A utilização do conceito das Três Linhas de Defesa, ou de governança, é uma das maneiras mais conhecidas e utilizadas para estruturar o gerenciamento de riscos (internos e externos) e a governança nas organizações. Este é um tema que tem ganhado cada vez mais espaço devido ao crescimento das companhias e ao fato de que elas operam em um mundo cada vez mais incerto, complexo, interconectado e volátil.

O conceito surgiu pela primeira vez em 2010, em publicação da Federação das Associações Europeias de Gerenciamento de Risco (Ferma) e da Confederação Europeia dos Institutos de Auditoria Interna (ECIIA). Em 2020, o Instituto de Auditores Internos (IIA, na sigla em inglês) publicou uma atualização da estrutura, que passou a ser chamada de Modelo das Três Linhas.

Se bem-desenvolvidas e colocadas em prática, as três linhas de defesa ajudam a reduzir riscos, fraudes e erros nos negócios. Os pilares do modelo são o esclarecimento de papéis e responsabilidades para cada área da empresa – dos setores técnicos à alta administração e o conselho administrativo.

Quer saber mais sobre como estruturar as três linhas de defesa no seu negócio? Continue lendo!

Como funcionam as três linhas de defesa

Essa estrutura de gerenciamento de riscos considera a atuação conjunta dos órgãos de governança corporativa e de gestão. Cada linha de defesa define papéis e responsabilidades na gestão de riscos, além da interação entre as três frentes.

Primeira Linha de Defesa

A primeira linha é representada pelos proprietários dos riscos, ou seja, os colaboradores que têm o know-how técnico. São operários, compradores, vendedores e outros que conhecem os processos e sabem quais são as dificuldades de cada setor. Eles também serão os responsáveis pela implementação das ações de resposta e pela tomada de decisão referente a qualquer mudança.

Os owners do risco têm o papel de identificar riscos e seus indicadores para mensuração e monitoramento, além de sugerir, avaliar, implantar e monitorar as ações para reduzir o risco sob sua responsabilidade. Eles têm responsabilidades em cascata e não apenas executam, mas também supervisionam os procedimentos.

Segunda Linha de Defesa

A segunda linha de defesa é representada pelas áreas de gerenciamento de riscos, controles internos, compliance e segurança da informação. O objetivo é fornecer metodologias, ferramentas, controles e orientação para garantir que a primeira linha funcione adequadamente.

Algumas tarefas dessas equipes são a identificação e avaliação dos riscos (com o auxílio dos proprietários dos riscos), estabelecimento de limites e tratamento para cada um dos pontos de atenção, e o desenvolvimento de um plano de ação e monitoramento.

Na prática, as empresas costumam ter dificuldade em garantir que os agentes desta linha não acabem exercendo atividades que não lhes dizem respeito, assumindo tarefas da primeira linha, como identificação de riscos, e até mesmo executando tarefas que deveriam ser exclusivas da auditoria interna. O contrário também pode acontecer – ou seja, áreas da primeira e terceira linha de defesa, como financeira, controladoria e auditoria interna, exercerem atividades que seriam atribuição da segunda linha de governança.

Então, se uma linha assume responsabilidades que não são de sua competência, o modelo de gerenciamento de riscos não funciona como deveria. Vale destacar que organizações registradas no Novo Mercado da B3 assumem o compromisso de que a segunda linha seja totalmente independente da primeira e da segunda linhas de defesa. 

Por exemplo, considerando a identificação de riscos, os proprietários dos riscos estão no dia a dia das mais diferentes áreas da companhia, sendo capazes de indicar quais são os desafios e problemas de determinado setor ou procedimento. Se isso ficar a cargo de outra linha, o resultado do trabalho pode ser prejudicado.

Terceira Linha de Defesa

A última Linha de Defesa é a auditoria interna. Ela se reporta ao Conselho de Administração, por meio do Comitê de Auditoria. Neste contexto, existem algumas opções interessantes a serem consideradas no desenho da estrutura de uma área auditoria interna.

No caso de companhias de capital aberto que já possuem forte estrutura de governança e um sólido time de auditoria interna próprio, por exemplo, é comum que incorporem aos trabalhos recursos externos, contratados de uma empresa de auditoria independente. Assim, agregam competências e especializações específicas ao esforço.

Por outro lado, tem sido comum em companhias de capital fechado, ou em processo de abertura de capital, e que possuem estrutura de governança em desenvolvimento, a contratação de uma empresa de auditoria independente. Ela serve para cumprir integralmente com a responsabilidade do papel do auditor interno, perante o Comitê de Auditoria.

Além disso, companhias de capital aberto podem optar por ter um time interno de auditoria, ou pela contratação de um auditor independente com registro na CVM, complementando o escopo de atuação da terceira linha de defesa. O Registro CVM do auditor é mandatório.

Papel do auditor interno nas Três Linhas de Defesa

A responsabilidade do auditor interno nas Três Linhas de Defesa é definir, em conjunto com o Comitê de Auditoria, um plano de trabalho recorrente que inclua procedimentos de auditoria para verificar três pontos principais:

1) Se a estrutura de governança suporta a mitigação e a gestão do principais riscos identificados pela companhia;

2) Se os controles internos previstos são eficientes em seu desenho e efetividade operacional – aqui vale lembrar que a terceira linha executa novamente os controles levantados e testados pela segunda linha;

3) Se as falhas e deficiências identificadas são adequadamente reportadas para o Comitê de Auditoria, com um plano de ação implementado pelas respectivas primeira e segunda linhas de defesa.

E sua empresa, já definiu e implementou as Três Linhas de Defesa? Ficou alguma dúvida? Entre em contato com a IRKO Hirashima, nossos especialistas podem te ajudar!

Sobre a IRKO Hirashima

A IRKO Hirashima foi fundada em 2017, originalmente como Irkonsult, empresa do Grupo IRKO — cuja atuação no país já soma mais de 65 anos. Em 2019, nos unimos à Hirashima Associados, companhia com 17 anos de mercado. Da união, surgiu uma marca ainda mais robusta na prestação de serviços nas áreas de Auditing, M&A, Risk Advisory, Tax Advisory e Accounting, entre outros, que vem crescendo exponencialmente. 

Nosso quadro societário inclui profissionais com a mais alta qualificação e ampla experiência, como ex-sócios e diretores das conhecidas Big4, e contadores com certificação internacional (CPA e ACCA). Nosso time conta ainda com profissionais que atuam ativamente no grupo de implementação de normas internacionais de contabilidade junto à IFRS Foundation / IASB. Nossos sócios, por sua vez, integram Conselhos e Comitês de grandes companhias de capital aberto no Brasil, com trajetória comprovada nas melhores práticas de governança.

Temos como prioridades máximas o atendimento de excelência a nossos clientes e o desenvolvimento constante de nossa equipe. Por isso, fomos a primeira empresa da América Latina a oferecer a certificação internacional ACCA para todo seu quadro de colaboradores.

Nossos resultados também foram reconhecidos pela Leaders League, agência de rating internacional amplamente conhecida ao redor do globo. A IRKO Hirashima figura nos rankings das melhores companhias brasileiras nos segmentos de Audit, IPO Readiness e Transaction Services.

Em 2021, como parte do Grupo IRKO, passamos a ser membros da SMS Latinoamérica, rede com presença em 21 países, reconhecida internacionalmente e credenciada junto ao Fórum de Firmas do IFAC.

Junto desta rede, fomos listados pelo IAB (International Accounting Bulletin) a 8º maior empresa de serviços profissionais do Brasil em faturamento.