1

IIA DOCUMENTO DE EXPOSIÇÃO

Três Linhas de Defesa

Junho de 2019

Índice 02 Sumário executivo 03 Carta do Grupo de Trabalho 04 A. Histórico 06 B. Governança: a chave para o sucesso organizacional 07 C. Contribuindo para o sucesso organizacional e a criação de valor 11 D. Escalabilidade, maturidade, estruturação e “linhas borradas”

2

Sumário Executivo

O modelo das Três Linhas de Defesa é uma parte importante do gerenciamento de riscos e controle da organização, atraindo tanto críticos quanto admiradores. Em um momento em que a confiança nas organizações está sob ataque, e em uma era de mudanças e reviravoltas quase contínuas, o The IIA está realizando uma grande revisão do modelo, para determinar seu valor e utilidade daqui para frente. Este documento de exposição faz parte desse processo de revisão e foi criado para solicitar a contribuição de uma ampla gama de stakeholders globais.

O modelo atual tem a vantagem de ser simples, fácil de comunicar e fácil de entender. Ele descreve os respectivos papéis do conselho/corpo administrativo, alta administração e gerência operacional, funções de risco e conformidade, e auditoria interna. Ele ajuda as organizações a evitar confusões, lacunas e sobreposições ao atribuir as responsabilidades pelas atividades de gerenciamento de riscos e controle. Também destaca a influência da auditoria externa e dos reguladores.

Embora o modelo tenha sido amplamente adotado por organizações e governos do mundo todo, as principais críticas a essa abordagem são que o modelo das Três Linhas de Defesa é muito limitado e muito restritivo. Concentra-se exclusivamente em ações defensivas, em vez de uma abordagem mais proativa à identificação, análise e preparação para oportunidades e ameaças. Sugere estruturas rígidas e cria a tendência de silos operacionais, que podem ser menos eficientes e eficazes. Em suma, não está equipado para refletir as realidades atuais das organizações modernas.

Neste documento, fornecemos uma análise do modelo das Três Linhas de Defesa e fazemos propostas de como ele pode ser fortalecido e melhorado. A chave para essas propostas é ampliar o escopo do modelo, indo além da proteção do valor e incluindo a criação de valor. As estruturas e processos que existem para proteger uma organização contra riscos são fundamentais, ao mesmo tempo, para a governança eficaz e para o sucesso organizacional. As necessidades e interesses dos stakeholders determinam o propósito da organização. Os mecanismos de governança servem para garantir que a organização permaneça alinhada com os stakeholders.

Nesse contexto, cada um dos principais contribuintes para o sucesso organizacional e a criação de valor (corpo administrativo; administração; risco, qualidade, controle e conformidade; e auditoria interna independente) são descritos neste documento. Embora a perspectiva seja principalmente interna, também examinamos os papéis dos auditores externos, reguladores e outros.

Dentro do modelo básico, há muito espaço para flexibilidade e escolha. Como atribuir, separar e combinar funções deve ser uma decisão tomada pelos corpos administrativos de cada organização, considerando os desejos e orientações dos stakeholders, bem como as expectativas regulatórias e requisitos legais. Outro ponto de ênfase é a necessidade de uma estreita coordenação entre esses colaboradores, para evitar silos.

A liberdade de atribuir papéis e a estreita colaboração entre eles pode levar às chamadas "linhas borradas". No entanto, o atual modelo das Três Linhas de Defesa é incapaz de explicar isso e não oferece qualquer orientação. É necessário refletir cuidadosamente a respeito, para garantir que isso não resulte na combinação de funções conflitantes. Em especial, dada a importância de sua independência, deve-se tomar grande cuidado quando as responsabilidades da auditoria interna forem levadas além da avaliação objetiva e confiável da eficácia e da adequação da governança, gerenciamento de riscos e controle. Algumas salvaguardas podem ser aplicadas para permitir que a auditoria interna possa cumprir com sua missão.

O modelo das Três Linhas de Defesa provou seu valor repetidamente ao longo dos últimos 20 anos. Essas revisões propostas têm a intenção de ajudar a modernizar e fortalecer essa ferramenta confiável de governança, de modo que sua utilidade e valor possam ser ampliados. Este documento reflete os pensamentos e análises de um grupo de trabalho nomeado pelo The IIA e presidido por Jenitha John.

3

Carta do Grupo de Trabalho “As três linhas de defesa vieram para atender a uma ampla gama de indústrias, abordando as diversas questões relacionadas a governança, gerenciamento de riscos e controle. Por mais de 20 anos, as organizações usaram o modelo para navegar um cenário operacional em constante evolução, em sua jornada para o sucesso organizacional e a criação de valor sustentável.

