Escolar Documentos
Profissional Documentos
Cultura Documentos
Mestre em Ciências Contábeis e Atuariais pela PUC-SP, Bacharel em Ciências Contábeis pela FMU, com Pós-Graduação em Auditoria
Interna e Pericia pela FECAP, Certified Compliance Officer – CCO pelo GAFM - USA, Certified in Risk and Information Systems Control –
CRISC pelo ISACA, Information Security Foundation – ISFS pela Exin e Lead Implementer and Internal Auditor ISO 37001 e ISO 37301 pela
QMS Brasil.
Exerceu a função de Auditor, Contador e Controller, posições estas, assumidas em bancos nacionais e internacionais com 37 anos de
experiência exercidos no Banco Toyota do Brasil, Banco BBA Creditanstalt (Atual ITAU-BBA), Banco ABC Brasil, entre outros.
Professor do MBA da TREVISAN – Escola de Negócios, da PUC-PR, da Fundação Dom Cabral – FDC, do Centro Paula Sousa – FATEC, da
FECAP, do IBMEC, da Católica Business School – CBS - PE, da Saint Paul Escola de Negócios, da SUSTENTARE Escola de Negócios de
Joinville - SC, da FIA (Labfin), da UNIMAR – Universidade de Marilia – SP, da FADISMA – Faculdade de Direito de Santa Maria – RS, da
REGES – Rede Gonzaga de Ensino Superior de Dracena, Faculdade La Salle em Lucas do Rio Verde – MT.
Conselheiro Fiscal da CDP Latin América
Curador Acadêmico e Professor da Pos-graduação em GRC pela Sustentare Escola de Negócios - SC
Instrutor de Gestão de Riscos, Compliance e finanças do portal MeuSucesso.com
Instrutor de Controles Internos e Compliance do IBGC.
Instrutor de Governança, Riscos, Controles Internos e Compliance do CRC-SP
Instrutor de Controles Internos e Compliance da Fecontesc – SC
Instrutor do ICA (International Compliance Association), para Compliance de PLD/FT.
Academic Advocate do ISACA, associado do IIA Brasil – Instituto dos Auditores Internos do Brasil.
Membro do IBGC e da Comissão de Gerenciamento de Riscos Corporativos.
Honorary Global Advisory Council do Global Academy of Finance and Management – GAFM.
Livros do Professor
https://www.infomoney.com.br/negocios
14
Casos Reais
Fonte: https://informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
ESG / Compliance
© Todos os
Fonte: Blanchet direitos reservados
Advogados – proibida
– Seminário IBGCaAbril
reprodução
2022
12
Limite Limite de
estratégico tolerância
Apetite à risco
Exposição ao risco
Panasonic Professor of Manufacturing and Logistics; Professor of Operations and Information Management Co-Director,
Fishman-Davidson Center for Service and Operations Management, PhD - Northwestern University, 1974; MSc,
Northwestern University, 1971; BASc, University of Toronto, 1970
Esta comissão era composta por representantes das principais associações de classe de
profissionais ligados à área financeira. Seu primeiro objeto de estudo foram os controles internos.
Posteriormente a Comissão transformou-se em Comitê, que passou a ser conhecido como COSO
– “The Committee of Sponsoring Organizations” (Comitê das Organizações Patrocinadoras).
O COSO é uma entidade sem fins lucrativos, dedicada à melhoria dos relatórios financeiros
através da ética, efetividade dos controles internos e governança corporativa.
