Gestão de riscos

com controles internos

 Para minha esposa Regina Assi, por acreditar muito
em nosso trabalho e pela parceria familiar, matrimonial, pro ssional
e pelo amor nesses 31 anos incansáveis de casamento.
Aos meus lhos Vítor e Arthur pela parceria
e por entenderem que meu legado
para eles é o estudo, a ética e a educação.
Agradecimentos
Agradeço a Deus pela saúde, família e fé em meu coração.
Aos meus mentores, que nunca desistiram de me auxiliar, orientar e
direcionar o meu caminho na orientação e capacitação de quem nos
procura.
Aos meus pais, Aparecido e Malvina, que nunca mediram esforços para a
minha educação.
Ao meu amigo Emerson Ferreira, que tem enorme paciência comigo,
alguém com quem posso trocar conhecimentos a qualquer momento.
Às minhas amigas e parceiras Roberta Volpato Hano e Marcia Pereira por
me orientar e auxiliar na busca pela excelência pro ssional.
Ao meu amigo Sylvio Cassu, que me incentivou a escrever o primeiro livro e
se surpreendeu com o segundo, terceiro, quarto e assim por diante. Valeu,
amigo!
A todos os meus amigos, que graças a Deus são muitos, e fazem parte de
minha vida pessoal e pro ssional.
Aos professores que passaram por minha vida acadêmica, pelo
conhecimento apresentado em nossas aulas e carinho constante.
À Comissão de Gerenciamento de Riscos Corporativos do IBGC pela
parceria, aprendizado e pelas trocas de experiências.
Prefácio
Escrevo este prefácio aproximadamente um ano após o início das medidas
restritivas para contenção da pandemia do vírus Sars-Cov-2 (Covid-19) em
São Paulo.
A pandemia, provavelmente o maior e o mais intenso catalisador de
transformações nas vidas das pessoas e nos negócios, deixou um rastro
indelével de transformações. Para além de máscaras, disciplina e a longa
espera por vacinas, os negócios que tinham condições de transpor suas
operações para um modelo remoto, o tão falado home o ce, zeram isso.
Muitos, dada a urgência das medidas restritivas, transformaram-se da forma
mais ágil que conseguiram conceber, para só então re etirem sobre a
caducidade dos mecanismos de controles internos existentes, bem como os
novos riscos a que estavam expostos e as atuais necessidades de controle e
cultura organizacional. Era evidente, porém insuperável, o descompasso.
Os impactos desse evento histórico ainda estão sendo dimensionados. As
transformações estão em curso e avalia-se, inclusive, se elas serão de nitivas.
É inegável, entretanto, que uma boa gestão de riscos nunca se mostrou tão
relevante e presente nem demandou tanta sensibilidade e agilidade como
agora.
A gestão de riscos não se limita a os prever, mas também a identi cá-los, a
dimensioná-los e, em uma etapa de envolvimento integral da organização, a
preveni-los e a manejá-los, de forma coerente, íntegra e sustentável.
Diante disso, a importância dessa obra fala por si só e não vou me alongar a
seu respeito.
Àqueles que ainda não conhecem o professor Marcos Assi, seu extenso
currículo encontra-se na orelha do livro. Sua experiência é traduzida nas
páginas da obra por meio da apresentação das melhores práticas de gestão
de riscos e controles internos, incorporando sua própria experiência e
adaptando-os ao novo e inescapável cenário que a pandemia desenhou.
Nesse particular, os leitores devem saber que no modelo Pestel, concebido e
desenvolvido pelo professor Assi, já havia a previsão da possibilidade de
exposição de negócios a risco de interrupção temporária de atividades em
razão de pandemia.
Esse é só um exemplo do profundo conhecimento teórico e da extensa
experiência prática do professor, ambos consolidados em uma obra de
conteúdo acessível, exposto de forma didática, sem comprometimento da
profundidade e aplicabilidade imediata.
Àqueles que se dedicam ao tema ou que se preocupam com a
sustentabilidade de seus negócios e organizações, a obra é rara e essencial.
Por m, a honra de escrever o prefácio dessa obra nunca será alcançável por
qualquer tentativa de expressar gratidão, mas cabe a mim tentar fazê-lo.
Embora certas coisas não transpareçam nessas páginas, o professor Assi,
além de reconhecido pro ssional, é um generoso e incansável amigo. Muito
obrigada.

Renata B. Souto Maior Baião

Juíza de Direito do Tribunal de Justiça de São Paulo, mestranda pelo Centro de Estudos de
Direito Econômico e Social (CEDES), membra do Núcleo de Direito Digital da Escola
Paulista de Magistratura, pesquisadora do Blockchain Research Institute Brasil e professora
de Direito Digital.
 Sumário
Apresentação
Capítulo 1 - Conceito de riscos e controles internos
1.1 Conceito de risco
1.2 Conceito de controles internos
1.3 Cultura organizacional
1.4 O lado comportamental das pessoas
Capítulo 2 - Controles internos
2.1 Entendimento sobre controles internos
Capítulo 3 - Gestão de riscos
3.1 Entendendo os riscos
3.2 Gestão de crises e con nuidade de negócios
3.3 Resultados esperados pelos métodos para iden ficação
dos riscos
3.4 Implementando a metodologia do COSO-ERM Framework
3.5 Gerenciando um mapa de riscos
Capítulo 4 - Casos de fraudes
4.1 Conscien zação e cultura
4.2 Exemplos de casos reais
Capítulo 5 - Lei Sarbanes-Oxley
5.1 Lei Sarbanes-Oxley
5.2 Impactos gerais da Lei Sarbanes-Oxley
5.3 Impactos da SOX em TI (Tecnologia da Informação)
5.4 Impactos da SOX nos custos
5.5 Desafios na implantação
5.6 Vantagens com a implementação
5.7 Ferramentas que auxiliam a adequação à lei
5.8 Categorias de controles segundo a SOX
Capítulo 6 - Conhecendo o COSO
 6.1 COSO – Commi ee of Sponsoring Organiza ons of the
Treadway Commission
6.2 Componentes de controles internos de acordo com o
COSO
6.3 Novo COSO-ERM
6.4 O escopo e o posicionamento da função de conformidade
em uma organização
6.5 Processos de iden ficação dos riscos segundo o COSO
Capítulo 7 - ISO 31000:2018 (riscos)
7.1 Introdução à ISO 31000:2018
7.2 Estrutura da gestão de riscos
7.3 Concepção da estrutura para gerenciar riscos
Capítulo 8 - Metodologia de análise de riscos
8.1 A metodologia de análise
8.2 Atribuições da gestão de risco operacional
Capítulo 9 - Indicadores, recursos e possíveis ferramentas
9.1 Análise SWOT
9.2 Metodologia de análise Hazop
9.3 Análise KPI – Key performance indicator
9.4 Análise BSC – Balance scorecard
9.5 Procedimentos internos
9.6 Mapeamento de processos, riscos e controles
9.7 Análise pelo sistema Pestel
9.8 Mapas e relatórios
9.9 CSA – Control self-assessment
Capítulo 10 - Segurança da informação
10.1 Conceito
10.2 As normas de segurança da informação ISO/IEC 27001 e
ISO/IEC 27002 e os seus documentos eletrônicos
10.3 Os bene cios da cer ficação em ISO 27001
10.4 Gestão de riscos de segurança da informação – ISO
27005:2008
Capítulo 11 - Coletânea de ar gos do autor – controles internos e
riscos
Lista de abreviaturas e siglas
Referências
Apresentação
É fato que a gestão de riscos está incorporada ao vocabulário corporativo há
algum tempo e, justamente com os controles internos, faz parte de nosso dia
a dia dos negócios. Em decorrência dos fatos ocorridos no mundo
corporativo e nanceiro, identi camos em nossos estudos, trabalhos e
pesquisas que algumas aplicações de controles internos passam a ser mais
efetivas quando conhecemos os riscos envolvidos na gestão de negócios e no
mapeamento desses riscos.
Se a gestão de riscos fosse algo simples e tão elementar, talvez o mundo não
tivesse se deparado com as crises nanceiras por que passamos nos últimos
anos e agora a crise com a pandemia. É importante salientar aqui que as
crises sempre questionam a qualidade, e ciência e execução da gestão de
riscos nas corporações, e acredito que a Covid-19 escancarou a ine ciência
da gestão de riscos em muitas organizações.
As pessoas sempre me perguntam como implementar controles internos e
gestão de riscos, e a resposta é sempre a mesma: entender o negócio,
implementar os controles e, obviamente, já indicar as possibilidades de
riscos e quando temos os processos mapeados, que facilitam muito o
processo de gestão dos negócios.
Entretanto, o entendimento sempre esbarra na falta de conhecimento do
próprio negócio por alguns pro ssionais e das metodologias internas no
reconhecimento das possibilidades de controles e dos riscos envolvidos, pois
o uxo da informação é muito importante, além da compreensão de onde o
negócio está inserido.
Como lidar com o risco do home o ce, que cou muito evidente durante a
pandemia? Muitas empresas implementaram modelos remotos sem ter uma
estrutura de segurança da informação adequada e ainda existem os riscos
trabalhistas, tendo em vista que a legislação não trata adequadamente esse
processo, chamado “teletrabalho”. Ainda teremos muito que ajustar nesse
processo de trabalho, que já foi incorporado 100% em muitas organizações.
Agora, alguns me dizem que os controles internos não são tão importantes
para a gestão de riscos ou para o compliance, mas o que muitos não sabem é
que um não vive sem o outro, são dependentes e convergentes, a
importância vai depender do tamanho do negócio, do apetite de risco e na
forma da gestão do negócio.
Portanto, os sistemas de controles internos continuam sendo utilizados
aquém de suas possibilidades, seja pela falta de cultura, seja pela negligência
dos riscos e dos controles necessários utilizados pela alta administração,
pelos gestores, pelos conselhos de administração e pelos comitês de
auditorias, tão enfatizados na governança corporativa.
Como não existem modelos padronizados, cada organização deve
implementar os sistemas segundo suas necessidades, sua complexidade, seu
volume de operações e seu apetite a risco. Lembre-se de que sempre temos
um limitador, quando não forem as questões nanceiras ou orçamentárias,
podemos esbarrar na ausência de gestão do conhecimento.
Geralmente o sistema de controles internos de cada organização é muito
diferente, mas é evidente e extremamente necessário. A nal, o Banco
Central (BC), a Comissão de Valores Mobiliários (CVM), a
Superintendência de Seguros Privados (Susep), a Agência Nacional de Saúde
Suplementar (ANS) e a Agência Nacional de Vigilância Sanitária (Anvisa),
entre outros órgãos reguladores, vêm a cada ano aperfeiçoando e realizando
melhorias em suas legislações, mas somente isso não basta. Fica evidenciado
o fato de que a gestão de riscos e os sistemas de controles internos podem
variar conforme o tamanho, o segmento e a complexidade das operações de
cada organização, pense muito nisso antes de tentar implementar um
processo de gestão de riscos em sua organização.
Em complemento, vamos apresentar as melhores práticas de mercado, como
o COSO-ERM, ISO 31000, entre outras normas ISO, e mais algumas
metodologias que podem ser utilizadas e implementadas, pois esperamos
contribuir com a especi cação e/ou quanti cação das melhores técnicas e
práticas sugeridas conforme instruções dos mais variados órgãos nacionais e
internacionais, com o objetivo de facilitar o entendimento desse assunto tão
evidenciado ultimamente.
Há anos temos evidenciado em aulas, palestras e nos nossos livros que os
controles internos são parte integrante do gerenciamento de riscos
corporativos e asseguram os processos de nidos pela alta administração. A
estrutura do gerenciamento de riscos corporativos necessita abranger o
controle interno, compliance e a segurança da informação, fazendo com que
seja uma ferramenta de gestão mais e ciente.
Vale ressaltar que conhecer o negócio, o mercado, os clientes, os
fornecedores, as legislações, os sistemas e os colaboradores é muito mais que
uma obrigação, é uma questão de necessidade e segurança organizacional;
a nal, os procedimentos internos e a gestão de riscos dependem do
conhecimento dos itens anteriormente citados.
A cada dia, a cada crise, esse assunto demanda maior evidência no mundo
corporativo. Podemos a rmar que se tornou motivo de necessidade, e não
bastam somente pesquisas e análises acadêmicas, necessitamos de
conhecimento e boas estruturas de negócios para identi car os pontos que
devem ser aprimorados. O controle interno, compliance e a gestão de riscos
necessitam de revisões periódicas, pois as perdas, os erros e as fraudes
di cilmente vão acabar, mas podem ser minimizados. Assumindo que o
controle interno seja aceito como base comum para o entendimento, seus
conceitos e termos deveriam, de alguma forma, ser incorporados aos
currículos universitários.
Capítulo 1
Conceito de riscos e controles internos
1.1 Conceito de risco
De acordo com o Blackwell Encyclopedic Dictionary of Finance:
Risco pode simplesmente ser de nido como exposição à mudança. É a probabilidade de que
algum evento futuro ou um conjunto de eventos ocorra. Portanto, a análise do risco envolve a
identi cação de mudanças potenciais adversas e do impacto esperado como resultado na
organização.

