Prazer, Institute of Internal Auditors (IIA) e suas linhas.

Gabarito: E

A resposta correta para esta questão é a alternativa E: "processo, sistemas e entidade".

No contexto de gestão de riscos, as "linhas de defesa" se referem a diferentes níveis de controle e supervisão dentro de uma organização.

A primeira linha de defesa são os gestores e operadores que têm responsabilidade direta sobre os processos e devem gerenciar os riscos inerentes a suas operações diárias.

A segunda linha de defesa é composta por funções de supervisão ou gerenciamento de risco, que fornecem uma supervisão especializada, desenham e monitoram controles internos, e aconselham a primeira linha sobre como melhor gerenciar seus riscos.

A terceira linha de defesa é a auditoria interna, que fornece uma avaliação independente da eficácia dos controles e processos de gestão de riscos, e assegura à alta direção e ao conselho que as duas primeiras linhas estão funcionando como deveriam.

Portanto, o trabalho da segunda linha de defesa é apoiar, monitorar e questionar a gestão de riscos e a eficácia dos controles internos nos níveis de processo (as operações diárias), sistemas (os controles internos implementados) e entidade (a organização como um todo).

Gabarito E

O modelo de "Três Linhas de Defesa" do Institute of Internal Auditors (IIA) é uma estrutura de governança que define papéis e responsabilidades para a gestão de riscos e controle interno.

• Primeira Linha de Defesa: São as unidades de negócio e os gerentes operacionais. Eles são os donos dos riscos, ou seja, são os primeiros a identificar, avaliar e tratar os riscos em suas atividades diárias (nível de processo).
• Segunda Linha de Defesa: São as funções especializadas em riscos, conformidade, segurança, controle de qualidade, etc. Eles fornecem suporte, orientação e monitoramento para a primeira linha, garantindo que as políticas de gestão de riscos e controle interno estejam sendo seguidas. Sua atuação é nos níveis de sistemas e na estrutura da entidade como um todo.
• Terceira Linha de Defesa: É a auditoria interna. Eles fornecem uma garantia independente e objetiva sobre a eficácia da governança, gestão de riscos e controle interno. Eles avaliam as duas primeiras linhas.

Gabarito: Letra E

Essa é uma questão excelente e bem específica da FGV sobre o Modelo das Três Linhas do IIA (Institute of Internal Auditors), um dos temas mais quentes para a área de Controle e Gestão.

A banca tentou derrubar os candidatos misturando conceitos de Governança e Gestão de Riscos com jargões puramente de infraestrutura de Tecnologia da Informação nas alternativas erradas, mas o raciocínio é bem lógico. Vamos destrinchar o motivo desse gabarito para consolidar o seu material de revisão:

A Segunda Linha (formada por áreas como Compliance, Controle Interno e Gestão de Riscos) atua como um suporte e supervisão especializada para quem está na "ponta" executando o trabalho (a Primeira Linha). Para que esse monitoramento e questionamento sejam efetivos, eles precisam abranger a organização em três dimensões estruturais:

1. Processos: Como as atividades diárias e o fluxo de trabalho são executados.
2. Sistemas: Os controles, ferramentas e plataformas que dão suporte a esses processos.
3. Entidade: A organização como um todo, garantindo que o risco global não ultrapasse os limites aceitáveis pela alta administração.

A FGV usou a tática de inserir termos de TI e nichos específicos para desviar o foco do candidato. O modelo do IIA é voltado para a governança corporativa global, e não para suporte técnico de TI.

• Letras A, B, C e D: Termos como hardware, software, algoritmos, cloud (nuvem) limitam o escopo da gestão de riscos a aspectos puramente tecnológicos ou de infraestrutura, o que foge do propósito amplo e estratégico da segunda linha preconizado pelo IIA.

[ BIZU PARA O CADERNO DE RESUMOS ]

Quando a prova cobrar o Modelo das Três Linhas (IIA), lembre-se desta estrutura:

• 1ª Linha (Gestão Operacional): São os donos do risco. Eles gerenciam os riscos diretamente nas operações do dia a dia e implementam os controles.
• 2ª Linha (Apoio e Supervisão): Fornece expertise técnica (Compliance, Riscos, Qualidade). Sua função é apoiar, monitorar e questionar a 1ª linha. Atua de forma transversal nos níveis de processo, sistemas e entidade.
• 3ª Linha (Auditoria Interna): Fornece avaliação e garantia independente e objetiva sobre a eficácia de tudo o que a 1ª e a 2ª linha estão fazendo. Responde diretamente ao Conselho de Administração/Alta Gestão.