27 Ano III, n. 1 - out. 2010/mar.

2011
DESAFIOS E SOLUES DA
PETROBRAS EM SEU PROJETO DE
ATENDIMENTO LEI SARBANES-
OXLEY
CHALLENGES AND SOLUTIONS BY PETROBRAS IN ITS DRAFT
COMPLIANCE WITH SARBANES-OXLEY
RESUMO
O inicio deste sculo foi um perodo de grandes desafos para a gesto de riscos corporativos nas grandes empresas. As
difculdades pelas quais passaram empresas como Enron (2001), WorldCom (2002), Arthur Andersen (2002), Tyco (2002),
ImClone Systems (2002), Waste Management (2002) e Parmalat (2003), dentre outras, levaram a mudanas nos ambientes
regulatrios, assim como a mudanas nas melhores prticas internas para a gesto de riscos corporativos. Um marco importante
neste processo de transformao foi a promulgao da Lei Sarbanes-Oxley (LSOx) nos EUA em meados de 2002. Os impactos
da LSOx sobre a gesto de riscos, transparncia, responsabilizao de executivos e governana corporativa de quase todas as
grandes empresas do mundo foram marcantes. A Petrobrs, mesmo no Brasil, foi signifcativamente impactada pela LSOx.
Este artigo descreve os principais desafos enfrentados e as solues adotadas pela Petrobras durante suas trs primeiras
certifcaes (2006, 2007 e 2008) para o atendimento LSOx. Diante da importncia da Petrobras para a economia brasileira,
o material disponibilizado neste artigo de grande interesse para todas as demais empresas atuantes no Brasil, independente
de setor econmico e tamanho.
Palavras-chave: Gesto de Riscos. Regulao. Lei Sarbanes-Oxley.
ABSTRACT
The beginning of this century was a period of great challenges for the corporate risk management areas in large companies.
The problems faced by Enron (2001), WorldCom (2002), Arthur Andersen (2002), Tyco (2002), ImClose Systems (2002),
Waste Management (2002) and Parmalat (2003), among others, forced signifcant changes in the regulatory environment, as
well as the rapid evolution of best practices for corporate risk management. The Sarbanes-Oxley Act (LSOx) in the USA brought
relevant impacts to the corporate governance of all companies in the world. One of these companies (subjected to the LSOx) was
Petrobras, in Brazil. This article describes the main challenges faced by Petrobras during 2006, 2007 and 2008, as well as the
solutions adopted in order to satisfy the requirements imposed by the LSOx. Given the importance of Petrobras for the Brazilian
economy, the material described in this article is of great importance for all the other companies operating in Brazil.
Key words: Risk Management. Regulation. Sarbanes-Oxley Act.
Luiz Claudio Schleder Sampaio de Almeida
Coordenador de Controles Internos, Petrobras
Mestre em Administrao de Empresas, Faculdades Ibmec,
Rio de Janeiro
Antonio Marcos Duarte Jnior
Professor e Diretor, Faculdades Ibmec, Rio de Janeiro
Ph.D., Princeton University, EUA
28 Ano III, n. 1 - out. 2010/mar. 2011
1 INTRODUO
A importncia da gesto de riscos corporativos
cresceu nas ltimas dcadas no mundo (WORLD
ECONOMIC FRUM, 2007a,b; CLAESSENS,
DJANKOV; NENOVA, 2000).
O ocorrido nos ltimos dez anos com empresas,
bancos e seguradoras como AIG, Arthur Andersen,
Enron, ImClone Systems, Lehman Brothers, Waste
Management, WorldCom e Tyco, dentre outras, con-
forme apresentado em Duarte Jnior e Varga (2003),
Hamilton (2003), Hawkins e Cohen (2003) e Kaplan
e Kiron (2004), dentre outros, ilustra de forma apro-
priada a necessria preocupao com a boa gesto de
riscos corporativos.
De forma similar, nomes como Bernard Ebbers/
WorldCom, Joe Berardino/Arthur Andersen, Kenneth
Lay/Enron e Martha Stewart/ImClone Systems, den-
tre outros, trouxeram maior preocupao com trans-
parncia, responsabilizao legal, segregao de fun-
es, confitos de interesse etc.
Segundo Zeno e Duarte Jnior (2009), a Lei Sar-
banes-Oxley (LSOx, Borgerth (2007), Deloitte Tou-
che Tohmatsu (2003), Paine e Weber (2004) e Peters
(2007) de 2002 nos EUA foi criada como resposta aos
escndalos corporativos e contbeis que envolveram
diversas companhias de grande porte naquele pas no
incio deste sculo. Ainda segundo os dois autores,
a LSOx foi direcionada primariamente questo da
credibilidade das informaes fornecidas pelas em-
presas aos mercados fnanceiro e de capitais.
importante ressaltar que a LSOx no pode ser
entendida sem que seja considerada em conjunto com
outros avanos regulatrios obrigatrios para bancos
e seguradoras, como o Novo Acordo de Capital da
Basilia (NACB) e Solvncia II. Comparaes deta-
lhadas entre LSOx, NACB e Solvncia II podem ser
encontradas em Duarte Jnior e Llis (2004) e Zacha-
rias e Duarte Jnior (2007).
A Figura 1 ilustra de forma cronolgica algumas
das mais relevantes contribuies para as transforma-
es experimentadas na gesto de riscos corporativos
nos ltimos trinta anos.
