O modelo Três Linhas de Defesa é uma estrutura regulada projetada para fornecer uma abordagem padronizada e abrangente de governança e gerenciamento de riscos.
O risco operacional é definido como o risco de perda resultante de processos internos inadequados ou com falha, eventos externos, pessoas ou sistemas. Há pouco tempo, a responsabilidade de gerenciar o risco operacional dentro de uma empresa geralmente pesava diretamente sobre os ombros de especialistas individuais. Contando com a própria experiência e funções limitadas de auditoria interna, eles trabalhavam para identificar quaisquer pontos fracos óbvios ou que pudessem expor a empresa a riscos desnecessários. O auditor era a única linha de defesa real entre a organização e uma série de perigos invasores.
Hoje, o número e a complexidade dos riscos de negócios estão crescendo. Para combinar e atenuar esses riscos, muitas empresas estão adotando um modelo de governança diferente: Três Linhas de Defesa (3LoD).
Como o nome sugere, o modelo Três Linhas de Defesa de gerenciamento de riscos consiste em três níveis diferentes de proteção. Eles são projetados para fornecer suporte redundante ao gerenciamento de riscos e para ajudar a garantir que os perigos sejam identificados e tratados antes que possam afetar negativamente as operações. Ao mesmo tempo, a versão mais atual do modelo 3LoD enfatiza o alinhamento da colaboração, a responsabilidade e o foco nos objetivos, tornando-o uma estrutura importante não apenas para a defesa, mas também para reconhecer e aproveitar oportunidades à medida que elas surgem.
Aqui, examinamos com mais detalhes cada uma das Três Linhas de Defesa em risco, como a 3LoD se relaciona com a resiliência operacional e o que podemos esperar da abordagem em três linhas nos próximos anos.
A primeira linha de defesa (1ª LoD) é o gerenciamento operacional, que consiste em gerentes de linha de frente responsáveis pelas atividades diárias de gerenciamento de riscos. Esses gerentes supervisionam os funcionários à medida que trabalham em sistemas e aplicativos de negócios, garantindo que os procedimentos adequados de gerenciamento de riscos sejam seguidos. Eles também são responsáveis pela implementação de medidas corretivas caso surjam deficiências no processo e no controle.
Basicamente, o gerenciamento operacional dos negócios é obrigatório para manter controles internos adequados, executar procedimentos de risco, identificar e avaliar riscos, orientar e implementar políticas internas e garantir que todas as atividades apoiem as metas estabelecidas, tudo isso diariamente. O objetivo geral dessa primeira linha de defesa é a conformidade contínua e a capacidade de identificar rapidamente qualquer interrupção de controle, processos inadequados ou eventos emergentes.
As atividades diárias desempenham uma função crucial no risco operacional. Sendo assim, essa primeira linha de defesa é absolutamente essencial e deve ser apoiada por mecanismos internos, como controles de gerenciamento confiáveis e medidas de controle interno. Elas são desenvolvidas e implementadas com forte supervisão do gerenciamento operacional e devem ser regularmente testadas quanto à funcionalidade e eficácia.
A terceira linha de defesa (3ª LoD) no modelo 3LoD é o auditor interno. Os auditores são responsáveis por analisar todos os processos, procedimentos e estruturas de gerenciamento de riscos, fornecendo garantia abrangente da eficácia da governança e dos controles internos. Essa linha de defesa apoia as duas linhas anteriores, mas deve ser capaz de operar de forma totalmente independente, assumindo uma postura objetiva e reportando-se diretamente à gerência sênior e a qualquer órgão, conselho ou comitê superior de auditoria.
Como linha de defesa final, as auditorias internas devem ser capazes de suportar uma série de objetivos relacionados à eficiência e eficácia operacionais, confiabilidade de relatórios, conformidade com normas e muito mais.
Embora a terceira linha de defesa esteja principalmente associada a auditorias internas, auditorias externas também podem ser realizadas para complementar essa linha e adicionar outra camada de garantia. Na verdade, em alguns casos, como ao obter conformidade com SOC1 ou SOC2, criar um relatório PCI ou documentar a eficácia do controle SOX-404, um auditor externo pode ser um requisito obrigatório.
As Três Linhas de Defesa são projetadas para viabilizar e melhorar a resiliência operacional de uma organização.
A resiliência operacional é a capacidade de uma organização continuar a atender seus clientes, fornecer produtos e serviços e proteger sua força de trabalho diante de eventos operacionais adversos. Isso é conseguido antecipando, prevenindo, recuperando-se e adaptando-se a eventos adversos. Os possíveis eventos podem incluir: pandemias, violações de dados, incêndios, condições climáticas adversas e indisponibilidades de rede.
Os princípios da resiliência operacional são os seguintes:
A Governança descreve os sistemas e mecanismos nos quais uma organização se baseia para a operação e pelos quais ela e seus funcionários são responsabilizados. Tanto o gerenciamento de riscos quanto a conformidade estão sob a égide da governança. Estruturas de governança eficazes permitem que as organizações criem planos e abordagens confiáveis de resiliência operacional, capacitando-as a responder melhor e a se recuperar de eventos disruptivos.