Segundo o Instituto Brasileiro de Governança Corporativa (IBGC), no seu

Guia de Orientação para Gerenciamento de Riscos Corporativos, o termo
“risco” é proveniente da palavra risicu ou riscu, em latim, que signi ca
“ousar” (em inglês, to dare). Costuma-se entender risco como possibilidade
de “algo não dar certo”, mas seu conceito atual envolve a quanti cação e a
quali cação da incerteza, tanto no que diz respeito às “perdas” como aos
“ganhos”, com relação ao rumo dos acontecimentos planejados, seja por
indivíduos, seja por organizações. Segundo (Bernstein, 1996, p. 7):
Quando investidores compram ações, cirurgiões realizam operações, engenheiros projetam
pontes, empresários abrem seus negócios e políticos concorrem a cargos eletivos, o risco é um
parceiro inevitável. Contudo, suas ações revelam que o risco não precisa ser hoje tão temido:
administrá-lo tornou-se sinônimo de desa o e oportunidade.

O risco é inerente a qualquer atividade na vida pessoal, pro ssional ou nas

organizações e pode envolver perdas, bem como oportunidades. Em
nanças, a relação risco-retorno indica que, quanto maior o nível de risco
aceito, maior o retorno esperado dos investimentos.
O risco tanto é uma propriedade objetiva de um evento ou atividade, relativa
à probabilidade de ocorrência de um evento adverso bem de nido, como
também é uma construção social e cultural. Aqui ca um questionamento,
tendo em vista que muitos gestores e administradores demonstram, no dia a
dia de seus negócios, um total desprezo ao gerenciamento dos riscos, pois
visam somente aos resultados, sem entender os processos internos, por isso
a importância dos controles internos.
Portanto, quando as prioridades não são estabelecidas conforme números e
indicadores internos de gestão, e critérios de prioridade instituídos pelos
valores sociais e estilos de vida preferidos – lembrando que, em uma mesma
sociedade, poderá haver diferentes estilos e formas de implementar um
gerenciamento de riscos –, podemos dizer que o risco é a possibilidade de
haver um acontecimento incerto, fortuito (ou acidental, independente da
vontade da empresa) e danoso (precisa haver perda). Podemos citar o
exemplo de cortar o dedo com uma faca de plástico: parece impossível, mas
tem gente que consegue.
O risco está associado às leis de probabilidade, fatos novos ou inesperados
podem ocorrer sempre. O risco tem de ser algo possível. Citamos como
exemplo a possibilidade de um avião cair ou a ocorrência de uma pandemia,
depende muito de como avaliamos e entendemos as possibilidades dos
riscos corporativos e operacionais.
Aproveitando a ocasião desta nova edição, gostaria de mencionar o livro A
lógica do Cisne Negro, de Nicholas Nassim Taleb, que aborda, por exemplo, a
questão da aleatoriedade de eventos, por isso ele denomina acontecimentos
improváveis de Cisnes Negros. Podemos citar a crise do Subprime em 2008,
o sucesso do Google e o atentado de 11 de setembro de 2001, que, segundo
ele, são exemplos de grandes eventos considerados Cisnes Negros.
O nome Cisne Negro vem da crença de que só existiam cisnes brancos no
mundo. Como muitos acreditavam que existiam cisnes de outra cor, por esse
motivo Taleb trata os Cisnes Negros não como uma exceção, mas como
situações que mudaram, mudam e mudarão drasticamente o destino do
mundo, seja na economia, na política ou em qualquer outra área. Fica muito
evidente o que ocorreu nas políticas de segurança contra ataques terroristas
nos Estados Unidos depois do evento das Torres Gêmeas em 11 de setembro
de 2001.
A gestão de riscos precisa considerar o desconhecido e devemos nos
concentrar não somente naquilo que podemos compreender, mas encontrar
oportunidades que podem ser aproveitadas, desde que entendamos melhor
o que se passa à nossa volta. Simpli car os fatos e acontecimentos é
importante, mas avaliar como tratá-los se torna mais relevante.
A ameaça é um risco na segurança corporativa, pois é um evento capaz de
produzir perdas reais e em certos casos mensuráveis por um padrão comum
(é de nido pela organização – pode afetar seu balanço e suas nanças e até o
desgaste de sua imagem interna ou externa, que serão mensurados pelo
impacto da reputação em seus serviços ou produtos).
Risco pode ser uma ou mais condições de variáveis com potencial
necessário de causar dano ao patrimônio da empresa, tangível ou intangível.
Muitos riscos são inerentes ao negócio, e a competência do pro ssional de
gestão de riscos e controle reside na seleção de quais riscos a empresa deve
tratar.
O risco é, portanto, inerente a qualquer atividade de negócio, pode ser de
qualquer natureza e ter dimensões e efeitos que podem ser negativos ou
positivos. O risco sempre estará presente, podendo haver baixo ou alto nível
de perigo, dependendo das medidas preventivas e de segurança existentes.
Basta evidenciar os efeitos da pandemia em muitas organizações, tendo em
vista que muitas organizações passaram por sérios problemas nanceiros, e
outras melhoraram seu faturamento no aproveitamento da oportunidade
que a pandemia proporcionou.
Por esse motivo, apresentamos a seguir, de uma forma simples, o ciclo de
análise e avaliação de riscos para que possamos entender as etapas que
devemos mapear internamente e, por que não, externamente também, tendo
em vista que a melhor forma que temos é o mapeamento dos processos, a
análise da nossa metodologia de controles internos alinhados a uma gestão
de compliance efetiva, para que seja possível avaliar os nossos riscos
corporativos existentes.

Figura 1.1 – Gestão de risco operacional: ciclo de análise e avaliação

 Fonte: Elaborada pelo autor.