A LSOx atingiu todas as empresas com papis
(aes, ADRs e/ou ttulos) listados nas bolsas de va-
lores norte-americanas, fossem elas americanas ou
estrangeiras. Dessa forma, a Petrobras fcou sujeita
LSOx, tendo que satisfazer a todas as demandas
endereadas s empresas estrangeiras listadas nas
bolsas norte-americanas. Houve, deve-se mencionar,
prazo maior para as empresas estrangeiras se adap-
tarem LSOx (dois anos), o que facilitou a fase ini-
cial da implementao na Petrobras. Mesmo assim,
os desafos enfrentados pela Petrobras foram muitos,
todos devidamente cobertos por solues propostas e
desenvolvidas por seus profssionais com o assessora-
mento de consultoria externa. Os principais desafos
experimentados e solues desenvolvidas pela Petro-
bras esto descritos neste artigo.
importante mencionar que no h na literatura
de fnanas e/ou controladoria um artigo que descreva
o processo de atendimento LSOx por uma empresa,
includas as brasileiras. Por outro lado, existem vrios
artigos/dissertaes/relatrios publicados no Brasil
que cobrem (de forma isolada) aspectos importantes
considerados pela LSOx. Por exemplo, se tomarmos
o conceito de governana corporativa, o assunto foi
coberto em Borges e Serro (2005), Coffee (1999),
Costa et al (2006), Andrade e Rossetti (2006), Insti-
tuto Brasileiro de Governana Corporativa (2004), e
Pereira e Vilaschi (2006), dentre outros. Se tomarmos
o conceito de controles internos, temos Bergamini
(2005) e Sanches (2007). J para o conceito de comi-
t de auditoria temos Furuta (2010) e Santos (2009).
A questo dos lucros/resultados e sua relao com o
nvel de governana corporativa foi coberta por Lobo,
Cunha e Guimares (2008), Lobo et al (2008), e Men-
dona et al (2008), dentre outros.
A metodologia adotada para a anlise apresentada
neste artigo foi o estudo de caso nico incorporado,
em linha com Yin (2005). Pela pouca disponibilidade
de dados pblicos sobre a implementao da LSOx
em empresas brasileiras, assim como por se tratar de
trabalho que examina tema contemporneo, julgamos
apropriada a utilizao do estudo de caso. A escolha
de caso nico se justifca, pois at o momento da de-
fnio do tema no havia pesquisas publicadas sobre
os desafos enfrentado pela Petrobrs no seu projeto
para o atendimento da LSOx. Como o estudo aborda
um perodo de trs anos de certifcao da LSOx, e
como consideramos cada ano como uma subunidade
de anlise, julgamos se tratar de caso nico onde se
deu ateno a diferentes subunidades. Por fm, du-
rante a fase de pesquisa foram coletadas informaes
primrias e secundrias: as primrias foram obtidas
por meio de entrevistas com profssionais envolvidos
no projeto desde seu incio; as secundrias foram ob-
tidas por meio de informaes disponveis ao pblico,
includos os relatrios de atividades do projeto e not-
cias disponveis na internet.
Em termos de organizao, este artigo considera,
na prxima seo, a estrutura interna montada pela
29 Ano III, n. 1 - out. 2010/mar. 2011
Petrobras para atender s demandas da LSOx. A se-
guir, listamos e comentamos os principais desafos e
solues experimentadas pela Petrobras no perodo
entre a primeira certifcao, em 2006, e a terceira,
em 2008. Por fm, a concluso aponta algumas con-
sideraes dos autores sobre impactos que podem ser
esperados pelas empresas brasileiras ao longo das
prximas dcadas como resultado da LSOx.
2 ESTRUTURAO INTERNA INICIAL
Em setembro de 2004, a Petrobras criou o Proje-
to Integrado de Sistemas e Mtodos de Avaliao de
Controles Internos (PRISMA) com o objetivo prin-
cipal de obter a primeira certifcao de controles
internos em atendimento Seo 404 da LSOx (PE-
TROBRAS, 2007). Desde o seu desenho inicial, fcou
estabelecido que o PRISMA deveria atingir todas as
unidades operacionais da Petrobras, inclusive subsi-
dirias e controladas.
Conforme ilustra a Figura 2, o PRISMA foi criado
dentro da Unidade de Auditoria Interna da Petrobras.
De incio foi monitorado pelo Comit de Gesto de
Controles Internos, coordenado pelo titular da Audi-
toria Interna, e composto por doze gerentes executi-
vos e pelo Diretor Financeiro da subsidiria Petrobras
Distribuidora (BR).
De novembro de 2004 at maio de 2006 os mem-
bros do PRISMA realizaram vrias tarefas de en-
tendimento, compreenso e reviso de mapeamento
de processos internos da Petrobras. Nessa primeira
fase de trabalho, os processos internos foram repre-
sentados por meio de macrofuxos, todos aprovados
pelos respectivos gestores. Adicionalmente foram
realizadas avaliaes de riscos e controles presentes,
especialmente nos processos considerados mais cr-
ticos para a Petrobras. As informaes obtidas pelo
PRISMA foram armazenadas em portal institucional,
desenvolvido internamente, o qual podia ser visto, j
naquela poca, como o embrio de sistema para ges-
to integrada de riscos.
Em abril de 2006, foi estruturada a Gerncia
Geral de Controles Internos (GGCI), vinculada
Gerncia Executiva do Financeiro Corporativo, su-
bordinada ao Diretor Financeiro, conforme Figura
2. A GGCI substituiu o PRISMA em todas as suas
atribuies e responsabilidades, tendo sido o ltimo
descontinuado. Parte da equipe do PRISMA foi rea-
locada para a GGCI.
Figura 1 - Ilustrao da Evoluo Regulatria nos ltimos Trinta Anos
30 Ano III, n. 1 - out. 2010/mar. 2011
A GGCI fcou responsvel pelo planejamento e
operacionalizao das aes visando certifcao de
controles internos da Petrobras, assim como de suas
subsidirias e controladas. A GGCI tambm passou
a avaliar a materialidade e riscos para o atendimen-
to LSOx, reviso de processos, acompanhamento
da autoavaliao de controles, realizao de testes de
aderncia pelas auditorias interna e externa, assim
como elaborao e envio de relatrios com os resul-
tados obtidos para o Presidente, Diretor Financeiro e
membros do Comit de Auditoria.
importante mencionar que um erro comum in-
corrido nas empresas brasileiras quando da monta-
gem do grupo responsvel pela certifcao relativa
LSOx foi repetido na Petrobras: falta de segregao
de funes entre o PRISMA e a Auditoria Interna.
