Gestão Das Tres Linhas - MASSI 06-2022
Gestão Das Tres Linhas - MASSI 06-2022
Gestão Das Tres Linhas - MASSI 06-2022
Mestre em Ciências Contábeis e Atuariais pela PUC-SP, Bacharel em Ciências Contábeis pela FMU, com Pós-Graduação em Auditoria
Interna e Pericia pela FECAP, Certified Compliance Officer – CCO pelo GAFM - USA, Certified in Risk and Information Systems Control –
CRISC pelo ISACA, Information Security Foundation – ISFS pela Exin, Lead Implementer and Internal Auditor ISO 37001 e Auditor Lider
da ISO 37301 pela QMS Brasil.
Exerceu a função de Auditor, Contador e Controller, posições estas, assumidas em bancos nacionais e internacionais com 37 anos de
experiência exercidos no Banco Toyota do Brasil, Banco BBA Creditanstalt (Atual ITAU-BBA), Banco ABC Brasil, entre outros.
Professor do MBA da FECAP, da Saint Paul Escola de Negócios, da SUSTENTARE Escola de Negócios de Joinville-SC, da TREVISAN
Escola de Negócios, do IBMEC, da Católica Business School – CBS - PE, do Centro Paula Sousa – FATEC, da FIA (Labfin), da UNIMAR
– Universidade de Marilia – SP, da FADISMA – Faculdade de Direito de Santa Maria – RS, da FDV – Faculdade de Direito de Vitoria – ES,
da REGES – Rede Gonzaga de Ensino Superior de Dracena, Faculdade La Salle em Lucas do Rio Verde – MT.
Órgãos reguladores
Alta administração
Auditoria Externa
Mercado
1ª Linha de Defesa 2ª Linha de Defesa 3ª Linha de Defesa
Controle Financeiro
Medidas Segurança Informação
Controles Auditoria
de Gerenciamento Riscos
da Interna
Controle
Gerencia Conformidade
Interno
Monitoramento
Qualidade
a) 1ª Linha de Defesa: contempla os controles primários, que devem ser instituídos e mantidos pelos gestores
responsáveis pela implementação das políticas públicas durante a execução de atividades e tarefas, no
âmbito de seus macroprocessos finalísticos e de apoio, e é responsável por:
b) 2ª Linha de Defesa: contempla os controles situados ao nível da gestão e objetivam assegurar que as
atividades realizadas pela 1ª linha de defesa sejam desenvolvidas e executadas de forma apropriada, tendo
como principais responsabilidades:
c) 3ª Linha de Defesa: representada pela atividade de auditoria interna, é responsável por avaliar as atividades
da 1ª e 2ª linhas de defesa no que tange à eficácia da governança, do gerenciamento de riscos e dos controles
internos, mediante a prestação de serviços de avaliação e de consultoria com base nos pressupostos de
autonomia técnica e de objetividade.
CORRUPÇÃO
Decreto 10.756/2021
Institui o Sistema de Integridade Pública do Poder Executivo
Federal.
Art. 1º (...)
I - programa de integridade - conjunto estruturado de medidas
institucionais para prevenção, detecção, punição e remediação de
práticas de corrupção e fraude, de irregularidades e de outros
desvios éticos e de conduta;
PREVENÇÃO
PUNIÇÃO DETECÇÃO
Expectativa de controle
Aumento do custo de transação
Segurança
Gestão de Administração
Riscos Geral
Gestão
Gestão de Pessoas
Processos Física,
Controles Gestão da
Riscos Lógica,
Internos Conduta
operacionais, Cibernética
Negócios Educadoria
Continuidade de Proteção de
Estrutura, Metodologias de Psicologia
Monitoramento,
Negócios - PCN Dados
Planejamento, Gestão de Crises Sociologia
Gestão, Ativos da
Modelagem e Comportamento
Relatórios, Informação
Gestão Humano
Controles Contábeis
Gestão de projeto Neurolinguística
Direitos Humanos,
Alinhamento à Alinhamento à Minorias, Meio
Conformidade Gestão de estratégia e Ambiente,
Riscos Ética Respeito aos
Regulação
animais
Ameaças Desempenho
Diversidade
Percebido como
estratégia de Não é uma
negócio e Integridade
protetor da Commoditie
reputação
Portanto, um sistema de gestão de controles internos e compliance (GCIC) se faz necessário para
viabilizar as atividades relacionadas a seguir:
3) Treinamentos – o controle dos treinamentos realizados com registros de presença podem ser
realizados na metodologia para melhoria da gestão, bem como o controle de prazo para
realização de novos treinamentos.
