Apostila - Controles Internos e Risco Operacional

CONTROLES
INTERNOS,
COMPLIANCE E RISCO
OPERACIONAL
DIRETORIA DE CONTROLES INTERNOS – DICOI

UNIDADE DE RISCO OPERACIONAL - URO
Março 2017
1
Sumário
1. CONTEXTUALIZAÇÃO .................................................................................. 4
2. AMBIENTE REGULATÓRIO.......................................................................... 7
2.1 Acordos de Basileia ................................................................................ 10
2.2 Demais regulações................................................................................. 18
3. GESTÃO DO RISCO OPERACIONAL EM IF ............................................. 21
3.1 Conceito de Risco ................................................................................... 21
3.2 Risco Operacional – uma visão geral ................................................. 21
4. GESTÃO DO RISCO OPERACIONAL NO BB ........................................... 22
4.1. Tipos de Riscos ...................................................................................... 22
4.2 Risco Operacional ................................................................................... 24
4.3 Políticas de Gestão do Risco Operacional .......................................... 29
4.4 Modelo de Gestão do Risco Operacional ............................................ 30
4.5 Risco Operacional em Canais de Atendimento ............................. 36
4.5.1 Segurança na Internet .......................................................................... 36
4.5.2 Golpes na Internet ................................................................................ 39
4.5.3 Golpes de comércio eletrônico ............................................................. 48
4.5.4 Dicas gerais para proteção de golpes .................................................. 52
4.5.5 Códigos maliciosos (Malware) ............................................................. 54
4.5.5.1 Vírus .............................................................................................. 55
4.5.5.2 Worm ............................................................................................. 56
4.5.5.3 Bot e Botnet ................................................................................... 58
4.5.5.4 Backdoor ....................................................................................... 60
4.5.5.5 Cavalo de Troia (Trojan) ................................................................ 61
4.5.5.6 Rootkit ........................................................................................... 62
4.5.5.7 Dicas gerais para proteção de códigos maliciosos ........................ 63
4.5.5.8 Resumo comparativo ..................................................................... 63
4.5.6 Spam .................................................................................................... 65
4.5.6.1 Dicas gerais para proteção de spam ............................................. 68
4.5.7 Contas e Senhas .................................................................................. 70
4.5.7.1 Uso seguro de contas e senhas .................................................... 71
4.5.7.2 Elaboração de senhas ................................................................... 72
4.5.7.3 Alteração de senhas ...................................................................... 74
4.5.7.4 Gerenciamento de contas e senhas .............................................. 75
4.5.7.5 Recuperação de senhas ................................................................ 77
4.5.8 Uso seguro da Internet ......................................................................... 78
4.5.8.1 Segurança em conexões Web ................................................... 81
4.6 Avaliação da necessidade de capital para cobertura dos riscos ... 87
2
Controles Internos, Compliance e Risco Operacional
5. CONTROLES INTERNOS EM INSTITUIÇÕES FINANCEIRAS ............... 90
5.1 Controles Internos – Uma Visão Geral .............................................. 90
5.2 Direcionadores de Controles Internos ............................................ 91
5.2.1 COSO................................................................................................... 91
5.2.2 CobiT® ............................................................................................... 101
6 CONTROLES INTERNOS NO BB ............................................................. 103
6.1 Controles Internos no Banco do Brasil............................................. 103
6.2 Modelo Referencial de Linhas de Defesa ......................................... 104
6.3 Política Específica de Controles Internos e Compliance ............... 106
6.4 Compliance ............................................................................................ 107
7. METODOLOGIA INTEGRADA DE AVALIAÇÃO DOS CONTROLES
INTERNOS ........................................................................................................ 110
7.1 Conceitos Básicos considerados pela metodologia ........................ 110
7.2 A Metodologia integrada ..................................................................... 112
7.3 Recomendação Técnica de Controle (RTC) ..................................... 114
7.4 Reportes Regulatórios ......................................................................... 115
7.5 Metodologia que define processos, sistemas e localidades para
avaliação dos controles internos - Escopo de atuação ........................ 118
7.6 Modelos de Responsabilização ........................................................... 119
7.7 Validação dos Modelos de Riscos e Gestão do Capital .................. 120
Referências Bibliográficas .......................................................................... 122
Anexo 1 ......................................................................................................... 124
1. CONTEXTUALIZAÇÃO
A chave para a manutenção da integridade financeira de um banco e da preservação da

sua confiabilidade e fé pública é a garantia de que suas operações sejam conduzidas
dentro de padrões elevados de análise, gestão e controle de riscos, já que os riscos
estão sempre presentes em tais operações.
Como a experiência histórica ensina, a perda generalizada de confiança no sistema

bancário faz com que os indivíduos e as empresas busquem uma retirada rápida de seus
depósitos para mantê-los líquidos ou aplicados em ativos reais. Toda a economia pode
ficar paralisada como decorrência dessa crise de confiança causada pela incapacidade
de um banco em honrar seus compromissos.
A história das empresas ligadas ao sistema financeiro, no mundo e no Brasil, está repleta
de colapsos, que trouxeram dolorosas consequências para os poupadores, para a
economia e para a sociedade, entre os quais se destacam:
Figura 1 – Principais eventos de colapso no sistema financeiro
As mudanças no ambiente financeiro mundial, tais como a integração entre os mercados

por meio do processo de globalização, o surgimento de novas transações e produtos, o
aumento da sofisticação tecnológica e as novas regulamentações tornaram as atividades
financeiras e seus riscos cada vez mais complexos.
Com as lições obtidas ao longo da história, os principais responsáveis por preservar a

estabilidade financeira da economia de um país e evitar falências bancárias são os
órgãos de supervisão oficiais e os administradores das instituições financeiras,
observados os requisitos inerentes a essas atividades, a seguir abordados:
a) A supervisão oficial dos bancos e de suas operações no sistema financeiro de
cada país deve ser abrangente, criteriosa e rigorosa. O papel dessas instituições
é indispensável para a manutenção da estabilidade de um sistema financeiro.
Entretanto, segundo os próprios supervisores oficiais, sua atribuição no sistema
financeiro é suplementar e subsidiário, já que o papel principal é desempenhado
pela administração de cada instituição financeira.
b) Os administradores dos bancos, por sua vez, devem atuar de maneira
consciente, competente e efetiva. Entre os elementos de uma administração
bancária competente, destacam-se:
• governança bem estabelecida;
• sistema válido de gestão de riscos;
• sistema de controles internos e de gestão de compliance1 abrangente,

completo e rigoroso.
A governança, a gestão de riscos e o compliance são aspectos importantes para as

corporações em qualquer parte do mundo, formando o tripé fundamental para contribuir
para a sustentabilidade das organizações.
Políticas e mecanismos de gestão de riscos e de capital refletem a sustentabilidade do

sistema bancário. Os métodos de identificação, avaliação, controle, mitigação e
monitoramento dos riscos salvaguardam as instituições financeiras em momentos
adversos e dão suporte a resultados positivos e recorrentes ao longo do tempo.
Considerando que os riscos são inerentes aos processos das empresas, as atividades de
controle têm a finalidade de mitigá-los, viabilizando o alcance dos objetivos estratégicos
da organização.
Figura 2 – Processo operacional e atividades de controle
1
Compliance significa conformidade – o dever de cumprir, de estar em conformidade e fazer cumprir
regulamentos internos e externos impostos às atividades da instituição.
Para realizar a administração bancária de forma competente e sustentável, o Banco do
Brasil mantém um Sistema de Controles Internos e Gestão de Riscos orientado pelo
Modelo Referencial de Linhas de Defesa (MRLD). O objetivo desse modelo é nortear a
avaliação das atribuições e da forma de atuação das áreas do Banco no processo de
gerenciamento de riscos e controles.
No MRLD, a primeira linha de defesa se refere ao gestor do processo, produto e/ou

serviço, que é o primeiro responsável pela mitigação do risco, ou seja, o risk owner. A
segunda linha de defesa tem uma atuação segregada e uma abordagem baseada em
risco e é constituída pelas funções de gestão de riscos, controles internos e
conformidade, e pelos processos desenvolvidos pelas funções segurança, organização e
jurídica. Já a terceira linha de defesa é de responsabilidade da Auditoria Interna e
caracteriza-se por sua autonomia e independência na avaliação baseada em risco.
2. AMBIENTE REGULATÓRIO
O reconhecimento mundial da necessidade de mensurar e controlar os riscos das

atividades bancárias tem levado todos os países para a convergência da regulamentação
das instituições financeiras.
A seguir, destacam-se alguns marcos da regulação bancária em nosso País e no exterior,

referentes à gestão do risco operacional e aos controles internos:
1998:
• Determinada a implantação e a implementação de controles internos nas

atividades das instituições financeiras (Resolução CMN nº 2.554/98).
• Sancionada a Lei nº 9.613, que tratou dos crimes de lavagem ou ocultação de bens e
da prevenção da utilização do Sistema Financeiro Nacional para atos ilícitos previstos
na referida lei e criou o Conselho de Controle de Atividades Financeiras - Coaf. A Lei
12.683/12 trouxe importantes modificações ao texto original.
• Estipulado pela Circular Bacen nº 2.852 que operações de valor iguais ou superiores
a R$ 10.000,00, devem ser comunicadas ao Bacen, inclusive propostas, cujas
características possam indicar a existência de crime ou com ele relacionar-se. Norma
substituída pela Circular Bacen nº 3.461, de 24/7/09.
• Divulgada pela Carta Circular Bacen nº 2.826 a relação de operações e situações que
podem configurar indício de ocorrência dos crimes previstos na lei. São casos
relacionados com: operações em espécie ou em cheques de viagem; manutenção de
contas correntes; atividades internacionais; e empregados e representantes das
instituições. Norma substituída pela Carta Circular Bacen nº 3.542, de 12/3/12.
2001:
• Editada a Resolução CMN nº 2.837, que definiu o patrimônio de referência como

somatório do Capital Nível I e Capital Nível II e alterado o critério de apuração do
Patrimônio Líquido Exigido – PLE (Resolução CMN nº 2.891) - Norma substituída pela
Resolução nº 4.193, de 1º/3/13. No que tange a Resolução CMN nº 2.891, esse
documento normativo foi substituído pela Resolução CMN nº 4.192, de 1º/3/13.
2002:
• Determinada a implantação de sistema de Controles Internos para administradoras de

consórcios pela Circular Bacen nº 3.078.
2003:
• Publicada a Resolução CMN nº 3.081, que trata da prestação de serviços de auditoria

independente e regulamenta a instituição do Comitê de Auditoria. Posteriormente
substituída pela Resolução CMN nº 3.198, de 27/5/04.
2006:
• Editada a Resolução CMN nº 3.380, que dispõe sobre a implementação de

estrutura de gerenciamento do risco operacional.
• Editada a Resolução CMN nº 3.416, que altera a Resolução CMN nº 3.198/04 e as

condições básicas para o exercício de integrante do Comitê de Auditoria.
2007:
• Editada a Resolução CMN nº 3.490, instituindo o conceito de Patrimônio de Referência

Exigido (PRE). Norma substituída pela Resolução nº 4.193, de 1º/3/13.
• Publicada a Circular Bacen nº 3.360, que estabelece os procedimentos para o cálculo

da parcela do PRE referente às exposições ponderadas por fator de risco (PEPR).
Norma substituída pela Circular Bacen nº 3.644/13.
2008:
• Editada a Circular Bacen nº 3.383, que estabelece os procedimentos para o cálculo da

parcela para Risco Operacional (Popr) e a composição do Indicador de Exposição ao
Risco Operacional (IE). Norma substituída pela Circular Bacen nº 3.640, de 4/3/13.
• Detalhada a composição do Indicador de Exposição ao Risco Operacional pelo Bacen,

por meio da Carta Circular Bacen nº 3.316.
2009:
• Divulgada a Circular Bacen nº 3.467, que estabelece critérios para elaboração dos
relatórios de avaliação da qualidade e adequação do sistema de controles internos.
• Aprovada a Instrução CVM nº 480 que dispõe sobre o registro de emissores de valores
mobiliários admitidos à negociação em mercados regulamentados de valores
mobiliários.
2011:
• Divulgada a Instrução CVM nº 505, que estabelece normas e procedimentos a serem

observados nas operações realizadas com valores mobiliários em mercados
regulamentados de valores mobiliários.
2013:
• Editada a Circular Bacen nº 3.640 que redefine procedimentos para cálculo da parcela
de ativos ponderados pelo risco (RWAOPAD) relativa ao cálculo do capital requerido para
o risco operacional mediante abordagem padronizada.
• Editada a Circular Bacen nº 3.644 que estabelece os procedimentos para o cálculo da

parcela dos ativos ponderados pelo risco (RWA) referente às exposições ao risco de
crédito sujeitas ao cálculo do requerimento de capital mediante abordagem
padronizada (RWACPAD).
• Editada a Circular Bacen nº 3.647 que estabelece os requisitos mínimos para a

utilização de abordagem avançada, baseada em modelo interno, no cálculo da parcela
relativa ao risco operacional (RWAOAMA).
2014:
• Divulgada a Instrução CVM nº 552, que altera e acrescenta dispositivos à Instrução

CVM nº 480/09.
• Divulgada a Resolução CMN nº 4.390, que altera a resolução nº 2.554/98, que dispõe
sobre a implantação e implementação de sistema de controles internos.
2016:
• Divulgada a Resolução CMN nº 4.502, que estabelece requisitos mínimos a serem

observados na elaboração e na execução de planos de recuperação por instituições
financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.
2017:
• Divulgada a Resolução CMN nº 4.553, que estabelece a segmentação do conjunto das

instituições financeiras e demais instituições autorizadas a funcionar pelo Banco
Central do Brasil para fins de aplicação proporcional da regulação prudencial.
• Divulgada a Resolução CMN nº 4.557, que dispõe sobre a estrutura de

gerenciamento de riscos e a estrutura de gerenciamento de capital. Ficam
revogadas as Resoluções nº. 3.380/2006, n º 3.464/2007, nº 3.721/2009, nº
3.988/2011 e nº 4.090/2012.
2.1 Acordos de Basileia
Em 1974, os responsáveis pela supervisão bancária nos países do G-102 decidiram criar
o Comitê de Regulamentação Bancária e Práticas de Supervisão, sediado no Banco de
Compensações Internacionais (BIS3), em Basileia, na Suíça. Daí a denominação Comitê
de Basileia.
O Comitê é constituído por representantes dos bancos centrais e por autoridades com
responsabilidade formal sobre a supervisão bancária dos países membros do G-10.
Nesse Comitê são discutidas questões relacionadas à indústria bancária, visando
estabelecer padrões de conduta, melhorar a qualidade da supervisão bancária e
fortalecer a solidez e a segurança do sistema bancário internacional.
O Comitê de Basileia não possui autoridade formal para supervisão supranacional, mas
tem o objetivo de que os países não membros do G-10, seguindo as orientações,
aprimorem os métodos de supervisão e adotem as recomendações e princípios para
melhoria das práticas no mercado financeiro.
Desde então, as regras evoluíram acompanhando as mudanças no próprio setor

bancário e foram ajustadas conforme os agentes reguladores do setor verificavam ser
necessário, sempre com o objetivo de evitar crises sistêmicas provocadas por
fragilidades de participantes individuais do sistema financeiro.
Assim, surgiram versões do Acordo de Basileia que se complementam, as quais são

apresentadas a seguir:
2.1.1 Acordo de Basileia I

Celebrado em julho de 1988, esse Acordo padronizou a aplicação de Fatores de
Ponderação de Risco (FPR) aos ativos e a exigência de capital mínimo.
Seus objetivos foram reforçar a solidez e a estabilidade do sistema bancário

internacional e minimizar as desigualdades competitivas entre os bancos
internacionalmente ativos. Essas desigualdades eram o resultado de diferentes regras
de exigência de capital mínimo pelos agentes reguladores nacionais.
2
Apesar da denominação G-10, são 11 os países que compõem este grupo: Alemanha, Bélgica, Canadá, EUA,
França, Holanda, Itália, Japão, Reino Unido, Suécia e Suíça. Além destes, atualmente também participam
deste Comitê a Espanha e Luxemburgo.
3
Bank for International Settlements (BIS) é uma organização internacional responsável pela supervisão
bancária, que visa promover a cooperação entre os bancos centrais e outras agências na busca de estabilidade
monetária e financeira.
O Acordo de Basileia de 1988 introduziu três conceitos:
1) Capital regulatório;
2) Ativos Ponderados pelo Risco – APR;
3) Índice mínimo de capital para cobertura do risco de crédito (Índice de
Basileia ou Razão BIS).
1) Capital regulatório
É o montante de capital próprio alocado para a cobertura de riscos, considerando os

parâmetros definidos pelo regulador (Banco Central do Brasil - Bacen). O conceito de
capital de uma instituição financeira, definido pelo Acordo de 1988 é:
• Capital Nível 1 ou Principal – capital dos acionistas somado às reservas

(lucros retidos);
• Capital Nível 2 ou Suplementar – outras reservas (não publicadas,

reavaliação etc.), provisões gerais, instrumentos híbridos de capital e dívida
subordinada4.
2) Ativos Ponderados pelo Risco – APR
A exigência de capital, prevista no Acordo de Basileia, considera a composição dos ativos

da instituição e a natureza de suas operações fora do balanço, tais como derivativos e
securitizações. A exposição a risco de crédito desses componentes é ponderada pelos
diferentes pesos estabelecidos, considerando, principalmente, o perfil do tomador
(soberano, bancário ou empresarial, bancos centrais, membros da OECD5 e governos
centrais).
A partir da aplicação dos pesos de risco (Fatores de Ponderação de Riscos – FPR) sobre
os ativos, obtém-se o valor dos Ativos Ponderados pelo Risco – APR.
3) Índice mínimo de capital para cobertura do risco de crédito – Índice de

Basileia ou Razão BIS
Uma das premissas de Basileia I foi a exigência de capital regulatório para a cobertura
do risco de crédito. Para isso, foi criado um índice de solvência chamado Razão BIS ou
Cooke Ratio (K). Esse indicador foi definido como o quociente entre o capital
4 Instrumento híbrido de capital e dívida subordinada são produtos bancários que apresentam características
tanto de dívida quanto de capital.
5
OECD – Organização para Cooperação e Desenvolvimento Econômico (Organization for Economic Cooperation
and Development).
regulatório e os ativos (dentro e fora do balanço) ponderados pelo risco, conforme
demonstração a seguir.
K =
[Capital Nivel I + Capital Nivel II ]
APR
Se o valor de “k” for igual ou superior a 8%, o nível de capital do banco está adequado
para a cobertura de risco de crédito. Os supervisores de cada país têm a prerrogativa
de definir percentual superior ao estipulado pelo Acordo de Basileia. No Brasil, esse
percentual é de 11%.
Para conceder um empréstimo de R$ 1 bilhão, por exemplo, a instituição deve ter capital
de R$ 80 milhões, tendo em vista que o fator “k” deve ser igual ou superior a 8%.
Mas como as modalidades de crédito são diferentes e possuem características e riscos

divergentes, há também um fator ponderador. Como o crédito imobiliário é menos
arriscado do que outros, por exemplo, recebe um ponderador alto. Se um banco concede
R$ 1 bilhão em empréstimo para que seus clientes adquiram imóveis, é possível supor
que o ponderador seja 50%, por exemplo. Assim, os 8% de exigência de capital incidem
sobre 50% de R$ 1 bilhão, que são R$ 500 milhões. Logo, a exigência de capital é de
R$ 40 milhões.
Emenda de riscos de mercado de 1996
O avanço obtido com Basileia I, em termos de marco regulatório e de exigência de

capital para suportar o risco de crédito, é inegável. Entretanto, algumas críticas
surgiram, tornando-se necessário o aprimoramento daquele documento no âmbito do
Comitê de Basileia. Entre os ajustes, destacou-se a necessidade de alocação de capital
próprio para cobertura de riscos de mercado.
Assim, em janeiro de 1996, foi publicado adendo ao Basileia I, chamado de Emenda de

Risco de Mercado6, cujos aspectos relevantes são:
• ampliação dos controles sobre riscos incorridos pelos bancos;

• extensão dos requisitos para a definição do capital mínimo (ou regulatório),
incorporando o risco de mercado;
• possibilidade de utilização de modelos internos na mensuração de riscos, desde
que aprovados pelo regulador local;
• criação do Capital Nível III, que corresponde aos títulos de dívida subordinada
com maturidade abaixo de dois anos.
6
Amendment to the Capital Accord to Incorporate Market Risks.
2.1.2 Acordo de Basileia II – Inclusão do Risco
Operacional
Com o passar dos anos, as regras se mostraram insuficientes para impedir que os
bancos ficassem expostos a determinados riscos e para evitar as falências de muitas
instituições, foi necessário fazer alguns ajustes.
Uma das deficiências do modelo de Basileia I é a impossibilidade de se diferenciar uma

carteira de crédito boa de uma ruim. Assim, era possível que um banco que possuísse
clientes com maior probabilidade de inadimplência, por exemplo, estivesse sujeito à
mesma exigência de capital que um banco com baixíssima probabilidade de sofrer um
calote.
O Comitê divulgou o Novo Acordo de Capital, comumente conhecido por Basileia II, com
os seguintes objetivos:
• promover a estabilidade financeira;

• fortalecer a estrutura de capital das instituições;
• favorecer a adoção das melhores práticas de gestão de riscos;
• estimular maior transparência e disciplina de mercado.
A estrutura do Basileia II, conforme figura a seguir, está apoiada em três pilares:
• Pilar I – Exigência de capital mínimo;

• Pilar II – Supervisão bancária;
• Pilar III – Disciplina de mercado.
Figura 3 – Estrutura do acordo de Basileia II

Basileia II propõe um enfoque mais flexível para exigência de capital e mais abrangente
com relação ao fortalecimento da supervisão bancária e ao estímulo para maior
transparência na divulgação das informações ao mercado.
Pilar I: Exigência mínima de capital
No Pilar I, identificam-se significativas alterações em relação à Basileia I, destacando-

se a inclusão da exigência de capital mínimo para cobertura do risco operacional. Além
disso, possibilita-se a utilização de modelos próprios dos bancos – comumente
conhecidos por modelos internos – para o cálculo da exigência para risco de crédito, de
mercado e operacional.
O método de mensuração pode ser desenvolvido pela própria instituição financeira, mas
precisa ser testado e aprovado pelo regulador – no caso brasileiro, o Banco Central.
No cálculo dos riscos, os bancos têm que levar em conta três variáveis: a probabilidade
de descumprimento (PD), que significa a chance de que o tomador de empréstimo não
honre sua dívida, a exposição do banco no descumprimento (EAD), e a perda em caso
de descumprimento (LGD).
Pilar II: Processo de supervisão
O processo de supervisão estabelece normas para o gerenciamento de risco,

controlando e tornando transparente o acompanhamento dos riscos no sistema
financeiro. O Pilar II tem o objetivo de assegurar que o nível de capitalização do banco
seja coerente com seu perfil de risco.
Além da revisão das formas de calcular os riscos de crédito dos bancos, outra mudança
de Basileia II foi a inclusão da mensuração dos riscos operacionais dos bancos e o
estímulo a boas práticas de gestão.
Pilar III: Disciplina de mercado
Disciplina de mercado representa o conjunto de informações a ser divulgado para os

participantes, possibilitando um acompanhamento mais preciso das operações do
banco, do nível de capital, das exposições a risco, dos processos de gestão de riscos e
da adequação de capital aos requerimentos regulatórios.
Os agentes participantes do mercado (agências de avaliação de risco, reguladores etc.)

fornecem informações quanto ao perfil de riscos e o nível de capitalização dos bancos
para possibilitar que o mercado discipline as instituições financeiras.
O terceiro pilar complementa as exigências de capital mínimo (Pilar I), enfatizando a
transparência como critério para reconhecimento e habilitação de um banco para
utilização de uma abordagem de mensuração de capital específica. Além disso,
complementa o processo de revisão da supervisão (Pilar II), exigindo a divulgação de
informações qualitativas e quantitativas, que diminuem os esforços de supervisão.
A figura a seguir representa os principais participantes do mercado que acompanham e

avaliam as informações qualitativas e quantitativas divulgadas pelos bancos.
Figura 4 - Agentes na análise das informações dos bancos
Quanto mais elevados os níveis de informações contábeis e gerenciais disponíveis para

os agentes de mercado (empresas de auditoria, agências de avaliação de risco,
investidores, acionistas, associações do mercado de capitais etc.), maior a capacidade
de acompanhar a solidez das instituições financeiras.
2.1.3 Acordo de Basileia III

Em dezembro de 2010, o Comitê de Basileia de Supervisão Bancária (CBSB) publicou
uma revisão do Acordo de Capital intitulada A global regulatory framework for more
resilient banks and banking systems, que veio a se tornar conhecida como Basileia III.
Basileia III representa a principal resposta regulatória internacional à crise financeira

de 2008 e tem por objetivo central aumentar a resiliência do sistema financeiro e apoiar
a expansão sustentável do crédito.
Com as recomendações de Basileia III a expectativa é de que o aumento do nível de
capital, combinado com requerimentos mínimos de liquidez e medidas
macroprudenciais, reduza a probabilidade e a severidade de eventuais crises bancárias,
bem como seus potenciais efeitos negativos sobre os demais setores da economia.
Neste sentido, considerando as orientações do CBSB, em fevereiro de 2011, o Bacen

publicou o Comunicado nº 20.615, estabelecendo as orientações preliminares e o
cronograma de implementação de Basileia III no Brasil.
Em janeiro de 2013, o Bacen publicou as regras relacionadas à definição de capital e

aos novos requerimentos de capital. Ademais, foi estabelecido cronograma de
implantação, que se estende de outubro de 2013 a janeiro de 2019, de modo que a
transição fosse realizada de forma gradual e as instituições pudessem se adaptar ao
novo arcabouço.
Com as novas regras, o Índice de Basileia, que mede a exigência de capital das
instituições, migra dos atuais 11% dos ativos ponderados pelo risco para um intervalo
de 11% a 14%, a depender do ciclo econômico e do cronograma de transição.
Em linhas gerais, Basileia III introduziu as seguintes inovações ao arcabouço regulatório

prudencial:
a) Métricas de Liquidez
Com o objetivo de estabelecer requerimentos mínimos de liquidez para as

instituições financeiras, Basileia III definiu os seguintes índices de curto e
longo prazo: o Índice de Liquidez de Curto Prazo – Liquidity Coverage Ratio
(LCR) e o Índice de Liquidez de Longo Prazo – Net Stable Funding Ratio
(NSFR). Ambos têm por objetivo criar um colchão de ativos que possa ser
imediatamente liquidado, sem perda relevante de valor e, portanto,
acessado, na ocasião de estresse de mercado.
b) Requerimentos de Capital
As bases da nova regulação prudencial mantiveram-se atreladas à Basileia

II, contudo alterações relevantes foram introduzidas nesse arcabouço, em
especial:
• a reformulação da estrutura de capital;