Princípio 12 do COSO 2013 - Atividades de controle:
Contextualizando a situação
Supervisão Eficiência
Relatórios compreensivos e redução de controles duplicados,
abrangentes maior cobertura da exposição a
riscos
Alta administração
Órgãos reguladores
Auditoria Externa
Mercado
1ª Linha de Defesa 2ª Linha de Defesa 3ª Linha de Defesa
Controle Financeiro
Segurança Informação
Controles Medidas de Auditoria Interna
Gerenciamento Riscos
da Controle
Gerencia Interno Conformidade
Monitoramento
Qualidade
AUDITORIA
GESTÃO INTERNA
Ações (incluindo gerenciar riscos) para
Avaliação
atingir os objetivos organizacionais
independente
Papéis da 2ª linha Papéis da 3ª linha
Papéis da 1ª linha
Expertise, apoio, Avaliação e assessoria
Provisão de monitoramento e independentes e
produtos/serviços questionamento objetivas sobre
aos clientes; sobre questões questões relativas ao
gerenciar riscos relacionadas a atingimento dos
riscos objetivos
Gestão de Controles
riscos internos
Sócios
Conselho
Conselho de Administração Fiscal
Auditoria
Independente Secretaria de
Governança
Audi
Auditoria
Interna Comitê de
Compliance Inte
Comitês
Auditoria
Conselho
Assembleia
de Conselho
Diretor Geral de Diretoria
Presidente administraç fiscal
acionistas
ão
Diretores
Auditoria Segura
Deliberaç
Controle inform
Administradores
Deliberação Externa
Execução
ão
▪ Mapeamento de processos
▪ Gestão de apontamentos dos órgãos reguladores e
auditorias na gestão de riscos
▪ Monitoramento de planos de ação
▪ Treinamentos
▪ Monitoramento dos prazos das obrigações legais
▪ Monitoramento dos prazos para revisão das políticas e
manuais
▪ Aprovação das políticas
Pré-requisitos
▪ Conhecer o negócio
Objetivos Metas Prestação de contas Avaliação de riscos Fluxo de informações Monitoramento Alçadas decisórias
PRODUTO
PROCESSOS PESSOAS/SISTEMAS
RISCOS OPERACIONAIS RISCOS DE INTEGRDADE/CONFORMIDADE
PLANOS
RISCOS DE INFORMAÇÃO RISCOS ESTRATÉGICOS
CONTROLE
PRODUTO
PROCESSOS PESSOAS/SISTEMAS
RISCOS DE INTEGRDADE/CONFORMIDADE
RISCOS OPERACIONAIS RISCOS DE CONFORMIDADE
Gestão de Controles Internos e Mapeamento de Processos 51
Como fazer a análise da cadeia de valor
Uma cadeia de valor é um conjunto de atividades realizadas por
uma organização com o objetivo de criar valor para seus clientes.
Coleta de dados Tratamento Oferta de Bens e Uso pessoal, não Dados provenientes e
pessoais de realizado no Serviços para comercial, fins destinados a outros
indivíduo Brasil indivíduos no jornalísticos, artísticos países, que apenas
localizado no Brasil ou acadêmicos, transitem pelo
Brasil segurança pública território nacional
4
Princípios da Lei
Finalidade e Adequação
Necessidade
Segurança e Prevenção
Responsabilização
Não Discriminação
7
0
Lei Geral de Proteção de Dados Pessoais - Conceitos relevantes
Dados pessoais
• Informação relacionada a pessoa natural identificada ou identificável
• Dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma
pessoa natural.
• Dados de saúde podem até, dependendo do cenário, sujeitar o indivíduo a práticas discriminatórias.
Lei Geral de Proteção de Dados Pessoais - Conceitos relevantes
Tratamento
• Toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção,
classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento,
armazenamento ...
Consentimento
• Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados
pessoais para uma finalidade determinada;
Comunicação de Incidentes
Lei Geral de Proteção de Dados Pessoais - Pontos de atenção
E uma outra dica essencial é realizar a classificação de dados, seguindo a seguinte ordem:
✓ Mapeamento de dados, utilizando o 5W2H se quiser
✓ Onde estão armazenados os dados pessoais?
✓ Quais os processos tratam dados pessoais?
