoridades, responsabilidades e responsabilização nos níveis apropriados dentro da
organização; Isto vai ajudar a organização a:
 Alinhar a gestão de riscos com seus objetivos, estratégia e cultura;
 Reconhecer e abordar todas as obrigações, bem como seus compromissos voluntários;

7
 Especificação  Resumo ISO 31000:2018  janeiro 2019

 Estabelecer a quantidade e o tipo de risco que pode ou não ser assumido para orientar o
desenvolvimento de critérios, assegurando que sejam comunicados à organização e às suas partes
interessadas;
 Comunicar o valor da gestão de riscos para a organização e suas partes interessadas;
 Promover o monitoramento sistemático de riscos;
 Assegurar que a estrutura de gestão de riscos permaneça apropriada ao contexto da organização.
A Alta Direção possui a responsabilidade3 de gerenciar riscos, enquanto os órgãos de supervisão são
responsáveis por supervisionar a gestão de riscos. Com frequência, é requerido ou esperado que os órgãos de
supervisão:
 Assegurem que os riscos sejam adequadamente considerados no estabelecimento dos objetivos da
organização;
 Compreendam os riscos aos quais a organização está exposta na busca de seus objetivos;
 Assegurem que sistemas para gerenciar estes riscos estejam implementados e operem eficazmente;
 Assegurem que estes riscos sejam apropriados no contexto dos objetivos da organização;
 Assegurem que a informação sobre estes riscos e sua gestão seja apropriadamente comunicada.
Integração
A integração da gestão de riscos deve apoiar-se em uma compreensão das estruturas e do contexto
organizacional. Estruturas diferem, dependendo do propósito, metas e complexidade da organização. O risco
é gerenciado em todas as partes da estrutura da organização. Todos na organização têm responsabilidade por
gerenciar riscos.
A governança orienta o rumo da organização, suas relações externas e internas, e as regras, processos e
práticas necessárias para alcançar o seu propósito. As estruturas de gestão traduzem a direção da governança
para a estratégia e os objetivos associados requeridos para alcançar níveis desejados de desempenho
sustentável e viabilidade a longo prazo.
A determinação da responsabilização pela gestão de riscos e dos papéis de supervisão no âmbito de uma
organização é parte integrante da governança da organização.
A integração da gestão de riscos em uma organização é um processo dinâmico e iterativo, e recomenda-se
que seja personalizado para as necessidades e cultura da organização. Orienta-se que a gestão de riscos seja
uma parte, e não separada, do propósito organizacional, governança, liderança e comprometimento,
estratégia, objetivos e operações.
Concepção
Recomenda a Norma que para conceber a estrutura para gerenciar riscos, a organização deve examinar e
entender seus contextos externo e interno.
Ao examinar o contexto externo da organização deve incluir: (i) fatores sociais, culturais, políticos, jurídicos,
regulatórios, financeiros, tecnológicos, econômicos e ambientais, em âmbito internacional, nacional, regional
ou local; (ii) direcionadores-chave e tendências que afetem os objetivos da organização; (iii) relacionamentos,
percepções, valores, necessidades e expectativas das partes interessadas externas; (iv) relações e
compromissos contratuais; (v) complexidade das redes de relacionamento e dependências.
Ao examinar o contexto interno da organização deve incluir: (i) visão, missão e valores; (ii) governança,
estrutura organizacional, papéis e responsabilizações; (iii) estratégia, objetivos e políticas; (iv) cultura da

3
Pela Norma ISO 31000:2018, o termo “accountability” foi traduzido como “responsabilização” com o sentido de “responsabilidade por atribuições e atos”, ou seja, por prestar
contas. Assim, o termo “accountable” é entendido como ”responsabilizado”