• a ampliação dos requerimentos de capital;
• a redefinição de capital regulamentar e seus níveis.
No que diz respeito à estrutura de capital, além de novos índices mínimos -
Capital Principal e Capital Complementar -, estabeleceu-se a criação do
Adicional de Capital Principal, que aumenta as exigências de capital ao longo
do tempo, bem como define novos requisitos para a qualificação dos
instrumentos elegíveis a Capital de Nível I ou Nível II. A figura 4 sintetiza a
nova configuração do Patrimônio de Referência (PR).
Figura 5 – Patrimônio de Preferência – Basileia III
Como se pode observar, mantém-se a divisão entre o Capital Nível I e o

Nível II, ficando a cargo do primeiro, assegurar efetivamente a solvência da
instituição financeira, garantindo a continuidade de suas operações,
enquanto o segundo, constitui um capital contingente, passível de conversão
em capital efetivo na ocasião de insolvência da instituição, dando suporte
aos depositantes e demais credores no caso de falência ou liquidação.
A seguir, apresentam-se, de forma sintética, os novos requerimentos de

capital:
• Capital Principal: Capital Social + Reservas + Lucros Acumulados -

Ajustes Prudenciais7;
• Capital Nível I: equivale ao capital principal + capital complementar.
Constituído por elementos que demonstrem capacidade efetiva de
absorver perdas durante o funcionamento da instituição.
• Capital complementar: composto por instrumentos híbridos de capital
e dívida que atendam aos requisitos de subordinação, perpetuidade e
não cumulatividade de dividendos.
• Capital Nível II: elementos que demonstrem capacidade efetiva de
absorver perdas em caso de ser constatada a inviabilidade de
funcionamento da instituição.
7
Objetivam conferir maior qualidade ao capital por meio da exclusão de ativos que comprometam a
capacidade de absorção de perdas de uma instituição financeira, motivada por sua baixa liquidez, difícil
mensuração ou dependência de lucro futuro para sua realização.
O Adicional de Capital Principal, incorporado ao Capital Principal de forma
progressiva, a partir de janeiro de 2016 até janeiro de 2019, corresponde ao
elemento de política prudencial destinado a mitigar os efeitos adversos dos
ciclos econômicos, sendo ativado ou desativado, a critério do Bacen.
Corresponde aos seguintes requerimentos: capital de conservação, capital
contracíclico e sistêmico.
• Capital de Conservação: tem por objetivo aumentar o poder de

absorção de perdas das instituições financeiras, além do mínimo
exigido, em períodos favoráveis do ciclo econômico, para que o capital
acrescido possa ser utilizado em períodos de estresse.
• Capital Contracíclico: Requerido em caso de crescimento excessivo do
crédito associado a ser consumido durante a fase de contração.
c) Razão de Alavancagem
Uma das principais inovações de Basileia III diz respeito à Razão de

Alavancagem (RA), introduzida com o objetivo de restringir a alavancagem
excessiva dos bancos e, portanto, potenciais efeitos negativos que um
processo de desalavancagem poderia acarretar no sistema financeiro.
Referida métrica, consiste no quociente entre uma medida de capital,

preliminarmente o Capital de Nível I, e uma medida de exposição, que leva
em conta o valor nominal dos ativos, sem qualquer ponderação por fatores
de riscos.
2.2 Demais regulações
a) SOX
As várias crises de credibilidade enfrentadas pelo mercado de capitais norte-americano

em virtude da falta de transparência das organizações, suas fraudes corporativas e
manipulações dos balanços financeiros das empresas, especificamente da empresas
Enron, Wordcom e Tyco abalaram a confiança dos investidores no maior mercado de
capitais do mundo.
Ante o ocorrido, em junho de 2002, o Congresso Americano aprovou a Lei Sarbanes-

Oxley – SOX que foi redigida para recuperar a credibilidade do mercado, abalada pela
aparente insegurança a respeito da governança adequada das empresas.
O objetivo da lei é proteger os investidores por meio de:

• divulgações precisas, tempestivas, completas e transparentes;
• melhor governança corporativa;
• melhores práticas de controles internos.
Um dos destaques da lei Sarbanes-Oxley é a sua aplicabilidade às empresas

estrangeiras que possuem ou venham a se habilitar a ter valores mobiliários registrados
na Securities and Exchange Commission (SEC), ou seja, as empresas brasileiras que
tenham ou venham a se habilitar a ter programas de American Depositary Receipts -
certificados de depósitos (ADR) admitidos à negociação nas bolsas de valores norte-
americanas.
Em suas 1107 seções, a SOX imputa penalidades aos administradores de corporações,

que vão desde o pagamento de multas ao cumprimento de penas de reclusão e sanções.
A Lei Sabanes-Oxley, por meio de seus princípios, promoveu também a adoção de um

código de conduta ética para os principais executivos e demais funcionários das
companhias contendo, entre outros, questões sobre conflito de interesses; divulgação
de informações e cumprimento de leis. Além disso, exigiu que as empresas certifiquem
juntamente com as auditorias externas, os controles internos relacionados ao processo
de elaboração e divulgação de relatórios financeiros.
Em síntese, essa Lei instituiu ampla regulação do ambiente corporativo, fundamentado

nas boas práticas de governança. Seus focos são exatamente os quatro valores de
governança: conformidade legal, prestação responsável de contas, maior transparência
e equidade.
b) FATCA
O Fatca (Foreign Account Tax Compliance Act) é uma regulamentação do Governo

Americano destinada a combater a evasão fiscal. A adesão das instituições financeiras
ao Fatca é voluntária (o Banco do Brasil já fez sua adesão), mas a não adesão implica
uma série de restrições aos negócios dos clientes dos bancos não cooperantes, inclusive
retenção de 30% a título de imposto em transações envolvendo US Persons e/ou de
valores oriundos dos USA. Na prática as instituições financeiras que aderirem ao Fatca
irão atuar como unidades fiscais americanas, prestando informações e até mesmo
retendo e recolhendo valores.
O Fatca possui alcance extraterritorial e busca combater a evasão fiscal por meio do
monitoramento das contas de contribuintes fiscais americanos (US Persons) que
detenham ativos (depósitos, investimentos etc.) e/ou obtenham rendimentos em outros
países. A lei americana contém um conjunto de requisitos e obrigações para
cumprimento por parte das instituições financeiras estrangeiras (denominadas Foreign
Financial Institutions - FFI) que assinaram o acordo de adesão.
Em síntese, a Lei prevê que as instituições financeiras cooperantes devem:

• identificar as contas de US Persons;
• promover due diligence na base de clientes existente, de forma a identificar os
clientes que possam ser considerados US Persons, e que possuam saldos e/ou
movimentações financeiras superiores a US$ 1 Milhão. Procedimento similar
deve ser realizado para os clientes considerados US Persons, e que possuam
saldos e/ou movimentações financeiras entre US$ 50 mil e US$ 1 Milhão, no caso
de PF, e entre US$ 250 mil e US$ 1 Milhão, no caso de PJ;
• apresentar reporte às autoridades americanas a respeito dos US Persons
(contribuintes fiscais americanos) e saldo das respectivas contas;
• reter valores de US Persons e/ou instituições financeiras não cooperantes.

3. GESTÃO DO RISCO OPERACIONAL EM

INSTITUIÇÕES FINANCEIRAS
3.1 Conceito de Risco

Etimologicamente, a palavra “risco” tem sua origem no italiano antigo risicare e significa
ousar. Em uma concepção primária, risco significa “perigo ou possibilidade de perigo”
(FERREIRA, 1999), ou ainda “a chance de ocorrer um evento desfavorável” (BRIGHAM,
1999). Em ambas as definições a ideia de risco está associada a certo grau de incerteza,
ou seja, corre-se risco quando existe um desconhecimento de resultados futuros de
algum evento (acontecimento ou ocorrência).
Há, no entanto, uma importante diferença entre risco e incerteza. O risco se apresenta
numa situação em que se dispõe de dados e informações suficientes para quantificar o
grau de probabilidade de um evento semelhante ocorrer no futuro. Sob incerteza não
estão disponíveis os dados capazes de quantificar uma possível perda. O grande desafio
do administrador é transformar a incerteza em risco.
Risco é, portanto, a possibilidade de ocorrência de um

evento adverso para uma determinada situação esperada,
(Júnior, 2005)
3.2 Risco Operacional – uma visão geral
Em observância ao acordo Basileia II, o Banco Central passou a inserir o mercado

financeiro brasileiro no contexto da preocupação crescente com a gestão de riscos e as
premissas descritas naquele Acordo, notadamente no tocante ao risco operacional. Por
meio da Resolução nº 3.380/06, o Bacen definiu risco operacional com o seguinte texto:
Risco operacional é a possibilidade de ocorrência de perdas

resultantes de falha, deficiência ou inadequação de processos
internos, pessoas e sistemas, ou de eventos externos, incluindo
o risco legal associado à inadequação ou deficiência em contratos
firmados pela instituição, bem como a sanções em razão de
descumprimento de dispositivos legais e a indenizações por
danos a terceiros decorrentes das atividades desenvolvidas pela
instituição.
4. GESTÃO DO RISCO OPERACIONAL NO BB

4.1. Tipos de Riscos
O Banco do Brasil identifica um conjunto de riscos incorridos pelo Conglomerado

Prudencial e define aqueles considerados relevantes e que devem ser gerenciados.
A definição do inventário de riscos e de riscos relevantes baseia-se em:
a) Riscos inerentes às atividades do segmento bancário;
b) Riscos inerentes às atividades dos demais segmentos negociais explorados pelas

ELBB (Entidades Ligadas Banco do Brasil);
c) Referências de reguladores e práticas de mercado.
A definição dos riscos relevantes considera avaliações qualitativas e quantitativas.
A revisão do inventário de riscos e dos riscos relevantes ocorre de forma ordinária,

anualmente, ou a qualquer tempo, de forma extraordinária, quando necessária. As
atualizações podem ser consultadas na IN 410.
Segue a definição adotada pelo Banco para cada um desses riscos:
Inventário de Conceitos Risco

Riscos Relevante
Risco de Possibilidade de ocorrência de perdas associadas ao Sim
Crédito não cumprimento pelo tomador ou contraparte de
suas respectivas obrigações financeiras nos termos
pactuados, à desvalorização de contrato de crédito
decorrente de deteriorações na classificação de risco
do tomador, à redução de ganhos ou remunerações,
às vantagens concedidas na renegociação e aos custos
de recuperação.
Risco de É a possibilidade de perdas de crédito decorrentes de Sim
Concentração exposições significativas a uma contraparte, a um
fator de risco ou a grupos de contrapartes relacionadas
por meio de características comuns.
Risco de Possibilidade de não cumprimento, por determinada Sim
Crédito da contraparte, de obrigações relativas à liquidação de
Contraparte operações que envolvam a negociação de ativos
financeiros, incluindo aquelas relativas à liquidação de
instrumentos financeiros derivativos.
Risco de Possibilidade de ocorrência de perdas financeiras ou Sim

Mercado econômicas resultantes da flutuação nos valores de
mercado de posições detidas pela Instituição.
Risco de Taxa Possibilidade de riscos decorrente das exposições Sim
de Juros do sujeitas à variação das taxas de juros das operações
Banking Book não classificadas na carteira de negociação.
Risco de Possibilidade de ocorrência de desequilíbrios entre Sim
Liquidez ativos negociáveis e passivos exigíveis,
descasamentos entre pagamentos e recebimentos que
possam afetar a capacidade de pagamento da
instituição, levando-se em consideração as diferentes
moedas e prazos de liquidação de seus direitos e
obrigações.
Risco Possibilidade de perdas resultantes de falha, Sim
Operacional deficiência ou inadequação de processos internos,
pessoas e sistemas, ou eventos externos. Esta
definição inclui a possibilidade de perdas decorrentes
do risco legal.
Risco Legal Possibilidade de perda decorrente da inadequação ou Sim
deficiência em contratos firmados pela instituição,
bem como a sanções em razão do descumprimento de
dispositivos legais e a indenizações por danos a
terceiros decorrentes das atividades desenvolvidas
pela instituição.
Risco Possibilidade de perdas decorrentes da exposição a Sim
Socioambiental danos socioambientais gerados pelas atividades do
Banco do Brasil.
Risco de Possibilidade de perdas decorrente de mudanças Sim
Estratégia adversas no ambiente de negócios, ou de utilização de
premissas inadequadas na tomada de decisão.
Risco de Possibilidade de perdas decorrentes da percepção Sim
Reputação negativa sobre a instituição por parte de clientes,
contrapartes, acionistas, investidores, órgãos
governamentais, comunidade ou supervisores que
pode afetar adversamente a sustentabilidade do
negócio.
EFPPS Possibilidade de impacto negativo decorrente do Sim
descasamento entre passivos atuariais e ativos das
entidades fechadas de previdência complementar e de
operadoras de planos privados de saúde a
funcionários.
Risco de Possibilidade de perdas decorrentes do Sim
Modelo desenvolvimento ou uso inadequados de modelos, em
função da imprecisão ou insuficiência de dados ou à
formulação incorreta na sua construção.
Risco Residual Possibilidade de impactos negativos por não Não

efetividade das garantias utilizadas na mitigação do
risco de crédito.
Risco de Possibilidade de impacto negativo no capital Sim
Contágio decorrente de eventos adversos nas participações
societárias que não fazem parte do conglomerado
prudencial.
Risco de Possibilidade de perdas financeira ou de reputação Sim
Conformidade resultantes de falha no cumprimento de leis,
(Compliance) regulamentos, normas internas, códigos de conduta e
diretrizes estabelecidas para o negócio e atividades da
organização.
Tabela 1- Inventário de Riscos
4.2 Risco Operacional
O Banco define Risco Operacional como a possibilidade de ocorrência de perdas

resultantes de falha, deficiência ou inadequação de processos internos, pessoas,
sistemas ou de eventos externos. Essa definição inclui o risco legal associado à
inadequação ou deficiência em contratos firmados pela Instituição, bem como a sanções
em razão de descumprimento de dispositivos legais e a indenizações por danos a
terceiros decorrentes das atividades desenvolvidas pelo Banco do Brasil.
A partir da definição acima é possível associar a ocorrência do risco operacional a falhas,

deficiências ou inadequações relacionadas a quatro fatores principais, denominados
fatores de risco operacional.
► Fatores de Risco Operacional
A partir da definição acima é possível associar a ocorrência do risco operacional a falhas,

deficiências ou inadequações relacionadas a quatro fatores principais, denominados
fatores de risco operacional.
O fator PROCESSOS está ligado a falhas, deficiências ou inadequações nos processos

internos. Adequação à legislação, pontos de controle, comunicação interna e segurança
física são aspectos que devem ser observados na modelagem de processos para evitar
risco operacional.
O fator PESSOAS está ligado a falhas, deficiências ou inadequações no desempenho

das atribuições pelos funcionários e contratados, envolvendo os aspectos referentes à
conduta (postura ética, honestidade, negligência), competências (habilidades,
conhecimentos e experiência) e ambiente de trabalho (cultura organizacional e
motivação).
O fator SISTEMAS está ligado a falhas, deficiências ou inadequações nos sistemas do

Banco envolvendo aspectos de hardware, software, rede de comunicação, segurança
lógica, análise e programação.
O fator EVENTOS EXTERNOS está relacionado com ocorrências de força maior, do

ambiente externo e de agente externo. São ocorrências de força maior as que envolvem
desastres naturais e catástrofes. As ocorrências do ambiente externo estão relacionadas
com o ambiente regulatório (criação/alteração de legislação) e com o ambiente social
(ações criminosas). As ocorrências motivadas por fornecedores, terceirizados e clientes
estão relacionadas com eventos externos.

► Eventos de Risco Operacional
Os eventos de risco operacional são aqueles decorrentes de falhas ou inadequações de

pessoas, processos, sistemas e eventos externos e podem provocar impactos
indesejáveis no resultado do Banco, seja por meio de despesas incorridas ou pela
diminuição de receita.
Os eventos de risco operacional classificam-se em:
a) Quase perda: eventos de risco operacional que não causaram perda efetiva
para o Banco por conta da intervenção de agente interno ou externo. Neste caso,
a intervenção mencionada é essencial para impedir uma perda efetiva. Devem
ser identificados e monitorados por indicarem fragilidades que devem ser
corrigidas;
b) Ganhos operacionais: eventos que beneficiaram o Banco, ou seja, geraram

resultado positivo, decorrentes de eventos de risco operacional, a exemplo de
falhas/erros na condução do processo ou do não cumprimento de
normas/estratégias definidas;
c) Custo de oportunidade: eventos que venham a impedir a condução de

negócios;
d) Receitas perdidas: lucros cessantes em virtude de ocorrências de risco

operacional;
e) Perda efetiva: eventos cuja manifestação causou perda financeira ou contábil

para o Banco, refletindo diretamente no resultado. Os documentos associados a
perdas efetivas devem ser arquivados por um período mínimo de cinco anos,
respeitados aqueles com prazo de expurgo específicos.
Os eventos de perda efetiva, provocam o aumento das despesas em decorrência de:
■ danos ao patrimônio físico;
■ lançamentos indevidos irrecuperáveis;
■ pagamento de multas, penalidades, juros etc;
■ pagamentos de compensação não judiciais;
■ perda direta de numerário;
■ custas e honorários de processos judiciais;
■ indenizações a funcionários e terceirizados;

■ provisão para demandas contingentes;8
► Categorias de Eventos de Risco Operacional
Os eventos de risco operacional do Banco são agrupados em oito categorias, observando

uma estrutura lógica, de modo a agregar eventos com características semelhantes e
desta forma, permitir a gestão dos mesmos.
Esta classificação permite a captura, análise e monitoramento dos eventos via sistemas
informatizados constituindo a base de dados interna de risco operacional do Banco.
Permite ainda a comparabilidade com a base de outros bancos.
A figura a seguir apresenta a descrição das categorias de eventos de risco operacional

utilizadas no BB.
Figura 6 – Eventos de Risco Operacional
8
Provisão para demandas contingentes representa uma possível obrigação presente que será confirmada
somente pela ocorrência ou não de um ou mais eventos futuros e, cujos valores possam ser mensurados
com suficiente segurança.
► Eventos de risco operacional: fatores e consequências
A figura a seguir apresenta a relação existente entre os três elementos até agora
apresentados: fatores de risco, categorias de eventos de risco e os impactos/reflexos
da materialização dos eventos de risco.
Categorias de
Eventos de Riscos •Reparos, substituição de
baixa de ativos
•Fraudes e Roubos Externos •Multas, penalidades e
•Fraudes e Roubos Internos cominações
•Pessoas •Práticas Trabalhistas e Condições •Perda Direta (numerário)
•Processos do Ambiente de Trabalho •Ressarcimento e
•Sistemas •Práticas Inadequadas relativas indenização a clientes
•Eventos Externos aos Negócios, Produtos e •Custas e honorários de
Clientes processos judiciais
• Danos a Ativos Físicos e Lesões a •Lucro cessante e quase
Fatores de Risco Pessoas perda
•Falhas de Sistemas e Tecnologia •Provisão para demandas
•Falhas na Execução e contingentes
Gerenciamento de Processos
•Interrupção das Atividades Impactos/Reflexos
Figura 7 – Fatores e Consequências
A partir de um evento de risco, é possível identificar um ou mais fatores de risco

associados. Em seguida, é feita a classificação do evento em uma das oito categorias
de eventos de risco e apurado seu impacto financeiro.
Nesse ponto é importante destacar que os eventos de risco operacional estão sempre
relacionados a uma possibilidade de perda financeira.
Estrutura conceitual do risco operacional – exemplos
Categoria
Evento de risco Fator de Impacto
Causa provável evento de
operacional risco financeiro
risco
Perdas com
Abertura de conta Ausência de conferência da Fraudes e
ressarcimento
corrente com documentação apresentada Pessoas Roubos
e/ou indenizações
documentos falsos para abertura de conta Externos
a clientes
Transação indevida Utilização de cartão por Fraudes e Lançamentos

com uso de cartão funcionário não autorizado pela Pessoas Roubos indevidos
operacional administração Internos irrecuperáveis
Funcionário efetua débito das Práticas

Débito não faturas de cartão de crédito Inadequadas
autorizado em conta sem autorização formal do relativas aos Indenizações a
Pessoas
corrente de fatura de cliente em descumprimento a Negócios, clientes
cartão de crédito artigo 3º da Resolução Produtos e
3.695/2009 Clientes
Práticas
Liquidação de Ausência de procedimentos de
Inadequadas
ordem de conferência e de controle da
relativas aos Indenizações a
pagamento recebida liquidação de ordens de Processos
Negócios, clientes
do exterior em pagamentos apresentadas
Produtos e
duplicidade pelos clientes
Clientes
Cliente recebe mensagem de

Falha na Práticas
transação efetivada no
compensação de Inadequadas
Gerenciador Financeiro mas o
título pago por cliente relativas aos Indenizações a
pagamento não é processado Sistemas
no canal Negócios, clientes
devido à atraso no recebimento
Gerenciador Produtos e
da transação no sistema do
Financeiro Clientes
Banco
Substituição de Danos a Ativos

Vandalismo e depredação de Reparos,
terminais de auto Eventos Físicos e
terminais de autoatendimento substituição e
atendimento de Externos Lesões a
devido à ataque criminoso baixa de ativos
agência Pessoas
Tabela 2 – Exemplos -
4.3 Políticas de Gestão do Risco Operacional
A Unidade de Risco Operacional (URO) é a área responsável pela formulação das

políticas e diretrizes de gestão do risco operacional, que devem atender às disposições
de Basileia II e aos requisitos da Resolução Bacen nº 3.380/06.
Revisadas anualmente e aprovadas pelo Conselho de Administração do Banco, as

políticas refletem o direcionamento estratégico adotado pela Instituição e norteiam
todos os processos relativos ao gerenciamento do risco operacional.
O princípio geral da política definida pelo BB é o seguinte:
O modelo de gestão de risco operacional aplicado pelo Banco do Brasil tem por
objetivo identificar, avaliar, monitorar, controlar e mitigar o risco operacional do
Conglomerado Prudencial9 e das respectivas instituições integrantes,
individualmente, bem como identificar e acompanhar o risco operacional das
demais empresas controladas por integrantes do Conglomerado Prudencial.
A política vigente compreende, dentre outras, as seguintes orientações:
Identificar, avaliar e mitigar os riscos operacionais relevantes inerentes a todos

os produtos, serviços, atividades, processos e sistemas, previamente ao seu
lançamento.
Identificar e avaliar os riscos operacionais associados aos processos internos da
organização indicando falhas e deficiências que possam gerar impactos
financeiros materializados em eventos de perda operacional de forma a mitigar
e controlar os riscos, além de prover instrumentos para análise e tomada de
decisões.
Classificar os eventos de risco operacional, considerando sua vulnerabilidade e
impacto financeiro.
Revisar e avaliar, periodicamente, o modelo utilizado na gestão do risco
operacional mediante testes de qualidade e de precisão, executados por área
distinta da responsável pela mensuração e tendo como referência as melhores
práticas de mercado.
Monitorar constantemente as exposições a risco operacional decorrente de
fraudes e roubos externos.
Identificar, avaliar e mitigar as principais ocorrências de fraude interna.
9
Conforme definição dos termos do Plano Contábil das Instituições Financeiras (Cosif), o Conglomerado
Prudencial abrange as instituições financeiras, as administradoras de consórcio, as instituições de pagamento,
as sociedades que realizam aquisição de operações ou assumam direta ou indiretamente risco de crédito e os
fundos de investimento nos quais o conglomerado retenha substancialmente riscos e benefícios.
Definir limites de exposição a riscos operacionais para mitigá-los ou absorvê-los.
Manter base de dados de perdas operacionais que incorpora os principais
atributos de um evento de perda de acordo com critérios objetivos e
transparentes.
Reportar, tempestivamente, informações relacionadas ao gerenciamento do risco
operacional, cabendo a todas as Unidades Estratégicas a responsabilidade da
comunicação dos eventos de riscos e perdas operacionais.
Identificar e acompanhar o risco operacional dos serviços terceirizados
relevantes para o nosso funcionamento regular.
Disseminar a cultura de Risco Operacional por meio de programa permanente de
sensibilização, conscientização e capacitação.
4.4 Modelo de Gestão do Risco Operacional
O processo de gestão de risco operacional no BB está estruturado em cinco fases:

identificação, avaliação, controle, mitigação e monitoramento.
Fases do gerenciamento do risco operacional
Monitorar Identificar
Controlar Avaliar
Mitigar
Figura 8 – Fases do gerenciamento
Estas fases são interdependentes e representam um processo contínuo de gestão do

risco operacional.
► Identificação
A etapa de identificação consiste em identificar e classificar os eventos de risco

operacional a que o Banco está exposto, indicando suas áreas de incidência.
Cabe aos gestores identificar os riscos operacionais nos processos sob sua gestão.
Todavia, no desempenho de suas atividades, todos os funcionários devem estar
envolvidos com a identificação dos riscos operacionais.
São exemplos de instrumentos de identificação do risco operacional no Conglomerado

Prudencial e respectivas instituições integrantes: Modelagem de Processos, CARPS,
Base de Dados Internos (BDI), Portal Jurídico, Ouvidoria Interna, Ouvidoria Externa,
Painel de Risco Operacional, GEDIP, BB Resolve e Solução Imediata – SIM, dentre
outros.
Adicionalmente, o Dicionário de Eventos de Riscos Operacionais é um instrumento que,

além de proporcionar uma padronização na nomenclatura dos riscos operacionais,
auxilia as Unidades Estratégicas do Banco na identificação e classificação de riscos
operacionais durante a gestão dos riscos inerentes a seus produtos/processos.
De forma resumida, a metodologia de identificação de riscos compreende as seguintes

etapas:
Figura 9 –Etapas da metodologia de identificação de riscos
Conforme atuação definida para a gestão do Risco Operacional nas Entidades Ligadas
ao BB (empresas controladas por integrantes do Conglomerado Prudencial), a
identificação e acompanhamento dos riscos associados aos processos, produtos e
serviços dessas empresas é feita por meio de preenchimento de questionários,
considerando aspectos qualitativos e quantitativos, elaborados pela Unidade de Risco
Operacional - URO e aplicados pela Direg.
A partir do diagnóstico resultante, poderão ser adotados procedimentos

complementares com o objetivo de garantir o cumprimento das disposições regulatórias
que versem sobre o gerenciamento de riscos nas Entidades Ligadas.
Base de Dados Internos (BDI)
Para propiciar uma gestão eficiente do risco operacional e possibilitar a utilização de

modelos internos (avançados) de mensuração, o Banco possui procedimentos
sistemáticos para armazenamento dos eventos de perdas operacionais na Base de
Dados Internos de Perdas Operacionais (BDI).
A Base de Dados Internos (BDI) está materializada no sistema de Extração de