✓ Consentimento para o uso dos dados como fazer e com quem
✓ Acesso aos dados, quem pode, como e quando acessar
✓ Atualização, correção e exclusão, responsabilidades e obrigações
✓ Portabilidade como orientar o cliente sobre suas políticas
✓ Proteção dos dados internos e de terceiros
✓ Direito ao esquecimento, cuidado ao apagar o passado.
Lei Geral de Proteção de Dados Pessoais - Pontos de atenção
Avaliação dos
Gestão de Crises acessos aos
sistemas
Matriz de Analise de
Riscos Vulnerabilidade
Responsabilidades
Nome do Processo mapeado:
Sistemas utilizados
ANÁLISE CRÍTICA
Análise sobre os pontos identificados
Observações
Metodologia de Análise e Solução de
Problemas - MASP
Diagrama de Ishikawa - é conhecido como Espinha de Peixe ou ainda como
Diagrama de Causa e Efeito. E outra ferramenta é a técnica dos 5 Porquês da
Toyota - é utilizada para a identificação da principal causa de um problema.
Por isso, o mapeamento de processos sempre será uma ferramenta que auxilia na
gestão de conhecimento de uma empresa.
Visão:
É o sonho grande da organização. A visão é o que a empresa deseja se tornar e deve servir de inspiração e dar
forças para que esse objetivo seja atingido. Aqui é necessário definir algo mensurável. A visão da sua empresa
precisa ser realista para ser atingível.
✓ Definir,
✓ Medir,
✓ Analisar,
✓ Melhorar (Improve, em inglês), e
✓ Controlar.
Já ficou mais claro que o uso dessa metodologia se desenvolve nos processos? Essa
ferramenta possui um roteiro de 5 etapas, elaborado a partir da metodologia Lean
Six Sigma, que também ajuda as empresas a utilizar a análise dos dados da gestão
em prol das tomadas de decisões.
2ª etapa: Medir
✓ Avaliar o desempenho do processo e analisar quantitativamente antes de aplicar ações (para
que o desempenho seja comparado antes e depois);
✓ Levantar dados e informações sobre os processos;
✓ Levantar as possíveis causas dos problemas;
✓ Para auxiliar essa etapa, alguns métodos podem ser utilizados, como o Diagrama de Ishikawa
(Espinha de Peixe).
3ª etapa: Analisar
✓ Pense nas causas raiz dos problemas que afetam a gestão;
✓ Analise as melhores formas de contra-atacar essas causas;
✓ Crie oportunidades de melhoria.
✓ Para auxiliar essa etapa, o método dos 5 Porquês pode ser utilizado.
5ª Etapa: Controlar
✓ Monitore o desenvolvimento do plano de ação para que ele não se perca;
✓ Estabeleça critérios de controle (check-lists, estatísticas);
✓ Analise o desempenho geral dos retornos (financeiros ou não) do processo;
✓ Atualize os procedimentos para uma melhoria contínua, de acordo com as necessidades que
forem surgindo.
Estabelecimento de metas com
o método SMART
Mapeie os processos - Para isso, identifique quais agentes internos
serão responsáveis pela busca e processamento de informações.
Assim, uma meta SMART incorpora todos esses parâmetros para focar
os esforços e elevar as possibilidades de se atingir um objetivo.
Crie um plano para cada meta estabelecida, pois cada meta criada
exigirá diferentes recursos e ferramentas de inteligência competitiva para
contemplar as características das metas SMART.
Portanto, não basta coletar insights, é preciso distribuí-los e torná-los
operacionalizáveis pelas equipes de trabalho.
Ah, e uma dica: não faça nada sem o auxílio de dados para
embasamento.
O plano deve conter informações suficientes para dar subsídio para os
próximos passos, como por exemplo: gráficos, relatórios, pontos de
convergência entre as estratégias da empresa e de seus
concorrentes, entre outros.
Reúna as informações e determine quais relatórios deve consultar, os
responsáveis pelas informações e os meios que serão usados durante o
processo.
