Escolar Documentos
Profissional Documentos
Cultura Documentos
São Paulo
2010
1
SÃO PAULO
2010
2
BANCA EXAMINADORA
____________________________________________
____________________________________________
____________________________________________
3
à minha Família.
4
AGRADECIMENTOS
À minha família, em especial à minha esposa Eliza, ao meu filho Rafael e minha mãe
Alveni, por todo o amor, apoio e incentivo recebido.
À Profª. Drª. Neusa Maria Bastos Fernandes dos Santos, que me orientou neste
trabalho, pela sua dedicação, sabedoria e apoio oferecido para a elaboração deste
estudo.
Aos Professores do Programa, pelos ensinamentos e pela honra de tê-los tido como
professores.
Aos meus amigos, colegas e, em especial, aos profissionais do mercado que deram
suas valiosas contribuições como participantes no desenvolvimento deste estudo.
Mahatma Gandhi
RESUMO
Esta dissertação, um estudo de caso, tem por objetivo examinar funções de controle
em instituição financeira de grande porte no Brasil e responder a questão central:
como e por que integrar as funções de controle em instituições financeiras? O
estudo compreende análise dos conceitos, objetivos e abordagens adotadas pelas
funções: Controles Internos, Gestão de Riscos Operacionais e SOX Compliance.
Identifica-se o conceito de controles internos como sendo o fundamento das três
funções de controle em análise. A estrutura de melhores práticas do COSO –
Internal Control Integrated Framework é utilizada para comparar a atuação das três
funções. Entrevistas e questionários são utilizados para coleta de dados primários, e
análise documental e observação, para dados secundários. Respostas das áreas
participantes indicam que departamentos sujeitos a revisões pelas funções de
controle consideram a integração destas funções necessária. Análise dos objetivos
destas funções identifica que Gestão de Riscos Operacionais e SOX Compliance
possuem objetivos e enfoques diferentes, a primeira objetiva reduzir histórico de
perdas, a segunda, qualidade dos reportes financeiros, ambas reportam para
diretorias diferentes, possuem métricas de performance distintas e requerem
diferentes habilidades de seus profissionais. Comparação das práticas em uso
demonstra que estas funções adotam abordagens semelhantes, entretanto, não
integradas. São identificados inúmeros exemplos de oportunidades de integração,
tais como: implante de processos compartilhados para identificação e categorização
de riscos, monitoramento de controles e reporte. A completa integração em área
única mostrou-se não adequada, mas é aceito que a forma de atuação destas
funções precisa ser revista para que aproveitem oportunidades de integração.
ABSTRACT
This dissertation, a case study, has the purpose of examining the control functions in
a large financial institution in Brazil and answer the central question: how and why to
integrate the control functions in financial institutions? The study comprised the
analysis of concepts, mission and approaches in use by Internal Control, Operational
Risk Management and SOX Compliance functions. The internal control concept was
identified as being the foundation of the three control functions under analysis. The
framework of best practices in internal controls, COSO – Internal Control Integrated
Framework, is used to compare the way in which those functions operate. Interviews
and questionnaires are used to collect primary data and documental analysis and
observation for secondary data. Answers from the participating areas indicate that
the departments reviewed by the control functions consider integration as necessary.
By analyzing the purpose of those functions it is identified that Operational Risk
Management and SOX Compliance functions have different purposes and focuses,
the first aims at reducing the historic of losses and the later focuses on the quality of
financial reporting, both functions report to different directors, have different
performance measures and require different skill from their professionals.
Comparison of the practices in use indicates that those functions adopt similar
approaches; however, not integrated. It is identified a number of examples of
opportunities for integration, such as: implementing a shared process for identifying
and ranking risks, monitoring controls and reporting. The full integration within a
single department revealed to be not adequate, but it is accepted that those functions
need to be reviewed to take advantage of the integration opportunities.
SUMÁRIO
1. INTRODUÇÃO................................................................................................ 14
1.1. Problema de Pesquisa................................................................................. 14
1.2. Objetivos da Pesquisa.................................................................................. 15
1.3. Justificativa do Tema escolhido e Demonstração de sua Importância....... 15
1.4. Metodologia.................................................................................................. 16
1.5. Estrutura do Trabalho................................................................................... 17
2. REFERENCIAL TEÓRICO............................................................................. 19
2.1.Governança Corporativa............................................................................... 20
2.2. Gestão de Riscos......................................................................................... 22
2.3. Controles Internos ...................................................................................... 25
2.4. Compliance ................................................................................................ 33
2.5. Gestão de Riscos Operacionais ................................................................. 36
2.6. Sarbanes-Oxley .......................................................................................... 44
2.7. Integração nas funções de controles ......................................................... 50
3. ESTUDO DE CASO....................................................................................... 54
3.1.Características do Estudo............................................................................. 54
3.2. Características da Instituição Pesquisada.................................................... 56
3.3. Breve histórico das Funções de Controle na instituição............................... 58
3.4. Abordagem para Coleta e Análise das Evidências....................................... 60
REFERÊNCIAS................................................................................................... 117
APÊNDICES........................................................................................................ 127
10
LISTA DE FIGURAS
LISTA DE QUADROS
1. INTRODUÇÃO
Este estudo tem por objetivo geral verificar as razões e as formas pelas quais
as funções de controle dentro de uma instituição financeira de grande porte devem
buscar maior integração, para maior eficiência de seus controles internos, gestão de
riscos operacionais e conformidade com a Lei Sarbanes-Oxley.
Os objetivos específicos, por sua vez, são:
processo de certificação dos controles internos pelos CEO – Chief Executive Officers
e CFO – Chief Financial Officers das companhias. O Novo Acordo da Basiléia de
2004 e a Resolução do Conselho Monetário Nacional nº 3380/06 requerem que as
instituições financeiras estruturem uma função para a Gestão de Riscos
Operacionais.
Neste trabalho utiliza-se o vocábulo “estruturação”, tal como definido por
Coimbra (2007, p.21): “processo de estruturar, fornecer estrutura”. Por conseguinte,
entende-se “estrutura” como disposição e ordem dos elementos essenciais que
compõem um corpo concreto ou abstrato; organização das partes; reunião de
elementos que forma um todo e a sua inter-relação com este todo; e aquilo que dá
sustentação (concreta ou abstrata) a alguma coisa.
Hoje, funções de controle estão estabelecidas em resposta a estas
regulamentações, o que, em momento de expansão da economia e do crédito,
quase não foi objeto de questionamento. Contudo, numa época em que as
instituições precisam rever seus modelos de gestão, com a crise financeira
internacional que se instalou em 2007, estas estruturas de controle também são
objeto de questionamento. É neste contexto que o tema de estudo assume
relevância a todos os que fazem suas carreiras nestas funções de controle.
1.4. Metodologia
.
19
2. REFERENCIAL TEÓRICO
ganho máximo para riscos não financeiros é zero. A gestão de riscos financeiros é
parte do processo primário de um banco, enquanto gerenciamento de riscos não
financeiros não o é. Segundo Tillaart (2003, p.25) os modelos desenvolvidos para
mensuração de riscos operacionais, são falhos por que se baseiam em critérios
válidos para riscos financeiros sendo aplicados a riscos não financeiros, que
possuem características muito distintas.
A segregação dos tipos de riscos em financeiros e não financeiros é
importante no contexto deste trabalho o qual trata das funções de controle,
Controles Internos, Gestão de Riscos Operacionais e SOX Compliance, pois todas
estas funções se ocupam de riscos não financeiros.
Para cada categoria de riscos, diferentes técnicas e abordagens são
utilizadas para a sua gestão.
