A primeira linha de defesa é composta pela gestão operacional da organização, cujo objetivo é gerenciar os riscos e ter propriedade sobre eles. É executada pelos gestores de todos os níveis dentro da organização. Ela também é responsável por implementar as ações corretivas para resolver deficiências em processos e controles. Cabe à gestão operacional manter controles internos eficazes e conduzir os procedimentos de riscos e de controle diariamente. A gestão operacional identifica, avalia, controla e mitiga os riscos, guiando o desenvolvimento e a implementação de políticas e procedimentos internos, de forma a garantir que as atividades estejam de acordo com as metas e os objetivos estabelecidos. Por meio de uma estrutura de responsabilidades em cascata, os gerentes do nível médio desenvolvem e implementam procedimentos detalhados, que servem como controles, e supervisionam a execução desses procedimentos por seus funcionários.
A segunda linha de defesa é composta pelas funções de controles internos, gerenciamento de riscos, conformidade da organização e estrutura de governança, que estabelecem as regras de conduta, manuais, segregação de funções e demais instrumentos de controle. É executada pelas áreas de controle interno, responsáveis, entre outros, pelo gerenciamento de riscos e pela conformidade da organização. Essas funções destinam-se a monitorar e contribuir para a implementação de práticas de gerenciamento de riscos na primeira linha de defesa. Os profissionais, nessa linha de defesa, assistem os gestores na definição de tolerâncias ao risco e na forma como as informações de risco e controles são divulgadas internamente na organização. Além da função de gerenciamento de riscos, também podem-se incluir nessa linha de defesa: as atividades de conformidade (compliance), o que significa monitorar os riscos de desconformidade com leis e regulamentos; a função de controladoria, que monitora os riscos financeiros; a função antifraude e anticorrupção, que monitora o risco de fraude e corrupção; a avaliação da qualidade de bens e serviços; a avaliação da segurança da informação e comunicação; a avaliação da sustentabilidade socioambiental.
A terceira linha de defesa é composta pela auditoria interna da organização, que fornece ao órgão de governança e à alta administração avaliações abrangentes baseadas no maior nível de independência e objetividade dentro da organização. Esse alto nível de independência não está disponível na segunda linha de defesa. A auditoria interna provê avaliações sobre a eficácia da governança, do gerenciamento de riscos e dos controles internos, incluindo a forma como a primeira e a segunda linhas de defesa alcançam os objetivos de gerenciamento de riscos e controle.
O ponto contributivo do modelo das três linhas de defesa é a transparência sobre as responsabilidades de cada uma das partes interessadas na condução dos negócios e na operação da organização, de forma a organizar o processo para que não existam lacunas devido à não compreensão das reais responsabilidades de cada um no processo de governança. O modelo das três linhas de defesa também contribui para: ajudar as organizações a identificar estruturas e processos que melhor auxiliam no atingimento de seus objetivos e fortalecem a governança e o gerenciamento de riscos; modernizar os mecanismos de controle, a consequente divisão de responsabilidades e a implantação dos controles internos mais eficazes ao alinhamento organizacional; buscar uma melhor gestão operacional, por meio de gerenciamento de riscos mais eficaz; aprimorar a conformidade da organização, o aumento de transparência, o accountability e a consequente participação e o controle social pela participação dos cidadãos; melhorar a clareza dos potenciais riscos e controles e ajudar a aumentar a eficácia do sistema de gerenciamento de riscos; aperfeiçoar a gestão dos recursos públicos, visando o desenvolvimento de mentalidade de prevenção e reduzindo os riscos de fraude e corrupção; gerar mais economicidade, eficiência, eficácia e efetividade no gerenciamento de riscos; conferir mais segurança aos gestores públicos, frente às tomadas de decisão.
Fonte: CEBRASPE (2021).
Confira explicação completa [clicando aqui]
FGV (2022):
QUESTÃO CERTA: O gestor responsável por um órgão da Administração direta vinculado ao Ministério de Minas e Energia recebeu orientações para implementar controles primários que garantam que as atividades sejam executadas de acordo com as metas e os objetivos da organização. Tais orientações podem ser provenientes da: Assessoria Especial de Controle Interno, na condição de segunda linha de defesa, orientando a atuação da primeira linha de defesa.