Em outras palavras, a desvinculao das tarefas que
foram depois alocadas GGCI, e que no podiam
estar subordinadas Auditoria Interna, necessitava
que pelo menos duas unidades distintas estivessem
envolvidas entre a proposio, avaliao e acompa-
nhamento da autoavaliao dos controles de um lado,
e a verifcao da efetividade dos controles na prtica,
do outro lado. Dessa forma, a criao da GGCI fora
da Auditoria Interna resolveu o problema de falta
de segregao de atividades.
Na prxima seo sero apresentados os princi-
pais desafos enfrentados e solues adotadas pelos
membros do PRISMA/GGCI ao longo dos anos de
2006, 2007 e 2008.
3 PRINCIPAIS DESAFIOS
ENFRENTADOS E SOLUES
ADOTADAS PELA PETROBRAS
3.1 RECURSOS HUMANOS
No deveria causar surpresa ao leitor o fato do
primeiro grande desafo enfrentado pelo PRISMA
em sua estruturao est relacionado identifcao
e recrutamento interno de pessoal capacitado para a
conduo da primeira certifcao relativa LSOx.
Por ter sido alocada inicialmente Auditoria Inter-
na, a estruturao do PRISMA exigiu uma demanda
extra aos auditores, j atarefados com suas ativida-
des rotineiras de avaliao dos controles praticados
na Petrobras por meio do Plano Anual de Atividades
de Auditoria. Em outras palavras, as atribuies do
PRISMA poderiam sobrecarregar a ento existente
estrutura da Auditoria Interna.
Um Grupo de Trabalho constitudo por Gerentes
Figura 2 - PRISMA e GGCI na Estrutura Interna da Petrobras
31 Ano III, n. 1 - out. 2010/mar. 2011
Executivos foi reunido e, ao fnal, encaminhou pro-
posta interna para a identifcao de sessenta profs-
sionais para a constituio do PRISMA. Esses sessen-
ta profssionais deveriam ser recrutados em diferentes
unidades da empresa com base em suas experincias
profssionais e currculos. Como curiosidade, vale
mencionar que o nmero de profssionais alocados ao
PRISMA variou bastante ao longo do tempo, tendo
atingido cento e sessenta em perodos de maior carga
de trabalho; j na ocasio da primeira certifcao, a
GGCI (aps a extino do PRISMA) era composta
por trinta e dois profssionais.
Outro desafo foi uniformizar conhecimentos,
dado que, dentre os sessenta componentes iniciais do
PRISMA, havia pessoas com experincias profssio-
nais to dspares quanto aquelas vindas de unidades
como Recursos Humanos e Abastecimento. Esses
profssionais deveriam ser treinados para o trabalho
visando no somente primeira certifcao, mas
todas as demais certifcaes anuais, alm de serem
identifcados como multiplicadores da cultura interna
de gesto de riscos corporativos quando realocados a
outras unidades da empresa, no futuro.
Vrios treinamentos internos foram organizados
pela consultoria externa contratada para dar suporte
Petrobras no assunto LSOx: a Deloitte Touche To-
hmatsu (Deloitte) iniciou os trabalhos de assessoria
tcnica em novembro de 2004, aps processo licita-
trio. Vale relembrar o fato das empresas estrangeiras
listadas nas bolsas de valores norte-americanas terem
tido dois anos a mais para a sua primeira certifcao
(fnal de 2006) quando comparadas s empresas nor-
te-americanas (que tiveram que se adequar LSOx
at o fnal de 2004), o que permitiu que as consulto-
rias com forte atuao no mercado norte-americano
absorvessem e difundissem suas experincias para os
mercados estrangeiros, como o brasileiro, o que ace-
lerou e melhor qualifcou o treinamento interno dos
profssionais envolvidos na certifcao da Petrobras.
3.2 CONTRATAO DA CONSULTORIA
EXTERNA E DO AUDITOR
INDEPENDENTE
Como o leitor pode imaginar, o custo fnanceiro
para a implementao e certifcao da LSOx em
uma empresa do porte da Petrobras elevado. Nes-
se aspecto, houve o comprometimento da alta ad-
ministrao com a dimenso fnanceira do projeto
desde seu incio.
Uma primeira questo estava relacionada con-
tratao da consultoria externa para auxiliar o PRIS-
MA. Destaca-se que desde o incio do contrato com
a consultoria externa eram previstas atividades bem
defnidas. Diante do nmero de defcincias de con-
troles identifcados durante as primeiras fases de au-
toavaliao e testes de efetividade e com a extenso
do prazo para a primeira certifcao, houve necessi-
dade de aditamento ao contrato.
Uma segunda questo estava relacionada con-
tratao de auditoria externa para certifcar o trabalho
desenvolvido pelo PRISMA e o consultor externo,
Deloitte. Um processo licitatrio foi lanado em de-
zembro de 2005. Os servios contratados deveriam
cobrir os exerccios de 2006, 2007 e 2008, com pos-
svel extenso por mais dois anos. A empresa vence-
dora foi a KPMG, responsvel pelas certifcaes dos
trs anos cobertos neste artigo.
3.3 ESTRUTURAS PARA CONTROLES
INTERNOS E DEFINIO DO ESCOPO
DA CERTIFICAO
Uma vez encaminhada a questo da fora de tra-
balho (empregados e mo- de-obra terceirizada) para
o PRISMA, o prximo desafo foi o de selecionar
uma estrutura de controles internos para processos
(tais como COSO, COCO, ANZ etc.) e governana
em tecnologia da informao (a ser escolhida entre
COBIT, ISO 27000 etc.).
