PEsquisa de SOX

PONTIFÍCIA UNIVERSIDADE CATÓLICA DE SÃO PAULO
GILBERTO CABELEIRA ALVES
UM ESTUDO SOBRE A ESTRUTURAÇÃO DE FUNÇÕES DE

CONTROLES INTERNOS EM INSTITUIÇÃO FINANCEIRA
NO BRASIL
MESTRADO EM CIÊNCIAS CONTÁBEIS E FINANCEIRAS
São Paulo
2010
1
PONTIFÍCIA UNIVERSIDADE CATÓLICA DE SÃO PAULO

PÓS-GRADUAÇÃO EM CIÊNCIAS CONTÁBEIS E FINANCEIRAS
GILBERTO CABELEIRA ALVES
UM ESTUDO SOBRE A ESTRUTURAÇÃO DE FUNÇÕES DE

CONTROLES INTERNOS EM INSTITUIÇÃO FINANCEIRA
NO BRASIL
Dissertação apresentada à Banca Examinadora da

Pontifícia Universidade Católica de São Paulo,
como exigência para obtenção do Título de Mestre
em Ciências Contábeis e Financeiras, sob a
orientação da Profª. Drª. Neusa Maria Bastos
Fernandes dos Santos.
SÃO PAULO
2010
2
BANCA EXAMINADORA
____________________________________________
____________________________________________
____________________________________________
3
Dedico esta Dissertação
à minha Família.
4
AGRADECIMENTOS
À Deus, que me protege e me guia.
À minha família, em especial à minha esposa Eliza, ao meu filho Rafael e minha mãe
Alveni, por todo o amor, apoio e incentivo recebido.
À Profª. Drª. Neusa Maria Bastos Fernandes dos Santos, que me orientou neste
trabalho, pela sua dedicação, sabedoria e apoio oferecido para a elaboração deste
estudo.
Aos professores doutores Jairo da Rocha Soares e Carlos Hideo Arima,

componentes da Banca Examinadora, pelas valiosas sugestões para enriquecimento
desta dissertação.
Aos Professores do Programa, pelos ensinamentos e pela honra de tê-los tido como
professores.
Aos meus amigos, colegas e, em especial, aos profissionais do mercado que deram
suas valiosas contribuições como participantes no desenvolvimento deste estudo.
À Profª. Juraci Beraldi, pela amizade e apoio na leitura crítica do texto.

5
Você deve ser a mudança que você quer ver no mundo.
Mahatma Gandhi
Líder político e espiritual indiano (1869 - 1948)

6
RESUMO
Esta dissertação, um estudo de caso, tem por objetivo examinar funções de controle
em instituição financeira de grande porte no Brasil e responder a questão central:
como e por que integrar as funções de controle em instituições financeiras? O
estudo compreende análise dos conceitos, objetivos e abordagens adotadas pelas
funções: Controles Internos, Gestão de Riscos Operacionais e SOX Compliance.
Identifica-se o conceito de controles internos como sendo o fundamento das três
funções de controle em análise. A estrutura de melhores práticas do COSO –
Internal Control Integrated Framework é utilizada para comparar a atuação das três
funções. Entrevistas e questionários são utilizados para coleta de dados primários, e
análise documental e observação, para dados secundários. Respostas das áreas
participantes indicam que departamentos sujeitos a revisões pelas funções de
controle consideram a integração destas funções necessária. Análise dos objetivos
destas funções identifica que Gestão de Riscos Operacionais e SOX Compliance
possuem objetivos e enfoques diferentes, a primeira objetiva reduzir histórico de
perdas, a segunda, qualidade dos reportes financeiros, ambas reportam para
diretorias diferentes, possuem métricas de performance distintas e requerem
diferentes habilidades de seus profissionais. Comparação das práticas em uso
demonstra que estas funções adotam abordagens semelhantes, entretanto, não
integradas. São identificados inúmeros exemplos de oportunidades de integração,
tais como: implante de processos compartilhados para identificação e categorização
de riscos, monitoramento de controles e reporte. A completa integração em área
única mostrou-se não adequada, mas é aceito que a forma de atuação destas
funções precisa ser revista para que aproveitem oportunidades de integração.
Palavras-chave: Funções de Controle – Gestão de Riscos Operacionais – Controles

Internos – Lei Sarbanes-Oxley.
7
ABSTRACT
This dissertation, a case study, has the purpose of examining the control functions in
a large financial institution in Brazil and answer the central question: how and why to
integrate the control functions in financial institutions? The study comprised the
analysis of concepts, mission and approaches in use by Internal Control, Operational
Risk Management and SOX Compliance functions. The internal control concept was
identified as being the foundation of the three control functions under analysis. The
framework of best practices in internal controls, COSO – Internal Control Integrated
Framework, is used to compare the way in which those functions operate. Interviews
and questionnaires are used to collect primary data and documental analysis and
observation for secondary data. Answers from the participating areas indicate that
the departments reviewed by the control functions consider integration as necessary.
By analyzing the purpose of those functions it is identified that Operational Risk
Management and SOX Compliance functions have different purposes and focuses,
the first aims at reducing the historic of losses and the later focuses on the quality of
financial reporting, both functions report to different directors, have different
performance measures and require different skill from their professionals.
Comparison of the practices in use indicates that those functions adopt similar
approaches; however, not integrated. It is identified a number of examples of
opportunities for integration, such as: implementing a shared process for identifying
and ranking risks, monitoring controls and reporting. The full integration within a
single department revealed to be not adequate, but it is accepted that those functions
need to be reviewed to take advantage of the integration opportunities.
Keywords: Control Functions – Operational Risk Management – Internal Controls –

Sarbanes-Oxley Act.
8
SUMÁRIO
1. INTRODUÇÃO................................................................................................ 14
1.1. Problema de Pesquisa................................................................................. 14
1.2. Objetivos da Pesquisa.................................................................................. 15
1.3. Justificativa do Tema escolhido e Demonstração de sua Importância....... 15
1.4. Metodologia.................................................................................................. 16
1.5. Estrutura do Trabalho................................................................................... 17
2. REFERENCIAL TEÓRICO............................................................................. 19
2.1.Governança Corporativa............................................................................... 20
2.2. Gestão de Riscos......................................................................................... 22
2.3. Controles Internos ...................................................................................... 25
2.4. Compliance ................................................................................................ 33
2.5. Gestão de Riscos Operacionais ................................................................. 36
2.6. Sarbanes-Oxley .......................................................................................... 44
2.7. Integração nas funções de controles ......................................................... 50
3. ESTUDO DE CASO....................................................................................... 54
3.1.Características do Estudo............................................................................. 54
3.2. Características da Instituição Pesquisada.................................................... 56
3.3. Breve histórico das Funções de Controle na instituição............................... 58
3.4. Abordagem para Coleta e Análise das Evidências....................................... 60
4. RESULTADO (1): NÍVEL DE INTEGRAÇÃO ENTRE AS FUNÇÕES DE 64

CONTROLE........................................................................................................
4.1. Percepção sobre a Cultura Geral de Controle.............................................. 64
4.2. Interação com as funções de controle existentes......................................... 65
4.3. Interação entre as funções de controle ....................................................... 67
4.4. Nível de governança das funções de controle.............................................. 68
4.5. Adequação de recursos para as funções de controle.................................. 70
4.6. Contribuição das funções de controle para o ambiente geral de controles 71
da instituição.......................................................................................................
4.7. Se existiriam tais áreas caso não fossem requerimentos regulatórios ou 72
políticas do Grupo ..............................................................................................
4.8. Se o vocabulário utilizado por estas funções de risco podem causar 73
distorções à alta administração sobre os riscos reais a que a instituição está
exposta ..............................................................................................................
4.9. Se os "issues" parecem mais importantes do que realmente o são e 74
podem afetar a percepção da administração quanto a real criticidade do
assunto ..............................................................................................................
9
4.10. Adequação da estrutura de comitês para tratar questões de controles 75

internos..............................................................................................................
4.11. Se falta integração às funções de controle ................................................ 76
5. RESULTADO (2): AS FUNÇÕES DE CONTROLE EM FUNCIONAMENTO 77

NA INSTITUIÇÃO...............................................................................................
5.1. Responsabilidade final pelos Controles Internos.......................................... 77
5.2. SOX Compliance.......................................................................................... 79
5.3. Gestão de Riscos Operacionais................................................................... 85
5.4. Controles Internos / Revisores de Processos.............................................. 86
5.5. Diferenças de objetivos entre as funções de controle.................................. 87
5.6. Habilidades requeridas aos Profissionais das Funções de Controle.......... 88
5.7. Avaliação de Performance das Funções de Controle ................................. 89
6. RESULTADO (3): ANÁLISE COMPARATIVA DAS ABORDAGENS EM 91

USO PELAS DIFERENTES FUNÇÕES DE CONTROLE..................................
6.1.Captura de informações junto às áreas de negócios e gestores de 95
processos............................................................................................................
6.2. Identificação e Avaliação de Riscos............................................................ 96
6.3. Certificação da realizações dos controles.................................................... 97
6.4. Classificação dos riscos............................................................................... 98
6.5. Reporte dos resultados das análises........................................................... 99
6.6. Participação de outras funções de controle................................................. 100
6.7. Benefícios de uma maior integração para as funções de controle.............. 101
6.8. Razões para não integração entre funções de controle............................... 102
6.9. Impactos das funções de controle nas áreas de negócios e operações...... 104
6.10. Oportunidades Identificadas pela maior integração................................... 105
7. CONSIDERAÇÕES FINAIS........................................................................ 113
REFERÊNCIAS................................................................................................... 117
APÊNDICES........................................................................................................ 127
10
LISTA DE FIGURAS
Figura 1 Cubo do COSO………………………………………………………. 27
Figura 2 Três Pilares do Novo Acordo da Basiléia………………………….. 38
Figura 3 Gráfico de Distribuição de Perdas x Probabilidade de Perdas…. 42
Figura 4 Modelo de Análise de Riscos ao Processo de Reporte 47

Financeiro – SOX..........................................................................
Figura 5 Esquema Geral de Relacionamento entre as diferentes Funções 51

de Controle e suas partes relacionadas........................................
11
LISTA DE QUADROS
Quadro 1 Requisitos da Resolução CMN nº 2554/98................................. 30
Quadro 2 Principais requisitos da Lei Sarbanes Oxley (para o propósito 45

deste estudo)...............................................................................
Quadro 3 Comparativo das Estruturas das Funções de Controle.............. 57
Quadro 4 Percepção sobre a Cultura Geral de Controle............................ 65
Quadro 5 Interação com as Funções de Controle Existentes..................... 66
Quadro 6 Interação entre as Funções de Controle .................................... 67
Quadro 7 Nível de governança das funções de controle ........................... 69
Quadro 8 Adequação de recursos para as funções de controle ................ 70
Quadro 9 Contribuição das funções de controle para o ambiente geral de 71

controles da instituição ..............................................................
Quadro 10 Se existiriam tais áreas caso não fossem requerimentos 72

regulatórios ou políticas do Grupo..............................................
Quadro 11 Se o vocabulário utilizado por estas funções de risco podem 73

causar distorções à alta administração sobre os riscos reais a
que a instituição está exposta ....................................................
Quadro 12 Se os "issues" parecem mais importantes do que realmente e 74

podem afetar a percepção da administração quanto a real
criticidade do assunto.................................................................
Quadro 13 Se a estrutura de comitês existente para tratar de questões de 75

riscos é adequada para capturar e filtrar as questões sobre
controles internos........................................................................
Quadro 14 Se falta integração às funções de controle .............................. 76
Quadro 15 Análise das funções de controle por habilidades requeridas e 88

preocupações fundamentais.......................................................
Quadro 16 Contribuição de cada função de controle aos cinco elementos 91

de um sistema de controles internos do COSO..........................
Quadro 17 Nível de Integração entre as diferentes funções de controle..... 92
Quadro 18 Captura de Informações junto às áreas de negócios ................. 95
Quadro 19 Identificação e Avaliação de Riscos .......................................... 96

12
Quadro 20 Certificação da realização dos Controles Internos...................... 97
Quadro 21 Classificação dos Riscos............................................................ 98
Quadro 22 A quem são reportados os resultados das análises................... 99
Quadro 23 Participação de outras funções de controle................................ 100
Quadro 24 Benefícios de uma maior integração entre as funções de 101

controle.......................................................................................
Quadro 25 Porque não são aproveitadas as funções de controle para 102

integração...................................................................................
Quadro 26 Impacto das áreas de negócios e operações............................. 104
Quadro 27 Componentes COSO e suas Oportunidades de Integração..... 111

13
LISTA DE ABREVIATURA E SIGLAS
AAA American Accounting Association

AICPA American Institute of Certified Public Accountants
AMA Advanced Measurement Approach
ART. Artigo
BACEN Banco Central do Brasil
BIA Basic Indicator Approach
BIS Bank for International Settlement
CAO Chief Accounting Officer
CEO Chief Executive Officer
CFO Chief Financial Officer
CMN Conselho Monetário Nacional
COSO Committee on Sponsoring Organization of the Treadway Commission
CRO Chief Risk Officer
CVM Comissão de Valores Mobiliários
EXCO Executive Committee
FEBRABAN Federação Brasileira de Bancos
FEI Financial Executives Institute
GC Governança Corporativa
IBGC Instituto Brasileiro de Governança Corporativa
IFRS International Financial Reporting Standards
IIA Institute of Internal Auditors
IMA Institute of Management Accounts
IT Information Techonology
OECD Organisation for Economic Co-operation and Development
SA Standardized Approach
SEC U. S. Securities and Exchange Commission
SERASA Centralização dos Serviços Bancários S/A
SOX Lei Sarbanes-Oxley
SPC Serviço Nacional de Proteção ao Crédito
14
1. INTRODUÇÃO
O tema deste estudo é a estruturação das funções de controle em uma

instituição financeira de grande porte. Tema relevante num momento em que se
discute a crise financeira, originada nos Estados Unidos da América em 2007, e que
culminou na quebra do tradicional banco Lehman Brothers em transações de crédito
imobiliário, quando as instituições financeiras precisam revisar suas abordagens
para a mitigação de riscos, contexto em que estão inseridas as funções de controle.
Acomodar crescentes requisitos regulamentares, cada um com suas
particularidades, têm feito proliferar na instituição financeira, objeto de estudo, as
funções de controle. O impacto desta proliferação de funções de controle faz suscitar
questionamentos sobre a sua real efetividade, e quanto à possibilidade de
duplicação de esforços, reportes inconsistentes, lacunas não cobertas por nenhum
procedimento e falta de integração.
1.1. Problema de Pesquisa
O que se verificou ao longo dos anos na instituição financeira objeto do

estudo, com a crescente e dispersa regulamentação sobre controles internos, gestão
de riscos operacionais e Lei Sarbanes-Oxley foi a multiplicação de funções de
controle: Controles Internos, Compliance, Gestão de Riscos Operacionais e SOX
Compliance.
Enquanto houve pujança geral da economia global, estas funções de controle
puderam perdurar sem que maiores questionamentos fossem realizados acerca de
sua efetividade. Mas, a partir do momento em que se instaura uma crise global como
a que estamos vivenciando, as funções de controle passam a ser revisitadas,
visando compreender como poderiam cumprir com mais eficácia seu papel dentro
das instituições.
É neste contexto, que o estudo a que se propõe este trabalho assume
relevância, pois visa a apresentar uma contribuição a todos os que militam nesta
área acerca da forma como estas funções de controle podem ser estruturadas de
maneira integrada e com maior eficiência, respondendo à seguinte questão
15
problema: Como e por que integrar as funções de controle em instituições

financeiras de grande porte no Brasil?
1.2. Objetivos da Pesquisa
Este estudo tem por objetivo geral verificar as razões e as formas pelas quais
as funções de controle dentro de uma instituição financeira de grande porte devem
buscar maior integração, para maior eficiência de seus controles internos, gestão de
riscos operacionais e conformidade com a Lei Sarbanes-Oxley.
Os objetivos específicos, por sua vez, são:
i) Identificar as principais funções de controle dentro de uma instituição

financeira, a regulamentação aplicável, suas origens, missão e principais
abordagens em uso.
ii) Identificar, na abordagem utilizada pelas diversas funções de controle,
pontos em comum que poderiam criar oportunidades para maior
integração entre as funções de controle.
iii) Apresentar uma proposta para estruturação das funções de controle de
forma mais integrada e com maior valor agregado.
iv) Analisar as razões pelas quais as funções de controle foram estruturadas
da forma como o foram na instituição objeto do estudo.
1.3. Justificativa do Tema escolhido e Demonstração de sua

Importância
Nos últimos anos regulamentações surgidas em tempos distintos resultaram

na necessidade de as instituições financeiras estruturarem funções de controle para
a sua implementação e acompanhamento.
A Resolução do CMN – Conselho Monetário Nacional nº 2554/98 exige das
instituições financeiras a estruturação de sistemas de controles internos. A Lei
Sarbanes-Oxley de 2002 – Lei SOX – aplicável às instituições que possuam ativos
negociados nas bolsas de valores norte-americanas requer a implantação de um
16
processo de certificação dos controles internos pelos CEO – Chief Executive Officers
e CFO – Chief Financial Officers das companhias. O Novo Acordo da Basiléia de
2004 e a Resolução do Conselho Monetário Nacional nº 3380/06 requerem que as
instituições financeiras estruturem uma função para a Gestão de Riscos
Operacionais.
Neste trabalho utiliza-se o vocábulo “estruturação”, tal como definido por
Coimbra (2007, p.21): “processo de estruturar, fornecer estrutura”. Por conseguinte,
entende-se “estrutura” como disposição e ordem dos elementos essenciais que
compõem um corpo concreto ou abstrato; organização das partes; reunião de
elementos que forma um todo e a sua inter-relação com este todo; e aquilo que dá
sustentação (concreta ou abstrata) a alguma coisa.
Hoje, funções de controle estão estabelecidas em resposta a estas
regulamentações, o que, em momento de expansão da economia e do crédito,
quase não foi objeto de questionamento. Contudo, numa época em que as
instituições precisam rever seus modelos de gestão, com a crise financeira
internacional que se instalou em 2007, estas estruturas de controle também são
objeto de questionamento. É neste contexto que o tema de estudo assume
relevância a todos os que fazem suas carreiras nestas funções de controle.
1.4. Metodologia
Este estudo, que é uma pesquisa do tipo exploratória se fundamenta num

estudo de caso após a realização de pesquisa bibliográfica. Trata-se de um estudo
de caso realizado numa instituição financeira de grande porte no Brasil, com base na
concepção de estudo de caso de Yin (2005, p.61), segundo o qual a proposta é de
estudar três funções de controle que operam na instituição financeira selecionada,
visando o nível de integração entre estas funções de controle.
A metodologia encontra-se detalhada no capítulo três que se refere ao Estudo
de Caso.
17
1.5. Estrutura do Trabalho
Este estudo está estruturado em sete capítulos: 1) Introdução; 2) Referencial

Teórico; 3) Estudo de Caso; 4) Resultado: Percepção existente sobre o nível de
integração entre as funções de controle; 5) Resultado: Objetivos e forma de atuação
das funções de controle na instituição objeto de estudo; 6) Resultado: Análise
Comparativa das Abordagens em uso pelas diferentes Funções de Controle e 7)
Considerações Finais.
O primeiro capítulo apresenta a introdução, o problema de pesquisa, seus
objetivos, a justificativa do tema escolhido e demonstração de sua importância, um
esboço da metodologia adotada para o estudo e a estrutura do trabalho.
O segundo capítulo enfoca o referencial teórico e tem por objetivo apresentar
os conceitos fundamentais, identificando as principais funções de controle dentro do
contexto de uma instituição financeira, regulamentações aplicáveis, suas origens,
missão, clientes e principais abordagens em uso. Este capítulo apresenta quais as
principais preocupações em termos organizacionais de cada uma das funções de
controle, e uma visão geral sobre como estes conceitos são interligados, culminando
com o entendimento de que “controles internos” é o conceito chave comum a todas
as funções de controle. Este entendimento irá fundamentar a utilização do COSO -
Internal Control Integrated Framework como base para comparação das diferentes
funções de controle.
O terceiro capítulo aborda as características do estudo de caso, da instituição
objeto do estudo e seus participantes, um breve histórico das funções de controle e
abordagem para coleta e análise de dados.
O quarto capítulo tem por objetivo apresentar o primeiro resultado que é o da
análise das respostas obtidas no questionário II (Apêndice II) que trata da percepção
existente entre os gerentes seniores acerca do nível de integração das funções de
controle.
O quinto capítulo apresenta o segundo resultado que contém uma análise de
como operam as funções de controle na instituição objeto do estudo. Desta análise é
identificado que as funções de controle possuem diferentes objetivos, linhas de
reporte, métricas de performance e requerem habilidades distintas de seus
18
profissionais. Entretanto, compartilham abordagens semelhantes para a consecução

de seus objetivos, o que permite uma atuação de forma mais integrada.
O sexto capítulo apresenta o terceiro resultado, ou seja, uma análise
comparativa da forma de operação das funções de controle com vistas à
identificação das oportunidades de uma atuação mais integrada das diferentes
funções. Toma-se por base para as conclusões as respostas obtidas em entrevistas
aos gerentes seniores responsáveis pelas funções de controle e os 5 componentes
de um sistema de controles internos do COSO.
O sétimo capítulo apresenta as considerações finais, seguido das referências
e dos apêndices.
.
19
2. REFERENCIAL TEÓRICO
O objetivo deste capítulo é identificar as principais funções de controle dentro

do contexto de uma instituição financeira de grande porte, a regulamentação básica
aplicável, suas origens, missão, clientes e principais abordagens em uso.
No Brasil até 1998 as funções de controle, em geral se resumiam à
Controladoria e Auditoria Interna. Em 1998 com a publicação da Resolução CMN nº.
2554/98 as instituições financeiras no Brasil foram requeridas a implementar
sistemas de controles internos. Esta Resolução do Conselho Monetário Internacional
estava alinhada com os requisitos do Comitê da Basiléia que em Janeiro daquele
mesmo ano havia publicado o Framework for Internal Control Systems in Banking
Organizations (Estrutura para Sistemas de Controles Internos em Organizações
Bancárias) a qual utilizou como base a estrutura de melhores práticas de controles
internos do COSO - Committe of Sponsoring Organizations of the Treadway
Commission. É possível identificar, de forma evidente na Estrutura para Sistemas de
Controles Internos em Organizações Bancárias, um conceito comum de “controle
interno” e os 5 componentes de um sistema de controles internos apresentados no
COSO – Internal Control Integrated Framework.
Em resposta a esta Resolução CMN nº. 2554/98 as instituições estruturaram
as primeiras funções de controles internos, geralmente uma função central,
Compliance, com o propósito de disseminação da cultura, com membros focais
disseminados pelas diversas áreas/departamentos da instituição. A Resolução
colocou responsabilidade pela estruturação do sistema de controles internos na
administração sênior das instituições financeiras, momento em que foi criada uma
primeira camada de controles nas instituições, garantindo independência da
Auditoria Interna que deveria avaliar independentemente o sistema de controles
internos como um todo.
Ainda no ano de 1998, em 03 de Março, foi publicada a Lei nº. 9613 que
tratava dos crimes de lavagem de dinheiro e da prevenção da utilização do sistema
financeiro nacional como instrumento para a prática do crime de lavagem de
dinheiro. Esta lei deu um importante impulso às áreas de Compliance que naquele
tempo começavam a se formar.
20
A Lei Sarbanes-Oxley e os avanços no campo da Governança Corporativa,

verificados, aquela em 2002, e esta desde o final dos anos 90, fizeram aumentar a
robustez de áreas de controles internos, bem como as estruturas de Comitês
Seniores, como Conselhos Fiscais de Supervisão e Conselho de Administração.
O novo acordo da Basiléia, publicado em 2004, após um período longo em
audiência pública, posteriormente revisto em 2006, e em constantes
aprimoramentos, trouxe como novidade principal a introdução da gestão de riscos
operacionais. Em 2006, o Conselho Monetário Nacional emitiu Resolução nº 3380,
através da qual requereu das instituições financeiras brasileiras a estruturação de
função destinada a Gestão de Riscos Operacionais.
Assim, são considerados marcos regulatórios para as funções de controle de
instituições financeiras:
• Resolução CMN nº. 2554/98 – Estabeleceu as regras sobre a implantação

e implementação dos sistemas de controles internos das instituições
financeiras;
• Lei Sarbanes-Oxley de 2002 – Teve como objetivo restaurar a confiança
dos investidores no mercado de capitais norte-americano.
• Novo Acordo da Basiléia de Junho de 2004 (revisto em 2006) – que
estabelece requisitos de capital mínimo às instituições financeiras teve
como principal novidade o requerimento de capital mínimo para fazer frente
a perdas de natureza operacional.
• Resolução CMN nº. 3380/06 – Que dispõe sobre a implementação de
estrutura para Gestão de Riscos Operacionais.
2.1. Governança Corporativa
Este tópico apresenta o conceito de Governança Corporativa (GC), o requisito

da “transparência”, a relação com o processo de reporte financeiro e controles
internos.
Governança Corporativa, segundo definido no Código Brasileiro de Melhores
Práticas em Governança Corporativa, do Instituto Brasileiro de Governança
Corporativa (IBGC, 2004) é o sistema pelo qual as sociedades são dirigidas e
21
monitoradas, envolvendo os relacionamentos entre acionista/cotistas, conselho de

administração, diretoria, auditoria independente e conselho fiscal. As boas práticas
de governança corporativa têm a finalidade de aumentar o valor da sociedade,
facilitar seu acesso ao capital e contribuir para a sua perenidade.
A Governança Corporativa, conforme menciona Di Micelli (2006), apesar de
ser considerado um tema recente, é uma questão antiga cujo entendimento passa
pela compreensão do “Problema de Agência dos Gestores”.
O problema do conflito de agência foi retratado no artigo de Jensen e
Meckling, de 1976, que tratou sobre a teoria da firma. Segundo a teoria da firma
(JENSEN; MECKLING, 1976) é natural haver conflito de interesses entre os
administradores e proprietários (conflito de agência), sendo um fato que os
administradores tenderão (mesmo inconscientemente) a maximizar seus próprios
ganhos em detrimento aos interesses da empresa que são responsáveis.
A Governança Corporativa trata do “conflito de agência”, uma vez que tem por
objetivo regular o relacionamento entre a companhia, seus administradores,
conselho de administração, acionistas e outras partes relacionadas.
Com relação ao papel da contabilidade na Governança Corporativa, afirmam
Hendriksen e Van Breda (1999, p.139) que a teoria de agência oferece bases para
um papel importante para a contabilidade no fornecimento de informações após a
ocorrência de um evento: um papel pós-decisório, isto dá a contabilidade um valor
como feedback, além de seu valor preditivo, sendo a informação contábil uma das
formas de reduzir a incerteza, dando aos contadores papel importante na divisão de
riscos entre administradores e proprietários.
É neste contexto que os controles internos relacionados ao processo de porte
financeiro, a conformidade com os requisitos da Lei Sarbanes-Oxley, a que estão
obrigadas as empresas com títulos negociados nos mercados de capitais norte-
americanos é relevante para a Governança Corporativa.
Segundo a OECD - Organization for Economic Co-operation and
Development (2004) a Governança Corporativa fornece a estrutura através da qual
os objetivos de uma companhia são estabelecidos, os meios para que os objetivos
sejam atingidos e o monitoramento de performance são determinados. Neste ponto
verifica-se que uma Governança Corporativa forte é representativa de um “ambiente
de controle” forte, sendo “ambiente de controle”, segundo o COSO (1994) uma das
bases sobre as quais se sustenta um sistema de controles internos.
22
A transparência segundo o Código de Melhores Práticas em Governança

Corporativa (IBGC, 2004) é um dos valores fundamentais da Governança
Corporativa e o sistema contábil é um elemento importante para a promoção da
transparência.
Como pode-se verificar o conceito de “risco” se tornou central para a
Governança Corporativa e se tornou vinculado à idéia de controles internos. Estes
riscos são gerenciados dentro das estruturas de Governança Corporativa através de
mecanismos de responsabilização, tais como reporte financeiro, controles internos e
auditoria.
O conceito de Governança Corporativa é importante no contexto deste
trabalho, para explicar a vinculação de controles internos, reporte financeiro,
transparência, governança corporativa e sua importância para os investidores.
Permitindo uma visão estratégica do conceito de controles internos. Como veremos
a seguir, “SOX Compliance” diz respeito, em grande extensão, a controles internos
sobre o processo de reporte financeiro.
2.2. Gestão de Riscos
Este tópico apresenta os principais riscos a que estão sujeitas as instituições

financeiras e sua forma de gestão.
A essência do negócio bancário pode ser resumida como fazer resultado de
captar recursos de depositantes e aplicar estes recursos captados em operações de
crédito ou em tesouraria (através da aquisição de ativos financeiros) e viabilizar
meios de pagamentos. A diferença entre a taxa de captação e a taxa de aplicação é
o “spread”, que é o ganho de uma instituição em uma operação individual. O
somatório dos “spreads” deve ser suficiente para cobrir os demais custos e
despesas da instituição, de forma a gerar um lucro, que seja suficiente para
remunerar satisfatoriamente os investidores, considerando o perfil de riscos da
instituição.
O perfil de risco da instituição é definido pelo tipo de operação que a mesma
realiza, quais são suas contrapartes, o ambiente em que está inserida, seus
processos, pessoas e sistemas.
23
Na realização de suas atividades as instituições financeiras incorrem nas

seguintes classes principais de riscos (TILLAART, 2003, p.22; BESSIS, 2002, p.12;
JORION, 1998, p.14):
• Risco de Mercado e de Taxas de Juros – É o risco pela variação nos
preços dos ativos adquiridos pela instituição; variação em taxas de juros e
moedas;
• Risco de Liquidez – É o risco decorrente de descasamentos de prazos e
taxas, em captações e aplicações, onde, dependendo da liquidez dos
ativos e passivos uma instituição em necessidade poderá necessitar fazer
uma venda forçada de ativos, quando o preço destes ativos será menor. Do
contrario, se o banco possui boa liquidez poderá planejar melhor venda de
seus ativos, quando poderá se beneficiar de melhores preços.
• Risco de Crédito – É o risco de que as contrapartes em transações de
crédito não honrem os seus compromissos creditícios junto ao banco.
• Risco Operacional – É o risco de perdas decorrentes de falhas em
pessoas, processos e sistemas e ou eventos externos, inclusive risco legal.
• Riscos Estratégicos – Riscos Estratégicos são os riscos decorrentes de
escolhas estratégicas e decisões de negócios.
• Riscos Reputacionais – São os riscos que impactam a imagem, a
reputação da instituição financeira perante o mercado, reguladores,
clientes, etc..
Os riscos de Crédito, Mercado, Taxa de Juros, Liquidez, Câmbio são riscos

considerados riscos financeiros. Riscos Operacionais, Legais e Reputacionais, de
Tecnologia da Informação, Estratégicos são riscos não financeiros.
Segundo Tillaart (2003, p.24) os bancos freqüentemente fazem distinção
entre riscos financeiros e não financeiros. Os bancos podem ativamente tomar uma
posição em riscos financeiros, mas quando se trata de riscos não financeiros, os
mesmos existem mais em razão do efeito de fazer negócios e não de uma escolha
ativa. Os riscos financeiros têm tanto potencial positivo como negativo. Os bancos
no que diz respeito aos riscos financeiros tomam posição para ganhar dinheiro, mas
carregam o risco de perda de dinheiro. Existe uma compensação financeira para o
risco tomado. Enquanto que riscos não financeiros têm apenas potencial negativo, o
24
ganho máximo para riscos não financeiros é zero. A gestão de riscos financeiros é
parte do processo primário de um banco, enquanto gerenciamento de riscos não
financeiros não o é. Segundo Tillaart (2003, p.25) os modelos desenvolvidos para
mensuração de riscos operacionais, são falhos por que se baseiam em critérios
válidos para riscos financeiros sendo aplicados a riscos não financeiros, que
possuem características muito distintas.
A segregação dos tipos de riscos em financeiros e não financeiros é
importante no contexto deste trabalho o qual trata das funções de controle,
Controles Internos, Gestão de Riscos Operacionais e SOX Compliance, pois todas
estas funções se ocupam de riscos não financeiros.
Para cada categoria de riscos, diferentes técnicas e abordagens são
utilizadas para a sua gestão.
Como estudo feito por Tillaart (2003, p.102), embora os bancos sempre
tenham trabalhado com riscos, a gestão de riscos não tinha sido uma função ou
papel separado dentro de bancos até os anos 90. Gestão de riscos era
implicitamente parte do trabalho diário de todos. Informação sobre riscos não era
fornecida separadamente para a Diretoria Executiva. O desenvolvimento de métodos
para mensuração de riscos mudou o papel da gestão de riscos. Gerenciamento de
riscos se tornou um processo explícito em Bancos, com responsabilidades concretas
atribuídas a várias funções.
A gestão de riscos financeiros sempre esteve atrelada ao que se entende por
gerenciar uma instituição financeira, sendo uma disciplina fundamental nesta
atividade, enquanto a gestão de riscos não financeiros, diferentemente, somente
ganhou importância a partir dos eventos de quebras de bancos, notadamente do
Banco Barings, dos escândalos contábeis que culminaram na Lei Sarbanes-Oxley, e
se estruturaram primordialmente em resposta a requerimentos regulatórios.
A última tendência observada, principalmente após a crise de 2007, é de
centralização das responsabilidades pela gestão de riscos em uma função única
chamada CRO - Chief Risk Officer a qual passa a ter “cadeira” na Diretoria Executiva
das instituições.
25
2.3. Controles Internos
Este tópico apresenta o conceito de controles internos, COSO e os

componentes de um sistema de controles internos tal como definidos pelo COSO.
As funções de controle têm origem na própria definição de administração. Das
funções clássicas da administração tratadas por Fayol, estavam: organizar, formar
equipe, dirigir, planejar e controlar.
Para Fayol, administrar é prever, organizar, comandar, coordenar e controlar,
sendo que controlar é velar para que tudo corra de acordo com as regras
estabelecidas e as ordens dadas (FAYOL, 2007, p. 26).
Ao contrário do que pode a alguns parecer, administrar pressupõe controlar.
O que se pretende no universo empresarial, quanto ao que se refere ao termo
controle, sob a ótica da administração é garantir que decisões tomadas realmente
ocorram.
Em 1992, o COSO - Committee of Sponsoring Organization of the Treadway
Commission, uma organização formada por membros do American Institute of
Certified Public Accountants - AICPA (Instituto Americano de Contadores Públicos
Certificados), American Accounting Association - AAA (Associação de Contadores
Americanos), The Institute of Internal Auditors - IIA (Instituto de Auditores Internos),
Institute of Management Accounts - IMA (Instituto de Contadores Gerenciais) e
Financial Executives Institute – FEI (Instituto de Executivos Financeiros), com
participação de empresas de auditoria externa e outras grandes empresas de capital
aberto, nos Estados Unidos, emitiu documento intitulado Internal Control – Integrated
Framework (Controles Internos – Estrutura Integrada) o qual apresenta definição de
controles internos, seus componentes, e uma estrutura de melhores práticas.
Uma estrutura amplamente aceita e que serviu de base para que anos depois,
em 1998, no exterior o Comitê da Basiléia emitisse o seu Framework for Internal
Control Systems in Banking Organizations (Estrutura para Sistemas de Controles
Internos em Organizações Bancárias), também embasou o Conselho Monetário
Nacional do Brasil na emissão, também em 1998, da Resolução CMN nº. 2554/98.
Em Junho de 2002, a Lei Sarbanes-Oxley foi publicada, a qual exige em seu artigo
404, que a administração declare juntamente com as demonstrações financeiras
publicadas, que realizou uma avaliação dos controles internos sobre o processo de
26
reporte financeiro, informando o “framework (estrutura)” utilizado como base para

esta avaliação.
Em 1994, o COSO emitiu uma versão em 2 volumes do seu documento
Internal Control Integrated Framework a qual foi utilizada neste estudo.
A estrutura (Framework) de melhores práticas de controle do COSO é que
tem sido de longe a mais utilizada pelas empresas para fins de atendimento aos
requisitos da Lei Sarbanes-Oxley.
O COSO – Internal Control Integrated Framework (1994) define controles
internos como um processo, efetuado pelo conselho de diretores de uma entidade, a
administração e outras pessoas, desenhado para fornecer razoável segurança com
relação ao atingimento de objetivos nas seguintes categorias:
• Eficiência e efetividade das operações;
• Confiabilidade do reporte financeiro;
• Conformidade com leis e regulamentos aplicáveis.
Até a emissão, pelo COSO, do seu Internal Control – Integrated Framework, a
definição de controles internos prevalecente entre as empresas de Auditoria Externa,
que eram as principais usuárias deste conceito, era a definição do American Institute
of Certified Public Accountants – AICPA:
Controle Interno é o plano da organização e todos os métodos e

medidas, coordenados, adotados dentro da empresa para
salvaguardar seus ativos, verificar a adequação e confiabilidade de
seus dados contábeis, promover a eficiência operacional e fomentar
o respeito e obediência às políticas administrativas fixadas pela
gestão.
O novo conceito do COSO acrescenta “fornecer razoável segurança para o

atingimento de objetivos”, o que confere um tom de contribuição para a execução de
objetivos, permitindo o vínculo com “objetivos estratégicos”, ao mesmo tempo em
que reconhece as limitações dos controles internos ao informar sobre a “razoável”
segurança que os controles internos podem prover, assim trata-se de um conceito
que incorpora importantes avanços quando comparado ao conceito prevalecente
anterior.
27
Figura 1 – Cubo do COSO

