O eixo Gestão de Riscos, do Programa de Compliance Público de Goiás (PCP), adota o modelo de Três Linhas de Defesa. Esse modelo é uma forma simples e eficaz de melhorar a comunicação do gerenciamento de riscos e controle por meio do esclarecimento dos papéis e responsabilidades essenciais das áreas envolvidas.

Primeira Linha de Defesa (realizada pelo próprio órgão)
A primeira linha de defesa é composta pelos responsáveis por monitorar e controlar os processos de trabalho dentro do órgão. Funciona como primeira linha de defesa pelo fato dos controles incorporados aos sistemas e processos de trabalho serem executados sob sua responsabilidade. Dentre as atividades realizadas na primeira linha de defesa destacam-se a identificação, a avaliação, o controle e a mitigação dos riscos, sendo os resultados destas utilizados como base para o desenvolvimento de políticas e procedimentos internos.

Segunda Linha de Defesa (realizada pelo próprio órgão)
A segunda linha de defesa é composta por funções de gestão de risco e de conformidade. Estas funções, que também estão submetidas ao controle e direção da alta administração, são implementadas para garantir que os controles e os processos de gerenciamento de riscos executados pela primeira linha de defesa funcionam de acordo com o estabelecido, principalmente por meio do monitoramento contínuo. As funções de segunda linha de defesa ajudam a primeira linha a manter as políticas e os procedimentos estabelecidos pelo Comitê Setorial, propondo orientações e melhorias nas estruturas. É também a segunda linha de defesa que realiza o monitoramento da primeira linha pela avaliação da eficácia das práticas de gestão de riscos.

Terceira Linha de Defesa (realizada pela CGE)
A auditoria interna, realizada pela CGE, é a função que compõe a terceira linha de defesa. Os auditores internos são responsáveis por fornecer ao órgão e à alta administração avaliações objetivas e abrangentes, com maior nível de independência. É a auditoria interna que provê avaliações sobre a eficácia da governança, do gerenciamento de riscos e dos controles internos, incluindo a forma como a primeira e a segunda linhas de defesa alcançam os objetivos em relação ao gerenciamento de riscos e controles. Os auditores internos não elaboram ou implementam controles e não são responsáveis pelas operações da organização. Essas atividades ficam a cargo das outras duas linhas de defesa. (Frederico Pinto de Souza e Fabiano da Rocha Louzada)

Comunicação setorial CGE