Os concorrentes não divulgarão as informações que você deseja.
Seguir diretrizes éticas e legais significa consultar dados públicos, então,
saiba que os resultados de visualização podem ser mais demorados, já
que a melhor forma de avaliar tendências é por meio da comparação de
dados em séries históricas.
Indicadores de perfomance
Análise Econômico Financeira Consolidado
Evolução de liquidez
Disponibilidades
Aplicações Financeiras
Operações de Crédito
Composição da Carteira de
Depósitos
Composição do Endividamento
Capital Social
Quantidade de
investidores/associados
Tarifas e serviços
Liquidez Corrente
Análise Econômico Financeira Consolidado
Indicadores Área Responsável Observação
Inadimplência over 90
Retorno de Cobrança
Margem líquida
ISO 31000:2018 e COSO 2013 e
COSO ERM 2017
COSO 2004 COSO 2006 COSO 2013
COSO ERM – Enterprise Risk Management Framework - 2017
Desempenho Aprimorados
Estratégia,
negócios,
Risco da estratégia e performance Implicações da estratégia escolhida
objetivos e
resultados
Governança e Cultura
Desempenho
Verificação e revisão
3. Definir Cultura Desejada - A organização define os comportamentos desejados que caracterizam a cultura
desejada da entidade.
5. Atrair, desenvolver e manter indivíduos capazes - A organização está empenhada em construir e orientar o
capital humano alinhados com a estratégia e os objetivos de negócios.
7. Definir o Apetite ao Risco - A organização define o apetite de risco no contexto da criação, preservação e
realização de seus valores com processos definidos.
COSO ERM – Enterprise Risk Management Framework - 2017
8. Avaliar Estratégias Alternativas - A organização avalia estratégias alternativas e impacto potencial no perfil de
risco, conforme tamanho, porte e complexidade dos negócios.
10. Identificar Risco - A organização identifica o risco que afeta o desempenho da estratégia e objetivos de
negócios e providencia tratamento para os processos identificados.
11. Avaliar a gravidade do risco - A organização avalia a gravidade do risco alinhados à apetite de riscos dos
negócio.
12. Priorizar Riscos - A organização prioriza os riscos como base de informação de perdas para selecionar
respostas aos riscos.
13. Implementar respostas de risco: a organização identifica, avalia e seleciona as possíveis respostas ao risco .
14. Desenvolver a visão de carteiras - A organização desenvolve e avalia uma visão de risco das carteira de
negócios (portfólio).
15. Avaliar mudanças substanciais - A organização identifica e avalia mudanças que podem afetar
substancialmente a estratégia e os objetivos de negócios.
COSO ERM – Enterprise Risk Management Framework - 2017
16. Comentários de Risco e Desempenho - A organização analisa o desempenho da entidade através de seus
comitês e considera a apetite de risco.
18. Aproveitar os Sistemas de Informação - A organização necessita olhar para dentro do negócio e aproveitar
as informações fornecidas da entidade e dos sistemas de tecnologia para que possam suportar a gestão de riscos
corporativos.
19. Comunicar informações sobre riscos - A organização dever utilizar canais de comunicação para suportar
gerenciamento de riscos corporativos, a boa comunicação facilita a identificação das falhas.
20. Relatórios sobre Risco, Cultura e Desempenho - A organização informa o Conselho e o corpo diretivo sobre
os riscos, e as falhas na cultura e no desempenho em vários níveis do negócio e consolidando as informações com
base em toda a entidade.
17 Princípios do COSO 2013
Componentes Princípios
1. Compromisso com a integridade e valores éticos
Ambiente de 2. Responsabilidade de supervisão da Administração
Controles 3. Estrutura, autoridade e responsabilidade
4. Compromisso com a competência
5. Responsabilidade dos colaboradores
10
Governança de Riscos e os Princípios do COSO 2013
Os quatro componentes da Governança de Riscos se relacionam com os 17 Princípios do COSO
2013, o qual foi atualizado para auxiliar no gerenciamento de riscos das organizações em um
ambiente de negócios marcado por crescente complexidade e pressão de partes interessadas.