Quando decidimos pela aplicação do conceito de risco na interpretação de

fenômenos, isso denota, a rigor, a rejeição do determinismo causal. Isso
porque, com o seu uso, há a admissão implícita do aleatório ou da
intervenção do acaso, e nunca esqueça que a subjetividade sempre fará parte
de sua análise de riscos, pois tudo pode acontecer ou nada pode acontecer,
vai depender do que fazemos, como fazemos e para quem fazemos.
Ainda que possa haver diferentes interpretações para o signi cado de
“acaso”, sempre haverá o reconhecimento de uma ignorância. Podemos aqui
ressaltar o que foi causado com a pandemia da Covid-19. No primeiro
instante, passamos pelo processo de negação, a nal, ninguém imaginava que
haveria mais de 30 dias de paralisação; na sequência, veio o processo do
desespero, quando as decisões nem sempre são racionais, por isso o fato de
os procedimentos matemáticos poderem oferecer uma dimensão para esse
“acaso”, em que aquela condição intrínseca de ignorância permanece. E com
fatos e indicadores de performance podemos dar subsídio para a tomada de
decisão.
Se anteriormente se contratavam seguros para proteção contra possíveis
eventos físicos indesejáveis, recentemente se fazem proteções de posições
nanceiras que ofereçam potenciais perdas, tendo em vista que os eventos
externos podem afetar seu negócio, seu faturamento, sua produção, seus
colaboradores e seus clientes.
O risco passou a ser considerado por Frank Knight (1921) uma “incerteza
mensurável”, diferente daquela “imensurável”, o que acaba por não
considerá-la mais incerteza, mas, sim, uma situação em que se pode esperar
por certos resultados mensuráveis e probabilísticos.
Desse conceito derivam vários tipos de risco possíveis, tais como risco puro
(em que se perde sempre), risco especulativo (situação em que se pode
perder ou ganhar), risco de demanda, risco de insumos, risco nanceiro,
risco de propriedade (no qual a propriedade está sujeita a roubos, fogo,
enchentes), risco de pessoas (decorrentes de fraudes), risco ambiental, risco
de exigibilidade ou contingências (criado por pessoas da própria empresa).
Essa tipologia leva ao enfoque da administração do risco, que será tratada
no decorrer desta obra.
Quando nos referimos a risco, não podemos deixar de citar alguns autores,
como Frank Knight (1921):
Nós devemos usar o termo risco para designar aquela incerteza que nós medimos e o termo
incerteza para aquela que não conseguimos medir. A palavra risco é comumente usada de
maneira ruim para se referir a qualquer tipo de incerteza do ponto de vista da contingência
desfavorável e o termo incerteza para o resultado favorável. Nós falamos do risco de uma perda e
da incerteza de um ganho.

Segundo Lawrence J. Gitman (2004):

É a possibilidade de perda nanceira. É usada como sinônimo de incerteza e refere-se à
variabilidade dos retornos associados a um ativo.

Em risco, aplicamos também o conceito de resiliência que é, segundo o

dicionário Aurélio: “s.f. Física. Característica mecânica que de ne a
resistência aos choques de materiais”.
O termo está focado na lei da física e resistência dos materiais, mas
atualmente utilizamos a palavra resiliência para de nir uma parte da gestão
de riscos; portanto, resiliência empresarial é a capacidade de enfrentar
adversidades e sobreviver a elas, mas ainda não é um conceito amplamente
disseminado no meio empresarial.
Uma pergunta paira no ar: como ser resiliente? Será que a pandemia
demonstrou o nosso verdadeiro grau de resiliência corporativa? Entendo
que devemos descobrir o segredo para contornar os riscos e sobrepor os
contratempos nos negócios e sempre que possível promover a
pro ssionalização do gerenciamento de riscos da organização, investindo
em um plano de negócios, um plano de gerenciamento de crises,
desenhando um uxo de caixa superior a 90 dias pelo menos, conhecendo
todas as possibilidades do empreendimento e possibilidades de perdas
existentes em nosso negócio. Ficou claro o despreparo de muitas
organizações, em 2020, em relação a isso.
Acreditamos que gestão de riscos e gestão de crises requerem visão no
ontem, no hoje e projeção para o futuro, somente assim podemos efetuar
uma gestão empresarial responsável, com base de informação con ável que
dê suporte à tomada de decisões na organização, com controles internos
mais efetivos, uma gestão de compliance próxima da gestão e da governança.

1.2 Conceito de controles internos

Em todos os processos de implementação de sistemas de controles internos,
sempre existe o questionamento sobre a necessidade de implementá-los ou
não. Acredito que, em muitos casos, seja mais pelo desconhecimento, ou até
pela negligência nas responsabilidades, mas não é possível alegar ignorância
da necessidade de ter controles mais efetivos que deem suporte à gestão;
portanto, no início do processo nos deparamos com as seguintes questões:

Eu preciso implementar um sistema de controle interno em

minha organização?
Qual é o custo da implementação?
E qual o tamanho do projeto?
Existe uma legislação que me obrigue a implementá-lo?
 E se não implementarmos qual o impacto?
Como posso implementá-lo na minha empresa?
Como mudar o comportamento da organização na busca de
modelos mais seguros e e cientes?

Para as perguntas acima, temos as respostas, e elas são simples segundo

nosso entendimento sobre o assunto e a vivência na implementação de
controles internos e corporativos. Como o próprio título demonstra, os
controles internos demandam uma forte questão cultural, que deverá ser
mais bem tratada a cada política e processo introduzidos na empresa; por
isso, quanto mais conhecermos os limites do negócio, maior será nossa
gestão de riscos.
A nal, todas as empresas necessitam de controles internos para salvaguardar
os ativos, sejam eles nanceiros ou físicos. Devemos ter indicadores de
performance que realmente demonstrem o que fazemos, como fazemos e os
resultados que apuramos. Para que o entendimento se faça mais claro, basta
lembrar o que fazemos com nosso extrato bancário: veri camos os débitos
de tarifas, transferências, créditos, pagamentos e saques. E o que é isso?
Nada mais que controle interno, mas neste caso é um controle interno
pessoal, que todos fazem, porém não damos esse nome a ele, tudo é uma
questão de entender a essência do processo.
O controle interno pode ter custo, sim, mas esse custo dependerá do modo
como o controle é realizado; quanto mais próximo da gestão, mais fácil será
a maneira de justi car a sua implementação. É possível implementar um
sistema de controles internos com os recursos existentes. Podemos dizer
sem medo de errar que sim; contudo, devemos pelo menos conhecê-los.
Para isso, basta identi car as fragilidades nos processos e aplicar alguns
controles compatíveis com a necessidade.
Na maioria das organizações, basta identi car o uxo das operações e
colocar alguns pontos de veri cação e checagem, como aprovações,
autorizações, relatórios, registros, prestação de contas e o monitoramento
periódico de transações, mas não é tão simples assim. Para controlar,
necessitamos entender; por isso, sempre que possível, sugerimos o
mapeamento de processos operacionais, que facilita demais a gestão de
qualquer negócio.
Aumentar o quadro de colaboradores nem sempre é a solução imediata, mas
devemos mitigar os riscos e as possibilidades de controle para os processos
internos, com foco na segurança da informação gerada e na busca de
maximizar os resultados operacionais, de preferência minimizando as
perdas operacionais. Pense como sua organização agiu durante a pandemia.
A organização tinha um projeto de testar alguns acessos remotos e da noite
para o dia necessitou implementar home o ce total na organização, você
conversou com o pessoal da TI sobre o impacto e os riscos dessa operação?
O Comitê de Procedimentos de Auditoria do Instituto Americano de
Contadores Públicos Certi cados (AICPA) diz que:
Controles Internos compreendem o plano de organização e todos os métodos e medidas adotadas
na empresa para salvaguardar seus ativos, veri car a exatidão e delidade dos dados contábeis,
desenvolver a e ciência nas operações e estimular o seguimento das políticas executivas
prescritas.

A Instrução Normativa n. 16, de 20.12.91, do Departamento de Tesouro

Nacional, reporta que:
O conjunto de atividades, planos, métodos e procedimentos interligados utilizado com vistas a
assegurar que o objetivo dos órgãos e entidades da administração pública sejam alcançados, de
forma con ável e concreta, evidenciando eventuais desvios ao longo da gestão, até a consecução
dos objetivos xados pelo Poder Público.

Segundo Attie (2002):

O Controle Interno compreende o plano de organização e o conjunto coordenado de métodos e
medidas, adotados pela empresa, para proteger seu patrimônio, veri car a exatidão e a
dedignidade de seus dados contábeis, promover a e ciência operacional e encorajar a adesão à
política traçada pela administração.

Quanto à legislação especí ca para implementação de controles internos,

basta identi car a atividade que a empresa exerce:

Se for uma empresa de capital aberto, com ações na Bolsa de

Valores, deve seguir as regras de Governança Corporativa, bem
scalizada pela Comissão de Valores Mobiliários (CVM).
 Se possuir ações negociadas nos Estados Unidos da América,
deverá seguir a Lei Sarbanes-Oxley (SOX).
Se for uma seguradora, deverá seguir as regras da Susep.
Se for uma instituição nanceira, deverá seguir as regras do Banco
Central do Brasil e da Basileia.
Se for uma operadora de plano de assistência à saúde, deverá
seguir as regras da ANS.
Se for uma entidade fechada de previdência complementar, deverá
seguir as regras da Superintendência Nacional de Previdência
Complementar (Previc).

Mas e quando sua empresa não está ligada a nenhum dos órgãos reguladores
citados?
Por isso abordaremos aqui os modelos aplicados pelas empresas nanceiras
e não nanceiras, valendo ressaltar que não existem modelos únicos, não
existe uma “receita de bolo” que nos conduz à busca de processos de sucesso,
os modelos são criados conforme nossa necessidade.
Dessa forma, esses sistemas criam uma proteção capaz de mitigar os riscos
das organizações e proteger não só informações e resultados, mas também o
investimento dos acionistas.
Para essa formatação, apresentamos a governança corporativa (GC), que tem
auxiliado muito a implementação de controles internos, contábeis e
nanceiros mais con áveis; a nal, tomou maior grau de importância depois
da safra de escândalos corporativos em meados de 2002, como Enron,
WorldCom, Parmalat e Tyco.
A governança corporativa tornou-se um tema dominante nos negócios. O
interesse por GC não é novo, mas a gravidade dos impactos nanceiros dos
escândalos mencionados anteriormente solapou a con ança dos
investidores, fossem eles individuais ou institucionais, e acentuou a
preocupação na proteção dos stakeholders.1
Em muitos países, a governança cabe a um conselho supervisor responsável
pela proteção dos direitos dos acionistas e dos stakeholders. E o conselho,
por seu turno, trabalha com uma equipe de alta gerência para implementar
princípios de governança que assegurem a e ciência dos processos
organizacionais.
A Organização para a Cooperação e Desenvolvimento Econômico (OCDE)
mostra dois lados complementares da governança:
a. Lado comportamental da governança corporativa: abrange
relacionamentos e padrões de comportamento entre diferentes agentes
em uma empresa de responsabilidade limitada. É o modelo de como
administradores, acionistas e também colaboradores, credores,
clientes-chave e comunidades interagem entre si para formar a
estratégia da empresa.
b. Lado normativo da governança corporativa: designa o conjunto de
regras que regulam esses relacionamentos e comportamentos privados,
o que molda a formação de estratégia corporativa. Essas regras podem
ser normas da empresa (políticas internas), regulamento de segurança
ou requisitos para cotação na bolsa, ou ainda regulamentações próprias
e privadas.
Para falar de controle interno, normas, procedimentos, conformidade,
governança, gestão, riscos, políticas, leis, regulamentos, auditoria,
controladoria, seja qual for a nomenclatura, devemos entender que todos
nós necessitamos de melhorias e estamos na busca pela organização perfeita,
mas não é tão simples, por esse motivo lançamos aqui um questionamento:
em qual nível de maturidade de controles internos sua empresa se encontra?