Como estudo feito por Tillaart (2003, p.102), embora os bancos sempre
tenham trabalhado com riscos, a gestão de riscos não tinha sido uma função ou
papel separado dentro de bancos até os anos 90. Gestão de riscos era
implicitamente parte do trabalho diário de todos. Informação sobre riscos não era
fornecida separadamente para a Diretoria Executiva. O desenvolvimento de métodos
para mensuração de riscos mudou o papel da gestão de riscos. Gerenciamento de
riscos se tornou um processo explícito em Bancos, com responsabilidades concretas
atribuídas a várias funções.
A gestão de riscos financeiros sempre esteve atrelada ao que se entende por
gerenciar uma instituição financeira, sendo uma disciplina fundamental nesta
atividade, enquanto a gestão de riscos não financeiros, diferentemente, somente
ganhou importância a partir dos eventos de quebras de bancos, notadamente do
Banco Barings, dos escândalos contábeis que culminaram na Lei Sarbanes-Oxley, e
se estruturaram primordialmente em resposta a requerimentos regulatórios.
A última tendência observada, principalmente após a crise de 2007, é de
centralização das responsabilidades pela gestão de riscos em uma função única
chamada CRO - Chief Risk Officer a qual passa a ter “cadeira” na Diretoria Executiva
das instituições.
25
Este tópico assume importância especial, no contexto deste estudo, uma vez
que o COSO - Internal Control Integrated Framework, apresentado de forma sumária
neste tópico, é utilizado neste trabalho como base para comparação das diferentes
funções de controle, quando as atividades realizadas por cada função de controle
são analisadas em termos de sua contribuição para os cinco componentes de um
sistema de controles internos definido pelo COSO.
É importante salientar que o conceito de “Controles Internos” é amplo, sendo
mais fácil exemplificar o que não é controle interno do que defini-lo, havendo
opiniões díspares acerca de seu real significado. Utilizaremos neste trabalho o
conceito de “controles internos” definido pelo COSO, uma vez que é o conceito mais
utilizado neste momento para fins de SOX Compliance. Não é objetivo deste estudo
um aprofundamento maior no conceito de “controles internos”. As correntes atuais
de administração e gestão de pessoas rechaçam a idéia de controle. A filosofia de
“comando e controle” é considerada ultrapassada, modernamente está em moda a
gestão por competências, o “empoderamento (empowerment)”, considerados
atualmente modelos estratégicos, vitais na era do conhecimento.
33
2.4. Compliance
que a nova
va regulamentação passa a ser analisada com maior rigor, e os desafios,
tanto conceituais, como técnicos e metodológicos, começam a emergir causando
incertezas sobre o melhor curso de ação a ser tomado.
A gestão de riscos operacionais não é uma ciência, as técnicas de
mensuração estão em desenvolvimento e se constituem em grande desafio para
todos aqueles envolvidos.
envolvidos A rigor o risco operacional com as técnicas disponíveis
ainda não pode ser medido com exatidão e depende de uma cultura bem
estabelecida de controles
ntroles internos e transparência,
transparência, métricas qualitativas podem ser
utilizadas como suporte auxiliar.
auxiliar Tillaart (2003) questiona que as abordagens
quantitativas foram desenvolvidas tomando por base premissas que funcionam para
os “riscos financeiros” (risco de
de crédito, mercado e liquidez), entretanto, tais
premissas não funcionam para riscos não financeiros (como o Risco Operacional). A
instituição objeto do estudo, conforme apresentado no tópico 5.5., está em fase de
desenvolvimento de uma abordagem para mensuração avançada de capital para
fazer frente às perdas operacionais e está se defrontando com dificuldades que
confirmam os entendimentos de Tillaart
T (2003).
taxas de captação mais competitivas e ii) poderem alocar menos capital do que seus
concorrentes.
Estudos têm sido realizados no Brasil sobre o tema Gestão de Riscos
Operacionais, destaca-se dentre outros estudos, um documento emitido em 2006,
pelo Grupo de Trabalho de Melhores Práticas da Federação Brasileira de Bancos -
FEBRABAN, intitulado Melhores Práticas na Gestão do Risco Operacional, o qual
tomou por base outro documento importante emitido em 2003 pelo Basel Committee
on Banking Supervision (Comitê da Basiléia), intitulado Sound Practices for the
Management and Supervision of Operational Risk.
Entre trabalhos acadêmicos recentes sobre a Gestão de Riscos Operacionais
no Brasil destaca-se o trabalho realizado por Coimbra (2007), um estudo de caso,
que teve como foco a forma como as instituições financeiras estruturam suas
funções de Gestão de Riscos Operacionais, o qual apresenta suas considerações
finais demonstrando como fatores condicionantes da estrutura organizacional da
Área de Gestão de Riscos Operacionais, a Estratégia, o Ambiente Externo,
Tecnologia, Fator Humano e Tamanho. Com relação à formalização da estrutura de
gestão, o autor também encontrou no caso analisado elementos que confirmam a
literatura disponível quanto à forma de estruturação da gestão de riscos
operacionais, as quais prevêem: i) a subordinação da gestão de riscos operacionais
ao Diretor do Departamento de Gestão de Risco e Compliance (equivalente ao Chief
Risk Officer); ii) políticas que descrevem as atribuições de gestão de risco
operacional permeadas nas demais unidades organizacionais; iii) atribuições da área
de Gestão de Riscos Operacionais que seriam: coleta de dados; medição e análise
de riscos operacionais; relação com demais áreas e órgãos externos;
desenvolvimento de políticas, práticas e tecnologias; disseminar as melhores
práticas; assegurar consistência; iv) necessidade de Comitê; v) comunicação com a
alta administração; vi) descentralização de atividades aos gestores das áreas de
negócios; vii) pessoal com perfil analítico e quantitativo. As análises realizadas no
tópico 5.5 deste estudo confirmam os entendimentos de Coimbra (2007).
Outro estudo recente foi realizado por Camazano (2007), o qual teve por
objetivo de pesquisa responder questão sobre a existência de convergência entre o
marco regulatório do Comitê da Basiléia para o gerenciamento do risco operacional
versus as exigências impostas pelo Sarbanes-Oxley Act e confirmar se a Lei
Sarbanes-Oxley se caracteriza como uma contribuição ao gerenciamento do risco
41
2.6. Sarbanes-Oxley
Art Descrição
“Disclosure Certificate” (certificado de divulgação) a ser assinado pelo CFO-Chief Financial
Officer (Diretor Financeiro) e pelo CEO-Chief Executive Officer (Executivo Principal). Este
certificado cobre:
• a revisão das informações financeiras;
302
• sua acurácia;
• apresentação justa das informações financeiras;
• controles internos relacionados às informações divulgadas;
• controles internos contábeis.
Relatório Anual da Administração sobre Controles Internos. Uma avaliação da administração
404
sobre a efetividade dos controles internos sobre o processo de reporte financeiro.
Requer que o CFO e o CEO certifiquem as informações periódicas encaminhadas à SEC que
906
incluam demonstrações financeiras.
3. ESTUDO DE CASO
condições especiais para testar a teoria acima exposta deste estudo, pois a
instituição escolhida é um caso típico de instituição que, em resposta a
requerimentos regulatórios, desenvolveu estruturas independentes para a gestão de
controles internos, gestão de riscos operacionais e conformidade com a Lei a Lei
Sarbanes-Oxley. A análise da forma como foram estruturadas estas funções nesta
instituição, dos motivos pelos quais foi feita esta opção e das abordagens em uso
por estas estruturas em comparação com a estrutura de melhores práticas do
COSO, irá permitir responder a questão de pesquisa: como e porque integrar as
funções de controle em instituições financeiras de grande porte?