Governança e Cultura ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
Estratégia ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
Modelo de Negócios ✔ ✔ ✔ ✔ ✔ ✔ ✔
Modelo Operacional ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
Dados, análise e tecnologia ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
Cenário econômico
Linhas de proteção
Mudança organizacional
Áreas de Negocio
Auditoria Interna
Reorganização
Implantar Otimizar
Novos Controles
Controles existentes
Implantar e aprimorar
controles internos
Necessidades
Necessidade de implantação ou Análise dos controles
redesenho
Eficiente Sustentável Automatico
Estratégia
Foco Manual
futuro
Preventivo
Foco Detectivo
Tático
Atual
Corretivo
Efetivo Alinhado
14
13
4
Escritório de
Processo
Os manuais foram gerados
buscando o entendimento do
processo de negócio em uma
sequência lógica de uma cadeia
de valor, entre as áreas da
Cooperativa.
Os manuais foram gerados
buscando o entendimento do
processo de negócio em uma
sequência lógica de uma cadeia
de valor, entre as áreas da
Cooperativa.
Implantação de estruturas de Controles Internos
Identificação e Avaliação de Riscos
• Concepção de Processos
• Conformidade Interna
• Eventos Externos/ Catástrofes
• Contratual
• Fraude
• Contencioso
• Falha Humana
Risco • Conformidade Externa
• Indisponibilidade de Pessoal Especializado
• Sistema e Infraestrutura Financeiro
• Gestão de Pessoas
• Segurança da Informação
• Crédito
• Liquidez
• Mercado
Gestão Corporativa
Segurança
da Auditorias
Informação
76
Por que não funcionam?
GESTÃO
EGO
EQUIPE
77
Gestão Corporativa
Gestão de Compliance
Atender órgãos reguladores
Atender demanda interna
Gestão de Riscos
Prevenção de Perdas Operacionais
Riscos de Credito, Liquidez, Mercado, Capital ...
GESTÃO DE RISCOS DE CONFORMIDADE:
APLICANDO A ESTRUTURA DO COSO ERM
A evolução dos programas de compliance e ética
As atuais diretrizes U.S. Federal Sentencing Guidelines (USSG) identificam os sete elementos
de um programa Compliance & Ética eficaz:
1. Padrões e procedimentos
2. Governança, supervisão e autoridade
3. Devida diligência na delegação de autoridade
4. Comunicação e treinamento
5. Sistemas de monitoramento, auditoria e relatórios
6. Incentivos e fiscalização
7. Resposta a irregularidades
Uma amostra de algumas das orientações de fora dos EUA revela uma imagem consistente
do que os reguladores esperam dos programas C&E. Por exemplo, o Reino Unido, O
Ministério da Justiça forneceu orientações sobre a Lei Antissuborno 2010, descrevendo
procedimentos que organizações comerciais podem colocar em prática para minimizar o risco
de suborno.
Esses procedimentos são resumidos nos seguintes seis princípios, que se alinham
intimamente com o USSG:
1. Procedimentos proporcionais
2. Compromisso de nível superior
3. Avaliação de risco
4. Devida diligência
5. Comunicação (incluindo treinamento)
6. Monitoramento e revisão
A evolução dos programas de compliance e ética
A orientação também foi emitida pela the International Organization for Standardization (ISO).
Seu padrão de sistemas de gestão antissuborno e a norma ISO 37001 inclui o seguinte
expectativas de um programa:
Além do suborno, a ISO também emitiu orientações de forma mais ampla em sistemas de
gestão de conformidade na forma de ISO 37301:2021.
Mais recentemente, ISO 37301 que foi proposta em 2020 para substituir a ISO 19600.
