AprovaVisual — PDFs visuais para concursos

AprovaVisual

aprenda com os olhos

Auditoria5 de junho de 2026 · 2 min de leitura

Modelo das 3 Linhas (IIA 2020): por que substituiu o antigo 3 Linhas de Defesa

Em 2020 o IIA atualizou o modelo de 2013 e mudou o foco de proteção para colaboração. O que muda na prova de Auditoria do TCU, TCE, CGU e por que isso virou pegadinha de FGV/CESPE.

O Modelo das 3 Linhas do IIA (2020) substituiu oficialmente o modelo anterior de 2013, conhecido como "3 Lines of Defense" (3 Linhas de Defesa). A mudança não é só de nome — muda o foco da estrutura inteira e cai com frequência em provas de TCU, TCE, CGU e auditoria interna.

O modelo antigo (2013) — 3 Linhas de Defesa

A versão de 2013 partia da ideia de proteção: cada linha era uma barreira contra falhas e fraudes. A linguagem militar era explícita ("defense"), e a relação entre as 3 linhas era essencialmente vertical: a 2ª e a 3ª supervisionavam a 1ª.

Críticas que o IIA recebeu:

  • Foco muito reativo (defender contra problemas).
  • Pouca ênfase em valor agregado.
  • Imagem rígida das fronteiras entre as linhas.

O modelo novo (2020) — 3 Linhas (sem "Defesa")

Em julho de 2020, o IIA publicou o "IIA's Three Lines Model" e mudou:

  • Removeu a palavra "Defense" do nome.
  • Mudou o foco de proteção para criação de valor.
  • Reforçou a colaboração entre as linhas, não só hierarquia.
  • Incluiu órgão de governança (conselho/comitê de auditoria) como peça central.

As 3 linhas (mantidas conceitualmente)

1ª linha — Gestão operacional: donos do risco. Implementa controles do dia a dia. Exemplo: gerente de agência bancária aplicando os limites internos de crédito.

2ª linha — Funções de supervisão de risco e compliance: define políticas, monitora, aconselha. Exemplo: Compliance Officer + área de Risco Corporativo.

3ª linha — Auditoria Interna: avaliação independente e objetiva da eficácia das 1ª e 2ª linhas. Não executa controle, não faz compliance — só avalia.

Órgão de governança (conselho/comitê de auditoria): supervisiona as 3 linhas, garante independência da auditoria interna.

Órgãos externos (auditoria independente + reguladores): estão FORA das 3 linhas, mas interagem.

A pegadinha clássica

"A auditoria interna implementa controles para mitigar riscos." → ERRADO.

Auditoria interna não implementa controle (isso é 1ª linha) nem faz compliance (isso é 2ª linha). A 3ª linha só avalia a eficácia das outras duas. Confundir isso é o erro #1 em prova de TCU/FGV.

"O Modelo das 3 Linhas substituiu o COSO." → ERRADO.

São modelos complementares. O COSO ICIF (2013) trata de controle interno; o Modelo das 3 Linhas trata de organização das responsabilidades dentro de uma entidade. Uma entidade boa usa os dois.

Macete

1ª = operação. 2ª = risco/compliance. 3ª = auditoria interna (só avalia). Auditor externo está FORA das 3 linhas.

Mais Auditoria visual

O subtópico "Modelo das 3 Linhas" é um dos 70 cobertos no PDF de Auditoria do AprovaVisual. NBC TA séries 200-800, COSO ICIF, Triângulo da Fraude (Cressey), Modelo de Risco RA = RI × RC × RD — tudo em 110 páginas visuais + 100 questões CESPE/FGV/FCC comentadas.

continue lendo

Posts relacionados