É entendimento que as conclusões que puderam ser extraídas deste caso
particular poderão ser úteis na estruturação de funções controles em instituições
financeiras de grande porte. As instituições financeiras podem se diferenciar em
inúmeros aspectos, tamanho, nicho de mercado a que se destina atender,
abrangência geográfica de sua atuação, forma de distribuição de seus canais de
venda, tipos e complexidade de produtos, filosofia de gestão, etc. Entretanto, os
requerimentos regulatórios relacionados a Controles Internos, Gestão de Riscos
Operacionais e Lei Sarbanes-Oxley são os mesmos para os diferentes tipos de
instituição financeira.
O produto final é uma análise crítica sobre como foram implementadas as
estruturas de controles internos, gestão de riscos operacionais e de conformidade
com a Lei Sarbanes-Oxley, a qual embora tendo sido realizada em uma única
instituição financeira, deverá ser útil a todos os profissionais envolvidos na
implementação destas estruturas, assim, permitindo generalizações, mas sempre
com algum esforço do leitor em traduzir as particularidades do seu caso específico
vis a vis as particularidades do caso analisado. Esta análise resultará em hipóteses e
proposições pertinentes a inquirições adicionais.
Mapeamento de Processos;
Certificados/checklists trimestrais;
Chief Executive Officer; 8 (full time) Participação em Comitê de Produtos e Riscos; Sistemas de Prevenção à
1 Compliance
Função de Compliance 40 focais. lavagem de dinheiro
Captura de todos os eventos de riscos de compliance junto à estrutura
de focais.
Mini-auditorias
Controles Internos / Micro-informática para
Reporte à Diretoria de Certificados/checklists trimestrais
2 Revisores de 15 geração dos
Operações
Processos certificados/checklists
Definição de Políticas e Procedimentos de Gestão de Riscos
Operacionais.
Mapeamento de processos;
Respostas obtidas:
Observa-se que do total 29% dos respondentes entendem que a cultura geral
de controles na instituição objeto do estudo é de uma atenção excessiva aos
controles. Este percentual é de 44% pelas áreas de negócios, 30% pelas áreas de
riscos e de 20% pelas áreas de suporte.
Respostas obtidas:
Total
Áreas de Área de
Total Área de Riscos
Suporte Negócios
Eficaz/Ineficiente 7 7% 2 5% 5 19% 0 0%
Eficaz/Eficiente 69 72% 31 72% 21 78% 17 65%
Ineficaz 12 13% 6 14% 1 4% 5 19%
Sem Opinião 8 8% 4 9% 0 0% 4 15%
Total 96 100% 43 100% 27 100% 26 100%
Respostas obtidas:
Áreas de Área de
Resposta Total Área de Riscos
Suporte Negócios
a) 2 6% 0 0% 0 0% 2 22%
b) 19 56% 8 53% 7 70% 4 44%
c) 5 15% 3 20% 0 0% 2 22%
d) 8 24% 4 27% 3 30% 1 11%
Total 34 100% 15 100% 10 100% 9 100%
Respostas obtidas:
Gestão de Riscos Operacionais
Áreas de Área de
Total Área de Riscos
Suporte Negócios
Eficaz/Ineficiente 3 9% 1 8% 1 10% 1 11%
Eficaz/Eficiente 22 69% 8 62% 8 80% 6 67%
Ineficaz 6 19% 4 31% 1 10% 1 11%
Sem Opinião 1 3% 0 0% 0 0% 1 11%
Total 32 100% 13 100% 10 100% 9 100%
69
Total
Áreas de Área de
Total Área de Riscos
Suporte Negócios
Eficaz/Ineficiente 10 10% 2 5% 4 14% 4 15%
Eficaz/Eficiente 61 64% 30 71% 20 71% 11 42%
Ineficaz 13 14% 6 14% 2 7% 5 19%
Sem Opinião 12 13% 4 10% 2 7% 6 23%
Total 96 100% 42 100% 28 100% 26 100%
Ttl Sim Não Ttl Sim Não Ttl Sim Não Ttl Sim Não
Função de Gestão
32 25 7 15 12 3 8 7 1 9 6 3
de Riscos
Operacionais 100% 78% 22% 100% 80% 20% 100% 88% 13% 100% 67% 33%
Revisores de 32 21 11 15 10 5 8 6 2 9 5 4
Processos 100% 66% 34% 100% 67% 33% 100% 75% 25% 100% 56% 44%
32 26 6 15 11 4 8 7 1 9 8 1
SOX Compliance
100% 81% 19% 100% 73% 27% 100% 88% 13% 100% 89% 11%
102 76,314 25,69 47 34,467 12,533 26 21,625 4,375 29 20,22 8,7778
TOTAL
100% 75% 25% 100% 73% 27% 100% 83% 17% 100% 70% 30%
Você considera que a atuação das funções de controle nos últimos 2 anos
contribuiu efetivamente para o ambiente geral de controles da instituição?
As respostas possíveis eram:
• Sim;
• Não.
Respostas obtidas:
Ttl Sim Não Ttl Sim Não Ttl Sim Não Ttl Sim Não
Função de Gestão 33 24 9 15 10 5 9 8 1 9 6 3
de Riscos 100% 73% 27% 100% 67% 33% 100% 89% 11% 100% 67% 33%
Operacionais
Revisores de 33 23 10 15 11 4 9 8 1 9 4 5
Processos 100% 70% 30% 100% 73% 27% 100% 89% 11% 100% 44% 56%
33 28 5 15 12 3 9 9 - 9 7 2
SOX Compliance
100% 85% 15% 100% 80% 20% 100% 100% 0% 100% 78% 22%
105 79 26 47 34 13 29 27 2 29 18 11
TOTAL
100% 76% 24% 100% 73% 27% 100% 92% 8% 100% 62% 38%
Respostas obtidas:
Ttl Sim Não Ttl Sim Não Ttl Sim Não Ttl Sim Não
Função de Gestão 33 25 8 14 10 4 10 8 2 9 7 2
de Riscos 100% 76% 24% 100% 71% 29% 100% 80% 20% 100% 78% 22%
Operacionais
Revisores de 33 24 9 14 9 5 10 8 2 9 7 2
Processos 100% 73% 27% 100% 64% 36% 100% 80% 20% 100% 78% 22%
33 8 25 14 6 8 10 1 9 9 1 8
SOX Compliance
100% 24% 76% 100% 43% 57% 100% 10% 90% 100% 11% 89%
105 62 43 44 26 18 32 19 13 29 17 12
TOTAL
100% 59% 41% 100% 60% 40% 100% 58% 42% 100% 57% 43%
Respostas Obtidas:
Total
Ttl Sim Não
14 5 9
Áreas de Suporte
100% 36% 64%
8 5 3
Áreas de Riscos
100% 63% 38%
9 5 4
Áreas de Negócios
100% 56% 44%
31 15 16
TOTAL
100% 48% 52%
Quadro 11 – Se o vocabulário utilizado por estas funções de risco podem causar
distorções à alta administração sobre os riscos reais a que a instituição está exposta
Fonte: Elaborado pelo Autor
A maioria (64%) dos representantes das áreas de suporte entendem que não
são influenciadas pelo vocabulário utilizado pela função de controle. Entendimento
diverso é apresentado pelas Áreas de Risco, onde 63% entende que o vocabulário
influencia as funções de controle. No total 48% entende que o vocabulário influencia.