A relação entre conformidade, controle interno e gestão de riscos corporativos do COSO define controle
interno em seu Framework de 2013 e no Enterprise Risk Management - Integrando Estratégia e
Desempenho (2017) da seguinte forma:
Um processo, efetuado pelo conselho de administração de uma entidade, gestão e outro pessoal,
projetado para fornecer garantia razoável em relação ao realização de objetivos relacionados às
operações, relatórios e conformidade.
Como esta definição indica claramente, o controle interno não é exclusivamente sobre questões contábeis e
financeiras, devem estar em conformidade com leis e regulamentos, portanto é um dos três fundamentos
objetivos do sistema de controles internos de uma organização. Os cinco componentes de controle interno
suportam todos três categorias de objetivos:
✓ Ambiente de controle
✓ Avaliação de risco
✓ Atividades de controle
✓ Informação e comunicação
✓ Atividades de monitoramento
Definição da estratégia e dos objetivos para os riscos de conformidade
Este item descreve a aplicação da estratégia e dos componentes de definição de objetivos da estrutura
COSO ERM, e os quatro princípios a seguir associados à gestão de riscos de conformidade:
1. Analisa o contexto de negócios
2. Define o apetite de risco
3. Avalia estratégias alternativas
4. Formula objetivos de negócios
O contexto é fundamental para compreender e gerenciar riscos de conformidade. A tomada de decisões
de negócios é um dos motivadores do risco de conformidade, por isso as decisões podem criar novos
riscos, alterar os riscos existentes ou eliminar os riscos.
Alguns dos fatores internos mais importantes de risco de conformidade incluem mudanças
em pessoas, processos e tecnologia.
Por exemplo, mudanças recentes nas leis de privacidade e segurança de dados criou riscos
de conformidade totalmente novos para algumas organizações.
Fatores externos podem estar em um nível macro (por exemplo, em todo o setor de
concorrência, condições econômicas) ou em um nível micro (por exemplo, mudanças nas leis
e regulamentos locais ou regionais).
Definição da estratégia e dos objetivos para os riscos de conformidade
Para quem não está familiarizado com o termo, apetite pelo risco de conformidade muitas vezes evoca
imagens de organizações que aceitam voluntariamente violações de conformidade conhecidas. A própria
natureza do risco de conformidade significa que uma lei pode ser violada e que pode resultar em ou mais
consequências não financeiras para a organização (por exemplo, multas, suspensão ou exclusão, danos à
reputação).
Conforme definido pelo COSO, o apetite pelo risco refere-se aos tipos e quantidade de risco, em um nível
amplo, que a organização está disposta a aceitar em busca de valor.
Nem apetite e nem tolerância a risco - os níveis aceitáveis de variação no desempenho relacionados aos
objetivos de negócios - é normalmente definido no nível específico de risco.
Analise de desempenho para riscos de conformidade
1. Identifica o risco
2. Avalia a gravidade do risco
3. Prioriza o risco
4. Implementa respostas de risco
5. Desenvolve visão de portfólio
Para que os programas C&E sejam eficazes, é esperado que reguladores e que as organizações
periodicamente devam avaliar as ameaças de descumprimento potenciais de leis, regulamentações
e políticas, bem como má conduta ética, de modo que a organização possa tomar medidas para
gerenciar esses riscos para níveis aceitáveis.
