Alternativa correta: E (Errado)

1. Tema central da questão
A questão trata da estrutura de defesa em controles internos nas instituições financeiras, tema relevante para concursos de auditoria e controle. Compreender a função de cada linha de defesa é indispensável para evitar confusões e responder corretamente questões sobre governança, riscos e controles.

2. Resumo teórico
O modelo das Três Linhas de Defesa é amplamente utilizado em instituições para o gerenciamento de riscos:
Primeira linha: Gestão operacional — responsável por executar atividades e implementar controles internos no dia a dia.
Segunda linha: Funções de gestão de riscos e compliance — avaliam, orientam e monitoram a adequação dos controles.
Terceira linha: Auditoria interna — faz avaliações independentes sobre a eficácia dos controles e da governança.
Fonte: COSO (Committee of Sponsoring Organizations of the Treadway Commission), Banco Central do Brasil (Resolução CMN 4.557/2017).

3. Justificativa da alternativa correta
A afirmativa está errada pois atribui à terceira linha de defesa (auditoria interna) a implementação de controles internos e a mitigação direta de riscos operacionais.
Na verdade, essa é a responsabilidade da primeira linha de defesa (gestores e equipes das áreas operacionais). A auditoria interna apenas avalia de forma independente se os controles estão funcionando adequadamente, não sendo responsável por sua implementação ou mitigação direta dos riscos.

4. Estratégia para interpretação
Ao resolver questões sobre as linhas de defesa, leia atentamente quem executa e quem avalia. Termos como “implementação”, “gestão diária” e “mitigação direta” costumam indicar responsabilidade da primeira linha. Já “avaliação independente” é própria da terceira linha.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Não, a terceira linha de defesa nas instituições financeiras não é responsável pela implementação de controles internos nem pela mitigação de riscos operacionais. Essas funções pertencem à primeira e segunda linhas de defesa.

Aqui está um resumo das três linhas de defesa no gerenciamento de riscos:

1. Primeira Linha de Defesa – Gestão Operacional

• Responsável pela execução das atividades e processos de negócio.
• Implementa controles internos para mitigar riscos operacionais.
• Garante conformidade com políticas e procedimentos internos.

1. Segunda Linha de Defesa – Gestão de Riscos e Conformidade

• Monitora e orienta a primeira linha sobre riscos e controles.
• Desenvolve políticas e metodologias de gestão de riscos.
• Atua como supervisora, mas não executa diretamente os controles internos.

1. Terceira Linha de Defesa – Auditoria Interna

• Avalia de forma independente a eficácia da gestão de riscos e dos controles internos.
• Identifica falhas e recomenda melhorias.
• Reporta-se diretamente ao conselho ou comitê de auditoria.

Portanto, a implementação de controles internos e a mitigação de riscos operacionais são responsabilidades da primeira linha de defesa, enquanto a terceira linha (auditoria interna) atua avaliando e garantindo que essas práticas estejam sendo seguidas corretamente. Fonte: CHATGPT

Explicando melhor cada uma das três linhas, podemos entendê-las como as realizadoras das seguintes funções: 

• Papéis da 1ª linha: Provisão de produtos/serviços aos clientes; gerenciar riscos;  
• Papéis da 2ª linha: Expertise, apoio, monitoramento e questionamento sobre questões relacionadas a riscos;  
• Papéis da 3ª linha: Avaliação e assessoria independentes e objetivas sobre questões relativas ao atingimento dos objetivos.  

Em consonância com o TCU, na primeira linha ocorre a gestão do risco por meio das atividades cotidianas dos gestores. Os gestores gerenciam os riscos e têm propriedade sobre eles. Eles também são os responsáveis por implementar as ações corretivas para resolver deficiências em processos e controles.  

A segunda linha de defesa é constituída por funções estabelecidas para garantir que a primeira linha funcione como pretendido no tocante a controles e gestão de riscos e governança. As funções são as seguintes: Apoiar as políticas de gestão, definir papéis e responsabilidades e estabelecer metas para implementação; Fornecer estruturas de gerenciamento de riscos; Identificar questões atuais e emergentes; Identificar mudanças no apetite ao risco implícito da organização; Auxiliar a gerência a desenvolver processos e controles para gerenciar riscos e questões (suporte técnico); Fornecer orientações e treinamento sobre processos de gerenciamento de riscos (suporte técnico); entre outras.  

Por fim, na terceira linha ocorre a avaliação (assurance) por meio do processo de auditoria independente vinculada ao órgão superior de governança. A terceira linha tem como funções: Atuar de acordo com as normas internacionais reconhecidas para a prática de auditoria interna; Reportar a um nível suficientemente alto na organização, de modo a cumprir com suas responsabilidades de forma independente; Ter uma linha de reporte ativa e eficaz ao órgão de governança.  

Fonte: Estratégia.

Não, a terceira linha de defesa nas instituições financeiras é a auditoria interna, que avalia a eficácia dos controles internos e do gerenciamento de riscos. 

O que é a terceira linha de defesa?

• A terceira linha de defesa é uma avaliação independente dos processos de gerenciamento de riscos, controles internos e governança. 
• Ela é responsável por garantir a eficácia da governança e dos controles internos. 
• A terceira linha de defesa deve ser independente, objetiva e reportar-se diretamente à gerência sênior. 

O que faz a auditoria interna?

• A auditoria interna analisa todos os processos, procedimentos e estruturas de gerenciamento de riscos. 
• Ela deve atuar de acordo com as normas internacionais reconhecidas para a prática de auditoria interna. 
• A auditoria interna deve reportar a um nível suficientemente alto na organização. 

O modelo de três linhas de defesa

O modelo de três linhas de defesa é uma forma de melhorar a comunicação do gerenciamento de riscos e controle. Ele estabelece uma divisão clara de papéis e responsabilidades. 

ENUNCIADO: A terceira linha de defesa nas instituições financeiras é responsável pela implementação de controles internos e pela mitigação de riscos operacionais. 

• Primeira linha: gestores operacionais e responsáveis diretos pela execução de atividades.
• Segunda linha: funções de apoio, como compliance, gestão de riscos e controles internos.
• Terceira linha: auditoria interna, que avalia a eficácia das duas primeiras linhas e atua com independência. 

Portanto... GABARITO: ERRADO.