Fonte: COSO – Internal Control Integrated Framework (1994)
O “cubo do COSO” (1994) apresentado na figura 1 mostra as três dimensões

de um sistema de controles internos. A primeira dimensão diz respeito aos 5
componentes de um sistema de controles internos. A segunda dimensão retrata os
três objetivos de atuação dos controles internos. A terceira dimensão apresenta as
unidades e atividades através das quais estão permeados os “controles internos”.
Os cinco componentes de um sistema de controles internos são:
• Ambiente de Controles (Control Environment);
• Avaliação de Riscos (Risk Assessment);
• Atividades de Controles (Control Activities);
• Informação e Comunicação (Information & Communication);
• Monitoramento.
As três categorias de objetivos de atuação de um sistema de controles

internos são:
• Operações (eficiência e efetividade das operações);

• Reporte Financeiro; e
• Compliance.
28
Segundo o COSO (1994), o ambiente de controle define o tom de uma

organização, influenciando a consciência de controle de seu pessoal. É a fundação
para todos os outros componentes de controles internos, fornecendo disciplina e
estrutura. Fatores de ambiente de controle incluem integridade, valores éticos e
competência das pessoas da entidade; filosofia gerencial e estilo operacional; a
forma como a administração atribui autoridade e responsabilidade e desenvolve
suas pessoas, e a atenção e direção fornecida pelo conselho de diretores.
O trabalho realizado por Santos (2000), por exemplo, demonstra haver
correlação entre “cultura organizacional” e “desempenho”, o que, no âmbito dos
“controles internos” considerando os conceitos de “controles internos e ambiente de
controle”, traduz-se como correlação entre um “forte ambiente de controle” (cultura
organizacional) e o nível de “perdas” (desempenho). Deduz-se isto a partir de que
um “bom desempenho” é o desempenho planejado, e desvios aos planos, são os
riscos, que os controles internos visam mitigar, sendo o “ambiente de controle” (tone
at the top, cultura de controle) o alicerce sobre o qual se fundamenta todo o sistema
de controles internos de uma organização, assim “cultura boa” leva a “desempenho
bom”.
Um processo de avaliação de riscos, segundo o Internal Control Integrated
Framework (COSO, 1994, p.33), deve assegurar que uma organização esteja
consciente e gerencie os riscos a que está exposta. A organização deve definir como
pré-condição para avaliação de riscos, objetivos, integrados com as vendas,
produção, marketing, finanças e outras atividades de forma a que a organização
opere de forma harmônica. O processo de avaliação de riscos é a identificação e
análise dos riscos relevantes para o atingimento dos objetivos, formando uma base
para determinar como os riscos devem ser gerenciados. Em razão de que a
economia, a indústria, a regulamentação e as condições operacionais irão
continuamente mudar, mecanismos são necessários para identificar e gerenciar os
riscos associados com as mudanças.
Atividades de controle, segundo o Internal Control Integrated Framework
(COSO, 1994, p.49), são as políticas e procedimentos que ajudam a assegurar que
as diretrizes da administração são implantadas. As atividades de controle asseguram
que as ações necessárias são tomadas para endereçar riscos para que os objetivos
da entidade sejam atingidos. Atividades de controle ocorrem em toda a organização,
em todos os níveis e em todas as funções. Elas incluem um conjunto de atividades
29
tão diversas como aprovações, autorizações, verificações, reconciliações, revisões

de performance operacional, segurança de ativos e segregação de funções.
Segundo o Internal Control Integrated Framework (COSO, 1994, p.59), no que
diz respeito à Informação e Comunicação, informações pertinentes devem ser
identificadas, capturadas e comunicadas em um formato e momento que permita às
pessoas realizarem as suas responsabilidades. Sistemas de informação produzem
relatórios, contendo informação relacionada às operações, finanças e conformidade
com leis e regulamentos que tornam possível administrar um negócio. Estas
informações não tratam apenas de dados gerados internamente, mas também
informação sobre eventos externos, atividades e condições necessárias para a
tomada de decisão informada e reporte externo. Comunicação efetiva deve ocorrer
em senso amplo, fluindo de cima para baixo, em torno e de baixo para cima nas
organizações.
Todos os colaboradores devem receber uma mensagem clara da alta
administração de que responsabilidade por controle é algo a ser levado a sério. Os
colaboradores devem entender o seu próprio papel no sistema de controles internos
e a forma como suas atividades individuais estão relacionadas à atividade de outros.
Eles devem ter um meio de comunicar informação significante para seus superiores.
Deve haver também comunicação efetiva com partes externas, tais como clientes,
fornecedores, reguladores e acionistas.
Segundo o Internal Control Integrated Framework (COSO, 1994, p.69), os
sistemas de controles internos precisam ser monitorados – um processo que avalie a
qualidade da performance do sistema ao longo do tempo. Isto é conseguido através
de atividades de monitoramento contínuo, avaliações independentes ou um
combinação de ambos. Monitoramento contínuo ocorre no curso normal das
operações, inclui gerenciamento regular e atividades de supervisão, e outras ações
tomadas na realização das atividades. O escopo e frequência de avaliações
independentes irão depender primariamente de uma avaliação de riscos e da
efetividade dos procedimentos de monitoramento contínuo. Deficiências de controle
devem ser escaladas, e problemas sérios devem ser reportados a diretoria e
conselho de administração.
São requisitos da Resolução CMN nº 2554/98:
30
Resolução CMN 2554/98

Art Descrição
Determina a implantação de controles internos voltados para:
- Atividades desenvolvidas;
1º
- Informações Financeiras, Operacionais e Gerenciais;
- Cumprimento de normas legais e regulamentares;
§1º Controles internos devem ser efetivos e consistentes com a natureza, complexidade e risco das operações.
Responsabilidades da diretoria da instituição:
- Definição de atividades de controle para todos os níveis de negócios da instituição.
§2º
- Estabelecer objetivos e procedimentos;
- Verificação sistemática da adoção e cumprimento dos procedimentos acima.
Disposições sobre controles internos devem ser acessíveis a todos os funcionários, de forma a esclarecer função e
responsabilidades atribuídas aos diversos níveis da organização:
- Definição de responsabilidades;
- Segregação de atividades e meios de monitoramento de áreas identificadas como de potencial conflito;
- Identificação e avaliação de fatores internos e externos que possam afetar a realização dos objetivos da instituição;
2º
- Canais de comunicação aos funcionários garantindo-lhes acessos a informações relevantes para suas tarefas e
responsabilidades;
- Avaliação contínua dos riscos associados às atividades da organização;
- Acompanhamento sistemático das atividades;
- Existência de testes periódicos de segurança para os sistemas de informações;
§1º Controles internos devem ser periodicamente revistos.
§2º Auditoria interna como parte do sistema de controles internos.
3º Atividades devem ser objeto de relatórios no mínimo semestrais.
Incumbe a diretoria a promoção de elevados padrões éticos e de integridade e de uma cultura organizacional que
4º demonstre e enfatize a importância dos controles internos e o papel de cada um no processo.
5º Definição das estruturas internas e procedimentos.
Quadro 1 − Requisitos da Resolução CMN nº 2554/98

Fonte: A Própria Resolução
É possível clara identificação da influência da definição de controles internos

do COSO – Internal Control Integrated Framework e de seus 5 elementos de
controle na Resolução CMN nº. 2554/98.
Na ocasião da implementação das regras da Res. CMN nº. 2554/98 as
instituições se organizaram para assegurar que todas as políticas e procedimentos
estivessem publicados e disseminados aos seus funcionários, uma estrutura de
focais disseminadas em todas as áreas-chave periodicamente certificassem
conformidade com as novas regras, geralmente sob coordenação da Função de
Compliance dos Bancos que à época começava a ser estruturada. Esta função de
Compliance emitia os relatórios semestrais para a Administração Senior, sobre o
“status geral” dos controles internos.
Na priorização de ações, as funções de controles internos consideram análise
de freqüência e severidade de impacto de riscos identificados. A prática comum,
31
anterior à institucionalização da “gestão de riscos operacionais” era os riscos serem

classificados de acordo com seu “impacto” e “probabilidade”. Posteriormente, com a
institucionalização da “gestão de riscos operacionais” as mensurações de riscos
passaram a considerar “frequência” e “severidade”. Esta mudança, aparentemente
pequena, tem grande impacto sobre a gestão de “riscos operacionais”, e quem não
faz esta distinção sofre críticas duras pelos gestores de riscos operacionais (KHAN
et AL, 2006). A distinção é importante por que ao multiplicar um evento de alto
impacto por uma baixa probabilidade, faz parecer que o risco como um todo é baixo,
e logo o assunto é considerado como não prioritário. Entretanto, a Gestão de Riscos
Operacionais ao desenhar uma distribuição de freqüência, dispondo os riscos em
função de sua freqüência e severidade, faz transparecer de forma mais contundente
a importância dos riscos de alto impacto e baixa freqüência (como o caso do
atentado às torres gêmeas em 2001 – severidade alta, freqüência baixa), outrora
considerados como não prioritários pelos gestores de “controles internos”. Sendo a
“modelagem” destes riscos (eventos extremos), para fins de cálculo de capital
mínimo um dos maiores desafios dos “Gestores de Riscos Operacionais”
(TILLAART, 2003, p.88). Veremos neste estudo, que a falta de integração entre as
funções de controles internos, SOX Compliance e Gestão de Riscos Operacionais
também se verifica na forma como estas funções se comunicam e reportam sobre os
riscos, e um dos aspectos é o exemplo apresentado.
A dinâmica dos anos recentes fez aumentar a demanda por executivos
capazes de entenderem o mundo, promoverem inovações e permitirem capacidade
de adaptação constante a novos requisitos. Neste contexto, a ênfase da
administração mudou fazendo tornar-se menos relevante as questões relativas a
controle, que passaram a ser relegadas a um segundo plano. A nova tônica era a
ênfase na maximização das oportunidades, a resolução dos problemas passou a ser
vista como mera “restauração” da normalidade e controle como algo que inibe a
flexibilidade necessária nos novos tempos.
Entretanto, na mesma medida em que os executivos se afastaram do conceito
de “controles internos”, a regulamentação sobre controle se tornou mais abrangente.
Em paralelo, verificou-se um número de instituições que quebraram em decorrência
de falhas de controle, fazendo reforçar a necessidade de regulamentação sobre
controle. A crise dos financiamentos habitacionais “sub-prime” de 2007, por exemplo,
trouxe uma discussão acirrada sobre controle acerca da remuneração dos
32
executivos. Em 2001, a quebra de empresas de renome nos Estados Unidos fez

nascer a Lei Sarbanes-Oxley, que tratou sobre controle relacionado à Governança
Corporativa e ao processo de reporte financeiro.
O Basel Committee on banking supervision (o Comitê da Basiléia sobre
supervisão bancária) em 1998 emitiu documento intitulado Enhancing Bank
Transparency através do qual enfatiza a importância dos controles internos como
forma de assegurar confiabilidade das informações.
No que diz respeito à responsabilidade da administração sobre os controles
internos o Código de Melhores Práticas de Governança Corporativa do IBGC (2004)
define:
O principal executivo é responsável pela criação de sistemas de

controle internos que organizem e monitorem um fluxo de
informações corretas, reais e completas sobre a sociedade, como as
de natureza financeira, operacional, de obediência às leis e outras
que apresentem fatores de risco importantes. A efetividade de tais
sistemas deve ser revista no mínimo anualmente.
Este tópico assume importância especial, no contexto deste estudo, uma vez
que o COSO - Internal Control Integrated Framework, apresentado de forma sumária
neste tópico, é utilizado neste trabalho como base para comparação das diferentes
funções de controle, quando as atividades realizadas por cada função de controle
são analisadas em termos de sua contribuição para os cinco componentes de um
sistema de controles internos definido pelo COSO.
É importante salientar que o conceito de “Controles Internos” é amplo, sendo
mais fácil exemplificar o que não é controle interno do que defini-lo, havendo
opiniões díspares acerca de seu real significado. Utilizaremos neste trabalho o
conceito de “controles internos” definido pelo COSO, uma vez que é o conceito mais
utilizado neste momento para fins de SOX Compliance. Não é objetivo deste estudo
um aprofundamento maior no conceito de “controles internos”. As correntes atuais
de administração e gestão de pessoas rechaçam a idéia de controle. A filosofia de
“comando e controle” é considerada ultrapassada, modernamente está em moda a
gestão por competências, o “empoderamento (empowerment)”, considerados
atualmente modelos estratégicos, vitais na era do conhecimento.
33
2.4. Compliance
Este tópico apresenta o significado de Compliance, suas origens, área

responsável, principais preocupações.
Compliance conforme apresentado no Dicionário Merriam-Webster’s (2010) é
o ato ou processo de atender a um desejo, demanda, proposta ou regime ou
coação, ou conformidade em completar um requerimento oficial. Ou conforme
menciona Manzi (2008, p.15):
O termo “compliance” origina-se do verbo em inglês to comply, que

significa cumprir, executar, satisfazer, realizar algo imposto.
“Compliance” é o ato de cumprir, de estar em conformidade e
executar regulamentos internos e externos, impostos às atividades
da instituição, buscando mitigar o risco atrelado à reputação e ao
regulatório/legal.
Com relação ao termo “risco de compliance”, o documento “Compliance and

the Compliance Function in Banks”, emitido pelo BIS - Bank for International
Settlement (2005) define como o risco de sanções legais ou regulatórias, perda
financeira material, ou perda de reputação que um banco pode sofrer como um
resultado de sua falha em estar em conformidade com leis, regulamentos, regras, e
padrões relacionados à organização autorregulatória, e códigos de conduta
aplicáveis as suas atividades bancárias (em conjunto “compliance”, leis, regras e
padrões). As leis, regras e padrões de “compliance” geralmente cobrem problemas
tais como observância a padrões apropriados de conduta de mercado,
gerenciamento de conflitos de interesse, tratamento justo aos clientes e assegurar
que os aconselhamentos a clientes sejam adequados às suas necessidades. As
regras de “compliance” tipicamente incluem áreas específicas tais como a prevenção
à lavagem de dinheiro e financiamento ao terrorismo, e podem se estender à
legislação tributária que são relevantes para a estruturação de produtos bancários
ou aconselhamento a clientes. Um banco que sabidamente participa em transações
a serem utilizadas por clientes para evitar requerimentos regulatórios ou de reporte
financeiro, evadir obrigações tributárias, ou facilitar conduta ilegal estará se expondo
a riscos significativos de compliance.
34
A função de compliance existe com os objetivos primordiais de evitar danos à

reputação ou sanções regulatórias às instituições; ambos os riscos podem
comprometer seriamente a capacidade de uma instituição continuar operando.
A função de compliance a exemplo da função de Auditoria e outras funções
de controle está sujeita a requisitos de independência, uma vez que o cumprimento
de requisitos regulatórios não pode estar subordinado a outras funções conflitantes
ou subordinado a linhas de negócios.
Dentre as categorias de objetivos dos controles internos, definidas no
conceito de controles internos do COSO, ao lado de “eficiência e efetividade das
operações”, “confiabilidade do reporte financeiro”, está a “conformidade com leis e
regulamentação aplicável”.
A origem das funções de compliance, embora tenha sua ênfase no Brasil a
partir de 2000, está atrelada à própria regulamentação bancária. Ou seja, na medida
em que a regulamentação bancária ganha corpo ao longo dos anos, a complexidade
regulatória faz nascer a necessidade de as instituições financeiras manterem
funções permanentes para assegurar-se de que a regulamentação esteja sendo
cumprida. O rigor da regulamentação pode fazer com que o descumprimento de
requisitos regulatórios específicos possa ser fonte de risco significativo para
instituições financeiras.
Segundo Drucker (1993, p.384), a primeira responsabilidade que a
administração deve à empresa com relação à opinião pública, políticas e leis, é de
considerar tais demandas feitas pela sociedade sobre a empresa (ou que
provavelmente serão feitas no futuro próximo) considerando que podem afetar a
realização de seus objetivos. É trabalho de administração encontrar uma forma de
“converter estas demandas de ameaças ou restrições sobre a liberdade de ação da
empresa em oportunidades para crescimento, ou no mínimo satisfazer estas
demandas como o menor dano para a empresa.”
As instituições financeiras no Brasil operam em ambiente fortemente
regulamentado. Sem que exista uma função de monitoramento centralizado, como
se propõe uma função de Compliance, é fácil visualizar riscos se materializando em
toda a instituição com impactos que podem assumir importância significativa à
capacidade da instituição continuar operando.
35
Na prática estar em compliance é uma responsabilidade de todos os que

trabalham em instituições financeiras. O posicionamento da função de compliance
dentro do organograma de uma instituição financeira pode variar, e, conforme varia,
pode adotar diferentes abordagens. A função de compliance em certas instituições
pode ter preocupação estritamente em atendimento às regulamentações e evitar
multas, com foco, por exemplo, em “prevenção à lavagem de dinheiro (Lei 9613/98)”,
definição de estruturas de “controles internos” (Resolução CMN nº 2554/98),
acompanhamento de multas pagas, enquanto outras instituições podem incorporar
além das preocupações regulatórias e de evitar multar, o risco de reputação, neste
caso atuando para, por exemplo, disseminar o código de ética e conduta, definição
de políticas de “chinese wall”, recebimento e doação de presentes de clientes,
contribuição a partidos políticos, corrupção, aprovação de novos produtos, análise
de contratos, prevenção à lavagem de dinheiro, evitar a venda casada, ou venda de
produtos não adequados a clientes não suficientemente informados sobre a
natureza das operações, etc.
Manzi (2008, p.61) avalia a função de “compliance” em comparação com a
“auditoria interna”, concluindo que a função de “compliance” certifica o cumprimento
de normas e processos de forma rotineira e permanente, enquanto a auditoria
interna o faz de forma aleatória e temporal por meio de amostragem.
Cumpre esclarecer que em algumas organizações bancárias, em geral as de
tamanho pequeno ou médio, as funções de “Compliance”, acumulam
responsabilidade por riscos reputacionais, controles internos em geral, e até mesmo
conformidade com a Lei Sarbanes-Oxley.
Na maioria das instituições internacionais de grande porte a função de
Compliance se ocupa exclusivamente com aspectos relacionados a riscos
reputacionais. Enquanto que, no Brasil, é comum a função de Compliance assumir
responsabilidade por questões relacionadas a Controles Internos, e cumprimento de
normas como a Resolução CMN nº. 2554/87 que trata de controles internos, o que é
fomentado pelos órgãos reguladores, no sentido de se criar uma área específica
para monitorar e reportar de forma independente sobre controles internos. Este
estudo foca instituições financeiras de grande porte, e, como veremos adiante, irá
analisar o fato de que as funções de controle possuem diferentes origens, diferentes
objetivos, requerem profissionais com diferentes perfis de habilidades e,
dependendo de fatores culturais e da forma como estruturadas, irão resultar na
36
estruturação de funções de controle que ora buscam centralizar diversas

responsabilidades ora buscam a descentralização destas responsabilidades.
Havendo vantagens e desvantagens em cada uma das abordagens, sendo mais
típico de instituições que buscam apenas atender regulamentação, a centralização.
A centralização é, em geral, de implementação mais rápida, permite atender a
regulamentação de forma mais rápida, ao mesmo tempo em que acaba contribuindo
para diminuir a velocidade da “disseminação da cultura”.
2.5. Gestão de Riscos Operacionais
Este tópico tem por objetivo apresentar o conceito de Riscos Operacionais,

suas origens, formas de mensuração e gerenciamento.
O avanço da globalização, com as transações de fusões e aquisições,
aumento do nível de dependência de sistemas (globais) e trânsito mundial de dados
através de redes internas e externas, o processamento centralizado de transações
em países de baixo custo de mão-de-obra e o processo através do qual as
empresas/clientes estão menos dependentes das tradicionais fontes de
financiamento onde as instituições financeiras passam a prestar serviços de
consultoria, fatores climáticos e doenças, além de outros fatores como, a
necessidade de os bancos serem ágeis e flexíveis na criação de produtos
desenhados para atender a demanda específica de clientes específicos geralmente
controlados de forma não automatizada, fraudes eletrônicas (perpetradas através de
hacking, clonagem de cartões, etc.), e até mesmo a forma como as pressões
exercidas sobre a gestão das instituições fazem com que a performance seja medida
por avanços em fatores de curto prazo em detrimento a medidas de longo prazo
(lembrando que uma cultura de controle em geral é construída em médio/longo
prazo), o encurtamento das carreiras e a dinâmica em que as pessoas não mais
exercem suas funções por longos períodos de tempo têm feito com que cresça a
importância relativa da gestão do risco operacional em relação aos outros tipos de
riscos num ambiente de margens/spreads decrescentes.
O advento do novo acordo da Basiléia, datado de 2004, que ficou conhecido
como Basiléia II, aplicável a praticamente todas as instituições financeiras (pelo
menos àquelas situadas em países cujos governos decidiram estar em conformidade
37
com as deliberações do Comitê da Basiléia), trouxe como principais inovações: i) a

definição oficial de risco operacional, ii) o estabelecimento de requerimento de
capital regulamentar mínimo destinado a proteger uma instituição financeira contra
riscos desta natureza, bem como, iii) as metodologias aceitáveis para a sua
medição.
Risco Operacional tal como definido pelo Comitê da Basiléia é o risco de
perda resultante de processos, pessoas e sistemas internos inadequados ou falhos
e de eventos externos. Esta definição inclui o risco legal, mas exclui os riscos
estratégicos e de reputação.
A implementação pelas Instituições Financeiras das medidas de adequação
ao Novo Acordo da Basiléia concorreu com a Lei Sarbanes-Oxley e atualmente
concorre com o processo de harmonização contábil com as regras do IFRS -
International Financial Reporting Standards.
O Banco Central do Brasil (BACEN) emitiu Comunicado nº 12.746 ainda no
ano de 2004 estabelecendo cronograma de implementação das modificações
decorrentes do novo acordo da Basiléia, fixando o ano de 2011, como ano limite de
sua implementação. Em 2006, o Banco Central do Brasil emitiu edital de audiência
pública, onde colocou em análise pública uma minuta de regulamentação a respeito
da gestão de riscos operacionais. Após um período em audiência pública, foi emitida
a Resolução CMN nº. 3380/06, a qual estabeleceu uma série de requisitos
qualitativos para a gestão de riscos operacionais.
Em 2007, o Banco Central do Brasil emitiu Comunicado nº 16.137 estendendo
o prazo para 2012 para início do processo de autorização para uso de modelos
internos de apuração de requerimentos de capital para risco operacional. O novo
Comunicado deixa “aberto” o prazo final, uma vez que somente define a data de
início. Outro Comunicado do Banco Central do Brasil de nº. 19.028, de 2009, define
2013 para início dos trabalhos de homologação das estruturas de gestão de riscos
operacionais, no modelo avançado. Em 2008, o Banco Central do Brasil emitiu a
Circular 3.383, a qual estabelece os procedimentos para o cálculo da parcela do
Patrimônio de Referência Exigido referente ao risco operacional, a mencionada
Circular não tratou da abordagem avançada (ou interna).
Atualmente as instituições financeiras no Brasil e entidades de classe
representativas das mesmas encontram-se em fase de implementação de projetos e
estudos de impactos sobre a adequação a estas novas exigências, momento em
38
que a nova
va regulamentação passa a ser analisada com maior rigor, e os desafios,
tanto conceituais, como técnicos e metodológicos, começam a emergir causando
incertezas sobre o melhor curso de ação a ser tomado.
A gestão de riscos operacionais não é uma ciência, as técnicas de
mensuração estão em desenvolvimento e se constituem em grande desafio para
todos aqueles envolvidos.
envolvidos A rigor o risco operacional com as técnicas disponíveis
ainda não pode ser medido com exatidão e depende de uma cultura bem
estabelecida de controles
ntroles internos e transparência,
transparência, métricas qualitativas podem ser
utilizadas como suporte auxiliar.
auxiliar Tillaart (2003) questiona que as abordagens
quantitativas foram desenvolvidas tomando por base premissas que funcionam para
os “riscos financeiros” (risco de
de crédito, mercado e liquidez), entretanto, tais
premissas não funcionam para riscos não financeiros (como o Risco Operacional). A
instituição objeto do estudo, conforme apresentado no tópico 5.5., está em fase de
desenvolvimento de uma abordagem para mensuração avançada de capital para
fazer frente às perdas operacionais e está se defrontando com dificuldades que
confirmam os entendimentos de Tillaart
T (2003).
Figura 2 – Três Pilares do Novo Acordo da Basiléia

Fonte: Novo Acordo de Capital da Basiléia (2006)
39
A implementação do novo acordo da Basiléia é prevista que ocorra

simultaneamente através de três frentes, chamadas pilares:
Pilar I – Diz respeito à quantificação do capital mínimo necessário;
Pilar II – Diz respeito à supervisão bancária;
Pilar III – Diz respeito à disciplina de mercado.
O novo acordo da Basiléia prevê três abordagens para cálculo de capital

mínimo para fazer frente perdas de natureza operacional, as quais evoluem em
termos de sofisticação e sensibilidade ao risco de uma abordagem bastante
simplificada, o Método do Indicador Básico (BIA – Basic Indicator Approach),
passando pelo Método Padronizado (Standardized Approach) até chegar ao Método
de Mensuração Avançado (AMA – Advanced Measurement Approach).
A abordagem avançada (AMA - Advanced Measurement Approach)
pressupõe a utilização de modelos quantitativos internos para apuração do capital
mínimo para fazer frente a perdas de natureza operacional e tem como principais
requisitos:
• Requerimentos de gestão qualitativa de riscos operacionais devem estar
implementados;
• Requerimentos Quantitativos (para cálculo de capital mínimo):
o Base de dados de perdas e incidentes internos de 3-5 anos.
o Base de dados de perdas externas.
o Análise de Cenários.
o Fatores que refletem o ambiente comercial e os sistemas de controle
interno.
Considerando que as outras abordagens de cálculo (BIA - Basic Indicator
Approach e SA - Standardized Approach) não são sensíveis aos fatos reais (as
perdas reais e avaliações de risco específicas da instituição, portanto, aos riscos) e,
em verdade, refletem requisitos de alocação de capital arbitrados pelos órgãos
reguladores, é esperado que as instituições que adotarem a abordagem avançada
(AMA) suportadas por dados reais e um modelo validado pelos reguladores irão
alocar menos capital para fazer frente a perdas operacionais, desta forma terão uma
vantagem competitiva em relação aos seus concorrentes, em razão de i)
“projetarem” uma imagem de deterem menos risco ao mercado traduzindo-se em
40
taxas de captação mais competitivas e ii) poderem alocar menos capital do que seus
concorrentes.
Estudos têm sido realizados no Brasil sobre o tema Gestão de Riscos
Operacionais, destaca-se dentre outros estudos, um documento emitido em 2006,
pelo Grupo de Trabalho de Melhores Práticas da Federação Brasileira de Bancos -
FEBRABAN, intitulado Melhores Práticas na Gestão do Risco Operacional, o qual
tomou por base outro documento importante emitido em 2003 pelo Basel Committee
on Banking Supervision (Comitê da Basiléia), intitulado Sound Practices for the
Management and Supervision of Operational Risk.
Entre trabalhos acadêmicos recentes sobre a Gestão de Riscos Operacionais
no Brasil destaca-se o trabalho realizado por Coimbra (2007), um estudo de caso,
que teve como foco a forma como as instituições financeiras estruturam suas
funções de Gestão de Riscos Operacionais, o qual apresenta suas considerações
finais demonstrando como fatores condicionantes da estrutura organizacional da
Área de Gestão de Riscos Operacionais, a Estratégia, o Ambiente Externo,
Tecnologia, Fator Humano e Tamanho. Com relação à formalização da estrutura de
gestão, o autor também encontrou no caso analisado elementos que confirmam a
literatura disponível quanto à forma de estruturação da gestão de riscos
operacionais, as quais prevêem: i) a subordinação da gestão de riscos operacionais
ao Diretor do Departamento de Gestão de Risco e Compliance (equivalente ao Chief
Risk Officer); ii) políticas que descrevem as atribuições de gestão de risco
operacional permeadas nas demais unidades organizacionais; iii) atribuições da área
de Gestão de Riscos Operacionais que seriam: coleta de dados; medição e análise
de riscos operacionais; relação com demais áreas e órgãos externos;
desenvolvimento de políticas, práticas e tecnologias; disseminar as melhores
práticas; assegurar consistência; iv) necessidade de Comitê; v) comunicação com a
alta administração; vi) descentralização de atividades aos gestores das áreas de
negócios; vii) pessoal com perfil analítico e quantitativo. As análises realizadas no
tópico 5.5 deste estudo confirmam os entendimentos de Coimbra (2007).
Outro estudo recente foi realizado por Camazano (2007), o qual teve por
objetivo de pesquisa responder questão sobre a existência de convergência entre o
marco regulatório do Comitê da Basiléia para o gerenciamento do risco operacional
versus as exigências impostas pelo Sarbanes-Oxley Act e confirmar se a Lei
Sarbanes-Oxley se caracteriza como uma contribuição ao gerenciamento do risco
41
operacional nas instituições financeiras brasileiras que estão sujeitas à sua

observância.
Os resultados da pesquisa de Camazano (2007) permitiram identificar a
existência de convergência entre os referenciais estudados. A análise
pormenorizada do marco regulatório do Comitê da Basiléia, em “confronto” com as
exigências trazidas pelo Sarbanes-Oxley, revelou que ambos possuem a mesma
base conceitual de propósitos, qual seja, controlar os fatores do risco operacional
mantendo-os em níveis aceitáveis e compatíveis com o perfil de riscos da
organização.
Uma distinção não feita por Camazano (2007) é quanto ao foco da Lei
Sarbanes-Oxley, que é primordialmente o processo de “reporte financeiro”, enquanto
o foco da Gestão de Riscos Operacionais é redução de perdas e conseqüente
redução do capital a ser alocado para fazer frente aos riscos operacionais. Embora
não sejam conflitantes estes requisitos, o tipo de habilidade requerida dos
profissionais, conforme veremos, e suas linhas de reporte são diferentes. Esta
distinção é fundamental na estruturação de áreas para monitoramento do
cumprimento destes requisitos – as funções de controle.
Trapp (2005) apresentou artigo intitulado “Avaliação e Gerenciamento do
Risco Operacional no Brasil: Análise de Caso de uma Instituição Financeira de
Grande Porte”, onde apresenta um modelo para análise do nível de maturidade de
uma instituição em relação à implementação de uma estrutura para Gestão de
Riscos Operacionais.
Estudos internacionais na área de Gestão de Riscos Operacionais são
inúmeros, destaca-se como importantes para o propósito deste estudo, que versará
sobre as origens, usuários e principais práticas adotadas, e comparação entre as
diferentes funções de controle, os trabalhos de Marshall (2002), Cruz (2002), Tillaart
(2003), Chorafas (2004).
Quanto ao desenvolvimento da Gestão de Riscos Operacionais, Tillaart
(2003:53) conclui que o desenvolvimento dos métodos para mensuração de risco
operacional está atrasado em relação ao desenvolvimento das medições para risco
de crédito e risco de mercado. Isto é em parte devido ao fato de que os outros riscos
são parte fundamental na gestão de instituições financeiras, e desta forma tiveram
uma maior prioridade, e em parte em razão das dificuldades intrínsecas na
quantificação de risco operacional.
42
Tillaart (2003, p.15)