Elementos chaves da área de Compliance
Pessoas
Segurança
Gestão de Administração
Riscos Física, Geral
Gestão Processos Gestão de Pessoas
Lógica,
Cibernética Gestão da Conduta
Controles Internos Riscos
Negócios Proteção de Dados Educadoria
operacionais, Psicologia
Metodologias de Ativos da
Estrutura, Continuidade de Sociologia
Planejamento, Informação
Monitoramento, Negócios - PCN Comportamento
Modelagem e
Gestão, Gestão de Crises Humano
Gestão
Relatórios, Gestão de projetos Neurolinguística
Controles
Contábeis
Elementos chaves da área de Compliance
Direitos
Alinhamento à Alinhamento à Humanos,
Gestão de estratégia e Minorias, Meio
Conformidade
Ética Ambiente,
Regulação Riscos Respeito aos
Desempenho animais
Ameaças
Diversidade
Percebido
como
estratégia de Não é uma
negócio e Integridade
Commoditie
protetor da
reputação
Elementos chaves da área de Compliance
Pessoas são
Discutir Entender as
vetores de riscos Sugerir formas de
motivações dos
e oportunidades Integridade minimizar esses
profissionais
para qualquer pessoal e (comportamentos) riscos e trata-los
organização. corporativa com para incorrerem em com
frequência e riscos de Compliance tempestividade
São a base do e forma de mitiga-los
efetiva
negócio.
Gestão de Compliance: a Missão.
• Facilitar
• Prestar consultoria • Colaborar • Experiência
Consultor
com assertividade • Desenvolver • Competências
comprometimento técnicas e
• Formar/Treinar • Desenvolver comportamentais em
• Orientar/Redirecionar habilidades nível avançado
Educador • Perspicácia
• Aconselhar transformadoras
Apoiar o • Coragem
• Recomendar nas pessoas
negócio da • Disponibilidade
empresa • Planejar, • Proatividade
• Promover a
• Organizar • Confiabilidade
Gestor integridade
• Dirigir • Boa Comunicação
corporativa
• Controlar • Negociação
• Atingir metas • Acesso as
• Motivar pessoas pessoas
• Cumprir o
Líder • Obter resultados com a • Autonomia
Planejamento
Equipe
Estratégico
COMPLIANCE = CONFORMIDADE
BENEFÍCIOS DA IMPLANTAÇÃO DE UM SISTEMA DE COMPLIANCE
Compliance Auditoria
Interna
Gestão do Gestão De
Conhecimento Riscos
Controles Internos
(PROCESSOS)
NEGÓCIO
1 8 GESTÃO DE
RISCOS
CONTROLES
INTERNOS
2 7 AUDITORIA
COMPLIANCE
3 6 SEGURANÇA
INFORMAÇÃO
PROCESSOS
4 5 QUALIDADE
MATRIZ DE RISCO
Identificação e caracterização do risco Controle / Mitigação / Contingência
Probabilidade
Nivel de Risco
Responsável
Não
Impacto
Ação de Normas e
Número
validar
Validação dos não
não realizar o risco documentação e
dados com politica e atendimento Res. 4753/20
obtenção de conheça o seu risco de societário informações do
abertura Operacional B M 2 serasa ou manual de João das regras e e Circ.
informação cliente fraude (PJ) e Fiscal cliente/cooperad
sistema procedimentos classificação 3978/20
devidamente (PF) o e pendencia de
interno de cliente
confirmação
prazo de obteção controle de não
Riso de contato por rede
da atualização e revisões e politica e atendimento Res. 4753/20
atualização lavagem da internet ou
1 Cadastro manutenção dificuldade no Operacional risco legal M M 4 atualização de manual de João das regras e e Circ.
cadastral de comunicação
recebeimento de capacidade procedimentos classificação 3978/20
dinheiro corporativa
informações financeira de cliente
segurança perfis de
vazamento e Segurança da
possibilidade de da acesso e politica e Treinamento,
consulta de Proteção não informação,
manutenção vazamento de Operacional informação M A 6 monitorament manual de Jose monitoramento
informações de dados tratamento cibernetica e
dados e controle o da procedimentos e testes
de dados LGPD
de acesso informação
2
“Não podemos definir controles internos e compliance
somente como políticas e procedimentos executados
de tempos em tempos. Trata-se de ação permanente
em todos os níveis dentro de uma empresa e, sempre
que possível, revisada e atualizada.”