O termo “vocabulário” é amplo, mas inclui a forma como os riscos
identificados são ranqueados e a linguagem adotada. Neste ponto, é importante que
as funções de controle trabalhem de forma alinhada em termos de “nível de
74
Respostas Obtidas:
Total
Ttl Sim Não
15 8 7
Áreas de Suporte
100% 53% 47%
9 7 2
Áreas de Riscos
100% 78% 22%
9 7 2
Áreas de Negócios
100% 78% 22%
33 22 11
TOTAL
100% 67% 33%
Quadro 12 – Se os "issues" parecem mais importantes do que realmente e podem
afetar a percepção da administração quanto a real criticidade do assunto
Fonte: Elaborado pelo Autor
75
Áreas de Riscos 10 9 1
100% 90% 10%
9 9 -
Áreas de Negócios
100% 100% 0%
34 28 6
TOTAL
100% 82% 18%
Quadro 13 – Se a estrutura de comitês existente para tratar de questões de riscos é
adequada para capturar e filtrar as questões sobre controles internos
Fonte: Elaborado pelo Autor
76
Respostas Obtidas:
Total
Concordo Não tenho
Ttl Concordo Discordo
parcialmente opinião
15 9 1 5 -
Áreas de Suporte
100% 60% 7% 33% 0%
9 4 4 1 -
Área de Riscos
100% 44% 44% 11% 0%
9 6 3 - -
Área de Negócios
100% 67% 33% 0% 0%
33 19 8 6 -
TOTAL
100% 58% 24% 18% 0%
Quadro 14 – Se falta integração às funções de controle
Fonte: Elaborado pelo Autor
Este capítulo tem por objetivo analisar como operam as funções de controle,
“SOX Compliance”, “Gestão de Riscos Operacionais” e “Controles Internos”, na
instituição objeto do estudo. Desta análise são identificadas oportunidades para que
estas funções, mesmo que tenham objetivos, linhas de reporte e habilidade distintas,
possam atuar de forma mais integrada.
falha de sistema, uma rubrica contábil não reconciliada, um controle que não
funcionou vão impactar diretamente as linhas de negócios, para as quais serão
alocados os custos das ineficiências.
Algumas destas falhas vão impactar o relacionamento com clientes. Por
exemplo, um valor recebido pela instituição e não reconhecido vai figurar como uma
pendência de reconciliação. O valor não reconhecido, mas pago pelo cliente, caso
não registrado liquidando a operação do cliente, em se tratando de uma operação de
crédito, por exemplo, vai fazê-lo parecer inadimplente. A inadimplência vai gerar
ações de cobrança, envio dos seus dados negativos para entidades como Serviço
Nacional de Proteção ao Crédito - SPC, Centralização dos Serviços Bancários S/A -
SERASA, prejudicando a vida creditícia do cliente. Cliente que ao final pagou. Este
cliente poderá sofrer danos morais e materiais pela não identificação pela instituição
do valor pago pelo mesmo. Este cliente poderá buscar, via judiciário, uma reparação
a estes danos morais e pessoais. Ele poderá registrar reclamação junto ao Banco
Central do Brasil. Outros clientes vão acessar estas informações e poderão decidir
não iniciar relacionamento, ou mesmo não operar com esta instituição baseado
nesta publicidade negativa.
A instituição ao analisar o caso descobre que uma falha de sistema ocorrida
no momento do “input” dos dados pelo caixa na agência fez com que não se
pudesse identificar a transação do cliente, inviabilizando a sua reconciliação e
tratamento contábil. A questão é: todo o incidente em última instância é um problema
do negócio (da linha de negócio), o qual irá receber todos os “ônus” e “bônus” das
transações realizadas. A resposta a pergunta inicial é: o responsável final pelos
controles internos são os “gerentes de negócios”, representantes das linhas de
negócios da instituição.
Entretanto, as funções de SOX Compliance, Gestão de Riscos Operacionais e
Controles Internos, dentre outras funções de controle (como Auditoria Interna,
Compliance, Seguranças das Informações) devem suportar os gestores de
processos e gestores de negócios, mantendo sempre um representante de Finanças
como responsável final por SOX Compliance e um representante de Operações
como responsável pela Gestão de Riscos Operacionais. Esta segregação visa a
reconhecer que os objetivos destas funções são distintos: SOX Compliance requer
um especialista em contabilidade e processos contábeis, pois tem como missão
última a qualidade dos processos que alimentam a contabilidade; enquanto a Gestão
79
(a) Será que todas as ações judiciais (citações, etc.) contra a instituição
foram recebidas e levadas ao conhecimento do Departamento Jurídico?
Se o controle é o “protocolo” centralizado, como se pode assegurar que
todas as ações recebidas foram protocoladas?
(b) Como se pode assegurar que mesmo protocoladas e recebidas foram
endereçadas aos advogados responsáveis, para que sejam avaliadas
quanto à sua probabilidade de perda (em possível, provável e remota –
como requerido pelas normas de contabilidade) e a elas atribuído um
valor? Será que não ficou nenhuma ação na “gaveta” sem ser transmitida
ao advogado responsável?
(c) O que assegura que os advogados que receberam as ações procederam
a sua avaliação prontamente? Se um advogado demora meses para
proceder a avaliação, a área de SOX Compliance está preocupada que
uma contingência importante possa estar registrada pelo seu valor
incorreto, ou não registrada.
(d) Se o advogado está comprometido com metas de custos, a área de SOX
Compliance está preocupada se estes advogados não irão querer
manipular suas avaliações. Assim, uma alçada de aprovação para as
avaliações dos advogados se torna necessária, até mesmo pelo aspecto
altamente julgamental representado por uma ação. A área de SOX
Compliance irá propor que sejam criadas alçadas de aprovação, por
exemplo, ações de pequeno valor dois advogados juniores podem avaliar,
ações de valor médio um advogado júnior e um advogado sênior; ações
de grande valor dois advogados seniores, ações de valor
extraordinariamente grande devem ser avaliadas com a aprovação de um
Diretor Estatutário da instituição.
(e) As ações mudam de valor e mesmo de probabilidade de perda com o
passar do tempo, as decisões judiciais vão estabelecendo novas
jurisprudências e entendimentos doutrinários, então a área de SOX
Compliance está preocupada que as ações devem ser revistas
periodicamente quanto ao seu valor e probabilidade de perda, o que
também está preconizado pelas normas de contabilidade. Torna-se
necessário um controle para acompanhar o “aging” das revisões (tempo
desde a última revisão). Um critério deve ser estabelecido para definir a
81
Verifica-se que as funções de controle têm como principal objetivo dentro dos
elementos de controle do COSO, a atividade de monitoramento. Cada função
monitora os controles internos sob ótica distinta das demais, sendo, portanto,
funções complementares e não sobrepostas.
SOX Compliance que reporta para Finanças tem uma visão de qualidade nos
reportes financeiros, independentemente da eficiência operacional.
Enquanto “Controles Internos” e “Gestão de Riscos Operacionais” que
reportam para o Diretor de Operações (esta última também tem uma linha de reporte
funcional para o Chief Risk Officer) têm uma visão forte em promover a “eficiência
dos processos”.
Área de SOX Compliance tem foco na qualidade de reporte financeiro. Um
exemplo, limite, identificado em entrevista com o gestor da área de SOX
Compliance, é que para fins de SOX Compliance se uma fraude está
adequadamente refletida nos livros contábeis, deixa de ser uma preocupação para
fins de SOX Compliance. Outro exemplo apresentado, para fins de SOX Compliance
uma reconciliação mensal suportando o processo de reporte financeiro é suficiente,
enquanto, para a gestão de risco operacional dependendo da conta contábil que
88
Habilidades Fundamentais
Função de Controle Preocupação Fundamental
Requeridas
requeridas para atuação em cada função de controle é distinta uma das outras. A
administração entende que algo se perderia em termos de qualidade das análises se
uma única função fosse responsável pelo monitoramento de assuntos tão díspares.
O tipo de habilidade necessária aos funcionários pertencentes às funções de
controle em geral são semelhantes, entretanto, com variações importantes, por
exemplo: “Compliance” tem um viés jurídico; “Sarbanes-Oxley” um viés contábil;
“Riscos Operacionais” e “Controles Internos” focam em processos, sendo riscos
operacionais mais quantitativos (baseados em estatísticas de perdas).