5) Monitoramento dos prazos das obrigações legais – por motivos da observância e do controle
quanto aos prazos dos ofícios recebidos pelos órgãos reguladores com a possibilidade de
distribuição de tarefas e controle de prazos, podemos ajustar um plano de melhorias ou
mesmo na matriz de compliance. Além das obrigações que as áreas encaminham diretamente
ao órgão regulador, entre elas a contabilidade e as diversas áreas da organização que
encaminham via e-mail as evidências de que as obrigações solicitadas foram enviadas,
podemos evidenciar o controle por área/gestor.
6) Monitoramento dos prazos para revisão das políticas e manuais – políticas, procedimentos,
manuais, instruções de trabalho, regimentos, regulamentos, entre outros documentos, devem
ser revisados periodicamente, e a metodologia realiza a gestão de revisões, com prazos de 12
a 36 meses, dependendo da criticidade e com envio de alertas para gestores.
Acreditamos que, dessa forma, a gestão pode ser aperfeiçoada, e a primeira linha estará mais
próxima de suas responsabilidades e devidamente suportadas e apoiadas pela segunda linha,
evidenciando que, quanto mais simples for o processo de gestão, mais fácil será a prestação de
contas de cada parte envolvida no processo de gestão.
Objetivos Metas Prestação de contas Avaliação de riscos Fluxo de informações Monitoramento Alçadas decisórias
É sensacional a forma e a essência apresentadas, pois fazem clara diferenciação entre as atividades
de governança e gestão nos domínios corporativos, bem como a interação entre elas e os
especialistas envolvidos, e as interações entre os diferentes papéis, conforme exemplificamos a
seguir.
Outros pontos importantes são a efetividade das áreas de controle interno, gestão
de riscos, compliance, segurança da informação, qualidade e, em certos casos, até
a auditoria, que acaba assumindo responsabilidade da primeira linha, por falta de
entendimento do nível de responsabilidade, dos conflitos de interesse e do
retrabalho.
Isso acarreta uma confusão do entendimento de cada uma dessas áreas quanto à
sua responsabilidade, e é muito comum ver atividades sobrepostas, duplicidades
de avaliação, execução de controle entre elas.
Relatório auditoria
independente Alto
Relatório de Governança Baixo
Corporativa
Carta de controles internos
Auditor independente
Relatórios de auditoria
interna Muito baixo
Relatórios Global
Report Initiative Relatórios riscos
Necessita melhorias ambientais
significativas Relatórios de risco
operacional
Baixo
Relatórios de risco
Moderado
de terceiro
Médio
Relatórios gerenciais
executivos
Critico Relatórios de saúde
Relatórios de controles e segurança
internos
Relatórios de compliance
Baixo
Muito alto
Moderate
Alguns especialistas diriam que as batalhas têm crescido constantemente entre as funções de
asseguração de gestão de riscos e as funções de controle, portanto deveria:
Depende do tamanho da organização e do prazo que o trabalho será realizado, tendo em vista que
devemos evitar conflitos de interesses e sobreposições de funções no processo
Cabe salientar que, quando a auditoria interna assume alguma atividade da segunda linha, ela perde a
independência em relação às funções que assumiu, devendo recorrer a um recurso externo, no caso da
necessidade de uma avaliação independente sobre essas áreas.