Eventos de Perda Operacional (EPO). A alimentação do EPO com as informações dos
eventos de perdas operacionais é realizada de forma automatizada pelos sistemas
legados do Banco, mediante prévia identificação dos eventos e validação dos
respectivos gestores.
As informações obtidas por meio do sistema EPO são classificadas conforme as

categorias de risco operacional e analisadas pela Unidade de Risco Operacional,
gerando insumos para a identificação de novos riscos.
► Avaliação
Essa etapa consiste na quantificação da exposição ao risco operacional com o objetivo

de avaliar o impacto nos negócios do Banco. Consiste, também, na avaliação qualitativa
dos riscos identificados, analisando sua probabilidade de ocorrência e impacto, de forma
a determinar o nível de risco.
Cabe à Unidade de Risco Operacional (URO) a avaliação dos riscos operacionais

identificados.
► Mitigação
A mitigação de riscos corresponde à criação e implementação de mecanismos para

modificar o risco buscando reduzir as perdas operacionais por meio da remoção da causa
do risco, alteração da probabilidade de ocorrência ou alteração das consequências do
evento de risco.
Uma vez avaliados e mensurados os riscos operacionais identificados nos produtos,

serviços e processos do Banco, a instituição irá decidir qual a melhor alternativa de
ação, considerada a relação custo benefício. Pode optar pela absorção das
consequências do risco, pelo repasse à empresa dedicada à atividade de gestão de riscos
(seguradora ou comercializadora, por exemplo) ou pela mitigação de riscos.
Quando se fala em mitigação, o que se deseja evitar é a ocorrência do fator gerador do
risco, bem como suas consequências. Os riscos podem ser reduzidos ou adequados por
meio da implantação de ações para instituição ou correção de controles.
A mitigação de riscos tem custos, que podem ser o custo do desenvolvimento ou

aquisição de um sistema de informática, a absorção do risco pela própria instituição
financeira ou ainda o repasse à empresa dedicada à atividade de gestão de riscos
(seguradora ou comercializadora, por exemplo). Exemplos de ações para mitigação de
riscos em processos, produtos e serviços do mercado bancário:
■ consultar a área jurídica para a correta interpretação das leis, normas e

regulamentos;
■ divulgar e implementar competências, alçadas, limites, normas e

procedimentos que orientem a execução das atividades;
■ implementar mecanismos que visem a segregação de funções com vistas a

reduzir conflitos de interesse, fraudes e falhas humanas;
■ definir controles de acesso, de forma a preservar a segurança e o sigilo das

informações.
Como nem sempre é possível eliminar completamente os riscos, as organizações

buscam constantemente sua mitigação.
Os gestores são responsáveis pela mitigação dos riscos operacionais dos processos sob
sua responsabilidade com a assessoria da URO. No desempenho de suas atividades,
porém, todos os funcionários devem estar envolvidos com a mitigação dos riscos
operacionais.
► Controle
A etapa de controle do risco operacional consiste em registrar o comportamento dos

riscos operacionais, limites, indicadores e eventos de perda operacional, bem como
implementar mecanismos de forma a garantir que os limites e indicadores de risco
operacional permaneçam dentro dos níveis desejados. O controle do risco
operacional é realizado pela URO.
São exemplos de instrumentos de controle do risco operacional: Limites Específicos,

Indicadores Chave de Risco (ICR) e as Recomendações Técnicas de Risco
Operacional (RTRO).
Limites Específicos
Os Limites Específicos representam níveis de tolerância estatisticamente pré-

estabelecidos, definindo o comprometimento aceitável de perdas operacionais em
relação ao somatório do resultado da intermediação financeira e das receitas de
prestação de serviço do Banco. Os Limites são acompanhados mensalmente no
Painel de Riscos.
Sempre que observada extrapolação de limite específico pode ser emitida Ficha de
Extrapolação com a finalidade de alertar os gestores para a necessidade tempestiva
de executar ações para corrigir ou inibir fragilidades ou deficiências geradoras de
perdas com impactos superiores aos níveis estabelecidos como toleráveis pelo
Banco.
Indicadores Chave de Risco (ICR)
Indicador Chave de Risco é um instrumento gerencial de controle para identificação

e acompanhamento de desvios nos comportamentos dos processos operacionais
capazes de expor a instituição a riscos materializáveis em perdas operacionais.
Os ICR têm por finalidade quantificar a exposição ao risco de cada processo

monitorado, possibilitando a projeção de seus efeitos para classificação do nível de
risco, além de definir estratégias de mitigação para perdas potenciais. A definição
dos indicadores visa a atender às necessidades do Banco com gestão de processos
e a demandas dos órgãos reguladores.
Os ICR são definidos contemplando período de reporte de seu resultado à alta

administração e faixas conforme decisão de aceitação ou tratamento dos riscos a
que se associam (tolerável, alerta ou crítica). As faixas sinalizam o comportamento
de um determinado indicador em um período e serve de parâmetro de
acompanhamento.
Recomendação Técnica de Risco Operacional (RTRO)
Recomendação Técnica de Risco Operacional (RTRO) é um instrumento utilizado

para tratamento de falhas, deficiências ou inadequações identificadas pela Unidade
de Risco Operacional (URO), nos processos inerentes aos produtos, serviços,
sistemas e canais de atendimento do Banco.
A finalidade de uma RTRO é recomendar medidas para prevenir, corrigir ou inibir

reduzir perdas e fortalecer a cultura de gestão de riscos operacionais na Instituição.
Os destinatários das RTRO são os gestores de processos inerentes aos produtos,
serviços, sistemas e canais de atendimento em que foram identificadas falhas,
deficiências ou inadequações. Caberá ao gestor receptor da recomendação articular-
se com os demais gestores, quando houver necessidade da interveniência destes,
para o cumprimento da recomendação.
São considerados gestores e intervenientes as Unidades Estratégicas e as

Dependências Externas, podendo se estender às Unidades de Apoio ao Negócio e
Gestão. Quando se tratar de riscos operacionais relativos a produtos, processos ou
serviços de Unidades Táticas e Operacionais, a Diretoria ou Unidade subordinante
responde pela recomendação.
Identificado um determinado risco operacional e estabelecida a necessidade de envio

de RTRO para tratamento desse risco, conforme nível de criticidade avaliado pela
URO na emissão, as ações informadas pelo receptor para mitigação do risco têm sua
conclusão acompanhada, certificada e efetividade avaliada pela URO.
► Monitoramento
É a ação que tem por objetivo identificar as deficiências do processo de gestão do risco
operacional, de forma que as fragilidades detectadas sejam levadas ao conhecimento
da Alta Administração. É a fase de retroalimentação do processo de gerenciamento de
risco operacional, em que é possível detectar fragilidades nas fases anteriores.
O monitoramento do risco operacional é realizado pela URO.

4.5 Risco Operacional em Canais de Atendimento
4.5.1 Segurança na Internet
A Internet está presente no cotidiano de grande parte da população e, provavelmente

para estas pessoas, seria muito difícil imaginar como seria a vida sem poder usufruir
das diversas facilidades e oportunidades trazidas por esta tecnologia. Por meio da
Internet você pode:
• encontrar antigos amigos, fazer novas amizades, encontrar pessoas que

compartilham seus gostos e manter contato com amigos e familiares distantes;
• acessar sites de notícias e de esportes, participar de cursos à distância, pesquisar
assuntos de interesse e tirar dúvidas em listas de discussão;
• efetuar serviços bancários, como transferências, pagamentos de contas e
verificação de extratos;
• fazer compras em supermercados e em lojas de comércio eletrônico, pesquisar
preços e verificar a opinião de outras pessoas sobre os produtos ou serviços
ofertados por uma determinada loja;
• acessar sites dedicados a brincadeiras, passatempos e histórias em quadrinhos,
além de grande variedade de jogos, para as mais diversas faixas etárias;
• enviar a sua declaração de Imposto de Renda, emitir boletim de ocorrência,
consultar os pontos em sua carteira de habilitação e agendar a emissão de
passaporte;
• consultar a programação das salas de cinema, verificar a agenda de espetáculos
teatrais, exposições e shows e adquirir seus ingressos antecipadamente;
• consultar acervos de museus e sites dedicados à obra de grandes artistas, onde
é possível conhecer a biografia e as técnicas empregadas por cada um.
Estes são apenas alguns exemplos de como você pode utilizar a Internet para facilitar
e melhorar a sua vida. Aproveitar esses benefícios de forma segura, entretanto, requer
que alguns cuidados sejam tomados e, para isto, é importante que você esteja
informado dos perigos aos quais está exposto para que possa tomar as medidas
preventivas necessárias, como:
Acesso a conteúdos impróprios ou ofensivos: ao navegar você pode se deparar

com páginas que contenham pornografia, que atentem contra a honra ou que incitem o
ódio e o racismo.
Contato com pessoas mal-intencionadas: existem pessoas que se aproveitam da

falsa sensação de anonimato da Internet para aplicar golpes, tentar se passar por outras
pessoas e cometer crimes como, por exemplo, estelionato, pornografia infantil e
sequestro.
Furto de identidade: assim como você pode ter contato direto com impostores,
também pode ocorrer de alguém tentar se passar por você e executar ações em seu
nome, levando outras pessoas a acreditarem que estão se relacionando com você, e
colocando em risco a sua imagem ou reputação.
Furto e perda de dados: os dados presentes em seus equipamentos conectados à

Internet podem ser furtados e apagados, pela ação de ladrões, atacantes e códigos
maliciosos.
Invasão de privacidade: a divulgação de informações pessoais pode comprometer a

sua privacidade, de seus amigos e familiares e, mesmo que você restrinja o acesso, não
há como controlar que elas não serão repassadas. Além disto, os sites costumam ter
políticas próprias de privacidade e podem alterá-las sem aviso prévio, tornando público
aquilo que antes era privado.
Divulgação de boatos: as informações na Internet podem se propagar rapidamente e

atingir um grande número de pessoas em curto período de tempo. Enquanto isto pode
ser desejável em certos casos, também pode ser usado para a divulgação de
informações falsas, que podem gerar pânico e prejudicar pessoas e empresas.
Dificuldade de exclusão: aquilo que é divulgado na Internet nem sempre pode ser
totalmente excluído ou ter o acesso controlado. Uma opinião dada em um momento de
impulso pode ficar acessível por tempo indeterminado e pode, de alguma forma, ser
usada contra você e acessada por diferentes pessoas, desde seus familiares até seus
chefes.
Dificuldade de detectar e expressar sentimentos: quando você se comunica via

Internet não há como observar as expressões faciais ou o tom da voz das outras
pessoas, assim como elas não podem observar você (a não ser que vocês estejam
utilizando webcams e microfones). Isto pode dificultar a percepção do risco, gerar mal-
entendido e interpretação dúbia.
Dificuldade de manter sigilo: no seu dia a dia é possível ter uma conversa
confidencial com alguém e tomar cuidados para que ninguém mais tenha acesso ao que
está sendo dito. Na Internet, caso não sejam tomados os devidos cuidados, as
informações podem trafegar ou ficar armazenadas de forma que outras pessoas tenham
acesso ao conteúdo.
Uso excessivo: o uso desmedido da Internet, assim como de outras tecnologias, pode
representar danos à sua saúde física, diminuir a sua produtividade e afetar a sua vida
social ou profissional.
Plágio e violação de direitos autorais: a cópia, alteração ou distribuição não

autorizada de conteúdos e materiais protegidos pode contrariar a lei de direitos autorais
e resultar em problemas jurídicos e em perdas financeiras.
Outro grande perigo relacionado ao uso da Internet é o de você achar que está
protegido, pois supõe que ninguém tem interesse em utilizar o seu computador ou que,
entre os diversos computadores conectados à Internet, o seu dificilmente será
localizado. É justamente este tipo de pensamento que é explorado pelos atacantes, pois,
ao se sentir seguro, você pode achar que não precisa se prevenir.
Esta ilusão, infelizmente, costuma terminar quando os primeiros problemas começam a

acontecer. Muitas vezes os atacantes estão interessados em conseguir acesso a grandes
quantidades de computadores, independentemente de quais são, e para isto, podem
efetuar varreduras na rede e localizar grande parte dos computadores conectados à
Internet.
Um problema de segurança em seu computador pode torná-lo indisponível e colocar em

risco a confidencialidade e a integridade dos dados nele armazenados. Além disto, ao
ser comprometido, seu computador pode ser usado para a prática de atividades
maliciosas como, por exemplo, servir de repositório para dados fraudulentos, lançar
ataques contra outros computadores (e assim esconder a real identidade e localização
do atacante), propagar códigos maliciosos e disseminar spam.
O primeiro passo para se prevenir perdas relacionadas ao uso da Internet é estar ciente
de que ela não tem nada de “virtual”. Tudo o que ocorre ou é realizado por meio da
Internet ou é real: os dados são reais e as empresas e pessoas com quem você interage
são as mesmas que estão fora dela.
Desta forma, as ameaças às quais você está exposto ao usá-la são os mesmos presentes
no seu dia a dia e os golpes que são aplicados por meio dela são similares àqueles que
ocorrem na rua ou por telefone.
É preciso, portanto, que você leve para a Internet os mesmos cuidados e as mesmas
preocupações que você tem no seu dia a dia, adotando uma postura preventiva, tornado
a segurança um hábito incorporado à sua rotina, independente de questões como local,
tecnologia ou meio utilizado.
4.5.2 Golpes na Internet
Normalmente, não é uma tarefa simples atacar e fraudar dados em um servidor de

uma instituição bancária ou comercial e, por este motivo, golpistas vem concentrando
esforços na exploração de fragilidades dos usuários. Utilizando técnicas de engenharia
social e por diferentes meios e discursos, os golpistas procuram enganar e persuadir as
potenciais vítimas a fornecerem informações sensíveis ou a realizarem ações, como
executar códigos maliciosos e acessar páginas falsas.
De posse dos dados das vítimas, os golpistas costumam efetuar transações financeiras,
acessar sites, enviar mensagens eletrônicas, abrir empresas fantasmas e criar contas
bancárias ilegítimas, entre outras atividades maliciosas.
Muitos dos golpes aplicados na Internet podem ser considerados crimes contra o
patrimônio, tipificados como estelionato. Dessa forma, o golpista pode ser considerado
um estelionatário.
► Furto de identidade (Identify theft)
O furto de identidade, ou identity theft, é o ato pelo qual uma pessoa tenta se passar
por outra, atribuindo-se uma falsa identidade, com o objetivo de obter vantagens
indevidas. Alguns casos de furto de identidade podem ser considerados como crime
contra a fé pública, tipificados como falsa identidade.
No dia a dia, sua identidade pode ser furtada caso, por exemplo, alguém abra uma
empresa ou uma conta bancária usando seu nome e seus documentos. Na Internet isto
também pode ocorrer, caso alguém crie um perfil em seu nome em uma rede social,
acesse sua conta de e-mail e envie mensagens se passando por você ou falsifique os
campos de e-mail, fazendo parecer que ele foi enviado por você.
Quanto mais informações você disponibiliza sobre a sua vida e rotina, mais fácil se torna
para um golpista furtar a sua identidade, pois mais dados ele tem disponíveis e mais
convincente ele pode ser. Além disto, o golpista pode usar outros tipos de golpes e
ataques para coletar informações sobre você, inclusive suas senhas, como códigos
maliciosos.
Caso a sua identidade seja furtada, você poderá arcar com consequências como perdas
financeiras, perda de reputação e falta de crédito. Além disto, pode levar muito tempo
e ser bastante desgastante até que você consiga reverter todos os problemas causados
pelo impostor.
Prevenção: A melhor forma de impedir que sua identidade seja furtada é evitar que o
impostor tenha acesso aos seus dados e às suas contas de usuário. Além disto, para
evitar que suas senhas sejam obtidas e indevidamente usadas, é muito importante que
você seja cuidadoso, tanto ao usá-las quanto ao elaborá-las.
E necessário também que você fique atento a alguns indícios que podem demonstrar
que sua identidade está sendo indevidamente usada por golpistas, tais como:
• começar a ter problemas com órgãos de proteção ao crédito;

• receber o retorno de e-mails que não foram enviados por você;
• verificar nas notificações de acesso que a sua conta de e-mail ou seu perfil na
rede social foi acessado em horários ou locais em que você próprio não estava
acessando;
• ao analisar o extrato da sua conta bancária ou do seu cartão de crédito você
percebe transações que não foram realizadas por você;
• receber ligações telefônicas, correspondências e e-mails se referindo a assuntos
sobre os quais você não sabe nada a respeito, como uma conta bancária que não
lhe pertence e uma compra não realizada por você.
► Fraude de antecipação de recursos (Advance fee fraud)
A fraude de antecipação de recursos, ou advance fee fraud, é aquela na qual um golpista

procura induzir uma pessoa a fornecer informações confidenciais ou a realizar um
pagamento adiantado, com a promessa de futuramente receber algum tipo de benefício.
Por meio do recebimento de mensagens eletrônicas ou do acesso a sites fraudulentos,

a pessoa é envolvida em alguma situação ou história mirabolante, que justifique a
necessidade de envio de informações pessoais ou a realização de algum pagamento
adiantado, para a obtenção de um benefício futuro. Após fornecer os recursos solicitados
a pessoa percebe que o tal benefício prometido não existe, constata que foi vítima de
um golpe e que seus dados/dinheiro estão em posse de golpistas.
O Golpe da Nigéria (Nigerian 4-1-9 Scam10) é um dos tipos de fraude de antecipação de

recursos mais conhecidos é aplicado, geralmente, da seguinte forma:
a) você recebe uma mensagem eletrônica em nome de alguém ou de alguma

instituição dizendo-se ser da Nigéria, na qual é solicitado que você atue como
intermediário em uma transferência internacional de fundos;
b) o valor citado na mensagem é absurdamente alto e, caso você aceite intermediar
a transação, recebe a promessa de futuramente ser recompensado com uma
porcentagem deste valor;
c) o motivo, descrito na mensagem, pelo qual você foi selecionado para participar
da transação geralmente é a indicação de algum funcionário ou amigo que o
10
O número 419 refere-se à seção do Código Penal da Nigéria equivalente ao artigo 171 do Código Penal
Brasileiro, ou seja, estelionato.
apontou como sendo uma pessoa honesta, confiável e merecedora do tal
benefício;
d) a mensagem deixa claro que se trata de uma transferência ilegal e, por isto,
solicita sigilo absoluto e urgência na resposta, caso contrário, a pessoa procurará
por outro parceiro e você perderá a oportunidade;
e) após responder à mensagem e aceitar a proposta, os golpistas solicitam que
você pague antecipadamente uma quantia bem elevada (porém bem inferior ao
total que lhe foi prometido) para arcar com custos, como advogados e taxas de
transferência de fundos;
f) após informar os dados e efetivar o pagamento solicitado, você é informado que
necessita realizar novos pagamentos ou perde o contato com os golpistas;
g) finalmente, você percebe que, além de perder todo o dinheiro investido, nunca
verá a quantia prometida como recompensa e que seus dados podem estar
sendo indevidamente usados.
Apesar deste golpe ter ficado conhecido como sendo da Nigéria, já foram registrados
diversos casos semelhantes, originados ou que mencionavam outros países, geralmente
de regiões pobres ou que estejam passando por conflitos políticos, econômicos ou
raciais.
A fraude de antecipação de recursos possui diversas variações que, apesar de

apresentarem diferentes discursos, assemelham-se pela forma como são aplicadas e
pelos danos causados. Algumas destas variações são:
Loteria internacional: você recebe um e-mail informando que foi sorteado em uma
loteria internacional, mas que para receber o prêmio a que tem direito, precisa fornecer
seus dados pessoais e informações sobre a sua conta bancária.
Crédito fácil: você recebe um e-mail contendo uma oferta de empréstimo ou

financiamento com taxas de juros muito inferiores às praticadas no mercado. Após o
seu crédito ser supostamente aprovado você é informado que necessita efetuar um
depósito bancário para o ressarcimento das despesas.
Doação de animais: você deseja adquirir um animal de uma raça bastante cara e, ao
pesquisar por possíveis vendedores, descobre que há sites oferecendo estes animais
para doação. Após entrar em contato, é solicitado que você envie dinheiro para despesas
de transporte.
Oferta de emprego: você recebe uma mensagem em seu celular contendo uma
proposta tentadora de emprego. Para efetivar a contratação, no entanto, é necessário
que você informe detalhes de sua conta bancária.
Noiva russa: alguém deixa um recado em sua rede social contendo insinuações sobre
um possível relacionamento amoroso entre vocês. Esta pessoa mora em outro país,
geralmente a Rússia, e após alguns contatos iniciais sugere que vocês se encontrem
pessoalmente, mas, para que ela possa vir até o seu país, necessita ajuda financeira
para as despesas de viagem.
Prevenção: A melhor forma de se prevenir é identificar as mensagens contendo

tentativas de golpes. Uma mensagem deste tipo, geralmente, possui características
como:
• oferece quantias astronômicas de dinheiro;

• solicita sigilo nas transações;
• solicita que você a responda rapidamente;
• apresenta palavras como “urgente” e “confidencial” no campo de assunto;
• apresenta erros gramaticais e de ortografia (muitas mensagens são escritas por
meio do uso de programas tradutores e podem apresentar erros de tradução e
de concordância).
Além disto, adotar uma postura preventiva pode, muitas vezes, evitar que você seja
vítima de golpes. Por isto, é muito importante que você:
• questione-se por que justamente você, entre os inúmeros usuários da Internet,

foi escolhido para receber o benefício proposto na mensagem e como chegaram
até você;
• desconfie de situações onde é necessário efetuar algum pagamento com a
promessa de futuramente receber um valor maior (pense que, em muitos casos,
as despesas poderiam ser descontadas do valor total);
Vale alertar que mensagens deste tipo nunca devem ser respondidas, pois isto pode
servir para confirmar que o seu endereço de e-mail é válido. Esta informação pode ser
usada, por exemplo, para incluí-lo em listas de spam ou de possíveis vítimas em outros
tipos de golpes.
► Phishing
Phishing, phishing-scam ou phishing/scam, é o tipo de fraude

por meio da qual um golpista tenta obter dados pessoais e financeiros de um usuário,
pela utilização combinada de meios técnicos e engenharia social.
O phishing ocorre por meio do envio de mensagens eletrônicas que:
• tentam se passar pela comunicação oficial de uma instituição conhecida,

como um banco, uma empresa ou um site popular;
• procuram atrair a atenção do usuário, seja por curiosidade, por caridade
ou pela possibilidade de obter alguma vantagem financeira;
• informam que a não execução dos procedimentos descritos pode
acarretar sérias consequências, como a inscrição em serviços de proteção
de crédito e o cancelamento de um cadastro, de uma conta bancária ou
de um cartão de crédito;
• tentam induzir o usuário a fornecer dados pessoais e financeiros, por meio
do acesso a páginas falsas, que tentam se passar pela página oficial da
instituição; da instalação de códigos maliciosos, projetados para coletar
informações sensíveis; e do preenchimento de formulários contidos na
mensagem ou em páginas Web.
Para atrair a atenção do usuário as mensagens apresentam diferentes tópicos e temas,

normalmente explorando campanhas de publicidade, serviços, a imagem de pessoas e
assuntos em destaque no momento, como exemplificado na tabela a seguir. Exemplos
de situações envolvendo phishing são:
Páginas falsas de comércio eletrônico ou Internet Banking: você recebe um e-

mail, em nome de um site de comércio eletrônico ou de uma instituição financeira, que
tenta induzi-lo a clicar em um link. Ao fazer isto, você é direcionado para uma página
Web falsa, semelhante ao site que você realmente deseja acessar, onde são solicitados
os seus dados pessoais e financeiros.
Páginas falsas de redes sociais ou de companhias aéreas: você recebe uma
mensagem contendo um link para o site da rede social ou da companhia aérea que você
utiliza. Ao clicar, você é direcionado para uma página Web falsa onde é solicitado o seu
nome de usuário e a sua senha que, ao serem fornecidos, serão enviados aos golpistas
que passarão a ter acesso ao site e poderão efetuar ações em seu nome, como enviar
mensagens ou emitir passagens aéreas.
Mensagens contendo formulários: você recebe uma mensagem eletrônica contendo

um formulário com campos para a digitação de dados pessoais e financeiros. A
mensagem solicita que você preencha o formulário e apresenta um botão para confirmar
o envio das informações. Ao preencher os campos e confirmar o envio, seus dados são
transmitidos para os golpistas.
Mensagens contendo links para códigos maliciosos: você recebe um e-mail que
tenta induzi-lo a clicar em um link, para baixar e abrir/executar um arquivo. Ao clicar,
é apresentada uma mensagem de erro ou uma janela pedindo que você salve o arquivo.
Após salvo, quando você abri-lo/executá-lo, será instalado um código malicioso em seu
computador.
Solicitação de recadastramento: você recebe uma mensagem, supostamente

enviada pelo grupo de suporte da instituição de ensino que frequenta ou da empresa
em que trabalha, informando que o serviço de e-mail está passando por manutenção e
que é necessário o recadastramento. Para isto, é preciso que você forneça seus dados
pessoais, como nome de usuário e senha.
Exemplos de tópicos e temas de mensagens de phishing:

Tabela 3 – Phishing
Prevenção:
• fique atento a mensagens, recebidas em nome de alguma instituição, que tentem

induzi-lo a fornecer informações, instalar/executar programas ou clicar em links;
• questione-se por que instituições com as quais você não tem contato estão lhe
enviando mensagens, como se houvesse alguma relação prévia entre vocês (por
exemplo, se você não tem conta em um determinado banco, não há porque
recadastrar dados ou atualizar módulos de segurança);
• fique atento a mensagens que apelem demasiadamente pela sua atenção e que,
de alguma forma, o ameacem caso você não execute os procedimentos
descritos;
• não considere que uma mensagem é confiável com base na confiança que você
deposita em seu remetente, pois ela pode ter sido enviada de contas invadidas,
de perfis falsos ou pode ter sido forjada;
• seja cuidadoso ao acessar links. Procure digitar o endereço diretamente no
navegador Web;
• verifique o link apresentado na mensagem. Golpistas costumam usar técnicas
para ofuscar o link real para o phishing. Ao posicionar o mouse sobre o link,
muitas vezes é possível ver o endereço real da página falsa ou código malicioso;
• utilize mecanismos de segurança, como programas antimalware, firewall pessoal
e filtros antiphishing;
• verifique se a página utiliza conexão segura. Sites de comércio eletrônico ou
Internet Banking confiáveis sempre utilizam conexões seguras quando dados
sensíveis são solicitados;
• verifique as informações mostradas no certificado. Caso a página falsa utilize
conexão segura, um novo certificado será apresentado e, possivelmente, o
endereço mostrado no navegador Web será diferente do endereço
correspondente ao site verdadeiro;
• acesse a página da instituição que supostamente enviou a mensagem e procure
por informações (você vai observar que não faz parte da política da maioria das
empresas o envio de mensagens, de forma indiscriminada, para os seus
usuários).
► Pharming
Pharming é um tipo específico de phishing que envolve a direção da navegação do

usuário para sites falsos, por meio de alterações no serviço de DNS (Domain Name
System). Neste caso, quando você tenta acessar um site legítimo, o seu navegador Web
é redirecionado, de forma transparente, para uma página falsa. Esta direção pode
ocorrer:
• por meio do comprometimento do servidor de DNS do provedor que você

utiliza;
• pela ação de códigos maliciosos projetados para alterar o comportamento
do serviço de DNS do seu computador;
• pela ação direta de um invasor, que venha a ter acesso às configurações
do serviço de DNS do seu computador ou modem de banda larga.
Prevenção:
• desconfie se, ao digitar uma URL, for redirecionado para outro site, o qual
tenta realizar alguma ação suspeita, como abrir um arquivo ou tentar
instalar um programa;
• desconfie imediatamente caso o site de comércio eletrônico ou Internet
Banking que você está acessando não utilize conexão segura. Sites
confiáveis de comércio eletrônico e Internet Banking sempre usam
conexões seguras quando dados pessoais e financeiros são solicitados;
• observe se o certificado apresentado corresponde ao do site verdadeiro.
4.5.3 Golpes de comércio eletrônico