Reconhecendo as mudanças nas expectativas dos stakeholders e o aumento das complexidades das organizações, o The IIA, em colaboração com especialistas em governança e gerenciamento de riscos do mundo todo, lançou uma revisão das Três Linhas de Defesa, opinando sobre seus pontos fortes, aplicação e eficácia, para garantir sua relevância contínua no atual clima de mudanças constantes.

O objetivo do grupo de trabalho é a criação de um modelo específico, que seja adaptável o suficiente para ser aplicado à ampla variedade de modelos organizacionais e aos ambientes em rápida mudança nos quais operam. Para isso, são necessários processos dinâmicos de governança, gerenciamento de riscos e controle, sendo de vital importância a coordenação, colaboração e alinhamento de todo o modelo.

O objetivo desta revisão é permitir que os responsáveis pela governança utilizem o modelo das Três Linhas de Defesa para ajudar a implantar a estrutura e os recursos mais adequados para preservar e aumentar o valor em suas organizações.

O grupo de trabalho, através de suas deliberações esclarecedoras e amplas discussões, apresenta a você as Três Linhas de Defesa como são vivenciadas hoje, com pensamentos e lógica sobre como implantar o modelo de forma eficaz.

Buscamos alavancar a sabedoria coletiva dos membros e stakeholders do The IIA do mundo todo e pedir seu feedback, para ajudar a formar e moldar a posição do The IIA sobre esse tópico vital. Sua participação será sinceramente apreciada.”

Jenitha John, presidente do grupo de trabalho; vice-presidente do Conselho Global de Administração do The IIA; e Chief Audit Executive, FirstRand Ltd

Os membros do grupo de trabalho são:

Mark Carawan, Chief Compliance Officer, Citigroup Greg Grocholski, Chief Audit Executive, SABIC Trygve Sørlie, Prestador de Serviços Independente, Trygve Sørlie Services EPF Shannon Urban, Diretora Geral, EY Beili Wong, VP de Auditoria e Riscos, CAE, Liquor Control Board of Ontario Charlie Wright, Chief Risk Officer, Jack Henry and Associates

As opiniões expressas neste documento são opiniões pessoais dos membros do grupo de trabalho e não refletem necessariamente as opiniões das organizações para as quais trabalham.

4

A. Histórico

A.1 O argumento em prol de renovar e atualizar as Três Linhas de Defesa

O modelo das Três Linhas de Defesa surgiu há mais de 20 anos e, desde então, se tornou amplamente reconhecido, principalmente no setor de serviços financeiros, onde foi criado. O The IIA adotou o modelo formalmente na Declaração de Posicionamento “As Três Linhas de Defesa no Gerenciamento Eficaz de Riscos e Controles”, publicada em 2013 e vem promovendo o modelo como uma ferramenta valiosa para os responsáveis pela governança. Seu apelo está na explicação direta e simples dos diversos papéis e atividades que compõem o gerenciamento de riscos e controle (embora não considere a governança de forma mais ampla) e seu valor é ajudar as organizações a evitar confusão, duplicação e lacunas na atribuição de responsabilidades por esses papéis e atividades.

Gráfico da Declaração de Posicionamento do The IIA As Três Linhas de Defesa no Gerenciamento Eficaz de Riscos e Controle publicado em 2013, adaptado da Guidance on the 8th EU Company Law Directive, artigo 41, da ECIIA/FERMA

Muito mudou desde que o modelo foi formulado inicialmente, incluindo a natureza das organizações e os ambientes nos quais operam, o papel e o posicionamento de cada uma das três “linhas” e a contribuição da auditoria interna para o sucesso organizacional. A confiança nas organizações diminuiu nos últimos anos, devido a uma sucessão de escândalos e crises. Se as deficiências do modelo puderem ser solucionadas, as Três Linhas de Defesa podem ajudar as organizações a reconstruir essa confiança e atingir seus objetivos de uma forma que melhor atenda às necessidades e interesses de seus stakeholders. A.2 Avaliação do modelo das Três Linhas

O modelo tem atraído críticas ao longo dos anos, destacando suas limitações em abordar a complexidade das organizações modernas. Além disso, o gráfico familiar, desenvolvido e promovido para ilustrar o modelo, é visto como se reforçasse essas limitações. Diversas variações do modelo foram propostas, mas nenhuma delas obteve adesão significativa.

Em vez da necessidade de uma revisão completa, o modelo atual tem pontos fortes que podem ser ampliados e aprimorados para atender às necessidades organizacionais com mais êxito.

5

Forças do Modelo das Três Linhas de Defesa Oportunidades de Melhoria

É simples, fácil de entender e fácil de comunicar. Manter essas qualidades.

Enfoca a importância de um gerenciamento eficaz de riscos e controles.

Contextualizar o gerenciamento de riscos e controle como parte da governança, apoiando o sucesso organizacional e a criação de valor.

Apoia os esforços da organização para responder a oportunidades e ameaças.