8
 Especificação  Resumo ISO 31000:2018  janeiro 2019

organização; (v) normas, diretrizes e modelos adotados pela organização; (vi) capacidades entendidas em
termos de recursos e conhecimento (por exemplo, capital, tempo, pessoas, propriedade intelectual,
processos, sistemas e tecnologias); (vii) dados, sistemas de informação e fluxos de informação; (viii)
relacionamentos com partes interessadas internas, levando em consideração suas percepções e valores; (ix)
relações contratuais e compromissos; (x) interdependências e interconexões.
Comprometimento
Para garantir comprometimento, a Alta Direção e os órgãos de supervisão, onde aplicável, devem demonstrar
e articular o seu comprometimento contínuo com a gestão de riscos por meio de uma política, uma
declaração ou outras formas que claramente transmitam os objetivos e o comprometimento com a gestão de
riscos de uma organização.
É de suma importância que o comprometimento com a gestão de riscos seja comunicado na organização e às
partes interessadas, como apropriado.
Papéis organizacionais, autoridades e responsabilidades
A Alta Direção e os órgãos de supervisão, onde aplicável, deve garantir que as autoridades, responsabilidades
e responsabilizações para os papéis pertinentes à gestão de riscos sejam atribuídas e comunicadas a todos os
níveis da organização, e (i) enfatize que a gestão de riscos é uma responsabilidade principal, e (ii) identifique
indivíduos que possuam responsabilização e tenham autoridade para gerenciar riscos (proprietários dos
riscos, do inglês “Risk Owners”).
Alocação de Recursos
A Alta Direção e os órgãos de supervisão, onde aplicável, deve garantir a alocação de recursos apropriados
para a gestão de riscos, que devem incluir, mas não estão limitados a: (i) pessoas, habilidades, experiência e
competência; (ii) processos, métodos e ferramentas da organização a serem usados na gestão de riscos; (iii)
processos e procedimentos documentados; (iv) sistemas de gestão da informação e do conhecimento; (v)
necessidades de treinamento e desenvolvimento profissional.
Comunicação e consulta
A organização deve estabelecer uma abordagem aprovada para comunicação e consulta para apoiar a
estrutura e facilitar a aplicação eficaz da gestão de riscos. A Comunicação envolve compartilhar informação
com públicos-alvo. A Consulta também envolve o fornecimento de retorno (feedback) pelos participantes,
com a expectativa de que contribua para as decisões e sua formulação ou outras atividades. Os métodos e
conteúdo da comunicação e consulta devem refletir as expectativas das partes interessadas, onde for
pertinente.
A comunicação e a consulta devem ser oportunas e assegurar que a informação pertinente seja coletada,
consolidada, sintetizada e compartilhada, como apropriado, e que o retorno seja fornecido e as melhorias
sejam implementadas.
Implementação
A organização deve implementar a estrutura de gestão de riscos por meio de: (i) desenvolvimento de um
plano apropriado, incluindo prazos e recursos; (ii) identificação de onde, quando e como diferentes tipos de
decisões são tomadas pela organização, e por quem; (iii) modificação dos processos de tomada de decisão
aplicáveis, onde necessário; (iv) garantia de que os arranjos da organização para gerenciar riscos sejam
claramente compreendidos e praticados.
A implementação bem-sucedida da estrutura requer o engajamento e a conscientização das partes
interessadas. Isso permite que as organizações abordem explicitamente a incerteza na tomada de decisão,
enquanto também asseguram que qualquer incerteza nova ou posterior possa ser levada em consideração à
medida que ela surja.

9
 Especificação  Resumo ISO 31000:2018  janeiro 2019

Uma estrutura de gestão de riscos, adequadamente concebida e implementada, assegurará que o processo
de gestão de riscos é parte de todas as atividades da organização, incluindo a tomada de decisão, e que as
mudanças nos contextos externo e interno serão adequadamente monitoradas e capturadas.
Avaliação
Para avaliar a eficácia da estrutura de gestão de riscos, a organização deve: (i) mensurar periodicamente o
desempenho da estrutura de gestão de riscos em relação ao seu propósito, planos de implementação,
indicadores e comportamento esperado; (ii) determinar se permanece adequada para apoiar o alcance dos
objetivos da organização.
Melhoria
A organização deve monitorar e adaptar continuamente a estrutura de gestão de riscos para abordar as
mudanças externas e internas. Ao fazer isso, a organização pode melhorar seu valor.
A organização deve melhorar continuamente a adequação, suficiência e eficácia da estrutura de gestão de
riscos e a forma como o processo de gestão de riscos é integrado.
À medida que lacunas ou oportunidades de melhoria pertinentes são identificadas, recomenda-se que a
organização desenvolva planos e tarefas e os atribua àqueles responsabilizados pela implementação.

2.4 Processo de Gestão de Riscos

O processo de gestão de riscos abrange a aplicação sistemática de políticas, procedimentos e práticas para as
atividades de comunicação e consulta, estabelecimento do contexto e avaliação, tratamento,
monitoramento, análise crítica, registro e relato de riscos.
O processo de gestão de riscos deve ser parte integrante da gestão e da tomada de decisão, e integrado na
estrutura, operações e processos da organização. Pode ser aplicado nos níveis estratégico, operacional, de
processos, ou de programas e projetos. Podem existir muitas aplicações do processo de gestão de riscos em
uma organização, personalizadas para alcançar objetivos e para se adequar aos contextos externo e interno
nos quais são realizadas.
Recomenda-se que o comportamento humano e cultura seja considerada ao longo do processo de gestão de
riscos. Embora o processo de gestão de riscos seja comumente apresentado como sequencial, na prática ele é
iterativo.

2.4.1 Comunicação e Consulta

A finalidade da comunicação e consulta é auxiliar as partes
interessadas pertinentes no entendimento e compreensão do
risco, na base sobre a qual decisões são tomadas e nas razões
pelas quais ações específicas são exigidas.
A comunicação procura promover a conscientização e o
entendimento do risco, enquanto a consulta envolve obter
retorno (feedback) e informação para auxiliar a tomada de
decisão. A existência de uma coordenação estreita entre as duas
promove a troca de informações factuais, oportunas,
pertinentes, precisas e compreensíveis, levando em consideração
a confidencialidade e integridade da informação, bem como os
direitos de privacidade dos indivíduos.
Devem ocorrer comunicação e consulta com partes interessadas apropriadas externas e internas, no âmbito
de cada etapa e ao longo de todo o processo de gestão de riscos.