O Public Company Accounting Oversight Board
(PCAOB, rgo criado pela LSOx, subordinado a
US Securities Exchange Commission, para supervi-
sionar as empresas de auditoria independente) emitiu
em agosto de 2004 o padro de auditoria Audit
Standard n. 2 (AS2), mencionando explicitamente
a estrutura COSO/1992 (Committee of Sponsoring
Organizations of the Treadway Commission, 1992)
como exemplo de estrutura de controle. Assim, a
Petrobras, com o auxlio de seus consultores exter-
nos, optou por essa publicao no caso de processos,
durante as certifcaes de 2006 e 2007. A partir de
2008, a Petrobras passou a utilizar a estrutura de
controle COSO/2004 Enterprise Risk Management
(Committee of Sponsoring Organizations of the
Treadway Commission, 2004), por consider-la mais
completa para a avaliao de seu ambiente interno
de controle.
Para o caso da governana em tecnologia da infor-
mao, a escolha para certifcao 2006 foi o COBIT
32 Ano III, n. 1 - out. 2010/mar. 2011
3.2 (Information Systems Audit and Control Associa-
tion, 2003), que foi substitudo pela verso COBIT
4.0 (Information Systems Audit and Control Associa-
tion, 2005) em 2007 e, a partir de 2008, pela verso
COBIT 4.1 (Information Systems Audit and Control
Association, 2007).
Dessa forma, o COSO e o COBIT foram adotados
para a orientao do entendimento e gerenciamento
de riscos corporativos na Petrobras.
A gesto de riscos corporativos na Petrobras, em
linha com o COSO/2004 Enterprise Risk Manage-
ment, segue a estrutura ilustrada na Figura 3:
a. Objetivos: Estratgicos, Operacionais, Rela-
trios Financeiros e Conformidade.
b. Componentes: Ambiente Interno, Fixao de
Objetivos, Avaliao de Riscos, Resposta a Risco,
Atividades de Controle, Informao e Comunicao
e Monitoramento.
c. Organizao: Nvel de Entidade, Diviso,
Unidade e Subsidirias.
A estrutura de controles internos para tecnologia
da informao na Petrobras, conforme o especifca-
do pelo COBIT 4.1, segue a estrutura ilustrada na
Figura 4:
a. Processos de TI: Domnios, Processos e Ati-
vidades.
b. Recursos de TI: Pessoas, Sistemas Aplicati-
vos, Instalaes e Informaes.
c. Requisitos de Negcio: Efetividade, Efcin-
cia, Confdencialidade, Integridade, Disponibilidade,
Conformidade e Confabilidade.
Vrias reunies entre os membros do PRISMA e
os consultores externos foram necessrias at a def-
nio do escopo da primeira certifcao. Em parti-
cular, foi defnido nessas reunies que o clculo da
materialidade dos processos e contas contbeis de
maior relevncia estaria baseado no lucro lquido da
Petrobras. Como exemplo, em 2005 os membros do
PRISMA, com base na materialidade calculada, iden-
tifcaram 183 processos relevantes, com um total de
quase 17.000 controles mapeados em 32 empresas do
conglomerado Petrobras.
O escopo era revisado a cada trimestre com o
objetivo de detectar possveis alteraes no valor
utilizado como base para a materialidade do pro-
jeto e, conseqentemente, reavaliar a entrada de
novos processos ou a sada de outros. A Tabela 1
resume dados relativos s certificaes nos anos
de 2006, 2007 e 2008, com as respectivas quan-
tidades de processos e controles definidos para
atender a LSOx.
A reduo nas quantidades de controles autoava-
liados e testados de 2006 a 2008 foi possvel, princi-
palmente, devido ao:
a. Foco em controles de maior risco.
b. Aumento da utilizao de controles automa-
tizados.
c. Projeto de identifcao e avaliao dos con-
Figura 3: Cubo do COSO
Fonte: Committee of Sponsoring Organizations of the
Treadway Commission (2004).
33 Ano III, n. 1 - out. 2010/mar. 2011
troles diretos em nvel de entidade (este tema ser de-
batido na sub-seo 3.9).
3.4 PRAZO PARA A PRIMEIRA
CERTIFICAO
Ainda em 2004, os membros do PRISMA traba-
lhavam com a data de primeira certifcao para o f-
nal de 2005. Em funo da complexidade da LSOx,
da diversidade e amplitude de operaes na Petro-
bras, e por a gesto de riscos corporativos se tratar
de tema (na poca) pouco conhecido nas empresas
no-fnanceiras brasileiras, havia grande preocupao
com a primeira certifcao.
A soluo escolhida foi a de aumentar o nvel de de-
dicao dos empregados alocados ao PRISMA, assim
como demandar maior presena da consultoria externa
(que neste perodo chegou a ter trinta e cinco consul-
tores dedicados somente certifcao da Petrobras).
Este cenrio foi amenizado quando a SEC (em
2005) transferiu a exigncia da primeira certifca-
o para as empresas estrangeiras listadas nas bolsas
norte-americanas somente para o fnal de 2006, re-
duzindo, por conseguinte, a presso nos empregados
e consultores externos envolvidos naquela tarefa, na-
quele momento.
3.5 AQUISIO DE TECNOLOGIA:
FERRAMENTA DE CONTROLES
INTERNOS
Um projeto para certifcar a maior empresa latino-
americana, e uma das dez maiores em termos de ca-
pitalizao de mercado nas bolsas norte-americanas,
demandava a aquisio (ou desenvolvimento) de re-
cursos tecnolgicos compatveis.
Ou seja, era necessria a disponibilizao para os
gestores de ferramenta informatizada para auxiliar
em tarefas como a guarda de informaes sobre pro-
cessos, autoavaliaes dos gestores com riscos detec-
tados e atividades de controle presentes, resultados
das avaliaes (pelo PRISMA/GGCI e pelos audito-
Figura 4: Cubo do COSO
Fonte: Information Systems Audit and Control
Association (2007).
Tabela 1 - Quantidade de Processos e Controles do Escopo da LSOx
Fonte: Petrobras (2009b).