Encorajar uma abordagem proativa e reativa ao alcance das metas da organização.

Oferece uma base para clareza e eficiência na organização de atividades e recursos de gerenciamento de riscos e controle.

Enfatizar a importância da coordenação e colaboração, em alinhamento com as prioridades estratégicas e necessidades operacionais.

Descreve os papéis desempenhados por cada uma das principais funções e stakeholders externos que são relevantes para o gerenciamento de riscos e controle.

Fornecer clareza adicional aos papéis e responsabilidades das funções individuais e à sua contribuição conjunta para a governança, sucesso organizacional e criação de valor.

Descreve um meio de estruturar funções principais. Destacar as oportunidades para uma adoção mais flexível e ágil do modelo.

Tem sido amplamente adotado, especialmente por organizações e reguladores de serviços financeiros.

Considerar as diferenças organizacionais, principalmente quanto ao porte, setor e maturidade; demonstrar relevância; e permitir a pronta adoção por qualquer organização.

Reconhece o papel dos auditores externos e reguladores no gerenciamento de riscos e controle.

Considerar outros stakeholders externos e sua contribuição para a governança, o sucesso organizacional e a criação de valor, sem complicar demais o modelo.

Permite a pronta explicação do papel da auditoria interna como “terceira linha de defesa”.

Expandir essa descrição, incluindo a função de auditoria interna como parceira estratégica e conselheira confiável.

Fornece um framework útil para discussões sobre independência, objetividade e avaliação.

Considerar e explicar as "linhas borradas" e descrever as salvaguardas apropriadas.

É ilustrado por um gráfico bem conhecido e simples. Aprimorar a representação gráfica, refletindo a evolução e a melhoria do modelo em si.

6

B. Governança: a chave para o sucesso organizacional B.1 Por que as organizações existem

As organizações são criadas para cumprir com um propósito e entregar resultados desejáveis, definidos pelas necessidades e interesses específicos dos stakeholders, e para criar valor através da transformação de diversos insumos em novos produtos1, 2. Os stakeholders conferem autoridade e ativos a um corpo administrativo, para que este assuma o controle da organização em seu nome, e não estão interessados somente nos produtos e resultados, mas também em como são alcançados.3 Acima de tudo, os stakeholders esperam que a organização atinja suas metas de maneira eficaz, eficiente, sustentável e ética, por meio de decisões, ações, comportamentos e resultados apropriados.

As organizações não operam no vácuo, mas sim sob influência e moldagem por fatores econômicos, sociais, políticos, ambientais, tecnológicos, físicos e outros. Esses fatores incluem incerteza, mudança, complexidade, subjetividade, imparcialidade, interesses próprios, competição por recursos finitos, e limites de capacidade e habilidades, e muitas vezes, são fontes de oportunidades e ameaças. As organizações adotam medidas apropriadas e específicas para lidar com esses fatores, de modo a manter suas decisões, ações, comportamentos e resultados alinhados com as necessidades e interesses dos stakeholders, otimizando seu desempenho geral. B.2 Como a governança promove o sucesso organizacional e a criação de valor

Exemplos das medidas criadas para abordar as oportunidades e ameaças incluem, mas não estão limitadas a:

Envolvimento dos stakeholders Administração dos recursos Cultura ética

Liderança ética Liderança eficaz Direção

Priorização Delegação de recursos Definição de metas

Segregação de responsabilidades Especialização Divisão de trabalho

Processos para lidar com a incerteza Processos para lidar com a mudança Indicadores de desempenho

Monitoramento e reporte Desafio especializado Criação e teste de políticas

Exame independente Avaliação independente Aconselhamento independente

Tais medidas contribuem para a governança eficaz e são facilitadoras do sucesso organizacional e da criação de valor4. Servem não apenas para promover resultados alinhados aos interesses dos stakeholders, mas também para manter decisões, ações e comportamentos alinhados.

Mesmo com medidas de governança adequadas, não é possível prever eventos futuros com total precisão ou garantir sucesso. Em vez disso, o objetivo é otimizar a eficácia e a prestação de contas da tomada de decisões e ações, facilitar o comportamento ético e gerenciar a incerteza, para reduzir a variabilidade no desempenho como um todo, e para operar dentro de uma faixa aceitável de resultados.

1 “Organização” é usada neste documento para se referir a qualquer entidade formalmente constituída, independentemente de porte, setor, propriedade e forma de controle, do menor negócio familiar ao maior conglomerado multinacional, bem como órgãos e departamentos do governo local, municipal e central. 2 “Stakeholder” é usado neste documento para se referir a qualquer parte que tenha interesse ou participação nas atividades de uma organização. 3 “Corpo administrativo” é usado neste documento para se referir ao indivíduo ou grupo de indivíduos encarregados da governança e que têm responsabilidade final por todos os aspectos da organização, independentemente de como isso é constituído, incluindo conselhos únicos e múltiplos, conselhos e órgãos semelhantes. Também é usado para incluir quaisquer comitês do corpo administrativo, como o comitê de auditoria. 4 “Governança” é usada neste documento em consistência com a definição do glossário do International Professional Practices Framework® (IPPF®) do The IIA, como a "combinação de processos e estruturas implantadas pelo conselho para informar, dirigir, gerenciar e monitorar as atividades da organização, com o intuito de alcançar os seus objetivos."

