Cybersecurity e Boas Práticas

Integrando a Gestão de Riscos da ISO 31000 com o Modelo de Três Linhas do IIA

Em um cenário cada vez mais complexo e imprevisível, as organizações enfrentam o desafio de alcançar seus objetivos enquanto mantêm uma governança adequada e uma gestão de riscos eficaz. Para isto, precisam implementar estruturas e processos bem desenhados que não apenas facilitem a realização dos objetivos organizacionais, mas também reforcem a governança e apoiem a tomada de decisões em todos os níveis.


Nesse contexto, a alta direção é responsável por garantir que a organização segue no rumo certo, a partir de relatórios de gestão sobre atividades, resultados e projeções. Essa dinâmica envolve ainda a auditoria interna, que a partir de uma análise objetiva e independente, busca a inovação, a melhoria contínua e o alinhamento com os objetivos organizacionais.


O Modelo das Três Linhas doInstitute of Internal Auditors(IIA) oferece uma estrutura consolidada para gerenciar riscos, e que alinhada com os princípios e a abordagem sistemática da ISO 31000, a norma global para gestão de riscos, permite às organizações uma implementação otimizada de estruturas e processos.



Estes dois frameworks podem ser harmonizados para uma gestão de riscos integrada, indo além da proteção de valor, definindo papéis e responsabilidades, estabelecendo interações entre as várias funções organizacionais, e assegurando que as atividades e objetivos organizacionais estejam alinhados com os interesses das partes interessadas e os objetivos estratégicos da organização.


Tanto a ISO 31000 como o modelo das Três Linhas do IIA é aplicável a organizações de todos os tipos e tamanhos, podendo ambos ser adaptados às necessidades e contextos específicos de cada organização.


Compreendendo o Modelo de Três Linhas do IIA


O Modelo das Três Linhas é um framework que facilita a compreensão e a implementação de uma gestão de riscos eficaz. Esclarece as responsabilidades dentro da organização e busca garantir que as decisões tomadas estejam em consonância com as expectativas e necessidades das partes interessadas.


  1. Primeira Linha (Gestão Operacional): São os gestores que lidam diretamente com a execução das atividades. São os responsáveis por identificar e gerenciar os riscos no dia-a-dia e garantir que os controles internos estejam funcionando conforme o planejado.
  2. Segunda Linha (Funções de Supervisão): Inclui funções como gestão de riscos e conformidade, fornecendo supervisão e suporte especializado, e garantindo que as práticas de gestão de riscos estejam alinhadas com os objetivos e políticas da organização.
  3. Terceira Linha (Auditoria Interna): É a avaliação independente que verifica se as duas primeiras linhas estão funcionando eficientemente e se a organização está gerenciando seus riscos adequadamente.


"A independência da auditoria interna em relação à gestão garante que esteja livre de impedimentos e parcialidade no planejamento e execução de seu trabalho, desfrutando de acesso irrestrito às pessoas, recursos e informações de que necessita."


Os Prestadores Externos de Avaliaçãopodem atuar também como uma "quarta linha", com avaliações complementares para assegurar a conformidade com as expectativas legislativas e regulatórias, fortalecendo assim a proteção dos interesses das partes interessadas e enriquecendo as avaliações internas.


Sinergia com a ISO 31000



A ISO 31000 fornece diretrizes para gestão de riscos, definido princípios e uma estrutura (framework em inglês) com um processo sistemático para identificar, analisar, avaliar e tratar os riscos. A integração da ISO 31000 com o Modelo de Três Linhas fortalece a abordagem de gestão de riscos:


  1. Estabelecendo um Contexto: Compreender o ambiente interno e externo da organização, alinhando a gestão de riscos com a estratégia e os objetivos.
  2. Avaliação de Riscos: Identificar, analisar e avaliar riscos, utilizando as informações da primeira e segunda linhas para informar a decisão.
  3. Tratamento de Riscos: Desenvolver e implementar estratégias de tratamento de riscos eficazes, com a participação ativa das primeiras e segundas linhas.
  4. Monitoramento e Análise Crítica: Avaliação contínua do processo de gestão de riscos pela segunda e terceira linha, garantindo sua eficácia e ajustando conforme necessário.


Implementação Prática


Para implementar efetivamente esses frameworks, as organizações devem:


  • Definir Papéis e Responsabilidades: Garantir que todos na organização entendam suas responsabilidades na gestão de riscos.
  • Promover Cultura de Riscos: Incentivar uma cultura organizacional que valorize a gestão de riscos, incluindo treinamento, conscientização e comunicação contínua sobre sua importância.
  • Integrar Sistemas e Processos: Utilizar tecnologia para integrar os processos de gestão de riscos em toda a organização, facilitando o fluxo de informações entre as três linhas.
  • Revisões e Auditorias Regulares: Realizar revisões periódicas e auditorias internas para avaliar a eficácia da gestão de riscos e fazer ajustes conforme necessário.

A combinação do Modelo das Três Linhas do IIA com as diretrizes da ISO 31000 cria um sistema integrado de gestão de riscos robusto e integrado. Esta abordagem não apenas melhora a capacidade da organização de identificar e responder a riscos, mas também promove uma cultura de governança corporativa forte e responsável.


Abraços e até a próxima,


Alberto Bastos

Gestão de Riscos ISO 31000 Governança Corporativa e IBGC
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato