Março de 2004.

Í N D I C E
APRESENTAÇÃO............................................................................................................................. 4
1 INTRODUÇÃO.......................................................................................................................... 5
2 CONTROLE............................................................................................................................... 6
3 OS FOCOS DE CONTROLE ................................................................................................... 7
3.1 Ambiente de Controle .....................................................................................................................7
3.2 Identificação e Avaliação de Riscos ...............................................................................................7
3.3 Atividades de Controle ...................................................................................................................7
3.4 Monitoramento................................................................................................................................8
3.5 Informação e Comunicação............................................................................................................8
4 RISCOS....................................................................................................................................... 9
5 PRINCÍPIOS BÁSICOS NA ADMINISTRAÇÃO DE RISCOS ........................................ 10
6 FUNÇÕES DE CONTROLE NA ORGANIZAÇÃO ........................................................... 12
7 PRINCIPAIS AÇÕES-CHAVE DE CONTROLES INTERNOS E COMPLIANCE....... 13
7.1 AUTO-AVALIAÇÕES .................................................................................................................13
7.1.1 Control Self Assessment - CSA ................................................................................................................ 13
7.2 DEFINIÇÃO DE SISTEMA DE PADRONIZAÇÃO................................................................15
7.2.1 Revisão do Padrão .................................................................................................................................... 18
7.2.2 Controle dos Padrões ................................................................................................................................ 19
7.2.3 Avaliação Quantitativa e Qualitativa da Padronização ............................................................................. 19
7.2.4 Avaliação Quantitativa.............................................................................................................................. 19
7.2.5 Avaliação Qualitativa ............................................................................................................................... 19
7.3 ELABORAÇÃO DE FLUXOGRAMAS DE PROCESSOS......................................................20
7.4 GESTÃO DE RISCOS..................................................................................................................20
7.5 GESTÃO CONTÁBIL..................................................................................................................21
7.6 MATRIZES DE RISCOS E CONTROLES ...............................................................................21
7.6.1 Informações Mínimas na Matriz de Controles.......................................................................................... 22
7.6.2 Informações Mínimas na Matriz de Riscos............................................................................................... 24
7.7 PROCEDIMENTOS DE COMPLIANCE..................................................................................24
7.7.1 Informações Mínimas nos Procedimentos de Compliance ....................................................................... 25
7.7.2 Atribuições................................................................................................................................................ 26
7.8 PLANOS DE AÇÃO .....................................................................................................................27
7.9 PLANO DE CONTINGÊNCIA ...................................................................................................27
7.10 DISSEMINAR A CULTURA DA ÉTICA ..................................................................................28
7.11 IMPLANTAÇÃO DE ÁREA DE CONTROLES INTERNOS E COMPLIANCE.................28
7.11.1 Política ................................................................................................................................................. 28
7.11.2 Comitê de Controles Internos e Compliance........................................................................................ 28
7.11.3 Unidade de Controles Internos............................................................................................................. 29
7.11.4 Agente de Controles Internos............................................................................................................... 30
GLOSSÁRIO DE TERMOS TÉCNICOS ..................................................................................... 31

2
Anexo 1 – METODOLOGIAS DE CONTROLES ....................................................................... 33
Anexo 2 - SÍMBOLOS GRÁFICOS PARA FLUXOGRAMAS .................................................. 36
Anexo 3 - CATEGORIAS DE RISCOS ......................................................................................... 37
Anexo 4 – GESTÃO CONTÁBIL................................................................................................... 41
Anexo 5 – EXEMPLO DE TESTE DE CONFORMIDADE – RES. BACEN Nº 3.121/2003 ... 42

3
APRESENTAÇÃO

A ABRAPP, o Sindapp e o ICSS têm a satisfação de apresentar a suas associadas

material que entendemos poder vir a contribuir significativamente para o processo de
afirmação de competência e profissionalismo na gestão de suas entidades.

A evolução natural desse processo passará, sem dúvida, pela instituição de

relacionamento mais constante e próximo com os órgãos reguladores, sem que se
configure meramente o caráter de fiscalização nesses contatos. Em vez disso, o que se
espera é que todas as entidades envolvidas no Sistema de Previdência Complementar
Fechada, independente de suas atribuições específicas compreendam que suas ações
devem estar direcionadas para o objetivo comum que é, em síntese, proporcionar
melhores condições de vida aos participantes, assistidos e dependentes vinculados às
EFPC, atendendo expectativas de suas patrocinadoras, trazendo também importante
colaboração para o desenvolvimento do país.

O Manual que apresentamos, desenvolvido pela Comissão Técnica Nacional de

Compliance e Controles Internos, tem o objetivo de sintetizar preocupações e sugestões a
respeito do tema, que certamente ganhará relevância nos próximos períodos, ponderada
toda a expectativa de gestão mais transparente e eficaz das EFPC.

4
1 INTRODUÇÃO

O objetivo deste manual é orientar os profissionais das Entidades Fechadas de

Previdência Complementar no que concerne a Controles Internos e Compliance
estabelecendo, didaticamente, conceitos e métodos de controle, que além de atenderem
as exigências legais, devem ser adotados como uma oportunidade de melhora nos
parâmetros de mercado, de padrões éticos de controles, transparência e informações.

O sistema previdenciário brasileiro vem passando por profundas reformas, com a edição
de nova legislação e regras, cujo principal objetivo é minimizar os riscos, buscando
garantir condições de segurança, rentabilidade, solvência e liquidez aos Fundos de
Pensão, para que estes possam atingir seu fundamental princípio, que é o de atender
seus compromissos com os participantes.

Assim, destaca-se a necessidade de desenvolvimento de funções internas que permitam

às entidades o monitoramento dos riscos aos quais estão submetidas, a partir de prévia
definição dos níveis considerados aceitáveis de exposição. Além dessas, mostram-se
importantes também atividades voltadas para a determinação e divulgação de
responsabilidades e objetivos – individual ou departamental –, bem como focadas no zelo
pela conformidade com normas, leis e padrões / procedimentos internos ou externos, tudo
isso com o propósito de se mitigar as diversas vulnerabilidades às quais os Fundos de
Pensão estão sujeitos.

Trata-se de um constante e dinâmico trabalho, no sentido de reforçar a confiabilidade e

estabilidade de cada uma das Entidades Fechadas de Previdência Complementar.

5
2 CONTROLE

O controle está associado à diminuição da incerteza em relação a eventos futuros. Tudo

está sob controle se o grau de dúvida em relação aos procedimentos de todas as
atividades, e suas conseqüências, estão dentro de um limite tolerável. Assim, quanto
melhor o controle, menor o risco.

O controle também pode aumentar a eficácia, atingindo o efeito desejado, como por
exemplo, através da diminuição de custos ou de tempo, daquilo que já é feito com
eficiência (atividades realizadas com processos bem estruturados).

Os controles internos podem ser considerados eficientes e eficazes se a Alta

Administração e Diretoria tiverem uma segurança razoável de que:

- Os objetivos das operações da Entidade estão sendo alcançados (objetivos das

operações);
- As demonstrações financeiras publicadas são preparadas de maneira confiável
(objetivos de relatórios financeiros);
- As leis e regulamentos aplicáveis estão sendo cumpridos (objetivo de conformidade).

Se todos mantiverem um alto grau de conhecimento sobre as atividades sob sua

responsabilidade e estiverem atentos ao cumprimento das normas, buscando a agilização
dos processos, atribuindo-lhes a qualidade e a segurança indispensáveis, com certeza
estarão fazendo um bom controle e os objetivos serão atingidos de acordo com os
resultados desejados. É importante, também, verificar a conformidade da estrutura de
controle adotada pela entidade com a sua respectiva missão.

Quando se controla é importante verificar sempre o custo/ benefício do controle para

evitar que o custo deste seja maior do que o benefício conseguido.

Um modelo de controle possui cinco focos diretamente integrados às funções, processos

e atividades executados, conforme detalhado no item 3.

6
3 OS FOCOS DE CONTROLE

Abaixo é apresentada metodologia de controle subdividida em cinco focos principais.

Nota:
¾ Ressalta-se que está em discussão novo modelo de controle voltado para a
identificação e controle de riscos, subdividido em 8 focos principais, conforme
detalhado no anexo 1 .

3.1 Ambiente de Controle

O ambiente de controle influencia a consciência de controle dos funcionários. O controle

interno reflete o comprometimento de todos.

O ambiente de controle deve ser uma situação permanente e contínua, existente em cada
uma das áreas da empresa, visando constantemente à redução dos riscos e ao aumento
da eficácia dos processos. Isto pode ser conseguido se cada um estiver atento aos
elementos que compõem esse ambiente: integridade, ética e competência dos
funcionários; definição de responsabilidades; padrões de gerenciamento; organização e
alocação de recursos.

3.2 Identificação e Avaliação de Riscos

A aplicação de controles internos requer a identificação e avaliação contínua de riscos,

quer sejam de natureza interna ou externa.

Identificação de riscos é o ato de avaliar constantemente em suas tarefas a probabilidade

de que eles ocorram, medindo também o impacto que eles exercem nos objetivos de seus
negócios ou serviços.

3.3 Atividades de Controle

As atividades de controle são as políticas e procedimentos que ajudam a garantir que as

ações necessárias para atingir os objetivos levam em consideração os riscos identificados
e avaliados.

Atividades de controle ocorrem por meio da organização, em todos os níveis e em todas

as funções, da definição e execução dos processos operacionais e dos controles e
responsabilidades pela sua execução.

7
3.4 Monitoramento

Todos os funcionários são responsáveis pelos controles internos, por meio do adequado
desempenho de suas atribuições e da imediata comunicação de falhas ou deficiências
verificadas no funcionamento dos controles às chefias ou órgãos responsáveis pela
solução do problema, que deverá ser prontamente providenciada.

O monitoramento se dá por meio de acompanhamentos sistemáticos, nos quais se avalia

se os objetivos estão sendo alcançados, se os limites estabelecidos estão sendo
cumpridos e se eventuais falhas estão sendo prontamente identificadas e corrigidas.

3.5 Informação e Comunicação

Um sistema de controle eficiente necessita que os resultados das atividades de controle

realizadas pelos funcionários, bem como as informações originadas da administração e
do corpo gerencial, sejam transmitidas prontamente a todos os interessados.

Uma comunicação efetiva deve ocorrer amplamente por meio da organização. Todos os
funcionários, de todos os níveis, devem ter em mente seu respectivo papel no sistema de
controle e quais são as informações importantes a serem comunicadas.

8
4 RISCOS

Toda instituição corre riscos no desenvolvimento de suas atividades, isso porque ela não
dispõe de todas as informações sobre possíveis eventos futuros que possam interferir na
tomada de decisão.

Basicamente as instituições estão expostas a cinco principais tipos de riscos: risco de

mercado, risco de contraparte, risco de liquidez, risco operacional e risco legal, sendo que
estes se correlacionam e muitas vezes se confundem. Especificamente no caso das
entidades fechadas de previdência social, um dos riscos que se sobressai é o de liquidez.

O risco de mercado pode ser subdividido em risco de taxa de juros, risco de taxa cambial
e risco de liquidez. O risco de contraparte é formado pelo risco de inadimplência, risco de
degradação de garantias e risco de concentração. Por sua vez, os sub-riscos para o risco
operacional podem ser risco de fraude, risco de ações judiciais, risco de imagem, risco de
danos aos ativos, risco na execução de processos (falha humana e tecnológica),
conforme detalhado no anexo 3 – Categorias de Riscos.

Para minimizar o efeito das perdas decorrentes dos riscos, faz-se necessário seu efetivo
gerenciamento, pois, em algumas ocasiões, uma única falha operacional pode
desencadear problemas muito mais sérios, aumentando os riscos relacionados.

Alguns princípios devem ser seguidos para a gestão de riscos, sendo que as pessoas, os
processos e a tecnologia das instituições são pressupostos básicos para um ambiente
adequado.

9
5 PRINCÍPIOS BÁSICOS NA ADMINISTRAÇÃO DE RISCOS

I. Comprometimento da alta administração na implementação e implantação de uma

estrutura de controles internos.

II. O risco é a incerteza quanto a resultados futuros.

• Não tema, mas respeite os riscos: assegure-se do equilíbrio entre ganhos e
perdas.

III. Estrutura clara, distribuição e delegação de responsabilidade, segregação de

função e disciplina são pré-condições básicas: quem faz não confere!

IV. Medidas rigorosas no caso de não-conformidade / infrações.

• Conheça as regras do jogo: deve-se ter coragem para tomar medidas
desagradáveis (“cultura de conseqüências”).

V. Informações corretas e precisas, integridade e relevância de dados, sistemas e

informações consolidados em uma base única.
• Não faça nenhum diagnóstico sem informações;
• Procure conhecer o que você não sabe.

VI. O gerenciamento de risco é um processo de persistência, não um programa

esporádico.
• Prevenção à frente de correção (atuação pró-ativa ao invés de reativa);
• “Melhores práticas” devem ser utilizadas como metas, não como “moda
passageira”;
• Importe-se com a essência, não só com a forma legal;
• Estabeleça iniciativas de longo prazo ao invés das de curto prazo;
• Enfatize a promoção de cultura de risco, em lugar de apenas controlar os
números;
• O gerenciamento de riscos deve privilegiar sempre a organização, sendo o
atendimento aos órgãos supervisores / reguladores apenas conseqüência.

VII. O gerenciamento de risco é parte ciência, parte inferência.

• Fatos, percepções, expectativas – todos são importantes;
• O gerenciamento de risco é freqüentemente a arte de desenhar conclusões
suficientes de premissas insuficientes.

VIII. Limitação de modelos.

• Um modelo é sempre uma aproximação de uma realidade mais complexa;
• Os modelos são tão bons quanto as suposições subjacentes: “se entra lixo” –
“sai lixo”;
• Nem todos os riscos são relevantes e / ou quantificáveis;

10
 • Os modelos são sempre uma parte do gerenciamento do risco e devem incluir
bom senso.

IX. Organizações complexas, reestruturações e projetos podem adicionar riscos.

• A complexidade é a inimiga da velocidade e receptividade: empenhe-se na
simplicidade;
• Quanto mais complexo um tipo de risco é, o mais especializado, concentrado e
controlado seu gerenciamento deve ser.

X. Organização de conhecimento e aprendizagem.

• Aprenda com os erros;
• Incentive a doação de conhecimentos como parte do processo de avaliação;
• O conhecimento só não basta: é a implementação que leva a resultados;
• Estruture um programa de treinamento para divulgar os controles estabelecidos.

XI. O controle responsável, o compliance, a cultura de risco são tão importantes

quanto a quantificação mais sofisticada.
• A cultura de risco, em geral, é a responsabilidade final do gerenciamento
superior, ou seja, da alta administração.

XII. O elemento humano é o fator crítico de sucesso.

• O gerenciamento de risco bem sucedido é, principalmente, o resultado da
capacidade, aptidão e atitude das pessoas envolvidas: as pessoas formam a
cultura, a reputação, a marca de uma organização!

XIII. O controle deve ter ação tempestiva parametrizada com o risco.

• O controle precisa ser tão dinâmico quanto o risco.

11
6 FUNÇÕES DE CONTROLE NA ORGANIZAÇÃO

Podemos destacar como áreas voltadas para a implementação de ações visando

aumentar a probabilidade de que os objetivos e metas estabelecidas para o negócio
sejam atingidos: Gestão de Riscos e Compliance, Auditoria, Jurídico, Controladoria.

Destacamos a função de Gestão de Riscos e Compliance, tendo em vista a sua pouca

disseminação junto ao segmento de Fundos de Pensão. O seu papel na organização é
assessorar o gerenciamento do negócio no que se refere à interpretação e impacto da
legislação, monitorando as melhores práticas em sua execução, além de prover
treinamento sobre regulamentação aos empregados. Seu foco de atuação é no sentido
de direcionar esforços para os processos avaliados como de maior risco operacional,
atuando como parceiro da área de negócios através do monitoramento constante sobre
atividades e processos e acompanhamento de novos projetos e operações. Seu caráter
preventivo difere da Auditoria interna, que analisa dados históricos em busca de registros
e evidências visando à identificação e quantificação dos problemas.

A área de Gestão de Riscos e Compliance deve ter total patrocínio da Alta Administração,
tendo em vista o necessário acesso e suporte às suas atividades, bem como a
independência na aferição da conformidade dos controles nas demais unidades da
organização.

12
7 PRINCIPAIS AÇÕES-CHAVE DE CONTROLES INTERNOS E
COMPLIANCE

7.1 AUTO-AVALIAÇÕES

É um recurso que pode ser utilizado para avaliar questões gerenciais ou estratégicas.
Consiste na realização de workshops conduzidos por um facilitador, onde participam os
gestores do processo, e demais áreas envolvidas, que permite avaliar a eficiência dos
controles para gerenciamento de riscos, buscando melhorar o desempenho por meio de
revisão de processos e da elaboração de planos de ação.

A seguir é apresentada a metodologia denominada “Control Self Assessment – CSA”.

7.1.1 Control Self Assessment - CSA

7.1.1.1 Atividades pré-workshop

Deve-se selecionar o processo que será objeto de auto-avaliação por Control Self
Assessment.
O Facilitador (integrante da equipe de controles internos) e o gestor do processo a ser
auto-avaliado, em conjunto:
a. definem e identificam as pessoas-chave que irão participar da auto-
avaliação;
b. entrevistam Diretores, Gerentes e pessoas-chave no processo para obter
um completo entendimento do processo e seus pontos críticos;
c. identificam com as mesmas pessoas os objetivos do processo e os riscos
associados;
d. registram os processos, objetivos e riscos a serem auto-avaliados
(estrutura de riscos);
e. expedem carta de convocação com pauta e estrutura de riscos definida
para as pessoas-chave que irão participar do workshop.

7.1.1.2 Atividades do Workshop

Realiza avaliação da Cultura de Controle dos participantes e definição das prioridades dos
riscos.

13
O Facilitador deve estabelecer um tempo padrão para discussão de cada risco,
garantindo a objetividade das análises.
Em seu conjunto, os itens a serem trabalhados no workshop são os seguintes:

− Detalhamento do risco (com base no anexo 3 - Categorias de Riscos)

− Histórico de ocorrências do risco

− Fatores de contribuição para a ocorrência do risco

− Impacto/ probabilidade

− Controles mitigadores

− Eficiência/ eficácia dos controles

− Indicadores de performance

− Avaliação da gerência

− Plano de ação

− Prazo e responsável pela implementação

Pode-se designar um observador para analisar a adequação metodológica da auto-
avaliação.

7.1.1.3 Relatório e Atividades pós-workshop

Os resultados da auto-avaliação, incluindo os planos de ação com responsáveis e datas
de cumprimento, são encaminhados e discutidos com cada um dos participantes do CSA
e responsáveis.
O relatório é elaborado pelo facilitador e assinado pelo gestor do processo, responsável
pela execução da auto-avaliação e dos planos de ação.

7.1.1.4 Banco de Dados

Os resultados do CSA são registrados em Banco de Dados, e no caso de alterarem algum
processo já mapeado, deverão ser atualizadas também as matrizes de riscos e controles.

7.1.1.5 Atuação da Auditoria Interna

Periodicamente a Auditoria Interna deve avaliar a pertinência do método e a qualidade do
processo de Control Self Assessment, bem como a qualidade dos planos de ação
estabelecidos e a efetividade da sua implementação.

14
7.2 DEFINIÇÃO DE SISTEMA DE PADRONIZAÇÃO

Estabelece os conceitos e critérios de padronização, visando a elaboração de políticas e

procedimentos que limitem o risco operacional a um patamar definido pela instituição.

Padronizar é um compromisso documentado, utilizado em comum e repetidas vezes pelas

pessoas relacionadas a uma determinada função.

Os padrões internos deverão ser classificados em:

o Fundamental (Princípio Empresarial)
o Estratégico (Políticas)
o Tático (Regulamentos, Sistemas)
o Operacional (Processos, Atividades)

A Padronização requer uma organização interfuncional para operacionalizá-la. A seguir

são descritos os principais responsáveis envolvidos e suas principais atribuições:

Da Diretoria

− Definir e implementar a Política do Processo de Padronização;

− Alcançar resultados através da Padronização.

Do Responsável pelo Processo de Padronização – Compliance

− Assegurar a eficiência e zelar pela integridade e segurança do processo;

− Avaliar a padronização;
− Compilar e divulgar dados e informações sobre a padronização das
unidades organizacionais;
− Coordenar os esforços de melhoramento do sistema de padronização;
− Promover e coordenar ações de intercâmbio sobre padronização entre as
unidades organizacionais similares, e entre estas e outras organizações;
− Assessorar a diretoria quanto a assuntos relativos a padronização;
− Assessorar os responsáveis na aprovação e melhoria de padrões.

Do Responsável Técnico pelo Padrão

− Analisar a necessidade do padrão em conjunto com o responsável pela

utilização, quando aplicável;
− Aprovar o conteúdo técnico do padrão;
− Promover ações de melhoria no padrão.

Nota:
¾ Em muitos casos o responsável pelo padrão é também o responsável pela
utilização.

15
Do Responsável pela Utilização do Padrão

− Desenvolver e treinar o seu pessoal no padrão;

− Avaliar a padronização e seus resultados diretos, na sua área de atuação,
em conjunto com o responsável pelo padrão, quando aplicável;
− Encaminhar e acompanhar as propostas de melhoria no padrão.

Do Elaborador do Padrão

− Pesquisar existência de padrão similar (melhores práticas);

− Elaborar o padrão (novos padrões e revisões).

Do Usuário do Padrão

− Utilizar o padrão;
− Sugerir melhorias no padrão;
− Participar de revisões e/ou elaboração de padrões, quando aplicável.

Objetivando uniformizar a criação, formatação e redação dos padrões, deve-se

observar às seguintes orientações:

− O registro dos processos e atividades pode ser formalizado por meio de

fluxogramas, manuais (inclusive com a utilização de fotos e ilustrações),
cartilhas com instruções específicas, dependendo da necessidade de maior
ou menor simplificação. Cabe ao responsável pelo padrão, garantir a
permanente compatibilidade entre o Padrão e o meio de divulgação.
− A necessidade de padrões decorre da implementação de ações
estratégicas, quando se definem novos produtos, novos processos,
revisam-se processos ou quando no gerenciamento da rotina diária
bloqueiam-se causas relativas a riscos ou outra anomalia qualquer, que
não esteja permitindo o alcance de metas.
− Deve-se considerar, ao elaborar padrões, que “poucos são vitais”,
lembrando-se sempre que os padrões são meio e não fim.
− Deve-se tomar todo cuidado para não haver proliferação de padrões. Uma
regra importante é “devemos padronizar para termos poucos padrões”.
Para tal faz-se necessária a pesquisa de padrões similares.
− Caso não seja identificado um padrão similar adequado, deve-se preparar
um esboço do padrão. No caso de processo/atividade já existente, a
elaboração do esboço do padrão deverá ser realizada pelos executantes
envolvidos no processo/atividade já que o documento elaborado
apresentará as metas ou objetivos a serem alcançados, bem como o
passo-a-passo necessário para atingi-los. Serão reunidas algumas

16
 pessoas que, efetivamente, se destacam na execução do trabalho: as
chefias imediatas e especialistas no assunto, para então descrever a
melhor forma de exercê-la (melhores práticas).
− Para novos processos/atividades, devem-se reunir os especialistas
internos e/ou externos e as chefias a fim de descrever como os mesmos
serão realizados.
− A discussão e a redação final do padrão envolvendo os usuários e
responsável pelo padrão é uma tarefa fundamental na elaboração do
mesmo, tendo como objetivo eliminar dúvidas, acrescentar pontos de vista
e principalmente obter o compromisso dos usuários.
− A instituição deverá definir um formato comum a todos os padrões, com o
objetivo de identificar, classificar e codificar os mesmos quanto ao tipo de
padrão interno e documento externo, responsabilidade pela sua emissão
(padrão interno) ou controle (documento) externo e função (trabalho
especializado) a que se refere.

− Para a redação do padrão apresentamos o quadro a seguir com os itens de

uso obrigatório e opcional:

Item
Capítulos Uso Forma de Uso

Obrigatório
Opcional

1 Introdução X Utilizada para dar informações específicas

ou comentários sobre o conteúdo do
Padrão e as razões que motivaram a sua
elaboração.

2 Objetivo X Utilizado para definir a finalidade do

Padrão, indicando o assunto tratado e os
resultados que se pretende atingir com a
implantação do mesmo.

3 Campo de X Utilizado para indicar os limites de

Aplicação aplicabilidade do Padrão.

17
 Item
Capítulos Uso Forma de Uso

Obrigatório
Opcional

4 Referências X Utilizadas para listar os Padrões , os Atos

Legais, Normas Técnicas,
Regulamentações ou outro documento de
referência.
Nota:
 O Padrão de nível inferior deverá
sempre se referir ao de nível superior que
o condiciona.

5 Definições X Utilizadas para fornecer as definições

consideradas indispensáveis à
compreensão de certos termos utilizados
no padrão.

6 Símbolos e X Utilizados para incluir uma lista de

Abreviaturas Símbolos e Abreviaturas, com os seus
respectivos significados, julgados
indispensáveis à boa compreensão do
texto.

7 Descrição do Utilizado para estabelecer os requisitos

padrão X aplicáveis ao objetivo do Padrão e poderá
utilizar a numeração de tantos capítulos
quanto necessários.
Um Padrão poderá ser documentado
através de texto, gráfico (fluxograma),
figura, tabela, quadro, fotografia, vídeo ou
qualquer forma de representação que
venha se constituir na melhor maneira de
comunicação para o usuário do mesmo.

8 Itens de X Utilizados para medir numericamente os

Controle resultados de um trabalho, permitindo que
os mesmos sejam gerenciados.

9 Anexos X Devem ser apresentados como parte

integrante do padrão.

7.2.1 Revisão do Padrão

Os padrões deverão ser atualizados sistematicamente, visando uma permanente melhoria

nos resultados dos trabalhos. As revisões ocorrem por motivo de “Revalidação”,
“Alteração” ou “Cancelamento”. Adicionalmente, deverá ser estabelecida uma tabela de

18
temporalidade para cada tipo de padrão definido. Não obstante esta revisão periódica, o
padrão poderá ser alterado a qualquer momento, quando houver:
− Possibilidade de mitigar riscos;
− Oportunidade de melhoria dos resultados;
− Solicitação, procedente, de qualquer empregado;
− Mudança na Legislação ou Norma Técnica;
− Obsolescência.

As revisões deverão, a princípio, ser analisadas criticamente e aprovadas pelos mesmos

diretores, gerentes, assessores que aprovaram sua emissão.

7.2.2 Controle dos Padrões

Para o controle da emissão, distribuição, recebimento e arquivamento dos padrões

deverão ser definidos procedimentos e responsabilidades aos usuários e ao coordenador
do Compliance, a fim de que os padrões sejam registrados corretamente e
disponibilizados em sua forma atualizada a toda instituição. O ideal é a utilização da
intranet para tal propósito, o que propicia o fortalecimento do ambiente de controle
interno.

7.2.3 Avaliação Quantitativa e Qualitativa da Padronização

Para completar as atividades de Padronização, é necessário proceder a sua avaliação, ou

seja, verificar se os padrões estão sendo criados, divulgados, utilizados, controlados e
revisados periodicamente, conforme a necessidade de cada função e se os resultados
esperados estão sendo alcançados.

7.2.4 Avaliação Quantitativa

Diz respeito a resultados quantificáveis, os quais devem ser medidos através de itens de
controle. É desejável conhecimento da situação anterior à implantação do Padrão para,
posteriormente, ser feita a comparação e se conhecer os ganhos obtidos com a
implantação do mesmo.

7.2.5 Avaliação Qualitativa

Diz respeito a resultados não quantificáveis relativos a criação, utilização e controle de

padrões. Formas apropriadas de avaliação devem ser aplicadas, tais como questionários
aos gerentes e à própria coordenação do Compliance, visando através da atribuição de
notas identificar causas e elaborar ou revisar o plano de ação para solução de problemas
apontados nas respostas. Os quesitos avaliados podem referir-se, dentre outros, a:

- Os padrões estão em harmonia com os Atos legais e Normas Técnicas?

19
- A criação/revisão dos padrões é feita obedecendo à seqüência estabelecida nas
Normas Internas?
- Os padrões são elaborados de forma participativa?
- Os padrões são utilizados como base para o treinamento no trabalho?

7.3 ELABORAÇÃO DE FLUXOGRAMAS DE PROCESSOS

O mapeamento dos processos permite um melhor entendimento das atividades, bem

como a definição de atribuições e responsabilidades, principalmente quando aspectos
inter-funcionais estão envolvidos.

As seguintes etapas deverão ser observadas em sua execução:

− Formar Grupo de Trabalho, composto por aqueles envolvidos diretamente

nas atividades que compõem o processo objeto da descrição;
− Divulgar as metas de resultado estabelecidas pela diretoria;
− Uniformizar conceitos entre os participantes (ex: produto, cliente,
fornecedor);
− Conhecer a legislação pertinente;
− Definir início e fim do Processo;
− Realizar mapeamento utilizando a simbologia, conforme anexo 2, bem
como destacando todas as áreas envolvidas;
− Localizar atividades que contribuem para o risco;
− Identificar causas internas e externas dos riscos;
− Estabelecer Plano para minimizar os riscos;
− Obter aprovação da Diretoria;
− Padronizar processos utilizando o Sistema de Padronização aprovado.

7.4 GESTÃO DE RISCOS

Possibilitar a análise dos riscos, suas grandezas e impactos sob as atividades, permitindo
a gestão de ocorrências de perdas e desenvolvimento de planos de ação para correção, o
que deve ser realizado com o auxílio do anexo 3 – Categorias de Riscos.

Com relação ao risco operacional, as falhas operacionais devem ser registradas em base
de dados única para identificação e análise das principais causas de perdas operacionais,
permitindo uma atuação objetiva na eliminação dos problemas.

20
Para o efetivo gerenciamento das perdas, torna-se necessário o registro de informações
mínimas, tais como:
− Descrição do evento;
− Identificação do tipo de risco;
− Valor da perda;
− Órgãos afetados e responsáveis;
− Planos de ação.

7.5 GESTÃO CONTÁBIL

Garantir o correto registro das operações e a integridade das demonstrações contábeis,

através da realização do monitoramento das conciliações. A gestão contábil deve tanto
garantir a confiabilidade dos relatórios de desempenho passado, quanto possibilitar a
utilização destes nas decisões internas e no controle do desempenho operacional.

A Contabilidade deve ser considerada um “Banco de Informações”, e não apenas o

registro final das movimentações financeiras da Fundação. Os dados devem ser
consistentes, servindo de fonte de consulta para decisões futuras. Todas as informações
devem estar registradas em detalhes, ou seja, os registros devem ser analíticos, com
históricos bem elaborados, no entanto, sem a geração de informações desnecessárias.

Deve-se evitar a redundância de informações, as quais devem fluir a partir de sua

geração, sem que sejam digitadas mais de uma vez ao longo de seu processamento,
evitando-se, assim, esforços desnecessários e o risco da criação de números divergentes.
Portanto, deve haver uma única informação contábil financeira e gerencial (anexo 4), o
que resultará em posições corretas e consistentes entre si.

7.6 MATRIZES DE RISCOS E CONTROLES

As matrizes de riscos e controles são elaboradas pelos gestores das áreas, e têm o objetivo
de registrar os processos, etapas e atividades das unidades de negócio, servindo de
instrumento para a avaliação da eficiência de seus métodos no gerenciamento de riscos que
possam causar impactos na busca de seus objetivos.

A responsabilidade pela manutenção das matrizes é do gestor. Periodicamente, os

responsáveis pelos controles internos avaliam a pertinência dos dados registrados nesta
base.

O registro de dados ocorre por Área, Diretoria, Unidade, Seção etc. As Áreas atualizam suas
matrizes sempre que há alteração de processos ou quando se realizam auto-avaliações.

21
Para cada processo estão relacionadas uma matriz de riscos e uma matriz de controles.

7.6.1 Informações Mínimas na Matriz de Controles

a. Descrição do Processo:

Nome da operação, negócio ou trabalho que se realiza por meio de uma sucessão de
etapas ou estágios. É sempre uma atividade completa, com pelo menos uma etapa
inicial e uma final. Podem existir processos inter-áreas que têm início em uma área e
término em outra. Nestes casos, as etapas a serem identificadas devem ser aquelas a
cargo da Área que estiver preenchendo a planilha.

b. Etapa:

Estágios referentes aos procedimentos de um determinado processo, que no conjunto

atingem um determinado objetivo. Por exemplo, num processo de vendas, podem
existir as seguintes etapas: concorrência pública, aprovação, contratação,
acompanhamento da venda e recebimento.

c. Descrição dos Controles:

Registro dos controles existentes em cada etapa para minimizar os riscos

identificados.

d. Objetivos de Controle:

Motivo pelo qual o controle existe. Quais objetivos cada controle pretende alcançar.

e. Natureza:

− Detecção: através da aplicação do controle é possível detectar problemas ocorridos

durante a operacionalização do processo.

− Prevenção: através da aplicação do controle é possível prevenir a ocorrência de

problemas futuros.

22
f. Sistemas Associados:

Sistemas existentes para o respectivo controle, especificando se os mesmos estão

desenvolvidos em planilhas eletrônicas, editores de textos ou por processamento
eletrônico de dados, citando o nome do sistema de apoio.

g. Normas Internas / Externas:

Registrar as normas internas, legislação ou manuais de procedimentos relacionados

aos respectivos controles.

h. Tipo de Controle:

− Operacional: é a atividade de controle exercida na execução do processo.

− Gerencial: é a atividade de controle exercida para viabilizar ou monitorar a

execução do processo, ou ainda, para administrar as operações em exceção ao
processo normal.

i. Periodicidade:

A periodicidade em que o controle é exercido (a cada ocorrência, diário, semanal,

mensal etc).

j. Eficiência:

Os controles são realizados e produzem resultados positivos / reais?

k. Eficácia:

Mede a relação custo/ benefício do controle, ou seja, os benefícios compensam os

custos do controle e não existem formas mais econômicas de se conseguir o mesmo
nível de segurança.

l. Responsável:

23
 Colocar o nome da função da pessoa responsável pela execução desta atividade de
controle.

7.6.2 Informações Mínimas na Matriz de Riscos

a. Descrição dos Riscos:

Identificar os possíveis riscos relacionados à respectiva etapa. Para tanto, utilizar as

classificações de riscos existentes na organização.

b. Tipo de Risco (com base no anexo 3 - Categorias de Riscos):

c. Impacto:

Nível em que a ocorrência do risco dentro de uma etapa ou atividade poderá afetar os
objetivos da Área, podendo esta mensuração tomar como base valores em dinheiro
enquadráveis aos graus (Catastrófica, Crítica, Moderada e Baixa).

d. Probabilidade de Ocorrência:

Expectativa da ocorrência ou não ocorrência do risco no processo ou etapa, levando-

se em consideração os controles existentes e a forma pela qual o processo é
executado atualmente. Preencher com as opções : incomum, ocasional, comum ou
freqüente.

7.7 PROCEDIMENTOS DE COMPLIANCE

Os Procedimentos de Compliance têm o objetivo de avaliar a aderência às normas internas e

externas. Consistem em questionários elaborados a partir de leis, resoluções, circulares,
manuais entre outros.

24
Esse instrumento auxilia os funcionários a organizar seus trabalhos e a alcançar resultados
desejados de acordo com as metas pré-estabelecidas, realizando o monitoramento periódico
da conformidade de processos e atividades com as normas internas e legislação. Vale
ressaltar que o foco do Compliance é a gestão dos processos meio e fim da organização,
avaliados como de maior risco operacional.

Periodicamente, observando-se o cronograma de ocorrência dos eventos, o questionário

deve ser respondido pelo gestor do processo, que estabelece qual o nível de conformidade
de sua atividade com o estabelecido nas normas, podendo variar de 0 a 100%. O anexo 5
fornece um exemplo de teste de conformidade.

7.7.1 Informações Mínimas nos Procedimentos de Compliance

a. Nome do Procedimento

Indicar qual a norma que será verificada, por exemplo, “processos trabalhistas”.

b. Focos de Controle

Identificar o foco diretamente ligado à função, processo ou atividade.

c. Questão a ser respondida

Indicar a questão que deverá ser respondida.

Exemplo: “Todas as ausências, atrasos e faltas previstos em lei são abonados”.

d. Intensidade da conformidade

Indicar qual a percentagem de conformidade / aderência à norma. Este percentual

pode variar de 0 a 100%.

e. Plano de Ação

Caso a conformidade encontrada seja inferior a 100%, é possível desenvolver planos

de ação para melhoria do processo.

25
7.7.2 Atribuições

Caberá ao Coordenador do Compliance durante a realização dos testes:

− Não criticar os resultados. Isto significa, na prática, que se determinada área não
está bem, cabe somente aos Gerentes a responsabilidade de possíveis
insucessos;

− Ser mais ouvinte do que questionador. Atentar para a possibilidade de suas

colocações inibir o diagnosticado. Jamais fazer julgamento. Apenas perguntas para
melhorar sua compreensão;

− Observar durante o exame interfaces internas e externas da gerência/área/setor

sob análise;

− Atentar para os diversos fatores de risco inerentes aos processos;

− Examinar através de fatos concretos, evitando abstrações;

− Obter prazos para as melhorias definidas durante a realização do exame;

− Preparar-se adequadamente para o exame de conformidade, realizando

levantamento de fatos e dados sobre a área diagnosticada e preparando, inclusive,
questionamentos.

Caberá ao Gerente durante o exame:

− Submeter-se aos testes de conformidade com sinceridade, sem esconder o lado

negativo, ou tentar passar a idéia que não existe problema.

26
 − Esforçar-se na execução das sugestões do Coordenador do Compliance,
considerando sempre o diagnóstico como uma grande ajuda.

− Evitar explicações, dissertações e abstrações, sem utilização de ferramentas de

análise. Sempre mostrar afirmações apoiadas em dados, relatórios, documentos
de controle e padrões estabelecidos.

− Mostrar documentos e gráficos utilizados no dia-a-dia. Não elaborar documentos

especiais para a ocasião do exame.

− Enfatizar o processo (modo de trabalhar, sistemas, padrões) pelos quais os

resultados são obtidos, não se limitando a mostrá-los.

7.8 PLANOS DE AÇÃO

Ação definida por gestores, com indicação de responsáveis e prazo para implementação,
visando melhorar processos, minimizar riscos ou solucionar problemas identificados nas
auto-avaliações das Áreas. Podem ser criados a qualquer momento e decorrentes de
qualquer uma das ações-chave relacionadas anteriormente.

7.9 PLANO DE CONTINGÊNCIA

Plano de ação estruturado, com indicação de responsáveis, para ser utilizado como
alternativa no caso de ocorrência de uma determinada falha operacional, as quais devem
ser mapeadas e suportadas por procedimentos voltados para assegurar a continuidade do
negócio, ou seja, a garantia da não interrupção dos processos considerados
imprescindíveis para o funcionamento da Fundação

É muito importante que não se permita a concentração, em número reduzido de

funcionários, de conhecimentos sobre os processos de trabalho, sobretudo aqueles
alinhados à “continuidade do negócio”, devendo-se por em prática, para tal, ferramentas
como manuais de procedimentos detalhados, rodízio de funcionários, treinamentos
específicos e roteiro de ações para facilitar a execução dessas tarefas por outros usuários
previamente selecionados (acessos, senhas etc).

Outra medida importante é a definição de estratégias para “continuidade do negócio” em

caso de panes no ambiente físico onde se trabalha. O ideal é que se tenha um ambiente
em paralelo, para ser utilizado em caso de incêndios, greves etc.

