Em determinado banco de médio porte, a governança de gestão de riscos está estruturada de modo que a área de gerenciamento de riscos está subordinada ao diretor comercial, que também responde pelas principais carteiras de crédito, concentrando decisões de negócios e de risco. Além disso, a área de riscos não possui acesso direto ao comitê de auditoria ou ao conselho de administração, encaminhando seus relatórios exclusivamente por meio da diretoria comercial. Nesse banco, um evento de risco operacional resultou em perda financeira relevante, acima do limite definido na política interna como “significativo”, mas a diretoria decidiu não reportar formalmente o evento ao Banco Central, por entender que o problema havia sido “pontual e já resolvido”. A auditoria interna, ao revisar o caso, identificou fragilidades na segregação de funções, bem como ausência de documentação sobre o processo decisório que levou à não comunicação do evento ao regulador.
A partir da situação hipotética precedente, assinale a opção correta, com base nas boas práticas de governança e no modelo das três linhas.