Golpes de comércio eletrônico são aqueles nos quais golpistas, com o objetivo de obter
vantagens financeiras, exploram a relação de confiança existente entre as partes
envolvidas em uma transação comercial. Alguns destes golpes são apresentados nas
próximas seções.
► Golpe do site de comércio eletrônico fraudulento
Neste golpe, o golpista cria um site fraudulento, com o objetivo específico de enganar
os possíveis clientes que, após efetuarem os pagamentos, não recebem as mercadorias.
Para aumentar as chances de sucesso, o golpista costuma utilizar artifícios como: enviar
spam, fazer propaganda via links patrocinados, anunciar descontos em sites de compras
coletivas e ofertar produtos muito procurados e com preços abaixo dos praticados pelo
mercado.
Além do comprador, que paga mas não recebe a mercadoria, este tipo de golpe pode
ter outras vítimas, como:
• uma empresa séria, cujo nome tenha sido vinculado ao golpe;

• um site de compras coletivas, caso ele tenha intermediado a compra;
• uma pessoa, cuja identidade tenha sido usada para a criação do site ou
para abertura de empresas fantasmas.
Prevenção:
• faça uma pesquisa de mercado, comparando o preço do produto exposto

no site com os valores obtidos na pesquisa e desconfie caso ele seja muito
abaixo dos praticados pelo mercado;
• pesquise na Internet sobre o site, antes de efetuar a compra, para ver a
opinião de outros clientes;
• acesse sites especializados em tratar reclamações de consumidores
insatisfeitos, para verificar se há reclamações referentes a esta empresa;
• fique atento a propagandas recebidas através de spam;
• seja cuidadoso ao acessar links patrocinados;
• procure validar os dados de cadastro da empresa no site da Receita
Federal;
• não informe dados de pagamento caso o site não ofereça conexão segura
ou não apresente um certificado confiável.
► Golpe envolvendo sites de compras coletivas
Sites de compras coletivas têm sido muito usados em golpes de sites de comércio
eletrônico fraudulentos. Além dos riscos inerentes às relações comerciais cotidianas, os
sites de compras coletivas também apresentam riscos próprios, gerados principalmente
pela pressão imposta ao consumidor em tomar decisões rápidas pois, caso contrário,
podem perder a oportunidade de compra.
Golpistas criam sites fraudulentos e os utilizam para anunciar produtos nos sites de
compras coletivas e, assim, conseguir grande quantidade de vítimas em um curto
intervalo de tempo.
Além disto, sites de compras coletivas também podem ser usados como tema de
mensagens de phishing. Golpistas costumam mandar mensagens como se tivessem sido
enviadas pelo site verdadeiro e, desta forma, tentam induzir o usuário a acessar uma
página falsa e a fornecer dados pessoais, como número de cartão de crédito e senhas.
Prevenção:
• procure não comprar por impulso apenas para garantir o produto

ofertado;
• seja cauteloso e faça pesquisas prévias, pois há casos de produtos
anunciados com desconto, mas que na verdade, apresentam valores
superiores aos de mercado;
• pesquise na Internet sobre o site de compras coletivas, antes de efetuar
a compra, para ver a opinião de outros clientes e observar se foi
satisfatória a forma como os possíveis problemas foram resolvidos.
► Golpe do site de leilão e venda de produtos
O golpe do site de leilão e venda de produtos é aquele, por meio do qual, um comprador
ou vendedor age de má-fé e não cumpre com as obrigações acordadas ou utiliza os
dados pessoais e financeiros envolvidos na transação comercial para outros fins. Por
exemplo:
• o comprador tenta receber a mercadoria sem realizar o pagamento ou o

realiza por meio de transferência efetuada de uma conta bancária
ilegítima ou furtada;
• o vendedor tenta receber o pagamento sem efetuar a entrega da
mercadoria ou a entrega danificada, falsificada, com características
diferentes do anunciado ou adquirida de forma ilícita e criminosa (por
exemplo, proveniente de contrabando ou de roubo de carga);
• o comprador ou o vendedor envia e-mails falsos, em nome do sistema de
gerenciamento de pagamentos, como forma de comprovar a realização
do pagamento ou o envio da mercadoria que, na realidade, não foi feito.
Prevenção:
• faça uma pesquisa de mercado, comparando o preço do produto com os

valores obtidos na pesquisa e desconfie caso ele seja muito abaixo dos
praticados pelo mercado;
• marque encontros em locais públicos caso a entrega dos produtos seja
feita pessoalmente;
• acesse sites especializados em tratar reclamações de consumidores
insatisfeitos e que os coloca em contato com os responsáveis pela venda
(você pode avaliar se a forma como o problema foi resolvido foi
satisfatória ou não);
• utilize sistemas de gerenciamento de pagamentos pois, além de
dificultarem a aplicação dos golpes, impedem que seus dados pessoais e
financeiros sejam enviados aos golpistas;
• procure confirmar a realização de um pagamento diretamente em sua
conta bancária ou pelo site do sistema de gerenciamento de pagamentos
(não confie apenas em e-mails recebidos, pois eles podem ser falsos);
• verifique a reputação do usuário (muitos sites possuem sistemas que
medem a reputação de compradores e vendedores, por meio da opinião
de pessoas que já negociaram com este usuário);
• acesse os sites, tanto do sistema de gerenciamento de pagamentos como
o responsável pelas vendas, diretamente do navegador, sem clicar em
links recebidos em mensagens;
• mesmo que o vendedor lhe envie o código de rastreamento fornecido
pelos Correios, não utilize esta informação para comprovar o envio e
liberar o pagamento (até que você tenha a mercadoria em mãos não há
nenhuma garantia de que o que foi enviado é realmente o que foi
solicitado).
► Boato (Hoax)
Um boato, ou hoax, é uma mensagem que

possui conteúdo alarmante ou falso e que, geralmente, tem como remetente, ou aponta
como autora, alguma instituição, empresa importante ou órgão governamental. Por
meio de uma leitura minuciosa de seu conteúdo, normalmente, é possível identificar
informações sem sentido e tentativas de golpes, como correntes e pirâmides.
Boatos podem trazer diversos problemas, tanto para aqueles que os recebem e os
distribuem, como para aqueles que são citados em seus conteúdos. Entre estes diversos
problemas, um boato pode:
• conter códigos maliciosos;

• espalhar desinformação pela Internet;
• ocupar, desnecessariamente, espaço nas caixas de e-mails dos usuários;
• comprometer a credibilidade e a reputação de pessoas ou entidades
referenciadas na mensagem;
• comprometer a credibilidade e a reputação da pessoa que o repassa pois, ao
fazer isto, esta pessoa estará supostamente endossando ou concordando com
o conteúdo da mensagem;
• aumentar excessivamente a carga de servidores de e-mail e o consumo de
banda de rede, necessários para a transmissão e o processamento das
mensagens;
• indicar, no conteúdo da mensagem, ações a serem realizadas e que, se forem
efetivadas, podem resultar em sérios danos, como apagar um arquivo que
supostamente contém um código malicioso, mas que na verdade é parte
importante do sistema operacional instalado no computador.
Prevenção:
Normalmente, os boatos se propagam pela boa vontade e solidariedade de quem os

recebe, pois há uma grande tendência das pessoas em confiar no remetente, não
verificar a procedência e não conferir a veracidade do conteúdo da mensagem. Para que
você possa evitar a distribuição de boatos é muito importante conferir a procedência
dos e-mails e, mesmo que tenham como remetente alguém conhecido, é preciso
certificar-se de que a mensagem não é um boato.
Um boato, geralmente, apresenta pelo menos uma das seguintes características:
• afirma não ser um boato;

• sugere consequências trágicas caso uma determinada tarefa não seja realizada;
• promete ganhos financeiros ou prêmios mediante a realização de alguma ação;
• apresenta erros gramaticais e de ortografia;
• apresenta informações contraditórias;
• enfatiza que ele deve ser repassado rapidamente para o maior número de
pessoas;
• já foi repassado diversas vezes (no corpo da mensagem, normalmente, é
possível observar cabeçalhos de e-mails repassados por outras pessoas).
Além disto, muitas vezes, uma pesquisa na Internet pelo assunto da mensagem pode
ser suficiente para localizar relatos e denúncias já feitas. É importante ressaltar que
você nunca deve repassar boatos pois, ao fazer isto, estará endossando ou concordando
com o seu conteúdo.
4.5.4 Dicas gerais para proteção de golpes

Notifique: caso identifique uma tentativa de golpe, é importante notificar a instituição
envolvida, para que ela possa tomar as providências que julgar cabíveis.
Mantenha-se informado: novas formas de golpes podem surgir, portanto é muito
importante que você se mantenha informado. Algumas fontes de informação que você
pode consultar são:
• seções de informática de jornais de grande circulação e de sites de notícias que,

normalmente, trazem matérias ou avisos sobre os golpes mais recentes;
• sites de empresas mencionadas nas mensagens (algumas empresas colocam
avisos em suas páginas quando percebem que o nome da instituição está sendo
indevidamente usado);
• sites especializados que divulgam listas contendo os golpes que estão sendo
aplicados e seus respectivos conteúdos. Alguns destes sites são:
Monitor das Fraudes: http://www.fraudes.org/ (em português)
Quatro Cantos: http://www.quatrocantos.com/LENDAS/ (em
português)
Snopes.com: Urban Legends Reference Pages -
http://www.snopes.com/ (em inglês)
Symantec Security Response Hoaxes:
http://www.symantec.com/avcenter/hoax.html (em inglês)
TruthOrFiction.com: http://www.truthorfiction.com/ (em inglês)
Urban Legends and Folklore: http://urbanlegends.about.com/ (em
inglês)
4.5.5 Códigos maliciosos (Malware)
Códigos maliciosos (malware) são programas especificamente desenvolvidos para

executar ações danosas e atividades maliciosas em um computador. Algumas das
diversas formas como os códigos maliciosos podem infectar ou comprometer um
computador são:
• pela exploração de vulnerabilidades existentes nos programas instalados;

• pela auto execução de mídias removíveis infectadas, como pen-drives;
• pelo acesso a páginas Web maliciosas, utilizando navegadores vulneráveis;
• pela ação direta de atacantes que, após invadirem o computador, incluem
arquivos contendo códigos maliciosos;
• pela execução de arquivos previamente infectados, obtidos em anexos de
mensagens eletrônicas, via mídias removíveis, em páginas Web ou diretamente
de outros computadores (através do compartilhamento de recursos).
Uma vez instalados, os códigos maliciosos passam a ter acesso aos dados armazenados
no computador e podem executar ações em nome dos usuários, de acordo com as
permissões de cada usuário.
Os principais motivos que levam um atacante a desenvolver e a propagar códigos

maliciosos são a obtenção de vantagens financeiras, a coleta de informações
confidenciais, o desejo de autopromoção e o vandalismo. Além disto, os códigos
maliciosos são muitas vezes usados como intermediários e possibilitam a prática de
golpes, a realização de ataques e a disseminação de spam.
4.5.5.1 Vírus
Vírus é um programa ou parte de um programa de computador,

normalmente malicioso, que se propaga inserindo cópias de si mesmo e se tornando
parte de outros programas e arquivos.
Para que possa se tornar ativo e dar continuidade ao processo de infecção, o vírus
depende da execução do programa ou arquivo hospedeiro, ou seja, para que o seu
computador seja infectado é preciso que um programa já infectado seja executado.
O principal meio de propagação de vírus costumava ser os disquetes. Com o tempo,

porém, estas mídias caíram em desuso e começaram a surgir novas maneiras, como o
envio de e-mail. Atualmente, as mídias removíveis tornaram-se novamente o principal
meio de propagação, não mais por disquetes, mas, principalmente, pelo uso de pen-
drives.
Há diferentes tipos de vírus. Alguns procuram permanecer ocultos, infectando arquivos

do disco e executando uma série de atividades sem o conhecimento do usuário. Há
outros que permanecem inativos durante certos períodos, entrando em atividade
apenas em datas específicas. Alguns dos tipos de vírus mais comuns são:
• Vírus propagado por e-mail: recebido como um arquivo anexo a um e-mail cujo
conteúdo tenta induzir o usuário a clicar sobre este arquivo, fazendo com que
seja executado. Quando entra em ação, infecta arquivos e programas e envia
cópias de si mesmo para os e-mails encontrados nas listas de contatos gravadas
no computador.
• Vírus de script: escrito em linguagem de script, como VBScript e JavaScript, e
recebido ao acessar uma página Web ou por e-mail, como um arquivo anexo ou
como parte do próprio e-mail escrito em formato HTML. Pode ser
automaticamente executado, dependendo da configuração do navegador Web e
do programa leitor de e-mails do usuário.
• Vírus de macro: tipo específico de vírus de script, escrito em linguagem de
macro, que tenta infectar arquivos manipulados por aplicativos que utilizam esta
linguagem como, por exemplo, os que compõe o Microsoft Office (Excel, Word e
PowerPoint, entre outros).
• Vírus de telefone celular: vírus que se propaga de celular para celular por meio
da tecnologia bluetooth ou de mensagens MMS (Multimedia Message Service). A
infecção ocorre quando um usuário permite o recebimento de um arquivo
infectado e o executa. Após infectar o celular, o vírus pode destruir ou
sobrescrever arquivos, remover ou transmitir contatos da agenda, efetuar
ligações telefônicas e drenar a carga da bateria, além de tentar se propagar para
outros celulares.
4.5.5.2 Worm
Worm é um programa capaz de se propagar automaticamente

pelas redes, enviando cópias de si mesmo de computador para computador.
Diferente do vírus, o worm não se propaga por meio da inclusão de cópias de si mesmo
em outros programas ou arquivos, mas sim pela execução direta de suas cópias ou pela
exploração automática de vulnerabilidades existentes em programas instalados em
computadores.
Worms são notadamente responsáveis por consumir muitos recursos, devido à grande
quantidade de cópias de si mesmo que costumam propagar e, como consequência,
podem afetar o desempenho de redes e a utilização de computadores.
O processo de propagação e infecção dos worms ocorre da seguinte maneira:
a) Identificação dos computadores alvos: após infectar um computador, o worm

tenta se propagar e continuar o processo de infecção. Para isto, necessita
identificar os computadores alvos para os quais tentará se copiar, o que pode
ser feito de uma ou mais das seguintes maneiras:
• efetuar varredura na rede e identificar computadores ativos;
• aguardar que outros computadores contatem o computador infectado;
• utilizar listas, predefinidas ou obtidas na Internet, contendo a identificação dos

alvos;
• utilizar informações contidas no computador infectado, como arquivos de
configuração e listas de endereços de e-mail.
b) Envio das cópias: após identificar os alvos, o worm efetua cópias de si mesmo e
tenta enviá-las para estes computadores, por uma ou mais das seguintes
formas:
• como parte da exploração de vulnerabilidades existentes em programas

instalados no computador alvo;
• anexadas a e-mails;
• via canais de IRC (Internet Relay Chat);
• via programas de troca de mensagens instantâneas;
• incluídas em pastas compartilhadas em redes locais ou do tipo P2P (Peer to

Peer).
c) Ativação das cópias: após realizado o envio da cópia, o worm necessita ser
executado para que a infecção ocorra, o que pode acontecer de uma ou mais das
seguintes maneiras:
• imediatamente após ter sido transmitido, pela exploração de vulnerabilidades

em programas sendo executados no computador alvo no momento do
recebimento da cópia;
• diretamente pelo usuário, pela execução de uma das cópias enviadas ao seu
computador;
• pela realização de uma ação específica do usuário, a qual o worm está

condicionado como, por exemplo, a inserção de uma mídia removível.
d) Reinício do processo: após o alvo ser infectado, o processo de propagação e

infecção recomeça, sendo que, a partir de agora, o computador que antes era o
alvo passa a ser também o computador originador dos ataques.
4.5.5.3 Bot e Botnet
Bot é um programa que dispõe de mecanismos de

comunicação com o invasor que permitem que ele seja controlado remotamente. Possui
processo de infecção e propagação similar ao do worm, ou seja, é capaz de se propagar
automaticamente, explorando vulnerabilidades existentes em programas instalados em
computadores.
A comunicação entre o invasor e o computador infectado pelo bot pode ocorrer via
canais de IRC, servidores Web e redes do tipo P2P, entre outros meios. Ao se comunicar,
o invasor pode enviar instruções para que ações maliciosas sejam executadas, como
desferir ataques, furtar dados do computador infectado e enviar spam.
Um computador infectado por um bot costuma ser chamado de zumbi (zombie

computer), pois pode ser controlado remotamente, sem o conhecimento do seu dono.
Também pode ser chamado de spam zombie quando o bot instalado o transforma em
um servidor de e-mails e o utiliza para o envio de spam.
Botnet é uma rede formada por centenas ou milhares de computadores

zumbis e que permite potencializar as ações danosas executadas pelos bots.
Quanto mais zumbis participarem da botnet mais potente ela será. O atacante que a
controlar, além de usá-la para seus próprios ataques, também pode alugá-la para outras
pessoas ou grupos que desejem que uma ação maliciosa específica seja executada.
Algumas das ações maliciosas que costumam ser executadas por intermédio de botnets
são: ataques de negação de serviço, propagação de códigos maliciosos (inclusive do
próprio bot), coleta de informações de um grande número de computadores, envio de
spam e camuflagem da identidade do atacante (com o uso de proxies instalados nos
zumbis).
O esquema simplificado apresentado a seguir exemplifica o funcionamento básico de

uma botnet:
a) Um atacante propaga um tipo específico de bot na esperança de infectar e conseguir

a maior quantidade possível de zumbis;
b) Os zumbis ficam então à disposição do atacante, agora seu controlador, à espera
dos comandos a serem executados;
c) Quando o controlador deseja que uma ação seja realizada, ele envia aos zumbis os
comandos a serem executados, usando, por exemplo, redes do tipo P2P ou
servidores centralizados;
d) Os zumbis executam então os comandos recebidos, durante o período
predeterminado pelo controlador;
e) Quando a ação se encerra, os zumbis voltam a ficar à espera dos próximos comandos
a serem executados.
4.5.5.4 Backdoor
Backdoor é um programa que permite o retorno

de um invasor a um computador comprometido, por meio da inclusão de serviços
criados ou modificados para este fim.
Pode ser incluído pela ação de outros códigos maliciosos, que tenham previamente
infectado o computador, ou por atacantes, que exploram vulnerabilidades existentes
nos programas instalados no computador para invadi-lo.
Após incluído, o Backdoor é usado para assegurar o acesso futuro ao computador

comprometido, permitindo que ele seja acessado remotamente, sem que haja
necessidade de recorrer novamente aos métodos utilizados na realização da invasão ou
infecção e, na maioria dos casos, sem que seja notado.
A forma usual de inclusão de um Backdoor consiste na disponibilização de um novo

serviço ou na substituição de um determinado serviço por uma versão alterada,
normalmente possuindo recursos que permitem o acesso remoto. Programas de
administração remota, como BackOrifice, NetBus, Sub-Seven, VNC e Radmin, se mal
configurados ou utilizados sem o consentimento do usuário, também podem ser
classificados como backdoors.
Há casos de backdoors incluídos propositalmente por fabricantes de programas, sob

alegação de necessidades administrativas. Esses casos constituem uma séria ameaça à
segurança de um computador que contenha um destes programas instalados pois, além
de comprometerem a privacidade do usuário, também podem ser usados por invasores
para acessarem remotamente o computador.
4.5.5.5 Cavalo de Troia (Trojan)
Cavalo de troia11, trojan ou trojan-horse, é um programa

que, além de executar as funções para as quais foi aparentemente projetado, também
executa outras funções, normalmente maliciosas, e sem o conhecimento do usuário.
Exemplos de trojans são programas que você recebe ou obtém de sites na Internet e
que parecem ser apenas cartões virtuais animados, álbuns de fotos, jogos e protetores
de tela, entre outros. Estes programas, geralmente, consistem de um único arquivo e
necessitam ser explicitamente executados para que sejam instalados no computador.
Trojans também podem ser instalados por atacantes que, após invadirem um
computador, alteram programas já existentes para que, além de continuarem a
desempenhar as funções originais, também executem ações maliciosas.
Há diferentes tipos de trojans, classificados12 de acordo com as ações maliciosas que

costumam executar ao infectar um computador. Alguns destes tipos são:
• Trojan Downloader: instala outros códigos maliciosos, obtidos de sites na

Internet.
• Trojan Dropper: instala outros códigos maliciosos, embutidos no próprio código
do trojan.
• Trojan Backdoor: inclui backdoors, possibilitando o acesso remoto do atacante
ao computador.
• Trojan DoS: instala ferramentas de negação de serviço e as utiliza para desferir
ataques.
• Trojan Destrutivo: altera/apaga arquivos e diretórios, formata o disco rígido e
pode deixar o computador fora de operação.
• Trojan Clicker: redireciona a navegação do usuário para sites específicos, com o
objetivo de aumentar a quantidade de acessos a estes sites ou apresentar
propagandas.
11
O “Cavalo de Troia”, segundo a mitologia grega, foi uma grande estátua, utilizada como instrumento de
guerra pelos gregos para obter acesso à cidade de Troia. A estátua do cavalo foi recheada com soldados que,
durante a noite, abriram os portões da cidade possibilitando a entrada dos gregos e a dominação de Troia.
12
Esta classificação baseia-se em coletânea feita sobre os nomes mais comumente usados pelos programas
antimalware.
• Trojan Proxy: instala um servidor de proxy, possibilitando que o computador seja
utilizado para navegação anônima e para envio de spam.
• Trojan Spy: instala programas spyware e os utiliza para coletar informações
sensíveis, como senhas e números de cartão de crédito, e enviá-las ao atacante.
• Trojan Banker ou Bancos: coleta dados bancários do usuário, através da
instalação de programas spyware que são ativados quando sites de Internet
Banking são acessados. É similar ao Trojan Spy porém com objetivos mais
específicos.
4.5.5.6 Rootkit
Rootkit13 é um conjunto de programas e técnicas que permite

esconder e assegurar a presença de um invasor ou de outro código malicioso em um
computador comprometido.
O conjunto de programas e técnicas fornecido pelos rootkits pode ser usado para:
• remover evidências em arquivos de logs;
• instalar outros códigos maliciosos, como backdoors, para assegurar o acesso

futuro ao computador infectado;
• esconder atividades e informações, como arquivos, diretórios, processos,

chaves de registro, conexões de rede etc;
• mapear potenciais vulnerabilidades em outros computadores, por meio de

varreduras na rede;
• capturar informações da rede onde o computador comprometido está

localizado, pela interceptação de tráfego.
13
O termo rootkit origina-se da junção das palavras “root” (que corresponde à conta de superusuário ou
administrador do computador em sistemas Unix) e “kit” (que corresponde ao conjunto de programas usados
para manter os privilégios de acesso desta conta).
É muito importante ressaltar que o nome rootkit não indica que os programas e as
técnicas que o compõe são usadas para obter acesso privilegiado a um computador,
mas sim para mantê-lo.
Rootkits inicialmente eram usados por atacantes que, após invadirem um computador,
os instalavam para manter o acesso privilegiado, sem precisar recorrer novamente aos
métodos utilizados na invasão, e para esconder suas atividades do responsável e/ou
dos usuários do computador. Apesar de ainda serem bastante usados por atacantes, os
rootkits atualmente têm sido também utilizados e incorporados por outros códigos
maliciosos para ficarem ocultos e não serem detectados pelo usuário e nem por
mecanismos de proteção.
Há casos de rootkits instalados propositalmente por empresas distribuidoras de CDs de

música, sob a alegação de necessidade de proteção aos direitos autorais de suas obras.
A instalação nestes casos costumava ocorrer de forma automática, no momento em que
um dos CDs distribuídos contendo o código malicioso era inserido e executado. É
importante ressaltar que estes casos constituem uma séria ameaça à segurança do
computador, pois os rootkits instalados, além de comprometerem a privacidade do
usuário, também podem ser reconfigurados e utilizados para esconder a presença e os
arquivos inseridos por atacantes ou por outros códigos maliciosos.
4.5.5.7 Dicas gerais para proteção de códigos maliciosos

Para manter o seu computador livre da ação dos códigos maliciosos existe um conjunto
de medidas preventivas que você precisa adotar. Essas medidas incluem manter os
programas instalados com as versões mais recentes e com todas as atualizações
disponíveis aplicadas e usar mecanismos de segurança, como antimalware e firewall
pessoal.
Além disso, há alguns cuidados que você e todos que usam o seu computador devem
tomar sempre que forem manipular arquivos. Novos códigos maliciosos podem surgir,
a velocidades nem sempre acompanhadas pela capacidade de atualização dos
mecanismos de segurança.
4.5.5.8 Resumo comparativo