Também é fundamental entender qual é o setor em que a empresa atua, o nível de regulação e se
permite essas combinações.
Geralmente a auditoria interna acolhe essas atividades como processo de implantação dessas funções e,
quando a área atinge um nível de maturidade elevado, passa a reportar aos níveis adequados.
Portanto, entendemos que podemos gerar mais valor aos negócios desde que
tenhamos processos bem estabelecidos e com profundidade operacional e
sempre que buscamos formas de melhoria na governança e na gestão, devemos
buscar um processo de criação de sinergia e melhoria da gestão de riscos,
controles internos, compliance e auditoria, para proteção dos negócios.
Para entender a correlação das práticas das Três Linhas, assim como seus pontos de
conexão, temos que compreender a associação de riscos, falhas de controles e eventos
de perdas.
Essa nossa sugestão tem como objetivo favorecer o fluxo dos processos com
resultados aderentes e auditáveis.
Uma das mudanças mais significativas e bem-vindas é a que destaca a “contribuição da gestão de
riscos para alcançar objetivos e criar valor, bem como para questões de “defesa” e proteção de
valor” (IIA, 2020, p. 1).
Isso agora está mais alinhado à missão atualizada da auditoria interna, para fornecer “previsão”,
bem como “percepção”, e as ferramentas de gestão de riscos que gerem valor.
O novo modelo também coloca maior ênfase na governança e, semelhante aos movimentos nos
últimos anos em vários setores, em uma governança “baseada em princípios”, em vez de
conformidade. O novo modelo das Três Linhas destaca seis princípios-chave, anteriormente
mencionados, nos quais se baseia.
Os papéis de segunda linha podem se concentrar em objetivos específicos da gestão de riscos, como
conformidade com leis, regulamentos e comportamento ético aceitável; controle interno; segurança da
informação e tecnologia; sustentabilidade; avaliação da qualidade. Como alternativa, os papéis de segunda
linha podem abranger uma responsabilidade mais ampla pela gestão de riscos corporativos (Enterprise Risk
Management – ERM). No entanto, a responsabilidade pelo risco segue fazendo parte dos papéis de primeira
linha e dentro do escopo da gestão.
O modelo das Três Linhas pode, sem sombra de dúvida, melhorar a forma de
apresentação da gestão dos riscos e controles e auxiliar no aumento da eficácia
dos sistemas e processos de gestão, fortalecendo, assim, as práticas de asseguração
combinada.
O modelo das Três Linhas pode, sem sombra de dúvida, melhorar a forma de
apresentação da gestão dos riscos e controles e auxiliar no aumento da eficácia
dos sistemas e processos de gestão, fortalecendo, assim, as práticas de asseguração
combinada.
Fica aqui a nossa dica: a primeira linha deve ser apoiada pela segunda linha, mas como isso
acontece?
Vamos pensar na seguinte situação: o gestor de uma área necessita entender que as
responsabilidades pela gestão de riscos e pelo sistema de controles internos devem partir dele e da
equipe, mas como responsabilizá-lo se o próprio gestor desconhece as metodologias do COSO, as
normas ISO que temos implementado em nossa organização, entre outros processos e
metodologias?
Portanto, cabe à segunda linha proporcionar apoio e suporte técnico para exercer a sua função,
conforme preconiza o modelo das Três Linhas.
Quais seriam os papéis de segunda linha? Podem ser atribuídos a especialistas, para fornecer
conhecimentos complementares, apoio, monitoramento e questionamento àqueles com papéis de
primeira linha. Os papéis de segunda linha podem se concentrar em objetivos específicos da gestão de
riscos, como:
Muitas vezes a segunda linha ouve dos gestores, quando tratam dos temas de
gestão de riscos e melhorias do sistema de controles internos, o seguinte
questionamento:
Cada função de segunda linha tem algum grau de independência das atividades que
constituem a primeira linha, mas são, por natureza, funções de gestão. Essas funções de
segunda linha podem desenvolver, implementar e/ou modificar diretamente o controle
interno e os riscos dos processos da companhia.