10
 Especificação  Resumo ISO 31000:2018  janeiro 2019

Comunicação e consulta visam: (i) reunir diferentes áreas de especialização para cada etapa do processo de
gestão de riscos; (ii) assegurar que pontos de vista diferentes sejam considerados apropriadamente ao se
definirem critérios de risco e ao se avaliarem riscos; (iii) fornecer informações suficientes para facilitar a
supervisão dos riscos e a tomada de decisão; (v) construir um senso de inclusão e propriedade entre os
afetados pelo risco.

2.4.2 Escopo, Contexto e Critérios

A finalidade do estabelecimento do escopo, contexto e critérios é personalizar o processo de gestão de
riscos, permitindo um processo de avaliação de riscos eficaz e um tratamento de riscos apropriado.
Escopo, contexto e critérios envolvem a definição do escopo do processo, a compreensão dos contextos
externo e interno.
Escopo
Devido a aplicação do processo de gestão de riscos em diferentes níveis (por exemplo, estratégico,
operacional, programa, projeto ou outras atividades), é importante ser claro sobre o escopo em consideração,
os objetivos relacionados a serem considerados e o seu alinhamento aos objetivos organizacionais.
Contextos externo e interno
Os contextos externo e interno são o ambiente no qual a organização procura definir e alcançar seus
objetivos. É fundamental que o contexto do processo de gestão de riscos seja estabelecido a partir da
compreensão dos ambientes externo e interno no qual a organização opera, e convém que reflita o ambiente
específico da atividade ao qual o processo de gestão de riscos é aplicado.
Compreender o contexto é vital porque: (i) a gestão de riscos ocorre no contexto dos objetivos e atividades
da organização; (ii) fatores organizacionais podem ser uma fonte de risco; (iii) objetivos e escopo do processo
de gestão de riscos podem estar inter-relacionados com os objetivos da organização como um todo.
Critérios de risco
A organização deve especificar a quantidade e o tipo de risco que podem ou não ter relação aos objetivos. É
importante também estabelecer os critérios para avaliar a significância do risco e para apoiar os processos de
tomada de decisão.
Os critérios de risco devem ser alinhados à estrutura de gestão de riscos e serem personalizados para o fim
específico e o escopo da atividade em consideração. Os critérios de risco devem refletir os valores, objetivos e
recursos da organização e serem consistentes com as políticas e declarações sobre gestão de riscos. Além
disso, os critérios de risco devem ser estabelecidos levando em consideração as obrigações da organização e
os pontos de vista das partes interessadas.
Embora os critérios de risco devam ser estabelecidos no início do processo de avaliação de riscos, eles são
dinâmicos; e podem ser continuamente analisados criticamente e alterados, se necessário.
Para estabelecer os critérios de risco, recomenda-se considerar: (i) a natureza e o tipo de incertezas que
podem afetar resultados e objetivos (tanto tangíveis quanto intangíveis); (ii) como as consequências (tanto
positivas quanto negativas) e as probabilidades serão definidas e medidas; (iii) fatores relacionados ao tempo;
(iv) consistência no uso de medidas; (v) como o nível de risco será determinado; (vi) como as combinações e
sequências de múltiplos riscos serão levadas em consideração; (vi) a capacidade da organização.
O processo de avaliação de riscos é o processo global de identificação de riscos, análise de riscos e avaliação
de riscos. Ele deve ser conduzido de forma sistemática, iterativa e colaborativa, com base no conhecimento e
nos pontos de vista das partes interessadas. A melhor informação disponível deve ser usada, complementada
por investigação adicional, como necessário.

11
 Especificação  Resumo ISO 31000:2018  janeiro 2019

2.4.3 Identificação de riscos

A finalidade da identificação de riscos é encontrar, reconhecer e descrever riscos que possam ajudar ou
impedir que uma organização alcance seus objetivos. Informações pertinentes, apropriadas e atua- lizadas são
importantes na identificação de riscos.
A organização pode usar uma variedade de técnicas para identificar incertezas que podem afetar um ou mais
objetivos. Convém que os seguintes fatores e o relacionamento entre estes fatores sejam considerados: (i)
fontes tangíveis e intangíveis de risco; (ii) causas e eventos; (iii) ameaças e oportunidades; (iv)
vulnerabilidades e capacidades; (v) mudanças nos contextos externo e interno; (vi) indicadores de riscos
emergentes; (vii) natureza e valor dos ativos e recursos; (viii) consequências e seus impactos nos objetivos;
(ix) limitações de conhecimento e de confiabilidade da informação; (x) fatores temporais; (xi) vieses,
hipóteses e crenças dos envolvidos.
É importante que a organização identifique os riscos, independentemente de suas fontes estarem ou não sob
seu controle. Deve-se considerar que pode haver mais de um tipo de resultado, o que pode resultar em uma
variedade de consequências tangíveis ou intangíveis.