Cada tipo de código malicioso possui características próprias que o define e o diferencia
dos demais tipos, como forma de obtenção, forma de instalação, meios usados para
propagação e ações maliciosas mais comuns executadas nos computadores infectados.
Para facilitar a classificação e a conceituação, a tabela abaixo apresenta um resumo
comparativo das características de cada tipo.
É importante ressaltar, entretanto, que definir e identificar essas características têm se
tornado tarefas cada vez mais difíceis, devido às diferentes classificações existentes e
ao surgimento de variantes que mesclam características dos demais códigos. Desta
forma, o resumo apresentado na tabela não é definitivo e baseia-se nas definições
apresentadas anteriormente.
Resumo comparativo entre os códigos maliciosos:
Tabela 4 – Códigos
4.5.6 Spam
Spam14 é o termo usado para se referir aos e-

mails não solicitados, que geralmente são enviados para um grande número de pessoas.
Quando este tipo de mensagem possui conteúdo exclusivamente comercial também é
referenciado como UCE (Unsolicited Commercial E-mail).
O spam em alguns pontos se assemelha a outras formas de propaganda, como a carta

colocada na caixa de correio, o panfleto recebido na esquina e a ligação telefônica
ofertando produtos. Porém, o que o difere é justamente o que o torna tão atraente e
motivante para quem o envia (spammer): ao passo que nas demais formas o remetente
precisa fazer algum tipo de investimento, o spammer necessita investir muito pouco,
ou até mesmo nada, para alcançar os mesmos objetivos e em uma escala muito maior.
Desde o primeiro spam registrado e batizado como tal, em 1994, essa prática tem
evoluído, acompanhando o desenvolvimento da Internet e de novas aplicações e
tecnologias. Atualmente, o envio de spam é uma prática que causa preocupação, tanto
pelo aumento desenfreado do volume de mensagens na rede, como pela natureza e
pelos objetivos destas mensagens.
Spams estão diretamente associados a ataques à

segurança da Internet e do usuário, sendo um dos
grandes responsáveis pela propagação de códigos
maliciosos, disseminação de golpes e venda ilegal de
produtos.
Algumas das formas como você pode ser afetado pelos problemas causados pelos spams
são:
14
Para mais detalhes acesse o site Antispam.br, http://www.antispam.br/, mantido pelo Comitê Gestor da
Internet no Brasil (CGI.br), que constitui uma fonte de referência sobre o spam e tem o compromisso de
informar usuários e administradores de redes sobre as implicações destas mensagens e as formas de proteção
e de combate existentes.
Perda de mensagens importantes: devido ao grande volume de spam recebido, você
corre o risco de não ler mensagens importantes, lê-las com atraso ou apagá-las por
engano.
Conteúdo impróprio ou ofensivo: como grande parte dos spams são enviados para
conjuntos aleatórios de endereços de e-mail, é bastante provável que você receba
mensagens cujo conteúdo considere impróprio ou ofensivo.
Gasto desnecessário de tempo: para cada spam recebido, é necessário que você
gaste um tempo para lê-lo, identificá-lo e removê-lo da sua caixa postal, o que pode
resultar em gasto desnecessário de tempo e em perda de produtividade.
Não recebimento de e-mails: caso o número de spams recebidos seja grande e você
utilize um serviço de e-mail que limite o tamanho de caixa postal, você corre o risco de
lotar a sua área de e-mail e, até que consiga liberar espaço, ficará impedido de receber
novas mensagens.
Classificação errada de mensagens: caso utilize sistemas de filtragem com regras

antispam ineficientes, você corre o risco de ter mensagens legítimas classificadas como
spam e que, de acordo com as suas configurações, podem ser apagadas, movidas para
quarentena ou redirecionadas para outras pastas de e-mail.
Independente do tipo de acesso à Internet usado, é o

destinatário do spam quem paga pelo envio da mensagem.
Os provedores, para tentar minimizar os problemas,
provisionam mais recursos computacionais e os custos
derivados acabam sendo transferidos e incorpora dos ao valor
mensal que os usuários pagam.
Alguns dos problemas relacionados a spam que provedores e empresas costumam

enfrentar são:
Impacto na banda: o volume de tráfego gerado pelos spams faz com que seja
necessário aumentar a capacidade dos links de conexão com a Internet.
Má utilização dos servidores: boa parte dos recursos dos servidores de e-mail, como
tempo de processamento e espaço em disco, são consumidos no tratamento de
mensagens não solicitadas.
Inclusão em listas de bloqueio: um provedor que tenha usuários envolvidos em

casos de envio de spam pode ter a rede incluída em listas de bloqueio, o que pode
prejudicar o envio de e-mails por parte dos demais usuários e resultar em perda de
clientes.
Investimento extra em recursos: os problemas gerados pelos spams fazem com que
seja necessário aumentar os investimentos, para a aquisição de equipamentos e
sistemas de filtragem e para a contratação de mais técnicos especializados na sua
operação.
Os spammers utilizam diversas técnicas para coletar endereços de e-mail, desde a

compra de bancos de dados até a produção de suas próprias listas, geradas a partir de:
Ataques de dicionário: consistem em formar endereços de e-mail a partir de listas de

nomes de pessoas, de palavras presentes em dicionários e/ou da combinação de
caracteres alfanuméricos.
Códigos maliciosos: muitos códigos maliciosos são projetados para varrer o

computador infectado em busca de endereços de e-mail que, posteriormente, são
repassados para os spammers.
Harvesting: consiste em coletar endereços de e-mail por meio de varreduras em

páginas Web e arquivos de listas de discussão, entre outros. Para tentar combater esta
técnica, muitas páginas Web e listas de discussão apresentam os endereços de forma
ofuscada (por exemplo, substituindo o “@” por “(at)” e os pontos pela palavra “dot”).
Infelizmente, tais substituições são previstas por vários dos programas que
implementam esta técnica.
Após efetuarem a coleta, os spammers procuram confirmar

a existência dos endereços de e-mail e, para isto, costumam
se utilizar de artifícios, como:
• enviar mensagens para os endereços coletados e, com base

nas respostas recebidas dos servidores de e-mail, identificar quais endereços
são válidos e quais não são;
• incluir no spam um suposto mecanismo para a remoção da lista de e-mails,
como um link ou um endereço de e-mail (quando o usuário solicita a remoção,
na verdade está confirmando para o spammer que aquele endereço de e-mail
é válido e realmente utilizado);
• incluir no spam uma imagem do tipo Web bug, projetada para monitorar o
acesso a uma página Web ou e-mail (quando o usuário abre o spam, o Web
bug é acessado e o spammer recebe a confirmação que aquele endereço de
e-mail é válido).
4.5.6.1 Dicas gerais para proteção de spam
É muito importante que você saiba como identificar os
spams, para poder detectá-los mais facilmente e agir
adequadamente. As principais características15 dos spams
são:
Apresentam cabeçalho suspeito: o cabeçalho do e-mail

aparece incompleto, por exemplo, os campos de remetente e/ou destinatário aparecem
vazios ou com apelidos/nomes genéricos, como “amigo@” e “suporte@”.
Apresentam no campo Assunto (Subject) palavras com grafia errada ou

suspeita: a maioria dos filtros antispam utiliza o conteúdo deste campo para barrar e-
mails com assuntos considerados suspeitos. No entanto, os spammers adaptam-se e
tentam enganar os filtros colocando neste campo conteúdos enganosos, como ‘‘vi@gra”
(em vez de “viagra”).
Apresentam no campo Assunto textos alarmantes ou vagos: na tentativa de

confundir os filtros antispam e de atrair a atenção dos usuários, os spammers costumam
colocar textos alarmantes, atraentes ou vagos demais, como “Sua senha está inválida”,
“A informação que você pediu” e “Parabéns”.
Oferecem opção de remoção da lista de divulgação: alguns spams tentam justificar

o abuso, alegando que é possível sair da lista de divulgação, clicando no endereço anexo
ao e-mail. Este artifício, porém, além de não retirar o seu endereço de e-mail da lista,
também serve para validar que ele realmente existe e que é lido por alguém.
Prometem que serão enviados “uma única vez”: ao alegarem isto, sugerem que
não é necessário que você tome alguma ação para impedir que a mensagem seja
novamente enviada.
Baseiam-se em leis e regulamentações inexistentes: muitos spams tentam

embasar o envio em leis e regulamentações brasileiras referentes à prática de spam
que, até o momento de escrita desta Cartilha, não existem.
Alguns cuidados que você deve tomar para tentar reduzir a quantidade de spams
recebidos são:
15
Vale ressaltar que nem todas essas características podem estar presentes ao mesmo tempo, em um mesmo
spam. Da mesma forma, podem existir spams que não atendam às propriedades citadas, podendo,
eventualmente, ser um novo tipo.
• procure filtrar as mensagens indesejadas, por meio de programas instalados em
servidores ou em seu computador e de sistemas integrados a Webmails e leitores
de e-mails. É interessante consultar o seu provedor de e-mail, ou o administrador
de sua rede, para verificar os recursos existentes e como usá-los;
• alguns Webmails usam filtros baseados em “tira-teima”, onde é exigido do
remetente a confirmação do envio (após confirmá-la, ele é incluído em uma lista
de remetentes autorizados e, a partir daí, pode enviar e-mails livremente). Ao
usar esses sistemas, procure autorizar previamente os remetentes desejáveis,
incluindo fóruns e listas de discussão, pois nem todos confirmam o envio e,
assim, você pode deixar de receber mensagens importantes;
• muitos filtros colocam as mensagens classificadas como spam em quarentena. É
importante que você, de tempos em tempos, verifique esta pasta, pois podem
acontecer casos de falsos positivos e mensagens legítimas virem a ser
classificadas como spam. Caso você, mesmo usando filtros, receba um spam,
deve classificá-lo como tal, pois estará ajudando a treinar o filtro;
• seja cuidadoso ao fornecer seu endereço de e-mail. Existem situações onde não
há motivo para que o seu e-mail seja fornecido. Ao preencher um cadastro, por
exemplo, pense se é realmente necessário fornecer o seu e-mail e se você deseja
receber mensagens deste local;
• fique atento a opções pré-selecionadas. Em alguns formulários ou cadastros
preenchidos pela Internet, existe a pergunta se você quer receber e-mails, por
exemplo, sobre promoções e lançamentos de produtos, cuja resposta já vem
marcada como afirmativa. Fique atento a esta questão e desmarque-a, caso não
deseje receber este tipo de mensagem;
• não siga links recebidos em spams e não responda mensagens deste tipo (estas
ações podem servir para confirmar que seu e-mail é válido);
• desabilite a abertura de imagens em e-mails HTML (o fato de uma imagem ser
acessada pode servir para confirmar que a mensagem foi lida);
• crie contas de e-mail secundárias e forneça-as em locais onde as chances de
receber spam são grandes, como ao preencher cadastros em lojas e em listas de
discussão;
• utilize as opções de privacidade das redes sociais (algumas redes permitem
esconder o seu endereço de e-mail ou restringir as pessoas que terão acesso a
ele);
• respeite o endereço de e-mail de outras pessoas. Use a opção de “Bcc:” ao enviar
e-mail para grandes quantidades de pessoas. Ao encaminhar mensagens,
apague a lista de antigos destinatários, pois mensagens reencaminhadas podem
servir como fonte de coleta para spammers.
4.5.7 Contas e Senhas
Uma conta de usuário, também chamada de

“nome de usuário”, “nome de login” e username, corresponde à identificação única de
um usuário em um computador ou serviço. Por meio das contas de usuário é possível
que um mesmo computador ou serviço seja compartilhado por diversas pessoas, pois
permite, por exemplo, identificar unicamente cada usuário, separar as configurações
específicas de cada um e controlar as permissões de acesso.
A sua conta de usuário é de conhecimento geral e é o que permite a sua identificação.

Ela é, muitas vezes, derivada do seu próprio nome, mas pode ser qualquer sequência
de caracteres que permita que você seja identificado unicamente, como o seu endereço
de e-mail. Para garantir que ela seja usada apenas por você, e por mais ninguém, é que
existem os mecanismos de autenticação.
Existem três grupos básicos de mecanismos de autenticação, que se utilizam de: aquilo
que você é (informações biométricas, como a sua impressão digital, a palma da sua
mão, a sua voz e o seu olho), aquilo que apenas você possui (como seu cartão de senhas
bancárias e um token gerador de senhas) e, finalmente, aquilo que apenas você sabe
(como perguntas de segurança e suas senhas).
Uma senha, ou password, serve para autenticar uma conta, ou seja, é usada no
processo de verificação da sua identidade, assegurando que você é realmente quem diz
ser e que possui o direito de acessar o recurso em questão. É um dos principais
mecanismos de autenticação usados na Internet devido, principalmente, a simplicidade
que possui.
Se uma outra pessoa souber a sua conta de usuário e tiver acesso à sua senha ela
poderá usá-las para se passar por você na Internet e realizar ações em seu nome, como:
• acessar a sua conta de correio eletrônico e ler seus e-mails, enviar mensagens
de spam e/ou contendo phishing e códigos maliciosos, furtar sua lista de contatos
e pedir o reenvio de senhas de outras contas para este endereço de e-mail (e
assim conseguir acesso a elas);
• acessar o seu computador e obter informações sensíveis nele armazenadas,
como senhas e números de cartões de crédito;
• utilizar o seu computador para esconder a real identidade desta pessoa (o
invasor) e, então, desferir ataques contra computadores de terceiros;
• acessar sites e alterar as configurações feitas por você, de forma a tornar
públicas informações que deveriam ser privadas;
• acessar a sua rede social e usar a confiança que as pessoas da sua rede de
relacionamento depositam em você para obter informações sensíveis ou para o
envio de boatos, mensagens de spam e/ou códigos maliciosos.
4.5.7.1 Uso seguro de contas e senhas

Algumas das formas como a sua senha pode ser descoberta são:
• ao ser usada em computadores infectados. Muitos códigos maliciosos, ao infectar

um computador, armazenam as teclas digitadas (inclusive senhas), espionam o
teclado pela webcam (caso você possua uma e ela esteja apontada para o teclado)
e gravam a posição da tela onde o mouse foi clicado);
• ao ser usada em sites falsos. Ao digitar a sua senha em um site falso, achando
que está no site verdadeiro, um atacante pode armazená-la e, posteriormente,
usá-la para acessar o site verdadeiro e realizar operações em seu nome;
• por meio de tentativas de adivinhação;
• ao ser capturada enquanto trafega na rede, sem estar criptografada;
• por meio do acesso ao arquivo onde a senha foi armazenada caso ela não tenha
sido gravada de forma criptografada;
• com o uso de técnicas de engenharia social, como forma a persuadi-lo a entregá-
la voluntariamente;
• pela observação da movimentação dos seus dedos no teclado ou dos cliques do
mouse em teclados virtuais.
Cuidados a serem tomados ao usar suas contas e senhas:
• certifique-se de não estar sendo observado ao digitar as suas senhas;

• não forneça as suas senhas para outra pessoa, em hipótese alguma;
• certifique-se de fechar a sua sessão ao acessar sites que requeiram o uso de
senhas. Use a opção de sair (logout), pois isto evita que suas informações sejam
mantidas no navegador;
• elabore boas senhas;
• altere as suas senhas sempre que julgar necessário;
• não use a mesma senha para todos os serviços que acessa;
• ao usar perguntas de segurança para facilitar a recuperação de senhas, evite
escolher questões cujas respostas possam ser facilmente adivinhadas);
• certifique-se de utilizar serviços criptografados quando o acesso a um site envolver
o fornecimento de senha;
• procure manter sua privacidade, reduzindo a quantidade de informações que
possam ser coletadas sobre você, pois elas podem ser usadas para adivinhar a
sua senha, caso você não tenha sido cuidadoso ao elaborá-la;
• mantenha a segurança do seu computador;
• seja cuidadoso ao usar a sua senha em computadores potencialmente infectados
ou comprometidos. Procure, sempre que possível, utilizar opções de navegação
anônima.
4.5.7.2 Elaboração de senhas

Uma senha boa, bem elaborada, é aquela que é difícil de ser descoberta (forte) e fácil
de ser lembrada. Não convém que você crie uma senha forte se, quando for usá-la, não
conseguir recordá-la. Também não convém que você crie uma senha fácil de ser
lembrada se ela puder ser facilmente descoberta por um atacante.
Alguns elementos que você não deve usar na elaboração de suas senhas são:
Qualquer tipo de dado pessoal: evite nomes, sobrenomes, contas de usuário,

números de documentos, placas de carros, números de telefones e datas16 (estes dados
podem ser facilmente obtidos e usados por pessoas que queiram tentar se autenticar
como você).
Sequencias de teclado: evite senhas associadas à proximidade entre os caracteres no

teclado, como “1qaz2wsx” e “QwerTAsdfG”, pois são bastante conhecidas e podem ser
facilmente observadas ao serem digitadas.
Palavras que façam parte de listas: evite palavras presentes em listas publicamente
conhecidas, como nomes de músicas, times de futebol, personagens de filmes,
dicionários de diferentes idiomas, etc. Existem programas que tentam descobrir senhas
combinando e testando estas palavras e que, portanto, não devem ser usadas.
Alguns elementos que você deve usar na elaboração de suas senhas são:
Números aleatórios: quanto mais ao acaso forem os números usados melhor,

principalmente em sistemas que aceitem exclusivamente caracteres numéricos.
16
Qualquer data que possa estar relacionada a você, como a data de seu aniversário ou de seus familiares.
Grande quantidade de caracteres: quanto mais longa for a senha mais difícil será
descobri-la. Apesar de senhas longas parecerem, a princípio, difíceis de serem digitadas,
com o uso frequente elas acabam sendo digitadas facilmente.
Diferentes tipos de caracteres: quanto mais “bagunçada” for a senha mais difícil será
descobri-la.
Procure misturar caracteres, como números, sinais de pontuação e letras maiúsculas e

minúsculas. O uso de sinais de pontuação pode dificultar bastante que a senha seja
descoberta, sem necessariamente torná-la difícil de ser lembrada.
Algumas dicas17 práticas que você pode usar na elaboração de boas senhas são:
Selecione caracteres de uma frase: baseie-se em uma frase e selecione a primeira,

a segunda ou a última letra de cada palavra. Exemplo: com a frase “O Cravo brigou com
a Rosa debaixo de uma sacada” você pode gerar a senha “?OCbcaRddus” (o sinal de
interrogação foi colocado no início para acrescentar um símbolo à senha).
Utilize uma frase longa: escolha uma frase longa, que faça sentido para você, que
seja fácil de ser memorizada e que, se possível, tenha diferentes tipos de caracteres.
Evite citações comuns (como ditados populares) e frases que possam ser diretamente
ligadas à você (como o refrão de sua música preferida). Exemplo: se quando criança
você sonhava em ser astronauta, pode usar como senha “1 dia ainda verei os anéis de
Saturno!!!”.
Faca substituições de caracteres: invente um padrão de substituição baseado, por

exemplo, na semelhança visual (“w” e “vv”) ou de fonética (“ca” e “k”) entre os
caracteres. Crie o seu próprio padrão pois algumas trocas já são bastante ´obvias.
Exemplo: duplicando as letras “s” e “r”, substituindo “o” por “0” (número zero) e usando
a frase “Sol, astro-rei do Sistema Solar” você pode gerar a senha “SS0l, asstrr0-rrei d0
SSisstema SS0larr”.
Existem serviços que permitem que você teste a complexidade de uma senha e que, de
acordo com critérios, podem classificá-la como sendo, por exemplo, “muito fraca”,
“fraca”, “forte” ou “muito forte”. Ao usar estes serviços é importante ter em mente que,
mesmo que uma senha tenha sido classificada como “muito forte”, pode ser que ela não
seja uma boa senha caso contenha dados pessoais que não são de conhecimento do
serviço, mas que podem ser de conhecimento de um atacante.
17
As senhas e os padrões usados para ilustrar as dicas, tanto nesta como nas versões anteriores da Cartilha,
não devem ser usados pois já são de conhecimento público. Você deve adaptar estas dicas e criar suas
próprias senhas e padrões.
Apenas você é capaz de definir se a senha elaborada é realmente boa!
4.5.7.3 Alteração de senhas

Você deve alterar a sua senha imediatamente sempre que desconfiar que ela pode ter
sido descoberta ou que o computador no qual você a utilizou pode ter sido invadido ou
infectado.
Algumas situações onde você deve alterar rapidamente a sua senha são:
• se um computador onde a senha esteja armazenada tenha sido furtado ou

perdido;
• se usar um padrão para a formação de senhas e desconfiar que uma delas tenha
sido descoberta.
• Neste caso, tanto o padrão como todas as senhas elaboradas com ele devem ser
trocadas pois, com base na senha descoberta, um atacante pode conseguir inferir
as demais;
• se utilizar uma mesma senha em mais de um lugar e desconfiar que ela tenha
sido descoberta em algum deles. Neste caso, esta senha deve ser alterada em
todos os lugares nos quais é usada;
• Ao adquirir equipamentos acessíveis via rede, como roteadores Wi-Fi,
dispositivos bluetooth e modems ADSL (Asymmetric Digital Subscriber Line).
Muitos destes equipamentos são configurados de fábrica com senha padrão,
facilmente obtida em listas na Internet, e por isto, sempre que possível, deve
ser alterada.
Nos demais casos é importante que a sua senha seja alterada regularmente, como
forma de assegurar a confidencialidade. Não há como definir, entretanto, um período
ideal para que a troca seja feita, pois depende diretamente de quão boa ela é e de
quanto você a expõe (você a usa em computadores de terceiros? Você a usa para
acessar outros sites? Você mantém seu computador atualizado?).
Não convém que você troque a senha em períodos muito curtos (menos de um mês,
por exemplo) se, para conseguir se recordar, precisará elaborar uma senha fraca ou
anotá-la em um papel e colá-lo no monitor do seu computador. Períodos muito longos
(mais de um ano, por exemplo) também não são desejáveis pois, caso ela tenha sido
descoberta, os danos causados podem ser muito grandes.
4.5.7.4 Gerenciamento de contas e senhas
Você já pensou em quantas contas e senhas diferentes precisa memorizar e combinar
para acessar todos os serviços que utiliza e que exigem autenticação? Atualmente,
confiar apenas na memorização pode ser algo bastante arriscado.
Para resolver este problema muitos usuários acabam usando técnicas que podem ser
bastante perigosas e que, sempre que possível, devem ser evitadas. Algumas destas
técnicas e os cuidados que você deve tomar caso, mesmo ciente dos riscos, opte por
usá-las são:
Reutilizar as senhas: usar a mesma senha para acessar diferentes contas pode ser
bastante arriscado, pois basta ao atacante conseguir a senha de uma conta para
conseguir acessar as demais contas onde esta mesma senha foi usada.
• procure não usar a mesma senha para assuntos pessoais e profissionais;

• jamais reutilize senhas que envolvam o acesso a dados sensíveis, como as
usadas em Internet Banking ou e-mail.
Usar opções como “Lembre-se de mim” e “Continuar conectado”: o uso destas

opções faz com que informações da sua conta de usuário sejam salvas em cookies que
podem ser indevidamente coletados e permitam que outras pessoas se autentiquem
como você.
• use estas opções somente nos sites nos quais o risco envolvido é bastante baixo;
• jamais as utilize em computadores de terceiros.
Salvar as senhas no navegador Web: esta prática é bastante arriscada, pois caso as
senhas não estejam criptografadas com uma chave mestra, elas podem ser acessadas
por códigos maliciosos, atacantes ou outras pessoas que venham a ter acesso ao
computador.
• assegure-se de configurar uma chave mestra;

• seja bastante cuidadoso ao elaborar sua chave mestra, pois a segurança das
demais senhas depende diretamente da segurança dela;
• não esqueça sua chave mestra.
Para não ter que recorrer a estas técnicas ou correr o risco de esquecer suas
contas/senhas ou, pior ainda, ter que apelar para o uso de senhas fracas, você pode
buscar o auxílio de algumas das formas de gerenciamento disponíveis.
Uma forma bastante simples de gerenciamento é listar suas contas/senhas em um papel

e guardá-lo em um local seguro (como uma gaveta trancada). Neste caso, a segurança
depende diretamente da dificuldade de acesso ao local escolhido para guardar este papel
(de nada adianta colá-lo no monitor, deixá-lo embaixo do teclado ou sobre a mesa).
Veja que é preferível usar este método a optar pelo uso de senhas fracas pois,
geralmente, é mais fácil garantir que ninguém terá acesso físico ao local onde o papel
está guardado do que evitar que uma senha fraca seja descoberta na Internet.
Caso você considere este método pouco prático, pode optar por outras formas de
gerenciamento como as apresentadas a seguir, juntamente com alguns cuidados
básicos que você deve ter ao usá-las:
Criar grupos de senhas, de acordo com o risco envolvido: você pode criar senhas
únicas e bastante fortes e usá-las onde haja recursos valiosos envolvidos (por exemplo,
para acesso à Internet Banking ou e-mail). Outras senhas únicas, porém um pouco mais
simples, para casos nos quais o valor do recurso protegido é inferior (por exemplo, sites
de comércio eletrônico, desde que suas informações de pagamento, como número de
cartão de crédito, não sejam armazenadas para uso posterior) e outras simples e
reutilizadas para acessos sem risco (como o cadastro para baixar um determinado
arquivo).
• reutilize senhas apenas em casos nos quais o risco envolvido é bastante baixo.
Usar um programa gerenciador de contas/senhas: programas, como 1Password18

e KeePass19, permitem armazenar grandes quantidades de contas/senhas em um único
arquivo, acessível por meio de uma chave mestra.
• seja bastante cuidadoso ao elaborar sua chave mestra, pois a segurança das
demais senhas depende diretamente da segurança dela;
• não esqueça sua chave mestra (sem ela, não há como você acessar os arquivos
que foram criptografados, ou seja, todas as suas contas/senhas podem ser
perdidas);
• assegure-se de obter o programa gerenciador de senhas de uma fonte confiável
e de sempre mantê-lo atualizado;
• evite depender do programa gerenciador de senhas para acessar a conta do e-
mail de recuperação.
Gravar em um arquivo criptografado: você pode manter um arquivo criptografado

em seu computador e utilizá-lo para cadastrar manualmente todas as suas contas e
senhas.
18
1Password - https://agilebits.com/onepassword.
19
KeePass - http://keepass.info/.
• assegure-se de manter o arquivo sempre criptografado;
• assegure-se de manter o arquivo atualizado (sempre que alterar uma senha que
esteja cadastrada no arquivo, você deve lembrar de atualizá-lo);
• faça backup do arquivo de senhas, para evitar perdê-lo caso haja problemas em
seu computador.
4.5.7.5 Recuperação de senhas

Mesmo que você tenha tomado cuidados para elaborar a sua senha e utilizado
mecanismos de gerenciamento, podem ocorrer casos, por inúmeros motivos, de você
perdê-la. Para restabelecer o acesso perdido, alguns sistemas disponibilizam recursos
como:
• permitir que você responda a uma pergunta de segurança previamente

determinada por você;
• enviar a senha, atual ou uma nova, para o e-mail de recuperação previamente
definido por você;
• confirmar suas informações cadastrais, como data de aniversário, país de
origem, nome da mãe, números de documentos, etc.;
• apresentar uma dica de segurança previamente cadastrada por você;
• enviar por mensagem de texto para um número de celular previamente
cadastrado por você.
Todos estes recursos podem ser muito uteis, desde que cuidadosamente utilizados, pois
assim como podem permitir que você recupere um acesso, também podem ser usados
por atacantes que queiram se apossar da sua conta. Alguns cuidados que você deve
tomar ao usá-los são:
• cadastre uma dica de segurança que seja vaga o suficiente para que ninguém
mais consiga descobri-la e clara o bastante para que você consiga entendê-la.
Exemplo: se sua senha for “SS0l, asstrr0-rrei d0 SSisstema SS0larr”5, pode
cadastrar a dica “Uma das notas musicais”, o que o fará se lembrar da palavra
“Sol” e se recordar da senha;
• seja cuidadoso com as informações que você disponibiliza em blogs e redes
sociais, pois podem ser usadas por atacantes para tentar confirmar os seus dados
cadastrais, descobrir dicas e responder perguntas de segurança;
• evite cadastrar perguntas de segurança que possam ser facilmente descobertas,
como o nome do seu cachorro ou da sua mãe. Procure criar suas próprias
perguntas e, de preferência, com respostas falsas. Exemplo: caso você tenha
medo de altura, pode criar a pergunta “Qual seu esporte favorito?” e colocar
como resposta “paraquedismo” ou “alpinismo”;
• ao receber senhas por e-mail procure alterá-las o mais rápido possível. Muitos
sistemas enviam as senhas em texto claro, ou seja, sem nenhum tipo de
criptografia e elas podem ser obtidas caso alguém tenha acesso à sua conta de
e-mail ou utilize programas para interceptação de tráfego;
• procure cadastrar um e-mail de recuperação que você acesse regularmente, para
não esquecer a senha desta conta também;
• procure não depender de programas gerenciadores de senhas para acessar o e-
mail de recuperação (caso você esqueça sua chave mestra ou, por algum outro
motivo, não tenha mais acesso às suas senhas, o acesso ao e-mail de
recuperação pode ser a única forma de restabelecer os acessos perdidos);
• preste muita atenção ao cadastrar o e-mail de recuperação para não digitar um
endereço que seja inválido ou pertencente a outra pessoa. Para evitar isto,
muitos sites enviam uma mensagem de confirmação assim que o cadastro é
realizado. Tenha certeza de recebê-la e de que as eventuais instruções de
verificação tenham sido executadas.
4.5.8 Uso seguro da Internet
A Internet traz inúmeras possibilidades de uso, porém para aproveitar cada uma delas
de forma segura é importante que alguns cuidados sejam tomados. Além disto, como
grande parte das ações realizadas na Internet ocorrem por intermédio de navegadores
Web é igualmente importante que você saiba reconhecer os tipos de conexões
existentes e verificar a confiabilidade dos certificados digitais antes de aceitá-los.
Alguns dos principais usos e cuidados que você deve ter ao utilizar a Internet são:
Ao usar navegadores Web:
• mantenha-o atualizado, com a versão mais recente e com todas as atualizações

aplicadas;
• configure-o para verificar automaticamente atualizações, tanto dele próprio como
de complementos que estejam instalados;
• permita a execução de programas Java e JavaScript, porém assegure-se de utilizar
complementos, como o NoScript (disponível para alguns navegadores), para
liberar gradualmente a execução, conforme necessário, e apenas em sites
confiáveis;
• permita que programas ActiveX sejam executados apenas quando vierem de sites
conhecidos e confiáveis;
• seja cuidadoso ao usar cookies caso deseje ter mais privacidade;
• caso opte por permitir que o navegador grave as suas senhas, tenha certeza de
cadastrar uma chave mestra e de jamais esquecê-la;
• mantenha seu computador seguro.
Ao usar programas leitores de e-mails:
• mantenha-o atualizado, com a versão mais recente e com as todas atualizações

aplicadas;
• configure-o para verificar automaticamente atualizações, tanto dele próprio como
de complementos que estejam instalados;
• não utilize-o como navegador Web (desligue o modo de visualização no formato
HTML);
• seja cuidadoso ao usar cookies caso deseje ter mais privacidade;
• seja cuidadoso ao clicar em links presentes em e-mails (se você realmente quiser
acessar a página do link, digite o endereço diretamente no seu navegador Web);
• desconfie de arquivos anexados à mensagem mesmo que tenham sido enviados
por pessoas ou instituições conhecidas (o endereço do remetente pode ter sido
falsificado e o arquivo anexo pode estar infectado);
• antes de abrir um arquivo anexado à mensagem tenha certeza de que ele não
apresenta riscos, verificando-o com ferramentas antimalware;
• verifique se seu sistema operacional está configurado para mostrar a extensão dos
arquivos anexados;
• desligue as opções que permitem abrir ou executar automaticamente arquivos ou
programas anexados às mensagens;
• desligue as opções de execução de JavaScript e de programas Java;
• habilite, se possível, opções para marcar mensagens suspeitas de serem fraude;
• use sempre criptografia para conexão entre seu leitor de e-mails e os servidores
de e-mail do seu provedor;
Ao acessar Webmails:
• seja cuidadoso ao acessar a página de seu Webmail para não ser vítima de
phishing. Digite a URL diretamente no navegador e tenha cuidado ao clicar em
links recebidos por meio de mensagens eletrônicas;
• não utilize um site de busca para acessar seu Webmail (não há necessidade disto,
já que URLs deste tipo são, geralmente, bastante conhecidas);
• seja cuidadoso ao elaborar sua senha de acesso ao Webmail para evitar que ela
seja descoberta por meio de ataques de força bruta;
• configure opções de recuperação de senha, como um endereço de e-mail
alternativo, uma questão de segurança e um número de telefone celular;
• evite acessar seu Webmail em computadores de terceiros e, caso seja realmente
necessário, ative o modo de navegação anônima;
• certifique-se de utilizar conexões seguras sempre que acessar seu Webmail,
especialmente ao usar redes Wi-Fi públicas. Se possível configure para que, por
padrão, sempre seja utilizada conexão via “https”;
Ao efetuar transações bancárias e acessar sites de Internet Banking:
• certifique-se da procedência do site e da utilização de conexões seguras ao

realizar transações bancárias via Web;
• somente acesse sites de instituições bancárias digitando o endereço diretamente
no navegador Web, nunca clicando em um link existente em uma página ou em
uma mensagem;
• não utilize um site de busca para acessar o site do seu banco (não há necessidade
disto, já que URLs deste tipo são, geralmente, bastante conhecidas);
• ao acessar seu banco, forneça apenas uma posição do seu cartão de segurança
(desconfie caso, em um mesmo acesso, seja solicitada mais de uma posição);
• não forneça senhas ou dados pessoais a terceiros, especialmente por telefone;
• desconsidere mensagens de instituições bancárias com as quais você não tenha
relação, principalmente aquelas que solicitem dados pessoais ou a instalação de
módulos de segurança;
• sempre que ficar em dúvida, entre em contato com a central de relacionamento
do seu banco ou diretamente com o seu gerente;
• não realize transações bancárias por meio de computadores de terceiros ou redes
Wi-Fi públicas;
• verifique periodicamente o extrato da sua conta bancária e do seu cartão de
crédito e, caso detecte algum lançamento suspeito, entre em contato
imediatamente com o seu banco ou com a operadora do seu cartão;
• antes de instalar um modulo de segurança, de qualquer Internet Banking,
certifique-se de que o autor modulo é realmente a instituição em questão;
Ao efetuar transações comerciais e acessar sites de comércio eletrônico:
• certifique-se da procedência do site e da utilização de conexões seguras ao

realizar compras e pagamentos via Web;
• somente acesse sites de comércio eletrônico digitando o endereço diretamente
no navegador Web, nunca clicando em um link existente em uma página ou em
uma mensagem;
• não utilize um site de busca para acessar o site de comércio eletrônico que você
costuma acessar (não há necessidade disto, já que URLs deste tipo são,
geralmente, bastante conhecidas);
• pesquise na Internet referências sobre o site antes de efetuar uma compra;
• desconfie de preços muito abaixo dos praticados no mercado;
• não realize compras ou pagamentos por meio de computadores de terceiros ou
redes Wi-Fi Públicas;
• sempre que ficar em dúvida, entre em contato com a central de relacionamento
da empresa onde está fazendo a compra;
• verifique periodicamente o extrato da sua conta bancária e do seu cartão de
crédito e, caso detecte algum lançamento suspeito, entre em contato
imediatamente com o seu banco ou com a operadora do seu cartão de crédito;
• ao efetuar o pagamento de uma compra, nunca forneça dados de cartão de
crédito em sites sem conexão segura ou em e-mails não criptografados;
4.5.8.1 Segurança em conexões Web

Ao navegar na Internet, é muito provável que a grande maioria dos acessos que você
realiza não envolva o tráfego de informações sigilosas, como quando você acessa sites
de pesquisa ou de notícias.
Esses acessos são geralmente realizados pelo protocolo HTTP, onde as informações
trafegam em texto claro, ou seja, sem o uso de criptografia.
O protocolo HTTP, além de não oferecer criptografia, também não garante que os dados
não possam ser interceptados, coletados, modificados ou retransmitidos e nem que você
esteja se comunicando exatamente com o site desejado. Por estas características, ele
não é indicado para transmissões que envolvem informações sigilosas, como senhas,
números de cartão de crédito e dados bancários, e deve ser substituído pelo HTTPS, que
oferece conexões seguras.
O protocolo HTTPS utiliza certificados digitais para assegurar a identidade, tanto do site
de destino como a sua própria, caso você possua um. Também utiliza métodos
criptográficos e outros protocolos, como o SSL (Secure Sockets Layer) e o TLS
(Transport Layer Security), para assegurar a confidencialidade e a integridade das
informações.
Sempre que um acesso envolver a transmissão de informações sigilosas, é importante

certificar-se do uso de conexões seguras. Para isso, você deve saber como identificar o
tipo de conexão sendo realizada pelo seu navegador Web e ficar atento aos alertas
apresentados durante a navegação, para que possa, se necessário, tomar decisões
apropriadas.
►Tipos de conexão
Para facilitar a identificação do tipo de conexão em uso você pode buscar auxílio dos
mecanismos gráficos disponíveis nos navegadores Web1 mais usados atualmente. Estes
mecanismos, apesar de poderem variar de acordo com o fabricante de cada navegador,
do sistema operacional e da versão em uso, servem como um forte indício do tipo de
conexão sendo usada e podem orientá-lo a tomar decisões corretas.
De maneira geral, você vai se deparar com os seguintes tipos de conexões:
Conexão padrão: é a usada na maioria dos acessos realizados. Não provê requisitos
de segurança.
Alguns indicadores deste tipo de conexão, ilustrados na figura seguinte, são:
• o endereço do site começa com “http://”;

• em alguns navegadores, o tipo de protocolo usado (HTTP), por ser o padrão das
conexões, pode ser omitido na barra de endereços;
• um símbolo do site (logotipo) é apresentado próximo à barra de endereço e, ao
passar o mouse sobre ele, não é possível obter detalhes sobre a identidade do
site.
Figura 10 – Conexão padrão
Conexão segura: é a que deve ser utilizada quando dados sensíveis são transmitidos,
geralmente usada para acesso a sites de Internet Banking e de comércio eletrônico.
Provê autenticação, integridade e confidencialidade, como requisitos de segurança.
Alguns indicadores deste tipo de conexão, ilustrados na próxima figura, são:
• o endereço do site começa com “https://”;

• o desenho de um “cadeado fechado” é mostrado na barra de endereço e, ao
clicar sobre ele, detalhes sobre a conexão e sobre o certificado digital em uso
são exibidos;
• um recorte colorido (branco ou azul) com o nome do domínio do site é mostrado
ao lado da barra de endereço (à esquerda ou à direita) e, ao passar o mouse ou
clicar sobre ele, são exibidos detalhes sobre conexão e certificado digital em
uso20.
Figura 11 – Conexão segura
Conexão segura com EV SSL: provê os mesmos requisitos de segurança que a

conexão segura anterior, porém com maior grau de confiabilidade quanto à identidade
do site e de seu dono, pois utiliza certificados EV SSL. Além de apresentar indicadores
similares aos apresentados na conexão segura sem o uso de EV SSL, também introduz
um indicador próprio, ilustrado na figura a seguir, que é:
20
De maneira geral, as cores branco, azul e verde indicam que o site usa conexão segura. Ao passo que as
cores amarelo e vermelho indicam que pode haver algum tipo de problema relacionado ao certificado em uso.
• a barra de endereço e/ou o recorte são apresentados na cor verde e no recorte
é colocado o nome da instituição dona do site21.
Figura 12 – Conexão segura com EV SSL - 1
Outro nível de proteção de conexão usada na Internet envolve o uso de certificados auto
assinados e/ou cuja cadeia de certificação não foi reconhecida. Este tipo de conexão não
pode ser caracterizado como sendo totalmente seguro (e nem totalmente inseguro)
pois, apesar de prover integridade e confidencialidade, não provê autenticação, já que
não há garantias relativas ao certificado em uso.
Quando você acessa um site utilizando o protocolo HTTPS, mas seu navegador não
reconhece a cadeia de certificação, ele emite avisos como os descritos anteriormente.
Caso você, apesar dos riscos, opte por aceitar o certificado, a simbologia mostrada pelo
seu navegador será a ilustrada na figura abaixo. Alguns indicadores deste tipo de
conexão são:
• um cadeado com um “X” vermelho é apresentado na barra de endereço;

• a identificação do protocolo “https” é apresentado em vermelho e riscado;
• a barra de endereço muda de cor, ficando totalmente vermelha;
• um indicativo de erro do certificado é apresentado na barra de endereço;
• um recorte colorido com o nome do domínio do site ou da instituição (dona do
certificado) é mostrado ao lado da barra de endereço e, ao passar o mouse sobre
ele, é informado que uma exceção foi adicionada.
21
As cores azul e branco indicam que o site possui um certificado de validação de domínio (a entidade dona
do site detém o direito de uso do nome de domínio) e a cor verde indica que o site possui um certificado de
validação estendida (a entidade dona do site detém o direito de uso do nome de domínio em questão e
encontra-se legalmente registrada).
Certos sites fazem uso combinado, na mesma página Web, de conexão segura e não
segura. Neste caso, pode ser que o cadeado desapareça, que seja exibido um ícone
modificado (por exemplo, um cadeado com triangulo amarelo), que o recorte contendo
informações sobre o site deixe de ser exibido ou ainda haja mudança de cor na barra
de endereço, como ilustrado abaixo:
Mais detalhes sobre como reconhecer o tipo de conexão em uso podem ser obtidos em:
• Chrome - Como funcionam os indicadores de segurança do website (em

português): http://support.google.com/chrome/bin/answer.py?hl=pt-
BR&answer=95617
• Mozilla Firefox - How do I tell if my connection to a website is secure? (em inglês)
http://support.mozilla.org/en-US/kb/Site Identity Button
• Internet Explorer - Dicas para fazer transações online seguras (em português)
http://windows.microsoft.com/pt-BR/windows7/Tips-for-making-secure-
onlinetransaction-in-Internet-Explorer-9
• Safari - Using encryption and secure connections (em ingles)
http://support.apple.com/kb/HT2573
► Como verificar se um certificado digital é confiável

Para saber se um certificado é confiável, é necessário observar alguns requisitos, dentre
eles:
• se o certificado foi emitido por uma AC confiável (pertence a uma cadeia de

confiança reconhecida);
• se o certificado está dentro do prazo de validade;
• se o certificado não foi revogado pela AC emissora;
• se o dono do certificado confere com a entidade com a qual está se comunicando
(por exemplo: o nome do site).
Quando você tenta acessar um site utilizando conexão segura, normalmente seu
navegador já realiza todas estas verificações. Caso alguma delas falhe, o navegador
emite alertas semelhantes aos mostrados na figura abaixo:
Figura 15 – Falha na verificação da certificação de segurança
Em geral, alertas são emitidos em situações como:
• o certificado está fora do prazo de validade;

• o navegador não identificou a cadeia de certificação (dentre as possibilidades, o
certificado
• pode pertencer a uma cadeia não reconhecida, ser auto assinado ou o navegador
pode estar desatualizado e não conter certificados mais recentes de ACs);
• o endereço do site não confere com o descrito no certificado;
• o certificado foi revogado.
Ao receber os alertas do seu navegador você pode optar por:
Desistir da navegação: dependendo do navegador, ao selecionar esta opção você será

redirecionado para uma página padrão ou a janela do navegador será fechada.
Solicitar detalhes sobre o problema: ao selecionar esta opção, detalhes técnicos

serão mostrados e você pode usá-los para compreender o motivo do alerta e decidir
qual opção selecionar.
Aceitar os riscos: caso você, mesmo ciente dos riscos, selecione esta opção, a página
desejada será apresentada e, dependendo do navegador, você ainda terá a opção de
visualizar o certificado antes de efetivamente aceitá-lo e de adicionar uma exceção
(permanente ou temporária).
Caso você opte por aceitar os riscos e adicionar uma exceção, é importante que, antes
de enviar qualquer dado confidencial, verifique o conteúdo do certificado e observe:
• se o nome da instituição apresentado no certificado é realmente da instituição

que você deseja acessar. Caso não seja, este é um forte indício de certificado
falso;
• se as identificações de dono do certificado e da AC emissora são iguais. Caso
sejam, este é um forte indício de que se trata de um certificado auto assinado.
Observe que instituições financeiras e de comércio eletrônico sérias dificilmente
usam certificados deste tipo;
• se o certificado encontra-se dentro do prazo de validade. Caso não esteja,
provavelmente o certificado está expirado ou a data do seu computador não está
corretamente configurada.
De qualquer modo, caso você receba um certificado desconhecido ao acessar um site e

tenha alguma dúvida ou desconfiança, não envie qualquer informação para o site antes
de entrar em contato com a instituição que o mantém para esclarecer o ocorrido.
4.6 Avaliação da necessidade de capital para

cobertura dos riscos
A necessidade de capital para cobertura de riscos relevantes de uma instituição
financeira considera duas visões:
• Pilar I (visão regulatória ou capital regulatório) – as metodologias utilizadas são
definidas pelo Banco Central - abordagem padronizada - ou autorizada a
utilização de modelos internos;
• Pilar II (visão gerencial ou capital econômico) – as metodologias utilizadas são
definidas pela Instituição, sem a necessidade de prévia autorização do Bacen.
Nesse caso é o objeto de avaliação no processo de supervisão do Icaap, que
trataremos mais à frente.
A Diretoria de Gestão de Riscos - Diris é a estrutura responsável pela mensuração da

exigência de capital para cobertura de riscos no Banco, bem como pelo Processo Interno
de Avaliação da Adequação do Capital (Icaap).
O Icaap tem por objetivo: identificar e mensurar os riscos incorridos (cálculo da

necessidade de capital); avaliar a suficiência do capital para suportar tais riscos
(comparação entre o capital efetivamente mantido pela sua instituição e a sua
necessidade de capital), conforme objetivos estratégicos da Instituição; e contribuir
para o monitoramento da eficácia do gerenciamento de riscos e gestão dos negócios
frente à necessidade de capital.
O Icaap deve avaliar as estratégias para manutenção de capital e planejamento das

necessidades futuras de capital, em termos quantitativos e qualitativos, além das
estruturas e os processos vinculados à gestão de riscos e à gestão de capital.
O regulador estabeleceu, por meio da Circular Bacen nº 3.547 que avaliação e cálculo
da necessidade de capital deve abranger os seguintes riscos:
a) risco de crédito;
b) risco de mercado;
c) risco operacional;
d) risco de taxa de juros das operações não classificadas na carteira de negociação;
e) risco de crédito da contraparte;
f) risco de concentração.
Como boa prática de gestão e necessidade de atender à exigência regulatória, o Banco

deve avaliar a necessidade de capital para cobertura dos demais riscos relevantes a que
está exposto, considerando, no mínimo:
a) risco de liquidez;
b) risco de estratégia;
c) risco de reputação; e
d) risco socioambiental.
Adicionalmente, aos riscos descritos na norma do Regulador, o Banco avalia a
necessidade de capital e monitora outros riscos incorridos pelo Conglomerado
Prudencial, como:
a) risco de entidades fechadas de previdência complementar e de operadoras de

planos privados de saúde a funcionários (EFPPS);
b) risco de contágio;
c) risco de conformidade (compliance);
d) risco legal;
e) risco de modelo; e
f) risco residual.
5. CONTROLES INTERNOS EM INSTITUIÇÕES

FINANCEIRAS
5.1 Controles Internos – Uma Visão Geral
Controles Internos referem-se aos processos e às práticas pelas quais as organizações
procuram assegurar que todas as ações planejadas e aprovadas sejam executadas
adequadamente.
Visa a salvaguarda dos ativos, a exatidão e confiabilidade das informações gerenciais e

dos registros financeiros, a promoção da eficiência operacional e a aderência às políticas
da organização. Tem por finalidade contribuir para a realização dos objetivos
estratégicos e a perenidade da empresa.
Um sistema de controle interno bem concebido e aplicado, oferece segurança razoável,

mas não total, de que erros possam ser evitados, minimizados ou descobertos no curso
normal das atividades da empresa, de forma que possam ser prontamente corrigidos.
Os controles internos devem ser estabelecidos pela alta administração, envolver todos
os níveis hierárquicos e colaboradores, mostrar-se tangíveis e efetivos na prevenção de
riscos a que a organização está exposta e serem avaliados e aprimorados
permanentemente.
No Brasil, a Resolução CMN nº 2.554/98 tornou obrigatória às instituições financeiras a

implantação e implementação de controles internos efetivos e consistentes para as
operações realizadas; seus sistemas de informações financeiras, operacionais e
gerenciais; bem como pelo cumprimento das normas legais e regulamentares aplicáveis.
Posteriormente, a Comissão de Valores Mobiliários, ao publicar a Instrução CVM nº

480/09, incorporou exigências para que os diretores das empresas comentem sobre a
suficiência dos controles internos para assegurar a elaboração de demonstrações
financeiras confiáveis.
Entretanto, para produzir os resultados desejados, os controles internos buscam

proporcionar maior segurança às informações, aos negócios e processos operacionais
da organização por meio boas práticas de mercado, normas regulamentadoras e
direcionadores de trabalho.
5.2 Direcionadores de Controles Internos
5.2.1 COSO
Dentre outras ferramentas para auxílio na implementação e avaliação de controles
internos desenvolvidas por organismos internacionais, o Framework elaborado pelo
COSO (The Committee of Sponsoring Organizations of the Treadway Commission -
Comitê das Organizações Patrocinadoras) é o mais conhecido e também utilizado pelo
Banco do Brasil. Esse direcionador tornou-se referência mundial para ajudar empresas
e outras organizações a avaliar e aperfeiçoar seus sistemas de controle interno, sendo
que essa estrutura foi incorporada em políticas, normas e regulamentos adotados por
milhares de organizações para controlar melhor suas atividades, visando o cumprimento
dos objetivos estabelecidos.
O COSO apresenta a seguinte definição para controle interno:

O controle interno é um processo levado a efeito pela alta administração e por todos os
níveis hierárquicos da organização. Não é apenas um procedimento ou uma política
executada de tempos em tempos, mas deve funcionar continuamente em todos os
níveis.
A diretoria e a administração são responsáveis pelo estabelecimento de uma cultura

adequada, que facilite um processo de controles internos e pelo monitoramento
constante de sua eficácia. Entretanto, cada pessoa dentro da organização deve
participar do processo.
Apesar de ser um dos elementos do processo de gestão – planejamento, organização,

controle e execução – o controle interno proporciona uma garantia razoável, nunca uma
garantia absoluta, pois auxilia a entidade na consecução de seus objetivos, mas não
garante que eles serão atingidos.
As limitações dos controles internos podem ser assim resumidas:
• custo/benefício – todo controle tem um custo, que deve ser inferior à perda
decorrente da consumação do risco controlado;
• conluio entre empregados – da mesma maneira que as pessoas são responsáveis
pelos controles, essas pessoas podem valer-se de seus conhecimentos e
competências para burlar os controles, com objetivos ilícitos;
• eventos externos – esses eventos estão além do controle de qualquer
organização. Exemplo disso foram os atos terroristas do dia 11 de setembro de
2001, nos EUA.
• julgamento – decisões baseadas no julgamento humano podem não ser
assertivas e propiciar resultados abaixo do desejado.
• falhas – funcionários que substituem outros em suas atividades, podem não
desempenhar as tarefas de forma correta.
O relacionamento entre controle interno e os objetivos das organizações pode ser

observado por meio dos seguintes aspectos do conceito baseado no COSO:
a) Controles Internos:
• O controle interno é um processo. Num banco, ele é constituído de diversas

atividades, que são executadas repetitivamente.
• O controle interno é atribuição de todas as pessoas, de todos os níveis e

de todos os órgãos ou unidades de um banco.
• O controle interno é fundamental para que um banco atinja seus
objetivos. É realizado para que todos os demais processos, atividades,
operações e transações permaneçam sempre centralizados nos objetivos. Dessa
forma, evita-se que haja desvios em relação a esse foco, os quais quando
detectados devem ser prontamente corrigidos.
• O controle interno reduz os riscos de perdas e procura manter os ativos

de um banco num patamar apropriado de capacidade produtiva e de
liquidez. A experiência histórica dos bancos indica que suas operações correm
diversos riscos, tais como os riscos de crédito, os riscos de mercado, os riscos
operacionais e os de liquidez. Alguns desses riscos podem ocorrer
simultaneamente numa operação, o que exige do controle interno análises
completas e bastante abrangentes.
• O controle interno deve cuidar para que as demonstrações financeiras

do banco sejam confiáveis e preparadas em conformidade com as
normas contábeis geralmente aceitas. Ou seja, todas as transações
bancárias devem ser registradas e todos os registros contábeis das transações
devem ser reais, adequadamente valorizados e classificados, assim como
corretamente consolidados e publicados.
• Cumprir as leis e regulamentos externos e internos é obrigação de

qualquer empresa. Os bancos devem zelar, por exemplo, para que os seus
executivos recolham e paguem todos os tributos que incidem sobre as operações
bancárias, mesmo quando os impostos não os atinjam diretamente. Os bancos
são as empresas brasileiras mais fiscalizadas pelas autoridades, entre elas as
monetárias, tributárias, trabalhistas, previdenciárias etc. O cumprimento das leis
e normas emitidas por tais autoridades deve ser, portanto, uma atribuição
fundamental de qualquer banco.
b) Objetivos das organizações
Figura 16 – Cubo do COSO
Os Componentes do COSO
Em revisão realizada em 2013, tendo por base o documento original do COSO, foram
adicionados 17 princípios aos 5 componentes já existentes.
Esses componentes dependem da forma como a governança deseja que a organização

bancária seja controlada e como os principais executivos a administram.
Segue a descrição dos componentes e seus respectivos princípios:
Figura 17 – COSO – Componentes, princípios, pontos de foco e controles

Os princípios do COSO
Figura 18 – COSO – Componentes e princípios
Ambiente de controle
Fornece a base para os controles internos em toda a organização. Define os padrões de

gestão como também os valores éticos que norteiam as boas práticas adotadas pela
empresa.
O ambiente de controle é a fundação, a base, o pilar do controle interno. Sem o

ambiente de controle, os outros componentes não terão sustentação e entrarão em
colapso como uma casa sem alicerces. O ambiente de controle é um fato intangível,
mas essencial para o funcionamento do sistema de controles internos.
Sem condições favoráveis mínimas nesse ambiente, seria ocioso determinar os objetivos
da organização bancária, pois ela jamais os alcançaria de modo consistente. Como a
continuidade de um banco tem importância para todo o sistema financeiro, o ambiente
de controle é importante não apenas para os seus mais diretos interessados (como os
acionistas, clientes e funcionários), mas para as próprias autoridades bancárias.
O exemplo vem de cima: quem dá o tom de controle da entidade são seus principais
administradores. É o Conselho de Administração, em seu trabalho de governança
corporativa e como representante dos acionistas, que estabelece as diretrizes em
relação aos riscos, determinando como os controles devem ser estabelecidos,
implantados, limitados e cumpridos na organização.
Nos bancos, o que os controles desejam é influenciar o comportamento das pessoas,

estabelecendo um ambiente interno de qualidade, segurança e motivação para que
estas se sintam incentivadas a aplicar em seu trabalho todos os recursos de que dispõem
(conhecimento, experiência e competências, mas também valores éticos, integridade e
espírito de colaboração) para que, em conjunto, façam com que o banco atinja seus
objetivos.
O ambiente de controle é efetivo quando a administração dá suporte às atividades de

controle e as pessoas da organização sabem quais são suas responsabilidades, os limites
de sua autoridade e têm a consciência, competência e o comprometimento de fazerem
o que é correto da maneira correta. Ou seja: os funcionários sabem o que deve ser
feito? Se sim, eles sabem como fazê-lo? Se sim, eles querem fazê-lo? A resposta não
a quaisquer dessas perguntas é um indicativo de comprometimento do ambiente de
controle.
Figura 19 – COSO – Componentes e princípios – Ambiente de Controle

Avaliação de riscos
As funções principais do controle interno estão relacionadas ao cumprimento dos

objetivos da entidade. Portanto, a existência de objetivos é condição essencial para a
existência dos controles internos. Uma vez estabelecidos e clarificados os objetivos,
deve-se identificar os riscos que ameacem o seu cumprimento e tomar as ações
necessárias para o gerenciamento dos riscos identificados.
O estabelecimento de um sistema de controles internos efetivo num banco requer que

sejam identificados e continuamente avaliados os riscos que são relevantes e que
podem impedir ou afetar negativamente o cumprimento dos objetivos da organização.
Essa avaliação deve compreender todos os riscos que cercam o banco (ou o grupo
financeiro ao qual eventualmente pertence), que são, por exemplo, os riscos de
mercado, os riscos de liquidez, os riscos de crédito, os riscos operacionais etc.
Este componente define que a gestão deve conhecer todos os riscos que podem afetar
a possibilidade da empresa alcançar os objetivos definidos para a operação,
comunicação e conformidade.
Figura 20 – COSO – Princípios e pontos de foco – Avaliação de Risco