Ano Materialidade (R$ mil) Nmero de Processos Nmero de Controles Nmero de Controles
Autoavaliados Testados
2006 1.707.200 71 8.283 3.352
2007 1.457.453 72 4.298 1.977
2008 2.059.325 69 2.164 975
34 Ano III, n. 1 - out. 2010/mar. 2011
res externos), assim como adequado gerenciamento
automatizado de tarefas. Essa ferramenta deveria ser
capaz de armazenar por, no mnimo, sete anos todas
essas informaes, assim como facilmente disponibi-
lizar (por meio da elaborao de relatrios) qualquer
documentao para atendimento das demandas exigi-
das pela LSOx.
Um grupo de trabalho foi constitudo para analisar
as trs opes oferecidas no mercado pelas empre-
sas ARIS, IBM e SAP. A recomendao fnal foi pela
aquisio da ferramenta MIC (Management of Inter-
nal Control), desenvolvida pela SAP, que foi julgada
como tendo obtido os melhores resultados nos testes
realizados para os requisitos especifcados pelo grupo
decisrio do PRISMA.
A escolha da ferramenta MIC/SAP no resolveu
um problema de curto prazo: para o primeiro ano
de certifcao da LSOx a ferramenta no podia ser
usada na Petrobras em virtude de incompatibilidades
com os padres da empresa. Foi necessria a adequa-
o parcial da documentao resultante da primeira
certifcao em planilhas eletrnicas desenvolvidas
pelos prprios componentes do PRISMA, resultando
em uma ferramenta desenvolvida internamente deno-
minada PRISMA-MIC.
Embora o PRISMA-MIC tenha cumprido de for-
ma aceitvel seu papel em 2006, vrias defcincias/
limitaes foram experimentadas naquela primeira
certifcao, como impossibilidade de anexar evidn-
cias de entrevistas e testes realizados, assim como
inexistncia de um gerenciador automtico de tarefas
(para envio de tarefas por correio eletrnico para di-
ferentes empregados).
Para o ano de 2007, a GGCI investiu para conf-
gurar o MIC/SAP para as necessidades especfcas da
Petrobras. Naturalmente, esse trabalho contou com a
presena de profssionais da SAP, em contato prxi-
mo com empregados da Petrobras. Como resultado,
toda a documentao da primeira certifcao foi mo-
vido para o MIC/SAP, em linha com o demandado
pela LSOx.
A ltima etapa foi o treinamento de todos os gestores
para uso do MIC/SAP, o que foi completado em 2007.
3.6 ASSINATURA ELETRNICA DOS
GESTORES
O processo de assinatura (sign off) do Presidente
(CEO) e do Diretor Financeiro (CFO), por ocasio do en-
cerramento da certifcao, requerido pela LSOx, tema
este que envolve a Seo 302 e a Seo 404. As penalida-
des por declaraes falsas podem chegar a vinte anos de
recluso e multa de at US$ 5 milhes, por evento.
Assim, o PRISMA (e a GGCI depois) necessitava
defnir processo que atendesse a LSOx e que deixasse
o Presidente e o Diretor Financeiro seguros no que se
referia efetividade do ambiente de controles inter-
nos da Petrobras. Ficou decidido que o processo de
certifcao se encerraria na Petrobras aps as duas
assinaturas eletrnicas.
A inteno inicial foi a de implantar desde o pri-
meiro ano de certifcao a assinatura eletrnica no
somente do Presidente e do Diretor Financeiro, mas
tambm de todos os gestores dos processos do escopo
da LSOx, o que atestaria a efccia (ou no) de seus
controles internos. Para 2006 isto no foi possvel,
por limitaes tecnolgicas do PRISMA-MIC, como
descrito na sub-seo anterior, sendo necessrio adiar
os planos de certifcao eletrnica por um ano quan-
do foram extensivos a todos os gestores envolvidos.
As certifcaes de 2007 e 2008 permitiram as
assinaturas eletrnicas nos diversos escales da ad-
ministrao da Petrobras, no sistema MIC/SAP. No
total, foram 289 assinaturas eletrnicas em 2007,
subindo esse nmero para 439 em 2008, includos o
Presidente, Diretor Financeiro, Diretores, Gerentes
Executivos, Gerentes Gerais e Gerentes.
3.7 NEGOCIAO COM A AUDITORIA
EXTERNA PARA O PROCESSO DE
CERTIFICAO
Segundo o padro de auditoria AS2, emitido pelo
PCOAB, o objetivo da auditoria externa no processo
de certifcao de uma empresa expressar opinio
acerca da avaliao da administrao sobre a efccia
dos controles internos. Ou seja, o PRISMA/GGCI e a
auditoria externa, KPMG, deveriam trabalhar de for-
ma alinhada para evitar/diminuir possveis desencon-
tros de opinies e percepes que pudessem impactar
a emisso do parecer fnal.
Em outras palavras, o trabalho do PRISMA/GGCI
incluiu a preocupao em obter informaes da au-
ditoria externa acerca dos trabalhos realizados. Essa
uma tarefa delicada, dado que no se pode cruzar a
independncia de opinio da auditoria externa, nem
gerar situaes desconfortveis para ambas as par-
tes. Assim, a partir do fnal de 2006, vrias reunies
semanais para acompanhamento e alinhamento de
percepes ocorreram entre o pessoal do PRISMA/
35 Ano III, n. 1 - out. 2010/mar. 2011
GGCI, da Auditoria Interna da Petrobras, da KPMG e
da Deloitte. Nessas reunies as demandas da KPMG
foram respondidas da seguinte forma:
a. Questes relacionadas com a autoavaliao
dos gestores eram dirimidas com a equipe do PRIS-
MA/GGCI.
b. Questes sobre testes de controle eram diri-
midas com a Auditoria Interna.
c. Questes sobre a metodologia utilizada e
descrio dos controles implementados para a certi-
fcao eram dirimidas com a Deloitte.