2.4.4 Análise de riscos

A finalidade da análise de riscos é compreender a natureza do risco e suas características, incluindo o nível de
risco, onde apropriado. A análise de riscos envolve a consideração detalhada de incertezas, fontes de risco,
consequências, probabilidade, eventos, cenários, controles e sua eficácia. Um evento pode ter múltiplas
causas e consequências e pode afetar múltiplos objetivos.
A análise de riscos pode ser realizada com vários graus de detalhamento e complexidade, dependendo do
propósito da análise, da disponibilidade e confiabilidade da informação, e dos recursos disponíveis. As
técnicas de análise podem ser qualitativas, quantitativas ou uma combinação destas, dependendo das
circunstâncias e do uso pretendido.
A análise de riscos deve considerar fatores como: (i) a probabilidade de eventos e consequências; (ii) a
natureza e magnitude das consequências; (iii) complexidade e conectividade; (iv) fatores temporais e
volatilidade; (v) a eficácia dos controles existentes; (vi) sensibilidade e níveis de confiança.
A análise de riscos pode ser influenciada por qualquer divergência de opiniões, vieses, percepções do risco e
julgamentos. Influências adicionais são a qualidade da informação utilizada, as hipóteses e as exclusões feitas,
quaisquer limitações das técnicas e como elas são executadas. Estas influências devem ser consideradas,
documentadas e comunicadas aos tomadores de decisão.
Eventos altamente incertos podem ser difíceis de quantificar. Isso pode ser um problema ao analisar eventos
com consequências severas. Nestes casos, usar uma combinação de técnicas geralmente fornece maior
discernimento. A análise de riscos fornece uma entrada para a avaliação de riscos, para decisões sobre se o
risco necessita ser tratado e como, e sobre a estratégia e os métodos mais apropriados para o tratamento de
riscos.
Os resultados propiciam discernimento para decisões, em que escolhas estão sendo feitas e as opções
envolvem diferentes tipos e níveis de risco.

2.4.5 Avaliação de Riscos

A finalidade da avaliação de riscos é apoiar decisões. A avaliação de riscos envolve a comparação dos
resultados da análise de riscos com os critérios de risco estabelecidos para determinar onde é necessária ação
adicional. Isto pode levar a uma decisão de: (i) fazer mais nada; (ii) realizar análises adicionais para melhor
compreender o risco; (iii) manter os controles existentes; (iv) reconsiderar os objetivos.

12
 Especificação  Resumo ISO 31000:2018  janeiro 2019

As decisões devem levar em consideração o contexto mais amplo e as consequências reais e percebidas para
as partes interessadas externas e internas. Convém que o resultado da avaliação de riscos seja registrado,
comunicado e então validado nos níveis apropriados da organização.

2.4.6 Tratamento de riscos

A finalidade do tratamento de riscos é selecionar e implementar opções para abordar riscos. O tratamento de
riscos envolve um processo iterativo de: (i) formular e selecionar opções para tratamento do risco; (ii) planejar
e implementar o tratamento do risco; (iii) avaliar a eficácia deste tratamento; (iv) decidir se o risco
remanescente é aceitável; (v) se não for aceitável, realizar tratamento adicional.
Seleção de opções de tratamento de riscos
Para escolher a(s) opção(ões) mais apropriada(s) de tratamento de riscos, deve-se balancear os benefícios
potenciais derivados em relação ao alcance dos objetivos ,face aos custos, esforço ou desvantagens da
implementação.
As opções de tratamento de riscos não são necessariamente mutuamente exclusivas ou apropriadas em todas
as circunstâncias. As opções para tratar o risco podem envolver um ou mais dos seguintes: (i) evitar o risco ao
decidir não iniciar ou continuar com a atividade que dá origem ao risco; (ii) assumir ou aumentar o risco de
maneira a perseguir uma oportunidade; (iii) remover a fonte de risco; (iv) mudar a probabilidade; (v) mudar as
consequências; (vi) compartilhar o risco (por exemplo, por meio de contratos, compra de seguros); (vii) reter
o risco por decisão fundamentada.
A justificativa para o tratamento de riscos é mais ampla do que apenas considerações econômicas, e devem
levar em consideração as obrigações da organização, compromissos voluntários e pontos de vista das partes
interessadas. A seleção de opções de tratamento de riscos deve ser seja feita de acordo com os objetivos da
organização, critérios de risco e recursos disponíveis.
Ao escolher opções de tratamento de riscos, a organização deve considerar os valores, percepções e
potencial envolvimento das partes interessadas, e as formas mais apropriadas para com elas se comunicar e
consultar. Embora igualmente eficazes, alguns tratamentos de riscos podem ser mais aceitáveis para algumas
partes interessadas do que para outras.
Ainda que cuidadosamente concebido e implementado, o tratamento de riscos pode não produzir os
resultados esperados e pode produzir consequências não pretendidas. Monitoramento e análise crítica
precisam ser parte integrante da implementação do tratamento de riscos, para assegurar que as diferentes
formas de tratamento se tornem e permaneçam eficazes.
O tratamento de riscos também pode introduzir novos riscos que precisem ser gerenciados. Se não houver
opções de tratamento disponíveis ou se as opções de tratamento não modificarem suficientemente o risco, o
mesmo deve ser registrado e mantido sob análise crítica contínua.
Os tomadores de decisão e outras partes interessadas devem estar conscientes da natureza e extensão do
risco remanescente após o tratamento de riscos. O risco remanescente deve ser documentado e submetido a
monitoramento, análise crítica e, onde apropriado, tratamento adicional.
Preparando e implementando planos de tratamento de riscos
A finalidade dos planos de tratamento de riscos é especificar como as opções de tratamento escolhidas serão
implementadas de maneira que os arranjos sejam compreendidos pelos envolvidos, e o progresso em relação
ao plano possa ser monitorado. O plano de tratamento deve identificar claramente a ordem em que o
tratamento de riscos será implementado.
Os planos de tratamento devem ser integrados nos planos e processos de gestão da organização, em
consulta com as partes interessadas apropriadas. Recomenda-se que as informações fornecidas no plano de
tratamento incluam: (i) a justificativa para a seleção das opções de tratamento, incluindo os benefícios

