As funções e atividades envolvidas na gestão de riscos, na forma preconizada pelo Referencial Básico de Governança Organizacional para organizações públicas e outros entes jurisdicionados ao TCU, são atribuídas a agentes ou órgãos de primeira, segunda e terceira linha, sendo que
a auditoria externa e o TCU integram, respectivamente, a segunda e terceira linhas, sendo responsáveis pela verificação de conformidade e suficiência dos sistemas internos de gestão e monitoramento de riscos.
a primeira linha é composta pelos comitês de gestão de risco e pelos órgãos de compliance e conformidade e tem o papel de evitar a materialização dos riscos, propondo medidas de contenção e, quando não viáveis, ações de mitigação.
os órgãos de gestão integram a segunda e terceira linhas e são responsáveis por comunicar aos órgãos de primeira linha (alta liderança) os eventos de risco materializados ou na iminência de ocorrerem.
a auditoria interna integra a terceira linha e tem entre suas atribuições fornecer às instâncias de governança avaliação objetiva acerca da gestão e reporte dos riscos considerados críticos e do desenho e operação dos processos de gestão de riscos na organização.
o TCU, embora não integre nenhuma das linhas, é responsável pela validação do modelo de gestão de riscos, devendo aprovar, anualmente, o plano de auditoria interna, a matriz de riscos da organização jurisdicionada e os integrantes da primeira linha.