Atividades de controle
São aquelas atividades que, quando executadas tempestiva e adequadamente,

permitem a redução ou administração dos riscos. Podem ser de duas naturezas:
atividades de prevenção ou de detecção. Um sistema de controles internos efetivo deve
se apoiar numa estrutura organizacional adequada, na qual as atividades de controle
estão estabelecidas para cada processo de gestão ou operação do banco e para cada
nível da hierarquia.
As atividades de controle devem ser implementadas de maneira ponderada, consciente

e consistente. Nada adianta implementar um procedimento de controle, se este for
executado de maneira mecânica, sem foco nas condições e problemas que motivaram
a sua implementação. Também é essencial que as situações adversas identificadas pelas
atividades de controle sejam investigadas, adotando-se tempestivamente as ações
corretivas apropriadas.
A partir da estruturação de objetivos e responsabilidades efetuados pela governança e

pelos executivos do banco, cabe aos órgãos de controle:
• verificar o cumprimento dos objetivos da gestão e as respectivas atividades de

controle para cada processo, departamento ou divisão, bem como a aderência
aos níveis de alçada para aplicação de recursos e ao sistema de aprovações ou
autorizações estabelecido;
• realizar controles físicos (inventário) sobre os ativos de propriedade do banco,
bem como a verificação do seu estado de conservação e liquidez (no caso dos
títulos e valores);
• fazer o acompanhamento de compliance em relação às leis, regulamentos e
normas, internas e externas;
• verificações e reconciliações em todo o sistema de pagamentos e/ou
recebimentos, incluindo os recursos de terceiros administrados pelo banco.
Para o estabelecimento de um sistema formal de controles internos é importante

destacar o papel da normatização.
As normas internas são importantes porque fixam de forma explícita, objetiva e

documental, as políticas, procedimentos, atividades e controles que devem ser aplicados
em cada processo, transação ou contratação efetuada pelo banco.
Assim, esse componente compreende as políticas e procedimentos adotados pela

empresa para minimizar a ocorrência e/ou impacto dos riscos inerentes à operação.
Figura 21 – COSO – Princípios e pontos de foco – Atividades de Controle
Informação e comunicação
A comunicação é o fluxo de informações dentro de uma organização, entendendo que

este fluxo ocorre em todas as direções – dos níveis hierárquicos superiores aos níveis
hierárquicos inferiores, dos níveis inferiores aos superiores, e comunicação horizontal,
entre níveis hierárquicos equivalentes.
O processo de comunicação pode ser formal ou informal. O processo formal acontece

por meio dos sistemas internos de comunicação – que podem variar de complexos
sistemas computacionais a simples reuniões de equipes de trabalho – e são importantes
para obtenção das informações necessárias ao acompanhamento dos objetivos de
informação e de conformidade.
O processo informal que ocorre em conversas e encontros com clientes, fornecedores,

autoridades e empregados é importante para obtenção das informações necessárias à
identificação de riscos e oportunidades.
Um sistema efetivo de administração e de controle interno de um banco requer a coleta,

o registro e a comunicação de um vasto conjunto de dados financeiros, operacionais e
de compliance, além de dados colhidos externamente, a respeito do mercado, da
legislação e das condições econômicas. Tais dados são absolutamente necessários para
a tomada interna de decisões e também para proceder ao controle de qualidade dessas
decisões.
Por outro lado, o controle interno deve verificar, também, a qualidade da comunicação
interna do banco, já que, sem uma boa comunicação, se perde grande parte do valor
da informação. As comunicações sempre devem ser confiáveis, tempestivas, acessíveis
e consistentes, quer sejam internas, entre as pessoas e os diferentes níveis da
organização, quer sejam externas.
Os controles internos devem verificar especialmente a qualidade das comunicações

externas para os participantes mais relevantes do banco, os acionistas, os clientes e as
autoridades bancárias.
Segundo revisitação do Coso, em 2013, esse componente diz respeito às informações

necessárias para que a gestão conduza suas responsabilidades sobre os controles
internos no alcance dos objetivos previamente definidos.
Figura 22 – COSO – Princípios e pontos de foco – Informação e Comunicação
Atividades de Monitoramento
As atividades de monitoramento são a contínua verificação da validade e da eficiência

de cada categoria do controle interno e também de todo o processo, em relação aos
objetivos da organização bancária.
Como as atividades de controle são diferentes, em função de cada objetivo, de cada
área e de cada nível da organização em que são praticadas, o monitoramento deve
partir de uma perfeita compreensão do significado de cada objetivo e das atribuições de
cada área em relação a tal objetivo.
São avaliações realizadas para certificar a administração de que os controles internos

estão presentes e efetivos.
As avaliações independentes, realizadas periodicamente, irão variar em escopo e

frequência dependendo da avaliação dos riscos, da eficácia das avaliações contínuas e
de outras considerações da administração. Os resultados são avaliados em relação aos
critérios estabelecidos por órgãos reguladores, autoridades normativas ou pela
administração e pela estrutura de governança, sendo as deficiências comunicadas à
administração e à estrutura de governança, conforme apropriado.
Figura 23 – COSO – Princípios e pontos de foco – Atividades de Monitoramento
5.2.2 CobiT®
A integridade e a confiabilidade das atividades de controle automatizadas dependem da
qualidade e da eficácia dos controles implantados no ambiente de TI de uma
organização.
Aqueles controles que visam assegurar a continuidade e o funcionamento adequado do

ambiente e dos serviços de tecnologia são conhecidos como Controles Gerais de
Tecnologia da Informação - CGTI.
Existem diversos direcionadores que podem ser utilizados como referência para a
avaliação da eficácia dos CGTI. Entre eles, o CobiT® (Control Objectives for Information
and related Technology) e seus documentos relacionados, são os que possuem maior
reconhecimento e aceitação internacional.
É um direcionador bastante conhecido pelo mercado e utilizado pelo Banco do Brasil,

especificamente para as atividades de controle vinculadas a processos de tecnologia da
informação – TI.
O CobiT® disponibiliza uma estrutura que permite à organização, por meio da gestão de
recursos de TI, atingir suas metas e objetivos. Com a sua adoção, as organizações
podem acompanhar e incorporar práticas de controle em ambiente de TI, bem como se
estruturar para atender às exigências dos acionistas, do mercado, dos reguladores e da
legislação.
6 CONTROLES INTERNOS NO BB
6.1 Controles Internos no Banco do Brasil
No Banco do Brasil, a gestão dos riscos e controles sempre esteve presente nas ações
estratégicas de maximização do desempenho negocial e da redução de custos. Antes
mesmo da publicação da Resolução CMN nº 2.554/98, que instituiu o sistema de
controle interno, o Banco, em 1996, decidiu pela criação do cargo de Gerente de
Controle, nas agências, visando segregar as atividades de deferimento de créditos.
Em janeiro de 1999, o Conselho de Administração do Banco aprovou a criação da

Unidade de Função Controles Internos - UCI. Nesse mesmo período, o Banco promoveu
a separação da administração de recursos de terceiros dos recursos próprios,
desmembrando a Unidade Gestão de Recursos de Terceiros em Diretoria Mercado de
Capitais e Infraestrutura (Dimec) e na atual BB Gestão de Recursos - Distribuidora de
Títulos e Valores Mobiliários S.A. – BB DTVM.
Em setembro de 1999, foi definida a classificação e a conceituação de riscos incorridos

pelo Banco, tendo sido normatizadas de forma a serem utilizadas por todas as áreas na
avaliação de riscos dos processos, produtos e serviços da Organização.
Desde então, o Banco do Brasil, vem aprimorando sua estrutura organizacional, para as
áreas que compõem o Sistema de Controles Internos, de maneira a manter-se em linha
com as exigências dos órgãos reguladores e com as melhores práticas de governança
corporativa, que permeia todas as atividades da Organização.
O Sistema de Controles Internos do Banco do Brasil é composto pelo conjunto de

políticas, Ações e estruturas administrativas que visam auxiliar a organização a atingir
seus objetivos estratégicos.
A responsabilidade pela condução das atividades relacionadas ao Sistema de Controles

Internos e Gestão de Riscos está definida e aprovada pela administração do Banco e
suas disposições estão acessíveis a todos os funcionários, por meio de normas, fluxos e
procedimentos internos.
Os gestores são responsáveis por conduzir seus processos, produtos, serviços e

sistemas de acordo com as leis, normas e procedimentos aplicáveis, conforme disposto
nos normativos internos relativos às funções e responsabilidades de todas as unidades
organizacionais.
As instruções normativas internas dispõem ainda que, de maneira geral, todos os
funcionários são responsáveis pelos controles internos e os administradores são
incentivados a promover uma cultura organizacional que enfatize a sua relevância, a
responsabilidade de todos pelas ações de controle e a busca por comportamentos
pautados em elevados padrões éticos.
O processo de integração da gestão corporativa de controles internos, no âmbito do

Banco do Brasil, permanece em contínuo aperfeiçoamento, acompanhando as
tendências de mercado e as necessidades organizacionais do BB.
Um Sistema de Controles Internos robusto e efetivo é componente essencial da gestão

bancária, favorecendo a identificação e a avaliação contínua dos riscos associados às
atividades da instituição. O acompanhamento sistemático dessas atividades permite
avaliar se os objetivos da organização estão sendo alcançados. Nesse sentido, foi
implantado o modelo de gerenciamento de riscos e controles, baseado nos conceitos de
três linhas de defesa, denominado Modelo Referencial de Linhas de Defesa
Esse modelo foi desenvolvido com base em referencial teórico consistente e abrangente,
composto por enunciados e pronunciamentos destinados a orientar e regulamentar a
atividade bancária nacional e internacional sobre governança, gerenciamento de riscos
e controles internos.
A sua adoção evidencia os aspectos de governança no gerenciamento de riscos e

controles e reforça a responsabilização dos gestores de negócios na identificação de
riscos dos seus processos e no estabelecimento de controles para mitigá-los.
6.2 Modelo Referencial de Linhas de Defesa
O modelo de gestão dos controles internos e riscos, adotado pelo Banco do Brasil,
estabelece a adoção do modelo referencial de linhas de defesa, organizado conforme a
seguir:
• 1ª linha de defesa: formada pelo conjunto de funções organizacionais que

respondem pelos processos da organização, nos seus níveis estratégico, tático e
operacional, que incorrem nos diversos riscos a que o Banco está exposto.
Como visto, compreende atuação das unidades de negócio e de apoio do BB, as
quais devem ter claro, além das oportunidades negociais, a responsabilidade por
identificar os riscos a que está expondo o Banco, adotando controles para mitigá-
los e monitorar sua efetividade e desempenho.
• 2ª linha de defesa: constituída pelas funções de gestão de riscos, controles
internos e conformidade, e pelos processos desenvolvidos pelas funções
segurança, organização e jurídico, executadas pela Direo, Diris, Dicoi, Dicre,
Disin, URO e Dijur, Unidades Estratégicas voltadas para auxiliar a 1ª linha de
defesa na gestão dos riscos incorridos.
Utiliza uma abordagem baseada em risco e sua atuação cobre todos os
processos, produtos e serviços do Banco, com priorização daqueles cujos riscos
são classificados como de maior criticidade e que apresentam maior potencial
para prejudicar a consecução dos objetivos da Instituição.
Entre as atribuições da segunda linha de defesa está a construção de uma visão
ampla dos riscos e controles dos negócios do BB, subsidiando a tomada de
decisão da alta administração.
Atua de forma segregada da linha de comando dos processos, produtos e
serviços (1ª linha de defesa), porém integrada a ela.
Ressalte-se que a atuação da 2ª linha de defesa deve abranger a totalidade dos
processos da Organização, cabendo à Dicoi a responsabilidade pela avaliação
consolidada do Sistema de Controles Internos, inclusive daqueles conduzidos
pelas demais áreas que compõem a 2ª linha.
• 3ª linha de defesa: abrange a a função típica de auditoria interna, a qual avalia

a efetividade de todo o ciclo de gerenciamento de riscos e controles da
Organização, completando o Modelo Referencial de Linhas de Defesa. Caracteriza
sua atuação pela autonomia e independência plena e com abordagem baseada
em riscos.
O modelo está representado na figura abaixo:
Figura 24 – Modelo Referencial de Linhas de Defesa

6.3 Política Específica de Controles Internos e
Compliance
A resolução CMN nº 2.554/98 determinou às instituições financeiras e demais

instituições autorizadas a funcionar pelo Banco Central do Brasil – BACEN, a implantação
e a implementação de controles internos voltados para as atividades por elas
desenvolvidas, seus sistemas de informações financeiras, operacionais e gerenciais e o
cumprimento das normas legais e regulamentares a elas aplicáveis.
Por meio da Resolução CGPAR nº 18, publicada em 10.05.16, a Comissão

Interministerial de Governança e de Administração de Participações Societárias da União
_CGPAR determinou às empresas estatais federais, entre outras coisas, que
implementem políticas de conformidade e gerenciamento de riscos adequadas ao seu
porte e consistentes com a natureza, complexidade e risco das operações por ela
realizadas.
Não obstante a exigência regulatória, a disseminação da cultura de controles e a prática

de atividades de compliance são tarefas contínuas que devem ser transmitidas a todos
os funcionários, uma vez que propiciam ambiente favorável ao cumprimento dos
controles internos instituídos pelo Banco, além de mitigar os riscos operacionais
envolvidos. Dessa forma, as políticas constituem uma forma de atingir padrões de
comportamento compatíveis com a boa técnica bancária e com as melhores práticas de
mercado, além de contribuir com a perenidade da empresa e o atingimento dos
resultados almejados.
A política que dispõe sobre controles internos e compliance do Banco do Brasil tem por
objetivo estabelecer princípios e diretrizes a serem observados para o fortalecimento e
funcionamento do sistema de controles internos de acordo com a complexidade de seus
negócios, disseminar a cultura de controles para mitigar o risco de descumprimento de
leis, regulamentos e normas, bem como enfatizar que as atividades de controles
internos e compliance no Banco são atribuições de todos os funcionários, em seus
diversos níveis hierárquicos.
Os pontos abordados pela política específica de controles internos e compliance do

Banco do Brasil são os seguintes:
• Adotamos estrutura de gerenciamento de controles internos com

responsabilidades distribuídas em linhas de defesa, de forma a assegurar
sua robustez;
• Dispomos de estruturas dedicadas a avaliar nossos controles internos e
a manter a Alta Administração ciente quanto à mitigação dos riscos aos
quais estamos expostos;
• Asseguramos a atuação independente, imparcial e tempestiva de
Auditoria Internos sobre o sistema de controles internos;
• Disponibilizamos e divulgamos, tempestivamente, informações
consistentes, fidedignas e relevantes sobre o sistema de controles
internos à Alta Administração, às entidades externas de fiscalização e
controle e aos acionistas;
• Definimos e divulgamos as responsabilidades sobre os processos nos
diversos níveis da organização e mantemos apropriada segregação de
funções;
• Disseminamos a cultura de controles internos e compliance e mantemos
programas de capacitação e comunicação, para a qualificação do público
interno em todos os níveis;
• Avaliamos periodicamente nosso sistema de controles internos, a fim de
que eventuais correções sejam implementadas, de forma a garantir a
eficácia, eficiência e efetividade do Sistema;
• Utilizamos um conjunto de atividades, planos, métodos, indicadores,
procedimentos interligados e documentados para assegurar o compliance
e a mitigação de riscos; e
• Avaliamos a adequação e efetividade dos controles que suportam a
emissão de demonstrações financeiras.
6.4 Compliance
A palavra compliance vem do verbo em inglês “to comply”, que significa “cumprir,
executar, satisfazer, realizar o que lhe foi imposto”, ou seja, compliance significa
conformidade é o dever de cumprir e fazer cumprir regulamentos internos e externos
impostos às atividades da instituição.
Compliance é um dos pilares da governança corporativa por fortalecer o ambiente de

controles internos da instituição, monitorando a conformidade com a regulação e
políticas internas, gerando a legitimidade no mercado e aumentando a transparência, o
que favorece a vantagem competitiva e proporciona a sustentabilidade da organização.
Governança corporativa é o sistema pelo qual as empresas e demais organizações são

dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre sócios,
conselho de administração, diretoria, órgãos de fiscalização e controle e demais partes
interessadas.
As boas práticas de governança corporativa convertem princípios básicos em
recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar
o valor econômico de longo prazo da organização, facilitando seu acesso a recursos e
contribuindo para a qualidade da gestão da organização, sua longevidade e o bem
comum. (Código das Melhores Práticas de Governança Corporativa,5ª edição-2015.
Disponível em http://www.ibgc.org.br/index.php/publicacoes/codigo-das-melhores-
praticas)
De extrema importância, dentro das organizações, compliance tem por missão:
Zelar pelo cumprimento de leis, regulamentações, autorregulações,

normas internas e os mais altos padrões éticos, orientando e
conscientizando quanto à prevenção de atividades e condutas que
possam ocasionar riscos à instituição, clientes, colaboradores,
acionistas, fornecedores e sociedade, permitindo o crescimento
sustentável e a melhoria contínua do negócio.
(Função de Compliance – FEBRABAN, 2011).
A gestão de compliance, tem assegurado à alta administração das instituições

financeiras a existência de um sistema de controles internos que demonstre de maneira
transparente que a estrutura organizacional adotada e os procedimentos internos estão
em conformidade com os regulamentos externos e internos afetos às instituições.
Ao garantir adequado funcionamento da gestão de compliance, a alta direção

demonstrará seu comprometimento com o fortalecimento de seus negócios em bases
éticas e na busca constante da melhoria dos seus controles. Isso preservará afinal um
dos seus maiores ativos que é a sua boa imagem junto ao público, investidores e órgãos
reguladores e fiscalizadores, além da otimização do capital alocado para efeito de
Basileia.
O custo de não estar em compliance pode gerar aos empregados, aos gestores e para
organização:
• processo administrativo;
• processo criminal (penal);
• bloqueio de bens e valores (determinados pela justiça);
• multa;
• prisão;
• danos à reputação e à marca;
• ações do regulador.
No Banco do Brasil, é de responsabilidade das áreas, garantir que os processos,
produtos e serviços de sua área de atuação estejam de acordo com as normas e
regulamentos externos, com as exigências da supervisão bancária e com as políticas e
procedimentos internos.
7. METODOLOGIA INTEGRADA DE AVALIAÇÃO

DOS CONTROLES INTERNOS
7.1 Conceitos Básicos considerados pela metodologia

Controles:
Sob o enfoque de controles internos, controles são atividades que contribuem para a
redução, a níveis aceitáveis, dos riscos à realização dos objetivos da instituição.
Controles-Chave:
São controles que objetivam mitigar os fatores de risco.
Fatores de risco:
São as causas das ocorrências do risco operacional, relacionadas à falhas, deficiências

ou inadequações em pessoas, processos, sistemas ou eventos externos e manifestam-
se por situações e/ou circunstâncias que podem levar ao aumento da probabilidade de
ocorrência de um evento de risco.
Eventos de risco:
Eventos de risco operacional são aqueles decorrentes de falhas ou inadequações de

pessoas, processos, sistemas e eventos externos e podem provocar impactos
indesejáveis no resultado do Banco, seja por meio de despesas incorridas ou pela
diminuição de receita.
Representam os acontecimentos internos e externos, capazes de afetar adversamente

o sucesso dos objetivos do Banco, podendo gerar:
• Perdas financeiras;
• Registros contábeis indevidos e/ou divulgações indevidas ao mercado;
• Descumprimento de leis, normas e regulamentos;
• Incorreções na apuração do capital a ser alocado para fazer frente aos riscos de
crédito, liquidez, mercado e operacional;
• Prejuízos à imagem do Banco.
Avaliação orientada a riscos
É o conjunto de métodos e técnicas que possibilitam a identificação, a análise e a

avaliação de riscos que possam afetar a organização e suas atividades. Envolve a
identificação das fontes de risco, dos eventos e de sua probabilidade de ocorrência, de
suas causas e suas consequências potenciais.
Atributos do controle
Os atributos de controle podem ser entendidos como uma forma de classificar as

propriedades do controle a fim de subsidiar decisões de priorização de tratamento, caso
sejam identificadas deficiências.
Os principais atributos de controle são:
• Nível de controle
Corresponde à extensão de atuação do controle e está classificado em:

• Tipo de Controle
Corresponde ao momento de atuação do controle e pode ser categorizado em dois tipos:
• Natureza dos Controles-Chave:
A natureza do controle está relacionada ao nível de intervenção humana na sua

execução.
7.2 A Metodologia integrada

É a metodologia adotada pela Dicoi na avaliação dos controles internos dos processos
priorizados pelo escopo de atuação.
Constitui-se em um método estruturado que procura integrar todos os trabalhos
realizados pela Dicoi, bem como das Gerencias Regionais de Controle Interno - Gecoi,
sejam de aspecto regulatório ou estratégico.
Realizada por meio de uma visão por processos, riscos e controles, não se restringe
apenas ao atingimento de requisitos legais, mas também promove análise crítica das
possíveis falhas ou fragilidades inerentes a cada processo avaliado.
Tem por objetivo promover o aperfeiçoamento dos processos do Banco, alinhado aos
parâmetros do mercado, padrões éticos e a transparência nas informações a serem
disponibilizadas às partes interessadas. Visa avaliar, com razoável segurança se os
controles são eficazes e suficientes para mitigar os riscos relevantes aos quais os
processos estão expostos.
A utilização dessa Metodologia pressupõe que:
• De acordo com a premissa institucional, os controles são de responsabilidade

primária de cada gestor;
• A definição dos processos relevantes pela Dicoi, objeto de utilização da
Metodologia, é resultado da aplicação da Metodologia que define Processos,
Sistemas e Localidades, que considera a avaliação quantitativa das contas
contábeis (materialidade e total de ativo) e avaliação qualitativa,
considerando informações de risco operacional;
• A Dicoi é responsável pela avaliação consolidada do sistema de controles
internos, incluindo aqueles conduzidos pelas demais áreas que compõem a
2ª linha de defesa.
A metodologia está dividida em quatro fases de atuação:
1) Pré-Avaliação: consiste em coletar insumos que permitam realizar uma avaliação,

orientada a risco, do processo priorizado. Nessa fase, identificam-se os riscos aos quais
o processo está exposto e os controles, caso existam, que mitigam esses riscos. Devem
ser identificados os riscos relevantes que possam afetar de maneira adversa o objetivo
do processo em análise.
2) Definição dos testes: nessa fase, os controles-chave identificados no processo são

analisados conforme parâmetros pré-definidos. Essa etapa define a forma de atuação
que será adotada para realização da avaliação.
3) Execução: essa fase contempla a elaboração e aplicação dos testes, conforme forma
de atuação definida na etapa anterior. Os testes poderão ser executados nos âmbitos
estratégico, tático e operacional, a depender do tipo de controle em análise.
4) Reporte: nessa fase é realizada a disponibilização dos resultados e emissão de
parecer conclusivo acerca da avaliação do processo. Esse parecer conclui sobre a
eficácia dos controles internos que permeiam os processos avaliados, levando-se em
consideração os resultados dos testes e os impactos das deficiências eventualmente
identificadas.
As etapas de atuação encontram-se resumidas na figura:
Figura 25 – Fases da Metodologia Integrada
A avaliação dos Controles Gerais de TI - CGTI abrange os processos, sistemas e

localidades que forem selecionados de acordo com o escopo de avaliação da Dicoi.
7.3 Recomendação Técnica de Controle (RTC)

A RTC é o instrumento utilizado para tratamento de deficiências, fragilidades ou não
conformidades identificadas nos trabalhos realizados pela Diretoria de Controles
Internos.
As ações recomendadas são classificadas por nível de criticidade: “A” – Alta, “B” – Média
e “C” – Baixa e são cadastradas no aplicativo Sigas, com impacto no ATB das áreas
responsáveis pelos processos avaliados. Esse nível é definido com a aplicação de uma
“Matriz de Criticidade de Deficiências”, que consiste na marcação, pelo avaliador, das
questões que se adequam à(s) deficiência(s) identificada(s) no processo. A ferramenta
calcula a soma dos pesos das questões marcadas e a converte nos conceitos “A”, “B”
ou “C”, sendo "A" o de maior criticidade e "C" o de menor criticidade.
As ações deverão ser certificadas com o objetivo de avaliar o cumprimento da

recomendação.
7.4 Reportes Regulatórios
Relatórios de Controles e Conformidade
Por força de dispositivos legais, o Banco do Brasil está obrigado a elaborar relatórios
periódicos sobre o Sistema de Controles Internos os quais são apresentados à Alta
Administração do Banco e aos órgãos de fiscalização e controle.
Destacam-se os seguintes relatórios, onde a Dicoi é responsável pela coordenação na

elaboração e disponibilização:
a) Relatório de Avaliação do Sistema de Controles Internos – é elaborado

anualmente para atender as exigências da Resolução CMN nº 2.554/98 o qual é
submetido ao Conselho de Administração e fica à disposição do Bacen pelo
período de cinco anos. Por meio deste relatório o Banco reporta o
acompanhamento sistemático das atividades relacionadas com o sistema de
controles internos, informando:
• as conclusões dos exames efetuados;
• as deficiências de controle identificadas;
• as recomendações a respeito de eventuais deficiências, com o
estabelecimento de cronograma de saneamento das mesmas, quando for o
caso;
• as ações corretivas implementadas ou em fase de implementação pelos
respectivos gestores dos processos, produtos, serviços e sistemas.
b) Relatório de avaliação da qualidade e adequação do sistema de controles

e de descumprimento de dispositivos legais e regulamentares – instituído
pela Circular Bacen nº 3.467/09, deve conter o resultado do trabalho semestral
realizado pela Auditoria Independente e ficar à disposição do Bacen pelo prazo
de cinco anos.
Conforme definido na Circular Bacen nº 3.467/09, para a elaboração deste

relatório, o Banco é responsável por fornecer à Auditoria Independente o
descritivo de controles internos definidos como necessários para permitir a
elaboração de demonstrações financeiras livres de distorções relevantes.
c) Relatório de Controles Internos ICVM 505/11 e Ofício BM&FBOVESPA nº