13
 Especificação  Resumo ISO 31000:2018  janeiro 2019

esperados a serem obtidos; (ii) aqueles que são responsabilizáveis e responsáveis por aprovar e implementar
o plano; (iii) as ações propostas; (iv) os recursos requeridos, incluindo contingências; (v) as medidas de
desempenho; (vi) as restrições; (vii) os relatos e monitoramento requeridos; (viii) quando se espera que ações
sejam tomadas e concluídas (prazo).

2.4.7 Monitoramento e análise crítica

A finalidade do monitoramento e análise crítica é assegurar e melhorar a qualidade e eficácia da concepção,
implementação e resultados do processo. O monitoramento contínuo e a análise crítica periódica do processo
de gestão de riscos e seus resultados deve ser uma parte planejada do processo de gestão de riscos, com
responsabilidades claramente estabelecidas.
O monitoramento e análise crítica deve ocorrer em todos os estágios do processo. Monitoramento e análise
crítica incluem planejamento, coleta e análise de informações, registro de resultados e fornecimento de
retorno (feedback).
Os resultados do monitoramento e análise crítica devem ser incorporados em todas as atividades de gestão
de desempenho, medição e relatos da organização.

2.4.8 Registro e relato

O processo de gestão de riscos e seus resultados devem ser documentados e relatados por meio de
mecanismos apropriados. O registro e o relato visam: (i) comunicar atividades e resultados de gestão de riscos
em toda a organização; (ii) fornecer informações para a tomada de decisão; (iii) melhorar as atividades de
gestão de riscos; (iv) auxiliar a interação com as partes interessadas, incluindo aquelas com responsabilidade e
com responsabilização por atividades de gestão de riscos.
As decisões relativas à criação, retenção e manuseio de informação documentada devem levar em
consideração, mas não se limitam a, o seu uso, a sensibilidade da informação e os contextos externo e
interno.
O relato é parte integrante da governança da organização e deve melhorar a qualidade do diálogo com as
partes interessadas e apoie a Alta Direção e os órgãos de supervisão a cumprirem suas responsabilidades. Os
fatores a considerar para o relato incluem, mas não estão limitados a: (i) diferentes partes interessadas e
suas necessidades específicas de informação e requisitos; (ii) custo, frequência e pontualidade do relato; (iii)
método de relato; (iv) pertinência da informação para os objetivos organizacionais e para a tomada de
decisão.
O processo de registro e relato é uma das modificações realizadas na revisão da ISO 31000:2009 e como
observado passou a ganhar importância na versão de 2018.

3. As Três linhas de defesa

3.1 Introdução
Nas Organizações não é raro encontrar diversas equipes de auditores internos, especialistas em gestão de
riscos corporativos, executivos de Compliance, especialistas em controle interno, inspetores de qualidade,
investigadores de fraude e outros profissionais de riscos e controle trabalhando em conjunto para ajudar suas
empresas a gerenciar riscos.
Cada especialidade tem uma visão singular e habilidades específicas de valor inestimável às organizações que
atendem. No entanto, como as atividades relacionadas à gestão de riscos e controle estão cada vez mais
divididas entre diversos departamentos e setores, o trabalho deve ser coordenado para garantir que os
processos de riscos e controle sejam conduzidos como intencionado.