COSO -
Componentes do Controles Gestão de Riscos
Procedimento Auditoria Interna SOX Compliance
Sistema de Internos Operacionais
Controles Internos
Certificação mensal de
razoabilidade de saldos.
Monitoramento
Checklist trimestral de
da execução do
controles internos. Monitoramento do
controle
processo de
Monitoramento reconciliação.
Testes do desenho e
Testes de Testes dos
Testes efetividade operacional
controles. Controles.
de controles
Reporte à diretoria de
Reporte do nível de perdas e fraquezas de controle
da base de perdas ao Grupo considerando nível de
materialidade.
Gestão de Riscos
Compliance Controles Internos SOX Compliance
Operacionais
Parcialmente
Compliance n/a Independente Independente
Compartilhado
Parcialmente
SOX Compliance Independente Independente n/a
Compartilhado
integração entre as funções. O foco da atenção é o objetivo final de cada função vis-
a-vis as responsabilidades da Diretoria a que ficará alocada a função de controle.
Cada função de controle é estruturada de forma independente, posteriormente, se
verificadas condições para alguma integração, estas serão implementadas a critério
dos gestores das áreas.
Quando questionados, sobre o posicionamento das funções e critérios para
sua definição, geralmente a resposta é outra pergunta: Caso não realizada a
atividade, qual a área seria a mais impactada? A resposta a este questionamento
leva à configuração atual, em que SOX Compliance está alocado em Finanças;
Controles Internos e Gestão de Riscos Operacionais estão alocados em Operações
e Tecnologia.
Um aspecto relevante a considerar é o fato de que estas funções de controle
impactam toda a organização, ao demandar análises de riscos, revisões de
processos, certificações, realização de visitas “in loco” e reporte dos apontamentos
identificados.
Assim, existem áreas do Banco em constante revisão, seja pela auditoria
interna, pelo grupo de revisores de processos e por SOX Compliance, causando a
estas o inconveniente de estarem sendo interpeladas quase que constantemente
sobre a qualidade de seus controles.
Sob o ponto de vista da alta administração a estruturação desta forma dá o
conforto de que existe um responsável claramente definido para cada uma das
normas estabelecidas.
O conflito se estabelece, no caso sob análise, quando as áreas impactadas
contam com recursos limitados e passam a dar “feedbacks” de que estão super
auditadas ou sem tempo para suas próprias atividades já que despendem muito
tempo em atendimento a alguma ou várias das funções de controle. No limite até se
recusando a prestar algum atendimento a alguma das funções de controle. Ou
mesmo, podem passar a tratar como relevantes apenas apontamentos feitos por
uma das áreas de controle em detrimento das demais. Nesta situação limite as
funções de controle passam a representar risco por si só, quando fazem o gestor de
processos deixar suas atividades para prestar atendimento a estas funções,
momento em que se não existem recursos suficientes, as atividades não realizadas
passam a representar risco.
94
Com relação a esta questão é possível identificar que não existe integração
entre o processo de avaliação de riscos realizado por SOX Compliance e Gestão de
Riscos Operacionais, conforme mencionado no item anterior. Constata-se que o
processo de identificação e avaliação de riscos poderia ser mais dependente de uma
auto-avaliação do próprio gestor do processo, o que poderia ser implementado com
uso de um sistema informatizado que a um só tempo permitisse atender os
requisitos de cada uma das funções de controle.
Gestão de Riscos
Não existe nenhuma participação.
Operacionais
Neste ponto, entende-se que poderia haver maior integração, seja pelo uso
de sistemas compartilhados, certificados únicos, uma única área realizando testes
para as demais. A Auditoria Interna poderia utilizar o material preparado pelas áreas
e avaliar se as áreas são efetivas não refazendo trabalhos já feitos, assim como,
poderia planejar os seus testes em conjunto de forma contribuir com as outras
funções de controle. A função de SOX Compliance requer testes periódicos de
controles, se estes testes fossem melhor planejados entre as funções de controle,
poderiam ser realizados de forma a atender a um só tempo as diversas funções de
controle reduzindo o volume total de testes, mas aumentando a eficiência.
101
Operacionais que passaria a ter uma visão mais abrangente sobre riscos
ao processo de reporte financeiro, enquanto a função de SOX Compliance
se beneficiaria de maior controle sobre a integridade dos dados.
• SOX Compliance, Gestão de Riscos Operacionais e Controles Internos
possuem uma linguagem diferenciada para ranquear os assuntos. SOX
Compliance apenas considera os controles-chave como “efetivos” ou “não
efetivos”, as fraquezas de controle são avaliados em “abaixo do reportável”,
“acima do reportável”, “significante”, “material”. Enquanto a área de Gestão
de Riscos Operacionais gradua os riscos em função do valor da perda
estimada em função da severidade e freqüência em que o evento pode
ocorrer. A área de Controles Internos, assim como a Auditoria Interna
graduam os riscos por critérios subjetivos em “baixo”, “médio” ou “alto”
risco. As diferenças de critérios de reporte podem fazer dar origem à má
compreensão da real “criticidade” de um problema de controles internos
levantado por estas áreas. Neste ponto cabe esclarecer que as funções de
controle, em geral são responsáveis por capturar as informações sobre o
estado atual em que se encontram os controles, no âmbito de suas
responsabilidades, e desenvolver um processo de reporte estruturado tanto
aos gestores dos processos, focais nas respectivas áreas, quanto à alta
administração da Instituição. Se não estruturado um processo de reporte
integrado, mensagens conflitantes sobre o estado geral dos controles de
uma área podem estar sendo levadas à alta administração. Esta situação é
comum quando, por exemplo, as funções de controles internos, riscos
operacionais, auditoria interna e SOX Compliance, cada uma trabalha com
níveis de materialidade distintos e ranqueiam seus issues de forma distinta.
Em geral o destinatário final dos relatórios produzidos por estas funções de
controle é o mesmo, o “Comitê de Gestão de Riscos Operacionais e
Controles Internos”, entretanto, não existe um processo único para
categorizar e filtrar os assuntos pelo impacto potencial de sua
materialidade.
• Foi identificado que o “Comitê de Gestão de Riscos Operacionais e
Controles Internos” precisaria estar mais representado por pessoas-chave
das áreas de negócios. Conforme mencionado as áreas de negócios são
quem arcam com os ônus e bônus decorrentes das deficiências de
108
Treinamentos conjuntos.
Planejamento de atividades integrado, como forma de reduzir a chance de
assuntos não cobertos.
Desafio comum: fazer as áreas de negócios assumir maior responsabilidade
Ambiente de Controle pelos processos.
Monitoramento da execução do controle
Testes
Reporte
Promover para que os mapeamentos de processos realizados pelas áreas
de negócios e gestores de processos sejam úteis (a um só tempo) para
atender todas as funções de controles.
Identificação e Avaliação
Promover para que nas reuniões de “auto-avaliação de riscos e controles”
de RiscoS
coordenadas pela área de SOX Compliance, outras funções de controles
também participem e coletem suas informações.
Usar bases de dados comuns para mapeamento de riscos e controles.
As áreas utilizam-se de certificações periódicas. Verificada a possibilidade
de elaboração de certificado unificado que atenda a um só tempo as
necessidades de todas as áreas.
Atividades de Controle
Controle de reconciliação, enquanto somente contábil – freqüência mensal é
adequada, mas como medida de prevenção a fraudes, necessária a
freqüência diária (para certos grupos de contas).
Usar um critério / linguagem uniforme para “ranquear” os riscos identificados
(de forma a facilitar o entendimento sobre a criticidade dos assuntos).
A estrutura de “focais” para atendimento às funções de controles precisa ser
revista e unificada, pois foi identificado que a área de Sarbanes-Oxley
Compliance e a área de Gestão de Riscos Operacionais possuem focais
Informação e distintos, a primeira alocando a pessoas mais seniores da organização.