CAPACITAÇÃO
RISCOS
COMPLIANCE
QUALIDADE
© Todos os direitos reservados – proibida a reprodução
Ter riscos é inerente a qualquer
negócio, o grande problema é
não saber quais são os riscos a
que estamos expostos,
inviabilizando uma gestão
preventiva e sustentável.
CONTROLES
INTERNOS
2 7 AUDITORIA
COMPLIANCE
3 6 SEGURANÇA
INFORMAÇÃO
PROCESSOS
4 © Todos os direitos reservados – proibida a reprodução
5 QUALIDADE
Gestão de Riscos Estratégicos
A Gestão de Riscos Estratégicos é primordial para a condução das estratégias e
atingimento de seus objetivos, à medida que possibilita o estabelecimento
adequado de diretrizes e controles conforme o apetite ao risco, prevenindo,
desta forma, surpresas indesejadas, como a concretização de riscos inesperados,
bem como, a perda de oportunidades.
Auditoria
Compliance
Interna
Gestão De Gestão do
Riscos Conhecimento
Controles
Internos
(PROCESSOS)
Expectativa de
controle e
PROBABILIDADE
Vale a pena?
Vou ser pego?
O que eu ganho?
Se for pego, o
que acontece?
Orientação por processos - Neste Fundamento, fica clara a importância dos processos,
que devem ser gerenciados visando à busca da eficiência e da eficácia nas atividades
Geração de valor - De nada valeria todos os esforços se eles, no final, não estivessem
voltados para o alcance de resultados econômicos, sociais e ambientais, bem como de
resultados dos processos
Inventário de Processo
Gerenciamento de Riscos
Normas
Riscos Operacionais
Causa
Consequência ou
Probabilidade Impacto Classificação Relacionadas
Efeito
Descrição
Atividade de Controle
Tipo de Controle Natureza do controle Frequência do controle Componente do Coso
Descrição
Perda esperada: é a soma do produto das probabilidades de inadimplência pelo valor perdido em
caso de default da contraparte.
Tolerância a risco: reflete o risco que uma organização está disposta a aceitar para alcançar
seus objetivos.
Recursos
Serviços,
Pessoas, Habilidades
Informação Infraestrutura e
e Competências
Aplicativos
Auditorias Contínuas
baseada em Riscos
Estrutura Comunicação dos riscos
mapeados
Treinamento de Gestão de
Monitoramento dos Definição de Planos de
Processos com as áreas
Controles e Indicadores Ação
envolvidas
Aliás, a inteligência competitiva determina que é necessário saber gerenciar os dados sobre o
mercado, que neste caso estamos falando de consumidores, concorrência e fornecedores,
entre outros de maneira também estratégica.
3. Análise: é o ponto do sucesso, pois a inteligência é gerada por meio da análise dos dados
obtidos na etapa anterior;
Explicando de modo simples, essa metodologia é uma das ferramentas mais utilizadas na
gestão de qualidade em pequenas, médias e grandes empresas.
Além disso, é responsável por diminuir desperdícios, amenizar falhas, solucionar problemas,
melhorar processos e dar uma visão mais ampla e detalhada de tudo que acontece dentro
da organização, garantindo um maior controle da equipe sobre essas atividades.
✓ Definir,
✓ Medir,
✓ Analisar,
✓ Melhorar (Improve, em inglês), e
✓ Controlar.
marcos.assi@massiconsultoria.com.br
Blog do Assi: www.marcosassi.com.br
http://twitter.com/PROF_MASSI
Facebook: Marcos Assi
br.linkedin.com/in/marcosassi/