15) conclui sua pesquisa sobre como os bancos desenvolvem
conceitos de mensuração para “risco operacional” dizendo que uma demanda
externa deu início ao desenvolvimento dos métodos de mensuração de risco
operacional. O regulador bancário sugeriu um encargo explícito de capital para
pa risco
operacional, o qual forçou os bancos a quantificar este tipo de risco.
Segundo Tillaart (2003,
(2003 p.15) para
ara serem capazes de fazer isto, os bancos
tentaram utilizar os métodos existentes, já aplicados para risco de crédito e risco de
mercado. Estas tentativas,
tentativas de acordo com o autor, provavelmente irão falhar devido
aos problemas conceituais identificados. A principal causa disto é o caráter
específico do risco operacional. Ele é idiossincrático (específico a cada instituição) e
pode ser bastante influenciado.
luenciado. Ao responder a questão, “como os métodos de
mensuração de risco operacional têm sido desenvolvido?”, deve ser concluído que
um processo similar é aplicável, como foi feito com o risco de mercado e o risco de
crédito no passado. Independente disto,
dist Tillaart é de opinião que a indústria bancária
deveria ter escolhido outra direção. Uma medida de risco operacional nunca será
suficientemente acurada para ser utilizada como medida de performance. Desta
forma, espera-se que o processo de mensuração de risco operacional deva ser
interrompido em algum estágio. Os estatísticos serão forçados a deixar o assunto
para controllers gerenciais, mas também os controllers gerenciais deverão ser
advertidos sobre os obstáculos. A Medição de performance
ormance para risco operacional é
diferente de medição de performance para risco de crédito ou risco de mercado.
Figura 3 – Gráfico de Distribuição de Perdas x Probabilidade de Perdas

Fonte: FRS-Global
FRS Risk & Regulatory Compliance (2006)
43
A figura 3, bastante comum em estudos sobre perdas operacionais,

demonstra uma curva que descreve o comportamento geral médio das perdas
operacionais. O eixo horizontal demonstra o montante das perdas, enquanto o eixo
vertical demonstra a probabilidade de ocorrência da perda operacional. A curva é
dividida em três. Na primeira parte, estão localizadas as perdas de pequeno valor e
grande probabilidade de ocorrência, as quais são chamadas “perdas esperadas
(expected losses) as quais já estão embutidas nos preços dos produtos
(precificadas). No segundo segmento da curva, estão as perdas de valores
intermediários cuja freqüência não é grande o suficiente para se poder esperar que
voltem a acontecer com certeza, tratam-se das perdas “não esperadas” contra as
quais as instituições devem manter “capital econômico baseado em risco”. O último
segmento retrata os “eventos extremos”, as perdas catastróficas, cujo custo de
alocação de capital pode ser considerado como não sendo economicamente viável.
A grande inovação do novo acordo da Basiléia está relacionada à forma de
cálculo do capital para fazer frentes às perdas operacionais. No estágio atual em
que no Brasil grande maioria das instituições adota modelos de cálculo de capital
que não são sensíveis aos riscos, o trabalho necessário ainda é de reforço de
controles internos, condição básica para adoção de modelos mais avançados de
quantificação de capital mínimo para fazer frente a perdas operacionais.
As evidências deste estudo, conforme veremos adiante, indicam que a
Gestão de Riscos Operacionais, quando atingir sua maturidade, será uma gestão de
capital, baseada em estatísticas de perdas, e terá uma abordagem bastante
diferente da abordagem adotada para fins de SOX Compliance ou Controles
Internos. Entretanto, SOX Compliance e Gestão de Controles Internos serão sempre
pré-requisitos para que modelos avançados de Gestão de Riscos Operacionais
possam operar satisfatoriamente. Como se vê mais adiante neste estudo de caso,
na instituição objeto do estudo, a função de Gestão de Riscos Operacionais atua
para diminuição dos volumes de perdas, tendo como métrica para medição de
“performance” o percentual de redução de perdas e atua focada na implementação
de ações para diminuição de perdas, enquanto as funções de SOX Compliance e
Controles Internos possuem abordagens mais qualitativas.
44
2.6. Sarbanes-Oxley
Este tópico tem por objetivo apresentar a Lei Sarbanes-Oxley e seus

principais objetivos.
A Lei Sarbanes-Oxley, uma lei dos Estados Unidos, é aplicável no Brasil
somente às empresas que possuam títulos ou valores mobiliários negociados nos
mercados de capitais norte-americanos. No Brasil a Lei Sarbanes-Oxley tem
influenciado as práticas de “Governança Corporativa” e recentemente influenciou a
CVM - Comissão de Valores Mobiliários, a qual, através de Instrução CVM nº.
480/09 passou a exigir, de forma similar ao requerido pela Lei Sarbanes-Oxley, uma
certificação pela administração, sobre a efetividade dos controles relacionados ao
processo de reporte financeiro. A função de SOX Compliance é objeto deste estudo
de caso único que tem por foco uma instituição financeira de grande porte que cujas
conclusões poderão ser úteis na estruturação destas funções de controle em outras
grandes instituições financeiras de grande porte no Brasil, as quais em sua maioria,
embora empresas brasileiras, estão sujeitas aos requisitos da Lei Sarbanes-Oxley
uma vez que acessam os mercados de capitais norte-americanos.
Escândalos de manipulação de informações contábeis emergiram em grande
quantidade no final da década de 90 e início do novo milênio nos Estados Unidos.
Segundo pesquisa realizada pela KPMG, entre Janeiro de 1997 a Junho de 2002
aproximadamente um décimo das empresas abertas nos Estados Unidos
republicaram as suas Demonstrações Financeiras pelo menos uma vez (em 1997:
92 republicações; 2001: 225 republicações; 2002:250 republicações). Escândalos
envolveram companhias tradicionais norte-americanas e tiveram profundo impacto
sobre a confiança dos investidores, a ponto de requerer uma ação drástica do
Legislativo Norte-Americano.
A Lei Sarbanes-Oxley é conhecida como a norma mais importante para o
mercado de capitais norte-americano desde os anos 30. Entretanto, existem
controvérsias quanto ao sucesso desta lei, a qual tem sido questionada em relação
ao efeito sobre a competitividade do mercado de capitais norte-americano e seu alto
custo de manutenção.
A lei como afirmou Borgerth (2007) teve como objetivo restaurar o equilíbrio
dos mercados por meio de mecanismos que assegurem a responsabilidade da alta
45
administração de uma empresa sobre a confiabilidade das informações financeiras

por ela fornecida ao mercado.
Dentre os principais requisitos da Lei Sarbanes-Oxley, escolhidos em
relação ao propósito deste estudo, tem-se:
Art Descrição
“Disclosure Certificate” (certificado de divulgação) a ser assinado pelo CFO-Chief Financial
Officer (Diretor Financeiro) e pelo CEO-Chief Executive Officer (Executivo Principal). Este
certificado cobre:
• a revisão das informações financeiras;
302
• sua acurácia;
• apresentação justa das informações financeiras;
• controles internos relacionados às informações divulgadas;
• controles internos contábeis.
Relatório Anual da Administração sobre Controles Internos. Uma avaliação da administração
404
sobre a efetividade dos controles internos sobre o processo de reporte financeiro.
Requer que o CFO e o CEO certifiquem as informações periódicas encaminhadas à SEC que
906
incluam demonstrações financeiras.
Quadro 2 – Principais requisitos da Lei Sarbanes Oxley (para o propósito deste

estudo)
Fonte: Elaborado pelo Autor.
Os requisitos da Lei Sarbanes-Oxley, conforme demonstrados acima, em

geral dizem respeito à estruturação de políticas gerais de governança corporativa.
Entretanto, apresenta requisitos específicos no que diz respeito aos controles
internos sobre o processo de reporte financeiro (art. 404).
Com a nova lei, por exemplo, a partir dos requisitos do seu artigo 404, pelo
qual os administradores devem certificar que revisaram e testaram os controles
internos relacionados aos processos de reporte financeiro, não é mais possível a um
administrador alegar desconhecer o “estado geral” dos controles internos sobre este
processo.
A Lei Sarbanes-Oxley trouxe de volta à discussão pela administração sênior
das organizações a necessidade de controles internos sobre o processo de reporte
financeiro e regras específicas de governança corporativa.
46
A Lei, diferentemente do que se pode imaginar, não impacta somente as

companhias listadas nas bolsas de valores norte-americanas, havendo muitas
empresas que decidiram adotar os preceitos da Lei Sarbanes-Oxley em
consideração ao fato de que seus principais parceiros comerciais estão sujeitos a
estas regras. Muitos reguladores locais expandiram seus requisitos para garantir
alinhamento com estas práticas, como iniciativa para coibir a incidência de fraudes
contábeis como as que se verificaram nos Estados Unidos. Lembrando, que
escândalos contábeis também ocorreram em outros países, não somente nos
Estados Unidos.
No Brasil pesquisa realizada por Camazano (2007), conforme já
anteriormente mencionado, no tópico sobre “Riscos Operacionais”, demonstrou
haver muitos pontos de convergência entre os requisitos para conformidade à Lei
Sarbanes-Oxley e do novo acordo da Basiléia no que diz respeito à Gestão de
Riscos Operacionais.
Borgerth (2007) em seu livro intitulado “SOX Entendendo a Lei Sarbanes-
Oxley” conclui quanto à efetividade da Lei Sarbanes-Oxley para o aprimoramento da
confiabilidade da informação que, embora ainda haja muito que fazer para que as
empresas alcancem um nível de transparência que garanta a confiabilidade da
informação, a Lei Sarbanes-Oxley constitui uma ferramenta poderosa dentro do que
o ambiente legislativo é capaz de garantir. E, faz uma ressalva, de que por mais
abrangente e ameaçadora que seja a Lei Sarbanes-Oxley, a mesma por si só não é
o bastante para coibir a ocorrência de fraudes.
Abordagem para certificação dos controles internos sobre o processo

de reporte financeiro:
Abordagem geralmente utilizada para a certificação dos controles internos

sobre o processo de reporte financeiro, tal como apresentado na figura abaixo,
envolve a identificação das rubricas contábeis que oferecem riscos de erros
materiais ao processo de reporte financeiro, identificação dos processos e sub-
processos que geram os saldos contábeis, análise dos riscos e do desenho e
efetividade operacional dos controles, considerando “as assertivas financeiras”.
47
Figura 4 – Modelo de Análise de Riscos ao Processo de Reporte Financeiro - SOX

Fonte: KPMG (2007).
As assertivas financeiras são: Integridade (Completeness); Existência

(Existence); Acurácia (Acuracy); Avaliação (Valuation); Propriedade (Ownership) e
Apresentação (Presentation).
Integridade diz respeito ao fato de que toda a transação contábil realizada
deve ser objeto de registro contábil.
Existência diz respeito ao fato de que toda transação registrada
contabilmente deve corresponder a uma transação real, existente.
Acurácia diz respeito ao fato de que todo o registro deve ser feito de forma
acurada, no que diz respeito ao valor, prazo, taxa, contraparte, na rubrica-contábil
correta, etc.
Avaliação diz respeito a que a transação registrada deve estar avaliada de
forma correta.
Propriedade diz respeito ao fato de que a transação registrada deve
representar direitos e obrigações válidos para a entidade que está realizando o
registro.
48
Apresentação diz respeito ao fato de que os registros contábeis devem ser

apresentados nas demonstrações financeiras de forma correta, classificados
contabilmente de forma correta.
O processo segundo o qual os controles internos sobre o processo de
reporte financeiro são avaliados geralmente envolve:
• A definição de níveis de materialidade para erros/falhas com impacto acima

dos quais são considerados “reportáveis”, “significantes” e “material”.
• Uma análise preliminar das demonstrações financeiras com vistas a
identificar rubricas contábeis significativas, ou com probabilidade de
ocorrência de erros/falhas significantes.
• Realização de uma análise preliminar de riscos (risco inerente, risco de
controle e risco residual).
• Designação das contas e respectivos processos in-scope para fins de SOX;
• Mapeamento dos processos-chave que geram as informações contábeis.
• Identificação dos riscos ao processo de reporte financeiro, tomando por
base as “assertivas financeiras” (integridade, existência, acurácia,
valorização, propriedade e apresentação).
• Identificação dos controles internos-chave, analisando se o desenho do
controle é efetivo para mitigação dos riscos.
• Testes dos controles-chave.
Além disto, testes específicos são realizados para IT Governance

(Governança de Tecnologia da Informação) e IT General Controls (Controles Gerais
de Tecnologia da Informação), bem como testes periódicos específicos “dentro dos
sistemas” para controles internos críticos realizados por sistemas.
Os controles-chave são definidos conforme apresentado por Marks (2008)
como, um controle que, se falhar, significa que existe no mínimo probabilidade
razoável que um erro material nas demonstrações financeiras não seria prevenido
ou detectado tempestivamente. Em outras palavras, um controle chave é um que é
requerido para fornecer razoável segurança de que erros materiais seriam
prevenidos ou detectados tempestivamente.
49
Embora tenha havido muitas críticas aos custos excessivos de conformidade

com a Lei Sarbanes-Oxley, esta posição não é unânime, Rittenberg e Miller (2005,
p.55), por exemplo, relacionaram um número de melhorias decorrentes da Lei
Sarbanes-Oxley, entre as quais:
1. Um ambiente de controle mais engajado, com participação ativa

do Conselho, Comitê de Auditoria e Administração;
2. Análises mais profundas dos controles de monitoramento,
juntamente com o reconhecimento de que monitoramento é parte
integrante dos processos de controle;
3. Mais estrutura para os processos de fechamento de final de ano e
registro de entradas manuais, com aumento no reconhecimento
da crescente complexidade destas áreas;
4. Implementação de atividades anti-fraude, com processos definidos
em funcionamento incluindo responsabilidade por
acompanhamento pela partes definidas e abordagens de
resolução;
5. Melhor entendimento dos riscos associados com controles gerais
de computação e a necessidade de melhorar tanto procedimentos
de controle como de auditoria para ganhar certeza de que riscos
associados com sistemas computadorizados estejam mitigados.
6. Documentação melhorada dos controles e processos de controles
que podem servir como base para treinamentos, diretrizes práticas
para o dia-a-dia e avaliação gerencial.
7. Definição melhorada de controles, e o relacionamento entre
controles e riscos por toda a organização;
8. Inclusão dos conceitos de controle na organização, com um
entendimento mais amplo pelo pessoal operacional e
administração de suas responsabilidades pelos controles;
9. Melhorias na adequação das trilhas de auditoria como base para
suportar tanto as avaliações operacionais como de auditoria da
adequação dos controles e reporte financeiro.
10. Re-implementação dos controles básicos – tais como
segregação de funções, reconciliações periódicas de contas, e
processos de autorização – que tinham sido enfraquecidos
conforme as organizações diminuíram ou consolidaram
operações. (tradução livre do autor)
Neste ponto, cabe esclarecer, o foco do artigo 404 da Lei Sarbanes-Oxley, no

processo de “reporte financeiro”. Esta Lei requer dos gestores que mantenham
estrutura para certificar que os controles sobre o processo de reporte financeiro
operem de forma efetiva. A nosso ver, para grandes e bem controladas empresas, a
Lei Sarbanes-Oxley deve ter tido um impacto muito inferior ao impacto que vem
sendo reportado. Como veremos no estudo de caso apresentado a seguir, na
50
instituição objeto do estudo, os custos de implantação da Lei Sarbanes-Oxley não

foram extraordinários e foram vistos como complemento às políticas existentes , que
naquela organização são até mais restritivas do que as previstas pela Lei Sarbanes-
Oxley. Os benefícios mencionados por Rittenberg e Miller (2005), embora não tenha
sido objeto deste trabalho, puderam ser em parte confirmados, através de
entrevistas, na instituição objeto deste estudo.
2.7. Integração nas Funções de Controle
Este tópico tem por objetivo apresentar a forma como os conceitos de

Controles Internos, Gestão de Riscos Operacionais e SOX Compliance, embora
oriundos de diferentes regulamentações, estão de certa forma interligados,
sugerindo que a implementação de funções de controle para atender a estes riscos
pode se beneficiar de uma integração entre estas áreas.
Conforme demonstrado nos tópicos precedentes, existe atualmente uma
profusão de requerimentos regulatórios e áreas de controle estabelecidas para o seu
atendimento. Devido a isto, este estudo parte do pressuposto de que é comum a
duplicação de esforço e a falta de uma metodologia sistemática, que seja utilizada
em toda a organização para a gestão destas funções. Departamentos funcionais
estão freqüentemente em diferentes estágios de maturidade no que diz respeito à
gestão de riscos e compliance.
Finanças pode ter uma abordagem completamente diferente para identificar,
avaliar e mitigar riscos, que Compliance ou Gestão de Riscos Operacionais,
inclusive diferente vocabulário. Ainda, os mesmos riscos e regulamentos podem ser
válidos a diferentes áreas, o que freqüentemente resulta em reinvenções múltiplas
de rodas similares, um processo complexo de reporte e auditoria e uma
administração confusa sobre o perfil real de risco da organização.
Embora inúmeros trabalhos acadêmicos tenham sido realizados sobre as
disciplinas de controle, que foram mencionados acima, poucos são os trabalhos que
tratam sobre a integração destas funções de controle, ou que, buscam definir e
delimitar os pontos de contato e diferenças entre estas funções. Um dos estudos
realizados com este objetivo, foi mencionado, o estudo feito por Camazano (2007)
51
Neste ponto é importante mencionar que integração segundo o dicionário

Houaiss (2008) é a “inclusão de um elemento num conjunto”. O verbo integrar
significa segundo o mesmo dicionário: “incluir-se em conjunto ou grupo formando um
todo coerente; incorporar-se. Sentir-se parte de grupo, coletividade; adaptar-se; unir-
se formando um todo harmonioso; completar-se. No contexto deste estudo, a
integração significa fazer com que as funções de controle realizem os seus objetivos
de forma conjunta e coordenada, compartilhando informações e recursos, ao menor
custo para a organização, mas mantendo cada uma a sua visão e independência.
Figura 5 − Esquema Geral de Relacionamento entre as diferentes Funções de

Controle e suas partes relacionadas
52
A figura 5 demonstra uma visão sobre a inter-relação entre as funções de

controle, do lado de fora do círculo são apresentados as partes interessadas
(stakeholders), o primeiro círculo, mais externo representa a Governança
Corporativa, no limite do relacionamento entre a sociedade e suas partes
relacionadas. Suportando a Governança Corporativa, o segundo círculo representa
os “controles internos”, em seguida os demais círculos interligados representam os
tipos de funções de controle existentes nas organizações bancárias e as
interligações demonstram as sobreposições e interdependências entre as funções.
Como se viu o Risco Operacional é o risco de perda resultante de processos,
pessoas e sistemas internos inadequados ou falhos e de eventos externos. Um
exemplo, da integração entre as funções de risco é que todo o risco relacionado ao
processo de reporte financeiro, que é objeto da Lei Sarbanes-Oxley, também é um
risco operacional.
Assim como, o Risco Operacional é um subconjunto de riscos que os
controles internos visam a mitigar. Perdas de crédito em instituições financeiras
podem decorrer de falhas no cumprimento de normas relacionadas à análise de
crédito, assim estas perdas têm origem em um Risco Operacional. Erros no modelo
de precificação de ativos financeiros, podem transparecer inicialmente como perdas
oriundas de risco de mercado, entretanto, também são Riscos Operacionais se
materializando. O descumprimento da regulamentação sobre Riscos Operacionais
ou da Lei Sarbanes-Oxley é risco de Compliance.
A gestão de riscos operacionais toma por base uma estrutura de controles
internos adequada, o que é uma condição para sua operação eficiente, pois gestão
de riscos operacionais depende de que uma cultura de controles internos,
transparência e governança estejam em funcionamento, pois do contrário, as bases
de dados de perdas históricas (internas e externas) serão falhas, ou com
importantes omissões, impactando no cálculo do capital mínimo necessário.
Conforme verificado a palavra “controles internos” está presente nos
fundamentos de Compliance, Gestão de Riscos Operacionais e Sarbanes-Oxley.
Este estudo irá demonstrar a integração das diferentes funções de controle
considerando as partes interessadas em cada função e abordagens adotadas,
tomando por base os conceitos do COSO (Internal Control Integrated Framework).
53
A gestão qualitativa de riscos operacionais, de controles internos e

conformidade com a Lei Sarbanes-Oxley, e a própria Auditoria Interna tem em
comum a necessidade de um entendimento das atividades e processos que
suportam seus produtos e serviços, o qual é documentado através de fluxogramas e
matrizes de riscos. Enquanto não integradas estas funções a tendência é de que
cada função de controle irá desenvolver sua própria metodologia para
documentação de seu entendimento sobre os processos e controles. É neste
momento em que se configura uma das grandes ineficiências da falta de integração
destas metodologias.
Neste tópico fica demonstrado o nível de interdependência entre os conceitos
e funções de controle, as abordagens semelhantes adotadas por estas funções,
sugerindo que existem sobreposições de funções e oportunidades para maior
integração entre estas áreas. Controles internos e seus processos de identificação,
avaliação de riscos, monitoramento e reporte são identificados como preocupações
comuns aos diversos requerimentos e funções de controle. O COSO – Internal
Control Integrated Framework, por ser a estrutura de melhores práticas mais aceita é
identificada como sendo uma base para comparação das abordagens adotadas
pelas funções de controle, o que será explorado no próximo capítulo.
54
3. ESTUDO DE CASO
Este capítulo tem por objetivo apresentar as características do estudo de

caso, instituição objeto do estudo e seus participantes, um breve histórico das
funções de controle e abordagem para coleta e análise dos dados.
3.1. Características do Estudo
Este estudo, do tipo exploratório, está fundamentado em estudo de caso

único do tipo incorporado e pesquisa bibliográfica. É um estudo de caso único por
que é realizado em uma única instituição financeira de grande porte no Brasil, do
tipo incorporado, uma vez que, conforme Yin (2005, p.61), se propõe a estudar de
forma idêntica três funções de controle que operam na instituição financeira
selecionada para o estudo de caso. Este estudo discute o nível de integração entre
estas funções de controle.
Utilizando-se de pesquisa bibliográfica, através da qual se faz uma análise
dos trabalhos científicos existentes e pesquisas disponíveis, identifica-se o conceito
e função teórica das diferentes funções de controle. Para tanto, define-se o
significado destas funções, através de consulta à bibliografia e regulamentação
existente.
Considerando a natureza da questão a que se propõe responder este estudo,
faz-se a opção pelo estudo de caso do tipo exploratório, pois conforme (SILVA,
2006, p.59): “Pesquisa exploratória – É realizada em área na qual há pouco
conhecimento acumulado e sistematizado. Tem como objetivo proporcionar maior
familiaridade com o problema, para torná-lo mais explícito ou para construir
hipóteses.”
Segundo Yin (2005, p.23), o estudo exploratório, geralmente decorre de
questões do tipo “como” e “porque” e tem por objetivo o desenvolvimento de
hipóteses e proposições pertinentes a inquirições adicionais. A escolha da estratégia
de pesquisa, estudo de caso, baseou-se, conforme Yin (2005, p.20) no tipo de
questão de pesquisa proposta, do tipo “como” e “porque”, na inexistência de controle
sobre eventos comportamentais e no enfoque dado a um acontecimento
contemporâneo.
55
Considera-se como exemplo da inexistência de controle sobre eventos

comportamentais o fato de que a implementação de novas funções de controle
depende principalmente de regulamentação, tamanho e aspectos culturais.
(COIMBRA, 2007).
O objeto de investigação é o fenômeno em que por conta da evolução das
práticas bancárias e de governança corporativa, fizeram dar origem a requerimentos
regulatórios a que estão sujeitas as instituições financeiras. Sendo este um
fenômeno contemporâneo para o qual é possível fazer a análise através de
observação direta, análise de documentação, entrevistas e questionários aos
participantes diretos, sobre a forma como uma instituição financeira de grande porte
absorveu em suas práticas a regulamentação relacionada a Controles Internos,
Gestão de Riscos Operacionais e conformidade com a Lei Sarbanes-Oxley. Após
identificação das “funções de controle” e seu marco regulatório, considera-se que o
elemento conceitual comum a todas as funções de controle é a própria expressão
“controles internos”. Todas as funções de controle tratam em essência de “controles
internos”. Identifica-se o COSO – Internal Control Integrated Framework, sabendo-se
que é a estrutura de melhores práticas de controle mais difundida em termos globais,
para análise de um sistema de controles internos.
Um pressuposto do estudo de caso é de que se a teoria sobre as funções de
controle é convergente e apresenta pontos de integração, a prática da função de
controle também deve prever a integração. Assim, o estudo de caso, envolve o
entendimento e a análise sobre como cada função de controle-chave contribui com
cada um dos cinco elementos de um sistema de controles internos tal qual definido
pelo COSO. A comparação das diferentes práticas, ligadas entre si, por uma
abordagem como o COSO, permite identificar inconsistências e oportunidade de
maior integração com as demais áreas de controle. Cada função de controle é
analisada independentemente, os dados são coletados para cada uma das
diferentes funções de controle de forma idêntica, o que permite comparar as
diferentes funções de controle e concluir acerca do nível de integração das mesmas.
Os pontos de sobreposição entre as funções são identificados, e uma análise de
abordagens que visem integrá-las é realizado, com o objetivo de gerar uma proposta
de abordagem que seja eficiente para atender a todos os requisitos.
A opção pelo estudo de caso único, deve-se ao fato de que a instituição
financeira sob análise, em razão de seu porte e exposição internacional, reúne
56
condições especiais para testar a teoria acima exposta deste estudo, pois a
instituição escolhida é um caso típico de instituição que, em resposta a
requerimentos regulatórios, desenvolveu estruturas independentes para a gestão de
controles internos, gestão de riscos operacionais e conformidade com a Lei a Lei
Sarbanes-Oxley. A análise da forma como foram estruturadas estas funções nesta
instituição, dos motivos pelos quais foi feita esta opção e das abordagens em uso
por estas estruturas em comparação com a estrutura de melhores práticas do
COSO, irá permitir responder a questão de pesquisa: como e porque integrar as
funções de controle em instituições financeiras de grande porte?
É entendimento que as conclusões que puderam ser extraídas deste caso
particular poderão ser úteis na estruturação de funções controles em instituições
financeiras de grande porte. As instituições financeiras podem se diferenciar em
inúmeros aspectos, tamanho, nicho de mercado a que se destina atender,
abrangência geográfica de sua atuação, forma de distribuição de seus canais de
venda, tipos e complexidade de produtos, filosofia de gestão, etc. Entretanto, os
requerimentos regulatórios relacionados a Controles Internos, Gestão de Riscos
Operacionais e Lei Sarbanes-Oxley são os mesmos para os diferentes tipos de
instituição financeira.
O produto final é uma análise crítica sobre como foram implementadas as
estruturas de controles internos, gestão de riscos operacionais e de conformidade
com a Lei Sarbanes-Oxley, a qual embora tendo sido realizada em uma única
instituição financeira, deverá ser útil a todos os profissionais envolvidos na
implementação destas estruturas, assim, permitindo generalizações, mas sempre
com algum esforço do leitor em traduzir as particularidades do seu caso específico
vis a vis as particularidades do caso analisado. Esta análise resultará em hipóteses e
proposições pertinentes a inquirições adicionais.
3.2. Características da Instituição Pesquisada
Este estudo foi realizado em instituição financeira de grande porte no Brasil. A

instituição objeto do estudo conta com mais de 20.000 funcionários, mais de 1000
pontos de atendimento espalhados em todo o território nacional, operando em todos
os segmentos de mercado. O estudo restringiu-se às operações desta instituição,
especificamente no que diz respeito às funções de controle, Controles Internos,
57
Gestão de Riscos Operacionais e “SOX Compliance”. De grande porte no Brasil

seriam as instituições com ativos superiores a R$ 50 bilhões, que atuam em
praticamente todos os segmentos de mercado (Varejo-Pessoa Física; Varejo-Pessoa
Jurídica; Corporate e Investment Banking; Private Banking; Tesouraria; Seguros).
Delimita-se este entendimento às instituições de grande porte em razão de que as
mesmas estão sujeitas aos requisitos de conformidade com a Lei Sarbanes-Oxley e
de adoção de modelos avançados para Gestão de Riscos Operacionais, requisitos
estes que às diferenciam das instituições de porte inferior.
Na data em que o estudo de caso foi iniciado, a instituição objeto do estudo
contava com as seguintes principais funções de controle:
Nome da Função Número de
# Linha de Reporte Principais Abordagens Sistema de Suporte
de Controle Funcionários
Definição de Políticas e Procedimentos de Compliance;
Planejamento baseado em riscos;
Mapeamento de Processos;
Certificados/checklists trimestrais;
Chief Executive Officer; 8 (full time) Participação em Comitê de Produtos e Riscos; Sistemas de Prevenção à
1 Compliance
Função de Compliance 40 focais. lavagem de dinheiro
Captura de todos os eventos de riscos de compliance junto à estrutura
de focais.
Reporte a alta administração sobre riscos de compliance;
Acompanhamento de ações para mitigação de riscos de compliance.
Treinamentos sobre compliance e prevenção à lavagem de dinheiro.
Mini-auditorias
Controles Internos / Micro-informática para
Reporte à Diretoria de Certificados/checklists trimestrais
2 Revisores de 15 geração dos
Operações
Processos certificados/checklists
Definição de Políticas e Procedimentos de Gestão de Riscos
Operacionais.
Treinamento em Gestão de Riscos Operacionais
Captura de eventos de perdas operacionais (através de sistema

corporativo)
Reporte à Diretoria de Mapeamento dos riscos operacionais no sistema corporativo.

Operações;
Reporte de estatísticas de perdas;
Reporte ao Chief Risk Sistema corporativo para
Gestão de Riscos Officer e 15 (full time) Gestão do plano de contingências do Grupo. mapeamento dos riscos,
3
Operacionais 40 focais. captura e reporte de
Reporte à função de Modelagem matemática do risco operacional e cálculo de capital mínimo incidentes de perda.
Gestão de Riscos para fazer frente a perdas operacionais.
Operacionais da região
América Latina. Reuniões para mapeamento dos riscos operacionais;
Certificação trimestral de controle.
Acompanhamento dos planos de ação para mitigação dos riscos

operacionais e redução de perdas.
Reporte à alta administração sobre riscos operacionais.

Definição de Políticas e Procedimentos Locais para SOX Compliance.
Planejamento anual dos trabalhos com base na análise dos riscos ao

reporte financeiro;
Mapeamento de processos;
Reporte à Diretoria de Matrizes de Riscos e Controle;

Finanças;
Teste dos controles-chave relacionados ao processo de reporte
Reporte ao Comitê Local 4 (full time) financeiro;
4 SOX Compliance Micro-informática
de SOX Compliance; 44 focais.
Treinamento sobre SOX Compliance;
Reporte à função de SOX
Compliance Reporta à Diretoria de Finanças sobre riscos relacionados ao processo
de reporte financeiro.
Acompanhamento de ações para mitigação dos riscos identificados ao

processo de reporte financeiro.
Certificação trimestral e semestral de controle.
Realização de auditorias em todas as dependências do Banco.

Reporte ao CEO;
Sistema de Auditoria (Lotus
5 Auditoria Interna Reporte à função de 42 (full time)
Notes)
Auditoria Interna
Quadro 3 – Comparativo das Estruturas das Funções de Controle

58
Participaram deste estudo gerentes seniores de departamentos de suporte

(Finanças, Crédito, Operações, Tecnologia da Informação), de funções de controle
(Compliance, Controles Internos, Gestão de Riscos Operacionais, SOX Compliance
e Auditoria Interna) e departamentos de negócios (Tesouraria, Crédito Rural,
Cartões de Crédito, Banco Comercial e Varejo-Pessoa Física), em geral de segundo
ou terceiro nível na hierarquia da instituição, todos membros influentes nas decisões
sobre controles internos da instituição objeto de estudo. Estes gerentes seniores são
todos profissionais com mais de 3 anos exercendo a função no Banco escolhido,
profunda experiência no segmento bancário, formação acadêmica em áreas como
Administração, Economia, Contabilidade, Engenharia e outros.
3.3. Breve histórico das Funções de Controle na instituição
Obteve-se, com a aplicação do Questionário I (Apêndice I) e de entrevistas

com os Gerentes Seniores responsáveis pelas funções de controle, um histórico,
sobre como estas funções se originaram dentro da instituição objeto do estudo.
No caso em estudo verifica-se que por ocasião da emissão da Resolução
CMN nº. 2554/98 sobre “Controles Internos”, em 1998, houve o deslocamento de
dois executivos seniores de Finanças que criaram uma função responsável pela
estruturação das medidas requeridas pela referida Resolução, a qual requeria que
as instituições mantivessem um sistema de controles internos ajustado para
assegurar comunicação, disseminação de normas, estratégias, reporte e tratamento
de incidentes, processo de identificação e avaliação contínua de riscos,
implementação e monitoramento de controles internos e m resposta aos riscos
identificados.
Um departamento de Compliance foi estruturado em 2004 para, entre outros
assuntos, monitorar os controles relacionados à prevenção à Lavagem de Dinheiro e
questões relativas a riscos reputacionais, o qual está em funcionamento.
Em 2005, a mesma instituição, objeto do estudo de caso, se viu com a
demanda de implementar uma função de controle para assegurar conformidade com
a Lei Sarbanes-Oxley. Cerca de 50 profissionais de diversas áreas da instituição
foram deslocados de suas funções de origem para integrar temporariamente a
equipe do projeto da Lei Sarbanes-Oxley. Esta função foi liderada pela área de
59
Finanças, em razão de que a Lei Sarbanes-Oxley se ocupa primordialmente de

controles sobre o processo de reporte financeiro. Ao promover a implantação dos
requisitos da Lei Sarbanes-Oxley, a Diretoria de Finanças está exercendo sua
prerrogativa como responsável final pela qualidade das demonstrações financeiras.
Esta responsabilidade é considerada não “delegável” e está alinhada com a Lei que
prevê a certificação anual em primeira pessoa pelo Chief Financial Officer e pelo
Chief Executive Officer. Os principais processos desta instituição que suportavam
cerca de 90% dos saldos contábeis foram mapeados, riscos específicos ao processo
de reporte financeiro foram identificados, e seus controles documentados e testados.
Um processo de certificação foi estabelecido através do qual o CEO - Chief
Executive Officer e o CFO - Chief Financial Officer desta instituição são obrigados a
atestar semestralmente conformidade com os requisitos da Lei Sarbanes-Oxley.
Na mesma época, começava a se estruturar, em resposta ao Novo Acordo da
Basiléia, emitido em 2004, uma função de Gestão de Riscos Operacionais,
reportando ao Diretor de Operações e Tecnologia. Da mesma forma que SOX
Compliance foi considerado como de responsabilidade da Diretoria de Finanças,
Gestão de Riscos Operacionais, por dizer respeito a falhas em pessoas, processos e
sistemas foi considerada mais afeta à Diretoria de Operações e Tecnologia.
A função de controles internos, originalmente estabelecida para dar conta dos
requisitos da Resolução CMN nº. 2554/98, foi extinta, tão logo considerado pela
administração que um sistema de controles internos adequado nos moldes
requeridos estava em funcionamento naquela instituição, o que ocorreu em 2003.
O projeto da Lei Sarbanes-Oxley foi concluído em 2005 (dez meses após sua
criação), após terem sido mapeados os principais processos da instituição objeto do
estudo de caso. A partir de então uma função de controles internos e conformidade
com a Lei Sarbanes-Oxley dentro de Finanças foi mantida e se encarrega de revisar
a documentação de SOX anualmente, tomando por base um planejamento baseado
em riscos, refazendo os testes dos controles considerados como “chave” ao
processo de reporte financeiro. Na questão da disseminação da cultura e maior
responsabilização dos gestores de processos e áreas de negócios, a função de SOX
Compliance da instituição sofre as conseqüências de ter optado pela centralização
em Finanças das responsabilidades por SOX Compliance. Ao mesmo tempo em
que, se não houvesse centralizado, talvez não tivesse conseguido implantar a
conformidade com a SOX nos prazos estabelecidos.
60
Em paralelo, foi estruturada uma nova função de controles internos, chamada

internamente de “revisores de processos”, reportando ao Diretor de Operações e
Tecnologia, a qual a partir de uma análise de riscos realiza revisões, que são mini-
auditorias, em departamentos de operações da instituição e em agências, com foco
de assegurar aderência às políticas da empresa, para conforto do Diretor de
Operações e Tecnologia.
No início 2008 o outrora Diretor de Crédito foi substituído por um CRO - Chief
Risk Officer. O papel do Chief Risk Officer engloba não somente o risco de crédito,
como também os riscos de mercado e liquidez e risco operacional. Ocasião em que
os Gerentes de Risco de Mercado e Liquidez e de Riscos Operacionais passaram a
ter uma linha de reporte também ao Chief Risk Officer. O Chief Risk Officer é um
executivo sênior (diretor estatutário), portanto, com assento em todos os principais
comitês da instituição, passa a ser uma voz a mais dentro dos fóruns mais elevados
da instituição para defender as questões relacionadas a riscos. A implementação da
função de Chief Risk Officer é considerada como uma “melhor prática” de gestão de
riscos, exatamente porque permite maior independência às funções de gestão de
riscos, assim como uma visão integrada dos mesmos.
Este estudo de caso trata sobre as funções de controle: Controles Internos;
Gestão de Riscos Operacionais e SOX Compliance.
3.4. Abordagem para Coleta e Análise das Evidências
Para a realização da pesquisa obteve-se autorização da Alta Administração

da instituição financeira objeto da pesquisa, a qual concordou com a realização da
pesquisa desde que mantido sigilo sobre o nome da instituição e das pessoas-chave
entrevistadas.
O protocolo do estudo de caso considera que o estudo de caso foi realizado
em Instituição Financeira de Grande Porte, onde cada uma das funções de controle
“Controles Internos”; “SOX Compliance” e “Gestão de Riscos Operacionais” é
analisada verificando a sua contribuição a cada componente de controle definido
pelo COSO. Os dados primários são obtidos através de entrevistas e questionários.
Os dados secundários são obtidos através de análise documental (políticas,
“checklists”, certificados, fluxogramas, atas de reuniões, estatísticas de perdas e
61
eventos e planos de ação) e observação (através da participação em comitês e

reuniões e avaliações de riscos).
Antes mesmo do início dos trabalhos de coleta e análise de evidências uma
pesquisa bibliográfica havia sido realizada sobre os temas: Controles Internos;
Gestão de Riscos Operacionais; SOX Compliance e Governança Corporativa.
Um primeiro questionário (Apêndice I) foi utilizado como forma de obter um
entendimento sobre o histórico da estruturação das funções de controle na
instituição. Este questionário, com 48 perguntas abertas, foi direcionado aos
Gerentes Seniores responsáveis pelos departamentos de controle: Compliance;
Controles Internos / Revisores de Processos; SOX Compliance e Gestão de Riscos
Operacionais. O índice de respostas foi de 100%. Através deste questionário foi
possível entender a história de criação destas funções, seus principais objetivos,
nível de interação com outras áreas, abordagens em uso para melhoria do ambiente
de controle, para identificação e avaliação de riscos; para monitoramento de
controles internos; processo de informação e comunicação, sistemas utilizados, etc.
Após a obtenção de respostas aos questionários, uma entrevista foi realizada com
cada um destes gerentes seniores com o objetivo de esclarecer dúvidas e captar um
pouco do clima e enriquecer o entendimento sobre as respostas apresentadas.
Deu-se o encaminhamento e entrevistas em torno do primeiro questionário,
novas entrevistas foram realizadas com o objetivo de coleta de dados e evidências,
ocasião em que se coletou cópia das políticas de gestão de riscos de cada área;
organogramas; atas de reuniões dos comitês em que estas áreas participam, como
por exemplo: do Comitê de Gestão de Riscos Operacionais e Controles Internos, do
Comitê Local de SOX Compliance e do Comitê de “Legal e Compliance”; além de
outras evidências como: checklists; certificados; treinamentos “on-line”;
documentação de processos; matrizes de riscos e controle; principais apontamentos
de auditoria pendentes de solução; estatísticas de perdas operacionais. Este
segundo ciclo de entrevistas teve por objetivo reduzir vieses que poderiam ter sido
causados pela forma como o questionário foi elaborado.
A participação em cinco visitas feitas pela área de SOX Compliance para a
realização das reuniões de Risk and Control Self Assessment e para testes da
efetividade de controle permitiu verificar como é o nível de interação entre a área de
SOX Compliance e os focais de SOX e gestores de processos. A participação como
ouvinte nos Comitês de Legal e Compliance; de Gestão de Riscos Operacionais e
62
Controle Internos e no Comitê Local de SOX Compliance permitiu entender com

maior profundidade a dinâmica de análise e monitoramento exercido por estes
Comitês às questões de controles internos.
Com o objetivo de corroborar entendimentos, principalmente relacionados ao
nível de integração entre as funções de controle, um segundo questionário
(Apêndice II) foi desenvolvido e direcionado para 53 gerentes-seniores de funções
de controle, áreas de suporte e áreas de negócios Foram recebidas 34 respostas ao
segundo questionário, um índice de respostas de 64%.
Os questionário e entrevistas e coletas de evidências tiveram por objetivo
responder às seguintes questões, as quais o autor entende que permitem um
encadeamento de conceitos de modo a se concluir sobre a questão de pesquisa
(“como e por que integrar as funções de controle?)”.
1. Como as funções de controle capturam informações junto às áreas de
negócios? (Avaliação de Riscos – dentro da estrutura do COSO).
2. Como realizam a identificação e avaliação de riscos? (Avaliação de Riscos
– dentro da estrutura do COSO).
3. Como se certificam de que os controles internos estão sendo realizados?
(Controles Internos e Monitoramento – Dentro da Estrutura do COSO).
4. Como classificam os riscos? (Comunicação e Avaliação de Riscos – do
COSO).
5. A quem reportam os resultados de suas análises? (Comunicação do
COSO).
6. Como se dá a participação de outras funções de controle nestas
atividades? (Integração, Ambiente de Controle).
7. Como as funções de controle poderiam se aproveitar de uma maior
integração? (Integração, Ambiente de Controle).
8. Por que as funções de controle não aproveitam as oportunidades de maior
integração? (Ambiente de Controle – COSO).
9. Como são impactadas as áreas de negócios e operações? (Ambiente de
Controle – COSO).
As diferentes fontes de evidências foram utilizadas de forma a permitir a

“triangulação” (YIN, 2005, p.125) com vistas a confirmar a validade das evidências
63
identificadas. As evidências obtidas das diversas fontes convergem em relação ao

mesmo conjunto de fatos ou descobertas.
Análise foi realizada das evidências obtidas em conjunto com pesquisa
bibliográfica os quais permitiram chegar aos entendimentos necessários para
construir um encadeamento entre estas evidências, as questões de pesquisa e a
teoria geral na qual se baseou o presente estudo, conduzindo-se às conclusões que
confirmaram a teoria geral de que as funções de controle poderiam adicionar maior
valor através de medidas que se voltassem a uma maior integração entre estas
áreas.
O relatório do estudo foi apresentado a diferentes Gerentes Seniores
responsáveis pelas funções de controle os quais concordaram com as conclusões
do trabalho, o que permitiu confirmar a sua validade externa, tal como descrito por
Yin (2005, p.58). Entretanto, salienta-se que as conclusões extraídas deste estudo
são pessoais do seu autor, pois refletem sua interpretação aos dados coletados, e
não refletem necessariamente a posição oficial da instituição objeto do estudo e nem
das pessoas que participaram da pesquisa.
Os resultados das análises às respostas aos questionários I e II (apêndices I
e II) deste estudo, das entrevistas, análises de documentos e observação, são
apresentados nos próximos capítulos sendo que:
- O capítulo 4 apresenta análise às respostas obtidas do questionário II que
trata sobre a percepção existente entre os gerentes seniores sobre o nível de
integração das funções de controle.
- Os resultados apresentados no capítulo 5 se fundamentam nas respostas
obtidas ao questionário I (apêndice I), o qual apresenta uma análise da forma de
atuação de cada uma das funções de controle objeto deste estudo na instituição em
estudo.
- O capítulo 6, apresenta os resultados de uma análise comparativa das
funções de controle considerando respostas obtidas junto aos gerentes seniores de
cada função de controle para as 9 questões relacionadas aos 5 componentes de
controles internos do COSO. Os resultados apresentados no capítulo 6 confirmam
os entendimentos apresentados no capítulo 5.
64
4. RESULTADO (1): NÍVEL DE INTEGRAÇÃO ENTRE AS FUNÇÕES

DE CONTROLE:
Este capítulo tem por objetivo apresentar o resultado de análise às respostas

obtidas do questionário II (Apêndice II) que trata sobre a percepção existente entre
os gerentes seniores sobre o nível de integração das funções de controle.
Das 38 perguntas do questionário II (apêndice II), 11 questões foram
consideradas especialmente úteis ao propósito de responder à questão-problema
deste estudo e são apresentadas a seguir:
4.1. Percepção sobre a Cultura Geral de Controle
Questão 1 do Questionário II (Apêndice II):
Como você percebe a cultura geral de controle da organização?

As respostas possíveis eram:
1) Excessivo/Superdimensionado/Destruindo valor (eficaz/ineficiente)
2) Otimizado/Adequado ao perfil de riscos/agregando valor (eficaz /
eficiente);
3) Não adequado / subdimencionado / pouco ou nenhum valor agregado
(ineficaz).
Respostas obtidas:
Quadro 4 – Percepção sobre a Cultura Geral de Controle

Fonte: Elaborado pelo Autor
65
Observa-se que do total 29% dos respondentes entendem que a cultura geral
de controles na instituição objeto do estudo é de uma atenção excessiva aos
controles. Este percentual é de 44% pelas áreas de negócios, 30% pelas áreas de
riscos e de 20% pelas áreas de suporte.
4.2. Interação com as funções de controle existentes
Como você classifica sua interação com as funções de controle existentes no

Banco?

1) Eficaz/Ineficiente (atende objetivo, mas a um custo excessivo);
2) Eficaz/Eficiente (atende objetivo a um custo adequado);
3) Ineficaz (não atende objetivo);
4) Sem opinião (não tenho nenhuma interação).
Respostas obtidas:
Gestão de Riscos Operacionais

Áreas de Área de
Total Área de Riscos
Suporte Negócios
Eficaz/Ineficiente 3 9% 1 8% 2 20% 0 0%
Eficaz/Eficiente 23 72% 9 69% 8 80% 6 67%
Ineficaz 4 13% 3 23% 0 0% 1 11%
Sem Opinião 2 6% 0 0% 0 0% 2 22%
Total 32 100% 13 100% 10 100% 9 100%
66
Função de Controles Internos

Áreas de Área de
Suporte Negócios

Ineficaz 4 13% 1 24% 0 0% 3 38%
Sem Opinião 5 16% 3 24% 0 0% 2 25%
Total 31 100% 15 24% 8 100% 8 100%
Função de SOX Compliance

Áreas de Área de
Suporte Negócios
Ineficaz 4 12% 2 13% 1 11% 1 11%
Sem Opinião 1 3% 1 7% 0 0% 0 0%
Total 33 100% 15 100% 9 100% 9 100%
Total
Áreas de Área de
Suporte Negócios
Ineficaz 12 13% 6 14% 1 4% 5 19%
Sem Opinião 8 8% 4 9% 0 0% 4 15%
Total 96 100% 43 100% 27 100% 26 100%
Quadro 5 – Interação com as Funções de Controle Existentes

Constata-se que as avaliações feitas pelos respondentes são similares para

as três funções de controle: Gestão de Riscos Operacionais, Controles Internos e
SOX Compliance. 13% dos respondentes consideram como ineficaz, ou seja, como
se não atingisse qualquer objetivo suas interações com as funções de controle,
enquanto 7% entendem que esta interação embora eficaz, é ineficiente, ou seja
atende objetivo mas a um custo excessivo. No somatório de 7% e 13%, 20%
67
consideram como ineficaz ou ineficiente suas interações com as Funções de

controle, o que se considera como um percentual elevado de rejeição.
4.3. Interação entre as funções de controle
Como você percebe a interação existente entre as funções de controle?

a) Não percebo nenhuma interação;
b) Acho que ocasionalmente fazem trabalhos redundantes, causando impacto
além do necessário em minha área, assim como existem GAP’s de
assuntos não cobertos;
c) Acho que cada um faz o seu trabalho – mas existem GAP’s de assuntos de
riscos e controles não cobertos;
d) Considero que o nível de interação é adequado (existe coordenação entre
as áreas de controles e substancialmente não existem GAPs relevantes
não cobertos por estas funções).
Respostas obtidas:
Áreas de Área de
Resposta Total Área de Riscos
Suporte Negócios
a) 2 6% 0 0% 0 0% 2 22%
b) 19 56% 8 53% 7 70% 4 44%
c) 5 15% 3 20% 0 0% 2 22%
d) 8 24% 4 27% 3 30% 1 11%
Total 34 100% 15 100% 10 100% 9 100%
Quadro 6 – Interação entre as Funções de Controle

Quanto ao nível de interação entre as funções de controle, apenas 24%

considera que o nível de interação é adequado. Entre os respondentes das áreas de
68
negócios apenas 11% considera o nível de interação adequado. 56% consideram

que as funções de controle fazem trabalhos redundantes, deixando assuntos sem
cobertura.
A percepção de que as funções de controle fazem trabalhos redundantes,
pode ser decorrência de um entendimento falho quanto ao objetivo de cada uma das
funções. Veremos neste trabalho que as funções de controle possuem objetivos
distintos, entretanto, as abordagens de atuação semelhantes fazem confundir seus
interlocutores. Entretanto, constata-se que mesmo entre os respondentes de funções
de risco, 70% consideram que existem “redundâncias”. Redundâncias são
ineficiências que precisam ser tratadas.
4.4. Nível de governança das funções de controle
Como você percebe o nível de governança (processo de comunicação,

reporte e tomada de decisão) decorrente dos trabalhos realizados pelas
funções de controle?
• Eficaz / Ineficiente (destrói valor)
• Eficaz / Eficiente (agrega valor)
• Ineficaz;
• Sem opinião
Respostas obtidas:
Gestão de Riscos Operacionais
Áreas de Área de
Suporte Negócios
Ineficaz 6 19% 4 31% 1 10% 1 11%
Sem Opinião 1 3% 0 0% 0 0% 1 11%
Total 32 100% 13 100% 10 100% 9 100%
69
Função de Controles Internos

Áreas de Área de
Suporte Negócios
Ineficaz 3 10% 0 0% 1 13% 2 25%
Sem Opinião 7 23% 3 21% 1 13% 3 38%
Total 30 100% 14 100% 8 100% 8 100%
Função de SOX Compliance

Áreas de Área de
Suporte Negócios

Ineficaz 4 12% 2 13% 0 0% 2 22%
Sem Opinião 4 12% 1 7% 1 10% 2 22%
Total 34 100% 15 100% 10 100% 9 100%
Total
Áreas de Área de
Suporte Negócios
Ineficaz 13 14% 6 14% 2 7% 5 19%
Sem Opinião 12 13% 4 10% 2 7% 6 23%
Total 96 100% 42 100% 28 100% 26 100%
Quadro 7 – Nível de governança das funções de controle

Constata-se que 10% consideram como ineficiente o processo de governança

em operação para as funções de controle, 14% consideram este processo como
ineficaz. No total 24% consideram ineficaz ou ineficiente o processo de governança.
A função de gestão de riscos operacionais é a função melhor avaliada, inclusive com
menor número de respondentes “sem opinião” sobre a governança ao redor desta
área, isto sugere que as outras funções de controles têm um trabalho a fazer para
tornar mais conhecido o processo de governança existente entre as demais áreas
sujeitas às revisões.
70
4.5. Adequação de recursos para as funções de controle
Você considera que as funções de controle possuem recursos (humanos,

tecnológicos) adequados para a consecução de seus objetivos? (Questão 16
do Questionário II (Apêndice II))

• Sim;
• Não.
Respostas obtidas:
Total Áreas de Suporte Área de Riscos Área de Negócios
Ttl Sim Não Ttl Sim Não Ttl Sim Não Ttl Sim Não
Função de Gestão
32 25 7 15 12 3 8 7 1 9 6 3
de Riscos
Operacionais 100% 78% 22% 100% 80% 20% 100% 88% 13% 100% 67% 33%
Revisores de 32 21 11 15 10 5 8 6 2 9 5 4
Processos 100% 66% 34% 100% 67% 33% 100% 75% 25% 100% 56% 44%
32 26 6 15 11 4 8 7 1 9 8 1
SOX Compliance
100% 81% 19% 100% 73% 27% 100% 88% 13% 100% 89% 11%
102 76,314 25,69 47 34,467 12,533 26 21,625 4,375 29 20,22 8,7778
TOTAL
100% 75% 25% 100% 73% 27% 100% 83% 17% 100% 70% 30%
Quadro 8 – Adequação de recursos para as funções de controle

As respostas a esta questão indicam que um quarto dos respondentes

considera que as funções de controle não estão suficientemente estruturadas, em
termos de recursos humanos e tecnológicos suficientes para a realização de suas
responsabilidades. A função “controles internos (revisores de processos)” é
percebida como a função de controle mais deficiente em termos de recursos.
Nas entrevistas realizadas com os gerentes responsáveis por estas funções,
constata-se que os mesmos em geral percebem a falta de recursos, a qual é
gerenciada com a adoção de abordagens “baseadas em risco”, ou seja, seu plano
de trabalho prioriza os processos de maior risco.
71
4.6. Contribuição das funções de controle para o ambiente geral

de controles da instituição
Você considera que a atuação das funções de controle nos últimos 2 anos
contribuiu efetivamente para o ambiente geral de controles da instituição?
• Sim;
• Não.
Respostas obtidas:
Função de Gestão 33 24 9 15 10 5 9 8 1 9 6 3
de Riscos 100% 73% 27% 100% 67% 33% 100% 89% 11% 100% 67% 33%
Operacionais
Revisores de 33 23 10 15 11 4 9 8 1 9 4 5
Processos 100% 70% 30% 100% 73% 27% 100% 89% 11% 100% 44% 56%
33 28 5 15 12 3 9 9 - 9 7 2
SOX Compliance
100% 85% 15% 100% 80% 20% 100% 100% 0% 100% 78% 22%
105 79 26 47 34 13 29 27 2 29 18 11
TOTAL
100% 76% 24% 100% 73% 27% 100% 92% 8% 100% 62% 38%
Quadro 9 – Contribuição das funções de controle para o ambiente geral de controles

da instituição
As respostas obtidas demonstram que a função de controles SOX

Compliance é percebida como aquela que mais contribuiu nos últimos 2 anos para o
ambiente geral de controles da instituição. Um número importante de respondentes,
24%, considera que as funções de controle não deram uma contribuição efetiva para
o ambiente geral de controles da instituição. Entretanto, é significante o número de
respondentes que considera que não houve contribuição, 24% (38% entre os
representantes das áreas de negócios).
72
4.7. Se existiriam tais áreas caso não fossem requerimentos

regulatórios ou políticas do Grupo

Você considera que estas áreas existiriam, caso não fossem requerimentos
regulatórios ou políticas do Grupo? (Questão 19 do Questionário II (Apêndice
II))
• Sim;
• Não.
Respostas obtidas:
Função de Gestão 33 25 8 14 10 4 10 8 2 9 7 2
de Riscos 100% 76% 24% 100% 71% 29% 100% 80% 20% 100% 78% 22%
Operacionais
Revisores de 33 24 9 14 9 5 10 8 2 9 7 2
Processos 100% 73% 27% 100% 64% 36% 100% 80% 20% 100% 78% 22%
33 8 25 14 6 8 10 1 9 9 1 8
SOX Compliance
100% 24% 76% 100% 43% 57% 100% 10% 90% 100% 11% 89%
105 62 43 44 26 18 32 19 13 29 17 12
TOTAL
100% 59% 41% 100% 60% 40% 100% 58% 42% 100% 57% 43%
Quadro 10 – Se existiriam tais áreas caso não fossem requerimentos regulatórios ou

políticas do Grupo
76% dos respondentes consideram que a função de SOX Compliance não

existiria caso não houvesse um requerimento regulamentar exigindo sua existência.
27% e 24% consideram que as funções de “Revisores de Processos (Controles
Internos)” e de Gestão de Riscos Operacionais não existiriam caso não fossem
exigências regulatórias.
73
4.8. Se o vocabulário utilizado por estas funções de risco podem

causar distorções à alta administração sobre os riscos reais a que
a instituição está exposta
Você considera que a linguagem, vocabulário utilizado por estas funções de

risco podem causar distorções à alta administração sobre os riscos reais a
que a instituição está exposta? (Questão 32 do Questionário II (Apêndice II))

• Sim;
• Não.
Respostas Obtidas:
Total
Ttl Sim Não
14 5 9
Áreas de Suporte
100% 36% 64%
8 5 3
Áreas de Riscos
100% 63% 38%
9 5 4
Áreas de Negócios
100% 56% 44%
31 15 16
TOTAL
100% 48% 52%
Quadro 11 – Se o vocabulário utilizado por estas funções de risco podem causar
distorções à alta administração sobre os riscos reais a que a instituição está exposta
A maioria (64%) dos representantes das áreas de suporte entendem que não
são influenciadas pelo vocabulário utilizado pela função de controle. Entendimento
diverso é apresentado pelas Áreas de Risco, onde 63% entende que o vocabulário
influencia as funções de controle. No total 48% entende que o vocabulário influencia.
O termo “vocabulário” é amplo, mas inclui a forma como os riscos
identificados são ranqueados e a linguagem adotada. Neste ponto, é importante que
as funções de controle trabalhem de forma alinhada em termos de “nível de
74
materialidade” dos riscos identificados, forma de categorização e reporte de riscos,

pois o inconveniente da falta de alinhamento nestes quesitos é uma administração
que de fato não é informada adequadamente sobre a relevância dos assuntos, e,
assim, pode priorizar mal as ações corretivas.
4.9. Se os "issues" parecem mais importantes do que realmente o

são e podem afetar a percepção da administração quanto a real
criticidade do assunto
Você considera que existem "issues" reportados em excesso (pelas diversas

funções de controles) e para diversos comitês fazendo-os parecer mais
importantes do que realmente são? Podendo o processo de reporte, estar
afetando de forma inadequada a percepção da administração quanto a real
criticidade do assunto? Portanto, afetando a priorização das ações para
resolução destes itens?

• Sim;
• Não.
Respostas Obtidas:
Total
Ttl Sim Não
15 8 7
Áreas de Suporte
100% 53% 47%
9 7 2
Áreas de Riscos
100% 78% 22%
9 7 2
Áreas de Negócios
100% 78% 22%
33 22 11
TOTAL
100% 67% 33%
Quadro 12 – Se os "issues" parecem mais importantes do que realmente e podem
afetar a percepção da administração quanto a real criticidade do assunto
75
67% dos respondentes consideram que o nível de reporte de fraquezas de

controles como excessivo, fazendo as fraquezas identificadas parecerem mais
críticas do que realmente o são para a alta administração.
As funções de controle podem contribuir para redução desta percepção
fazendo suas análises passarem por uma “normalização” antes de serem escaladas
aos comitês mais seniores. A função de gestão de riscos deve consolidar os
assuntos antes de transmiti-los à alta administração.
4.10. Adequação da estrutura de comitês para tratar questões de

controles internos
A estrutura de comitês existente para tratar de questões de riscos é adequada

para capturar e filtrar as questões importantes sobre controles internos,
assegurando que as questões relevantes estão adequadamente levadas ao
conhecimento em tempo para a alta administração?

• Sim;
• Não.
Respostas Obtidas:
Total
Ttl Sim Não
15 10 5
Áreas de Suporte
100% 67% 33%
Áreas de Riscos 10 9 1
100% 90% 10%
9 9 -
Áreas de Negócios
100% 100% 0%
34 28 6
TOTAL
100% 82% 18%
Quadro 13 – Se a estrutura de comitês existente para tratar de questões de riscos é
adequada para capturar e filtrar as questões sobre controles internos
76
As respostas obtidas indicam que a estrutura de comitês é

considerada adequada.
4.11. Se falta integração às funções de controle

Você concorda que falta integração às funções de controle?

• Concordo;
• Concordo parcialmente;
• Discordo;
• Não tenho opinião.
Respostas Obtidas:
Total
Concordo Não tenho
Ttl Concordo Discordo
parcialmente opinião
15 9 1 5 -
Áreas de Suporte
100% 60% 7% 33% 0%
9 4 4 1 -
Área de Riscos
100% 44% 44% 11% 0%
9 6 3 - -
Área de Negócios
100% 67% 33% 0% 0%
33 19 8 6 -
TOTAL
100% 58% 24% 18% 0%
Quadro 14 – Se falta integração às funções de controle
Apenas 18% discordam de que “falta integração” às funções de controle, 58%

concordam, 24% concordam parcialmente.
Em geral as respostas obtidas ao Questionário II (Apêndice II) confirmam o
pressuposto sobre o qual este estudo se baseia, de que existe falta de integração
entre as funções de controle.
77
5. RESULTADO (2): AS FUNÇÕES DE CONTROLE EM

FUNCIONAMENTO NA INSTITUIÇÃO
Este capítulo tem por objetivo analisar como operam as funções de controle,
“SOX Compliance”, “Gestão de Riscos Operacionais” e “Controles Internos”, na
instituição objeto do estudo. Desta análise são identificadas oportunidades para que
estas funções, mesmo que tenham objetivos, linhas de reporte e habilidade distintas,
possam atuar de forma mais integrada.
5.1. Responsabilidade final pelos Controles Internos
Para a disseminação da cultura de controle é importante que a

responsabilidade final pela execução das tarefas de controle recaia sobre os
gestores de processos e em última instância às áreas de negócios, que são quem
pagam a conta em eventos de perdas operacionais, pois conforme demonstrado no
tópico anterior, as funções de controle são primordialmente, funções de
monitoramento e não funções de execução de controle. Na instituição objeto do
estudo o orçamento e contabilidade gerencial permitem analisar os resultados
segregados por linhas de negócios. É como se existissem 5/6 instituições financeiras
operando dentro de um conjunto de entidades legais (uma instituição de Varejo –
Pessoa Física; uma instituição de Varejo – Banco Comercial, destinada a clientes
pessoa jurídica de pequeno, médio e grande porte; uma instituição para atividades
de Tesouraria; outra instituição para Corporate Banking, que trata de grandes grupos
empresariais; um “banco privado (private banking)” destinado à gestão de grandes
fortunas, em geral de clientes pessoa física; uma seguradora; e um “gestor de
recursos de terceiros” – responsável pela gestão de fundos).
Assim, todos os custos relacionados às falhas de controle são alocados às
mencionadas linhas de negócios. Os gestores de negócios, dentro desta visão,
precisam entender seus processos do início ao fim (end-to-end). É como se as áreas
de negócios subcontratassem as áreas de operações e suporte para processar as
operações por elas originadas. Estas áreas assumem responsabilidade final pelos
serviços contratados, dentro de uma visão de silo, entretanto, o contratante do
serviço retém responsabilidade sobre o processo end-to-end (do início ao fim). Uma
78
falha de sistema, uma rubrica contábil não reconciliada, um controle que não
funcionou vão impactar diretamente as linhas de negócios, para as quais serão
alocados os custos das ineficiências.
Algumas destas falhas vão impactar o relacionamento com clientes. Por
exemplo, um valor recebido pela instituição e não reconhecido vai figurar como uma
pendência de reconciliação. O valor não reconhecido, mas pago pelo cliente, caso
não registrado liquidando a operação do cliente, em se tratando de uma operação de
crédito, por exemplo, vai fazê-lo parecer inadimplente. A inadimplência vai gerar
ações de cobrança, envio dos seus dados negativos para entidades como Serviço
Nacional de Proteção ao Crédito - SPC, Centralização dos Serviços Bancários S/A -
SERASA, prejudicando a vida creditícia do cliente. Cliente que ao final pagou. Este
cliente poderá sofrer danos morais e materiais pela não identificação pela instituição
do valor pago pelo mesmo. Este cliente poderá buscar, via judiciário, uma reparação
a estes danos morais e pessoais. Ele poderá registrar reclamação junto ao Banco
Central do Brasil. Outros clientes vão acessar estas informações e poderão decidir
não iniciar relacionamento, ou mesmo não operar com esta instituição baseado
nesta publicidade negativa.
A instituição ao analisar o caso descobre que uma falha de sistema ocorrida
no momento do “input” dos dados pelo caixa na agência fez com que não se
pudesse identificar a transação do cliente, inviabilizando a sua reconciliação e
tratamento contábil. A questão é: todo o incidente em última instância é um problema
do negócio (da linha de negócio), o qual irá receber todos os “ônus” e “bônus” das
transações realizadas. A resposta a pergunta inicial é: o responsável final pelos
controles internos são os “gerentes de negócios”, representantes das linhas de
negócios da instituição.
Entretanto, as funções de SOX Compliance, Gestão de Riscos Operacionais e
Controles Internos, dentre outras funções de controle (como Auditoria Interna,
Compliance, Seguranças das Informações) devem suportar os gestores de
processos e gestores de negócios, mantendo sempre um representante de Finanças
como responsável final por SOX Compliance e um representante de Operações
como responsável pela Gestão de Riscos Operacionais. Esta segregação visa a
reconhecer que os objetivos destas funções são distintos: SOX Compliance requer
um especialista em contabilidade e processos contábeis, pois tem como missão
última a qualidade dos processos que alimentam a contabilidade; enquanto a Gestão
79
de Riscos Operacionais visa diminuir o volume de perdas operacionais; e Controles

Internos quer assegurar padronização e aderências às políticas de controles internos
da instituição.
Ao analisar a questão da responsabilidade pelos controles um entendimento
importante que se pode extrair é que Finanças não abre mão de ser responsável por
SOX Compliance da mesma forma que a Diretoria de Operações não abre mão de
ser responsável por Gestão de Riscos Operacionais e Controles Internos. Estas
diretorias, de Finanças e de Operações ao executar o monitoramento requerido
pelas normas, Lei Sarbanes-Oxley, Resolução CMN nº. 2554/98 e 3380/06 estão
cada uma exercendo a sua responsabilidade fundamental, portanto, entendida como
não delegável. Sendo estes entendimentos, barreiras a uma total integração destas
funções, por exemplo, com a constituição de um departamento único.
5.2. SOX Compliance
A área de SOX Compliance reporta ao CAO - Chief Accounting Officer

(Contador Chefe), o qual reporta ao Chief Financial Officer. A principal preocupação
da área de SOX Compliance está relacionada à qualidade dos controles internos
relacionados ao processo de reporte financeiro.
Esta área, dentro da instituição objeto do estudo, é responsável por todas as
questões relacionadas à SOX Compliance, o que envolve, disseminação das
culturas de controle – relacionados ao processo de reporte financeiro e Sarbanes
Oxley; planejar e gerenciar as atividades de revisão dos processos chave para fins
de SOX Compliance, interagir com auditorias internas e externas e reguladores, nas
questões relativas à SOX Compliance.
Conforme observações e entrevistas realizadas junto ao Gerente de
Contabilidade responsável por SOX Compliance, a área de SOX Compliance
quando analisa, por exemplo, um processo de tratamento de Contingências (Cíveis,
Fiscais e Trabalhistas) terá tipicamente as seguintes preocupações atreladas às
“assertivas financeiras” (mencionadas anteriormente no tópico 2.6):
80
(a) Será que todas as ações judiciais (citações, etc.) contra a instituição
foram recebidas e levadas ao conhecimento do Departamento Jurídico?
Se o controle é o “protocolo” centralizado, como se pode assegurar que
todas as ações recebidas foram protocoladas?
(b) Como se pode assegurar que mesmo protocoladas e recebidas foram
endereçadas aos advogados responsáveis, para que sejam avaliadas
quanto à sua probabilidade de perda (em possível, provável e remota –
como requerido pelas normas de contabilidade) e a elas atribuído um
valor? Será que não ficou nenhuma ação na “gaveta” sem ser transmitida
ao advogado responsável?
(c) O que assegura que os advogados que receberam as ações procederam
a sua avaliação prontamente? Se um advogado demora meses para
proceder a avaliação, a área de SOX Compliance está preocupada que
uma contingência importante possa estar registrada pelo seu valor
incorreto, ou não registrada.
(d) Se o advogado está comprometido com metas de custos, a área de SOX
Compliance está preocupada se estes advogados não irão querer
manipular suas avaliações. Assim, uma alçada de aprovação para as
avaliações dos advogados se torna necessária, até mesmo pelo aspecto
altamente julgamental representado por uma ação. A área de SOX
Compliance irá propor que sejam criadas alçadas de aprovação, por
exemplo, ações de pequeno valor dois advogados juniores podem avaliar,
ações de valor médio um advogado júnior e um advogado sênior; ações
de grande valor dois advogados seniores, ações de valor
extraordinariamente grande devem ser avaliadas com a aprovação de um
Diretor Estatutário da instituição.
(e) As ações mudam de valor e mesmo de probabilidade de perda com o
passar do tempo, as decisões judiciais vão estabelecendo novas
jurisprudências e entendimentos doutrinários, então a área de SOX
Compliance está preocupada que as ações devem ser revistas
periodicamente quanto ao seu valor e probabilidade de perda, o que
também está preconizado pelas normas de contabilidade. Torna-se
necessário um controle para acompanhar o “aging” das revisões (tempo
desde a última revisão). Um critério deve ser estabelecido para definir a
81
periodicidade das revisões, por exemplo, ações de valor

extraordinariamente grandes e de valor grande devem ser revistas no
mínimo por ocasião dos balanços. Ações de valor médio, pelo menos uma
vez por ano. Ações de valor pequeno pelo menos cada 18 meses.
(f) Ao final, será que o inventário das ações confere, está reconciliado, com
os números contábeis? Um controle importante é avaliar se a
reconciliação tem sido realizada em freqüência adequada e que a mesma
não esconde pendências antigas não reconciliadas.
O exemplo acima demonstra, o nível em que o profissional de SOX

Compliance precisa ser um conhecedor de normas de contabilidade e,
primordialmente, sua atuação se equipara à de um “zelador”, zelando para que os
fluxos de informações sejam permeados por controles que visem a mitigar qualquer
risco de que a informação contabilizada esteja incorreta, tomando por base as
“assertivas financeiras do COSO”. Isto contribui definitivamente para que as funções
de SOX Compliance estejam posicionadas dentro da estrutura da Diretoria de
Finanças, pois sua atuação contribui para a melhoria da qualidade dos processos de
reporte financeiro.
A área de SOX Compliance, na instituição objeto de estudo, realiza
juntamente com o gestor do processo e focal de SOX Compliance, o mapeamento
dos processos para desenvolver entendimento sobre os riscos a que a informação
contábil está sujeita. Este mapeamento é documentado em “fluxograma ou
memorandos descritivos”. Os riscos e controles identificados relacionados ao
processo de reporte financeiro são documentados em “matrizes de riscos e
controle”. Com o objetivo de assegurar-se de que foi completa a avaliação de riscos,
a área de SOX Compliance faz uso das “assertivas financeiras” como um guia, para
se assegurar de que nada relevante deixou de ser considerado. Sólidos
conhecimentos das políticas de contabilidade da empresa e dos fluxos de
informações são necessários a uma análise crítica com vistas à identificação de
riscos nos processos. O mapeamento de processos, riscos e controles, na instituição
objeto de estudo, é feito através de “reuniões de auto-avaliação de riscos e
controles” onde participam áreas de negócios, áreas de operações, contabilidade.
Estas reuniões de auto-avaliação de riscos e controle podem durar horas
82
(normalmente 4-5 horas) e são realizadas semestralmente para processos

considerados como críticos, anualmente para processos menos críticos.
A seleção dos processos que sofrem esta análise é feita a partir de uma
análise de balanço realizada no início do ano, logo após a publicação das
Demonstrações Financeiras, tomando por base as Demonstrações Financeiras
publicadas. O plano anual da área de SOX Compliance é submetido à aprovação no
“Comitê Local de SOX Compliance”. Os controles internos mapeados na matriz de
riscos e controle são avaliados em termos de sua criticidade e de sua capacidade de
efetivamente mitigar riscos ao processo de reporte financeiro. Esta análise é
chamada de “teste do desenho do controle”. Aqueles controles considerados como
críticos e que passam no teste do desenho, são posteriormente testados para
certificar de que os mesmos operaram de forma efetiva ao longo do período de
reporte financeiro (o ano). Finalizada a revisão, um relatório é emitido pela área de
SOX Compliance, relatório similar a um relatório de auditoria. Os controles são
avaliados em termos de sua efetividade. O conceito de efetividade.
O conceito de efetividade é bem explorado no trabalho de Moggioni (2009,
p.19) segundo o qual, a efetividade significa fazer certo as coisas que têm que ser
feitas, incluindo a escolha dos objetivos mais apropriados e os métodos corretos de
atingi-los. O conceito de efetividade prevê descobrir o que é certo fazer, sendo dos
três (eficácia, eficiência e efetividade) o mais difícil de compreender, pois só pode
ser mensurado por pesquisa sobre efeitos ou impactos de uma realidade que se
modificou. A efetividade organizacional é “resultado das atividades que melhoram a
estrutura da organização, sua tecnologia e empregados”.
Efetivo no contexto de SOX Compliance é o controle que operou de forma
eficaz e eficiente. Eficaz por que cumpre o objetivo a que se propõe e eficiente por
que é o controle selecionado entre outros controles, em razão de ser aquele que
cobre o maior número de “assertivas financeiras”, portanto, é o de melhor
custo/benefício, o “controle-chave”.
O conjunto das avaliações de processos realizadas pela área de SOX
Compliance é submetido ao Comitê Local de SOX Compliance o qual, tendo como
chairman o Chief Financial Officer, monitora e avalia o ambiente geral de controle
tendo em vista o Certificado Anual de SOX Compliance a ser assinado pelo Chief
Executive Officer e pelo Chief Financial Officer. As revisões devem estar concluídas
até o mês de Setembro de cada ano, com vistas a dar tempo para que durante o
83
período de Setembro a Dezembro as deficiências significativas sejam sanadas, de

forma a não deixar nenhuma deficiência significativa “em aberto” na virada do ano,
data-base contábil das Demonstrações Financeiras. Suportando o certificado
assinado pelo Chief Executive Officer e pelo Chief Financial Officer outros
certificados, com o mesmo teor, são coletados junto a todos os Diretores e Heads de
linhas de negócios. O teor do certificado integra as demonstrações financeiras
(formulário 20-F) a ser entregue a SEC - Securities and Exchange Commission.
As deficiências de controle são agregadas e analisadas quanto ao seu
impacto ao processo de reporte financeiro, as quais são classificadas em: abaixo do
mínimo reportável à diretoria; acima do nível reportável, mas não significante;
deficiência significante e deficiência material. Deficiências materiais são aquelas que
devem ser objeto de divulgação no Certificado de SOX a ser incluso das
demonstrações financeiras, formulário 20-F e enviado à SEC. Se, no conjunto, as
deficiências significativas extrapolarem o limite para uma deficiência material,
também devem ser objeto de divulgação. Os limites de valor de impacto das
deficiências nas categorias descritas acima são definidos pela diretoria do Grupo,
tomando por base as Demonstrações Financeiras consolidadas do Grupo.
O Comitê Local de SOX Compliance é um subcomitê do Comitê de Gestão de
Riscos Operacionais e Controles Internos, o qual é um subcomitê do EXCO -
Executive Committee (que é o Comitê da Diretoria, o comitê mais sênior da
instituição). Outros comitês de controle também são subcomitês do comitê de
Gestão de Riscos Operacionais e Controles Internos, por exemplo, o Comitê Jurídico
e Compliance.
A Área de SOX Compliance na instituição sob estudo, também gerencia o
processo de elaboração da “Revisão Anual da Estrutura de Controles Internos” da
instituição. Trata-se de um questionário preparado, tomando por base os preceitos
do COSO - Committee on Sponsoring Organization of the Treadway Commission,
inclusive organizado em capítulos, cujos títulos correspondem aos 5 componentes
de um sistema de controles internos, tal qual descrito pelo COSO - Internal Control
Integrated Framework. Este questionário com cerca de 120 páginas, contém uma
coluna para a questão de controle, outra coluna para descrever as melhores práticas
a serem adotadas, outra coluna para a resposta à pergunta a qual deve ser
descritiva, fazer referência às políticas internas da instituição e ao final atribuir uma
nota de auto-avaliação do controle, a última coluna contém o nome do respondente.
84
Este questionário é desmembrado e dividido entre um grupo de 15 a 20 executivos-

chave da instituição, os quais por “afinidade” ao assunto são escolhidos para
responder ao questionário. As notas de auto-avaliação variam de um a cinco, sendo
cinco a melhor nota (que reflete que naquele quesito a instituição está no “estado da
arte”), respostas inferiores a cinco devem vir acompanhadas de um plano de ação
de melhorias. O mencionado questionário após ter sido respondido pelos executivos-
chave, é submetido para revisão pelo Chief Risk Officer, posteriormente, pela
Auditoria Interna, pela Auditoria Externa e finalmente é aprovado pelo Comitê de
Gestão de Riscos Operacionais e Controles Internos, cada Diretor Executivo certifica
que tomou conhecimento deste documento e dos planos de ação de melhoria para
questões com respostas inferiores a cinco. O documento completo, com os planos
de ação e certificados assinados pelos Diretores Executivos é encaminhado ao Chief
Executive Officer. Todo o processo é gerenciado pela área de SOX Compliance. As
deficiências identificadas por ocasião das revisões de SOX, também devem ser
reportadas no documento da “Revisão Anual da Estrutura de Controles Internos”.
Todo o processo de documentação é baseado em ferramentas de baixo
custo, MS-Excel e MS-Word e estão sujeitas à auditoria interna e externa. A
documentação de SOX Compliance compreende: os planos de trabalho, atas de
reunião do Comitê Local de SOX Compliance, Certificados de SOX Compliance,
fluxogramas e descritivos de processos, matrizes de riscos e controle para cada
processo, plano de testes, documentação de testes e relatórios de testes realizados.
A área de SOX Compliance está trabalhando no sentido de modificar a
abordagem de testes periódicos de controle para monitoramento contínuo da
execução de controle e certificação pelos executores da realização dos mesmos.
Neste sentido tem acompanhado mensalmente o processo de reconciliação contábil.
E está desenvolvendo um processo de “substanciação” de saldos que envolve a
definição de procedimentos de controle específicos para cada tipo de conta contábil,
os quais devem ser certificados periodicamente pelos focais e diretores. Além disto,
desenvolveu um processo de certificação de saldos, através do qual, os diretores
executivos (diretores estatutários) certificam mensalmente a razoabilidade dos
saldos contábeis sob sua responsabilidade, o que confere maior qualidade aos
reportes financeiros.
A área de SOX Compliance monitora, avalia e reporta sobre planos de ação
em implementação pelos focais de SOX para a mitigação de riscos identificados,
85
assim como, reporta ao Comitê Local de SOX Compliance os riscos identificados

categorizando-os em termos de materialidade ao processo de reporte financeiro.
5.3. Gestão de Riscos Operacionais
A área de Gestão de Riscos Operacionais, na instituição objeto do estudo de

caso, reporta diretamente à Diretoria de Operações e Tecnologia e também tem uma
linha de reporte ao Chief Risk Officer. O Chief Risk Officer é o executivo sênior
estatutário, portanto, com cadeira no EXCO - Executive Committee, responsável
pelas questões relacionadas a riscos. No dia-a-dia da organização o Chief Risk
Officer se ocupa principalmente do risco de crédito, mas monitora de perto os riscos
de mercado, liquidez e operacional. A área de Gestão de Riscos Operacionais é
responsável por todas as rotinas relacionadas a atividades de Gestão de Riscos
Operacionais, inclusive Plano de Continuidade de Negócios.
A atividade primordial está voltada à manutenção da base de dados de
perdas operacionais, da qual são extraídas estatísticas úteis à tomada de decisões
focadas na redução dos riscos e perdas operacionais. A base de dados de perdas
operacionais é alimentada a partir de três fontes principais: registros contábeis,
sistema de registro de perdas e autorização de pagamento de multas, e sistema
jurídico (para contingências cíveis, fiscais e trabalhistas). Os dados são analisados e
geram relatórios que são utilizados principalmente pela área de Segurança e
Prevenção às Fraudes onde ações específicas são desenvolvidas para coibir
fraudes como clonagem de cartões, furtos de ATMs, entre outras.
A área de Gestão de Riscos Operacionais conta com um sistema
desenvolvido pelo Grupo no qual as diversas áreas registram seus riscos
operacionais e seus controles mitigantes. Esta base, na data da coleta de dados,
mantinha cerca de 4000 riscos cadastrados, os quais por problemas de duplicidade
de registros e falta de padronização, estava sendo utilizada de forma limitada.
Outra abordagem em uso pela área de Gestão de Riscos Operacionais é top
down (de cima para baixo) onde os diretores executivos são entrevistados e são
indagados sobre os principais riscos operacionais de suas áreas. Neste momento os
diretores são convidados a mencionar não mais do que 10 riscos operacionais em
suas diretorias que consideram como realmente importantes. Para cada risco
86
identificado os diretores são solicitados a descrever os controles internos existentes

para sua mitigação.
Além dos procedimentos acima, a área de Gestão de Riscos Operacionais
encaminha aos seus “focais” (pessoas designadas pelos diretores como
responsáveis pelo atendimento à área de Gestão de Riscos Operacionais) um
checklist trimestral contendo cerca de 50 perguntas objetivas. O questionário
respondido é assinado pelo focal e pelo Diretor da área. As questões apresentadas
no questionário exploram questões típicas de controles internos.
A área de Gestão de Riscos Operacionais possui outra atividade relevante de
modelagem matemática com vistas à quantificação do capital mínimo necessário
para fazer frente a perdas operacionais. A instituição objeto do estudo utiliza
abordagem padronizada de cálculo de capital mínimo, esta abordagem não é
sensível ao risco, uma vez que se baseia na aplicação de percentuais fixos definidos
pelos reguladores sobre as receitas distribuídas por linhas de negócios. A utilização
da abordagem padronizada, entretanto, demanda que a instituição mantenha boas
práticas de controles internos e estruture sua base de perdas. Em se tratando de
uma instituição de grande porte está desenvolvendo abordagem de mensuração
avançada, a qual será uma exigência regulatória que irá recair com maior peso às
instituições consideradas como “internacionalmente ativas” (pelo risco sistêmico
elevado que representaria a sua quebra) que é o caso da instituição objeto deste
estudo. Entretanto, importantes avanços ainda serão necessários para que se possa
utilizar a abordagem avançada, um deles, em discussão no mercado, é a criação de
uma base de dados de perda compartilhada entre instituições financeiras, o que é
um requisito do novo acordo da Basiléia é não depende unicamente de esforços
isolados das instituições, mas de uma mudança de cultura e aceitação pelo mercado
da necessidade de compartilhar este tipo de informação.
5.4. Controles Internos / Revisores de Processos
A área de Controles Internos / Revisores de Processos reporta à Diretoria de

Operações e Tecnologia; desenvolve estatísticas e métricas de acompanhamento do
estado geral de controle da Diretoria de Operações e Tecnologia. Acompanha de
87
perto a implementação de medidas que visem regularização de apontamentos de

auditorias internas, externas e de reguladores.
A área mantém um grupo de revisores com perfil de ex-auditores que
realizam “mini-auditorias” em diversas áreas da instituição. O plano de revisões é
definido em conjunto com o Diretor de Operações e Tecnologia e visa assegurar
padronização e aderência às políticas do Grupo pelas diversas áreas operacionais
da instituição. Constatado, que a área de Controles Internos/revisores de processos
atua principalmente em área onde existem indícios de problemas, com riscos
específicos identificados. E atua na crença de que a realização das revisões in-loco
com reporte dos resultados à Diretoria é um importante fator para inibir o risco
fraudes ou negligências no que diz respeito aos controles, dentro do pressuposto de
que a área passa a ser mais diligente simplesmente pelo risco de cair na seleção de
testes da área de Controles Internos.
5.5. Diferenças de objetivos entre as funções de controle
Verifica-se que as funções de controle têm como principal objetivo dentro dos
elementos de controle do COSO, a atividade de monitoramento. Cada função
monitora os controles internos sob ótica distinta das demais, sendo, portanto,
funções complementares e não sobrepostas.
SOX Compliance que reporta para Finanças tem uma visão de qualidade nos
reportes financeiros, independentemente da eficiência operacional.
Enquanto “Controles Internos” e “Gestão de Riscos Operacionais” que
reportam para o Diretor de Operações (esta última também tem uma linha de reporte
funcional para o Chief Risk Officer) têm uma visão forte em promover a “eficiência
dos processos”.
Área de SOX Compliance tem foco na qualidade de reporte financeiro. Um
exemplo, limite, identificado em entrevista com o gestor da área de SOX
Compliance, é que para fins de SOX Compliance se uma fraude está
adequadamente refletida nos livros contábeis, deixa de ser uma preocupação para
fins de SOX Compliance. Outro exemplo apresentado, para fins de SOX Compliance
uma reconciliação mensal suportando o processo de reporte financeiro é suficiente,
enquanto, para a gestão de risco operacional dependendo da conta contábil que
88
está sendo reconciliada, especialmente se envolve valores pagos, a mesma deve

ser executada diariamente.
SOX Compliance requer certificação em primeira pessoa pelo Chief Executive
Officer e pelo Chief Executive Officer, nesta certificação os mesmos afirmam terem
revisto os controles internos sobre o processo de reporte financeiro e que testaram o
desenho e efetividade operacional dos controles internos sobre este processo,
requerendo a manutenção de documentação que comprove estas avaliações e
testes. Na instituição objeto do estudo a documentação deve ser mantida por sete
anos. Este nível de rigor no que diz respeito à documentação não é requerido das
funções de controles internos e riscos operacionais.
5.6. Habilidades requeridas aos Profissionais das Funções de

Controle
O tipo de habilidade requerido nas diferentes funções de controle é

igualmente distinto.
Habilidades Fundamentais
Função de Controle Preocupação Fundamental
Requeridas
Jurídicas; legislação bancária e Conformidade com leis e

Compliance
produtos financeiros. regulamentos e riscos reputacionais.
Técnicas de Auditoria, políticas de

Efetividade operacional, padronização
Controles Internos controles internos, gestão de
e aderência a políticas de controle
processos.
Contabilidade bancária, produtos

Qualidade dos processos de reporte
SOX Compliance financeiros, processos contábeis e
financeiro.
técnicas de auditoria.
Eficiência operacional, cálculo de

Gestão de processos, estatística e
Gestão de Riscos Operacionais capital mínimo, redução de incidentes
matemática, produtos financeiros.
de perdas operacionais.
Quadro 15 − Análise das funções de controle por habilidades requeridas e

preocupações fundamentais.
Os dados para a montagem do quadro acima foram extraídos das respostas

ao Questionário I (Apêndice I) e entrevistas com os gerentes seniores responsáveis
pelas funções de controle. A principal constatação é de que as habilidades
89
requeridas para atuação em cada função de controle é distinta uma das outras. A
administração entende que algo se perderia em termos de qualidade das análises se
uma única função fosse responsável pelo monitoramento de assuntos tão díspares.
O tipo de habilidade necessária aos funcionários pertencentes às funções de
controle em geral são semelhantes, entretanto, com variações importantes, por
exemplo: “Compliance” tem um viés jurídico; “Sarbanes-Oxley” um viés contábil;
“Riscos Operacionais” e “Controles Internos” focam em processos, sendo riscos
operacionais mais quantitativos (baseados em estatísticas de perdas).
5.7. Avaliação de Performance das Funções de Controle
A medição de performance da área de Gestão de Riscos Operacionais é

baseada principalmente no sucesso em “reduzir” o volume de perdas operacionais.
Assim, ações são bastante focadas em análise de estatísticas de perdas e
desenvolvimento e acompanhamento de planos de ação para reduzir perdas. É
acompanhada de perto pelo Chief Risk Officer.
Sarbanes-Oxley, diferentemente, mede seu sucesso ao promover a redução
de fraquezas de controle no processo de reporte financeiro (seguindo níveis de
materialidade definidas pelo grupo), sendo uma visão mais qualitativa de riscos, do
que quantitativa.
Controles Internos mede sua performance pela redução de erros, retrabalhos
e apontamentos de auditoria, é mais interna ao Departamento de Operações, visa,
principalmente, prover conforto ao Diretor de Tecnologia e Operações de que os
processos estão aderentes às políticas. Neste ponto é interessante mencionar, a
diferença, em relação, por exemplo, ao apresentado no trabalho de Manzi (2008,
p.61) citado no tópico 2.4, segundo o qual a função de “Controles Internos” deveria
ser parte das funções de Compliance. Na instituição objeto do estudo, a função de
Compliance se ocupa primordialmente de riscos reputacionais e prevenção à
lavagem de dinheiro, mas não é responsável por “controles internos” que ocorrem
dentro dos processos operacionais.
A função de Gestão de Riscos Operacionais possui uma métrica muito
importante, que é a mensuração mensal das perdas operacionais. Com esta
importante medida, alguns esforços se tornam palpáveis em termos financeiros
90
quando a área de Gestão de Riscos Operacionais consegue demonstrar e explicar

pelas suas iniciativas queda no nível de perdas operacionais. Isto não ocorre com as
demais áreas de controle, SOX Compliance e Controles Internos não têm uma
métrica tão importante quando o valor do resultado mensal. SOX Compliance
assume como métrica diminuir os riscos reportáveis e os significativos em termos de
SOX Compliance, ou seja, uma vez identificados os riscos os mesmos são
categorizados em termos de impacto financeiro ao reporte financeiro, e a área de
SOX trabalha com foco em reduzir estes riscos, pela implementação pelos focais de
SOX Compliance junto às diversos departamentos da instituição de medidas para
redução no número de itens que pela sua materialidade sejam reportáveis ao Grupo.
Este capítulo demonstrou como operam as funções de controle, “SOX
Compliance”; “Gestão de Riscos Operacionais” e “Controles Internos”. Constata-se
que estas funções de controles se ocupam primordialmente de atividades de
monitoramento dentro dos 5 componentes de um sistema de controles internos
definidos pelo COSO. Cada uma das funções possuem objetivos, linhas de reporte,
métricas de performance e requer habilidades distintas de seus profissionais.
Entretanto, a despeito destas diferenças fundamentais, que se constituem em
“barreiras a uma maior integração”, para a consecução de seus objetivos, estas
atividades desenvolvem mecanismos similares para identificação de riscos e
controles, monitoramento e reporte do “status” de implantação de controles que são
entendidas, no contexto deste estudo, como oportunidades de maior integração.
Uma análise comparativa das abordagens em uso por estas diferentes funções de
controle é apresentada no capítulo a seguir.
91
6. RESULTADO (3): ANÁLISE COMPARATIVA DAS ABORDAGENS

EM USO PELAS DIFERENTES FUNÇÕES DE CONTROLE
Este capítulo apresenta os resultados da análise comparativa das abordagens

em uso pelas diferentes funções de controle.
Abaixo uma análise da contribuição de cada função de controle em relação
aos componentes de um sistema de controles internos do COSO, o que fornece uma
boa visão sobre oportunidades de maior integração.
COSO -
Componentes do Controles Gestão de Riscos
Procedimento Auditoria Interna SOX Compliance
Sistema de Internos Operacionais
Controles Internos
Revisão geral do Políticas e treinamentos em

Políticas de Políticas e Treinamentos
Ambiente de Controle ambiente de Gestão de Riscos
Controle Internos em SOX Compliance
controle. Operacionais
Memorando de Reuniões de Risk and

Abordagem Top-down com
Mapeamento de planejamento de Control Self Assessment,
entrevista aos Diretores;
Identificação e Processos e auditoria. documentação de fluxos
Abordagem bottom-up com
avaliação de riscos Identificação de Documentação e descritivos de
os focais de Riscos
Riscos dos processos e processos e matrizes de
Operacionais
seus riscos. riscos.
Abordagem Top-down com Reuniões de Risk and

Documentação
entrevista aos Diretores; Control Self Assessment.
Avaliação dos dos controles
Controles Internos Abordagem bottom-up com Revisão annual da
Controles através de
os focais de Riscos Estrutura de Controles da
entrevistas in-loco.
Operacionais Instituição.
Certificação mensal de
razoabilidade de saldos.
Monitoramento
Checklist trimestral de
da execução do
controles internos. Monitoramento do
controle
processo de
Monitoramento reconciliação.
Testes do desenho e
Testes de Testes dos
Testes efetividade operacional
controles. Controles.
de controles
Reporte estruturado para

Comitê Local de SOX
Reporte estruturado para
Compliance e Comitê de
Comitês.
Controles Internos e
Reporte Riscos Operacionais..
Reporte Diretoria Estruturado para
Comunicação Reporte Certificação de Controles Certificação de SOX
de Operações. às Diretorias e
Comitês. Internos Compliance.
Reporte à diretoria de
Reporte do nível de perdas e fraquezas de controle
da base de perdas ao Grupo considerando nível de
materialidade.
Quadro 16 − Contribuição de cada função de controle aos cinco elementos de um

sistema de controles internos do COSO
92
O quadro 16 demonstra de forma comparativa a forma como cada área de

controle contribui para os 5 componentes de controle do COSO.
A instituição objeto do estudo opera no que diz respeito à integração das
funções de controle: Compliance, Controles Internos, Gestão de Riscos
Operacionais e SOX Compliance, da seguinte forma:
Gestão de Riscos
Compliance Controles Internos SOX Compliance
Operacionais
Parcialmente
Compliance n/a Independente Independente
Compartilhado
Parcialmente Parcialmente Parcialmente

Controles Internos n/a
Compartilhado Compartilhado Compartilhado
Gestão de Riscos Parcialmente

Independente n/a Independente
Operacionais Compartilhado
Parcialmente
SOX Compliance Independente Independente n/a
Compartilhado
Quadro 17 − Nível de Integração entre as diferentes funções de controle

Quando se analisa o quadro 17 se verifica que as interações da área de

Controles Internos com as demais áreas são do tipo “parcial”. Isto decorre do fato de
que esta área executa alguns procedimentos a pedido das demais áreas. Entretanto,
considera-se “parcialmente compartilhado”, por que esta interação foi percebida
como muito tímida em decorrência das limitações de recursos da própria área de
Controles Internos. Um exemplo identificado desta interação, é que a área de
Controles Internos, por solicitação da área de SOX Compliance, executa testes
mensais, com base em amostra, dos controles de reconciliação. Testes estes,
totalmente especificados pela área de SOX Compliance. A Área de Controles
Internos concordou em realizar estes testes por que o controle de “reconciliação” já
estava no escopo de atividades da área de Controles Internos.
Observa-se que na estruturação das funções de controle em resposta aos
requisitos regulatórios tais funções são alocadas em consideração às
responsabilidades da diretoria a que se subordinam. Na análise de posicionamento
no organograma da instituição pouca consideração é dada à possibilidade de
93
integração entre as funções. O foco da atenção é o objetivo final de cada função vis-
a-vis as responsabilidades da Diretoria a que ficará alocada a função de controle.
Cada função de controle é estruturada de forma independente, posteriormente, se
verificadas condições para alguma integração, estas serão implementadas a critério
dos gestores das áreas.
Quando questionados, sobre o posicionamento das funções e critérios para
sua definição, geralmente a resposta é outra pergunta: Caso não realizada a
atividade, qual a área seria a mais impactada? A resposta a este questionamento
leva à configuração atual, em que SOX Compliance está alocado em Finanças;
Controles Internos e Gestão de Riscos Operacionais estão alocados em Operações
e Tecnologia.
Um aspecto relevante a considerar é o fato de que estas funções de controle
impactam toda a organização, ao demandar análises de riscos, revisões de
processos, certificações, realização de visitas “in loco” e reporte dos apontamentos
identificados.
Assim, existem áreas do Banco em constante revisão, seja pela auditoria
interna, pelo grupo de revisores de processos e por SOX Compliance, causando a
estas o inconveniente de estarem sendo interpeladas quase que constantemente
sobre a qualidade de seus controles.
Sob o ponto de vista da alta administração a estruturação desta forma dá o
conforto de que existe um responsável claramente definido para cada uma das
normas estabelecidas.
O conflito se estabelece, no caso sob análise, quando as áreas impactadas
contam com recursos limitados e passam a dar “feedbacks” de que estão super
auditadas ou sem tempo para suas próprias atividades já que despendem muito
tempo em atendimento a alguma ou várias das funções de controle. No limite até se
recusando a prestar algum atendimento a alguma das funções de controle. Ou
mesmo, podem passar a tratar como relevantes apenas apontamentos feitos por
uma das áreas de controle em detrimento das demais. Nesta situação limite as
funções de controle passam a representar risco por si só, quando fazem o gestor de
processos deixar suas atividades para prestar atendimento a estas funções,
momento em que se não existem recursos suficientes, as atividades não realizadas
passam a representar risco.
94
Quando questionados os responsáveis pela função dos “revisores de

processos” e “SOX Compliance” os mesmos respondem que é comum as áreas
revisadas solicitarem adiamentos das revisões e mesmo darem o “feedback” de que
estão super auditadas ou mesmo, solicitando que as funções de controle se
conversem para agendar datas em comum a fim de evitar duplicação de esforços no
atendimento a estas funções de controle.
Recebemos o seguinte comentário de um gerente sênior da instituição:
Às vezes se eu deixar de fazer a atividade fundamental da minha

área, não recebo nenhum questionamento. Entretanto, se eu deixar
de entregar um certificado (por exemplo de que os saldos estão
reconciliados), terei de me justificar até a Diretoria do Banco.
Quando analisada a hipótese de integração total das funções de controle, as

primeiras barreiras identificadas dizem respeito ao fato de que atualmente as
funções de controle reportam a diretorias distintas, e este reporte se estruturou desta
forma em razão de que as funções de controle estão exercendo atividades que são
responsabilidades pertinentes às diretorias as quais estão alocadas. Por exemplo:
SOX Compliance está alocado na Diretoria de Finanças por que a Lei Sarbanes-
Oxley trata primordialmente de riscos ao processo de reporte financeiro. Enquanto,
as funções de gestão de riscos operacionais e controles internos reportam à diretoria
de Operações por estarem mais afetas a questões relacionadas a processos. Ambos
os diretores de Finanças e Operações não abrem mão de exercer a prerrogativa de
validarem os controles internos afetos às suas responsabilidades. Outro ponto que
dificulta a “total integração” é que o tipo de habilidade necessária, especialização, é
distinto nas funções de controle. SOX Compliance requer um profissional com bons
conhecimentos contábeis, de auditoria e processos bancários. Enquanto controles
internos requer um profissional que fundamentalmente tenha conhecimento de
processos bancários. Gestão de Riscos Operacionais requer conhecimentos em
modelagem matemática para fins de elaborar um modelo para cálculo de capital
para fazer frente a perdas operacionais.
Os tópicos a seguir demonstram de forma comparativa a forma de atuação
das diferentes funções de controle.
95
6.1. Captura de informações junto às áreas de negócios e gestores

de processos
Este tópico demonstra as respostas obtidas em entrevistas com os gestores

de funções de controle sobre a forma como as informações são capturadas junto às
áreas de negócios e gestores de processos.
Como as funções de controle capturam informações junto às áreas de

negócios e gestores de processos?
Área de Controle Respostas
Participação no Comitê de Legal e Compliance;

Em reuniões de “Risk and Control Self Assessment” quando
são revistos os documentos de processos e matrizes de
riscos.
Na análise dos ajustes mensais de contabilidade.
SOX Compliance
No acompanhamento dos relatórios de auditoria interna,
externa e de reguladores;
No processo de revisão anual da estrutura de controles
internos.
Durante os testes de controles.
Esta área não tem a necessidade de estar informada
Controles Internos constantemente, pois realiza visitas “ad-hoc” a pedido da
Diretoria. Trabalha por tarefa, mas não tem a visão do todo.
Participação em Comitê de Gestão de Riscos Operacionais
e Controles Internos.
Participação em Comitê de Produtos.
Avaliações semestrais “bottom up” pelos focais – reportadas
no sistema de gestão de riscos operacionais.
Gestão de Riscos
Avaliações trimestrais “top down” através de entrevistas com
Operacionais
diretores;
Processo mensal de captura e manutenção da base de
dados de perdas operacionais.
Através dos Certificados Trimestrais enviados e recebidos
dos focais de riscos operacionais.
Participação de Comitês de Produtos;
Participação em Comitê de Gestão de Riscos Operacionais
Compliance e Controles Internos;
Participação no Comitê Local de SOX Compliance;
Participação no Comitê de Legal e Compliance;
Quadro 18 − Captura de Informações junto às áreas de negócios

96
Como se pode verificar é possível maior compartilhamento de informações

entre as áreas de controle sobre riscos. A área de SOX Compliance poderia
participar de Comitê de Produtos e do Comitê de Gestão de Riscos Operacionais e
Controles Internos. Assim como o processo de revisões semestrais de riscos “bottom
up” via sistema de gestão de riscos operacionais também poderia incluir um
integração com a área de SOX Compliance. Assim como, os exercícios periódicos
de “risk and control selfassessment” promovidos pela área de SOX Compliance
também poderiam gerar “inputs” para a área de Gestão de Riscos Operacionais.
6.2. Identificação e Avaliação de Riscos

de funções de controle sobre a forma como os riscos são identificados e avaliados
pelas funções de controle.
Como as áreas de controle realizam a identificação e avaliação de riscos?
Existe uma avaliação preliminar baseada em volumes e

mudanças a partir das demonstrações financeiras. Esta análise
define os processos a serem inclusos no “escopo’ de SOX
Compliance.
As reuniões de “Risk and Control Self Assessment” resultam no
SOX Compliance
preenchimento das matrizes de riscos e controles.
A avaliação do desenho do controle permite identificar controles
não adequados;
Os testes dos controles permitem identificar controles que não
são performados na freqüência requerida.
Realiza reunião de planejamento para cada área a ser revista
Controles Internos onde captura informações sobre como operam os processos, a
partir deste entendimento elabora uma análises dos riscos e
Pela análise estatística da base de dados de perdas.
Gestão de Riscos Pelos inputs recebidos das áreas das diretorias, na análise top-
Operacionais down (a qual é formalizada em template que requer informações
sobre freqüência e severidade dos riscos e controles mitigantes).
Pelo acompanhamento dos eventos reportados nos Comitês.
Compliance Pelo canal interno “disque compliance” – onde recebe denúncias
de situações de risco.
Quadro 19 − Identificação e Avaliação de Riscos

97
Com relação a esta questão é possível identificar que não existe integração
entre o processo de avaliação de riscos realizado por SOX Compliance e Gestão de
Riscos Operacionais, conforme mencionado no item anterior. Constata-se que o
processo de identificação e avaliação de riscos poderia ser mais dependente de uma
auto-avaliação do próprio gestor do processo, o que poderia ser implementado com
uso de um sistema informatizado que a um só tempo permitisse atender os
requisitos de cada uma das funções de controle.
6.3. Certificação da realização dos controles

de funções de controle sobre a forma como estas áreas confirmam que os controles
são realizados.
Como certificam-se de que os controles internos estão sendo realizados?
Reuniões de “Risk and Control Self Assessment”;

Testes de Auditoria de Controles;
Monitoramento das reconciliações;
Certificação recebidas dos focais de SOX e respectivos
Diretores.
SOX Compliance Revisão anual da estrutura de controles internos.
Análise de apontamentos de auditoria interna, externa e de
reguladores pendentes de implementação.
(Está em desenvolvimento um processo de substanciação de
saldos, que permitirá certificar periodicamente a realização dos
controles-chave para as contas contábeis inclusas no processo).
Controles Internos Testes de Auditoria.
Gestão de Riscos Pelo recebimento trimestral de certificado (checklist) de

Operacionais controles.
Compliance Não realiza testes. Ocasionalmente faz alguma visita ad-hoc.
Quadro 20 − Certificação da realização dos Controles Internos

98
Como mencionado no capítulo anterior os testes feitos pela área de Controles

Internos, ou mesmo pela Auditoria Interna, poderiam ser aproveitados para fins de
SOX Compliance e Gestão de Riscos Operacionais.
Um sistema informatizado para monitoramento contínuo de realização de
controle poderia ser adotado em benefício das diversas áreas.
6.4. Classificação dos riscos

de funções de controle sobre a forma como estas áreas classificam os riscos para
fins de reporte interno.
Como classificam os riscos?
Baixo, médio e alto;

Análise da materialidade da fraqueza, classificando em: abaixo
SOX Compliance
do reportável; acima do reportável mas não significante,
significante, material. Os limites são definidos pela Diretoria.
Controles Internos Baixo, médio e alto.
São classificados em função da freqüência e severidade em 5

Gestão de Riscos
categorias (A, B, C, D e E). Sendo “A” o risco mais alto e “E” o
Operacionais
risco mais baixo.
Compliance Baixo, Médio e Alto.
Quadro 21 − Classificação dos Riscos

Neste ponto existe oportunidade de adoção de uma classificação única. As

maiores críticas são à Auditoria Interna, que possui classificação em “baixo”, “médio”
e “alto”, quando são freqüentes discussões sobre risco cuja percepção é de ser
“baixo” mas que a Auditoria Interna classifica como “Alto”.
Também foi identificado que a Auditoria Interna inclui um capítulo a parte em
seus relatórios de auditoria identificando quais os apontamentos são relacionados à
99
“SOX Compliance”. Em entrevista com os gerentes de Auditoria Interna e SOX

Compliance, verificou-se que não está claro para a Auditoria Interna quais são os
riscos efetivamente relacionados à “SOX Compliance”. Assim, poderiam existir
apontamentos que de fato são relacionados à “SOX Compliance” que não estavam
sendo classificados como tal, e outros classificados como “SOX Compliance” que de
fato não o eram. É importante esclarecer que as diferentes classificações de riscos
contribuem para um entendimento dúbio sobre qual risco deve ser considerado
como prioritário pela administração.
6.5. Reporte dos resultados das análises

de funções de controle sobre a quem são endereçados os resultados de suas
análises.
A quem reportam os resultados de suas análises?
Ao Gestores do Processos e Focais de SOX Compliance;

Ao Comitê Local de SOX Compliance;
Ao Chief Executive Officer e Chief Financial Officer;
SOX Compliance
O Comitê Local de SOX Compliance escala os apontamentos
julgados relevantes ao Comitê de Gestão de Riscos
Operacionais e Controles Internos.
Ao Gestor de Processos;
Controles Internos
À Diretoria de Operações e Tecnologia.
Ao Comitê de Gestão de Riscos Operacionais e Controles
Internos;
Gestão de Riscos Ao Chief Risk Officer;
Operacionais Ao Diretor de Operações e Tecnologia;
A Área de Segurança e Prevenção a Fraudes (questões
específicas).
Ao CEO;
Ao Comitê de Gestão de Riscos Operacionais e Controles
Compliance
Internos;
Às áreas de negócios.
Quadro 22 − A quem são reportados os resultados das análises

100
O nível de reporte parece adequado, entretanto é necessário que os heads de

segmentos de negócios, gerentes de produtos passem a ser copiados nos relatórios.
6.6. Participação de outras funções de controle

de funções de controle sobre a participação de outras funções de controle nas
atividades sobre o qual é responsável.
Como se dá a participação de outras funções de controle nestas atividades?
SOX Compliance Praticamente não existe nenhuma participação.
Controles Internos Não existe nenhuma participação.
Gestão de Riscos
Não existe nenhuma participação.
Operacionais
Compliance Não existe nenhuma participação.
Quadro 23 − Participação de outras funções de controle

Neste ponto, entende-se que poderia haver maior integração, seja pelo uso
de sistemas compartilhados, certificados únicos, uma única área realizando testes
para as demais. A Auditoria Interna poderia utilizar o material preparado pelas áreas
e avaliar se as áreas são efetivas não refazendo trabalhos já feitos, assim como,
poderia planejar os seus testes em conjunto de forma contribuir com as outras
funções de controle. A função de SOX Compliance requer testes periódicos de
controles, se estes testes fossem melhor planejados entre as funções de controle,
poderiam ser realizados de forma a atender a um só tempo as diversas funções de
controle reduzindo o volume total de testes, mas aumentando a eficiência.
101
6.7. Benefícios de uma maior integração para as funções de

controle

de funções de controle sobre os benefícios que poderiam ser obtidos pela maior
integração entre as funções de controle.
Como as funções de controle poderiam se aproveitar de uma maior

integração?
Mapeamentos de processos não são realizados somente para

atendimento à SOX Compliance. Assim, as áreas de negócios,
os gestores de processos podem preparar seu mapeamento de
processos de forma independente de SOX Compliance, mas de
forma a atender SOX Compliance e outras áreas. Isto faria
reduzir o escopo das “reuniões de risk and control self
assessment” ao que realmente importa, os riscos ao processo
de reporte financeiro.
Os testes de SOX poderiam ser realizados em parte pela área de
Controles Internos e em parte pela Auditoria Interna.
Um processo de monitoramento contínuo de controles poderia
SOX Compliance reduzir o “escopo” dos testes, pois o próprio monitoramento
contínuo poderia ser utilizado como teste.
As avaliações de riscos deveriam estar em um sistema e não em
planilhas MS-Excel. O sistema que mais se aproxima às
necessidades de SOX Compliance é o sistema de Gestão de
Riscos Operacionais, entretanto, requerendo alguma otimização.
A coleta dos Certificados de SOX Compliance poderia ser um
processo unificado com outros certificados já existentes.
A estrutura de focais de SOX é diferente da estrutura de focais de
Riscos Operacionais e Compliance. Poderia ser unificada em
estrutura única.
Poderia realizar testes mais abrangentes para atender outras
Controles Internos necessidades, por exemplo, de SOX Compliance e de
Compliance.
Os riscos de SOX Compliance estão fora das bases de dados de

riscos do sistema de Gestão de Riscos Operacionais, o que é
um problema de integridade da base. Portanto, é importante que
Gestão de Riscos a área de SOX Compliance passe a utilizar a base de dados de
Operacionais riscos do sistema de Gestão de Riscos Operacionais.
A estrutura de focais de SOX Compliance e Compliance não é a
mesma para Gestão de Riscos Operacionais, o que não faz
sentido algum.
Testes de alguns assuntos específicos de Compliance poderiam
Compliance
ser realizados pela área de Controles Internos.
Quadro 24 − Benefícios de uma maior integração entre as funções de controle

102
Como visto são inúmeras as oportunidades de maior integração. Sem dúvida,

que a área com maiores possibilidades de ganho é a área de SOX Compliance.
6.8. Razões para não integração entre funções de controle

de funções de controle sobre as razões pelas quais as funções de controle não
aproveitam as oportunidades de maior integração.
Por que as funções de controle não aproveitam as oportunidades de maior

integração?
Não via necessidade de maior integração, enquanto somos

SOX Compliance
capazes de realizar as atividades sem depender de outras áreas.
Não tinha pensado sobre isto. O trabalho atual já nos consome

Controles Internos 100% dos recursos, não vejo como posso contribuir com outra área
de controles.
Já havia percebido que os riscos de SOX Compliance não estavam

Gestão de Riscos na base de dados de Riscos Operacionais, inclusive já tinha
Operacionais conversado com o Gerente de SOX Compliance. Mas não tinha
pensado muito sobre outras oportunidades de integração.
Nossa área ocasionalmente utiliza a área de Controles Internos

Compliance /Revisores de Processos para fazer alguma checagem in-loco. Mas
gosto da idéia de compartilhamento.
Quadro 25 − Porque não são aproveitadas as funções de controle para integração

Identifica-se que os motivos pelos quais as áreas deixam de aproveitar as

oportunidades de uma maior integração estão relacionados a:
• Visão de silo e falta de visão de processo;
• Foco primordial da alta administração é na conformidade com os requisitos;
• Objetivos/focos distintos de cada função de controle.
• Tipos de habilidades distintos requeridos aos profissionais de cada área.
103
• Pouco ou nenhum “input” da Alta Administração em prol de uma maior

integração entre as áreas de controle;
• Métricas de performance diferentes entre as áreas (Risco operacional, nível
de perdas – métrica financeira; SOX Compliance, impacto de fraquezas
identificadas – métrica qualitativa vinculada a reporte financeiro);
• Impacto das ineficiências para as áreas de negócios, embora
inconveniente, não chega a ser significativo. As áreas de negócios
cumprem as tarefas transmitidas pelos gestores das áreas de controle, mas
não chegam a assumir uma responsabilidade maior, a qual fica em uma
área de controle.
• A área de SOX Compliance dentro da Diretoria de Finanças e a área de
Controles Internos / Revisores de Processos dentro da Diretoria de
Operações sofrem por não tratarem de atividades fundamentais para que
estas Diretorias atinjam o seu objetivo. Estas funções, geralmente operam,
como áreas de suporte dentro de suas diretorias. As diretorias não
despendem muito dos seus recursos com as funções de controle, motivo
pelo qual, não são realizadas análises mais aprofundadas que visem
promover maior eficiência nestas áreas.
• Estas áreas acabam se constituindo em “celeiros” de profissionais; para as
suas diretorias resultando em alta rotatividade, prejudicando a continuidade
operacional ou impedindo que haja uma visão de integração. Isto faz com
que o profissional que chega para assumir a responsabilidade pela área
receba outra proposta de trabalho antes que tenha tido tempo para montar
estes entendimentos e identificar as oportunidades de maior integração, ou
foque em recompor a equipe ao invés de buscar integração com outras
áreas.
• Ferramentas e políticas do grupo que não enfatizam as possibilidades de
sinergia;
• Falta de sistema informatizado de uso compartilhado; e
• Distância física entre as áreas (todas as áreas são lotadas em prédios
distintos, com pouco contato direto).
104
6.9. Impactos das funções de controle nas áreas de negócios e

operações

de funções de controle sobre aos impactos que as funções de controle exercem
sobre as áreas de negócios e operações.
Como são impactadas as áreas de negócios e operações?
Duas visitas ao ano para processos “high risk” ou “com risco

específico identificado”.
Uma visita por ano para processos “baixo risco”.
As reuniões de “Risk and Control Self Assessment” podem ser

concluídas em uma única sessão, ocasionamente demandam duas
ou três sessões. Todo o processo não toma mais do que 4-5 horas.
A revisão da documentação dos processos e matrizes de riscos
pode tomar outras 4-5 horas de um profissional experiente.
SOX Compliance
A realização dos testes pode consumir mais esforço das áreas,
mas não excedem 30 horas e estão condicionadas ao nível em que
a área está preparada para receber uma revisão. Assim, áreas
mais organizadas entregam tudo o que é requerido em 8 horas.
Áreas menos organizadas levam mais tempo.
A certificação não toma tempo, mas é necessário que alguém peça
ao Diretor a assinatura, o que por vezes gera um certo desconforto
em quem vai pedir. Este desconforto é maior em áreas que tem
algum problema de controles internos.
No total no máximo uma 60 horas por processos revisto.
Controles Internos No máximo 80 horas por processo revisto.

Revisão semestral dos riscos nos sistema de Gestão de Riscos
Operacionais – pode consumir 6-7 horas. O segredo é a área
manter atualizado o sistema constantemente e não revisar somente
a cada 6 meses.
Os checklists trimestrais devem ser preenchidos em no máximo 2
Gestão de Riscos horas.
Operacionais O reporte de incidentes de perda depende do número de incidentes,
pode levar cerca de 30 minutos para reportar cada incidente de
perda, considerando o nível de detalhes solicitados e a necessidade
de reconciliar com o contábil.
As entrevistas trimestrais com a Diretoria consomem no máximo
1,5 horas cada entrevista.
Quadro 26 − Impacto das áreas de negócios e operações

Verifica-se que as funções de controle impactam as áreas de negócios e

operações em cerca de 170 horas por ano. O que representa quase um mês por ano
105
em atendimento às funções de controle (considerando um mês de 180 horas úteis).

Os custos deste atendimento não são mensurados, mas acredita-se que este seja
talvez o maior custo das funções de controle, contra o qual os benefícios deveriam
ser confrontados, numa análise de custo/benefício.
Acredita-se que uma maior integração entre as funções de controle poderia
fazer reduzir significativamente este tempo de atendimento às funções controle.
Em termos de integração o estudo identificou que SOX Compliance nesta
instituição precisaria ser um processo menos dependente dos testes realizados pela
equipe de 4 profissionais fulltime em Finanças, e muito mais dependente de testes e
autoavaliações realizadas pelos próprios gestores de processos (focais). Este
entendimento baseia-se no fato de que SOX Compliance é um programa para toda a
organização e não somente para Finanças, assim, os gestores de processos
estariam em melhores condições para a identificação dos controles-chave e para
documentar a sua execução de forma mais satisfatória, mantendo a
responsabilidade pelo teste a quem tem ingerência e responsabilidade pelo
processo. Quando questionados, os membros da administração sobre o motivo pelo
qual os testes são realizados quase que em sua integridade pela função de SOX
Compliance, foi respondido que isto se deve à questão da independência (uma vez
que quem testa não poderia ser o mesmo executor). Durante o estudo de campo a
gerência de SOX Compliance estava em tratativas com a gerência de controles
internos (revisores de processos) para que os mesmos passassem a incluir em seus
programas de testes, os testes específicos destinados a satisfazer as questões de
SOX Compliance, o que estava na dependência de uma revisão da capacidade da
área de “revisores de processos”.
6.10. Oportunidades Identificadas pela maior integração
Embora se possa depreender que no contexto de uma entidade tomada como

um todo existe um nível importante de cobertura aos elementos do COSO. As
evidências coletadas em campo demonstram que as funções de controle aproveitam
muito pouco dos trabalhos realizados pelas outras funções, o que se designa neste
estudo como falta de integração.
106
Integrar no contexto deste estudo é permitir uma visão sistêmica e de

processo único às funções de controle, em substituição a uma visão de silo. A
integração pode variar de um cenário de completa independência entre as funções,
para um cenário de atividades compartilhadas, mas mantendo certa independência;
até um cenário de integração total com uma única área responsável pelo controle.
A integração pode ser concebida de duas formas: integração total ou
integração parcial. Em oposição à integração tem-se a possibilidade da completa
independência das funções de controle. Os exemplos demonstrados a seguir
demonstram que a instituição objeto do estudo opera quase na “completa
independências das funções de controle”.
A integração total seria a hipótese de todas as funções de controle serem
fundidas e gerenciadas através de um único departamento, o qual concentraria a um
só tempo todas as responsabilidades de “controles internos”, “gestão de riscos
operacionais” e “SOX Compliance”.
A integração parcial é a forma de integração onde são mantidas as
responsabilidades nas suas áreas de origem, entretanto, com maior
compartilhamento de informações e adoção de abordagens unificadas pelas
diferentes funções de controle, com o objetivo de reduzir os custos destes
processos.
São oportunidades de compartilhamento de atividades que ficam visíveis das
análises realizadas:
• Exercícios de “risk and control self assessment” poderiam contar com a

participação também das áreas de controles internos e gestão de riscos
operacionais. Da forma como executado somente a área de SOX
Compliance se beneficia deste processo;
• Foi identificado que as áreas de Gestão de Riscos Operacionais e SOX
Compliance documentam em bases distintas seus riscos e controle.
Enquanto a área de Gestão de Riscos Operacionais documenta a
avaliação de riscos e controle com uso do sistema Gordon, a área de SOX
Compliance documenta os riscos e controle em ferramentas do Microsoft
Office. Existe oportunidade de melhoria ao em ampliar o “escopo” do
sistema Gordon fazendo-o também tratar de riscos relacionados à
Compliance e SOX Compliance, em benefício da área de Gestão de Riscos
107
Operacionais que passaria a ter uma visão mais abrangente sobre riscos
ao processo de reporte financeiro, enquanto a função de SOX Compliance
se beneficiaria de maior controle sobre a integridade dos dados.
• SOX Compliance, Gestão de Riscos Operacionais e Controles Internos
possuem uma linguagem diferenciada para ranquear os assuntos. SOX
Compliance apenas considera os controles-chave como “efetivos” ou “não
efetivos”, as fraquezas de controle são avaliados em “abaixo do reportável”,
“acima do reportável”, “significante”, “material”. Enquanto a área de Gestão
de Riscos Operacionais gradua os riscos em função do valor da perda
estimada em função da severidade e freqüência em que o evento pode
ocorrer. A área de Controles Internos, assim como a Auditoria Interna
graduam os riscos por critérios subjetivos em “baixo”, “médio” ou “alto”
risco. As diferenças de critérios de reporte podem fazer dar origem à má
compreensão da real “criticidade” de um problema de controles internos
levantado por estas áreas. Neste ponto cabe esclarecer que as funções de
controle, em geral são responsáveis por capturar as informações sobre o
estado atual em que se encontram os controles, no âmbito de suas
responsabilidades, e desenvolver um processo de reporte estruturado tanto
aos gestores dos processos, focais nas respectivas áreas, quanto à alta
administração da Instituição. Se não estruturado um processo de reporte
integrado, mensagens conflitantes sobre o estado geral dos controles de
uma área podem estar sendo levadas à alta administração. Esta situação é
comum quando, por exemplo, as funções de controles internos, riscos
operacionais, auditoria interna e SOX Compliance, cada uma trabalha com
níveis de materialidade distintos e ranqueiam seus issues de forma distinta.
Em geral o destinatário final dos relatórios produzidos por estas funções de
controle é o mesmo, o “Comitê de Gestão de Riscos Operacionais e
Controles Internos”, entretanto, não existe um processo único para
categorizar e filtrar os assuntos pelo impacto potencial de sua
materialidade.
• Foi identificado que o “Comitê de Gestão de Riscos Operacionais e
Controles Internos” precisaria estar mais representado por pessoas-chave
das áreas de negócios. Conforme mencionado as áreas de negócios são
quem arcam com os ônus e bônus decorrentes das deficiências de
108
controle, portanto, estas áreas deveriam ser as destinatárias das análises

feitas pelas funções de controle.
• As áreas de SOX Compliance e de Controles Internos, são áreas de
suporte dentro das Diretorias de Finanças e de Operações e Tecnologia,
respectivamente, assim em geral não realizam atividades consideradas
como “fundamentais” para que estas diretorias atinjam seus objetivos.
Assim, tendem a não ser priorizadas. Enquanto a área de Gestão de
Riscos Operacionais, a partir de que passou a ter uma linha de reporte ao
Chief Risk Officer, passou a integrar uma preocupação fundamental do
mesmo, assim tende a ter mais priorização de suas iniciativas.
• Implementar um sistema de monitoramento contínuo da execução de
controles internos-chave que permita a um só tempo atender necessidades
de Controles Internos, Compliance, SOX Compliance e Gestão de Riscos
Operacionais seria de grande valor, principalmente para área de SOX
Compliance a qual poderia reduzir a abrangência de testes de SOX
baseado na existência e funcionamento do mencionado sistema. Além
disto, enquanto a aquisição de um sistema desta magnitude fica restrita ao
Departamento de Finanças ou ao Departamento de Operações e
Tecnologia, estas áreas têm dificuldades em obter aprovação para um
gasto maior. Entretanto, se estas áreas discutissem de forma integrada a
aquisição de um software que vai beneficiar a todas elas, ganhariam mais
força política para ter o seu pleito atendido. Um sistema desta natureza
teria como principal usuário, os “gestores de processos” e “áreas de
negócios” que poderiam monitorar “on-line” o estado geral em que se
encontram os controles.
• Todas estas funções de controle, ocasionalmente, encontram-se
envolvidas em questões políticas sobre ownership (propriedade,
responsabilidade) e accountability (prestação de contas) pelos gestores de
processos e áreas de negócios com relação a questões relacionadas a
controles internos. As áreas de negócios tendem a afirmar que estas
questões relacionadas a controles internos são responsabilidade das áreas
de Operações, quando não tentam responsabilizar as próprias funções de
controle, quando são as próprias áreas de negócios que tem o “orçamento”
e alçada de aprovação para projetos maiores que visem a melhorar
109
processos. Assim, os canais de comunicação sobre questões relacionadas

a controles internos não poderiam estar restritos a Comitês de Controle,
por exemplo: Comitê de Gestão de Riscos Operacionais e Controles
Internos; Comitê Local de SOX Compliance e Comitê de Legal e
Compliance. Seria mais eficiente um reporte direto às linhas de negócios,
que são os verdadeiramente impactados pelas falhas de controle e têm o
poder para priorizar e decidir sobre os recursos a serem alocados.
• As áreas de Controles Internos, Gestão de Riscos Operacionais e SOX
Compliance cada uma elaborou seu modelo de Certificado que deve ser
assinado pelos respectivos Focais e Diretores das áreas de negócios. Um
modelo único que atenda as três necessidades seria mais efetivo em
termos de comunicação. As áreas de negócios quando assinam três
certificados apenas relembram três vezes de como é burocrática a
estrutura de controle da instituição (um único certificado contribuiria para
reduzir esta percepção).
• As áreas de SOX Compliance, Controles Internos e Auditoria Interna
realizam testes de controle. Entretanto, não se conversam para planejar em
conjunto os testes, assim uma área que vai realizar um teste poderia
estender seus procedimentos para contemplar preocupações específicas
de outra área de controle, diminuindo a chance de retrabalho, ou a
percepção da área sob revisão de que está “super-auditada”. Foi
identificado que a área atualmente conhecida como controles internos em
Operações, também chamada de “revisores de processos” pode ter seu
escopo ampliado de forma a incluir em seus testes, também testes para
checar a efetividade operacional de controles-chave para fins de SOX
Compliance.
• As áreas de Auditoria Interna e SOX Compliance realizam “mapeamento de
processos” (emissão de fluxograma e memorandos descritivos e matrizes
de riscos e controle) em conjunto com os focais e gestores de processos. A
O mapeamento de processos precisaria ser um processo único para
atender às diversas finalidades e de responsabilidade do gestor do
processo (e não das funções de controle).
• As funções de controle, Compliance, Gestão de Riscos Operacionais e
SOX Compliance se estruturam considerando utilizar alguns recursos
110
humanos de outras áreas. Estes recursos são os chamados “focais”,

pessoas designadas pela administração das áreas para servir como ponto
focal para atendimento aos requerimentos estabelecidos pelas áreas de
controle. O estudo identificou que os focais designados para Compliance,
Gestão de Riscos Operacionais e SOX Compliance são pessoas distintas
dentro dos departamentos, o que entendemos ser uma oportunidade de
melhoria no processo, dada a similaridade das abordagens de SOX
Compliance e Gestão de Riscos Operacionais. A melhoria seria no sentido
de montagem de uma estrutura única de focais para atender ambas as
funções.
Como pode-se constatar são inúmeras as oportunidades de maior integração

na forma de atuação das diferentes funções de controle. Entretanto, ao
implementar qualquer ação neste sentido deve-se considerar que tratam-se de
funções com objetivos distintos, que requerem linhas de reporte e habilidade
distintos para sua estruturação.
111
Componente COSO Oportunidade de Integração
Treinamentos conjuntos.
Planejamento de atividades integrado, como forma de reduzir a chance de
assuntos não cobertos.
Desafio comum: fazer as áreas de negócios assumir maior responsabilidade
Ambiente de Controle pelos processos.
Monitoramento da execução do controle
Testes
Reporte
Promover para que os mapeamentos de processos realizados pelas áreas
de negócios e gestores de processos sejam úteis (a um só tempo) para
atender todas as funções de controles.
Identificação e Avaliação
Promover para que nas reuniões de “auto-avaliação de riscos e controles”
de RiscoS
coordenadas pela área de SOX Compliance, outras funções de controles
também participem e coletem suas informações.
Usar bases de dados comuns para mapeamento de riscos e controles.
As áreas utilizam-se de certificações periódicas. Verificada a possibilidade
de elaboração de certificado unificado que atenda a um só tempo as
necessidades de todas as áreas.
Atividades de Controle
Controle de reconciliação, enquanto somente contábil – freqüência mensal é
adequada, mas como medida de prevenção a fraudes, necessária a
freqüência diária (para certos grupos de contas).
Usar um critério / linguagem uniforme para “ranquear” os riscos identificados
(de forma a facilitar o entendimento sobre a criticidade dos assuntos).
A estrutura de “focais” para atendimento às funções de controles precisa ser
revista e unificada, pois foi identificado que a área de Sarbanes-Oxley
Compliance e a área de Gestão de Riscos Operacionais possuem focais
Informação e distintos, a primeira alocando a pessoas mais seniores da organização.
Comunicação O Chief Risk Officer atualmente está mais afeto as questões reportadas pela
área de Gestão de Riscos Operacionais, com a estruturação de uma base
única, passaria a acessar volume maior de informações qualitativas sobre
riscos, permitindo-lhe visão integrada.
Áreas de negócios devem ser parte importante na comunicação
(transparência).
As áreas de Sarbanes-Oxley Compliance, Controles Internos e Auditoria
Interna realizam testes, entretanto, não planejam os testes de forma a
atender necessidades umas das outras. Assim, ocasionalmente, alguma
área é testada em excesso.
Testes realizados pela área de SOX Compliance poderiam ser substituídos
por um processo de monitoramento contínuo (via sistema) atrelado a uma
Monitoramento atuação da Auditoria Interna na realização dos testes necessários que hoje
não são realizados com este propósito.
Um sistema informatizado para monitoramento contínuo dos controles
internos se verifica como de grande utilidade para todas as funções de
controles. Entretanto, se o pleito para aquisição deste sistema viesse de
forma estruturada refletindo a necessidade de todas as funções de controle
teria mais chances de ser aprovado.
Quadro 27 − Componentes COSO e suas Oportunidades de Integração

112
Pode-se constatar pela análise das oportunidades de integração

apresentadas no quadro acima, que as funções de controle na instituição objeto do
estudo foram estruturadas sem considerar as possibilidades de maior integração.
São inúmeras as oportunidades que a instituição objeto deste estudo tem para que
suas funções de controle se estruturem de forma mais integrada evitando-se as
decorrentes ineficiências. Não se propõe a unificação destas funções em um
departamento único, mas tanto quanto possível, que estas funções possam trabalhar
com maior compartilhamento de informações e utilizando de abordagens que a um
só tempo possam atender aos diferentes requisitos, ou seja, reduzindo impacto às
áreas de negócios.
113
7. CONSIDERAÇÕES FINAIS
Este estudo de caso único teve como objetivo principal analisar “como” e
“porque” integrar as funções de controle em instituições financeiras de grande porte.
Este estudo requereu um aprofundamento inicial nas teorias e normas que
fundamentaram o desenvolvimento nas instituições financeiras das funções de
controle. Este aprofundamento permitiu compreender os objetivos e as abordagens
em uso pelas diferentes funções de controle. Da análise dos requerimentos
regulatórios, abordagens em uso, interdependências e ligações destas funções de
controles obteve-se o entendimento de que estas funções tratam basicamente de
“controles internos”, cada função com o seu enfoque distinto. Controles Internos, em
termos amplos, como definido pelo COSO, têm como componentes atividades de
identificação de riscos, implementação de controles, monitoramento e reporte do
estado geral dos controles, todas estas atividades foram identificadas como parte da
rotina das funções de controle existentes na instituição objeto do estudo. Nas
interações destas funções de controle com as demais áreas/departamentos da
instituição não é claro para a área que está sendo revista as diferenças entre as
funções de controle, parecendo a estes que se tratam de trabalhos redundantes os
realizados pelas diferentes funções de controle. Identificou-se que existe uma
estrutura de melhores práticas, o COSO – Internal Control Integrated Framework,
amplamente utilizada, que poderia ser tomada por base para análise comparativa
das formas de atuação das diferentes funções de controle, com o objetivo de
identificação de pontos em que uma integração seria possível, em benefício de
tornar mais eficiente a operação destas funções de controle.
Inúmeras entrevistas foram realizadas, questionários foram utilizados para a
coleta de informações sobre a forma de operação das funções de controle.
O capítulo 4 demonstra através de análise das respostas obtidas ao
Questionário II (Apêndice II), que em geral existe percepção de que as funções de
controle precisam operar de forma mais integrada.
O capítulo 5 apresenta uma descrição detalhada sobre o posicionamento das
funções de controle: Controles Internos, Gestão de Riscos Operacionais e SOX
Compliance, e seu modus operandi, as práticas em uso por estas diferentes funções
de controle, o seu processo para captura de informações, identificação e avaliação
114
de riscos, monitoramento dos controles, testes, processo interno de comunicação,

reporte de resultados e ferramentas utilizadas. Deste capitulo conclui-se que as
funções de controle, objeto do estudo, possuem diferentes objetivos, linhas de
reporte, métricas de performance e requerem habilidades distintas de seus
profissionais, entretanto, a despeito das diferenças, estas funções adotam
abordagens semelhantes.
Segundo apresentado no capítulo 5 as funções de controle não se
sobrepõem, mas se complementam. Das três categorias de objetivos de controles,
tal como apresentados na definição de controles internos do COSO (compliance,
qualidade dos reportes financeiros e eficiência operacional), verificado que questões
de Compliance são substancialmente tratadas pela área de Compliance, Qualidade
de Reportes Financeiros pela área de SOX Compliance e eficiência operacional
pelas áreas de Controles Internos e Gestão de Riscos Operacionais.
O capítulo 6 apresenta comparação das práticas em uso pelas diferentes
funções de controles, tomando por base a estrutura de melhores práticas em
controles internos do COSO (Internal Control – Integrated Framework), ofereceu
importantes evidências sobre o não aproveitamento por estas funções de
oportunidades de maior integração entre estas áreas, com vistas ao objetivo comum
de gerar informações sobre riscos, qualidade de controles, deficiências e estado de
implementação de ações voltadas à mitigação das deficiências. O quadro 27
apresenta um resumo das principais oportunidades que poderiam ser aproveitadas
para maior integração entre as funções de controle.
O capítulo 6, tópico 6.8 apresenta algumas razões percebidas para o não
aproveitamento pelas funções de controle de oportunidades de maior integração.
Sendo apontado, como principais causas possíveis para a não integração:
• Visão de silo, falta de visão de processo;
• Foco primordial da alta administração é na conformidade com os requisitos;
• Objetivos/focos distintos de cada função de controle.
• Tipos de habilidades distintos requeridos aos profissionais de cada área.
• Pouco ou nenhum “input” da Alta Administração em prol de uma maior
integração entre as áreas de controle;
115
• Métricas de performance diferentes entre as áreas (Risco operacional, nível

de perdas – métrica financeira; SOX Compliance, impacto de fraquezas
identificadas – métrica qualitativa vinculada a reporte financeiro);
Existem oportunidades de maior integração, mas não a integração completa,

através da fusão destas funções em um departamento único, o que se mostra
inviável em função dos diferentes objetivos e habilidades requeridas. Assim, a
administração considera imprudente unificar as funções, pois se verifica que algo se
perderia em termos de independência e diligência nas análises. Entretanto a
administração considera importante que as funções de controle possam operar com
maior coordenação, compartilhando informações e reduzindo possíveis ineficiências,
através de uma integração parcial, onde as responsabilidades são mantidas em
funções de controles segregadas e independentes.
Como contribuição deste estudo de caso, constata-se que é um esforço válido
nas organizações, a análise e implementação de ações que visem maior integração
das funções de controle. Neste contexto, a principal recomendação é de que as
instituições financeiras, tomando por base as oportunidades identificadas neste
estudo, encontrem motivação para revisar o modelo operacional de suas funções de
controle de forma a que possam usufruir, pela maior integração entre estas funções,
de um processo de monitoramento de controles que possa fornecer conforto ainda
maior de que os riscos relevantes estão mitigados a um custo ainda mais otimizado.
Em adição, verificou-se que desde a crise financeira iniciada em 2007, que
está fazendo as instituições revisarem suas estruturas, a função de Chief Risk
Officer foi institucionalizada. Esta posição sênior, ocupada por um diretor estatutário,
com assento nos principais comitês da instituição, agrega responsabilidade pela
gestão integrada de todos os riscos da instituição. A função de Gestão de Riscos
Operacionais passou a ter uma linha de reporte funcional ao Chief risk Officer.
Outras iniciativas têm sido no sentido de vincular riscos às métricas de performance
de executivos seniores da organização, fazendo-os mais orientados a riscos e
controles.
A realização do estudo contribuiu para o desenvolvimento pessoal, acadêmico
e profissional do pesquisador, e espera-se ter contribuído para a academia.
O estudo de caso único, do tipo exploratório, não teve por objetivo ser
conclusivo, mas, sim, apresentar considerações que sejam úteis àqueles que
116
estiverem em posição de implementar funções de controle em instituições

financeiras de grande porte e pode motivar a realização de outros estudos sobre o
tema.
Durante o estudo, por diversas passagens, verificou-se que a implantação de
funções de controle está bastante condicionada a questões de natureza cultural. O
aspecto, cultura organizacional, não foi foco deste estudo, mas identifica-se que
estudos futuros podem, a partir das análises apresentadas neste estudo de caso,
buscar responder sobre a influência da cultura organizacional no sucesso na
implantação de funções de controle. Outra possibilidade é confirmar se os benefícios
da maior integração entre as funções de controle, caso implementadas as ações
identificadas neste estudo, realmente se materializariam e quais impactos estes
benefícios teriam para as organizações.
117
REFERÊNCIAS
AGUIAR, C. G. de Paula. Governança Corporativa e Geração de Valor aos

Acionistas. Monografia. Universidade Federal do Rio de Janeiro – Instituto de
Economia, Junho de 2005.
AKKIZIDIS, Ioannis S.; BOUCHEREAU, Vivianne Guide to Optimal Operational Risk

& Basel II BOCA RATON, FL: Auerbach Publications, 2006.
ALENCAR, R. Carvalho de. Nível de Disclosure e Custo de Capital Próprio no

Mercado Brasileiro. Tese apresentada ao Departamento de Contabilidade e Atuária
da Faculdade de Economia, Administração e Contabilidade da Universidade de São
Paulo como requisito para obtenção do título de Doutor em Ciências Contábeis, São
Paulo, 2007.
AMERICAN INSTITUTE OF CERTIFIED PUBLIC ACCOUNTANTS – AICPA.

CONSELHO REGIONAL DE CONTABILIDADE DO ESTADO DE SÃO PAULO.
Curso básico de auditoria 1: normas e procedimentos. 2a. Edição - São Paulo: Atlas,
1992.
ANTHONY, Robert N.; GOVINDARAJAN, Vijay. Sistemas de Controle Gerencial.

Tradução de Adalberto Ferreira das Neves. São Paulo. Atlas, 2001.
BAINBRIDGE, Stephen M. The Complete Guide to Sarbanes-Oxley - Understanding

How Sarbanes-Oxley Affects Your Business. UCLA School of Law – Law &
Economics Research Paper Series – Research Papel nº. 07-17, 2007.
BANCO CENTRAL DO BRASIL. Manual da Supervisão Bancária. 2002. Disponível

em <http//:www.bcb.gov.br> acesso em 14 de Dezembro de 2009.
______. Edital de Audiência Pública 22. Dispõe sobre a implementação de estrutura

de gerenciamento do risco operacional. 2006. Disponível em
<http//:www.bcb.gov.br> acesso em 15 de Outubro de 2009.
______. Comunicado BC 12.746. Comunica os procedimentos para a

implementação da nova estrutura de capital – Basiléia II. 2004. Disponível em
<http//:www.bcb.gov.br> acesso em 10 de Julho de 2008.

implementação da nova estrutura de capital – Basiléia II. 2007. Disponível em
<http//:www.bcb.gov.br> acesso em 10 de Julho de 2008.

implementação da nova estrutura de capital - Basiléia II. 2009. Disponível em
<http//:www.bcb.gov.br> acesso em 02 de Janeiro de 2010.
118
BANCO CENTRAL DO BRASIL. Circular BC 3.383 Estabelece os procedimentos

para o cálculo da parcela do Patrimônio de Referência Exigido (PRE) referente ao
risco operacional (POPR) de que trata a Resolução nr. 3.490, de 2007. 2008.
Disponível em <http//:www.bcb.gov.br> acesso em 15 de Maio de 2009.
BARALDI, Paulo. Gerenciamento de Riscos – A gestão de oportunidades, a

avaliação de riscos e a criação de controles internos nas decisões empresariais. Rio
de Janeiro. Elsevier, 2004.
BERNSTEIN, Peter L. - Desafio aos Deuses: A Fascinante História dos Riscos - Rio
de Janeiro: Campus, 1997.
BESSIS, Joël – Risk Management in Banking – Second Edition – Chichester, West

Sussex, England: John Wiley & Sons Ltd., 2002.
BIS – BANK FOR INTERNATIONAL SETTLEMENTS. Observed range of practice in

key elements of Advanced Measurement Approaches (AMA). Basel Committee on
Banking Supervision. 2009. Disponível em <http//:www.bis.org> acesso em 15 de
Dezembro de 2009.
______. Results from the 2008 Loss Data Collection exercise for Operational Risk.
Basel Committee on Banking Supervision. 2009. Disponível em <http//:www.bis.org>
acesso em 15 de Dezembro de 2009.
______. International Convergence of Capital Measurement and Capital Standards a

Revised Framework. Basel Committee on Banking Supervision. June 2006.
Disponível em <http//:www.bis.org> acesso em 04 de Abril de 2007
______. Core Principles for Effective Banking Supervision. Basel Committee on

Fevereiro de 2008.
______. The treatment of expected losses by banks using the AMA under the Basel
II Framework. Basel Committee on Banking Supervision. 2005. Disponível em
<http//:www.bis.org> acesso em 30 de Abril de 2007.
_______. Compliance and the compliance function in Banks. Basel Committee on

Abril de 2007.
_______. Implementation of Basel II: Practical Considerations. Basel Committee on

Maio de 2008.
______. Sound Practices for the Management and Supervision of Operational Risk.
Basel Committee on Banking Supervision. 2003. Disponível em <http//:www.bis.org>.
acesso em 04 de Abril de 2007.
______. Public Disclosures by Banks: Results of the 2001 Disclosure Survey. Basel
Committee on Banking Supervision. 2003. Disponível em <http//:www.bis.org>
acesso em 15 de Setembro de 2008.
119
BIS – BANK FOR INTERNATIONAL SETTLEMENTS Public Disclosures by Banks:

Results of the 2000 Disclosure Survey. Basel Committee on Banking Supervision.
2002. Disponível em <http//:www.bis.org> acesso em 15 de Maio de 2008.
______. Public Disclosures by Banks: Results of the 1999 Disclosure Survey. Basel
acesso em 15 de Maio de 2008.
______. Framework for Internal Control Systems in Banking Organisations. Basel

______. Operational Risk Management. Basel Committee on Banking Supervision.

1998. Disponível em <http//:www.bis.org> acesso em 30 de Abril de 2007.
______. Enhancing Bank Transparency. Basel Committee on Banking Supervision.

1998. Disponível em <http//:www.bis.org> acesso em 20 de Abril de 2007.
BOOTH, Wayne C.; COLOMB, Gregory G.; WILLIAMS, Joseph M. A Arte da

Pesquisa. 2a. Edição. Tradução de Henrique A. Rego Monteiro. São Paulo. Martins
Fontes, 2005.
BORGERTH, Vania Maria da Costa. SOX – Entendendo a Lei Sarbanes – Oxley: Um

caminho para a informação transparente. São Paulo. Thomson Learning, 2007.
BRASIL, Resolução CMN (Conselho Monetário Nacional) nº 2554, de Setembro de

1998. Dispõe sobre a implantação e implementação de sistema de controles
internos. Disponível em <http//:www.bcb.gov.br> acesso em 15 de Março de 2007.
______. Resolução CMN (Conselho Monetário Nacional) nº 3380, de 29 de Junho de

2006. Dispõe sobre a implantação de estrutura de gerenciamento do risco
operacional. Disponível em <http//:www.bcb.gov.br> acesso em 13 de Março de
2007.
______. Lei nº 6.404, de 15 de dezembro de 1976. Dispõe sobre as Sociedades por

Ações. Disponível em <http//:www.cvm.gov.br> acesso em 24 de Outubro de 2008.
______. Lei nº. 9.613, de 03 de Março de 1998. Dispõe sobre os crimes de

"lavarem" ou ocultação de bens, direitos e valores; a prevenção da utilização do
sistema financeiro para os ilícitos previstos nesta Lei; cria o Conselho de Controle de
Atividades Financeiras - COAF, e dá outras providências. Disponível em
<http//:www.planalto.gov.br> acesso em 12 de Abril de 2008.
______. Lei nº 10.303, de 31 de outubro de 2001. Altera e acrescenta dispositivos à

Lei nº 6.404 de 15 de dezembro de 1976, que dispõe sobre o mercado de valores
mobiliários e cria a Comissão de Valores Mobiliários. Disponível em
<http//:www.cvm.gov.br> acesso em 30 de Outubro de 2008.
120
BRASIL. Lei nº 11.638, de 28 de dezembro de 2007. Altera e revoga dispositivos da

Lei nº 6.404 de 15 de dezembro de 1976, e da Lei n º 6.385, de 7 de dezembro de
1976, e estende às sociedades de grande porte disposições relativas à elaboração e
divulgação de demonstrações financeiras. Disponível em <http//:www.cvm.gov.br>
CAMAZANO, Magali Aparecida. Estudo da Influência do “Sarbanes-Oxley Act of

2002” sobre o gerenciamento do risco operacional em instituições financeiras
brasileiras. - São Paulo: Pontifícia Universidade Católica de São Paulo, 2007.
Dissertação: Programa de Estudos Pós-Graduados em Ciências Contábeis e
Financeiras.
CAPPELLETTI, Laurent. Performing na Internal Control Function to Sustain SOX

404 and Improve Risk Management: Evidence from Europe. Management
Accounting Quarterly, v. 10, nº 4, p.17-27, Summer 2009. Disponível em
<findarticles.com> acesso em 05 de Julho de 2010.
CARVALHO, A. Gledson de. Governança Corporativa no Brasil em perspectiva.

Revista de Administração, São Paulo, v.37, nº 3, p.19-32, julho/setembro de 2002.
CHORAFAS, Dimitris N. Operational Risk Control with Basel II - Basic Principles and
Capital Requirements Burlington, MA - Elsevier Butterworth-Heinemann - 2004;
COCURULLO, Antonio. Gestão de Riscos Corporativos: riscos alinhados com

algumas ferramentas de gestão: um estudo de caso. São Paulo: Scortecci, 2002.
COIMBRA, Fábio. Riscos Operacionais – Estrutura para Gestão em Bancos. 1ª.

Edição. São Paulo. Saint Paul Editora Ltda., 2007.
COMISSÃO DE VALORES MOBILIÁRIOS. Instrução CVM nr. 480 de 07 de Dezembro de

2009. Dispõe sobre o registro de emissores de valores mobiliários admitidos à
negociação em mercados regulamentados de valores mobiliários. 2009. Disponível em
<http//:www.cvm.gov.br> acesso em 22 de Abril de 2010.
COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY

COMMISSION (COSO). Internal Control – Integrated Framework, 1994.
______. Enterprise Risk Management – Integrated Framework, 2004.
CONSELHO FEDERAL DE CONTABILIDADE (CFC). Princípios Fundamentais e

Normas Brasileiras de Contabilidade. 2º Edição. 2006. Disponível em
<http//:www.cfc.org.br> acesso em 07 de Agosto de 2008.
CRUZ, Marcelo. Modelagem, avaliação e proteção para Risco Operacional.

Tradução do Original: Modeling, measuring and hedging operational risk, 2002, por
José V. Vicente. Financial Consultoria, 2005.
DAMODARAN, Aswath. Gestão Estratégica do Risco – Uma referência para a

tomada de riscos empresariais. Tradução de Félix Nonnenmacker. Porto Alegre.
Bookman, 2009.
121
DELOITTE – Financial Services. Global Risk Management Survey: Risk

Management in the Spotlight - Sixth Edition. 2010. Disponível em
http://www.Deloitte.com acesso em 16 de Junho de 2010.
______. Financial Services. Global Risk Management Survey: Accelerating Risk

Management Practices - Fifth Edition. 2009. Disponível em http://www.Deloitte.com.
acesso em 24 de Outubro de 2009.
DI MICELI, Alexandre Di. Governança Corporativa, Desempenho e Valor da

Empresa no Brasil. São Paulo, 2002. Dissertação (Mestrado em Administração),
Faculdade de Economia, Administração e Contabilidade, Universidade de São
Paulo, 2002.
______. Aspectos metodológicos das pesquisas sobre governance corporativa.

Faculdade de Economia, Administração e Contabilidade, Universidade de São
Paulo, 2006.
DOYLE, Jeffrey; GE, Weili; MCVAY, Sarah. Determinants of weaknesses in internal

control over financial reporting. 2006. Disponível em http://www.ssrn.com acesso em
04 de Setembro de 2009.
DRUCKER, Peter F. The Practice of Management. First Perennial Library Edition.

New York, USA. HarperCollins Publishers, Inc. 1993.
______. Management: Tasks, Responsibilities, Practices. First HarperBusiness

Edition. New York, USA. HarperCollins Publishers, Inc. 1993.
DUARTE JR, A. Marcos; et all. Controles Internos e Gestão de Riscos Operacionais

em Instituições Financeiras Brasileiras: Classificação, Definições e Exemplos.
Resenha BM&F, 143. Pag. 40-44, Junho de 2000.
ECO, Umberto. Como se faz uma tese. 21a. Edição. Tradução de Gilson Cesar
Cardoso de Souza. São Paulo: Perspectiva, 2007.
EPSTEIN, Barry J., NACH, Ralph & BRAGG, Steven M. GAAP 2006 Interpretation
and Application of Generally Accepted Accounting Principles. John Wiley & Sons,
Inc., 2006.
FAYOL, Henry. Administração Industrial e Geral: Previsão, Organização, Comando,

Coordenação, controle. Tradução para o português de Irene de Bojano e Mário de
Souza. 10ª. Edição. São Paulo. Atlas, 2007.
FEBRABAN-FEDERAÇÃO BRASILEIRA DE BANCOS. Grupo de trabalho melhores

práticas. Melhores práticas na gestão do risco operacional. 2006. Disponível em
<http//:www.febraban.org.br> acesso em 15 de Maio de 2009.
FLEURY, Maria Tereza Leme & FISCHER, Rosa Maria. Cultura e Poder nas
Organizações. 2ª. Edição. São Paulo. Ed. Atlas S.A. – 1996.
FLICK, Uwe. Introdução à Pesquisa Qualitativa. 3ª Edição. Tradução Joice Elias

Costa. Porto Alegre: Artmed, 2009.
122
FRIGO, Mark L. & ANDERSON, Richard J. 10 Strategic GRC: Steps to

Implementation Internal Auditor – Global Perspectives on Risk, Control and
Governance. USA: The Institute of Internal Auditors. Volume LXVI:III. Page 33-37.
June 2009.
FSA – Financial Services Authority. The Turner Review – A regulatory response to

the global banking crisis. March, 2009.
GALLATI, Reto. Risk Management and Capital Adequacy. McGraw-Hill, 2003.
GARCIA, Márcio, GIAMBIAGI, Fabio; et all. Risco e Regulação – Porque o Brasil

enfrentou bem a crise financeira e como ela afetou a economia mundial. Rio de
Janeiro, Elsevier, 2010.
GITMAN, Lawrence J. Princípios de Administração Financeira. 10.ed. São Paulo,

Person Brasil, 2004.
GRUPO DE TRABALHO. Documento Consultivo – Função de Compliance. ABBI –

Associação Brasileira de Banco Internacionais e FEBRABAN – Federação Brasileira
de Bancos – 2004.
GUIMARÃES, T. Augusto. Et all. Melhores Práticas na Gestão do Risco Operacional.

São Paulo: FEBRABAN – Federação Brasileira de Bancos, 2006
HELBOK, Günther; WAGNER, Christian Determinants of Operational Risk Reporting

in the Banking Industry - The 27th Annual Congress of the European Accounting
Association, 2006.
HENDRIKSEN, Eldon S. & VAN BREDA, Michael F. Teoria da Contabilidade.

Tradução da 5º edição americana por Antonio Z. Sanvicente. São Paulo: Atlas, 1999.
HOPE, Jeremy. Gestão Financeira Moderna – Reinventando o CFO. Tradução de

Marcello Lino. Rio de Janeiro: Elsevier, 2007.
HOUAISS, Antônio. VILLAR, Mauro de Salles. Dicionário Houaiss da Língua

Portuguesa. Elaborado no Instituto Antônio Houaiss de Lexicografia e Banco de
Dados da Língua Portuguesa S/C Ltda. – 3ª. Ed. – Rio de Janeiro: Objetiva, 2008.
IBGC, Instituto Brasileiro de Governança Corporativa, 3° Código Brasileiro das

Melhores Práticas de Governança Corporativa, 2004. Disponível em
<http://www.ibgc.org.br/projeto/download/arquivos/Codigo_IBGC_3_versao.pdf>
IFRS – INTERNATIONAL FINANCIAL REPORTING STANDARDS. International

Financial Reporting Standards incorporating International Accounting Standards and
Interpretations. Londres: IASB, 2008.
IUDÍCIBUS, Sérgio de. & LOPES, Alexsandro Broedel. Teoria Avançada da

Contabilidade. São Paulo. Ed. Atlas S.A. – 2004.
123
JENSEN, M. C. & MECKLING, W. H. Theory of the Firm: Managerial Behaviour,

Agency Costs and Ownership Structure. Journal of Financial Economics,
Amsterdam, v.3, p. 305-360, 1976.
JORION, Philippe. Value at Risk: A Nova Fonte de Referência para a Gestão do

Risco Financeiro. Tradução da obra original Value at Risk: the new benchmark for
managing financial risk, 2001, por Thierry Barbe, em projeto da Bolsa de
Mercadorias & Futuros. São Paulo: BM&F, 1998.
KHAN, A. Samad; RHEINBAY, Armin & BLEVEC, S. Le. Fundamental Issues in

Operational Risk Management. Operational Risk and Compliance Magazine. Vol. 7.
Nº. 2. February, 2006.
KPMG. Never Again? Risk Management in banking beyond the credit crisis. 2009.
Disponível em <http://www.kpmg.com> acesso em 05 de Julho de 2007.
LANDER, Guy P. What is Sarbanes Oxley? New York, USA. McGraw-Hill, 2004.
LANZANA, Ana Paula - Relação entre Disclosure e Governança Corporativa das

Empresas Brasileiras - São Paulo: 2004 - FEA/USP - Dissertação apresentada ao
Departamento de Administração da Faculdade de Economia, Administração e
Contabilidade da USP, como requisito para obtenção do Título de Mestre em
Administração.
LIMA, Luiz Fernando Fabbrine - Estudo sobre a Gestão Qualitativa do Risco

Operacional como Prática de Governança Corporativa em Instituições Financeiras
no Brasil - São Paulo: Pontifícia Universidade Católica de São Paulo, 2007.
Dissertação: Programa de Estudos Pós-Graduados em Ciências Contábeis e
Financeiras.
LIMA, Raphael Moggioni de. Lei Sarbanes-Oxley: Estudo sobre a divulgação de

deficiências na avaliação dos controles internos. Dissertação apresentada à Banca
Examinadora da Pontifícia Universidade Católica de São Paulo como exigência para
obtenção do título de mestre em Ciências Contábeis e Financeiras. São Paulo, 2009.
LODI, João Bosco. Governança Corporativa – O Governo da Empresa e o Conselho

de Administração. 8ª. Edição. São Paulo. Elsevier Editora Ltda. 2000.
LOPES, Alexsandro Broedel. A Informação Contábil e o Mercado de Capitais. São

Paulo. Pioneira Thomson Learning, 2002.
MANZI, Vanessa Alessi. Compliance no Brasil Consolidação e Perspectivas. São

Paulo. Saint Paul Editora, 2008.
MARKS, Norman. 10 Steps to Section 404 Efficiency. Internal Auditor – Global

Perspectives on Risk, Control and Governance. USA: The Institute of Internal
Auditors. Volume LXV:V. Page 39-43. October 2008.
MARSHALL, Christopher. Medindo e Gerenciando Riscos Operacionais em

Instituições Financeiras. Tradução da obra original Measuring and Managing
Operational Risks in Financial Institutions, 2001, por Bazán Tecnologia e Lingüística.
Rio de Janeiro. Qualitymark Ed., 2002.
124
MARRISON, Chris. The Fundamentals of Risk Measurement. New York, NY.

McGraw-Hill, 2002.
MERRIAM-WEBSTER’S COLLEGIATE DICTIONARY, 10 ed. Burlington, NJ:

Franklin Eletronics Publishers, 2010
MOELLER, Robert R. COSO – Enterprise Risk Management. Hoboken, USA. John

Wiley & Sons, Inc., 2007.
MOTTA, Fernando C. Prestes & CALDAS, Miguel P. Cultura Organizacional e

Cultura Brasileira. São Paulo. Ed. Atlas S.A., 2007.
OAKLAND, John S. Gerenciamento da Qualidade Total – O Caminho para

aperfeiçoar o desempenho. Tradução de Adalberto G. Pereira. São Paulo:Nobel,
1994.
OLIVEIRA, Adalberto. Método para Avaliação de Risco Operacional em Bancos. São

Paulo. Blucher Acadêmico, 2008.
ORGANIZATION FOR ECONOMIC CO-OPERATION AND DEVELOPMENT. OECD

Principles of Corporate Governance. 2004. Disponível em <http://www.cvm.gov.br>
acesso em 26 de Maio de 2008.
PEPPE, Márcio Serpejante. O Novo Acordo da Basiléia. São Paulo. Trevisan Editora
Universitária, 2006.
PRICEWATERHOUSECOOPPERS. Intelligent Risk Management & Compliance

Cost Reduction – Creating a sustainable risk and compliance organization while
reducing inefficiency and improving effectiveness. 2008. Disponível em
<http://www.pwc.com> acesso em 06 de Junho de 2009.
_______. Financial Crisis of 2008: Navigating and Mitigating Risks. 2008. Disponível
em <http://www.pwc.com> acesso em 06 de Junho de 2009.
_______. A practical guide to risk assessment – how principles-based risk

assessment enables organizations to take the right risks. 2008. Disponível em
<http://www.pwc.com> acesso em 06 de Junho de 2009.
RAMOS, Michael. How to Comply with Sarbanes-Oxley Section 404 Assessing the
Effectiveness of Internal Control. John Wiley & Sons, Inc., 2004.
RITTENBERG, Larry; MILLER, Patricia K.; The Good News About Compliance –
Sarbanes-Oxley internal control requirements are creating a golden opportunity at
many organizations, according to new research. Institute of Internal Auditors. Internal
Auditor – Global Perspectives on Risk, Control, and Governance. Volume LXII:III;
June 2005:55.
ROSEN, Robert Eli. Risk Management and Corporate Governance: The Case of
Enron. Connecticut Law Review, vol 35:1157; 2003. Disponível em
<http://www.ssrn.com> acesso em 06 de Agosto de 2009.
125
SAITO, André T.; SAVOIA, José R. F.; FAMÁ, Rubens. A Evolução da Função
Financeira. Revista de Gestão USP, São Paulo, v. 13, n. especial, p. 31-44, 2006.
SALOMON, Délcio Vieira. Como Fazer uma Monografia. 11ª. Edição. São Paulo.
Martins Fontes, 2004.
SANTOS, Neusa Maria Bastos F. Cultura Organizacional e Desempenho –

Pesquisa, Teoria e Aplicação. 1ª. Edição. São Paulo. Stiliano, 2000.
SAUNDERS, Anthony. Administração de Instituições Financeiras. 2ª. Edição.

Tradução de Antonio Zoratto Sanvicente. São Paulo. Ed. Atlas S.A, 2000.
SCHEIN, Edgar H. Guia de Sobrevivência da Cultura Corporativa. 2ª. Edição. Rio de

Janeiro. José Olympio, 2007.
SENGE, Peter M. A Quinta Disciplina – Arte e Prática da Organização que Aprende.

Tradução de OP Traduções. 15ª. Edição. São Paulo. Ed. Best Seller, 2003.
SEVERINO, Antônio Joaquim. Metodologia do Trabalho Científico. 22ª. Edição. São

Paulo. Cortez, 2002.
SILVA, Antonio Carlos Ribeiro da. Metodologia da Pesquisa Aplicada à

Contabilidade: Orientações de Estudos, projetos, artigos, relatórios, monogratias,
dissertações, teses. 2ª. Edição. – São Paulo. Ed. Atlas S.A., 2006.
SIMONS, Robert. Levers of Control – How Managers Use Innovative Control

Systems to Drive Strategic Renewal. Boston, USA. Harvard Business School Press,
1995.
______. Levers of Organization Design – How Managers Use Accountability Systems

For Greater Performance and Commitment. Boston, USA. Harvard Business School
Press, 2005.
STEINBERG, Herbert. A dimensão humana da governança corporativa: pessoas

criam as melhores e as piores práticas. 4ª. Edição. São Paulo. Ed. Gente, 2003.
TAYLOR, Frederick W. Princípios de Administração Científica. Tradução de Arlindo

Vieira Ramos. 8ª. Edição. São Paulo. Atlas, 2006.
TILLAART, Alice van den. Controlling Operational Risk Concepts and Practices. The
Netherlands Institute for Banking, Insurance and Investment, 2003.
TRAPP, Adriana Cristina Garcia. Avaliação e Gerenciamento do Risco Operacional

no Brasil: Análise de caso de uma instituição financeira de grande porte. Dissertação
de Mestrado. Universidade de São Paulo – Faculdade de Economia, Administração
e Contabilidade, 2005.
UNITED STATES OF AMERICA. Congress of the United States of America. “The

U.S. Public Company Accounting Reform and Investor Protection Act of 2002”. An
Act to protect investors by improving the accuracy and reliability of corporate
disclosures made pursuant to the securities laws, and for other purposes, july. 2002.
126
VORHIES, James Brady. Key Controls The Solution for Sarbanes-Oxley Internal
Control Compliance. The Institute of Internal Auditors Research Foundation, 2004.
XAVIER, Paulo Henrique. Transparência das Demonstrações Contábeis dos Bancos

no Brasil: Estudo de Caso sob a Perspectiva do Acordo “Basiléia 2”. - São Paulo:
Universidade de São Paulo, 2003. Dissertação: Departamento de Contabilidade e
Atuária da Faculdade de Economia, Administração e Contabilidade.
YAMAMOTO, Marina Mitiyo & SALOTTI, Bruno Meirelles. Informação Contábil –

Estudos sobre a sua divulgação no mercado de capitais. São Paulo. Ed. Atlas S.A.,
2006.
YIN, Robert K. Estudo de Caso – Planejamento e Métodos. 3ª. Edição. Tradução de

Daniel Grassi. Porto Alegre: Bookman, 2005.
127
APÊNDICES
APÊNDICE I – QUESTIONÁRIO DE PESQUISA I – DIRIGIDO AOS HEADS DE

FUNÇÕES DE CONTROLE
Questionário de Pesquisa I.
Mestrando: Gilberto Cabeleira Alves
Professor Orientador: Prof. Dra. Neusa Maria Bastos Fernandes dos Santos.
I. Observações e compromisso de sigilo:
O resultado da aplicação deste questionário irá constituir parte de um “estudo de

caso”, de uma dissertação para conclusão de Curso de Mestrado do Programa de
Mestrado em Ciências Contábeis e Financeiras pela PUC-Pontifícia Universidade
Católica de São Paulo.
A linha de pesquisa é: Controles Internos e Funções de Controles.
Os dados desta pesquisa, tais como nomes (nome da empresa), números, não
serão divulgados (serão mantidos como sigilosos). Somente terão acesso a estas
informações: o mestrando, o professor orientador e os membros integrantes da
“banca” (estes últimos caso venham a solicitar estas informações).
Somente integrarão o trabalho, as conclusões teóricas que puderem ser

extraídas das respostas obtidas.
Responder as questões é facultativo. Se respondido, o questionário deve ser

revisto e validado pelo membro mais sênior da função de controles no Banco.
Se possível retornar o questionário até o dia 23 de Outubro de 2009.