Comunicação O Chief Risk Officer atualmente está mais afeto as questões reportadas pela
área de Gestão de Riscos Operacionais, com a estruturação de uma base
única, passaria a acessar volume maior de informações qualitativas sobre
riscos, permitindo-lhe visão integrada.
Áreas de negócios devem ser parte importante na comunicação
(transparência).
As áreas de Sarbanes-Oxley Compliance, Controles Internos e Auditoria
Interna realizam testes, entretanto, não planejam os testes de forma a
atender necessidades umas das outras. Assim, ocasionalmente, alguma
área é testada em excesso.
Testes realizados pela área de SOX Compliance poderiam ser substituídos
por um processo de monitoramento contínuo (via sistema) atrelado a uma
Monitoramento atuação da Auditoria Interna na realização dos testes necessários que hoje
não são realizados com este propósito.
Um sistema informatizado para monitoramento contínuo dos controles
internos se verifica como de grande utilidade para todas as funções de
controles. Entretanto, se o pleito para aquisição deste sistema viesse de
forma estruturada refletindo a necessidade de todas as funções de controle
teria mais chances de ser aprovado.
7. CONSIDERAÇÕES FINAIS
Este estudo de caso único teve como objetivo principal analisar “como” e
“porque” integrar as funções de controle em instituições financeiras de grande porte.
Este estudo requereu um aprofundamento inicial nas teorias e normas que
fundamentaram o desenvolvimento nas instituições financeiras das funções de
controle. Este aprofundamento permitiu compreender os objetivos e as abordagens
em uso pelas diferentes funções de controle. Da análise dos requerimentos
regulatórios, abordagens em uso, interdependências e ligações destas funções de
controles obteve-se o entendimento de que estas funções tratam basicamente de
“controles internos”, cada função com o seu enfoque distinto. Controles Internos, em
termos amplos, como definido pelo COSO, têm como componentes atividades de
identificação de riscos, implementação de controles, monitoramento e reporte do
estado geral dos controles, todas estas atividades foram identificadas como parte da
rotina das funções de controle existentes na instituição objeto do estudo. Nas
interações destas funções de controle com as demais áreas/departamentos da
instituição não é claro para a área que está sendo revista as diferenças entre as
funções de controle, parecendo a estes que se tratam de trabalhos redundantes os
realizados pelas diferentes funções de controle. Identificou-se que existe uma
estrutura de melhores práticas, o COSO – Internal Control Integrated Framework,
amplamente utilizada, que poderia ser tomada por base para análise comparativa
das formas de atuação das diferentes funções de controle, com o objetivo de
identificação de pontos em que uma integração seria possível, em benefício de
tornar mais eficiente a operação destas funções de controle.
Inúmeras entrevistas foram realizadas, questionários foram utilizados para a
coleta de informações sobre a forma de operação das funções de controle.
O capítulo 4 demonstra através de análise das respostas obtidas ao
Questionário II (Apêndice II), que em geral existe percepção de que as funções de
controle precisam operar de forma mais integrada.
O capítulo 5 apresenta uma descrição detalhada sobre o posicionamento das
funções de controle: Controles Internos, Gestão de Riscos Operacionais e SOX
Compliance, e seu modus operandi, as práticas em uso por estas diferentes funções
de controle, o seu processo para captura de informações, identificação e avaliação
114
REFERÊNCIAS
BERNSTEIN, Peter L. - Desafio aos Deuses: A Fascinante História dos Riscos - Rio
de Janeiro: Campus, 1997.
______. Results from the 2008 Loss Data Collection exercise for Operational Risk.
Basel Committee on Banking Supervision. 2009. Disponível em <http//:www.bis.org>
acesso em 15 de Dezembro de 2009.
______. The treatment of expected losses by banks using the AMA under the Basel
II Framework. Basel Committee on Banking Supervision. 2005. Disponível em
<http//:www.bis.org> acesso em 30 de Abril de 2007.
______. Sound Practices for the Management and Supervision of Operational Risk.
Basel Committee on Banking Supervision. 2003. Disponível em <http//:www.bis.org>.
acesso em 04 de Abril de 2007.
______. Public Disclosures by Banks: Results of the 2001 Disclosure Survey. Basel
Committee on Banking Supervision. 2003. Disponível em <http//:www.bis.org>
acesso em 15 de Setembro de 2008.
119
______. Public Disclosures by Banks: Results of the 1999 Disclosure Survey. Basel
Committee on Banking Supervision. 2001. Disponível em <http//:www.bis.org>
acesso em 15 de Maio de 2008.
CHORAFAS, Dimitris N. Operational Risk Control with Basel II - Basic Principles and
Capital Requirements Burlington, MA - Elsevier Butterworth-Heinemann - 2004;
ECO, Umberto. Como se faz uma tese. 21a. Edição. Tradução de Gilson Cesar
Cardoso de Souza. São Paulo: Perspectiva, 2007.
EPSTEIN, Barry J., NACH, Ralph & BRAGG, Steven M. GAAP 2006 Interpretation
and Application of Generally Accepted Accounting Principles. John Wiley & Sons,
Inc., 2006.
FLEURY, Maria Tereza Leme & FISCHER, Rosa Maria. Cultura e Poder nas
Organizações. 2ª. Edição. São Paulo. Ed. Atlas S.A. – 1996.
KPMG. Never Again? Risk Management in banking beyond the credit crisis. 2009.
Disponível em <http://www.kpmg.com> acesso em 05 de Julho de 2007.
LANDER, Guy P. What is Sarbanes Oxley? New York, USA. McGraw-Hill, 2004.
PEPPE, Márcio Serpejante. O Novo Acordo da Basiléia. São Paulo. Trevisan Editora
Universitária, 2006.
_______. Financial Crisis of 2008: Navigating and Mitigating Risks. 2008. Disponível
em <http://www.pwc.com> acesso em 06 de Junho de 2009.
RAMOS, Michael. How to Comply with Sarbanes-Oxley Section 404 Assessing the
Effectiveness of Internal Control. John Wiley & Sons, Inc., 2004.
RITTENBERG, Larry; MILLER, Patricia K.; The Good News About Compliance –
Sarbanes-Oxley internal control requirements are creating a golden opportunity at
many organizations, according to new research. Institute of Internal Auditors. Internal
Auditor – Global Perspectives on Risk, Control, and Governance. Volume LXII:III;
June 2005:55.
ROSEN, Robert Eli. Risk Management and Corporate Governance: The Case of
Enron. Connecticut Law Review, vol 35:1157; 2003. Disponível em
<http://www.ssrn.com> acesso em 06 de Agosto de 2009.
125
SAITO, André T.; SAVOIA, José R. F.; FAMÁ, Rubens. A Evolução da Função
Financeira. Revista de Gestão USP, São Paulo, v. 13, n. especial, p. 31-44, 2006.
SALOMON, Délcio Vieira. Como Fazer uma Monografia. 11ª. Edição. São Paulo.
Martins Fontes, 2004.
TILLAART, Alice van den. Controlling Operational Risk Concepts and Practices. The
Netherlands Institute for Banking, Insurance and Investment, 2003.
VORHIES, James Brady. Key Controls The Solution for Sarbanes-Oxley Internal
Control Compliance. The Institute of Internal Auditors Research Foundation, 2004.
APÊNDICES
Questionário de Pesquisa I.
Professor Orientador: Prof. Dra. Neusa Maria Bastos Fernandes dos Santos.
Os dados desta pesquisa, tais como nomes (nome da empresa), números, não
serão divulgados (serão mantidos como sigilosos). Somente terão acesso a estas
informações: o mestrando, o professor orientador e os membros integrantes da
“banca” (estes últimos caso venham a solicitar estas informações).