068 (Cumprimento do Roteiro Básico do Programa de Qualificação
Operacional PQO): Versa sobre o estabelecimento de normas e procedimentos
a serem observados nas operações realizadas com valores mobiliários em
mercados regulamentados de valores mobiliários. O relatório é encaminhado
semestralmente, aos Órgãos de Administração do BB e do BB Banco de
Investimento, relatórios específicos contendo:
• as conclusões dos exames efetuados;
estabelecimento de cronogramas de saneamento, quando for o caso; e
• a manifestação do diretor estatutário responsável pelo cumprimento das
normas estabelecidas a respeito das deficiências encontradas em verificações
anteriores e das medidas planejadas, de acordo com cronograma específico,
ou efetivamente adotadas para saná-las.
d) Relatório de Controles Internos - ICVM 539/13: Dispõe sobre o dever de
verificação da adequação dos produtos, serviços e operações ao perfil do cliente
(suitability). É encaminhado semestralmente, aos Órgãos de Administração do
BB e do BB Banco de Investimento. A Diretoria responsável pela elaboração do
Relatório Semestral é a DIEMP e este deve conter:
• avaliação segregada da DICOI sobre a efetividade dos Controles Internos do
processo.
• avaliação do cumprimento pela pessoa jurídica das regras, procedimentos e
controles internos; e
estabelecimento de cronogramas de saneamento.
Cabe aos Órgão de Administração: aprovar as regras e procedimentos e

supervisionar o cumprimento e a efetividade dos procedimentos e controles
internos.
e) Relatório de Controles Internos - ICVM 542/13: Dispõe sobre a prestação

de serviços de custódia de valores mobiliários. O relatório é encaminhado
anualmente aos Órgãos de Administração do BB e do BB Banco de Investimento,
contendo:
• as conclusões dos relatórios de auditoria interna;
• suas recomendações a respeito de eventuais deficiências, com o
• sua manifestação a respeito das deficiências encontradas em verificações
Os relatórios devem ficar disponíveis, para a CVM e para os depositários centrais

com os quais o custodiante mantenha vínculo, se for o caso, na sede do
escriturador.
f) Relatório de Controles Internos - ICVM 543/13: Dispõe sobre a prestação

de serviços de escrituração de valores mobiliários e de emissão de certificados
de valores mobiliários. O relatório é encaminhado anualmente aos Órgãos de
Administração do BB, contendo:
• as conclusões dos relatórios de auditoria interna do relatório circunstanciado
preparado por empresa de auditoria independente;
• suas recomendações a respeito de eventuais deficiências, com o
• sua manifestação a respeito das deficiências encontradas em verificações
Os relatórios devem ficar disponíveis, para a CVM e para os depositários centrais

com os quais o escriturador mantenha vínculo, se for o caso, na sede do
escriturador.
g) Relatório de Controles Internos - ANBIMA - Deliberação 02 - Private

Banking: A Dicoi deverá apresentar a avaliação qualitativa sobre os controles
internos implantados pela instituição participante para verificação do processo
de suitability, que comporá o laudo descritivo que deve ser elaborado no formato
definido pelo regulador, a ser enviado à ANBIMA anualmente até o último dia útil
do mês de março.
h) Relatório de Controles Internos - ANBIMA - Deliberação 06 - Atividade
de Distribuição de Produtos no Varejo: A Dicoi deverá apresentar a avaliação
qualitativa sobre os controles internos implantados pela instituição participante
para verificação do processo de suitability, que comporá o laudo descritivo que
deve ser elaborado no formato definido pelo regulador, a ser enviado à ANBIMA
anualmente até o último dia útil do mês de março.
i) Relatório de Controles Internos - ANBIMA - Deliberação 10 –
Derivativos de Balcão: O relatório deverá compor o laudo, que será enviado à
ANBIMA anualmente até o último dia útil do mês de Julho, pela área responsável
pela negociação de derivativos (Difin), contendo:
• revisão do laudo de avaliação elaborado pela área responsável pela
negociação de derivativos; e
• avaliação qualitativa sobre os controles internos adotados pelas áreas
responsáveis pela comercialização de derivativos de balcão diretamente a
clientes para a verificação da adequação dos investimentos recomendados
(suitability).
j) Relatório de Controles Internos - ANBIMA - Deliberação 14 - Certificados
de Operações Estruturadas (“COE”): O relatório deverá compor o laudo, que
será enviado à ANBIMA anualmente até o último dia útil do mês de Julho, pela
área responsável pela negociação de COE (Difin), contendo:
• revisão do laudo de avaliação elaborado pela área responsável pela
negociação de derivativos; e
• avaliação qualitativa sobre os controles internos adotados pelas áreas
responsáveis pela comercialização de derivativos de balcão diretamente a
clientes para a verificação da adequação dos investimentos recomendados
(suitability).
k) Relatório de validação do Processo Interno de Avaliação da Adequação
de Capital – elaborado anualmente com a finalidade de apresentar os resultados
de validação independente do Processo Interno de Avaliação da Adequação de
Capital (Icaap) do Banco do Brasil realizado pela Diretoria de Controles Internos
(Dicoi), em conformidade com o disposto do Artigo 2º da Circular Bacen nº
3.547, de 07/07/2011.
7.5 Metodologia que define processos, sistemas e

localidades para avaliação dos controles internos -
Escopo de atuação
A Metodologia do Escopo é um método estruturado para definir processos, sistemas e

localidades relevantes, considerando principalmente aspectos quantitativos e
qualitativos, como contas contábeis conforme regras de contabilização do Bacen
(materialidade e total de ativos) e avaliação baseada em informações de risco
operacional.
O objetivo do escopo é disponibilizar a relação dos processos, sistemas e localidades

relevantes, cujos controles internos serão avaliados pela Dicoi.
A metodologia do escopo encontra-se sintetizada na figura abaixo:

Figura 26 – Metodologia do Escopo
7.6 Modelos de Responsabilização
Tendo em vista as exigências previstas na Instrução CVM 480, notadamente aquelas

relativas ao fornecimento de informações periódicas ao mercado de capitais, que
reforçaram as responsabilidades dos dirigentes quanto a declarações de veracidade e
completude, surgiu a necessidade de evidenciar as responsabilidades dos gestores
provedores das informações utilizadas na elaboração das Demonstrações Financeiras e
do Formulário de Referência.
Assim, o Modelo de Responsabilização - Certificação em Cascata é o método utilizado

no Banco para evidenciar as responsabilidades dos gestores no provimento de
informações e à adequação dos controles internos adotados para assegurar a
fidedignidade das informações contidas nas Demonstrações Financeiras do Banco (DF)
no Formulário de Referência (FR).
O Modelo de Responsabilização tem como objetivo assegurar que as informações

constantes das DF e do FR sejam verdadeiras, completas, precisas e não contenham
dados ou citações que possam induzir o investidor a erro.
O Banco utiliza ainda, como desdobramento do Modelo de Responsabilização –

Certificação em Cascata o Modelo de Responsabilização Fundos e Programas que é
utilizado para assegurar que as informações disponibilizadas à Diretoria de Governo
pelas áreas intervenientes (aplicadoras, beneficiárias das garantias prestadas e
executoras de serviços), sejam verdadeiras, completas e precisas, a fim de garantir a
conformidade do Banco perante a legislação e obrigações assumidas e que não
contenham dados ou citações que possam prejudicar a fidedignidade das informações
geradas pelo processo Gestão dos Fundos e Programas.
Essas informações dizem respeito à aplicação de fundings públicos (fundos federais,

estaduais, municipais e repasses do BNDES), uso de fundos garantidores e prestação
de serviços de administração de créditos.
7.7 Validação dos Modelos de Riscos e Gestão do

Capital
No Banco do Brasil, a função de validação dos modelos de apuração e mensuração dos
riscos do Conglomerado Prudencial está sob responsabilidade da Diretoria de Controles
Internos (DICOI), vinculada à Vice-Presidência de Controles Internos e Gestão de
Riscos (VICRI).
Em linhas gerais, o processo de validação deve abranger, dentre outros, os seguintes

aspectos:
• metodologias, pressupostos, premissas e fundamentos teóricos empregados no

modelo;
• abrangência, consistência, integridade e confiabilidade dos dados da base de
dados e da base de cálculo;
• adequação da infraestrutura tecnológica e do funcionamento dos sistemas de
tecnologia da informação empregados no modelo, incluindo testes,
homologações e certificações; e
• integridade, abrangência e consistência da documentação do modelo.
No âmbito da Dicoi, a Gerência de Validação de Modelos de Riscos e Gestão de Capital

é responsável por validar os processos relacionados à gestão de riscos e capital do
Conglomerado Prudencial e é composta por equipes especializadas na avaliação dos
modelos de risco de mercado, liquidez, crédito, operacional, demais riscos de Pilar II
de Basileia, dados, sistemas e entorno tecnológico.
Essas equipes são responsáveis pela validação das metodologias e premissas utilizadas
nos modelos de riscos, da adequação dos testes de estresse, bem como a abrangência,
a consistência, a integridade e a confiabilidade dos dados de entrada dos modelos de
riscos.
O escopo da validação é dividido em ciclos trienais, de forma que, decorrido tal período,
todos os processos relevantes afins à gestão de riscos e capital tenham sido avaliados.
Para tal, são considerados os normativos emitidos pelo Conselho Monetário Nacional
(CMN) e Banco Central do Brasil (Bacen), as avaliações precedentes, bem como
percepções proferidas pelo Regulador e pela Auditoria Interna.
Em linhas gerais, o processo de validação deve abranger, dentre outros, os seguintes

aspectos:
• Pré-avaliação: consiste na coleta de insumos que fornecerão subsídios para os

trabalhos de validação, tais como normativos do Regulador, avaliações
anteriores, documentação fornecida pelo gestor, etc.
• Definição dos testes: consiste na definição dos testes a serem utilizados quais
sejam: de documentação (processo, modelo e base de dados), qualidade dos
dados, premissas da metodologia, adequação dos controles internos e uso na
gestão. Quando necessário, é realizada a réplica de cálculos de mensuração de
risco.
• Execução: as avaliações são realizadas com base nos procedimentos específicos
dos testes definidos na etapa anterior. Os resultados e as evidências, bem como
a descrição do processo, informações sobre o teste, deficiência identificada ou
recomendação emitida, ficam registrados em ficha de avaliação, na qual
constará parecer conclusivo sobre o processo avaliado.
• Reporte: o gestor é comunicado sobre os resultados da avaliação e, caso
necessário, há endereçamento de Recomendação Técnica de Controle (RTC),
para que o gestor solucione as fragilidades identificadas. As recomendações
emitidas são registradas e conduzidas no aplicativo corporativo Sigas.
Anualmente, os resultados das validações são reportados às instâncias
competentes do Banco.
Referências Bibliográficas
1. UNIVERSIDADE CORPORATIVA BANCO DO BRASIL. Cartilha Controles

Internos, Compliance e Risco Operacional, Março 2017
2. UNIVERSIDADE CORPORATIVA BANCO DO BRASIL. Cartilha Risco

Operacional em Canais de Atendimento – Mitigadores de Riscos, Março
2017.
3. BANCO CENTRAL DO BRASIL.
Resoluções CMN nºs 2.554/1988, 3.380/2006, 3.988/2011, 4.193/2013

e 4.390/2014.
Circulares Bacen nºs 3.547/2011, 3.647/2013 e 3.648/2013.
4. COSO – Committee on Sponsoring Organizations of the Treadway

Commission. Atualização 2013
5. BERGAMINI JÚNIOR, SEBASTIÃO. Controles Internos como

Instrumento de Governança Corporativa. Revista BNDES, 2005.
6. UNIVERSIDADE CORPORATIVA BANCO DO BRASIL. Curso Introdução

à Gestão de Riscos. Brasília, 2006.
7. CANDELORO, ANA PAULA. Compliance 360º - Riscos, estratégias,

conflitos e vaidades no mundo corporativo, Trevisan Editora, 2012.
8. Função de Compliance, Associação Brasileira de Bancos Internacionais,

versão 2009, disponível em
http://www.abbi.com.br/download/funcaodecompliance_09.pdf.
9. SANTOS, RENATO ALMEIDA DOS. Compliance como Ferramenta de

Mitigação e Prevenção da Fraude Organizacional,
http://www.cgu.gov.br/Publicacoes/controle-social/arquivos/6-
concurso-monografias-2011.pdf
10. MARSHALL, Christopher Lee. Medindo e Gerenciando Riscos

Operacionais em Instituições Financeiras Riscos Operacionais. Saraiva,
2002.
11. COIMBRA, Fábio nb. Estrutura para Gestão em Bancos. Saint Paul,
2007
12. BRITO, Osias. Gestão de riscos: Uma abordagem orientada a Riscos

Operacionais. Saraiva, 2007.
13. TATAM, David. Um breve guia ao risco operacional. Sicurezza. 2013.
14. Centro de Estudos, Resposta e Tratamento de Incidentes de

Segurança no Brasil, CERT.Br. Cartilha de Segurança para Internet ISBN
- versão 4, disponível em http://cartilha.cert.br
15. UNIVERSIDADE CORPORATIVA BANCO DO BRASIL. Sinapse Evitando

Fraudes em Cheques, Código Educa 3912.
15. UNIVERSIDADE CORPORATIVA BANCO DO BRASIL. Curso

Identificando Pessoas, Código Educa 4410.
16. Instrução Normativa – Segurança em Produtos, Processos e Serviços,

Versão 55.
Anexo 1
Colapsos financeiros no Brasil e no mundo.
As dolorosas consequências para os poupadores, para a sociedade e a economia são a

seguir exemplificadas com casos de colapsos de empresas ligadas ao sistema financeiro,
no mundo e no Brasil.
Coroa Brastel: Fiscais do Bacen descobriram no escritório da financeira Coroa, no Rio,

pistas de um derrame de letras de câmbio frias. Ao todo, US$650 milhões. Anos antes,
Assis Paim Cunha - dono do grupo Coroa-Brastel - foi pressionado pelo governo para
que assumisse o passivo da corretora Laureano, para evitar uma quebra generalizada
no sistema financeiro. Paim foi preso, processado e perdeu as empresas. Os pequenos
investidores não conseguiram reaver as perdas.
Papatudo: Com a apresentadora Xuxa como garota-propaganda, o Papa-Tudo era

administrado pela corretora Interunion e lesou milhões de investidores que compraram
o título de capitalização da empresa. Segundo o Ministério Público Federal, os gestores
simulavam lucros com falsos dados contábeis, mas não mantinham sequer reservas
técnicas para garantir o reembolso.
Banco Nacional: Segundo a denúncia do Ministério Público, 652 créditos fantasmas no

banco causaram um prejuízo à sociedade de US$15 bilhões, com a contabilização de
lucros falsos, a distribuição de dividendos e a captação de recursos com subscrição de
ações, numa empresa praticamente falida.
Banco Econômico: As fraudes do Banco Econômico vieram à tona quando o Bacen

decretou intervenção na instituição. Na época, o Econômico, tecnicamente quebrado,
pegava empréstimos diários de R$ 1 bilhão para fechar o caixa. O Bacen apurou um
rombo de R$ 7 bilhões, causado principalmente por empréstimos irregulares a empresas
coligadas.
Banco Barings: Esse tradicional banco inglês e depositário de parte da riqueza pessoal
da monarquia britânica foi à falência devido à atuação de um único funcionário, o
operador de derivativos22 Nicholas Leeson, localizado em Cingapura.
Os problemas que geraram as perdas nesse banco estão relacionados à mudança

repentina das condições de mercado e à inexistência de controles internos básicos
22
Derivativo é um instrumento financeiro cujo valor deriva de outro ativo, que pode ser um bem na forma
financeira ou real.
como: segregação de funções, dupla conferência, conciliações e controles
automatizados.
Bancos Marka e FonteCindam: Os bancos, por natureza, são empresas que operam
de forma alavancada23. A utilização das operações com derivativos pode aumentar ainda
mais a exposição aos diversos riscos a que estão sujeitos os agentes econômicos. Foi
no ambiente dos mercados futuros que foram originadas as perdas dos bancos Marka e
FonteCindam e que provocaram suas liquidações extrajudiciais. O Banco Marka possuía
posição vendida (passivos) em dólares nos mercados futuros de mais de vinte vezes
seu patrimônio líquido. Com isso, uma mudança brusca no câmbio, como a
desvalorização ocorrida em janeiro de 1999, reduziu os recursos dos bancos para a
continuidade das atividades. Operar em mercados de derivativos exige o
estabelecimento de limites de exposição para não causar perdas elevadas. Quando uma
instituição vende dólares futuros a descoberto (sem contrapartida comprada em
operações com dólares), o prejuízo resultante de uma alta do dólar é elevado. No caso
dos bancos Marka e FonteCindam, os prejuízos foram equivalentes a R$ 1,5 bilhão.
Enron: Da sétima posição do ranking das maiores empresas do mundo à ruína por
fraude contábil. Criada em 1985, a distribuidora de energia Enron superou em 2000 a
incrível marca de US$ 100 bilhões em receita, o que a colocou na sétima posição do
ranking das 500 maiores empresas do mundo elaborado pela revista Fortune. No ano
seguinte, no entanto, a Enron ruiu. De acordo com declarações dos promotores que se
debruçaram sobre o caso, a Enron utilizou “truques contábeis, ficção, declarações
enganosas, omissões e falsas verdades” em uma série de fraudes que inflou os lucros
da companhia.
Arthur Andersen: No início do século, a Arthur Andersen era uma das “Big Five”, o
grupo das cinco grandes empresas de auditoria financeira do mundo. A tradição da
Andersen, fundada em 1913, no entanto, não evitou sua ruína. A empresa foi tragada
pelo escândalo financeiro da distribuidora de energia Enron, da qual ela era auditora. O
caso Enron foi o mais emblemático na série de escândalos financeiros que assolaram os
EUA no começo do século XXI. Sob a esteira desses episódios, foi criada a Lei Sarbanes-
Oxley, nascida para tentar coibir fraudes contábeis.
WorldCom: Essa operadora de telefonia de longa distância e serviços de dados era a

segunda maior dos EUA e foi responsável por metade do tráfego de e-mails do mundo.
Entretanto, em 2002, a WorldCom declarou o maior pedido de proteção contra falência
23
Alavancagem é a decisão de financiar ativos (negócios) com recursos de terceiros (passivos) e não com
recursos próprios (patrimônio líquido). Quanto mais alavancada uma instituição, maior a presença de capital
de terceiros comparativamente ao capital próprio em seu balanço patrimonial.
da história, até então. Ele aconteceu após a companhia revelar que contabilizou
indevidamente US$ 7,68 bilhões em seus balanços. Alvo de auditorias, a companhia
reconheceu a fraude e decretou falência.
Banco Santos: Diante de diversos saques em contas e resgates em fundos de

investimento, referido banco sofreu intervenção do Banco Central, como forma de
resgatar a confiabilidade do sistema financeiro nacional. O interventor nomeado pela
autoridade monetária descobriu um rombo de R$2,23 bilhões e o Bacen anunciou a
liquidação extrajudicial do banco.
Bear Stearns: Com perdas contábeis de US$ 854 milhões, o Bear Stearns - quinto
maior banco de investimento dos Estados Unidos - foi a primeira grande vítima da crise
americana do subprime. O aumento das dificuldades financeiras fez com que, o banco
recorresse ao Banco Central americano (Federal Reserve - Fed) para conseguir fundos
de emergência. Entretanto, o socorro não veio e o Bear Stearns foi vendido ao JPMorgan
por US$ 236 milhões.
Lehman Brothers: Quarto maior banco de investimentos dos Estados Unidos – e o

mais antigo (1850), sobreviveu ao crash das bolsas de valores em 1929 e à Segunda-
Feira Negra, como ficou conhecido o declínio vertiginoso dos mercados em 1987, mas
não conseguiu passar incólume pela crise financeira internacional de 2008.
Banco Société Générale: Durante 12 meses, um operador enganou os sistemas de

segurança do Société Générale de uma maneira muito simples. Para cada ordem de
compra verdadeira, ele incluía uma ordem de venda fictícia. Os controles do banco
monitoravam somente o resultado dessas operações e não percebiam o seu
descasamento.
Com esse mecanismo o operador acumulou posições especulativas que superaram €$

50 bilhões e obteve, durante algum tempo, bons resultados com essas posições. Os
ganhos expressivos foram incentivados pelos superiores hierárquicos do funcionário,
que tiveram aumento significativo em seus bônus.
Em virtude da crise subprime, as áreas de controle e risco do Société foram chamadas

para reavaliar algumas de suas exposições. Essa inspeção fez com que fosse descoberta
a fraude e revelado o prejuízo acumulado naquelas operações, que superava US$ 7
bilhões.
Banco Barclays: O Banco forneceu informações falsas sobre a taxa de juros que
deveria pagar para receber empréstimos de outros bancos. A manipulação dos números
procurou mostrar que a instituição tinha uma saúde financeira sólida - o que não
correspondia à realidade. Tal manipulação de taxas de juros para empréstimos
interbancários rendeu uma multa de 290 milhões de libras esterlinas ao Banco.
Banco JPMorgan: O Departamento de Justiça dos Estados Unidos e o JPMorgan Chase

firmaram acordo para que este Banco pagasse multa recorde de US$ 13 bilhões por más
práticas hipotecárias. O Banco disse que a maioria dos ativos hipotecários tóxicos
vinham de empresas financeiras por ele adquiridas em 2008 e que haviam sido
duramente golpeados pelo fim da bolha financeira.
Como parte do acordo, o JPMorgan reconheceu que desinformou o público sobre os

valores respaldados por hipotecas "subprime" ou "lixo" e que alguns de seus
funcionários sabiam que esses produtos não eram aptos a serem oferecidos como
investimentos seguros
O JPMorgan não foi a única instituição financeira que, com pleno conhecimento, agrupou
empréstimos tóxicos e os vendeu a investidores confiantes e a conduta revelada foi a
semente da crise hipotecária americana.
Citigroup: O Citigroup foi acusado de ter vendido, entre 2003 e 2008, títulos de
investimento vinculados a empréstimos hipotecários de alto risco e que valiam muito
menos que o originalmente estimado. A fraude causou bilhões de dólares em perdas
para os investidores que os compraram. Para evitar processos penais, o Banco fechou
um acordo com Departamento de Justiça americano, para o qual pagou US$ 7 bilhões
em ressarcimentos e multas.
BNP Paribas: Autoridades norte-americanas estabeleceram multa de US$ 8,95 bilhões

ao BNP Paribas por desobedecer sanções impostas pelos Estados Unidos contra Sudão,
Cuba e Irã por um período de 10 anos até 2012.
Foi a maior multa até então por tais violações e a maior multa na história dos EUA contra
um banco europeu — como parte de uma série de grandes punições feitas pelos
procuradores norte-americanos ao setor financeiro.
Bank of America: O Bank of America acertou com as autoridades judiciais dos Estados
Unidos pagamento de US$ 16,65 bilhões. Essa é a maior multa já paga por uma empresa
nos Estados Unidos, até então.
O banco é investigado pelo Departamento de Justiça dos Estados Unidos por vender,
antes da crise, produtos vinculados a créditos imobiliários de risco que provocaram
elevados prejuízos aos compradores. O banco teria, assim, parte da responsabilidade
pela crise das hipotecas nos EUA, que começou em 2008.

Apostila - Controles Internos e Risco Operacional

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Apostila - Controles Internos e Risco Operacional

Enviado por

Direitos autorais:

Formatos disponíveis

CONTROLES

DIRETORIA DE CONTROLES INTERNOS – DICOI

A chave para a manutenção da integridade financeira de um banco e da preservação da

Como a experiência histórica ensina, a perda generalizada de confiança no sistema

Figura 1 – Principais eventos de colapso no sistema financeiro

As mudanças no ambiente financeiro mundial, tais como a integração entre os mercados

Com as lições obtidas ao longo da história, os principais responsáveis por preservar a

• sistema de controles internos e de gestão de compliance1 abrangente,

A governança, a gestão de riscos e o compliance são aspectos importantes para as

Políticas e mecanismos de gestão de riscos e de capital refletem a sustentabilidade do

Figura 2 – Processo operacional e atividades de controle

No MRLD, a primeira linha de defesa se refere ao gestor do processo, produto e/ou

O reconhecimento mundial da necessidade de mensurar e controlar os riscos das

A seguir, destacam-se alguns marcos da regulação bancária em nosso País e no exterior,

• Determinada a implantação e a implementação de controles internos nas

• Editada a Resolução CMN nº 2.837, que definiu o patrimônio de referência como

• Determinada a implantação de sistema de Controles Internos para administradoras de

• Publicada a Resolução CMN nº 3.081, que trata da prestação de serviços de auditoria

• Editada a Resolução CMN nº 3.380, que dispõe sobre a implementação de

• Editada a Resolução CMN nº 3.416, que altera a Resolução CMN nº 3.198/04 e as

• Editada a Resolução CMN nº 3.490, instituindo o conceito de Patrimônio de Referência

• Publicada a Circular Bacen nº 3.360, que estabelece os procedimentos para o cálculo

• Editada a Circular Bacen nº 3.383, que estabelece os procedimentos para o cálculo da

• Detalhada a composição do Indicador de Exposição ao Risco Operacional pelo Bacen,

• Divulgada a Instrução CVM nº 505, que estabelece normas e procedimentos a serem

• Editada a Circular Bacen nº 3.644 que estabelece os procedimentos para o cálculo da

• Editada a Circular Bacen nº 3.647 que estabelece os requisitos mínimos para a

• Divulgada a Instrução CVM nº 552, que altera e acrescenta dispositivos à Instrução

• Divulgada a Resolução CMN nº 4.502, que estabelece requisitos mínimos a serem

• Divulgada a Resolução CMN nº 4.553, que estabelece a segmentação do conjunto das

• Divulgada a Resolução CMN nº 4.557, que dispõe sobre a estrutura de

Desde então, as regras evoluíram acompanhando as mudanças no próprio setor

Assim, surgiram versões do Acordo de Basileia que se complementam, as quais são

2.1.1 Acordo de Basileia I

Seus objetivos foram reforçar a solidez e a estabilidade do sistema bancário

É o montante de capital próprio alocado para a cobertura de riscos, considerando os

• Capital Nível 1 ou Principal – capital dos acionistas somado às reservas

• Capital Nível 2 ou Suplementar – outras reservas (não publicadas,

2) Ativos Ponderados pelo Risco – APR

A exigência de capital, prevista no Acordo de Basileia, considera a composição dos ativos

3) Índice mínimo de capital para cobertura do risco de crédito – Índice de

Mas como as modalidades de crédito são diferentes e possuem características e riscos

Emenda de riscos de mercado de 1996

O avanço obtido com Basileia I, em termos de marco regulatório e de exigência de

Assim, em janeiro de 1996, foi publicado adendo ao Basileia I, chamado de Emenda de

• ampliação dos controles sobre riscos incorridos pelos bancos;

Uma das deficiências do modelo de Basileia I é a impossibilidade de se diferenciar uma

• promover a estabilidade financeira;

• Pilar I – Exigência de capital mínimo;

Figura 3 – Estrutura do acordo de Basileia II

Pilar I: Exigência mínima de capital

No Pilar I, identificam-se significativas alterações em relação à Basileia I, destacando-

Pilar II: Processo de supervisão

O processo de supervisão estabelece normas para o gerenciamento de risco,

Pilar III: Disciplina de mercado

Disciplina de mercado representa o conjunto de informações a ser divulgado para os

Os agentes participantes do mercado (agências de avaliação de risco, reguladores etc.)

A figura a seguir representa os principais participantes do mercado que acompanham e

Figura 4 - Agentes na análise das informações dos bancos

Quanto mais elevados os níveis de informações contábeis e gerenciais disponíveis para

2.1.3 Acordo de Basileia III

Basileia III representa a principal resposta regulatória internacional à crise financeira

Neste sentido, considerando as orientações do CBSB, em fevereiro de 2011, o Bacen