O Modelo das Três Linhas do IIA aplicado à EFPC

Em 2020, o Instituto dos Auditores Internos (IIA) revisou o modelo que ficou conhecido durante anos como “três linhas de defesa”. A nova versão tirou a palavra “defesa” do nome por uma razão precisa: gestão de risco não é só defender a entidade contra ameaças. É também viabilizar que ela persiga oportunidades dentro do apetite definido. O modelo passou a se chamar simplesmente “Modelo das Três Linhas”.

A mudança parece semântica. Não é. Defesa pressupõe perímetro. Linha pressupõe cadeia de responsabilidade. E cadeia de responsabilidade é o que faltava em muitas EFPCs.

A primeira linha é formada pelas áreas operacionais, aquelas que executam os processos diretamente vinculados ao cumprimento dos objetivos da entidade. Investimentos, benefícios, cadastro, financeiro. São essas áreas que tomam decisões no dia a dia que geram, modificam ou eliminam risco. A primeira linha é a que mais perto está do risco e, por isso, a primeira responsável por gerenciá-lo. Quando a primeira linha trata gestão de risco como problema da segunda linha, o modelo desmonta antes de começar.

A segunda linha é composta por funções especializadas que apoiam, monitoram e desafiam a primeira. Em uma EFPC, isso geralmente envolve a área de gestão de riscos, compliance, segurança da informação e controles internos. Essas funções desenham metodologias, definem políticas, monitoram indicadores e oferecem para a primeira linha as ferramentas que permitem gerenciar risco com critério. A segunda linha não substitui a primeira. Reforça e questiona.

A terceira linha é a auditoria interna. Sua função é dar garantia independente sobre a eficácia da governança, da gestão de riscos e dos controles internos. Para que essa garantia tenha valor, a auditoria precisa ser organizacionalmente independente da gestão executiva, com reporte ao Conselho Deliberativo (ou ao Comitê de Auditoria, quando existe). Auditoria interna que reporta operacionalmente para quem ela audita não é terceira linha. É extensão da segunda.

Acima das três linhas está a alta administração: Conselho Deliberativo e Diretoria Executiva. O Conselho define apetite, aprova políticas e supervisiona a eficácia do sistema. A Diretoria responde pela execução. Esses dois papéis também precisam estar claramente separados, especialmente em EFPCs em que conselheiros patrocinadores ou participantes acumulam vínculos com a operação.

Há ainda os provedores externos de garantia: auditoria independente, atuário externo, órgão regulador. O modelo do IIA reconhece esses agentes como fontes adicionais de garantia, mas sublinha que eles não substituem a auditoria interna. Cumprem função complementar.

Onde o modelo trava em EFPCs

O primeiro ponto comum de falha é a sobreposição entre segunda e terceira linhas. Quando a área de riscos da entidade está vinculada à diretoria que ela própria deveria monitorar, ou quando a auditoria interna assume tarefas operacionais de controle, o que era para ser camada de garantia vira mais uma instância de execução.

O segundo é a ausência de uma primeira linha consciente. É comum que gestores operacionais relatem que “gestão de risco não é minha área”. Esse discurso é sintoma de que a entidade ainda não comunicou de forma efetiva que a primeira linha é a primeira responsável pelo risco no seu próprio processo.

O terceiro é a fragilidade do canal de comunicação entre a terceira linha e o Conselho. Auditoria que se reporta à Diretoria Executiva, ou que tem seus relatórios filtrados antes de chegar ao colegiado, perde a essência da independência.

Aplicar o modelo das três linhas em uma EFPC não exige reestruturação radical. Exige clareza sobre quem faz o quê, e disciplina para manter cada linha no seu papel.

Esta é a sexta publicação da série sobre Gestão de Riscos em EFPCs. Na próxima semana: por que matriz de risco e mapa de calor viraram teatro em muitas entidades, e o que é preciso para tirar essas ferramentas do papel.

Posts Similares

Blog

Casas de Apostas e Governança Corporativa: Como Evitar Escândalos e Ganhar Credibilidade

A explosão das casas de apostas no Brasil não passou despercebida. De patrocínios milionários em clubes de futebol à publicidade onipresente nos meios digitais, o setor conquistou uma visibilidade sem precedentes. E junto com a visibilidade vem a responsabilidade. Se por um lado as apostas esportivas abriram oportunidades para novos negócios e modelos inovadores, por…

Ler mais Casas de Apostas e Governança Corporativa: Como Evitar Escândalos e Ganhar Credibilidade
Blog

Integridade no Setor de Apostas: Como Programas Anticorrupção Podem Prevenir Fraudes Internas e Externas

Com a explosão das apostas esportivas no Brasil, um novo desafio emergiu para as plataformas que desejam se consolidar: como crescer de forma sustentável, sem cair em armadilhas legais, éticas e reputacionais? A resposta passa por uma palavra muitas vezes negligenciada — integridade. No universo das casas de apostas, integridade não é só uma virtude…

Ler mais Integridade no Setor de Apostas: Como Programas Anticorrupção Podem Prevenir Fraudes Internas e Externas
Blog

Apostas Online e LGPD: Como Evitar Multas Milionárias e Proteger a Base de Dados dos Usuários

Se existe um ativo mais valioso que dinheiro no mercado digital, é o dado. E no setor de apostas online, isso não é diferente. Plataformas coletam e processam volumes massivos de informações pessoais, financeiras e comportamentais — em tempo real e em larga escala. Por isso, com a entrada em vigor da Lei Geral de…

Ler mais Apostas Online e LGPD: Como Evitar Multas Milionárias e Proteger a Base de Dados dos Usuários
Blog

Dicas Essenciais para Implementar Governança Corporativa com Sucesso

Nos tempos modernos, a governança corporativa emergiu como uma prática essencial para empresas de todos os tamanhos. Em sua essência, a governança corporativa refere-se ao conjunto de regras, processos e comportamentos que guiam o funcionamento de uma empresa. Desde garantir a transparência até promover a responsabilidade, a governança corporativa desempenha um papel vital no sucesso…

Ler mais Dicas Essenciais para Implementar Governança Corporativa com Sucesso
eBooks

Guia Simples de Governança, Riscos e Compliance para Pequenas e Médias Empresas

Governança, riscos e compliance não são temas restritos às grandes empresas — eles são essenciais para a sobrevivência e o crescimento sustentável das PMEs. Pensando nisso, a MAF Consultoria estruturou um material prático e acessível para ajudar pequenas e médias empresas a implementarem um modelo de GRC proporcional à sua realidade: enxuto, funcional e baseado…

Ler mais Guia Simples de Governança, Riscos e Compliance para Pequenas e Médias Empresas
Blog

Governança Corporativa e Gerenciamento de Resultados: Uma Análise no Setor Financeiro Brasileiro

A governança corporativa desempenha um papel crucial no estabelecimento de práticas éticas e sustentáveis no setor financeiro. Este artigo analisa a interação entre governança corporativa e gerenciamento de resultados nas instituições financeiras brasileiras, destacando a importância dessa relação para a integridade e transparência do setor. A Importância da Governança Corporativa A governança corporativa estabelece um…

Ler mais Governança Corporativa e Gerenciamento de Resultados: Uma Análise no Setor Financeiro Brasileiro

Posts Similares

Siga nossa página