7

As medidas de governança listadas aqui podem ser prontamente agrupadas em quatro conjuntos sobrepostos e complementares de funções e atividades relacionadas:

• Liderança e supervisão. • Execução da estratégia. • Suporte, orientação e controle. • Avaliação e aconselhamento objetivos.

A atribuição de responsabilidades a esses papéis e atividades dentro de uma organização é uma das tarefas do corpo administrativo, ao estabelecer processos e estruturas para a governança, garantindo a conformidade com os requisitos regulatórios e legislativos. As organizações variam consideravelmente e mudam com o tempo, mas existem elementos estruturais comuns que se alinham amplamente aos conjuntos de papéis e atividades de governança:

• A responsabilidade pela liderança e pela supervisão é atribuída a um corpo administrativo. • O corpo administrativo delega a responsabilidade pela execução da estratégia à administração. • Dentro da esfera de responsabilidade da administração, são estabelecidas funções separadas, que

fornecem suporte, orientação e controle quanto a riscos, qualidade, controle e conformidade. • A auditoria interna independente oferece avaliação objetiva, conhecimentos e, frequentemente, também

aconselhamento. Dentro desse framework geral, é provável que haja indivíduos, equipes e funções que tenham responsabilidades que abranjam dois ou mais conjuntos de papéis e atividades de governança. Isso é discutido na seção D.2, “Linhas borradas”.

C. Contribuindo para o sucesso organizacional e a criação de valor C.1 Agregando ao modelo

Os elementos estruturais comuns descritos acima alinham-se intimamente com os componentes familiares do modelo das Três Linhas de Defesa, mas permitem a sobreposição e “linhas borradas”. Há uma relação muito mais próxima entre todos os elementos do que o sugerido pelo gráfico familiar da página 4.

C.1.1 Corpo administrativo

Os stakeholders dão ao corpo administrativo a responsabilidade geral pela administração da organização, sua cultura, ativos, atividades, desempenho, envolvimento com outras organizações e indivíduos, impacto ambiental, reporte e assim por diante. A partir de então, os stakeholders geralmente têm uma contribuição direta limitada quanto às decisões estratégicas e operacionais. Essa separação de propriedade e governança requer medidas para garantir que o corpo administrativo dirija a organização de acordo com as necessidades e interesses de seus stakeholders, dentro dos requisitos das leis e regulamentos, e de acordo com as expectativas sociais e culturais. Isso requer integridade, transparência e prestação de contas, além do envolvimento regular dos stakeholders, bem como o escrutínio e reporte independentes.

As principais funções do corpo administrativo, portanto, incluem:

• Estabelecer e manter uma cultura ética, liderando pelo exemplo e definindo o “tom no topo”. • Envolver os stakeholders, para garantir o alinhamento das decisões, ações, comportamentos e resultados

com seus interesses, de forma eficiente, eficaz, sustentável e ética. • Fornecer liderança ética e estratégica para a organização e definir o direcionamento estratégico.

8

• Estabelecer processos, responsabilidades e estruturas abrangentes. • Estabelecer comitês do corpo administrativo, conforme necessário. • Definir metas para o desempenho geral e determinar variações e tolerâncias aceitáveis. • Delegar recursos e autoridade à administração e à auditoria interna. • Aprovar políticas criadas pelas funções de riscos, qualidade, controle e conformidade. • Monitorar o desempenho. • Revisar os relatórios e avaliações recebidas de todas as funções. • Reportar decisões, ações, comportamentos e resultados aos stakeholders e autoridades apropriadas.

C.1.2 Administração

O corpo administrativo normalmente delega a responsabilidade de execução da estratégia à administração e aloca os devidos recursos. A separação entre a governança e a execução da estratégia pode ser confusa, dependendo do tipo de modelo de governança e do grau de participação da administração na governança, e vice-versa.

Várias funções de suporte trabalham em conjunto com a administração e são consideradas como parte da administração, mesmo quando podem ser terceirizadas. Finanças e contabilidade, recursos humanos e TI, por exemplo, geralmente apoiam a administração com serviços suplementares.

A assistência é fornecida no gerenciamento de riscos, qualidade, controle e conformidade, e auditoria interna. No entanto, a administração é a proprietária dos riscos e é a responsável por criar e implantar controles, e por gerenciar a incerteza associada à execução da estratégia dentro das variações acordadas de desempenho. Embora isso não possa ser garantido com precisão perfeita, espera-se que a administração tome as medidas necessárias para ter a maior chance de sucesso.