27
Em relação aos dados da Fundação, deve-se manter arquivos de Back up, de preferência
em meio magnético, e duplicados, em localidades fora do prédio onde se encontra
instalada a Instituição. O que evitará a inviabilização da “continuidade do negócio” em
caso de problemas físicos.

7.10 DISSEMINAR A CULTURA DA ÉTICA

Enfatizar em treinamentos e sempre que possível orientar os empregados quanto aos

princípios éticos e de conduta da organização.

7.11 IMPLANTAÇÃO DE ÁREA DE CONTROLES INTERNOS E COMPLIANCE

7.11.1 Política

− Deve ser clara, objetiva, adaptada ao negócio da Entidade, ao nível de risco

etc.
− Definição de responsabilidades
− Referência contínua ao Código de Ética.
− Segregação de função

7.11.2 Comitê de Controles Internos e Compliance

− A coordenação deve ficar em nível de Staff.

− Quantidade de pessoas dependerá do nível do negócio

Atribuições:

− Zelar pelos princípios estabelecidos na Política;

− Estabelecer novas diretrizes, quando necessário;
− Avaliar continuamente os trabalhos de Controle Interno;
− Dirimir controvérsias;
− Rever os parâmetros de riscos e controles;
− Estabelecer periodicidade para reuniões e registro em atas;

28
 − Avaliar metodologias de Controle Interno e Compliance.

7.11.3 Unidade de Controles Internos

Pode ser tanto uma pessoa como uma área (dependendo do tamanho da Entidade/Risco).

Atribuições:

− Gerenciar Grupos de Trabalhos compostos por empregados de diversas

Unidades Administrativas;
− Colocar em prática as decisões do Comitê de Controles Internos, bem como
representá-lo interna e externamente sempre que necessário;
− Verificar, de modo sistemático, a adoção do cumprimento dos procedimentos
definidos para as atividades (inclui normatizações externas) dos processos
existentes na Instituição;
− Coordenar e criar parâmetros para o processo de self assessment (avaliação
dos riscos inerentes às atividades pelos próprios gestores);
− Zelar pelo cumprimento dos objetivos da Entidade (diretrizes estabelecidas em
planejamentos, limites estabelecidos, procedimentos, leis e regulamentação);
− Participar da revisão periódica dos controles;
− Centralizar as informações e responsabilizar-se pela confecção dos relatórios
periódicos sobre Controles Internos e Compliance;
− Analisar, diariamente, as normatizações emitidas pelos órgãos normativos,
como SPC, CVM, Banco Central, CMN e outros organismos congêneres e
acionar e conscientizar as unidades responsáveis pelo cumprimento, atuando
como facilitador do entendimento das mesmas;
− Participar de grupos de trabalhos de entidades de classe (Abrapp/ ICSS /
Sindapp etc.) de modo a manter a Entidade atualizada com as melhores
práticas do mercado;
− Zelar pelo cumprimento e atualização do Código de Ética da Entidade;
− Criar e atualizar, continuamente, canais de não-conformidades pelos
empregados;
− Acompanhar e monitorar as comunicações e sugestões enviadas pelos
empregados da Entidade, através do Formulário de Sugestão de Melhorias de
Controles;
− Participar, juntamente com outras unidades, de trabalhos com vistas à
manutenção de segregação de funções e “Chinese Wall”;
− Colaborar para manter todos os empregados informados de suas
responsabilidades, missão da empresa e diretrizes estratégicas;
− Criar bancos de dados, indicadores e modelo para questão do risco
operacional.

29
7.11.4 Agente de Controles Internos

Tem a função de controller dentro da área, para tanto, precisa receber treinamento
adequado, conhecimento das políticas e procedimentos éticos etc.
É uma espécie de facilitador (interface).

30
GLOSSÁRIO DE TERMOS TÉCNICOS

Atividade É um conjunto de tarefas, similares e/ou complementares. Uma

atividade é caracterizada por consumir recursos, para produzir
produtos ou serviços.
Continuidade do Garantia da continuidade dos processos imprescindíveis para o
Negócio funcionamento normal da Fundação.
Controles Processo executado por pessoas na busca do alcance dos
Internos e cinco objetivos do negócio:
Compliance • Eficiência e eficácia;
• Exatidão e integridade;
• Confiabilidade;
• Efetivo controle dos riscos;
• Conformidade com leis e regulamentos.

Eficiência e Na eficiência, os controles são executados e possuem

Eficácia resultados reais e positivos. A eficácia mede a relação
custo/benefício, ou seja, os benefícios compensam os custos
do controle e não existem formas mais econômicas de se
conseguir o mesmo resultado.
Indicadores de Medidores de desempenho definidos pelos gestores para
Performance avaliar a execução de uma atividade ou processo e seus
resultados.

Matriz de Documento onde são registrados os processos, etapas e

Controles atividades das unidades de negócio, assim como os controles
existentes e sua eficiência e eficácia, para minimizar os riscos
identificados nas respectivas matrizes de riscos. São
elaboradas pelos gestores das Áreas.

Matriz de Documento onde são registrados os riscos identificados e a

Riscos avaliação de seus impactos e probabilidade de ocorrência, para
os processos, etapas e atividades das unidades de negócio.
São elaboradas pelos gestores das Áreas.

Padrão Compromisso documentado, utilizado em comum e repetidas

vezes pelas pessoas relacionadas a uma determinada função.
Processos Conjunto de atividades planejadas e inter-relacionadas,
realizadas com o objetivo de gerar produtos ou serviços que
atendam as necessidades de clientes, sejam internos ou
externos, através da combinação de pessoas, métodos e
ferramentas.

31
Risco Risco é o produto da probabilidade pelo impacto da ocorrência
de algo que poderia afetar a capacidade da empresa atingir
seus objetivos de negócio. O risco pode variar de catastrófico
(alto impacto) ao trivial (baixa probabilidade e baixo impacto) e
pode ser negativo ou positivo em seus efeitos.

Risco de Risco de um devedor ou tomador deixar de cumprir os termos

Contraparte de qualquer contrato com a instituição ou de outra forma deixar
de cumprir o que foi acordado.
Risco Legal Risco de perda resultante da inobservância de dispositivos
legais ou regulamentares, da mudança da legislação ou de
alterações na jurisprudência aplicáveis às transações da
instituição.
Risco de Liquidez Risco de perda resultante da falta de recursos necessários ao
cumprimento de uma ou mais obrigações em função do
descasamento de atribuições e aplicações.
Risco de Mercado Risco de que o valor de um instrumento financeiro ou de uma
carteira de instrumentos financeiros se altere, em função da
volatilidade das variáveis existentes no mercado, causada por
fatores adversos, políticos ou outros.
Risco Risco de perda resultante das falhas de processos internos, de
Operacional pessoas ou de sistemas inadequados, ou ainda da ocorrência
de eventos externos.

32
ANEXO 1 – METODOLOGIAS DE CONTROLES
PROPOSTA EM DISCUSSÃO
NO COSO*

ATUAL Ambiente Interno

• Enfatiza a
importância de
AMBIENTE identificar e de
ESTRUTURA DE CONTROLES
DE CONTROLE Estabelecimento de controlar riscos
Objetivos através da Empresa.
• A gestão de riscos é

GESTÃO DE RISCOS
um tópico todo,
Identificação de abrangendo o controle
AVALIAÇÃO Eventos interno.
DE RISCO
• Quando cada órgão
realizar a gestão de

FOCO
FOCO

seus riscos, a visão é

Avaliação de Riscos que estes riscos
estarão agregados,
ATIVIDADE proporcionando uma
DE CONTROLE visão consolidada dos
riscos da Empresa.
Resposta aos
Riscos • Numa perspectiva
mais ampla, a
estrutura de gestão de
INFORMAÇÃO riscos espera ser uma
E Atividade de ferramenta estratégica
COMUNICAÇÃO Controle para tomada de
decisão e utilizada
pelos stakeholders
medirem como bom
Informação e suas equipes da
Comunicação gerência estão
MONITORAMENTO
assegurando os riscos
que enfrentam.