14
 Especificação  Resumo ISO 31000:2018  janeiro 2019

Na falta de uma abordagem coesa, coordenada e integrada, os recursos limitados de riscos e controle podem
não ser aplicados com eficácia e os riscos significantes podem não ser identificados e gerenciados de forma
correta. Nos piores casos, a comunicação entre os diversos grupos de riscos e controle pode regredir a um
debate contínuo para entender de quem é o trabalho de realizar tarefas específicas.
Isso pode existir em qualquer organização, não importando se é usada uma estrutura formal de gestão de
riscos corporativos. Embora estruturas de gestão de riscos possam identificar com eficácia os tipos de riscos
que os negócios modernos devem controlar, elas não definem como e quais responsabilidades específicas
devem ser delegadas e coordenadas dentro da organização.
O modelo de Três Linhas de Defesa4 é uma forma simples e eficaz de melhorar a comunicação da gestão de
riscos e controle por meio da definição clara dos papéis e responsabilidades essenciais.
O modelo apresenta uma visão inovadora sobre as operações, ajudando a garantir o sucesso contínuo das
atividades de gestão de riscos, e é aplicável a qualquer organização - não importando seu tamanho ou
complexidade. Mesmo em empresas em que não haja uma estrutura ou sistema formal de gestão de riscos, o
modelo de Três Linhas de Defesa pode melhorar a clareza dos riscos e controles e ajudar a aumentar a eficácia
dos sistemas de gestão de riscos. Em resumo, o modelo orienta as organizações à como delegar e coordenar
tarefas essenciais de gestão de riscos com uma abordagem efetiva e sistemática.
O modelo foi concebido por dois importantes institutos europeus para atender a “Guidance on the 8th EU
Company Law Directive article 41”: Federation of European Risk Management Associations (FERMA) e a
European Confederation of Institutes of Internal Auditing (ECIIA)5.
Este modelo mostra a real integração entre a Gestão de riscos e Auditoria que executa o papel de avaliar a
operação dos controles internos da empesa. Este posicionamento é tão bem considerado pelas empresas
públicas e privadas que o link informado no rodapé do Artigo do IIA das três linhas de defesa é do Ministério
do Planejamento.
A Módulo entende que como em qualquer empresa, a CAESB deve implantar estruturas e funções do
processo de gestão de riscos que considere a divisão de funções na forma definida no modelo das Três Linhas
Defesa.

3.2 O Modelo
No modelo de Três Linhas de Defesa, o controle da gerência é a primeira linha de defesa no gestão de riscos,
as diversas funções de controle de riscos e supervisão de conformidade estabelecidas pela gerência são a
segunda linha de defesa e a avaliação independente é a terceira linha de defesa. Cada uma dessas três
“linhas” desempenha um papel distinto dentro da estrutura mais ampla de governança da organização.

4
Três Linhas de Defesa, Posicionamento do IIA – Instituto de Auditores Internos. Link: <http://www.planejamento.gov.br/assuntos/empresas-estatais/palestras-e-
apresentacoes/2-complemento-papeis-das-areas-de-gestao-de-riscos-controles-internos-e-auditoria-interna.pdf> Acesso em: Novembro de 2018

5
Guidance on the 8th EU Company Law Directive article 41. Link: <http://www.eciia.eu/wp-content/uploads/2013/09/Blog-4.4-Avoid-reg-part-2.pdf> Acesso em Novembro de
2018.

15
 Especificação  Resumo ISO 31000:2018  janeiro 2019

IIA - Adaptação da Guidance on the 8th EU Company Law Directive da ECIIA/FERMA, artigo 41

Embora os órgãos de governança e a alta administração não sejam considerados dentre as três “linhas” desse
modelo, nenhuma discussão sobre sistemas de gestão de riscos estaria pronto sem considerar os papéis
essenciais dos órgãos de governança (i.e., conselho de administração e órgãos equivalentes) e da alta
administração.
Os órgãos de governança e a alta administração (Alta Direção) são as principais partes interessadas atendidas
pelas “linhas” e são as partes em melhor posição para ajudar a garantir que o modelo de Três Linhas de
Defesa seja aplicado aos processos de gestão de riscos e controle da organização.
A alta administração e os órgãos de governança têm, coletivamente, a responsabilidade e o dever de
prestação de contas sobre o estabelecimento dos objetivos da organização, a definição de estratégias para
alcançar esses objetivos e o estabelecimento de estruturas e processos de governança para melhor gerenciar
os riscos durante a realização desses objetivos. O modelo de Três Linhas de Defesa deve ser implementado
com o apoio ativo e a orientação do órgão de governança e da alta administração da organização.
O modelo de Três Linhas de Defesa diferencia três grupos (ou linhas) envolvidos no gestão eficaz de riscos:
 Funções que gerenciam e têm propriedade sobre riscos.
 Funções que supervisionam riscos.
 Funções que fornecem avaliações independentes.