As principais responsabilidades da administração incluem:

• Alcançar os objetivos organizacionais. • Tomar decisões, ações, manter a conduta pessoal e entregar resultados alinhados com as necessidades e

interesses dos stakeholders de forma eficiente, eficaz, ética e sustentável, dentro das variações e tolerâncias aprovadas pelo corpo administrativo.

• Avaliar fatores internos e externos que possam impactar (positiva ou negativamente) as decisões, ações, comportamentos e resultados.

• Estabelecer e operar sistemas de pesos e contrapesos projetados para manter o desempenho dentro das variações e tolerâncias aceitáveis.

• Manter os pesos e contrapesos atualizados quanto ao contexto do ambiente operacional atual e futuro provável, e repará-los, se demonstrarem ineficácia ou defeitos, ou diminuí-los ou eliminá-los, se não forem mais necessários.

• Aplicar medidas corretivas quando decisões, ações, comportamentos e resultados estiverem aquém das expectativas.

• Colaborar com as funções de riscos, qualidade, controle e conformidade para a criação e desenvolvimento de políticas e para implantar e assumir responsabilidade por essas políticas.

• Comunicar para baixo na hierarquia e a toda a organização a direção recebida do corpo administrativo. • Definir táticas e indicadores de desempenho. • Monitorar e analisar as atividades. • Reportar o desempenho e as previsões ao corpo administrativo e prestar avaliação.

9

C.1.3 Funções de risco, qualidade, controle e conformidade

Como parte da função mais ampla de administração, as funções de riscos, qualidade, controle e conformidade fornecem supervisão, orientação, suporte, desafio e controle táticos ao trabalhar com a administração, e são especializadas em alavancar conhecimentos e habilidades específicas. Elas desenvolvem e testam políticas aprovadas pelo corpo administrativo, criadas para manter o desempenho dentro das variações e tolerâncias aceitáveis definidas pelo corpo administrativo. O desenvolvimento, monitoramento e melhoria contínua das políticas podem incluir, de maneira útil, o envolvimento da administração e da auditoria interna. As variações e tolerâncias de desempenho são impossíveis de evitar e são geralmente reconhecidas como possivelmente valiosas, quando entendidas e gerenciadas cuidadosamente e em tempo hábil. Em alguns casos, é a função de riscos, qualidade, controle ou conformidade que aprova certas ações e, dessa forma, atua como um controle.

As responsabilidades dessas funções geralmente incluem o apoio às políticas da administração, a definição de funções e responsabilidades e a definição de metas para implantação. Tarefas específicas podem incluir:

• Analisar os problemas emergentes conhecidos e identificar novos que possam afetar decisões, ações, comportamentos e resultados.

• Identificar mudanças na aceitação implícita de variações e tolerâncias de desempenho por parte da organização.

• Auxiliar a administração no desenvolvimento de frameworks, processos e controles de riscos para alinhar o desempenho com os objetivos estratégicos, e identificar quando os controles não são mais necessários e podem ser relaxados ou retirados por completo.

• Fornecer orientação e treinamento sobre os processos de governança, gerenciamento de riscos e controle. • Facilitar e monitorar a implantação de práticas eficazes de gerenciamento de riscos pela administração. • Alertar a administração quanto a questões emergentes e mudanças nos requisitos regulatórios. • Monitorar a adequação e a eficácia do controle interno, a precisão e a integralidade do reporte, a

conformidade com leis e regulamentos, e a correção oportuna das deficiências.

C.1.4 Auditoria interna independente

A missão da auditoria interna é “aumentar e proteger o valor organizacional, fornecendo avaliação, assessoria e conhecimento objetivos baseados em riscos” e ela é uma colaboradora direta para capacitar a organização a atingir seu propósito (ou seja, criação de valor)5.

Embora continue fazendo parte da organização, a auditoria interna pode prestar avaliação objetiva confiável sobre a adequação e eficácia dos controles, processos e estruturas criados para apoiar a boa governança. O corpo administrativo precisa de uma avaliação objetiva para poder exercer seu papel de supervisão de forma eficaz. Além da independência estrutural, a objetividade da auditoria interna é possibilitada por ter e aplicar uma mentalidade objetiva, aderindo a um processo rigoroso e sistemático e alinhando-se às normas profissionais. O papel da auditoria interna não substitui a obrigação da administração de monitorar o desempenho e reportar ao corpo administrativo, mas é um complemento essencial. Certas estruturas de apoio e reporte são necessárias para garantir o acesso da auditoria interna a todos os recursos, funcionários e registros necessários para que possa fazer seu trabalho, bem como um canal direto de denúncia ao corpo administrativo, para garantir sua independência.

