É muito comum nos encontros profissionais das áreas de governança e controle haver menção e apresentações sobre o tema das três linhas de defesa. Este modelo surgiu com a publicação em 21 de setembro de 2010 pelas FERMA e ECIIA no Guidance on the 8th EU Company law como recomendação da implementação dos requisitos da lei para o monitoramento da efetividade do sistema de controles internos, auditoria interna e gerenciamento de riscos.
Como salienta a declaração de posicionamento do IIA sobre o tema:
“O modelo de Três Linhas de Defesa é uma forma simples e eficaz de melhorar a comunicação do gerenciamento de riscos e controle por meio do esclarecimento dos papéis e responsabilidades essenciais”.
O ponto significativo neste modelo é a transparência sobre quais as responsabilidades de cada uma das partes interessadas na condução dos negócios e operação da organização, de forma a organizar o processo para que não existam lacunas devido a não compreensão das reais responsabilidades de cada um neste processo de governança.
Logicamente que é importante que os profissionais de governança e controle entendam e discutam este modelo, pois, são os agentes de mudança. São aqueles que irão motivar os gestores a adotar este modelo como base para suas atividades.
De uma forma resumida:
- A primeira linha de defesa tem como responsabilidade a gestão (alta e média gestão, e outros tomadores de decisão) como executores do processo de gerenciamento de riscos e dos sistemas de controles internos da organização.
- A segunda linha são os órgãos e profissionais de staff que tem como objetivo apoiar a gestão para que cumpram com suas responsabilidades de primeira linha, fornecendo conhecimento e ferramentas adequadas para este processo. Nesta linha se encontram os especialistas em controles internos, gestão de riscos, processos, compliance e outros profissionais de apoio.
- A terceira linha se resume na atividade de auditoria interna a qual tem como objetivo uma avaliação objetiva e independente da gestão dos riscos, controles e governança da organização. O resultado é a comunicação e efetivação das oportunidades de melhoria identificadas.
O que quero com este artigo é trabalhar algumas observações que tenho feito em campo que demonstram que apesar de tudo, este modelo não está adequadamente compreendido pelas organizações, sejam elas, empresas e entidade governamentais ou privadas.
Vejamos alguns indicadores que me faz chegar nesta conclusão:
- Falta de conhecimento e compreensão da dinâmica do modelo pela alta gestão (Conselho, presidente e seus reportes diretos). Alguns até mencionam que já ouviram falar do modelo, mas que desconhecem sua essência,
- Áreas de controle, riscos, compliance e algumas vezes até auditoria assumindo responsabilidade de primeira linha. Incluindo uma confusão do entendimento de cada uma destas áreas quanto sua responsabilidade. É comum ver atividades sobrepostas, duplicidades de avaliação, execução de controle, entre estas áreas.
- Inexistência de um processo estruturado e coordenado de gerenciamento dos riscos corporativos. Contar com uma matriz de riscos ou inventário de riscos não é gerenciar riscos. A gestão de riscos é base para qualquer processo de governança.
- Ambiente interno enfraquecido, políticas e procedimentos desatualizados, não atenção ao processo de gestão de competências, falta de visão da cadeia de valores ou dos ciclos de negócios, etc.
É preciso compreender que no atual mundo onde estão inseridas as organizações os desafios são imensos e complexos. A forma de fazer negócio tem mudado em uma velocidade impressionante, as inovações são disruptivas, a convergência para o mundo virtual é uma realidade sem volta, e se a organização não estiver preparada, estruturada e com a competência adequada para gerenciar estes desafios, ela está fadada a desaparecer.
Ainda estamos tentando gerir empresas da era do conhecimento como geríamos pós- revolução industrial.
Pois bem, a adoção do modelo das três linhas de defesa de forma compreensiva, alinhada a tecnologia existente irá permitir que a organização tenha posições e ações proativa, em uma estrutura enxuta e otimizada, com processos operacionais econômicos, minimizando com isto a aplicação de seu capital na estrutura, e consequentemente a perda de sua vantagem competitiva.
De uma maneira simples, a gestão deve fazer um diagnóstico de sua estrutura e organização considerando os quatro pontos indicado acima e com base no resultado, definir ações para elimina-los ou mitiga-los.
Um processo de sensibilização da estrutura através de palestras, oficinas de trabalhos, e-learning, ou outras formas de transferência de conhecimento é imprescindível para o fortalecimento e amadurecimento da organização, de forma que os diversos níveis de gestão estejam preparados para compreender e executar suas responsabilidades de forma clara e coordenada como sugerido no modelo das três linhas de defesa.
Seja Feliz!
(15.11.2018)