Área:
Responsável:
Respondentes:
Data:
III. Questionário:
15. Cite e ranqueie por ordem de importância os tipos de risco a que sua
função se propõe mitigar: por exemplo: i) risco de reputação; ii) risco
estratégico e de negócios; iii) risco de fraudes; iv) risco de falhas em
sistemas; v) riscos de processos falhos; vi) risco de continuidade
operacional do negócio; vii) risco de crédito; viii) risco de mercado, etc..)
16. Cite outras áreas de controle que julga importante (se possível coloque
em ordem de importância – se assim o fizer, informe que está ordenado).
17. Descreva a interação da área de controle sob a sua responsabilidade
com outras áreas de controle.
18. Cite principais “feedbacks” recebidos das áreas de negócios ou
gerência sênior do Banco.
19. Descreva como a área agrega valor para o Banco como um todo.
20. Como você avalia a efetividade de sua área, no contexto do Banco como
um todo.
21. Descreva quem são os principais “stakeholders” da área.
22. Classifique os “stakeholders” segundo a sua percepção de importância
(em termos de utilidade da área para aquele “stakeholder”).
23. Descreva as principais informações utilizadas pela área (para
planejamento, para execução e para monitoramento);
24. Descreva a relação que a sua área mantém com cada um dos
“stakeholders”.
25. Descreva como grupo de “stakeholder” recebe o resultado dos trabalhos
de sua área (por exemplo: via apresentação mensal, via demonstrações
financeiras, via Comitê “X”).
26. Descreva qual o impacto de sua área para os negócios (impacto direto
ou indireto).
27. Descreva como sua área contribui para que o Banco atinja seus
objetivos estratégicos.
28. Cite os departamentos/áreas com que a sua função de controle interage
com maior freqüência (informe em ordem de importância para a
consecução dos objetivos da área).
29. Descreva brevemente como ocorre a interação com estas áreas.
30. Descreva como você planeja suas atividades, principais informações
utilizadas, e como se dá a aprovação do seu plano de trabalho.
130
Professor Orientador: Prof. Dra. Neusa Maria Bastos Fernandes dos Santos.
Os dados desta pesquisa, tais como nomes (inclusive nome Banco e nome dos
respondentes), números, não serão divulgados (serão mantidos como sigilosos).
Somente terão acesso à estas informações: o mestrando, o professor orientador e
os membros integrantes da “banca” (estes últimos caso venham a solicitar estas
informações).
Desde já agradeço.
133
# Descrição
( ) 1 Excessivo / Superdimensionado / Destruíndo Valor (eficaz / ineficiente)
( ) 2 Otimizado / Adequado ao perfil de riscos / agregando valor (eficaz /
eficiente)
( ) 3 Não adequado / subdimencionado / pouco ou nenhum valor agregado
(ineficaz)
Comentários / oportunidades de melhorias (se julgar apropriado):
# Descrição
( ) 1 Até 10%
( ) 2 Até 30%
( ) 3 Até 50%
( ) 4 Até 70%
( ) 5 Até 100%
Comentários / oportunidades de melhorias (se julgar apropriado):
134
# Descrição
( ) 1 Até 10%
( ) 2 Até 30%
( ) 3 Até 50%
( ) 4 Até 70%
( ) 5 Até 100%
Comentários / oportunidades de melhorias (se julgar apropriado):
( ) Sim
( ) Não
Comentários / oportunidades de melhorias (se julgar apropriado):
5 – Você considera que possui recursos necessários para a gestão dos controles
internos?
( ) Sim
( ) Não
Comentários / oportunidades de melhorias (se julgar apropriado):
135
6 – Você interage com outras funções de controle dentro da instituição? (marcar com
“x” com quem você costuma interagir (pelo menos uma interação por ano) e ordenar
por “ordem de impacto” percebido aos processos sob sua responsabilidade).
( ) 1 Auditoria Interna
( ) 2 Função de Compliance
( ) 3 Função de Gestão de Riscos Operacionais
( ) 4 Revisores de Processos
( ) 5 SOX Compliance
( ) 6 Auditores Externos
( ) 7 Segurança das Informações
( ) 8 Outros (Descrever.............)
Comentários / oportunidades de melhorias (se julgar apropriado):
# Descrição Resposta
Classifique conforme a
legenda (*)
1 Auditoria Interna ( )
2 Função de Compliance ( )
3 Função de Gestão de Riscos Operacionais ( )
4 Revisores de Processos ( )
5 SOX Compliance ( )
6 Auditores Externos ( )
7 Segurança das Informações ( )
8 Outros (Descrever.............) ( )
(*) 1 – Eficaz / Ineficiente (atende objetivo, mas a um custo excessivo); 2 – Eficaz / Eficiente
(atende objetivo a um custo adequado); 3 – Ineficaz (não atende objetivo); 4 – sem opinião
(não tenho nenhuma interação).
# Descrição Resposta
Classifique conforme a
legenda (*)
1 Compliance ( )
2 Gestão de Riscos Operacionais ( )
3 Sarbanes – Oxley ( )
4 Controles Internos ( )
5 Segurança das Informações ( )
(*) 1 – Eficaz / Ineficiente; 2 – Eficaz / Eficiente; 3 – Ineficaz; 4 – sem opinião.
10 – O que você espera como valor agregado das atividades executadas pelas
funções de controle (ordene por ordem de importância):
operacional;
( ) Certificação independente da conformidade
com requisitos importantes (regulamentares e do
grupo);
( ) Revisão dos fluxos de informações em relação
ao processo de reporte financeiro;
( )Fazer transparecer à gerência senior as
fraquezas de controles da área;
( ) evitar surpresas (antecipar problemas futuros)
relacionados a controles;
( ) Conscientização sobre assuntos relevantes de
controles;
( ) Função de monitoramento (com o reporte e
governança) por sí contribui para a cultura geral
de controles inibindo a incidência de falhas e erros
(mesmo que as atividades por si não identifiquem
falhas e erros);
( ) Contribui para reduzir o tempo que eu mesmo,
como gestor, dedicaria ao assunto controles
internos, liberando meu tempo para assuntos mais
relevantes;
( ) Cumprir requerimentos regulamentares;
( ) Outro: ..................
3 Função de Gestão de Riscos ( ) Análise Crítica (construtiva) Independente
Operacionais ( ) Direcionamento para questões importantes
( ) Consultoria em assuntos relacionados a
controles
( ) Certificação independente da eficácia
operacional;
( ) Certificação independente da conformidade
com requisitos importantes (regulamentares e do
grupo);
( ) Revisão dos fluxos de informações em relação
ao processo de reporte financeiro;
( )Fazer transparecer à gerência senior as
fraquezas de controles da área;
139
falhas e erros);
( ) Contribui para reduzir o tempo que eu mesmo,
como gestor, dedicaria ao assunto controles
internos, liberando meu tempo para assuntos mais
relevantes;
( ) Cumprir requerimentos regulamentares;
( ) Outro: ..................
5 SOX Compliance ( ) Análise Crítica (construtiva) Independente
( ) Direcionamento para questões importantes
( ) Consultoria em assuntos relacionados a
controles
( ) Certificação independente da eficácia
operacional;
( ) Certificação independente da conformidade
com requisitos importantes (regulamentares e do
grupo);
( ) Revisão dos fluxos de informações em relação
ao processo de reporte financeiro;
( )Fazer transparecer à gerência senior as
fraquezas de controles da área;
( ) evitar surpresas (antecipar problemas futuros)
relacionados a controles;
( ) Conscientização sobre assuntos relevantes de
controles;
( ) Função de monitoramento (com o reporte e
governança) por sí contribui para a cultura geral
de controles inibindo a incidência de falhas e erros
(mesmo que as atividades por si não identifiquem
falhas e erros);
( ) Contribui para reduzir o tempo que eu mesmo,
como gestor, dedicaria ao assunto controles
internos, liberando meu tempo para assuntos mais
relevantes;
( ) Cumprir requerimentos regulamentares;
( ) Outro: ..................