Nível 1 – não con ável: as atividades de controle não são

mapeadas.
Nível 2 – informal: os controles dependem principalmente das
pessoas.
Nível 3 – padronizado: as atividades de controle são mapeadas e
implementadas.
Nível 4 – monitorado: controles padronizados e com testes
periódicos.
 Nível 5 – otimizado: utilização de automação e ferramentas para
apoiar as atividades de controle interno (CI).

Faça esse teste e analise os resultados, mas faça com responsabilidade e

honestidade, pois a resposta fornecerá uma direção à futura gestão de riscos
e controles internos a sua organização ou empresa, pois seu projeto de
implementação de melhorias vai depender muito de um processo de
mapeamento de processos corporativos. Pense nisso.

1.3 Cultura organizacional

Mais uma vez abordo o termo cultura organizacional em uma obra minha,
pois ainda sofremos com diversas barreiras culturais e operacionais nas
organizações, que em muitos momentos inviabilizam qualquer projeto ou a
implementação de uma gestão de controles e riscos e cientes.
Portanto, o termo cultura organizacional possui diversos conceitos, que
seguem linhas diferentes conforme vários autores, mas com certeza uma é
comum a todos: a di culdade de mudança.
A mudança da cultura organizacional somente ocorrerá com um
gerenciamento de condutas e aprimoramento das posturas dos
colaboradores, gestores e administradores.
Dentro de uma organização, o convívio e o aprendizado cultural deveriam
fazer com que os colaboradores se envolvessem continuamente, de maneira
progressiva e proativa na busca de melhores processos e na implementação
de políticas internas para salvaguardar os objetivos e interesses da
organização.
Dessa forma, quanto antes uma cultura for implementada e compartilhada
por todos, acreditamos que maior será sua in uência tanto nos pensamentos
e nas percepções quanto nos sentimentos de todos.
A cultura organizacional é capaz de modelar as formas de gestão e os
comportamentos, uma vez que implementa a prática de valores essenciais à
organização, estimula o comprometimento de seus colaboradores, cria um
clima propício ao trabalho e consolida uma base cultural interna.
É preciso lembrar que as normas e os procedimentos devem representar um
conjunto de regras operacionais com o objetivo de regulamentar os
processos internos de cada área da organização, e essas regras devem ser
aplicadas visando às melhores práticas de administração dos negócios para a
organização.
A seguir podemos citar alguns exemplos comuns de normas ou
procedimentos já existentes no mundo corporativo:

despesas de viagens internacionais e nacionais;

reembolso de despesas administrativas;
compra de material produtivo;
compra de equipamentos;
contratação de serviços de terceiros;
controle de acesso a sistemas;
uso de e-mail e internet;
uso de equipamentos corporativos;
proteção de dados e segurança da informação;
gestão de imobilizado.

Geralmente, normas ou procedimentos são elaborados por especialistas,

áreas ou empresas especializadas e podem ser complementados por
instruções de trabalho (documentos com detalhes técnicos).
A tecnologia da informação está em constante evolução, fazendo com que
diminuam o espaço entre os controles e a velocidade de informação. O
mundo tecnológico muda rápida e profundamente; com isso, as
organizações sofrem grandes transformações, levando-as à busca de
melhores ferramentas para acompanhar as mudanças, se possível, na mesma
velocidade.
Com a informatização dos processos administrativos e o surgimento
constante de novas tecnologias, as organizações começam a redesenhar os
uxos de informação, tornando-se evidentes as mudanças no volume e no
conteúdo da informação. As organizações passam a conviver com variadas
iniciativas de gestão do conhecimento, controle e segurança da informação e
a própria gestão de TI. Aqui ca nossa dica, muitos processos de home o ce
necessitam ser identi cados, desenhados e estruturados para que as
mudanças façam efeito.
A comunicação tem, cada vez mais, papel fundamental na democratização
da informação. Seus impactos são traduzir a estratégia de negócios em valor
para o cliente, gerenciar e recompensar os talentos da organização e
estruturar as atividades de trabalho no dia a dia. Dessa maneira, a cultura
organizacional deve ser trabalhada conforme suas cinco dimensões básicas:
1. Realização (individual ou coletiva);
2. Ambiente (para resultados e processos);
3. Perspectiva (da tradicional à inovadora);
4. Poder (retido ou compartilhado);
5. Risco (a ser evitado ou incentivado).
Um dos grandes desa os para a implementação de gestão de riscos e de
controles internos, e até mesmo na função de Compliance O cer, é a questão
da cultura organizacional, pois temos a função de transmitir a todos os
envolvidos nos processos internos da organização o porquê de sua
necessidade e importância de cada um nos processos. A nal, quem já não
ouviu que os processos são burocráticos e atrapalham os negócios da
empresa? Basta pesquisar na internet e nos jornais, que veremos os últimos
escândalos e as perdas milionárias ocorridas recentemente, e alguém se
lembrará da existência da área de riscos, controles internos e compliance.
Por meio de nossos estudos, é possível comprovar as teorias e citar como
exemplo casos muito bem explorados pela mídia, como Societé Generale,
Sadia, Aracruz, Banco PanAmericano, Siemens, Union Bank of Switzerland
(UBS), Olympus, Petrobras, OGX e empreiteiras, ocorridos por motivo de
ausência de monitoramento e negligência dos controles da alta direção e dos
conselhos de administração, que perderam grandes valores nanceiros,
abalando a imagem dessas organizações, quando elas não quebram.

1.4 O lado comportamental das pessoas

É necessário capacitar e treinar os colaboradores. Como a mudança é, de
certa forma, radical para alguns, surgiu um mundo novo, com novas rotinas,
e a informação agora está nas pontas dos dedos. É necessário tirar proveito
da tecnologia que surge a cada dia e logo serão observados os primeiros
resultados.
As questões comportamentais das pessoas dentro das organizações podem,
da mesma forma, fortalecer seu modelo de gestão de riscos, compliance,
segurança da informação e controles internos; assim como, quando as
pessoas não participam dos processos e os negligenciam, podem prejudicar
as nanças, com perdas e multas operacionais, bem como a imagem e
reputação do seu negócio. Por isso, o gerenciamento de condutas e
aprimoramento de posturas deve ser avaliado a todo momento dentro de
sua organização.
Tendo em vista que essas ferramentas corporativas necessitam estar
alinhadas às estratégias e expectativas do negócio, acreditamos que as
organizações têm a possibilidade de disponibilizar políticas, normas e
processos internos a serem praticados por todos na organização. Quanto
melhores a comunicação e a capacitação de todos, melhores e mais seguras
serão a governança e a gestão, uma vez que uma norma ou um processo mal
divulgados acarretam a possibilidade de erro ou negligência dos envolvidos
na gestão dos negócios, o que gera transtornos. Em decorrência de as
pessoas desconhecerem o que a organização espera delas, elas criam seu
próprio processo e suas próprias regras. Isso é um absurdo, mas acontece.
Quando os controles internos não são efetivos ou são inexistentes, bem
como possuem fragilidades no ambiente corporativo, os controles
relacionados à falta de manutenção dos controles, normas, políticas ou
procedimentos podem expor a organização a riscos que podem afetar o
atingimento dos objetivos, principalmente as suas estratégias para alcançá-
los.
Sempre teremos algumas perguntas com grau de di culdade para responder
sem um estudo mais aprofundado sobre o assunto, tendo em vista que, se
não tivermos o domínio dos processos, como poderemos ter uma gestão de
riscos corporativos? É fundamental saber que os administradores podem ser
responsabilizados pelas perdas ocorridas em sua gestão, pois essa é mais
uma das mudanças ocorridas na legislação vigente no que tange à gestão de
riscos e compliance. Para que isso seja mais bem entendido, basta lembrar-se
de governança corporativa e melhores práticas de controles internos.
A informação produzida ou recebida deverá ser utilizada com senso de
responsabilidade e de modo ético e seguro, em benefício exclusivo dos
negócios corporativos, e todos os equipamentos de informática,
comunicação, sistemas e informações deverão ser utilizados pelos
colaboradores internos e externos para a realização das atividades
exclusivamente pro ssionais. Mais um desa o: como fazer isso a distância?
E o custo de implementação de sistemas de monitoramento?
Agora vem a parte mais interessante, pois a organização reserva-se o direito
de monitorar e registrar todo o uso das informações, dos sistemas e dos
serviços. Para tanto serão criados e implantados controles apropriados e
trilhas de auditoria ou registros de atividades em todos os pontos e sistemas
que a empresa julgar necessário para reduzir os riscos, como, por exemplo,
nos computadores de mesa, notebooks, nos acessos a internet, no correio
eletrônico e nos sistemas comerciais e nanceiros, ainda mais agora, pós-
pandemia, com os acessos remotos.
Então agora surgem dúvidas: como posso monitorar um colaborador que
utiliza tablets e smartphones, se todos os processos estão direcionados para
os sistemas internos? Até onde é perigoso? Devemos proibir a utilização
desses equipamentos? Sem contar as atividades home o ce, quando um
colaborador pode trabalhar em casa e enviar informações pelo seu e-mail
particular; assim, podemos dizer que seria impossível realizar tais atividades
dentro da organização. A questão de conformidade (compliance) permite
que venhamos a questionar tamanha liberdade e tamanho grau de
responsabilidade.
Devemos buscar um maior entendimento de como podemos “estar” e “ser”
compliance dentro de nosso negócio, pois a velocidade da informação e das
mudanças tecnológicas supera nossas legislações todos os dias. O
pro ssional de tecnologia da informação, compliance, auditoria, riscos e
controladoria necessita buscar maiores conhecimentos para aprimorar suas
atividades pro ssionais e evidenciar o fato de que todos fazem parte da
validação e da normatização na busca pela segurança de nossas informações.
Podemos ainda citar um trecho de Nelson Carvalho, professor da Fundação
Instituto de Pesquisas Econômicas, Contábeis, Atuariais e Financeiras
(Fipeca ), da Universidade de São Paulo, do artigo publicado no jornal
Valor econômico, de 16 jul. 2009:
[...] explica que, conceitualmente, a análise dos controles deve chegar até as políticas das
companhias. Segundo ele, os sistemas e procedimentos de controle existentes numa companhia
servem para “dar amparo e consequência” às políticas. Dessa forma, cabe aos auditores avaliarem
as políticas das companhias que auditam.

