As Três Linhas de Defesa soam como algo saído de um antigo manual de combate romano, uma formação que poderia dividir uma página com o chifre de touro pulando e a lança da perdição de Mandark com muitas pontas. Mas é algo muito mais moderno e envolve muito menos bárbaros.
É claro que muitos de nós que trabalham com gerenciamento de riscos estão intimamente familiarizados com o modelo das Três Linhas de Defesa. Ele sustenta muitas das suposições que consideramos certas no dia-a-dia de nosso trabalho. E agora, o IIA lançou uma atualização significativa que moderniza a abordagem e revisa algumas de suas suposições subjacentes.
Por um lado, o nome mudou. O novo apelido inclui muito mais o papel expandido em que o gerenciamento de risco cresceu. O Modelo de Três Linhas é uma visão evoluída dos conceitos básicos detalhados no original, ampliada para incluir o papel da prática de gerenciamento de riscos, na criação de valor. Este artigo irá detalhar essa e outras mudanças e discutir o que elas significam para o gerenciamento de riscos.
Por que fazer a mudança?
O modelo foi revisado para lidar com a complexidade crescente das organizações modernas e riscos emergentes sem precedentes que enfrentam. A concepção original fez um excelente trabalho ao definir como uma organização deve organizar suas estruturas de governança e gerenciamento de risco. Mas não estava acompanhando as mudanças nas hierarquias corporativas.
A nova concepção reconhece o sangramento que muitas vezes ocorre entre a primeira e a segunda linha, bem como o fato de que a gestão não está separada dos esforços de “mão na massa” necessários para implementar o modelo de forma eficaz.
Além disso, a revisão valida a visão de que o modelo não é mais puramente defensivo. A gestão de riscos também está envolvida em encontrar oportunidades – criar valor e ao mesmo tempo protegê-lo.
Em suma, o modelo foi aprimorado com o reconhecimento tácito de que sua simplicidade, embora fosse parte de seu apelo, estava limitando sua utilidade nos negócios modernos. A versão atualizada mantém a estrutura simples que o tornou famoso, ao mesmo tempo em que esclarece e expande as formas como as linhas e os jogadores envolvidos se interconectam.
Mais importante ainda, “o modelo das três linhas” soa mais legal do que “as três linhas de defesa” e se há uma tendência fora da gestão de risco que está mais preocupada com a última moda em terminologias de negócios chiques, aqui não a encontramos.
Como o modelo evoluiu
Uma das críticas mais frequentes do modelo era que a primeira e a segunda linhas não eram tão distintas quanto a estrutura definia. A primeira linha focou no controle de gestão, enquanto a segunda linha envolveu o monitoramento de riscos. Os críticos apontaram corretamente que a administração comumente participava das atividades de monitoramento de risco e que havia um sangramento geral entre as funções.
A nova revisão corrige esse problema mudando o foco das três linhas em si. Coloca mais ênfase nas relações entre o corpo diretivo de uma organização, sua administração e os auditores internos que mantêm todos alinhados.
O novo modelo reconhece que a gestão está envolvida na primeira e na segunda linhas e as coloca em seu domínio. A terceira linha ainda é mantida para auditoria interna. O modelo é mais explícito na definição de responsabilidade, delegação e supervisão entre as diferentes funções.
Esse novo pensamento está resumido em seis princípios, um novo elemento para a revisão de 2020. Esses princípios oferecem uma base filosófica de como uma organização pode adaptar o modelo a suas estruturas exclusivas.
Esses princípios definem a governança sob o novo modelo, descrevem a função ampliada do corpo diretivo e explicam como as duas primeiras linhas se enquadram no guarda-chuva da administração. Eles também definem a função dos auditores na terceira linha e descrevem o que significa para a terceira linha ser independente das duas primeiras. Finalmente, os princípios descrevem como a colaboração entre as três linhas cria valor, mantendo os interesses das partes interessadas em mente.
O que isso significa para sua organização
O novo Modelo de Três Linhas destina-se a alinhar-se estreitamente com os objetivos de uma organização. A defesa foi redefinida e expandida para incluir estruturas projetadas para promover os objetivos e aspirações do grupo, protegendo seus interesses.
Ao aplicar o modelo à sua organização, lembre-se de que é uma estrutura geral aplicável à hierarquia de controle de cada organização. Seu grupo pode implementá-lo de forma diferente de outro, mas ambas as implementações são igualmente válidas.
Pode haver uma sobreposição entre seu corpo de governança e sua camada de gestão, mas as interações fundamentais não mudam. Seu corpo diretivo cria as estruturas e processos necessários para uma governança eficaz e trabalha para garantir que eles estejam alinhados com as prioridades das partes interessadas. As responsabilidades são então delegadas à camada de gerenciamento, junto com os recursos apropriados.
A gestão tem por missão tomar as medidas necessárias à concretização dos objetivos definidos pelo órgão de governação. A administração é responsável perante o corpo diretivo e recebe sua orientação. Ele trabalha para garantir a conformidade com todas as diretrizes regulatórias e éticas relevantes. As funções de segunda linha da administração complementam essas responsabilidades de primeira linha.
Isso envolve o desenvolvimento e monitoramento de práticas de gestão de risco. A administração se concentra simultaneamente em analisar e relatar o sucesso desses procedimentos.
A terceira linha de uma organização, auditores internos, deve ser responsável perante o corpo diretivo, mas independente dele e da administração. Essa camada de separação é crítica para seu papel de cão de guarda.
A terceira linha funciona como um observador imparcial preocupado em garantir a adequação da governança da organização e práticas de gestão de risco em apoio aos seus objetivos abrangentes. Os auditores também se policiam, observando e corrigindo quaisquer infrações à sua objetividade.
O novo modelo de três linhas define o futuro da gestão de riscos organizacionais
As melhorias encontradas na revisão de 2020 esclarecem o modelo para a realidade dos negócios modernos. Como resultado, é provável que seja adotado tão amplamente quanto o original foi, se não mais.
É um exemplo clássico da sequência fazendo as coisas melhor do que o original. Da mesma forma que “The Empire Strikes Back” pegou tudo o que “A New Hope” fez bem e melhorou, o Modelo de Três Linhas mantém as melhores partes das Três Linhas de Defesa e as torna mais relevantes do que nunca.
Você poderia dizer que é a nova esperança da gestão de risco, mas isso quebraria a analogia, então não vamos dizer isso.
Mas é isso mesmo.
