As Três Linhas “de Defesa”

A metáfora das três linhas de defesa virou quase um mantra nas estruturas de governança das organizações. Fácil de visualizar, simples de comunicar, eficaz para estruturar papéis e responsabilidades, bem como para gerenciar riscos e estabelecer controles organizacionais
Primeira linha opera, segunda monitora, terceira avalia.
Tudo organizado, separado, aparentemente sob controle.

Mas será que esse modelo, consagrado por décadas, é suficiente para enfrentarmos a realidade dos desafios empresariais de hoje? O mundo mudou. E os riscos e processos organizacionais também. Tudo está mais dinâmico, ágil e sistêmico.

Inclusive, o próprio termo “defesa” tem sido cada vez mais questionado.

Em 2020, o Institute of Internal Auditors (IIA) atualizou oficialmente o modelo, substituindo a antiga terminologia por “modelo das três linhas”, uma mudança que vai além do nome.

A proposta agora é menos sobre proteção passiva e mais sobre colaboração, integração e contribuição estratégica para a governança. A auditoria interna, por exemplo, deixa de ser vista apenas como última barreira de controle e passa a atuar como parceira na criação de valor e fortalecimento do sistema como um todo.

O novo modelo também reconhece a complexidade crescente dos riscos e incentiva a comunicação ativa entre as funções, substituindo a lógica de silos por uma atuação conjunta, adaptável e fluida.

O que são, afinal, as três linhas?

O modelo, mesmo atualizado, segue organizado em três funções principais, com papéis distintos dentro da estrutura de governança e gestão de riscos:

• 1ª linha: áreas de negócio, responsáveis por executar processos e controlar riscos diretamente, no dia a dia operacional.
• 2ª linha: funções como compliance, gestão de riscos, controles internos e jurídico, que desenham políticas, acompanham o cumprimento e oferecem suporte técnico.
• 3ª linha: auditoria interna, que atua com independência para avaliar a eficácia dos controles internos como um todo e propor melhorias.

Na teoria, é uma separação funcional que garante cobertura, evita sobreposição e permite identificar falhas com mais clareza, imparcialidade e divisão de papéis e responsabilidades.

Na prática, funciona… até certo ponto.

Por que o modelo funcionou tão bem e onde ele talvez precise de um novo olhar?

O apelo das três linhas é inegável: organiza papéis, traz clareza e permite criar fluxos estruturados.

Funcionou especialmente bem em setores altamente regulados, como o mercado financeiro, onde cada função tem delimitações claras e os riscos eram, em alguma medida, mais previsíveis.

Mas os tempos mudaram. Hoje, vivemos em ambientes onde os riscos são multifacetados, interdependentes e cada vez mais dinâmicos.

• Um problema de tecnologia vira um problema jurídico.
• Um dilema ético se transforma em risco reputacional.
• Um erro operacional pode escalar rapidamente para um escândalo regulatório.

Além disso, a separação rígida de responsabilidades pode gerar lacunas de accountability: cada linha acredita que a outra deveria ter percebido ou resolvido o problema. O famoso “efeito ping-pong” de responsabilidades.

Precisamos abandonar o modelo?

O desafio não é descartar o modelo das três linhas, mas adaptá-lo a uma nova realidade.

Isso passa por três movimentos principais:

1. Integração entre as linhas – criar canais de diálogo mais fluidos entre as funções, com trocas frequentes, construção conjunta de soluções e menos atuação em “silos”.
2. Aproximação da segunda linha com o negócio – compliance e risco não podem atuar como órgãos distantes que só dizem “não”. Precisam entender a operação, ajudar a encontrar caminhos viáveis e participar da estratégia.
3. Fortalecimento da auditoria com dados e agilidade – a terceira linha também precisa se reinventar, usando tecnologia e inteligência analítica para prever riscos e gerar valor mais rápido, não apenas apontar falhas após o fato. Torna-se necessário um olhar preventivo, com foco em testes de controles para mitigar as probabilidades de os riscos se materializarem.

Linhas que não se cruzam não constroem proteção real!

As três linhas continuam sendo uma base útil, mas elas só funcionam se forem linhas de diálogo, não de separação.

Se cada uma souber seu papel, mas também entender como contribuir com as outras, o modelo ganha vida.
Se o foco for proteger a organização e não apenas cumprir uma cartilha, as linhas se transformam em um movimento sistêmico que gera valor para toda a cadeia de governança, gestão de riscos, controles internos e de integridade.

No fim, o que protege uma organização não é a rigidez do modelo, mas a maturidade e a capacidade de integrar com que ele é colocado em prática.

Conheça o MBA em Compliance da LEC

Este artigo foi escrito em coautoria com Erika Andrade.

As opiniões contidas nas publicações desta coluna são de responsabilidade exclusiva da Autora, não representando necessariamente a opinião da LEC ou de seus sócios.

Imagem: Canva