3.3 1ª Linha de Defesa: Gestão Operacional

Como primeira linha de defesa, os gerentes operacionais gerenciam os riscos e têm propriedade sobre eles
(do Inglês “Risk Owners”). Eles também são os responsáveis por implementar as ações corretivas para
resolver deficiências em processos e controles.
A gerência operacional é responsável por manter controles internos eficazes e por conduzir procedimentos
de riscos e controle diariamente. A gerência operacional identifica, avalia, controla e mitiga os riscos, guiando
o desenvolvimento e a implementação de políticas e procedimentos internos e garantindo que as atividades
estejam de acordo com as metas e objetivos.
Por meio de uma estrutura de responsabilidades em cascata, os gerentes do nível médio desenvolvem e
implementam procedimentos detalhados que servem como controles e supervisionam a execução, por parte
de seus funcionários, desses procedimentos.
A gerência operacional funciona naturalmente como a primeira linha de defesa, porque os controles são
desenvolvidos como sistemas e processos sob sua orientação de gestão operacional. Deve haver controles de

16
 Especificação  Resumo ISO 31000:2018  janeiro 2019

gestão e de supervisão adequados em prática, para garantir a conformidade e para enfatizar colapsos de
controle, processos inadequados e eventos inesperados.

3.4 2ª Linha de Defesa: Funções de Gestão de Risco e

Conformidade
A gerência estabelece diversas funções de gestão de riscos e conformidade para ajudar a desenvolver e/ou
monitorar os controles da primeira linha de defesa. As funções específicas vão variar entre organizações, mas
funções típicas da segunda linha de defesa incluem:
 Uma função (e/ou comitê) de gestão de riscos que facilite e monitore a implementação de práticas
eficazes de gestão de riscos por parte da gerência operacional e auxilie os proprietários dos riscos a
definir a meta de exposição ao risco e a reportar adequadamente informações relacionadas a riscos
em toda a organização.
 Uma função de conformidade que monitore diversos riscos específicos, tais como a não conformidade
com as leis e regulamentos aplicáveis. Nesse ponto, a função separada reporta diretamente à alta
administração e, em algumas empresas, diretamente ao órgão de governança. Múltiplas funções de
conformidade existem frequentemente na mesma organização, com responsabilidade por tipos
específicos de monitoramento da conformidade, como saúde e segurança, cadeia de fornecimento,
ambiental e monitoramento da qualidade.

 Uma função de controladoria que monitore os riscos financeiros e questões de reporte financeiro.
A gerência estabelece essas funções para garantir que a primeira linha de defesa seja apropriadamente
desenvolvida e posta em prática e que opere conforme intencionado. Cada uma dessas funções tem seu nível
de independência em relação à primeira linha de defesa, mas são, por natureza, funções de gestão.
Como funções de gestão, elas podem intervir diretamente, de modo a modificar e desenvolver o controle
interno e os sistemas de riscos. Portanto, a segunda linha de defesa tem um propósito vital, mas não pode
oferecer análises verdadeiramente independentes aos órgãos de governança acerca do gestão de riscos e dos
controles internos.
As responsabilidades dessas funções variam em sua natureza específica, mas podem incluir:
 Apoiar as políticas de gestão, definir papéis e responsabilidades e estabelecer metas para
implementação.
 Fornecer estruturas de gestão de riscos.
 Identificar questões atuais e emergentes.
 Identificar mudanças no apetite ao risco implícito da organização.
 Auxiliar a gerência a desenvolver processos e controles para gerenciar riscos e questões.
 Fornecer orientações e treinamento sobre processos de gestão de riscos.
 Facilitar e monitorar a implementação de práticas eficazes de gestão de riscos por parte da gerência
operacional.
 Alertar a gerência operacional para questões emergentes e para as mudanças no cenário regulatório e de
riscos.
 Monitorar a adequação e a eficácia do controle interno, a precisão e a integridade do reporte, a
conformidade com leis e regulamentos e a resolução oportuna de deficiências.

3.5 3ª Linha de Defesa: Auditoria Interna

Os auditores internos fornecem ao órgão de governança e à alta administração avaliações abrangentes
baseadas no maior nível de independência e objetividade dentro da organização. Esse alto nível de
independência está indisponível na segunda linha de defesa.

17
 Especificação  Resumo ISO 31000:2018  janeiro 2019

A auditoria interna provê avaliações sobre a eficácia da governança, do gerenciamento de riscos e dos
controles internos, incluindo a forma como a primeira e a segunda linhas de defesa alcançam os objetivos de
gerenciamento de riscos e controle. O escopo dessa avaliação, que é reportada à alta administração e ao
órgão de governança, normalmente cobre:
 Uma grande variedade de objetivos, incluindo a eficiência e a eficácia das operações; a salvaguarda de
ativos; a confiabilidade e a integridade dos processos de reporte; e a conformidade com leis,
regulamentos, políticas, procedimentos e contratos.
 Todos os elementos da estrutura de gerenciamento de riscos e controle interno inclui: (i) o escopo,
contexto e critérios (ambiente de controle interno); (ii) todos os elementos da estrutura de
gerenciamento de riscos da organização (i.e. identificação de riscos, análise e avaliação de riscos, e
tratamento); (iii) comunicação e consulta ; (iv) monitoramento e análise crítica; e (v) registro e relato.