O plano de trabalho da auditoria interna deve estar claramente alinhado com as prioridades estratégicas e necessidades operacionais da organização, permitindo uma visão fidedigna, confiável e objetiva sobre a adequação e a eficácia da governança e todos os pesos e contrapesos que ela inclui, bem como como a identificação de oportunidades e ameaças que possam surgir.

5 International Professional Practices Framework® (IPPF®) do The IIA.

10

As responsabilidades da auditoria interna podem incluir:

• Oferecer avaliação, opiniões, conhecimentos e aconselhamento sobre a adequação e a eficácia da governança, gerenciamento de riscos e controle interno.

• Realizar auditorias internas e revisões baseadas em riscos, alinhadas às prioridades estratégicas e às necessidades operacionais.

• Oferecer avaliação, opiniões, conhecimentos e conselhos sobre a eficiência e a eficácia das operações, incluindo a salvaguarda dos ativos e a confiabilidade e integridade dos processos de reporte.

• Oferecer avaliações e opiniões sobre as funções de conformidade da organização e sobre sua conformidade com as leis, regulamentos, políticas, procedimentos e contratos.

• Avaliar a influência da cultura e do comportamento organizacional. • Contribuir para o desenvolvimento de políticas. • Consultar o corpo administrativo e a administração quanto a oportunidades e ameaças emergentes. • Reportar ao corpo administrativo e à administração.

C.1.5 Contribuição para o sucesso organizacional: outros órgãos

Além dos elementos estruturais internos, as organizações recorrem a órgãos externos (auditores externos, instituições supremas de auditoria, reguladores e outros) para apoiar a criação de valor. Os stakeholders obtêm benefícios importantes como resultado, como a maior confiança na precisão dos relatórios financeiros e o conforto de que os líderes da organização estão sendo responsabilizados. É importante reconhecer os papéis desempenhados por esses órgãos externos como contribuintes adicionais para a governança, o gerenciamento de riscos e o controle, e para decisões, ações, comportamentos e resultados eficazes, que permitam que a organização progrida em direção a seus objetivos e permaneça alinhada com os interesses e as necessidades de seus stakeholders.

Auditores externos/SAIs

Os auditores externos fornecem aos stakeholders um nível adicional de avaliação independente sobre a precisão dos relatórios financeiros da organização e sobre os sistemas que a sustentam. As instituições supremas de auditoria (supreme audit institutions – SAIs) desempenham esse papel no setor público e realizam auditorias de desempenho e de conformidade, podendo ter inspeções adicionais e mandatos jurisdicionais. É de responsabilidade do órgão administrativo supervisionar o trabalho de auditoria externa ou das SAIs e receber relatórios. É importante garantir que o planejamento da auditoria externa e das SAIs seja coordenado com o da auditoria interna, para permitir um compartilhamento e uma integração mutuamente benéficos. Conforme as organizações avançam em direção a formas mais amplas de reporte externo, que refletem capitais financeiros e não financeiros, há oportunidade de criar um valor ainda maior para os stakeholders, bem como necessidades adicionais de avaliação, tanto da auditoria interna quanto externa.

Reguladores

Os reguladores aplicam e monitoram as regras criadas para aumentar a transparência e a prestação de contas em diversas áreas, incluindo reporte financeiro, ambiental, de saúde e segurança, privacidade, trabalho e outros. Uma atenção especial é dada a grandes instituições financeiras, devido à sua importância para a economia como um todo. Normalmente, a regulamentação estabelece expectativas para as organizações seguirem, aplicadas por meio de um processo de inspeção, revisão, reporte e penalidades. Os reguladores financeiros de muitos países adotaram fortemente as Três Linhas de Defesa como modelo de governança, gerenciamento de riscos e controle eficazes, porque é um modelo claro e bastante simples para organizar e gerenciar essas atividades e recursos.

11

Contabilidade, inspeção, supervisão, monitoramento e avaliação

Em alguns contextos do setor público, como instituições financeiras multilaterais (como bancos de desenvolvimento), principalmente na ausência de um regulador, podem existir papéis adicionais chamados diversamente como prestação de contas, inspeção, supervisão, monitoramento e avaliação. Eles podem ser incluídos no âmbito do risco e conformidade ou da auditoria interna ou, alternativamente, podem ser atribuídos a funções distintas que reportem geralmente ao órgão de governação, diretamente ou via comitê. Esses relatórios também podem ser compartilhados com o público. O foco desse trabalho tende a ser as políticas, bem como os impactos externos (principalmente ambientais e sociais) de iniciativas de grande escala. O desejo de um maior grau de independência, assim como a natureza especializada do monitoramento e da avaliação, leva à criação de funções separadas ou à terceirização da atividade.