O processo de interao anteriormente descrito
permitiu que o processo de certifcao transcorresse
de forma efetiva, facilitando o tratamento das defci-
ncias, as quais deviam ser classifcadas como def-
cincia simples, signifcativa e fraqueza material, em
linha com o estabelecido pelo PCAOB.
Nas trs primeiras certifcaes da Petrobras (2006,
2007 e 2008) ocorreram poucos casos de defcincias,
tendo sido todas classifcadas como defcincia sim-
ples, a forma menos severa dentre as trs categorias.
3.8 GERAO DE CULTURA PARA GESTO
DE RISCOS E ATENDIMENTO LSOX
A primeira reao dos gestores na Petrobras
LSOx foi perceb-la como burocracia adicional a
ser conduzida em suas atividades dirias. Ou seja,
tais gestores no acreditavam que poderiam obter
benefcios para suas atividades dirias advindas da
aplicao da LSOx. Para o grupo do PRISMA (e pos-
teriormente GGCI) esse foi importante desafo a ser
vencido desde os momentos iniciais do esforo para a
certifcao da Petrobras.
A estratgia adotada foi seguir adiante em duas
etapas:
a. Buscar o aculturamento primeiramente da-
queles gestores diretamente envolvidos no processo
de certifcao. Durante o ano de 2006 a equipe do
PRISMA foi treinada pela consultoria externa.
b. Com a ajuda do primeiro grupo, buscar o acul-
turamento dos demais colaboradores, desde os gestores
de nvel hierrquico superior ao corpo de colaborado-
res. O primeiro passo da soluo adotada foi o agen-
damento, durante o ano de 2006, de quase cinqenta
palestras na Petrobras, todas realizadas pelo Gerente
Geral de Controles Internos, com o objetivo de impac-
tar diretamente o nmero mximo de colaboradores.
Como o leitor deve imaginar, o esforo demanda-
do foi enorme para a efetiva superao desse desafo.
Longe de fnalizado, o processo de gerao de cultura
interna em uma empresa do porte da Petrobras con-
tnuo, quer pela entrada de novos empregados, quer
pela rotao de pessoas entre diferentes reas.
O desafo de gerao de cultura interna para a ges-
to de riscos corporativos j foi descrito em outros
artigos para os casos de bancos e seguradoras, no
tendo sido exclusivo da Petrobras com a LSOx (DU-
ARTE JNIOR; LLIS, 2004).
Ainda em 2006, durante a primeira certifcao,
quando dos testes de efetividade realizados pela Au-
ditoria Interna na Petrobras, fcou claro para os mem-
bros do PRISMA que muitas autoavaliaes no po-
diam ser confrmadas na prtica pelos auditores, fruto
por vezes de desconhecimento, e por outras vezes de
pouco engajamento dos gestores que autoavaliavam.
Ao fnal da terceira certifcao (em 2008), os
membros da Auditoria Interna e do GGCI j puderam
observar melhora signifcativa por parte do corpo de
colaboradores da Petrobras no que se refere tanto ao
entendimento da LSOx (incluindo possveis benef-
cios), quanto ao desejo de participao para a melho-
ra da gesto de riscos corporativos na empresa.

3.9 ADAPTAO AO NOVO PADRO DE
AUDITORIA EMITIDO PELO PCAOB EM
2007
O PCAOB publicou em junho de 2007 novo Pa-
dro de Auditoria Audit Standard n.5 (AS5). Esse foi
aprovado por unanimidade no ms seguinte pela US
Securities and Exchange Commission.
Conforme a Figura 5, o AS5 determinou que os
controles deviam ser classifcados em:
a. Controles Indiretos em Nvel de Entidade
(CINE) so aqueles que no possuem atuao dire-
ta e claramente associada com a deteco de erros
ou irregularidades em processos que podem causar
impacto material nas demonstraes fnanceiras. Os
CINE so normalmente autoavaliados pelos executi-
vos das diversas empresas ou unidades da Petrobras
por meio de questionrio anual elaborado e aplicado
pela GGCI. Como o AS5 no alterou as demandas j
colocadas pelo AS2 no que se refere aos CINE, no
houve alterao no trabalho da GGCI nesse caso.
b. Controles Diretos em Nvel de Entidade
(CDNE) so aqueles que podem prevenir ou detectar,
tempestivamente, erros ou irregularidades de proces-
sos operacionais que podem resultar em impacto ma-
terial nas demonstraes fnanceiras. Os CDNE so
36 Ano III, n. 1 - out. 2010/mar. 2011
realizados pela mdia e alta gerncia para monitorar
o ambiente de controles de processos.
c. Os Controles Operacionais (CO) esto na
base da pirmide e so aqueles classifcados como
ligados diretamente aos processos. So realizados pe-
los empregados da rea ou por supervisores.
Assim, surgiu novo desafo para a certifcao
de 2008, pois os CDNE no haviam sido cobertos
pelo AS2. Por outro lado, a introduo dos CDNE
permitiu que houvesse reduo no nmero de con-
troles a serem testados pela Auditoria Interna, o
que era positivo diante da complexidade das de-
mandas da LSOx.
A GGCI iniciou no fnal de 2007 projeto para iden-
tifcao e posterior teste dos CDNE. Assim, a Petro-
bras foi uma das primeiras empresas brasileiras sub-
metidas LSOx a desenvolver projeto para aproveitar
os ganhos permitidos pelo AS5. O referido projeto foi
levado adiante em cinco etapas, descritas como:
a. Realizar as alteraes necessrias na metodo-
logia de defnio do escopo de processos para a certi-
fcao da LSOx ocasionadas em decorrncia do AS5.
b. Feitas as alteraes acima mencionadas, visi-
tar as reas de negcios e entrevistar gerncias para
identifcar os CDNE.
c. Correlacionar os CO dos processos analisa-
dos com os CDNE que os suportam, conforme identi-
fcao na etapa anterior.
d. Identifcar estratgia de teste a ser adotada
para cada processo selecionado para o escopo de cer-
tifcao. Por exemplo, para aqueles CDNE operando
e com evidncia de documentao, test-los direta-
mente; para aqueles processos em que os CDNE no
estavam operando ou que apresentavam potenciais
possibilidades de falhas na documentao, testar os
CO (e, por conseguinte, os CDNE indiretamente).
e. Encaminhar a lista com os controles a serem
testados para a Auditoria Interna.