Monitorização

* Committee of Sponsoring Organizations of theTreadway Commission

Componentes Propostos:

Compreende elementos que são a base do negócio, processo e do gerenciamento dos riscos, incluindo
Ambiente Interno a estrutura organizacional, os recursos humanos e físicos, a cultura e valores da companhia (valores
éticos, integridade), as competências e habilidades.
A Alta Administração também faz parte do Ambiente Interno, pois além de influenciar os demais
elementos, estabelece a filosofia de gerenciamento de riscos, estabelecendo o apetite ao risco e a
cultura de riscos e controles.

Com a missão e visão definidas, os objetivos estratégicos são estabelecidos, com a definição de
Estabelecimento de estratégias para o atingimento dos objetivos, também sendo definido os objetivos relacionados
Objetivos (Operacional; Reporte; e Controles Internos e Compliance).
Os Objetivos devem ser estabelecidos antes do gerenciamento identificar eventos com potencial para
afetar as metas, visando assegurar o alinhamento entre a missão e visão com o apetite e tolerância ao
risco.

Todo negócio possui riscos inerentes. Os eventos, internos e/ou externos, com potencial para impactar
Identificação de a companhia devem ser identificados. Dentro destes, devem ser identificados os que representam
Eventos oportunidades e/ou riscos. A instituição deve homogeneizar a linguagem destes eventos através de um
dicionário comum e considerar os eventos com uma visão de portfólio.
Eventos potenciais com impacto negativo representam riscos, os quais necessitam de avaliação,
resposta e gerenciamento contínuo.
Há eventos com impacto positivo que compensam alguns riscos e, portanto devem ser considerados,
também, no gerenciamento de riscos.
Eventos potenciais com impacto positivo representam oportunidades e devem incorporar o
gerenciamento da estratégia e a definição dos objetivos.

Os riscos identificados devem ser avaliados a fim de verificar os impactos associados com os objetivos
Avaliação de Riscos e devem ser analisados para definição da maneira como devem ser gerenciados.
Esta avaliação é feita em duas perspectivas: severidade versus probabilidade. A combinação destes
fornece o grau do risco.

34
 Os administradores devem alinhar os graus de riscos dos eventos identificados com o apetite e
Resposta aos tolerância ao risco, dentro do contexto da estratégia e objetivos estabelecidos. Desta forma, as
Riscos possíveis respostas são:
• Evitar o risco;
• Aceitar o risco;
• Mitigar o risco;
• Compartilhar o risco.
As decisões de resposta aos riscos devem manter seu grau dentro da tolerância da companhia com a
elaboração e implementação de planos de ação efetivos e tempestivos aos riscos avaliados.
Após a definição das respostas, os riscos residuais devem ser reavaliados.

A atividade de controle é uma ferramenta para atingir os objetivos estabelecidos. Geralmente envolve
Atividade de duas atividades: políticas e procedimentos, os quais são estabelecidos e executados para garantir que
Controle as respostas aos riscos selecionados sejam efetivas.

As informações pertinentes ao negócio devem ser identificadas, avaliadas e comunicadas visando

Informação e atender o processo de tomada de decisão. Todos os níveis da companhia devem ter acesso às
Comunicação informações para pleno exercício de suas atividades.
O desafio dos administradores é transformar uma grande quantidade de dados em informação útil e
estruturada. Para isto, utilizam-se dos sistemas aplicativos e toda infra-estrutura tecnológica.
A informação é a base da comunicação, a qual deve garantir em todos os níveis da organização a
transferência de informações integras, tempestivas e com qualidade.

O gerenciamento de riscos e o atingimento dos objetivos devem ser monitorados de duas maneiras:
Monitorização • Avaliações contínuas.
• Avaliações periódicas.
Avaliações contínuas atuam em bases atuais e reagem dinamicamente às mudanças.
As avaliações periódicas trabalham com informações históricas e avaliam as tendências e mudanças
verificadas em um determinado período.
O reporte das deficiências identificadas aos tomadores de decisão a fim de solucionar eventuais
problemas também é fator crítico de sucesso deste componente.

35
ANEXO 2 - SÍMBOLOS GRÁFICOS PARA FLUXOGRAMAS

Símbolo Significado

Início/Fim

Ação, Trabalho, Operação

Decisão/Verificação

Conector de Fluxo

Arquivo

Relatório/Documento

Linha de Fluxo

Conector de Página
ANEXO 3 - CATEGORIAS DE RISCOS

Risco

Risco é todo fator, interno ou externo, que pode adversamente afetar o sucesso das operações de uma organização, de
seus objetivos de informação e de Compliance.

Risco de Imagem

O Risco de Imagem representa o risco de haver danos na reputação da instituição junto a clientes, concorrentes, órgãos
reguladores, parceiros comerciais etc.

Todos os Riscos de Mercado, Contraparte, Liquidez, Operacional e Legal trazem potencialmente Risco de Imagem.

1 - Risco de Mercado - Definição

É o risco de que o valor de um instrumento financeiro ou de uma carteira de instrumentos financeiros se altere, em
função da volatilidade das variáveis existentes no mercado (taxa de juros, taxa de câmbio, ações, commodities etc.),
causada por fatores adversos, políticos ou outros.

Tipo Definição Exemplos

1.1 - Risco de Taxa de Juros Risco de perda associado a variações adversas nas taxas Variação nos preços de NTNs, BBCs, Eurobonds,
de juros. rentabilidade de Brady Bonds etc.

1.2 - Risco de Taxa Cambial e Risco de perda associado a oscilações das taxas de câmbio Variação nos preços de NTN-Ds, NVC-Fs, de ativos
Paridade e/ou das paridades entre moedas estrangeiras. internacionais negociados em moeda estrangeira etc.

Descasamento em uma carteira indexada a alguma moeda

estrangeira.

Flutuação de câmbio.

1.3 - Risco de Commodities Risco de perda decorrente da desvalorização de mercado de Variação nos preços de carteiras constituídas por café, ouro,
carteira de commodities. boi, soja, cacau, minérios, petróleo, frutas, etc.

1.4 - Risco de Ações Risco de perda decorrente da variação no mercado de Variação nos preços de carteiras constituídas por ações
carteira de ações. como Petrobras PN, Vale PN, Eletrobrás PNB, ADRs da
Usiminas PN etc.

1.5 – Risco de Liquidez Risco de perda devido à incapacidade de se desfazer Carteiras compostas por Eurobonds brasileiros, títulos ou
rapidamente de uma posição ou obter funding devido às ações de 2ª e 3ª linha; situação em que não é possível
condições adversas do mercado. "rolar" dívidas nos mercados financeiros.

1.6 – Risco de Derivativos Risco de perda devido ao uso de derivativos, seja para Variações no valor das posições de contratos de swaps, a
especulação, seja para hedge. termo, futuros etc.

37
2 - Risco de Contraparte - Definição

É o risco de perda resultante da incerteza quanto ao recebimento de um valor contratado devido pelo tomador de um
empréstimo, contraparte de um contrato ou emissor de um título.

Tipo Definição Exemplos

2.1 - Risco de Inadimplência Risco de perda pela incapacidade ou não- disposição de Não-pagamento de contrato de leasing, empréstimos
pagamento do tomador de um empréstimo, contraparte de pessoais, cartão de crédito, financiamentos de bens etc.
um contrato ou emissor de um título. Não- pagamento de títulos de renda fixa pelo emissor -
nacionais ou internacionais.

2.2 - Risco de Degradação/
Inexistência de Garantias
Risco de perda pela degradação da qualidade das garantias Empréstimos/financiamentos cujas garantias não existem ou
oferecidas por um tomador de um empréstimo, contraparte que fiquem ilíquidas (imóveis).
de uma transação ou emissor de um título.
Depreciação no valor das garantias depositadas em bolsas
de derivativos.

2.3 - Risco de Compensação
Risco de perda por inadimplência do financiado de uma Repurchase transactions - operações de recompra que não
transação, potencializada quando o contrato não contempla contemplem o netting dos direitos/obrigações.
acordo de liquidação por compensação de direitos e
obrigações (netting agreement). Risco de impossibilidade de
compensação.

2.4 - Risco de Concentração Risco de perda decorrente da não diversificação de Grandes volumes de crédito concentrados em alguns
operações de crédito em determinados segmentos, clientes, setores da economia, alguns clientes ou regiões
áreas etc. geográficas.