Para Carvalho, há espaço para julgamento qualitativo a respeito das

eventuais fragilidades dos controles internos na gestão dos riscos, e a
segurança da informação também faz parte desse processo de controle.
Devemos acompanhar bem de perto todas as mudanças, sejam elas por
necessidade de melhores práticas, por custos ou por imposição dos órgãos
reguladores, mas não podemos deixar de lado a necessidade de gestão;
portanto, o compliance de TI ou operacional deve caminhar lado a lado com
essas áreas na organização, sob pena de perder espaço no mundo
corporativo.
Vale a pena salientar a loucura que foi o ano de 2020 com a entrada da Lei
Geral de Proteção de Dados Pessoais (LGPD), quando muita gente partiu
para entender os riscos dos processos, mas sem entender de segurança da
informação e as normas do grupo da ISO 27000, ca difícil implementá-la.
Por isso, ca aqui nossa dica, tenha seus processos mapeados, entenda quais
são os principais processos internos e quem acessa as informações.
Conforme publicado em meu artigo na revista Ferramental, matéria de capa
da edição 92, então, se você tem a intenção de fazer a implementação, deve
se enquadrar nas exigências da lei, e as empresas terão que fazer algum
investimento, seja em tecnologia ou em capacitação de seus pro ssionais
internos, para a implementação de uma estrutura adequada e uma política
interna de compliance digital acerca do tratamento de dados de seus clientes.
Isso vale tanto para empresas do setor público como do setor privado.
Vale como dica que a primeira ação a ser tomada é um diagnóstico da sua
organização com sua equipe de TI juntamente com a área de controles
internos, riscos e compliance – sejam da própria empresa ou terceirizada –
com relatórios de análises de risco e de análises de impacto das novas
exigências. Assim, será possível veri car em qual estágio a empresa se
encontra nesse sentido, quais são os pontos mais vulneráveis de seus
sistemas e constatar quais são os maiores fatores de risco.
De acordo com algumas informações publicadas ultimamente, devemos
dizer que, para estar em compliance com a LGPD (ou com a GDPR), não se
trata apenas de revisão de políticas e contratos. É uma mudança complexa
de cultura e na forma de fazer gestão de dados, momento mais que
oportuno para conhecer melhor seu negócio e como as informações estão
uindo dentro e fora dele, tendo em vista que temos ainda um processo de
home o ce em pleno movimento dentro das organizações.
Devemos avaliar cada processo, identi cando suas diversas etapas, tais como
avaliação de impacto, organização de banco de dados, implementação de
mecanismos de segurança (proteção de invasão, criptogra a, duplo fator de
autenticação, mudança de autorizações de acesso etc.), treinamento de
colaboradores internos e terceiros, adequação de políticas internas e
contratos, plano de resposta a incidente, dentre várias outras etapas que
envolvem tempo e trabalho para um resultado con ável e adequado à
realidade da empresa. Não é algo que se faz “do dia para a noite”.
Por esse motivo, sempre enfatizamos a necessidade de melhoria nos
controles internos, com isso podemos avaliar inúmeros itens previstos na lei.
Citamos alguns:
 Aplicabilidade da LGPD em nosso negócio e de terceiros.
Titularidade dos dados, como e quando avaliar?
Finalidade do tratamento dos dados, quem vai fazer?
Forma de armazenamento dos dados, como, quando e onde?
Compartilhamento dos dados, tenho ferramentas de
monitoramento?
Quais dados são considerados sensíveis? Geralmente estão no
RH?

Outra dica essencial é realizar a classi cação de dados, neste item

salientamos a necessidade de mapeamento de processos com a área de
tecnologia da informação para que possamos realizar na seguinte ordem:

Mapeamento de dados, utilizando o 5W2H se quiser.

Onde estão armazenados os dados pessoais?
Quais os processos tratam de dados pessoais?
Consentimento para o uso dos dados, como fazer e com quem.
Acesso aos dados, quem pode, como e quando acessar.
Atualização, correção e exclusão, responsabilidades e obrigações.
Portabilidade, como orientar o cliente sobre suas políticas.
Proteção dos dados internos e de terceiros.
Direito ao esquecimento, cuidado ao apagar o passado.

Falando em gestão de riscos corporativos, devemos nos preparar para que

tenhamos um processo de segurança jurídica, com base nas exigências e
penalidades da lei, observando:

Quais são as sanções previstas na lei?

Que tipo de documentação é exigida?
Como devemos e podemos guardar as evidências?
 Alguns cuidados contratuais na venda de bens e serviços.
Como podemos compartilhar os dados?
Gestão de terceiros.
Como identi car e tratar os dados de menores?
Quais os tipos de seguro para cobertura de multas e o que fazer
para que o incidente esteja coberto?

Entende agora por que falamos tanto de controles internos, sobre a sua
importância, pois a ausência deles pode causar danos irreparáveis a qualquer
organização, e os riscos podem a orar em seus demonstrativos nanceiros e
no caixa da empresa, pois qualquer mudança nos ambientes de negócios ou
na legislação pode afetar tudo aquilo que você acreditava que estava em
ordem.
Falar em e ciência e e cácia traz prestígio e reconhecimento, mas a busca
pelo resultado demanda muito mais que uma boa gestão nanceira ou
alguns documentos publicados na sua rede interna. Necessitamos entender
onde estamos, como chegamos e aonde podemos chegar, e precisamos
mapear os processos, implementar controles e depois reavaliar os riscos;
a nal, já existem organizações que, em muitos momentos, buscam
implementar controles por existirem melhores práticas e depois avaliam a
verdadeira necessidade.
Por esse motivo, nem sempre os controles são e cazes. Historicamente,
mesmo com legislação especí ca, temos muitas di culdades para
implementar processos que sejam adequados aos negócios, geralmente
esbarramos no “faça o mínimo possível somente para atender ao órgão
regulador”.
Infelizmente essa é a cultura do “faz de conta”, ou “me engana que eu gosto”,
quando implementamos algum processo, seja de riscos, compliance,
segurança da informação e controles internos, com o nítido propósito de
atender somente à demanda regulatória. Posso dizer, sem medo de errar, que
os objetivos não serão atingidos, pois devemos implementar governança,
riscos e compliance com o propósito de proteger a organização e as pessoas
envolvidas nele. Se zermos com responsabilidade e honestidade,
conseguiremos atingir os dois objetivos: o regulatório e a proteção da
organização.
Quando identi carmos falhas, elas sempre estarão intimamente atreladas às
tão conhecidas resistências e barreiras, mas não podemos deixar de
evidenciar que são apresentadas sempre as mesmas desculpas, quem nunca
ouviu:

“Sempre z assim e nunca me falaram nada”;

“O que eu ganho com isso?”
“Preciso me dedicar a isso.”
“Eu tenho que fazer o seu trabalho.”
“Nunca zemos assim e agora querem mudar.”
“Sempre z dessa forma.”
“Aprendi assim.”
“Mudar pra quê?”
“Em time que está ganhando não se mexe.”
“Já tentamos tantas vezes e...”

Pessoas, normalmente, são resistentes a mudanças, e as empresas não são

diferentes. Mudar hábitos é um grande desa o em todas as áreas da
atividade humana, incluindo as organizações. Na contribuição da
construção dos processos internos, identi camos algumas das principais
barreiras à mudança no que tange ao aspecto individual:

insegurança econômica;
medo do desconhecido;
ameaças ao convívio social e corporativo;
mudanças de hábitos e rotinas;
di culdade de reconhecimento da mudança.
Mas também temos as barreiras organizacionais e corporativas:

desconhecimento da estrutura;
necessidade de engajamento dos grupos de trabalho;
ameaças aos poderes existentes;
con itos de interesses e necessidades pessoais;
experiência anterior de mudanças malsucedidas.

1 Stakeholder, em português, signi ca “parte interessada ou interveniente”, refere-se a

todos os envolvidos em um processo, por exemplo, clientes, colaboradores, investidores,
fornecedores, comunidade etc.
Capítulo 2
Controles internos
2.1 Entendimento sobre controles internos
Os controles internos podem ser todas as políticas adotadas pelas empresas
com o intuito de mitigar riscos e melhorar processos. Segundo o próprio
Instituto Americano de Contadores Públicos Certi cados (AICPA2, sigla em
inglês), os principais objetivos dos controles internos são:

proteger os ativos da empresa;

obter informações adequadas;
promover a e ciência operacional da organização;
estimular a obediência e o respeito às políticas da administração.