Os resultados obtidos esto evidenciados na Tabela
2 e Tabela 3, conforme dados disponibilizados em Pe-
trobras (2009a). Pode-se observar que as maiores redu-
es foram experimentadas em relao aos controles
de TI. De fato, toda a reduo no caso de processos de
TI foi obtida em 2008, no tendo sido esse o caso dos
controles de processos, com redues esperadas ainda
para a certifcao de 2009 (no coberta nesse artigo).
Figura 5 - Classifcao dos Controles Segundo AS5
Fonte: Adaptado do Padro de Auditoria n.5 do PCAOB.

Autoavaliao Testes
2006 4144 1330
2007 1104 748
2008 139 113
Tabela 2 - Reduo dos Controles Autoavaliados e Testados em TI
Fonte: Petrobras (2009a).
37 Ano III, n. 1 - out. 2010/mar. 2011

Autoavaliao Testes
2006 4139 2022
2007 3194 1229
2008 2025 862
Tabela 2 - Reduo dos Controles Autoavaliados e Testados em Processos
Fonte: Petrobras (2009a).
4 CONCLUSO
O processo de convergncia regulatria para ban-
cos, seguradoras e empresas em geral iniciou-se no
fnal do sculo passado. A LSOx um componente
importante no processo de convergncia regulatria
mundial. Em outras palavras, aqueles que diziam que
a LSOx muito rgida e complexa, faziam-no por
desconhecer as demandas impostas pelo Novo Acor-
do de Capital da Basilia aos bancos e pela Solvncia
II s seguradoras.
Nesse artigo foram cobertos os desafos enfrenta-
dos e solues adotadas pela Petrobras para a certif-
cao LSOx nos anos 2006, 2007 e 2008. Por sua im-
portncia para a economia brasileira, esse artigo pode
servir de base para a melhor compreenso dos desa-
fos enfrentados por outras empresas locais. pos-
svel estender este comentrio para o caso de todas
as empresas submetidas LSOx, mesmo aquelas dos
EUA e Europa, em funo da reduzida quantidade de
material publicado e disponvel sobre a adequao de
empresas norte-americanas e europias LSOx.
Dos trs anos de certifcao, o primeiro, 2006, foi
sem dvida o que apresentou os maiores desafos. O
fato da Petrobras ter obtido no perodo 2006-2008 as
certifcaes sem ressalvas ilustra a importncia in-
terna dedicada ao tema e, mais ainda, os resultados
satisfatrios obtidos.
O impacto futuro da LSOx na Petrobras pode ser
muito positivo se o esforo despendido at aqui pu-
der ser direcionado para a estruturao de grupo ain-
da mais atuante na grande rea de gesto de riscos
e controles corporativos, conforme Jeffrey (2008)
relata para o caso de outras empresas no exterior. Na-
turalmente que dar passo em direo estruturao
de rea para Entreprise Risk Management vai gerar
novos desafos, assim como demandar maior investi-
mento em recursos fnanceiros e humanos.
No que se refere aos impactos da LSOx nas em-
presas brasileiras em geral, pode-se esperar vrias
mudanas pelas prximas dcadas. Mesmo inclu-
das aquelas empresas no submetidas diretamente
LSOx no dia de hoje, todas tero que se adaptar a pa-
dres de transparncia, gesto de riscos e governana
corporativa de empresas como a Petrobras. No h
caminho de volta para as empresas brasileiras que no
seja seguir esses passos. Os investidores locais esto
mais interessados e informados e, portanto, mais cui-
dadosos no que se refere a investir suas economias
em empresas sem compromisso com transparncia,
gesto de riscos e governana corporativa. Ou seja, as
empresas brasileiras que espontaneamente decidirem
satisfazer a LSOx podero obter, por exemplo, redu-
o nos custos de fnanciamento, melhor percepo
dos investidores quanto a seus produtos, e reduo de
perdas operacionais e legais. At mesmo empresas de
capital fechado podem se benefciar com a adeso s
melhores prticas de gesto de riscos em linha com as
demandas da LSOx.
Obviamente existe a questo de investimento ini-
cial para a implementao da LSOx em uma empresa.
No incio do processo de certifcao os valores so
maiores, no se pode negar. Entretanto, o PCAOB
tem facilitado essa reduo de investimentos, como
ilustrado pela emisso do Audit Standard n.5 em
2007. Em outras palavras, embora o investimento ini-
cial para a certifcao LSOx seja relativamente alto,
esse custo tende a cair ao longo do tempo, e os ganhos
das empresas devem compensar os investimentos fei-
tos na melhor gesto de riscos.
38 Ano III, n. 1 - out. 2010/mar. 2011
REFERNCIAS
ANDRADE, A.; ROSSETTI, J.P. Governana Corporativa: Fundamentos, Desenvolvimento e Tendncias.
Editora Atlas: So Paulo, 2006.
BERGAMINI, S. Controles Internos como um Instrumento de Governana Corporativa. Revista do BNDES,
v.12, p.149-188, 2005.
BORGERTH, V.M.C. SOX: Entendendo a Lei Sarbanes-Oxley Rio de Janeiro: Editora Thompson, 2007.
BORGES, L.F.X.; SERRO, C.F.B. Aspectos de Governana Corporativa Moderna no Brasil. Revista do
BNDES, v.12, p. 111-148, 2005.
CLAESSENS, S., DJANKOV, S;. NENOVA, T.. Corporate Risk Around the World. Policy Research Working
Paper, 2271, The World Bank, Washington, 2000.