C.2 Uma abordagem coordenada

A aplicação bem-sucedida dos princípios que sustentam o modelo depende dos elementos individuais que operam com alto grau de coordenação, para evitar o raciocínio em silos e atividades desalinhadas das prioridades estratégicas e das necessidades operacionais da organização. Os benefícios de uma abordagem coordenada incluem: ganhos em eficiência e eficácia, levando a um planejamento, execução, monitoramento e reporte mais oportunos e consistentes; um cenário mais claro da adequação e eficácia da governança; prevenção da fadiga de reporte e avaliação; e uma melhor governança no geral.

Ao planejar e estabelecer seus processos e estruturas de governança, o corpo administrativo deve garantir que os papéis e responsabilidades sejam claramente entendidos por todas as funções, o que é apoiado pela interação e comunicação regulares. É importante reconhecer o valor de um esforço sustentado e coordenado. Sem isso, pode haver uma tendência a sair do alinhamento, o que deixará a organização vulnerável a confusão, lacunas, duplicação de esforços e enfraquecimento geral do sucesso organizacional e da criação de valor.

A comunicação regular é, frequentemente, a chave para uma coordenação eficaz. Uma maior integração também pode ser promovida por:

• Garantir que as metas individuais, de equipe e departamentais estejam alinhadas com as prioridades estratégicas e as necessidades operacionais da organização.

• Garantir um entendimento comum do objetivo e das funções de cada parte da organização. • Estabelecer um vocabulário comum para descrever os aspectos da governança, gerenciamento de riscos e

controle. • Utilizar sistemas comuns de classificação ou mensuração em todas as funções. • Compartilhar recursos, incluindo especialistas, entre as funções. • Alavancar dados e tecnologia para facilitar a captura, análise e comunicação de conhecimentos.

A auditoria interna pode desempenhar um papel importante na liderança de esforços em prol de uma abordagem mais integrada. Isso inclui o mapeamento de avaliação, para garantir que a cobertura das diversas funções em toda a organização e outros órgãos - internos ou externos - seja consistente, adequada, eficiente, confiável e alinhada. Os esforços dos diversos prestadores de avaliação devem ser acumulados e coordenados para efeito máximo. Como importante prestadora de avaliação objetiva, a auditoria interna pode ser a que fornece o melhor gerenciamento de avaliação na organização, e atua como garantidor de que o corpo administrativo e a organização como um todo estão recebendo o nível de avaliação exigido em todas as atividades e capacidades.

12

D. Escalabilidade, maturidade, estruturação e as “linhas borradas”

D.1 Escalabilidade

O entendimento renovado proposto neste documento permite uma abordagem mais flexível e adaptável para aplicar os princípios que sustentam o modelo e aumenta sua relevância para uma ampla gama de organizações.

Organizações menores, menos maduras e menos reguladas desfrutam de certos benefícios que facilitam a manutenção de decisões, ações, comportamentos e resultados alinhados aos interesses e necessidades de seus stakeholders. É provável que os principais stakeholders sejam menos numerosos, tornando mais fácil acompanhar e entender suas expectativas, além de mantê-los atualizados quanto ao desempenho. É provável que haja maior participação dos stakeholders na governança e dos membros do corpo administrativo nas atividades da administração. Em geral, a organização e seu ambiente operacional podem ser menos complexos e mais fáceis de supervisionar em sua totalidade, mais diretamente pelo corpo administrativo, com menor necessidade de depositar confiança nos relatórios de outros.

Como resultado, uma organização de pequeno porte pode optar por uma forma do modelo com combinação muito maior de papéis e atividades de governança. Também pode haver uma separação limitada, dentro da administração, para formar funções distintas de riscos, qualidade, controle e conformidade, que, em vez disso, estão mais integradas às operações ou incluídas na auditoria interna.

Em contraste, conforme as organizações crescem, tornam-se mais complexas e sujeitas a maior regulamentação, e buscam uma maior diferenciação de outras organizações no mesmo segmento, torna-se ainda maior o escopo para explorar plenamente a interpretação mais ampla e atualizada do modelo. Conforme os recursos aumentam, também aumentam as oportunidades de especialização e a segregação de responsabilidades. Mais recursos especializados podem ser dedicados a atividades de riscos, qualidade, controle e conformidade, e à auditoria interna.

Em todos os casos, a forma específica de adoção do modelo deve ser mantida sob a revisão regular por parte do corpo administrativo, dentro dos requisitos estabelecidos pelos reguladores e pelas expectativas dos stakeholders. O equilíbrio das prioridades de proteção do valor em relação à criação de valor, o grau de combinação na separação entre os conjuntos de papéis e atividades de governança, e a distribuição relativa dos recursos entre as funções devem variar de acordo com as necessidades e circunstâncias mutáveis. D.2 “Linhas borradas”

Uma das críticas ao modelo das Três Linhas é que ele não permite ou explica quaisquer "linhas borradas". O gráfico incluído na Declaração de Posicionamento de 2013 mostra todos os elementos claramente separados um do outro. Em muitas circunstâncias, a separação entre eles nem sempre é tão distinta, levantando a questão de qual impacto isso pode ter sobre a eficácia da governança.