 A empresa como um todo, divisões, subsidiárias, unidades de operação e funções - incluindo os

processos do negócio, como vendas, produção, marketing, segurança, funções voltadas para o cliente
e operações - assim como funções de suporte (ex., contabilidade de receita e despesas, recursos
humanos, compras, folha de pagamento, orçamentos, gestão de infraestrutura e ativos, inventário e
tecnologia da informação).
A estruturação da atividade profissional de auditoria interna deve ser um requisito de governança para todas
as organizações. É importante porque as empresas enfrentam ambientes complexos com estrutura
organizacional formal e robusta, e precisam garantir a eficácia de seus processos de governança e
gerenciamento de riscos.
A auditoria interna contribui ativamente para a governança organizacional eficaz, desde que algumas
condições - que promovam sua independência e profissionalismo - sejam atendidas. A melhor prática é
estabelecer e manter uma função independente de auditoria interna, com uma equipe adequada e
competente, que inclua:
 Atuar de acordo com as normas internacionais reconhecidas para a prática de auditoria interna.
 Reportar a um nível suficientemente alto na organização, de modo a cumprir com suas responsabilidades
de forma independente.
 Ter uma linha de reporte ativa e eficaz ao órgão de governança.

3.6 Auditores Externos, Reguladores e outros órgãos externos

Auditores externos, reguladores e outros órgãos externos estão fora da estrutura da organização, mas
podem desempenhar um papel importante em sua estrutura geral de governança e controle. Isso vale
principalmente para indústrias regulamentadas, como a de serviços financeiros ou seguros.
Os reguladores, às vezes, estabelecem requisitos com a intenção de fortalecer os controles em uma empresa
e, em outras ocasiões, têm uma função independente e objetiva, para avaliar o todo ou parte da primeira,
segunda ou terceira linha de defesa no que tange a esses requisitos.
Quando coordenados com sucesso, os auditores externos, reguladores e outros grupos externos à
organização podem ser considerados linhas adicionais de defesa, que fornecem avaliações às partes
interessadas da organização, incluindo o órgão de governança e a alta administração.
Considerando o escopo e objetivos específicos de suas missões, as informações de riscos reunidas são, em
geral, menos extensas do que o escopo abordado pelas três linhas internas de defesa de uma organização.

18
 Especificação  Resumo ISO 31000:2018  janeiro 2019

3.7 Integração das Três Linhas de Defesa

Uma vez que cada organização é única e situações específicas variam, não há uma forma “certa” de
coordenar as Três Linhas de Defesa. Durante a divisão de responsabilidades peculiares e a coordenação entre
funções de gerenciamento de riscos, pode ser útil ter em mente o papel inerente de cada grupo no processo
de gerenciamento de riscos.

As três linhas devem existir em todas as organizações, não importando tamanho ou complexidade. O
gerenciamento de riscos, normalmente, é mais sólido quando há três linhas de defesa separadas e claramente
identificadas. No entanto, em situações excepcionais que podem surgir, especialmente em pequenas
empresas, certas linhas de defesa podem ser combinadas.
Independente de como o modelo de Três Linhas de Defesa é implementado, a alta administração e os órgãos
de governança devem comunicar claramente a expectativa de compartilhamento de informações e
coordenação de atividades entre cada um dos grupos responsáveis por gerenciar os riscos e controles da
organização. Os processos de riscos e controle devem ser estruturados de acordo com o modelo de Três
Linhas de Defesa.
Em resumo, recomenda-se adotar as seguintes práticas:

 Cada linha de defesa deve ser apoiada por políticas e definições de papéis apropriadas.
 Deve haver a coordenação apropriada entre as diferentes linhas de defesa para promover a eficiência e a
eficácia.
 As funções de riscos e controle em operação nas diferentes linhas devem compartilhar conhecimento e
informações apropriadamente, para auxiliar todas as funções a desempenhar melhor seus papéis de
forma eficiente.
 As linhas de defesa não devem ser combinadas ou coordenadas de uma forma que comprometa sua
eficácia.
 Em situações em que as funções de diferentes linhas forem combinadas, o órgão de governança deve ser
aconselhado a respeito da estrutura e seu impacto. Em organizações que ainda não tenham uma
atividade de auditoria interna estabelecida, deve-se exigir que a gerência e/ou o órgão de governança
explique e divulgue às suas partes interessadas que consideraram como será obtida a avaliação adequada
da eficácia das estruturas de governança, gerenciamento de riscos e controle da organização.

19