6 Auditores Externos ( ) Análise Crítica (construtiva) Independente
141
( ) Sim
( ) Não
Comentários / oportunidades de melhorias (se julgar apropriado):
( ) Sim
( ) Não
Comentários / oportunidades de melhorias (se julgar apropriado):
( ) Sim
( ) Não
Comentários / oportunidades de melhorias (se julgar apropriado):
144
# Descrição Resposta
Classifique conforme a
legenda (*)
1 Auditoria Interna ( )
2 Função de Compliance ( )
3 Função de Gestão de Riscos Operacionais ( )
4 Revisores de Processos ( )
5 SOX Compliance ( )
6 Auditores Externos ( )
7 Segurança das Informações ( )
8 Outros (Descrever.............) ( )
(*) 1 – Eficaz / Ineficiente (destroi valor); 2 – Eficaz / Eficiente (agrega valor); 3 – Ineficaz; 4
– sem opinião (pouco ou nenhum valor agregado).
17 – Você considera que a atuação das funções de controle nos últimos dois anos
contribuiu efetivamente para o ambiente geral de controles da Instituição?
19 – Você considera que estas áreas existiriam, caso não fossem requerimentos
regulatórios ou políticas do Grupo?
# Descrição Resposta
Classifique conforme a
legenda (*)
1 Auditoria Interna ( ) Sim ( ) Não
2 Função de Compliance ( ) Sim ( ) Não
3 Função de Gestão de Riscos Operacionais ( ) Sim ( ) Não
4 Revisores de Processos ( ) Sim ( ) Não
5 SOX Compliance ( ) Sim ( ) Não
6 Auditores Externos ( ) Sim ( ) Não
7 Segurança das Informações ( ) Sim ( ) Não
8 Outros (Descrever.............) ( ) Sim ( ) Não
.........................
.........................
22 – Como você considera que estas funções podem agregar maior valor? (ordene por
ordem de importância)
# Descrição
( ) Centralizando processos de avaliação de riscos (matrizes de riscos comuns);
( ) Centralizando processos de testes independentes;
150
# Descrição
( ) Até 10%
( ) Até 30%
( ) Até 50%
( ) Até 70%
( ) Até 100%
# Descrição
( ) Sim
( ) Não
25 - Qual das abordagens abaixo você considera mais efetiva? (ordene por valor de
importância)
# Descrição
( ) Auto-avaliação de riscos;
( ) Checklists de controles;
( ) Políticas e procedimentos bem definidos;
( ) Certificação pelas próprias áreas de seus controles;
( ) Monitoramento contínuo da execução dos controles;
( ) Reuniões de “risk and control self assessment” com participação de funções
de controles;
( ) Mapeamento de processos;
( ) Estatística de problemas e eventos - qualitativo;
( ) Estatística de perdas – quantitativo;
151
( ) Dashboard de Controles;
( ) Reporte estruturado para comitês;
( ) Mini-Auditorias realizadas pela própria área;
( ) Mini-Auditorias realizadas por área independente (por alguma função de
controle);
( ) Auditoria Independente (interna ou externa);
( ) Reuniões de acompanhamento – departamental;
( ) Reunião de acompanhamento – um a um (gerente e subordinado).
( ) Outros....
26 - Das abordagens abaixo quais as que estão efetivamente em uso na sua área? E
freqüência.
Descrição Análise
Auto-avaliação de riscos; ( ) Eficaz / Ineficiente;
( ) Eficaz / Eficiente;
( ) Ineficaz
Checklists de controles; ( ) Eficaz / Ineficiente;
( ) Eficaz / Eficiente;
( ) Ineficaz
Políticas e procedimentos bem definidos; ( ) Eficaz / Ineficiente;
( ) Eficaz / Eficiente;
( ) Ineficaz
Certificação pelas próprias áreas de seus controles; ( ) Eficaz / Ineficiente;
( ) Eficaz / Eficiente;
( ) Ineficaz
Monitoramento contínuo da execução dos controles; ( ) Eficaz / Ineficiente;
( ) Eficaz / Eficiente;
( ) Ineficaz
Reuniões de “risk and control self assessment” com ( ) Eficaz / Ineficiente;
participação de funções de controles; ( ) Eficaz / Eficiente;
( ) Ineficaz
Mapeamento de processos; ( ) Eficaz / Ineficiente;
( ) Eficaz / Eficiente;
( ) Ineficaz
Estatística de problemas e eventos - qualitativo; ( ) Eficaz / Ineficiente;
( ) Eficaz / Eficiente;
( ) Ineficaz
Estatística de perdas – quantitativo; ( ) Eficaz / Ineficiente;
( ) Eficaz / Eficiente;
153
( ) Ineficaz
Dashboard de Controles; ( ) Eficaz / Ineficiente;
( ) Eficaz / Eficiente;
( ) Ineficaz
Reporte estruturado para comitês; ( ) Eficaz / Ineficiente;
( ) Eficaz / Eficiente;
( ) Ineficaz
Mini-Auditorias realizadas pela própria área; ( ) Eficaz / Ineficiente;
( ) Eficaz / Eficiente;
( ) Ineficaz
Mini-Auditorias realizadas por área independente; ( ) Eficaz / Ineficiente;
( ) Eficaz / Eficiente;
( ) Ineficaz
Auditoria Indepente (interna ou externa); ( ) Eficaz / Ineficiente;
( ) Eficaz / Eficiente;
( ) Ineficaz
Reuniões de acompanhamento – departamental; ( ) Eficaz / Ineficiente;
( ) Eficaz / Eficiente;
( ) Ineficaz
Reunião de acompanhamento – um a um (gerente e ( ) Eficaz / Ineficiente;
subordinado). ( ) Eficaz / Eficiente;
( ) Ineficaz
Outros.... ( ) Eficaz / Ineficiente;
( ) Eficaz / Eficiente;
( ) Ineficaz
Legenda: 1 – Eficaz / Ineficiente (cumpre o objetivo, portanto é eficaz, mas demanda
recursos além do razoável, portanto ineficiente, destruindo valor); 2 – Eficaz / Eficiente
(cumpre o objetivo, portanto é eficaz, e demanda os recursos necessários e suficientes,
portanto de forma eficiente, agregando valor); 3 – Ineficaz (não cumpre o objetivo, pois não
chega a tocar nas questões importantes; utiliza-se de recursos insuficientes para cumprir
seu objetivo).
28 - Você considera que um “mix” adequado de abordagens tem sido utilizada com o
fim de mitigar os riscos da área?
( ) Sim
( ) Não
154
( ) Sim
( ) Não
Comentários / oportunidades de melhorias (se julgar apropriado):
( ) Sim
( ) Não
Comentários / oportunidades de melhorias (se julgar apropriado):
( ) Sim
( ) Não
Comentários / oportunidades de melhorias (se julgar apropriado):
32 – Você considera que a linguagem, vocabulário utilizado por estas funções de risco
podem causar distorções à alta administração sobre os riscos reais a que a
instituição está exposta? (Por exemplo: i )quando a auditoria interna classifica um
“issue” como de alto risco (e existe a percepção da administração de que o “issue”
não é realmente um alto risco; ii) quando fazemos a avaliação de riscos operacionais
155
( ) Sim
( ) Não
Comentários (se julgar apropriado):
( ) Sim
( ) Não
Comentários (se julgar apropriado):
( ) Sim
( ) Não
Comentários (se julgar apropriado):
( ) Sim
156
( ) Não
Explique (se julgar apropriado):
( ) Sim
( ) Não
Explique (se julgar apropriado):
( ) 1 Sim
( ) 2 Não
Explique (se julgar apropriado):