Em outras palavras, os controles internos devem assegurar que as várias

fases do processo decisório e do uxo de informações se revistam da
necessária con abilidade. Podemos dizer que os controles internos são
ferramentas para que a prestação de contas possa acontecer internamente na
organização, por meio de indicadores de performance que demonstrem os
resultados e a efetividade dos departamentos e de seus processos
corporativos.
Aqui evidenciamos o fato de que alguns gestores de negócio e até mesmo a
alta administração não identi caram que o objetivo dos controles internos é
salvaguardar a empresa. Isso ca muito evidente quando as informações das
perdas nanceiras são desconhecidas pelos responsáveis da gestão do
negócio, pois, sem acompanhamento periódico das operações, sempre
vamos ser surpreendidos. Muitas organizações foram surpreendidas pela
pandemia, ao descobrirem a verdadeira situação de seu caixa e de suas
operações.
Muitas faliram e outras entraram em recuperação judicial, segundo
informações da Serasa Experian, no acumulado do ano até o m de outubro
de 2020. Segundo o levantamento, foram 539 solicitações de recuperação
judicial no país no setor de serviços, contra 435 no mesmo período do ano
anterior. Segundo o economista-chefe da Serasa Experian, Luiz Rabi, isso se
deve à maior fragilidade do setor diante do isolamento social imposto no
combate à Covid-19.
“Como muitos negócios deste segmento dependem do atendimento a vários consumidores ao
mesmo tempo, como bares, restaurantes, turismo, cinemas e teatros, suas ações foram seriamente
impactadas e, com isso, muitos optaram pela recuperação judicial para evitar encerrar as
atividades”, ele explica.

As discussões sobre controles internos e riscos operacionais estão cada vez

mais frequentes no meio corporativo, principalmente com a ocorrência de
diversos casos de prejuízo tanto operacionais quanto não operacionais, além
do fracasso de muitas companhias. Por isso, surgiram muitos movimentos
voltados à melhoria e à modernização da gestão das companhias devido à
própria necessidade de sobrevivência das empresas, o que cou mais
evidente na pandemia. Assim, houve incentivo aos debates sobre valor
agregado e importância dos controles internos, e do gerenciamento de crises
e de riscos.
Eventuais problemas que dizem respeito à efetividade dos controles internos
adotados podem estar em todas as áreas da organização, no
desenvolvimento do produto, na comercialização, na gestão de pessoas, na
tesouraria e nos departamentos de tecnologia e de contabilidade.
Isso signi ca que um adequado sistema de controles sobre cada uma dessas
funções assume fundamental importância para atingir resultados mais
favoráveis, pois, onde não existem procedimentos de controles internos ou
existem, mas são negligenciados, frequentemente ocorrem erros, perdas e
desperdícios.
A aplicação do conceito de risco na interpretação de fenômenos denota, a
rigor, a rejeição do determinismo causal. Isso porque, com o seu uso, há a
admissão implícita do aleatório ou da intervenção do acaso. Ainda que
possa haver diferentes interpretações para o signi cado de “acaso”, sempre
há o reconhecimento de uma ignorância. E mesmo o fato de os
procedimentos matemáticos poderem oferecer uma dimensão para esse
“acaso”, aquela condição intrínseca de ignorância permanece.
Uma pergunta paira no ar: como ser resiliente? Entendo que seja descobrir o
segredo para contornar os riscos e contratempos nos negócios e promover a
pro ssionalização do gerenciamento da empresa, investindo em um plano
de negócios, desenhando um uxo de caixa, conhecendo todas as
possibilidades do empreendimento e possibilidades de perdas existentes.
Acreditamos que gestão de riscos e gestão de crises requerem visão no
ontem, no hoje e projeção para o futuro, somente assim podemos efetuar
uma gestão empresarial responsável, com base em informação con ável que
dê suporte à tomada de decisões na organização.
Por esse motivo, acreditamos que, para o seu negócio ser sustentável nesse
imenso desa o – e haja desa o! – tanto na mudança da gestão como na
forma de continuar o seu negócio, entendemos que a gestão de riscos deverá
ter seu papel com o grau de relevância para manutenção de seus produtos e
serviços, colaboradores e gestores, clientes e, por que não, com seus
fornecedores; a nal, todos fazem parte de sua cadeia de valor.

Figura 2.1 – Cadeia de Valor de Porter

Fonte: Elaborada pelo autor.

Para que possamos entender melhor, apresentamos o conceito de Cadeia de

Valor, que é um modelo que visa estruturar as atividades desenvolvidas por
uma organização, com o objetivo de criar valor para seus clientes. Este
conceito foi desenvolvido pelo professor Michael Porter, da Harvard
Business School em 1985, que consiste na criação de um uxograma para o
controle dos conjuntos de atividades de valor para que as empresas possam
analisar o funcionamento das relações entre elas. Nas questões de
mapeamento de riscos, facilita muito o entendimento dos processos de
negócios, seus controles, suas conformidades e probabilidades, e impactos
de perdas que podem ocorrer dentro de cada organização.
A importância dos sistemas contábeis e dos controles internos pode ser mais
bem de nida se considerarmos os seguintes fatores:

Tamanho e complexidade da organização: quanto maior for a

entidade/organização, muito mais complexa será sua estruturação.
Para dimensionar o tamanho das operações a serem controladas, a
administração deverá implementar relatórios e métodos de análise
e avaliação com critérios bem de nidos, que re itam a situação a
cada momento na organização e, quando possível, de maneira
tempestiva.
Responsabilidades: quem deve zelar pelos ativos, patrimônio e
pela prevenção a erros e fraudes, por mais que delegue
responsabilidades aos gestores, é a administração, que é a
principal responsável pela instituição. A manutenção de um
sistema de controle interno adequado é indispensável para a
execução correta desse item.
Caráter preventivo: o principal objetivo dos controles internos é
prevenir, podendo-se tornar a mais importante proteção para a
empresa. As rotinas de monitoração, veri cação e revisão são
características essenciais para um bom sistema de controles
internos. Reduzem a possibilidade de erros ou tentativas de
fraudes, quando tratadas com a devida importância, e permitem
que a administração tenha mais con ança nas informações e
demais dados gerados pelos sistemas.

Quando damos a devida atenção ao monitoramento e à análise de relatórios,

podemos identi car, claramente, as ferramentas de avaliação de possíveis
problemas operacionais e realizar a:

veri cação do realizado contra o orçado;

 avaliação de performances operacionais;
avaliação de custos e receitas;
avaliação das mudanças de comportamento operacional;
análise das causas de possíveis desvios;
ação com medidas corretivas, garantindo a continuidade e
integridade da organização;
avaliação da liquidez e de provisões operacionais.

O controle interno é um processo levado a efeito pelo conselho, pela alta

administração, pelos gestores do negócio e por todos os níveis hierárquicos.
O mais importante nesse ponto é que a alta administração incorpore a
cultura de controle, para que todo o processo seja mais efetivo e funcional,
pois o exemplo sempre vem de cima, não basta criar regras, devemos
cumprir e cobrar o cumprimento internamente.
Se a alta administração não exercer a sua parte no processo de
conscientização, o restante da organização seguirá o exemplo. Devemos
alertar que, caso alguma norma seja negligenciada pela alta administração
ou pelos gestores, a organização correrá sérios riscos de perdas, por isso os
controles internos são formas efetivas da prestação de contas.
Não podemos de nir controles internos somente como procedimentos ou
políticas que executamos de tempos em tempos, mas devem funcionar
continuamente em todos os níveis dentro de uma organização e, sempre que
possível, devem ser revisados e atualizados. Esse processo é de suma
importância e deverá ser executado pela área de compliance e controles
internos, sendo veri cado pela área de auditoria interna para testar a e cácia
dos processos.
Cabe salientar que os controles internos permeiam todas as operações e
atividades de uma organização, e a veri cação de exposição a riscos não será
completa sem uma adequada avaliação da cobertura e efetividade dos
controles internos.
Hendriksen e Van Breda (2007) comentam que a con abilidade é uma das
características principais para a tomada de decisão e de nem:
 A qualidade da informação garante que a informação seja razoavelmente livre de erro e viés e
represente elmente o que visa representar. A con abilidade, disse o Fasb, é função de:

Fidelidade de representação
Veri cabilidade
Neutralidade

Ainda em Hendriksen e Van Breda (2007), identi camos a seguinte

a rmação sobre regras de conduta:
Regras de conduta pressupõem um processo político. Negociações, barganhas, permutas, força –
independentemente de como seja descrito, trata-se de um jogo de poder. O que está em jogo é o
lucro da empresa e o objeto do jogo é divulgá-lo quando o quer. Os autores de padrões, neste
contexto, procuram elaborar regras somente quando é impossível evitá-lo, e procuram elaborá-
las de maneira a criar um equilíbrio de poder. Esse equilíbrio de forças pode levar a regras que
favorecem apenas um grupo de interesse, ou a regras que criam ou preservam um impasse.