Possuir grande parte dos passivos de um devedor.

2.5 – Risco Corporativo Risco de perda decorrente da desvalorização da empresa Adoção de modelo atuarial inadequado;
participada.
Ruptura operacional no segmento de mercado da empresa
participada.

2.6 – Risco de Participações Risco de perda decorrente da desvalorização do imóvel ou Adoção de metodologia de precificação inadequada;
do investimento.
Ruptura operacional da empresa participada.

3 - Risco do Passivo - Definição

É o risco de insuficiência de ativos para fazer face às obrigações junto aos participantes, ou seja, é o risco de que o
crescimento do passivo seja superior ao ativo.

Tipo Definição Exemplos

3.1 – Risco do Passivo Atuarial
Risco de perda pelo descasamento entre obrigações a Utilização de modelo atuarial inadequado;
médio e longo prazo e os ativos da organização, devido à
adoção de premissas atuariais que não se confirmem ou Erros nas estimativas de inflação.
que se revelem agressivas e pouco aderentes à massa de
participantes, ou do desempenho de modelo de gestão ou
metodologias adotadas.

38
4 - Risco Operacional - Definição
É o risco de perda resultante de processos internos, pessoas e sistemas inadequados ou falhos, ou de eventos externos.
Tipo
4.1 - Fraude Interna
4.2 - Fraude Externa
4.3 - Relações Trabalhistas,
Ambiente de Trabalho e
Discriminação
4.4 - Produtos, Clientes e Práticas de Risco de perda por falhas não intencionais ou por
Negócios
4.5 - Danos aos Ativos Físicos
Tipo
4.6 - Interrupção de Atividades e Risco de perdas associadas à interrupção de atividades ou
Falhas de Tecnologia de Informação falhas/ineficiência da infra-estrutura tecnológica.
Definição Exemplos
Risco de perda por atos realizados com a intenção de Extrapolação de alçadas.
fraudar, de subtrair propriedade alheia ou de infringir regras,
leis ou políticas internas, envolvendo pelo menos um Conflito de interesses.
funcionário da empresa.
Acesso não autorizado às informações e recursos
tecnológicos.
Divulgação indevida ou não autorizada de informações da
empresa.
Apropriação indébita.
Risco de perda por atos realizados por pessoas que não Estelionato.
pertencem à organização com a intenção de fraudar, de
apropriar-se indevidamente de propriedade alheia ou de Roubo.
infringir leis.
Assalto.
Falsidade ideológica.
Risco de perda por práticas incompatíveis com leis/acordos Compensações pecuniárias, benefícios e desligamentos.
versando sobre as relações trabalhistas, a saúde e a
segurança no ambiente de trabalho, de pagamentos de Greve.
reclamações por danos pessoais, eventos envolvendo
qualquer tipo de discriminação. incapacitação do Apontamento e controle inadequado de férias, horas extras,
empregado e falta de definição de responsabilidades e atrasos, faltas, registro de ponto.
atribuições.
Eventos envolvendo a saúde dos empregados e as regras de
segurança.
Assédio sexual.
Assédio moral.
Protecionismo.
Descumprimento pela Instituição de obrigações
negligência no cumprimento de uma obrigação profissional contratuais/legais.
para clientes específicos (incluindo exigências fiduciárias e
de conformidade), ou da natureza/desenho de um produto. Quebra de privacidade.
Abuso de confiança.
Atitudes desonestas ou desleais.
Violação de direitos de terceiros. Exemplo: quebra de direitos
autorais; uso de software sem a licença do fabricante.
Avaliação inadequada de clientes.
Contestação sobre a performance de operações sugeridas.
Risco de perda ou danos em ativos físicos em virtude de Perdas resultantes de desastres naturais.
desastre natural ou outros eventos de grande relevância.
Perdas humanas causadas por fontes externas (seqüestro,
terrorismo, vandalismo, guerra etc.).
Definição Exemplos
Indisponibilidade de dados por interrupção da comunicação,
energia elétrica ou falta de plano de backup.
Interrupção de serviços em função de contaminação por vírus
39

4.7 - Gerenciamento e Execução de
Processos
5 - Risco Legal - Definição
É o risco de perda resultante da inobservância de dispositivos legais ou regulamentares, da mudança da legislação ou
de alterações na jurisprudência aplicáveis às transações da organização.
Tipo
5.1 – Risco de Legislação
5.2 – Risco Tributário
Risco de perda por problemas no processamento e
gerenciamento de processos, ou nas relações com
parceiros comerciais, vendedores e fornecedores.
Definição
Risco de perda decorrente de sanções por reguladores e
indezações por danos a terceiros, em razão de violação da
legislação ou regulamentos vigentes.
Risco de perda devido à criação, modificação ou à
inadequada interpretação da incidência de tributos.
eletrônico.
Obsolescência ou sobrecarga de equipamentos/softwares ou
de comunicações.
Perdas ou inconsistência de dados em transferências entre
sistemas (interfaces).
Erros na implementação de produtos/regras de negócio em
sistemas.
Inexistência de garantias formais (notas
promissórias/contratos devidamente preenchidos, assinados
e conferidos).
Documentos legais incompletos ou ausentes.
Quebra de responsabilidades.
Exemplos
Multas por não cumprimento de exigibilidades;
Indenizações pagas por não cumprimento da legislação.
Criação de impostos novos sobre ativos / produtos.
Recolhimento de novas contribuições sobre receitas.
40
ANEXO 4 – GESTÃO CONTÁBIL
CONTABILIDADE
FINANCEIRA
Clientela Externa: Acionistas, credores,
autoridades tributárias.
Propósito Reportar o desempenho passado
às partes externas; contratos com
proprietários e credores.
Data Histórica, atrasada.
Restrições Regulamentada: dirigida por
regras e princípios fundamentais
da contabilidade e por autoridades
governamentais.
Tipo de Informação Somente para mensuração
financeira.
Natureza da Informação Objetiva; auditável; confiável;
consistente; precisa.
Escopo Muito agregada; reporta toda a
empresa.
CONTABILIDADE
GERENCIAL
Interna: Funcionários,
administradores, executivos
Informar decisões internas
tomadas pelos funcionários e
gerentes; feedback e controle
sobre desempenho operacional;
contratos com proprietários e
credores.
Atual, orientada para o futuro.
Desregulamentada: sistemas e
informações determinadas pela
administração para satisfazer
necessidades estratégicas e
operacionais.
Mensuração física e operacional
dos processos, tecnologia,
fornecedores e competidores.
Mais subjetiva e referenciada em
critérios internos; válida;
relevante; acurada.
Desagregada; informa as decisões
e ações locais.
41
ANEXO 5 – EXEMPLO DE TESTE DE CONFORMIDADE – RES. BACEN Nº
3.121/2003

1. A política de Investimentos atende ao preconizado no art.7º § 1º itens I a VII?

2. As análises (cenários, memórias de cálculo, dentre outros) que fundamentaram a elaboração da

Política estão documentadas para futuros questionamentos (Conselho de Curadores, Conselho
Fiscal)?

3. Os prazos de envio a SPC do conteúdo da Política, bem como a aprovação do Conselho Fiscal dos
custos com administração e acompanhamento foram cumpridos?

4. As aplicações de renda fixa, renda variável, imóveis e empréstimos estão enquadradas dentro dos
limites estabelecidos para os segmentos de aplicação? Existe uma área responsável por este
monitoramento e qual sua periodicidade?

5. Caso haja desenquadramento, existe plano de ação estabelecido?

6. O contrato com o agente custodiante está devidamente formalizado? As condições estabelecidas para
a liquidação das operações (prazos, fluxo de informações, alçadas de aprovação) estão sendo
cumpridas por ambas as partes? A segregação de funções entre o agente custodiante e os gestores
de fundos de investimento é observada?

7. Existem ferramentas de análise de risco de crédito? Como estão documentadas (pareceres,

relatórios)?

8. Há metodologia definida para seleção e rodízio de gestores de recursos? Identificar a ocorrência de

concentração operacional.

9. Todos os títulos possuem o código ISIN? Caso contrário, a SPC foi devidamente notificada?

42