O Gerenciamento de risco operacional (ORM) é um ciclo contínuo que inclui avaliação de risco, tomada de decisão de risco e implementação de controles de risco, que resulta na aceitação, mitigação ou prevenção de riscos.
O Planejamento de continuidade dos negócios é a criação, implementação, treinamento e acompanhamento de planos de continuidade para uma série de cenários de crise. O objetivo do planejamento de continuidade é criar estratégias confiáveis para garantir a entrega contínua de operações críticas quando confrontadas com eventos potencialmente disruptivos.
O mapeamento de interdependência identifica e mapeia conexões internas e externas e interdependências, eliminando o mapeamento de quais interdependências são necessárias para operações críticas e fornecimento contínuo de serviços no caso de uma possível interrupção.
O Gerenciamento de riscos de terceiros descreve as ferramentas e práticas para gerenciar relacionamentos de terceiros, identificando entidades de terceiros que são essenciais para operações críticas.
O gerenciamento de incidentes refere-se aos processos associados à criação de planos de resposta e recuperação para cenários de incidentes específicos. Esses planos devem ser continuamente refinados e atualizados usando informações da análise de dados e incidentes anteriores.
As tecnologias de informação, comunicação e segurança cibernética devem ser testadas e aprimoradas regularmente para dar suporte à entrega contínua das operações cruciais.
O modelo Três Linhas de Defesa é uma abordagem testada e aprovada do gerenciamento de riscos. Mas, assim como os planos de continuidade e resiliência devem ser atualizados regularmente para melhor levar em conta as mudanças nas situações, a 3LoD observou várias revisões desde que foi introduzida pela primeira vez.
Recentemente, o Comitê de Supervisão Bancária de Basileia (BCBS) lançou revisões dos princípios para o bom gerenciamento de risco operacional. Embora essas revisões do modelo 3LoD sejam destinadas especificamente a bancos e organizações relacionadas, elas podem ser aplicadas com a mesma facilidade a empresas não bancárias para melhorar ainda mais os perfis de gerenciamento de risco.
As atualizações de 3LoD da Basileia incluem:
- Maior ênfase à função da gerência sênior na execução de atividades operacionais de gerenciamento de riscos.
- Descrições mais claras de outras funções dentro do modelo Três Linhas de Defesa.
- Maior articulação de fontes de risco emergentes.
- Um foco separado em resiliência operacional.
À medida que os riscos se diversificam, o modelo Três Linhas de Defesa também deve continuar a se adaptar. Este fato talvez se relacione mais diretamente com a terceira linha: auditorias internas. Os auditores internos e seus processos associados devem se tornar mais ágeis e inovadores, promovendo mudanças positivas em todo o restante do modelo 3LoD. No futuro, espera-se que os auditores desempenhem uma função muito mais ativo no aconselhamento e na previsão, bem como na educação das partes interessadas em todos os níveis.
Além das auditorias internas, outros avanços continuarão a formar o modelo 3LoD. Recentes inovações, incluindo automação, aprendizado de máquina e implementação de IA, permitirão a identificação e correção mais fáceis dos riscos. Da mesma forma, as organizações aumentarão o foco no elemento humano de Três Linhas de Defesa, trabalhando para melhorar a coordenação, a comunicação e as metodologias em todas as equipes e departamentos
Gerenciar riscos operacionais é um aspecto vital dos negócios modernos. O modelo 3LoD existe para fornecer camadas redundantes de proteção a fim de proporcionar maior segurança contra uma série de possíveis ameaças. Mas por si só, o 3LoD pode não ser suficiente para proteger totalmente as organizações contra perigos crescentes. A ServiceNow, líder do setor em gerenciamento de TI, é a solução.
O Gerenciamento de risco operacional da ServiceNow potencializa as organizações com a capacidade de aplicar monitoramento contínuo, incorporar informações de dados relevantes de toda a empresa e priorizar e responder a riscos emergentes com mais rapidez do que seria possível. O aplicativo Operational Risk Management GRC inclui ferramentas para autoavaliação de riscos, garantia de controle, teste, captura de incidentes e perdas e monitoramento automatizado. Respaldado por análises e relatórios avançados, gerenciamento de problemas aprimorado com inteligência preditiva integrada e muito mais, o Operational Risk Management oferece o aumento das defesas das quais as organizações de hoje dependem para sobreviver e prosperar.
Reduza as perdas operacionais. Crie resiliência e confiabilidade. Reduza os custos e melhore a produtividade. E, por meio disso tudo, aproveite a visibilidade completa e em tempo real de todas as tolerâncias de risco e controle. O Operational Risk Management da ServiceNow torna tudo possível.
Identifique, priorize e responda a ameaças mais rapidamente.