As três linhas de defesa, uma visão prática para as corporações

É muito comum nos encontros profissionais das áreas de governança e controle haver menção e apresentações sobre o tema das três linhas de defesa. Este modelo surgiu com a publicação em 21 de setembro de 2010 pelas FERMA e ECIIA no Guidance on the 8th EU Company law como recomendação da implementação dos requisitos da lei para o monitoramento da efetividade do sistema de controles internos, auditoria interna e gerenciamento de riscos.

Como salienta a declaração de posicionamento do IIA sobre o tema:

 “O modelo de Três Linhas de Defesa é uma forma simples e eficaz de melhorar a comunicação do gerenciamento de riscos e controle por meio do esclarecimento dos papéis e responsabilidades essenciais”.

O ponto significativo neste modelo é a transparência sobre quais as responsabilidades de cada uma das partes interessadas na condução dos negócios e operação da organização, de forma a organizar o processo para que não existam lacunas devido a não compreensão das reais responsabilidades de cada um neste processo de governança.

Logicamente que é importante que os profissionais de governança e controle entendam e discutam este modelo, pois, são os agentes de mudança. São aqueles que irão motivar os gestores a adotar este modelo como base para suas atividades.

De uma forma resumida:

  • A primeira linha de defesa tem como responsabilidade a gestão (alta e média gestão, e outros tomadores de decisão) como executores do processo de gerenciamento de riscos e dos sistemas de controles internos da organização.
  • A segunda linha são os órgãos e profissionais de staff que tem como objetivo apoiar a gestão para que cumpram com suas responsabilidades de primeira linha, fornecendo conhecimento e ferramentas adequadas para este processo. Nesta linha se encontram os especialistas em controles internos, gestão de riscos, processos, compliance e outros profissionais de apoio.
  • A terceira linha se resume na atividade de auditoria interna a qual tem como objetivo uma avaliação objetiva e independente da gestão dos riscos, controles e governança da organização. O resultado é a comunicação e efetivação das oportunidades de melhoria identificadas.

O que quero com este artigo é trabalhar algumas observações que tenho feito em campo que demonstram que apesar de tudo, este modelo não está adequadamente compreendido pelas organizações, sejam elas, empresas e entidade governamentais ou privadas.

Vejamos alguns indicadores que me faz chegar nesta conclusão:

  • Falta de conhecimento e compreensão da dinâmica do modelo pela alta gestão (Conselho, presidente e seus reportes diretos). Alguns até mencionam que já ouviram falar do modelo, mas que desconhecem sua essência,
  • Áreas de controle, riscos, compliance e algumas vezes até auditoria assumindo responsabilidade de primeira linha. Incluindo uma confusão do entendimento de cada uma destas áreas quanto sua responsabilidade. É comum ver atividades sobrepostas, duplicidades de avaliação, execução de controle, entre estas áreas.
  • Inexistência de um processo estruturado e coordenado de gerenciamento dos riscos corporativos. Contar com uma matriz de riscos ou inventário de riscos não é gerenciar riscos. A gestão de riscos é base para qualquer processo de governança.
  • Ambiente interno enfraquecido, políticas e procedimentos desatualizados, não atenção ao processo de gestão de competências, falta de visão da cadeia de valores ou dos ciclos de negócios, etc.

É preciso compreender que no atual mundo onde estão inseridas as organizações os desafios são imensos e complexos. A forma de fazer negócio tem mudado em uma velocidade impressionante, as inovações são disruptivas, a convergência para o mundo virtual é uma realidade sem volta, e se a organização não estiver preparada, estruturada e com a competência adequada para gerenciar estes desafios, ela está fadada a desaparecer.

Ainda estamos tentando gerir empresas da era do conhecimento como geríamos pós- revolução industrial.

Pois bem, a adoção do modelo das três linhas de defesa de forma compreensiva, alinhada a tecnologia existente irá permitir que a organização tenha posições e ações proativa, em uma estrutura enxuta e otimizada, com processos operacionais econômicos, minimizando com isto a aplicação de seu capital na estrutura, e consequentemente a perda de sua vantagem competitiva.

De uma maneira simples, a gestão deve fazer um diagnóstico de sua estrutura e organização considerando os quatro pontos indicado acima e com base no resultado, definir ações para elimina-los ou mitiga-los.

Um processo de sensibilização da estrutura através de palestras, oficinas de trabalhos, e-learning, ou outras formas de transferência de conhecimento é imprescindível para o fortalecimento e amadurecimento da organização, de forma que os diversos níveis de gestão estejam preparados para compreender e executar suas responsabilidades de forma clara e coordenada como sugerido no modelo das três linhas de defesa.

Seja Feliz!

(15.11.2018)