O enfoque de fraude, aparentemente, está desalinhado de um padrão

existente na literatura acadêmica disponível no Brasil. Essas fontes
cientí cas nacionais consagram o controle interno, prioritariamente, como
elemento de gestão e supõe-se que o controle interno e contábil tende a
favorecer o processo de gestão não apenas quanto à prevenção de fraudes,
mas até mesmo para evidenciar a e ciência operacional e favorecer, com
metodologia, a forma que podemos acompanhar os resultados dos negócios
e alinhar os níveis de serviços prestados, seja pelos colaboradores, seja pelos
terceiros.
Almeida (2003) comenta o controle interno e sua relação com o processo de
geração de informações contábeis e gerenciais, como se segue:
O controle interno representa em uma organização o conjunto de procedimentos, métodos ou
rotinas com os objetivos de proteger os ativos, produzir dados contábeis con áveis e ajudar a
administração na condução ordenada dos negócios da empresa. Os dois primeiros objetivos
representam controles contábeis e o último, controles administrativos. São exemplos de controles
contábeis:

Sistemas de conferência, aprovação e autorização

Segregação de funções
Controles físicos sobre ativos
 Auditoria interna

São exemplos de controles administrativos:

Análises estatísticas de lucratividade por linha de produtos

Controle de qualidade
Treinamento de pessoal
Estudo de tempos e movimentos
Análise de variações entre valores orçados e os incorridos
Controle de compromissos assumidos, mas ainda não efetivados

Com base nos elementos bibliográ cos e históricos de perdas decorrentes da

ausência ou negligência dos controles internos, é de suma importância
considerar que há um forte vínculo entre a contribuição informativa do
controle interno e contábil e os variados níveis de gestão empresarial. Logo,
a importância do controle para a gestão das organizações está no seu
potencial de informação.
O conselho e a alta administração têm papel importantíssimo no
estabelecimento de uma cultura adequada, pois eles facilitam o processo de
controles internos e realizam monitoramento constante e referidos ajustes
quando necessários. É fundamental ter consciência de que cada pessoa
dentro da organização possui papel de grande importância no processo.
No ambiente de controles internos, temos algumas dicas de como podemos
implementar uma melhoria nesse processo, tais como:

princípios éticos de retidão e de integridade moral da organização;

princípios éticos de retidão e de integridade moral dos indivíduos;
estrutura organizacional adequada para as realizações de
negócios;
comprometimento com a competência e a e ciência;
formação de uma cultura organizacional com mudança de
posturas;
 estilo e atitude exemplares dos administradores e gestores;
políticas e práticas adequadas de RH voltadas para pessoas;
sistemas e metodologias adequados ao negócio.

Não podemos deixar de citar o fato ocorrido no Banco PanAmericano,

exposto na mídia em novembro de 2010, divulgando a descoberta de
irregularidades e inconsistências na contabilidade, indicando que ela não
re etia a real situação patrimonial do banco. Tal inconsistência foi
mensurada, na época, em R$ 2,5 bilhões, sendo o prejuízo assumido
integralmente pelo acionista controlador. Posteriormente, foram
identi cadas irregularidades adicionais na ordem de R$ 1,8 bilhão, dividido
em R$ 1,5 bilhão referente a irregularidades adicionais e R$ 0,5 bilhão
referente a ajustes não relacionados às inconsistências.
Neste caso podemos dizer que, se uma organização com órgãos reguladores
severos, como Banco Central e Comissão de Valores Mobiliários (CVM),
auditoria externa, conselho de administração, comitê de auditoria e todos os
departamentos de uma segunda linha implementados, passou por um
problema dessa magnitude, co imaginando, nas empresas de capital
fechado e nas de médio porte, quantas oportunidades de melhorias não
existem para aprimoramento da gestão e segurança das partes interessadas.
O enfoque de que o controle interno é, predominantemente, vinculado a
atos fraudulentos não é verdadeiro, pois escândalos, lobbies, propinas e
manipulações contábeis são exemplos do resultado da negligência
generalizada com os controles empresariais e até mesmo com a ausência de
conduta adequada e ética corporativas.
Mesmo que essa visão possa ser veri cada e comprovada em alguns casos,
muito pouco é publicado sobre a importância dos controles empresariais em
condições de normalidade dos negócios. Portanto, esse enfoque, presente na
literatura acadêmica contábil brasileira, também recebeu, positivamente,
in uências do desenvolvimento contábil de práticas não nacionais, entre as
quais as práticas norte-americanas de controle induzidas pelo mercado
acionário.
A importância do controle interno e contábil para a gestão das empresas não
se limita a evitar práticas fraudulentas. O livro da subcomissão de auditoria
interna da Febraban (2005, p. 79) alerta:
As revisões estratégicas de tesouraria são usadas para identi car os riscos nanceiros críticos que
a instituição enfrenta e para avaliar se seus sistemas de tesouraria são e cientes em termos de
custo e reduzir os riscos a um nível aceitável. [...]
Risco de comunicações – comunicações ine cientes entre a tesouraria, alta administração e
operações relacionadas a riscos nanceiros.

Ao estimular a discussão sobre as conexões dos conceitos de controle

interno e contábil, para que os empresários e gestores analisem as visões
administrativas em relação ao controle, pretende-se superar a imagem de
fraude que esconde e limita as vantagens que os controles podem trazer ao
empresário diante dos desa os deste século.
Devemos destacar a importância dos pro ssionais especializados no assunto,
como controladores, contadores, auditores internos e externos, o ciais de
compliance, administradores e outros colaboradores, no envolvimento dos
processos de avaliação dos controles internos e contábeis e dos
procedimentos de prevenção a erros e fraudes, pois o foco é na melhoria dos
processos e que, para isso, possamos estabelecer metodologias con áveis,
que proporcionem ferramentas adequadas de gestão e facilitem a tomada de
decisões.
A seguir são mencionados alguns dos objetivos que, ao nosso entendimento,
necessitam ser mais especí cos:

apresentar os principais conceitos e elementos sobre o tema, bem

como sua relação nas organizações;
expor conceitos e práticas correlatas à área e suas aplicações no
Brasil, como compliance, Lei Sarbanes-Oxley e ética corporativa;
veri car indícios e evidências da in uência das boas práticas de
controles internos e prevenção a erros e fraudes;
observar como os normativos auxiliam as organizações na busca
por melhorias de seus controles e suas demonstrações contábeis;
 analisar as possibilidades de controles em áreas bem especí cas
para que os resultados sejam tempestivos, con áveis e
transparentes.

O pro ssional focado em controles internos e contábeis necessita

constantemente buscar ferramentas e processos e cazes para tornar as
transações nanceiras mais transparentes e seguras, que devem ir ao
encontro de dois dos princípios da governança corporativa: transparência e
prestação de contas. Assim, ca mais fácil implementar processos de
controles internos, quando sabemos o que cobrar e qual o propósito da
prestação de contas por parte dos gestores que têm responsabilidades em
suas funções que devem ser cobradas periodicamente.
Acreditamos que há como contribuir nas atividades que podem ser
implantadas com sucesso nas organizações e evidenciar as regras publicadas
pelos órgãos reguladores, CVM, Banco Central do Brasil, Conselho Federal
de Contabilidade, Comitê de Pronunciamentos Contábeis (CPC), SOX,
entre outros.
É importante conscientizar funcionários, colaboradores e gestores
envolvidos nos processos sob a responsabilidade de cada um, o que favorece
um sistema operacional mais seguro. Contudo, neste item vamos nos
deparar com a ausência de cultura de controle, pois é impressionante como
as pessoas criam controles para suas contas, cartões de crédito, lista de
supermercado, alarme para o carro, seguro do veículo e residencial, mas,
quando pedimos para aprimorar os controles corporativos, as pessoas dão
de ombros, isso mesmo, fazem pouco caso da importância e, em certos
casos, são até negligentes com os processos internos.
Com essa preocupação tão evidente e na busca de melhores formas de
salvaguardar os ativos das organizações, o assunto de prevenção à fraude
sempre está na mídia e, pelo jeito, vai continuar por um bom tempo, tendo
em vista que as pessoas são o ponto-chave para o sucesso na gestão de
compliance, controles internos, riscos e segurança da informação.
Ultimamente ele tem surgido também nos meios acadêmicos, seja como
tema de palestras, seja nas disciplinas de prevenção à fraude, gestão de riscos
e governança corporativa, o que evidencia a necessidade de entendimento
do per l do fraudador e do modo como as empresas tratam o assunto.
Weill e Ross (2006, p. 23) apresentam o fato de que a informação sempre foi
importante para as organizações, vale salientar que esta informação é de
2006, imaginem agora após tanta evolução. Voltando a Weill e Ross, com o
desenvolvimento tecnológico dos últimos anos, seu papel e valor mudaram
signi cativamente. A informação:

é cada vez mais fácil de coletar e digitalizar;

tem crescente importância para produtos e serviços;
é muito difícil avaliar ou apreçar;
tem meia-vida decrescente;
tem crescente exposição a riscos;
é uma despesa signi cativa na maioria das empresas.

Em 2006 tratávamos tecnologia da informação como uma despesa, nos dias

de hoje é parte integrante das operações e dos negócios. Fica até difícil
destacar os valores das perdas de TI nas operações, tendo em vista a
necessidade e o envolvimento da tecnologia, por isso devemos avaliar o
quão importante é a tecnologia para o seu negócio. Imagine uma Fintech,
em que o valor agregado do negócio é a agilidade e a tecnologia
implementada, como seria sem ou na falta de um aplicativo, entre outros.
Sobre análise e gestão de riscos, Oliveira et al. (2008, p. 175) comentam que:
A preocupação de executivos de empresas, com relação à possibilidade de incorrer perdas
decorrentes de situações que nem sempre estão diretamente sob o seu controle, causa a
necessidade de serem utilizadas ferramentas de identi cação, gerenciamento e proteção de riscos
de perdas inseridas nos processos operacionais.
Soma-se isso à existência de muitos processos operacionais mal estruturados, controles internos
de cientes ou inexistentes ou fraudes internas ou externas, entre outras inúmeras ocorrências,
que podem prejudicar o desempenho na busca de criação de valor para a empresa e seus
acionistas.

Gostaria de frisar nessa citação os termos processos operacionais mal

estruturados e controles internos de cientes ou inexistentes. Parece que
estamos falando dos dias atuais, mas essa a rmação é de 2008. Entendo que
mudamos muito, mas ainda temos muito trabalho a ser realizado para a
melhoria dos processos operacionais e que tenhamos maior con abilidade
em nossos processos administrativos e nanceiros. Desculpe estar
generalizando, mas a cada mapeamento de processo evidenciamos isso e
muito mais.
Existe uma in nidade de de nições de controles internos, destacamos as
consideradas de maior relevância para o presente trabalho. O grupo norte-
americano de entidades pro ssionais, Committee of Sponsoring
Organizations of the Treadway Commission (COSO3), de ne:
O controle interno é um processo operado pelo conselho de administração, pela administração e
outras pessoas, desenhado para fornecer segurança razoável quanto à consecução de objetivos
nas seguintes categorias:
a. con abilidade de informações nanceiras
b. obediência (compliance) às leis e a regulamentos aplicáveis
c. e cácia e e ciência de operações

A International Federation of Accountants (IFAC4 em português, Federação

Internacional de Contadores) contribui nos termos:
Os sistemas contábeis e de controle interno não podem dar à administração evidência conclusiva
de que os objetivos foram atingidos porque têm limitações inerentes. Essas limitações incluem:
[...] A possibilidade de contornar os controles internos por meio de conluio de um membro da
administração ou empregado com partes de fora (terceiros) ou de dentro da entidade. [...] A
possibilidade de uma pessoa responsável por exercer um controle interno possa abusar dessa
responsabilidade. Por exemplo, um membro da administração que passe por cima de um
controle interno.