128
II. Dados da Área, Respondente e Data:
Área:
Responsável:
Respondentes:
Data:
III. Questionário:
1. Anexar Organograma (descrever desde o CEO até as funções

operacionais da área, e número de colaboradores e seus cargos)
2. Descrever (em 20-25 linhas no máximo) um breve histórico da área.
3. Descrever (em 20-25 linhas no máximo) um breve histórico da função no
sistema financeiro nacional.
4. Missão da Área.
5. Anexar principais “Políticas e Procedimentos” internos da área.
6. Cite as principais atividades e “deliverables” da área.
7. Descreva (em até 25-30 linhas) a metodologia adotada pela área para
atendimento aos seus objetivos.
8. Faça seus comentários sobre possíveis sinergias que poderiam advir de
uma abordagem integrada com outras funções de controle.
9. Descreva se uma abordagem integrada com outras funções de controle
representaria um valor agregado importante para sua área.
10. Cite (5-10 conceitos) os principais conceitos (conceitos teóricos
aplicados à sua função).
11. Cite os (5-10) principais princípios de atuação da área.
12. Cite (se aplicável) as principais normas e regulamentações que tratam
sobre a sua área de atuação.
13. Informe sobre se não houvesse requisito regulamentar, se haveria a sua
função no Banco. Descreva o motivo.
14. Informe sobre se sua função de controle atua mais para: i) eficiência e
efetividade operacional do Banco; ii) Conformidade com leis e
regulamentos; iii) Qualidade dos reportes financeiros.
129
15. Cite e ranqueie por ordem de importância os tipos de risco a que sua
função se propõe mitigar: por exemplo: i) risco de reputação; ii) risco
estratégico e de negócios; iii) risco de fraudes; iv) risco de falhas em
sistemas; v) riscos de processos falhos; vi) risco de continuidade
operacional do negócio; vii) risco de crédito; viii) risco de mercado, etc..)
16. Cite outras áreas de controle que julga importante (se possível coloque
em ordem de importância – se assim o fizer, informe que está ordenado).
17. Descreva a interação da área de controle sob a sua responsabilidade
com outras áreas de controle.
18. Cite principais “feedbacks” recebidos das áreas de negócios ou
gerência sênior do Banco.
19. Descreva como a área agrega valor para o Banco como um todo.
20. Como você avalia a efetividade de sua área, no contexto do Banco como
um todo.
21. Descreva quem são os principais “stakeholders” da área.
22. Classifique os “stakeholders” segundo a sua percepção de importância
(em termos de utilidade da área para aquele “stakeholder”).
23. Descreva as principais informações utilizadas pela área (para
planejamento, para execução e para monitoramento);
24. Descreva a relação que a sua área mantém com cada um dos
“stakeholders”.
25. Descreva como grupo de “stakeholder” recebe o resultado dos trabalhos
de sua área (por exemplo: via apresentação mensal, via demonstrações
financeiras, via Comitê “X”).
26. Descreva qual o impacto de sua área para os negócios (impacto direto
ou indireto).
27. Descreva como sua área contribui para que o Banco atinja seus
objetivos estratégicos.
28. Cite os departamentos/áreas com que a sua função de controle interage
com maior freqüência (informe em ordem de importância para a
consecução dos objetivos da área).
29. Descreva brevemente como ocorre a interação com estas áreas.
30. Descreva como você planeja suas atividades, principais informações
utilizadas, e como se dá a aprovação do seu plano de trabalho.
130
31. Descreva como o plano da área é acompanhado durante o período.

32. Cite os 5-10 principais riscos identificados pela sua área;
33. Descreva de forma breve estes riscos.
34. Descreva como sua área contribui para a redução destes riscos.
35. Cite os 5-10 principais controles em funcionamento no Banco, para a
mitigação dos riscos identificados.
36. Descreva quais os principais requisitos para trabalhar na sua área
(formação acadêmica, experiências, habilidades técnicas e
comportamentais).
37. Apresente um “mini-curriculum” das pessoas-chave da sua área (cite o
nome do cargo indicando-o no organograma apresentado, formação
acadêmica, principais experiências, habilidades técnicas e
comportamentais).
38. Descreva o que é “sucesso” para a sua área?
39. Descreva os 5-10 principais requisitos/condições para que sua área
obtenha o sucesso;
40. Você julga que “fatores culturais” são importantes? Se, sim, descreva
como.
41. Faça uma breve avaliação sobre se a cultura existente contribui para o
sucesso da sua área. Descreva (se houverem) pontos positivos e pontos
negativos.
42. Cite os principais resultados da área nos últimos 2-3 anos. Se possível,
apresente dados estatísticos que exemplifiquem estes resultados.
43. A área opera com recursos suficientes para atingir seus objetivos?
44. Descreva as principais ferramentas utilizadas pela sua área para a
consecução de seus objetivos (por exemplo: Sistema para captura de
eventos; questionários/reuniões de auto-avaliação de riscos;
mapeamentos de processos; checklists; certificados periódicos;
treinamentos presenciais aos participantes; treinamentos “on line” aos
participantes, etc..).
45. Quais os principais desafios atuais para a área?
46. Quando comparadas às funções exercidas pela sua área, com áreas
funções semelhantes em outros bancos, quais as principais
conclusões?
131
47. Governança: Como assuntos importantes da área são “escalados” para

a alta administração.
48. Descreva os principais produtos e informações geradas pela sua área.
132
ANEXO II - QUESTIONÁRIO DE PESQUISA II – DIRIGIDO A GERENTES

SENIORES DA INSTITUIÇÃO.
Mestrando: Gilberto Cabeleira Alves – Gerente de Contabilidade
Professor Orientador: Prof. Dra. Neusa Maria Bastos Fernandes dos Santos.
I. Observações e compromisso de sigilo:
O resultado da aplicação deste questionário irá constituir parte de um “estudo de

caso”, de uma dissertação para conclusão de Curso de Mestrado do Programa de
Mestrado em Ciências Contábeis e Financeiras pela PUC-Pontifícia Universidade
Católica de São Paulo.
A linha de pesquisa é: Controles Internos e Funções de Controles.
Os dados desta pesquisa, tais como nomes (inclusive nome Banco e nome dos
respondentes), números, não serão divulgados (serão mantidos como sigilosos).
Somente terão acesso à estas informações: o mestrando, o professor orientador e
os membros integrantes da “banca” (estes últimos caso venham a solicitar estas
informações).
Somente integrará o trabalho, as conclusões teóricas que puderem ser extraídas

das respostas obtidas.
Muito apreciaria receber o questionário respondido até o dia 19 de Fevereiro

(próxima – Quinta-feira).
Desde já agradeço.
133
1 – Como você percebe a cultura geral de controles da organização? (marque um “x”

na opção considerada adequada)
# Descrição
( ) 1 Excessivo / Superdimensionado / Destruíndo Valor (eficaz / ineficiente)
( ) 2 Otimizado / Adequado ao perfil de riscos / agregando valor (eficaz /
eficiente)
( ) 3 Não adequado / subdimencionado / pouco ou nenhum valor agregado
(ineficaz)
Comentários / oportunidades de melhorias (se julgar apropriado):
2 – Quanto do seu tempo você dedica a atividades de controle ? (marque um “x” na

opção considerada adequada):
# Descrição
( ) 1 Até 10%
( ) 2 Até 30%
( ) 3 Até 50%
( ) 4 Até 70%
( ) 5 Até 100%
134
3 – Quanto do tempo da área sob sua responsabilidade dedica a execução de

atividades de controle? (marque um “x” na opção considerada adequada):
# Descrição
( ) 1 Até 10%
( ) 2 Até 30%
( ) 3 Até 50%
( ) 4 Até 70%
( ) 5 Até 100%
4 – Você considera que o tempo dedicado é adequado?
( ) Sim
( ) Não
5 – Você considera que possui recursos necessários para a gestão dos controles
internos?
( ) Sim
( ) Não
135
6 – Você interage com outras funções de controle dentro da instituição? (marcar com
“x” com quem você costuma interagir (pelo menos uma interação por ano) e ordenar
por “ordem de impacto” percebido aos processos sob sua responsabilidade).
( ) 1 Auditoria Interna
( ) 2 Função de Compliance
( ) 3 Função de Gestão de Riscos Operacionais
( ) 4 Revisores de Processos
( ) 5 SOX Compliance
( ) 6 Auditores Externos
( ) 7 Segurança das Informações
( ) 8 Outros (Descrever.............)
7 – Como você classifica sua interação com as funções de controle existentes no

banco?
# Descrição Resposta
Classifique conforme a
legenda (*)
1 Auditoria Interna ( )
2 Função de Compliance ( )
3 Função de Gestão de Riscos Operacionais ( )
4 Revisores de Processos ( )
5 SOX Compliance ( )
6 Auditores Externos ( )
7 Segurança das Informações ( )
8 Outros (Descrever.............) ( )
(*) 1 – Eficaz / Ineficiente (atende objetivo, mas a um custo excessivo); 2 – Eficaz / Eficiente
(atende objetivo a um custo adequado); 3 – Ineficaz (não atende objetivo); 4 – sem opinião
(não tenho nenhuma interação).
8 – Como você classifica o nível existente de conscientização através de programas

de treinamento e conscientização sobre os assuntos abaixo:
136
legenda (*)
1 Compliance ( )
2 Gestão de Riscos Operacionais ( )
3 Sarbanes – Oxley ( )
4 Controles Internos ( )
(*) 1 – Eficaz / Ineficiente; 2 – Eficaz / Eficiente; 3 – Ineficaz; 4 – sem opinião.
9 – Como você percebe a interação existente entre as funções de controle?
( ) 1 Não percebo nenhuma interação;

( ) 2 Acho que ocasionalmente fazem trabalhos redundantes, causando
impacto além do necessário em minha área, assim como existem
GAPs de assuntos não cobertos;
( ) 3 Acho que cada um faz o seu trabalho – mas existem GAPS de
assuntos de riscos e controles não cobertos;
( ) 4 Considero que o nível de interação é adequado (existe coordenação
entre as áreas de controles e substancialmente não existem GAPs
relevantes não cobertos por estas funções).
Se você considera que existem GAPs não cobertos pelas funções de controle, favor
descrevê-los abaixo:
137
10 – O que você espera como valor agregado das atividades executadas pelas
funções de controle (ordene por ordem de importância):
# Descrição Marcar e ordenar por ordem de importância;

1 Auditoria Interna ( ) Análise Crítica (construtiva) Independente
( ) Direcionamento para questões importantes
( ) Consultoria em assuntos relacionados a
controles
( ) Certificação independente da eficácia
operacional;
( ) Certificação independente da conformidade
com requisitos importantes (regulamentares e do
grupo);
( ) Revisão dos fluxos de informações em relação
ao processo de reporte financeiro;
( )Fazer transparecer à gerência senior as
fraquezas de controles da área;
( ) evitar surpresas (antecipar problemas futuros)
relacionados a controles;
( ) Conscientização sobre assuntos relevantes de
controles;
( ) Função de monitoramento (com o reporte e
governança) por sí contribui para a cultura geral
de controles inibindo a incidência de falhas e erros
(mesmo que as atividades por si não identifiquem
falhas e erros);
( ) Contribui para reduzir o tempo que eu mesmo,
como gestor, dedicaria ao assunto controles
internos, liberando meu tempo para assuntos mais
relevantes;
( ) Cumprir requerimentos regulamentares;
( ) Outro: ..................
2 Função de Compliance ( ) Análise Crítica (construtiva) Independente
controles
138
operacional;
grupo);
controles;
falhas e erros);
relevantes;
( ) Outro: ..................
3 Função de Gestão de Riscos ( ) Análise Crítica (construtiva) Independente
Operacionais ( ) Direcionamento para questões importantes
controles
operacional;
grupo);
139

controles;
falhas e erros);
relevantes;
( ) Outro: ..................
4 Revisores de Processos ( ) Análise Crítica (construtiva) Independente
controles
operacional;
grupo);
controles;
140
falhas e erros);
relevantes;
( ) Outro: ..................
5 SOX Compliance ( ) Análise Crítica (construtiva) Independente
controles
operacional;
grupo);
controles;
falhas e erros);
relevantes;
( ) Outro: ..................
6 Auditores Externos ( ) Análise Crítica (construtiva) Independente
141

controles
operacional;
grupo);
controles;
falhas e erros);
relevantes;
( ) Outro: ..................
7 Segurança das Informações ( ) Análise Crítica (construtiva) Independente
controles
operacional;
grupo);
142

controles;
falhas e erros);
relevantes;
( ) Outro: ..................
8 Outros (Descrever.............) ( ) Análise Crítica (construtiva) Independente
controles
operacional;
grupo);
controles;
143

falhas e erros);
relevantes;
( ) Outro: ..................
11 – Você considera que a atuação de monitoramento destas funções de controle

substitui a necessidade de execução de atividades de controle? (por exemplo: “se
existe a área de controles internos ..., eu não preciso realizar o controle, por que
aquela área é a responsável final”)
( ) Sim
( ) Não
12 – Você considera que a atuação de monitoramento destas funções de controle

substitui a função de monitoramento gerencial (por exemplo, “se existe a função de
controle ..., eu não preciso dedicar minha atenção ao assunto, pois no fim são eles
mesmos os responsáveis)?
( ) Sim
( ) Não
13 – Você considera que existe um adequado balanceamento entre a execução

propriamente dita dos controles e as atividades de monitoramento?
( ) Sim
( ) Não
144
14 – Como você percebe o nível de governança (processo de comunicação, reporte e

tomada de decisão) decorrente dos trabalhos realizados pelas funções de controle?
legenda (*)
1 Auditoria Interna ( )
2 Função de Compliance ( )
3 Função de Gestão de Riscos Operacionais ( )
4 Revisores de Processos ( )
5 SOX Compliance ( )
6 Auditores Externos ( )
8 Outros (Descrever.............) ( )
(*) 1 – Eficaz / Ineficiente (destroi valor); 2 – Eficaz / Eficiente (agrega valor); 3 – Ineficaz; 4
– sem opinião (pouco ou nenhum valor agregado).
15 – Você considera que as funções de controle atuam direcionadas a questões

relevantes para a consecução de seus objetivos?
# Descrição Resposta: Sim – não

1 Auditoria Interna ( ) Sim ( ) não
2 Função de Compliance ( ) Sim ( ) não
3 Função de Gestão de Riscos Operacionais ( ) Sim ( ) não
4 Revisores de Processos ( ) Sim ( ) não
5 SOX Compliance ( ) Sim ( ) não
6 Auditores Externos ( ) Sim ( ) não
7 Segurança das Informações ( ) Sim ( ) não
8 Outros (Descrever.............) ( ) Sim ( ) não
16 – Você considera que as funções de controle possuem recursos (humanos,

tecnológicos) adequados para a consecução de seus objetivos?

145

17 – Você considera que a atuação das funções de controle nos últimos dois anos
contribuiu efetivamente para o ambiente geral de controles da Instituição?

18 – Você considera que os benefícios econômicos trazidos pelas funções de controle

superam os seus custos?
# Descrição Sim – não

146
19 – Você considera que estas áreas existiriam, caso não fossem requerimentos
regulatórios ou políticas do Grupo?
legenda (*)
1 Auditoria Interna ( ) Sim ( ) Não
2 Função de Compliance ( ) Sim ( ) Não
3 Função de Gestão de Riscos Operacionais ( ) Sim ( ) Não
4 Revisores de Processos ( ) Sim ( ) Não
5 SOX Compliance ( ) Sim ( ) Não
6 Auditores Externos ( ) Sim ( ) Não
7 Segurança das Informações ( ) Sim ( ) Não
8 Outros (Descrever.............) ( ) Sim ( ) Não
20 – Quem segundo sua percepção (qual o stakeholder) que se beneficia com a

atuação destas áreas de controles?
# Descrição Ordene por ordem de importância aqueles

stakeholder que você julga beneficiado
1 Auditoria Interna ( ) Acionistas ( ) Possíveis Investidores
( ) Reguladores ( ) Administração Local
( ) Clientes ( ) Funcionários
( ) A sociedade ( ) A matriz do Grupo
( ) Outro: ..................
2 Função de Compliance ( ) Acionistas ( ) Possíveis Investidores
( ) Outro: ..................
3 Função de Gestão de Riscos ( ) Acionistas ( ) Possíveis Investidores
Operacionais ( ) Reguladores ( ) Administração Local
( ) Outro: ..................
4 Revisores de Processos ( ) Acionistas ( ) Possíveis Investidores
147

( ) Outro: ..................
5 SOX Compliance ( ) Acionistas ( ) Possíveis Investidores
( ) Outro: ..................
6 Auditores Externos ( ) Acionistas ( ) Possíveis Investidores
( ) Outro: ..................
7 Segurança das Informações ( ) Acionistas ( ) Possíveis Investidores
( ) Outro: ..................
8 Outros (Descrever.............) ( ) Acionistas ( ) Possíveis Investidores
( ) Outro: ..................
21 - Onde você considera melhor alocada a responsabilidade por monitoramento das

seguintes funções de controles?
# Descrição Sinalize onde é melhor posicionada

1 Auditoria Interna – Local ( ) Função Independente – reporte direto ao
conselho de administração ou “board”;
( ) Reporte à Diretoria de Riscos;
( ) Reporte à Diretoria de Finanças;
( ) Reporte à Diretoria de IT e Operações;
( ) Reporte à Tesouraria;
( ) Reporte à outra área no banco:
148
.........................
2 Função de Compliance ( ) Função Independente – reporte direto ao

.........................
3 Função de Gestão de Riscos ( ) Função Independente – reporte direto ao

Operacionais conselho de administração ou “board”;
.........................
4 Revisores de Processos ( ) Função Independente – reporte direto ao

.........................
5 SOX Compliance ( ) Função Independente – reporte direto ao

149
.........................
6 Auditores Externos ( ) Função Independente – reporte direto ao

.........................
7 Segurança das Informações ( ) Função Independente – reporte direto ao

.........................
8 Outros (Descrever.............) ( ) Função Independente – reporte direto ao

.........................
22 – Como você considera que estas funções podem agregar maior valor? (ordene por
ordem de importância)
# Descrição
( ) Centralizando processos de avaliação de riscos (matrizes de riscos comuns);
( ) Centralizando processos de testes independentes;
150
( ) Utilização de questionários/checklists/certificados comuns unificados;

( ) Utilização de abordagem única para reporte e classificação dos issues
identificados;
( ) Melhor coordenação das datas dos trabalhos.
( ) Outros .............
23 – Quanto do tempo de sua área é dedicado em atender às funções de controle?
# Descrição
( ) Até 10%
( ) Até 30%
( ) Até 50%
( ) Até 70%
( ) Até 100%
24 – Você considera adequado o tempo destinado ao atendimento às funções de

controle?
# Descrição
( ) Sim
( ) Não
25 - Qual das abordagens abaixo você considera mais efetiva? (ordene por valor de
importância)
# Descrição
( ) Auto-avaliação de riscos;
( ) Checklists de controles;
( ) Políticas e procedimentos bem definidos;
( ) Certificação pelas próprias áreas de seus controles;
( ) Monitoramento contínuo da execução dos controles;
( ) Reuniões de “risk and control self assessment” com participação de funções
de controles;
( ) Mapeamento de processos;
( ) Estatística de problemas e eventos - qualitativo;
( ) Estatística de perdas – quantitativo;
151
( ) Dashboard de Controles;
( ) Reporte estruturado para comitês;
( ) Mini-Auditorias realizadas pela própria área;
( ) Mini-Auditorias realizadas por área independente (por alguma função de
controle);
( ) Auditoria Independente (interna ou externa);
( ) Reuniões de acompanhamento – departamental;
( ) Reunião de acompanhamento – um a um (gerente e subordinado).
( ) Outros....
26 - Das abordagens abaixo quais as que estão efetivamente em uso na sua área? E
freqüência.
Sim ou não? Descrição Freqüência (ver

legenda)*
( ) Sim ( ) Não Auto-avaliação de riscos;
( ) Sim ( ) Não Checklists de controles;
( ) Sim ( ) Não Políticas e procedimentos bem definidos;
( ) Sim ( ) Não Certificação pelas próprias áreas de seus
controles;
( ) Sim ( ) Não Monitoramento contínuo da execução dos
controles;
( ) Sim ( ) Não Reuniões de “risk and control self
assessment” com participação de funções
de controles;
( ) Sim ( ) Não Mapeamento de processos;
( ) Sim ( ) Não Estatística de problemas e eventos -
qualitativo;
( ) Sim ( ) Não Estatística de perdas – quantitativo;
( ) Sim ( ) Não Dashboard de Controles;
( ) Sim ( ) Não Reporte estruturado para comitês;
( ) Sim ( ) Não Mini-Auditorias realizadas pela própria área;
( ) Sim ( ) Não Mini-Auditorias realizadas por área
independente (por alguma função de
controle);
( ) Sim ( ) Não Auditoria Indepente (interna ou externa);
152
( ) Sim ( ) Não Reuniões de acompanhamento –

departamental;
( ) Sim ( ) Não Reunião de acompanhamento – um a um
(gerente e subordinado).
( ) Sim ( ) Não Outros....
(*) Legenda: 1 – diária; 2 – Semanal; 3 – Mensal; 4 – Trimestral; 5 – Semestral; 6 – Anual; 7-
a cada 2-3 anos.
27 - Como você classifica a efetividade das abordagens em uso?
Descrição Análise
Auto-avaliação de riscos; ( ) Eficaz / Ineficiente;
( ) Eficaz / Eficiente;
( ) Ineficaz
Checklists de controles; ( ) Eficaz / Ineficiente;
( ) Ineficaz
Políticas e procedimentos bem definidos; ( ) Eficaz / Ineficiente;
( ) Ineficaz
Certificação pelas próprias áreas de seus controles; ( ) Eficaz / Ineficiente;
( ) Ineficaz
Monitoramento contínuo da execução dos controles; ( ) Eficaz / Ineficiente;
( ) Ineficaz
Reuniões de “risk and control self assessment” com ( ) Eficaz / Ineficiente;
participação de funções de controles; ( ) Eficaz / Eficiente;
( ) Ineficaz
Mapeamento de processos; ( ) Eficaz / Ineficiente;
( ) Ineficaz
Estatística de problemas e eventos - qualitativo; ( ) Eficaz / Ineficiente;
( ) Ineficaz
Estatística de perdas – quantitativo; ( ) Eficaz / Ineficiente;
153
( ) Ineficaz
Dashboard de Controles; ( ) Eficaz / Ineficiente;
( ) Ineficaz
Reporte estruturado para comitês; ( ) Eficaz / Ineficiente;
( ) Ineficaz
Mini-Auditorias realizadas pela própria área; ( ) Eficaz / Ineficiente;
( ) Ineficaz
Mini-Auditorias realizadas por área independente; ( ) Eficaz / Ineficiente;
( ) Ineficaz
Auditoria Indepente (interna ou externa); ( ) Eficaz / Ineficiente;
( ) Ineficaz
Reuniões de acompanhamento – departamental; ( ) Eficaz / Ineficiente;
( ) Ineficaz
Reunião de acompanhamento – um a um (gerente e ( ) Eficaz / Ineficiente;
subordinado). ( ) Eficaz / Eficiente;
( ) Ineficaz
Outros.... ( ) Eficaz / Ineficiente;
( ) Ineficaz
Legenda: 1 – Eficaz / Ineficiente (cumpre o objetivo, portanto é eficaz, mas demanda
recursos além do razoável, portanto ineficiente, destruindo valor); 2 – Eficaz / Eficiente
(cumpre o objetivo, portanto é eficaz, e demanda os recursos necessários e suficientes,
portanto de forma eficiente, agregando valor); 3 – Ineficaz (não cumpre o objetivo, pois não
chega a tocar nas questões importantes; utiliza-se de recursos insuficientes para cumprir
seu objetivo).
28 - Você considera que um “mix” adequado de abordagens tem sido utilizada com o
fim de mitigar os riscos da área?
( ) Sim
( ) Não
154
29 – Você considera que possui recursos (processos, pessoas e sistemas) adequados

para o monitoramento dos controles internos?
( ) Sim
( ) Não
30 – Você considera que as responsabilidades pela execução e monitoramento dos

controles internos estão adequadamente atribuídas e distribuídas?
( ) Sim
( ) Não
31 – Você considera que é incentivado a ser transparente nas comunicações sobre

falhas em controles internos?
( ) Sim
( ) Não
32 – Você considera que a linguagem, vocabulário utilizado por estas funções de risco
podem causar distorções à alta administração sobre os riscos reais a que a
instituição está exposta? (Por exemplo: i )quando a auditoria interna classifica um
“issue” como de alto risco (e existe a percepção da administração de que o “issue”
não é realmente um alto risco; ii) quando fazemos a avaliação de riscos operacionais
155
e classificamos como um risco sendo “C” – estamos refletindo apropriadamente a

posição de risco?):
( ) Sim
( ) Não
Comentários (se julgar apropriado):
33 – Você considera que existem “issues” reportados em excesso (pelas diversas

funções de controles) e para diversos comitês fazendo-os parecer mais importantes
do que realmente são? Podendo o processo de reporte, estar afetando de forma
inadequada a percepção da administração quanto a real criticidade do assunto?
Portanto, afetando a priorização das ações para resolução destes itens?
( ) Sim
( ) Não
34 – A existência de “issues” em aberto e reportados pelas áreas de controles afeta a

avaliação de sua área?
( ) Sim
( ) Não
35 – Se sim (na pergunta anterior), o efeito na avaliação é igual independentemente da

função de controle onde o “issue” foi levantado? (por exemplo, se a questão é
levantada pela função de compliance, não é dado o mesmo nível de priorização do
que se a mesma questão fosse levantada pela Auditoria Interna ou Externa).
( ) Sim
156
( ) Não
Explique (se julgar apropriado):
36 – Na implementação das ações de melhoria / mitigação de riscos, são priorizadas

as fraquezas de controles em aberto e reportadas como “high risk” pelas funções de
controle?
( ) Sim
( ) Não
37 – A estrutura de comitês existente para tratar de questões de riscos é adequada

para capturar e filtrar as questões importantes sobre controles internos, assegurando
que as questões relevantes estão adequadamente levadas ao conhecimento em
tempo para a alta administração?
( ) 1 Sim
( ) 2 Não
38 – Pesquisas recentes na área de controles internos e governança apresentam as

conclusões abaixo. Sinalize se no seu entendimento estas conclusões são
apropriadas.
( ) Concordo Falta integração às funções de controles.

( ) Concordo parcialmente
( ) Discordo
( ) Não tenho opinião.
( ) Concordo Informações importantes sobre riscos não
( ) Concordo parcialmente chegam ao conhecimento da alta
157
( ) Discordo administração, ou chegam com distorções

( ) Não tenho opinião. significativas.
( ) Concordo Modelos (quantitativos e qualitativos) para
( ) Concordo parcialmente captura dos riscos são inadequados.
( ) Discordo
( ) Concordo Métricas efetivas para acompanhamento da
( ) Concordo parcialmente execução dos planos de negócios não estão
( ) Discordo definidas.
( ) Concordo Divulgações sobre sistemas de gestão e riscos
( ) Concordo parcialmente deixam a desejar.
( ) Discordo
( ) Concordo Sistema de remuneração não está relacionado
( ) Concordo parcialmente à estratégia, apetite de riscos e seus objetivos
( ) Discordo de longo prazo.
( ) Concordo Desbalanceamento entre “front Office” e
( ) Concordo parcialmente funções de “controle”. As funções de controle
( ) Discordo ficavam de fora das questões importantes
( ) Não tenho opinião. necessário para que pudessem fazer suas
análises.
( ) Concordo Falta de independência das funções de
( ) Concordo parcialmente controle.
( ) Discordo

PEsquisa de SOX

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

PEsquisa de SOX

Enviado por

Direitos autorais:

Formatos disponíveis

PONTIFÍCIA UNIVERSIDADE CATÓLICA DE SÃO PAULO

GILBERTO CABELEIRA ALVES

UM ESTUDO SOBRE A ESTRUTURAÇÃO DE FUNÇÕES DE

MESTRADO EM CIÊNCIAS CONTÁBEIS E FINANCEIRAS

PONTIFÍCIA UNIVERSIDADE CATÓLICA DE SÃO PAULO

GILBERTO CABELEIRA ALVES

UM ESTUDO SOBRE A ESTRUTURAÇÃO DE FUNÇÕES DE

Dissertação apresentada à Banca Examinadora da

Dedico esta Dissertação

À Deus, que me protege e me guia.

Aos professores doutores Jairo da Rocha Soares e Carlos Hideo Arima,

À Profª. Juraci Beraldi, pela amizade e apoio na leitura crítica do texto.

Você deve ser a mudança que você quer ver no mundo.

Líder político e espiritual indiano (1869 - 1948)

Palavras-chave: Funções de Controle – Gestão de Riscos Operacionais – Controles

Keywords: Control Functions – Operational Risk Management – Internal Controls –

4. RESULTADO (1): NÍVEL DE INTEGRAÇÃO ENTRE AS FUNÇÕES DE 64

4.10. Adequação da estrutura de comitês para tratar questões de controles 75

5. RESULTADO (2): AS FUNÇÕES DE CONTROLE EM FUNCIONAMENTO 77

6. RESULTADO (3): ANÁLISE COMPARATIVA DAS ABORDAGENS EM 91

7. CONSIDERAÇÕES FINAIS........................................................................ 113

Figura 1 Cubo do COSO………………………………………………………. 27

Figura 2 Três Pilares do Novo Acordo da Basiléia………………………….. 38

Figura 3 Gráfico de Distribuição de Perdas x Probabilidade de Perdas…. 42

Figura 4 Modelo de Análise de Riscos ao Processo de Reporte 47

Figura 5 Esquema Geral de Relacionamento entre as diferentes Funções 51

Quadro 1 Requisitos da Resolução CMN nº 2554/98................................. 30

Quadro 2 Principais requisitos da Lei Sarbanes Oxley (para o propósito 45

Quadro 3 Comparativo das Estruturas das Funções de Controle.............. 57

Quadro 4 Percepção sobre a Cultura Geral de Controle............................ 65

Quadro 5 Interação com as Funções de Controle Existentes..................... 66

Quadro 6 Interação entre as Funções de Controle .................................... 67

Quadro 7 Nível de governança das funções de controle ........................... 69

Quadro 8 Adequação de recursos para as funções de controle ................ 70

Quadro 9 Contribuição das funções de controle para o ambiente geral de 71

Quadro 10 Se existiriam tais áreas caso não fossem requerimentos 72

Quadro 11 Se o vocabulário utilizado por estas funções de risco podem 73

Quadro 12 Se os "issues" parecem mais importantes do que realmente e 74

Quadro 13 Se a estrutura de comitês existente para tratar de questões de 75

Quadro 14 Se falta integração às funções de controle .............................. 76

Quadro 15 Análise das funções de controle por habilidades requeridas e 88

Quadro 16 Contribuição de cada função de controle aos cinco elementos 91

Quadro 17 Nível de Integração entre as diferentes funções de controle..... 92

Quadro 18 Captura de Informações junto às áreas de negócios ................. 95

Quadro 19 Identificação e Avaliação de Riscos .......................................... 96

Quadro 20 Certificação da realização dos Controles Internos...................... 97

Quadro 21 Classificação dos Riscos............................................................ 98

Quadro 22 A quem são reportados os resultados das análises................... 99

Quadro 23 Participação de outras funções de controle................................ 100

Quadro 24 Benefícios de uma maior integração entre as funções de 101

Quadro 25 Porque não são aproveitadas as funções de controle para 102

Quadro 26 Impacto das áreas de negócios e operações............................. 104

Quadro 27 Componentes COSO e suas Oportunidades de Integração..... 111

LISTA DE ABREVIATURA E SIGLAS

AAA American Accounting Association

O tema deste estudo é a estruturação das funções de controle em uma

1.1. Problema de Pesquisa

O que se verificou ao longo dos anos na instituição financeira objeto do

problema: Como e por que integrar as funções de controle em instituições

1.2. Objetivos da Pesquisa

i) Identificar as principais funções de controle dentro de uma instituição

1.3. Justificativa do Tema escolhido e Demonstração de sua

Nos últimos anos regulamentações surgidas em tempos distintos resultaram

Este estudo, que é uma pesquisa do tipo exploratória se fundamenta num