COFFEE, J. The Future as History: The Prospects for Global Convergence in Corporate Governance and its
Implications. Northwestern Law Review, v.93, p. 641-707, 1999.
COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION COSO.
Internal Control. Technical Report, 1992.
______. Enterprise Risk Management. Technical Report, 2004.
COSTA et al. Nveis Diferenciados de Governana Corporativa da BOVESPA e Grau de Conservadorismo:
Estudo Emprico em Companhias Abertas Listadas na BOVESPA. Sexto Congresso USP de Controladoria e
Contabilidade, So Paulo, 2006.
DELOITTE TOUCHE TOHMATSU. Lei Sarbanes-Oxley: Guia para Melhorar a Governana Corporativa
Atravs de Controles Internos. Relatrio Tcnico. Deloitte Touche Tohmatsu, So Paulo, 2003.
DUARTE JNIOR, A.M..; VARGA, G. (orgs.) Gesto de Riscos no Brasil. Rio de Janeiro: Editora Financial
Consultoria, 2003.
DUARTE JNIOR, A.M; LLIS, R.J.F. Unifcando a Alocao de Capital em Bancos e Seguradoras no Brasil.
Revista de Administrao de Empresas, v.44, p.73-84, 2004.
FURUTA, F. A Relao das Caractersticas das Empresas com a Adoo do Comit de Auditoria vs.
Conselho Fiscal Adaptado. Faculdade de Economia, Administrao e Cobtabilidade, USP, 2010.
HAMILTON, S., The Enron Collapse, Case Study IMD 164, International Institute for Management
Development, Switzerland, 2003.
HAWKINS, D.F.; COHEN, J., Arthur Andersen LLP, Case Study 9-103-061, Harvard Business School,
Massachussetts, USA, 2003.
INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION. Control Objectives for Information
and Related Technology COBIT 3.2. Technical Report, 2003.
______. Control Objectives for Information and Related Technology COBIT 4.0. Technical Report, 2005.
39 Ano III, n. 1 - out. 2010/mar. 2011
______. Control Objectives for Information and Related Technology COBIT 4.1. Technical Report, 2007.
INSTITUTO BRASILEIRO DE GOVERNANA CORPORATIVA. Cdigo das Melhores Prticas de
Governana Corporativa, Relatrio Tcnico, So Paulo: Instituto Brasileiro de Governana Corporativa,
2004.
JEFFREY C.. Internal Control at Private Companies and Nonprofts. The CPA Journal, v.78, n.9, p.52-54,
2008.
KAPLAN, R.S.; KIRON, D., Accounting Fraud at WorldCom. Case Study 9-104-071, Harvard Business
School, Massachussets, USA, 2004.
LOBO, J.R.M et al. Uma Viso sobre os Aspectos de Governana Corporativa Aplicados ao Novo Mercado
da Bolsa de Valores de So Paulo. II Simpsio Internacional de Transparncia nos Negcios, Niteri,
2008.
LOBO, J.R.M.; CUNHA, R.M.; GUIMARES, A.L.O. Os Impactos do Regulamento do Novo Mercado da
BOVESPA na Governana Corporativa no Brasil. Estao Cientfca Online, v.5, 2008.
MENDONA, M.M et al. O Impacto da Lei Sarbanes-Oxley na Qualidade do Lucro das Empresas Brasileiras
que Emitiram ADRs. VIII Congresso USP de Controladoria e Contabilidade, So Paulo, 2008.
PAINE, L.S.; WEBER J.. The Sarbanes-Oxley Act. Case Study 9-304-079. Harvard Business School,
Massachusetts, USA, 2004.
PEREIRA A.N.; VILASCHI A. Governana Corporativa e Contabilidade: Explorando Noes e Conexes.
IV Simpsio FUCAPE de Produo Cientfca, Vitria, 2006.
PETERS, M.. Implantando e Gerenciando a Lei Sarbanes-Oxley. So Paulo: Editora Atlas, 2007.
PETROBRAS. Relatrio de Atividades do PRISMA. Relatrio Tcnico, 2007.
______. Relatrio de Atividades do Projeto de Controles Diretos em Nvel de Entidade. Relatrio Tcnico,
2009a.
______. Relatrio do Sistema de Avaliao de Riscos em Processos no Escopo da SOX. Relatrio Tcnico,
2009b.
SANCHES, M.V. Sistemas de Controles Internos e de Fiscalizao em Demonstraes Contbeis:
Uma Anlise Crtica de Normas Especfcas. 2007, 111f Dissertao (Mestrado em Cincias Contbeis)-
Faculdades de Economia, Administrao e Contabilidade, USP, 2007.
SANTOS, A.G. Comit de Auditoria: Uma Anlise Baseada na Divulgao das Informaes de Empresas
Brasileiras. Faculdade de Economia, Administrao e Contabilidade, USP, 2009.
ZACHARIAS C.C.; DUARTE JNIOR A.M..Uma Anlise Comparativa entre a Lei Sarbanes-Oxley e
os Ambientes Regulamentares para Bancos e Seguradoras. Revista de Economia e Administrao, v.6,
v.191-214, 2007.
ZENO, J.C.M.; DUARTE JNIOR, A.M.. Uma nota sobre a Gesto dos Riscos Legais no Ambiente
Corporativo. Revista Brasileira de Risco e Seguro, v. 5, n. 9, p. 23-42, 2009.
40 Ano III, n. 1 - out. 2010/mar. 2011
YIN, R. Estudo de Caso: Planejamento e Mtodos. Porto Alegre: Editora Bookman, 2005.
WORLD ECONOMIC FORUM. Annual Report 2006/07. Technical Report. Disponvel em: <http://www.
weforum.org/pdf/AnnualReport/2007/>. Acesso em: 19 jul.2007(a).
WORLD ECONOMIC FORUM. Global Risks 2007. Technical Report. Disponvel em: <http://www.
weforum.org/pdf/CSI/Global_Risks_2007.pdf>. Acesso em: 19 jul.2007 (b).