Luciana Barragan (*)
A gestão de riscos é um processo que requer a participação de todos.
Não há como pensar nisso sem que todos da empresa compreendam suas responsabilidades. Nesse sentido, vamos discutir o Modelo as Três Linhas divulgado pelo Institute of Internal Auditors – IIA, que objetiva estabelecer papéis e responsabilidades de forma clara e coordenada no processo de gerenciamento de riscos e controle, buscando maximizar os resultados e a minimizar falhas e desperdício de recursos na organização.
Em 2013 surgiu a primeira publicação do IIA sobre o modelo das três linhas de defesa e, em 2020, uma atualização significativa no modelo alterou seu nome, trazendo uma abordagem mais moderna, tendo em vista o número crescente de organizações com complexidades diversas, bem como os riscos emergentes que vêm enfrentando.
No processo de gerenciamento de riscos e controles, todos na organização devem ter papéis e responsabilidades definidos e as Três Linhas separam as áreas, funções e profissionais para que executem suas atribuições de forma coordenada e para que haja mais clareza de como seus cargos se encaixam nesse processo.
A primeira linha é composta pelos gestores das unidades operacionais e tem o papel de estabelecer e manter processos para o gerenciamento de operações e riscos de sua unidade de atuação, incluindo controles internos eficazes, além de garantir a conformidade com a regulamentação em vigor. Aqui, temos a expertise dos responsáveis pelos processos trabalhando a favor da identificação, avaliação e mitigação dos riscos: essa percepção demonstra que é um processo que requer o compromisso de todos de forma recorrente.
Já a segunda linha é composta pelas funções de gerenciamento de riscos, acompanhamento, orientação, conformidade, análise e controle, são as chamadas funções de assessoramento e apoio. Atua no desenvolvimento, implantação e melhoria contínua das práticas de gerenciamento de riscos e controles internos, além de fornecer a primeira linha apoio nesse processo, como sugerir, apoiar e auxiliar os gestores das unidades operacionais no desenvolvimento de processos e controles para gerenciar alguns riscos específicos.
Fornece às análises sobre a adequação e eficácia do processo de gerenciamento de riscos e controles, bem como monitora os riscos de desconformidade com leis e regulamentos. Aqui, temos funções e áreas que tem objetivo de controle, tais como as áreas de qualidade, segurança da informação, gestão de riscos entre outras. Apoiam no que diz respeito a alguns riscos específicos.
Na terceira linha está a Auditoria Interna, que tem como função avaliar de forma independente e objetiva a eficácia do processo de gerenciamento de riscos e controle, incluindo a forma como as primeiras e segundas linhas alcançam os objetivos em relação ao gerenciamento de riscos e controles. Para tanto, a Auditoria Interna deve ter acesso irrestrito às pessoas, recursos e informações de que necessita.
Para uma efetiva gestão de riscos é fundamental a atribuição adequada de responsabilidade, bem como um processo efetivo de monitoramento, cooperação, comunicação e informação. Os órgãos de governança utilizarão as informações sobre a gestão de riscos para que possam tomar suas decisões e avaliar se a sua estrutura de gestão de riscos é suficiente para garantir que os riscos estão devidamente identificados e gerenciados.
(*) – É doutoranda em Educação, Mestre em Controladoria e Contabilidade Estratégica e professora de curso de graduação na área Contábil e Coordenadora de cursos de pós na FECAP.