A análise neste documento permite oportunidades abundantes para papéis e atividades sobrepostos e complementares, reconhecendo que a função de auditoria interna pode agregar valor em papéis diferentes do papel de avaliação, desde que haja um exame claro do impacto potencial sobre a eficácia da governança. Salvaguardas também devem ser consideradas. Em princípio, o corpo administrativo pode atribuir responsabilidade pelas funções e atividades que compõem a governança a qualquer indivíduo, equipe ou função na organização ou prestador de serviços terceirizado. Ao agrupar responsabilidades relacionadas, é possível minimizar a duplicação, gerar economia e eficiências, encurtar as linhas de comunicação, reduzir a carga sobre a administração e o corpo administrativo de receber diversos relatórios, e implantar recursos com ótimos resultados. Ao mesmo tempo, é importante identificar a combinação de responsabilidades possivelmente conflitantes, que podem afetar a eficácia geral da governança no longo prazo. O corpo administrativo deve tomar uma decisão informada, pesando as vantagens e desvantagens de diferentes opções estruturais.

13

O “embaçamento”, quando envolve a função de auditoria interna, exige atenção especial, dada a importância da independência estrutural para sua capacidade de prestar avaliação objetiva confiável sobre todos os aspectos da organização.6 A função pode fornecer uma combinação de serviços de avaliação e não-avaliação, de acordo com as necessidades da organização. Serviços de consultoria e outros serviços de não-avaliação podem incluir:

• Conciliar as decisões da administração. • Fazer recomendações. • Prestar consultoria sobre as circunstâncias atuais e ações futuras. • Participar de iniciativas de mudança. • Oferecer treinamento sobre tópicos relacionados a riscos. • Liderar sessões de autoavaliação de controle com a administração. • Assumir responsabilidades gerenciais de tempos em tempos.

Quando a auditoria interna presta serviços de não-avaliação, o chief audit executive (CAE), em consulta com o corpo administrativo, deve avaliar se isso gera algum conflito com a capacidade da função de prestar avaliação objetiva confiável e deve considerar salvaguardas apropriadas, que podem incluir:

• Informar o corpo administrativo sobre os trabalhos de não-avaliação que solicitaram que a auditoria interna realizasse ou sobre as responsabilidades gerenciais que solicitaram que ela assumisse, e comunicar o impacto que isso pode ter sobre a capacidade da função de prestar avaliação objetiva confiável sobre toda a organização.

• Garantir que as funções de não-avaliação sejam claramente definidas e, quando possível, tenham seu tempo limitado.

• Abster-se de assumir responsabilidade por decisões da administração e pelos riscos e controles associados.

• Implantar medidas, como períodos de “descanso” ou uso de recursos terceirizados, ao auditar uma área na qual a auditoria interna tenha tido envolvimento significativo e recente em uma capacidade consultiva ou gerencial.

Em algumas organizações, há uma combinação das responsabilidades de auditoria interna com aspectos de riscos, qualidade, controle e conformidade. Isso ocorre, por exemplo, quando o CAE recebe a responsabilidade pelo gerenciamento de riscos corporativos ou quando o responsável pelo risco ou conformidade reporta ao CAE. A importância de salvaguardas eficazes nessas circunstâncias é maior. A supervisão adicional por parte do corpo administrativo quanto às responsabilidades de não-avaliação do CAE pode ser uma salvaguarda eficaz.

Referências IFAC, 2015, From Bolt-On to Built-In: Managing Risk as an Integral Part of Managing an Organization.

The IIA, 2013, As Três Linhas de Defesa no Gerenciamento Eficaz de Riscos e Controles.

IIA–Netherlands, 2014, Combining Internal Audit and Second Line of Defense Functions?

The IIA Research Foundation, 2015, Combined Assurance: One Language, One Voice, One View.

6 “Independência” e “objetividade” são conceitos relacionados, mas distintos. São usados aqui de acordo com o glossário do IPPF, no qual a independência é definida como “a imunidade às condições que ameaçam a capacidade da atividade de auditoria interna de conduzir as responsabilidades de auditoria interna de maneira imparcial" e é alcançada com eficácia quando o CAE reporta ao corpo administrativo. A objetividade é definida como uma “atitude mental imparcial que permite aos auditores internos executarem os trabalhos de auditoria de maneira a confiarem no resultado de seu trabalho e que não seja feito qualquer comprometimento da qualidade. A objetividade requer que os auditores internos não subordinem a outros o seu julgamento em assuntos de auditoria."