O comitê do American Institute of Certi ed Public Accountant (AICPA5)

publicou o Statement on Auditing Procedures (SAS), n. 29, que de ne o
controle interno contábil como:
Plano de Organização e todos os procedimentos referentes diretamente relacionados com a
salvaguarda do ativo e a dedignidade dos registros nanceiros. São procedimentos que
compreendem controles, tais como sistemas de autorização, de aprovação e de segregação entre
as tarefas relativas à manutenção e à elaboração de relatórios e para procedimentos que dizem
respeito à operação ou custo dia do ativo, controles físicos sobre o ativo e auditoria interna.
O controle interno tem como objetivo validar e evidenciar o fato de que as
leis e os regulamentos para cada atividade operacional estejam sendo
realizados com a segurança necessária e com os controles em conformidade
com as políticas da organização e dos órgãos reguladores.
Avaliando a possibilidade de de nir uma visão de controle de gestão, os
controles internos podem ser demonstrados na organização como as
principais ações a serem implementadas, e os controles estratégicos podem
ser classi cados como procedimentos administrativos, sistema de
informações e sistema contábil, conforme o quadro a seguir:

Tabela 2.1 – Sugestão de sistemas de controle

Procedimentos
Sistema de informações Sistema contábil
administrativos

Manual de normas e Captação de dados Correta situação nanceira

procedimentos corretos e con áveis patrimonial

Adequadas análises e
Segregação de funções Relatórios de reconciliação contábil
registros

Atribuição de Em tempo e prazos Informações gerenciais, conforme as

responsabilidades adequados necessidades dos usuários

Delegação de funções e Uma adequada análise

Sistema de avaliação de desempenho
atividades de custo-benefício

Organograma bem Relatórios periódicos Avaliação do orçamento

de nido e transparente para monitoração Real x orçado

Fonte: Elaborada pelo autor.

Cada empresa deverá desenvolver seu próprio sistema de controles. Por

melhor que seja, nenhum sistema de controles internos poderá compensar
ou neutralizar a incompetência dos executivos da organização. Apenas a
complexidade dos sistemas de controles internos e contábeis não representa
garantia de e cácia e e ciência, mas também a competência dos
pro ssionais responsáveis, portanto mais uma dica essencial para que seus
controles sejam efetivos e estejam em conformidade com o tipo e
complexidade de seu negócio.
Sem dúvida, na avaliação dos controles internos, é fundamental estar atento
aos riscos de crédito, de mercado e os demais riscos; contudo, a gestão
desses riscos começa pela gestão dos processos, das pessoas, dos seus
sistemas, e não podemos esquecer dos fatores externos. Portanto, somente
reduzindo esses riscos operacionais, é possível reduzir os demais riscos, e é
com base nessa premissa que deve ser feita a avaliação dos sistemas de
controles internos.
Os controles internos estratégicos são chamados de controles de gestão e
têm como objetivo de nir um controle de gestão estratégico como processo
de avaliação dos atos e fatos que aconteceram no passado, mais comumente
conhecido como efeito aprendizado. Portanto, nunca pense em iniciar um
processo de gestão de riscos estratégicos sem que tenha os riscos
operacionais e corporativos evidenciados com seus respectivos controles
internos. Devemos avaliar se os atos e fatos estão ocorrendo atualmente ou
se ocorrerão no futuro, interna ou externamente, visando adequar os
mecanismos de controles às mudanças estratégicas requeridas e aos
objetivos bem especí cos e de nidos.
Isso é demonstrado conforme Oliveira (2008, p. 170) na gura a seguir:

Figura 2.2 – Etapas de implementação de um controle interno estratégico

Fonte: Elaborada pelo autor.

Para melhor compreensão dessa visão, é necessário estabelecer níveis
diferentes para tratamento dos processos de controles internos voltados à
melhoria da gestão. E, para um controle interno estratégico, é fundamental –
no contexto estrutural e para que a organização venha a se bene ciar do
dimensionamento e do tratamento das outras possibilidades de controles – a
relação com as diversas situações de risco a que está exposta, variáveis sobre
as quais esses controles devem agir para minimizar os efeitos. Aqui temos
mais um desa o, veri car se nossos processos estão dentro da conformidade
e se são mais efetivos do que simbólicos, isso mesmo, devemos fazer com
que sejam funcionais.
Identi cam-se essas necessidades e implementam-se procedimentos que
assegurem as várias fases do processo decisório e do uxo de informações
para que se revistam da necessária con abilidade na prevenção de erros e
possíveis perdas, sejam na capacitação dos responsáveis, na melhoria das
atividades ou para a repressão aos crimes de fraude nanceira, contábil e de
lavagem de dinheiro, assuntos tão evidenciados na mídia ultimamente. Não
podemos ser surpreendidos com alternativas criadas a todo momento, pois,
a cada fraude ocorrida, inúmeros serão os riscos envolvidos.
Por essa razão, a informação contábil vinculada aos sistemas de controles
internos é amplamente utilizada pelos administradores. O fato de o processo
contábil servir de importante ponto de controle para os gestores também o
quali ca como uma ferramenta administrativa. O controle interno vem
despertando interesse do mercado de capitais, e esse interesse sinaliza que,
por meio de bons controles, pode existir indício de valor para o acionista,
por isso criamos indicadores que demonstram, de modo efetivo, se as
operações e atividades estão sendo realizadas em conformidade com os
objetivos e as estratégias da organização.
O conceito de controle é tratado com frequência pela literatura; contudo, as
formas empregadas para isso nem sempre permitem visualizar as conexões
entre as diferentes situações em que ele é empregado, pois falta
profundidade no entendimento no processo de controle, que deve deixar de
ser burocrático para se tornar mais efetivo e favorecer a prestação de contas
de cada atividade e cada produto que temos em nossa organização.
Nesse âmbito, é comum referir-se ao processo de gestão – o planejamento e
a sua execução – para expressar um tipo de controle organizacional,
enquanto o termo também é aplicado a outras situações, como controle
contábil, de custos, controle interno e assim por diante. Dessa forma, a
constatação é a de que não se observam re exões sobre os níveis de
interdependência entre os diversos tipos de controle, tampouco sobre a
importância do principal elemento que os integra, a informação, e dos
atributos a ela inerentes, como utilidade, tempestividade e dedignidade.
Somente com a mudança de postura das pessoas e uma preconização na
melhoria dos controles internos, do compliance e da gestão de riscos, a m
de que a gestão integrada tenha maior evidenciação e se possa demonstrar
um processo mapeado com seus controles identi cados e testados, em
conformidade com as leis, normas e regras, e seus riscos identi cados,
avaliados, analisados, tratados e monitorados, teremos um modelo de
negócio mais efetivo e com menores custos.
Acredito que um processo de controles internos deveria, obrigatoriamente,
ter a participação de pro ssionais de contabilidade e controladoria, tendo
em vista que tudo que fazemos e implementamos na organização, de uma
forma ou de outra, vai aparecer na contabilidade. Seria também de suma
importância na tomada de decisões aproveitar o conhecimento nanceiro e
contábil dos pro ssionais contabilistas, para que todos soubessem como
fazer uma conciliação e pudessem ser mais precisos na prestação de contas e
na apresentação de seus indicadores de performance; a nal, quem assina o
balanço é o contador e, quanto maior segurança ele tiver nas informações,
melhores serão a governança e a gestão das organizações.
Fica aqui nossa dica e nosso entendimento de que tudo é uma questão de
conhecimento. A gestão de conhecimento favorece a capacitação de todos na
organização, pois, quanto melhores forem nossos processos operacionais e
mais capacitadas forem as pessoas, melhor será a gestão do negócio. Vale a
pena conhecer o Diagrama de Assi, no qual deixamos bem claras as três
linhas de proteção do negócio e como fazer com que ela funcione dentro da
expectativa de cada organização.
2 The American Institute of Certi ed Public Accountants (AICPA) – Instituto Americano de
Contadores Públicos Certi cados – é uma associação pro ssional com mais de 330 mil
membros, incluindo vários pro ssionais com certi cação pública em diversos ramos de
atividades, além de estudantes e associações internacionais (www.aicpa.org).
3 Committee of Sponsoring Organizations of the Treadway Commission publicou o manual
Controles Internos – estrutura integrada, em 1992.
4 International Federation of Accountants trabalha em estreita colaboração com seus
membros e associados e com as organizações regionais de contabilidade para assegurar a
competência e integridade dos contabilistas em todo o mundo e apoiá-los em seus esforços
para proporcionar serviços de alta qualidade.
5 American Institute of Certi ed Public Accountant: o Instituto Americano de Contadores
Públicos Certi cados e seus antecessores atendem aos pro ssionais de contabilidade desde
1887.
Capítulo 3
Gestão de riscos
3.1 Entendendo os riscos
Um componente crítico das atividades de uma organização é a identi cação
de riscos, uma vez que, quando falamos de riscos, sempre levamos em
consideração a subjetividade, pois eles podem ou não ocorrer. Como
exemplo, destacamos o atentado de 11 de setembro
ao World Trade Center. Alguém havia identi cado qual era o risco de uma
torre ser atacada? Imaginem a probabilidade de alguém prever que as duas
seriam atacadas e da forma como ocorreu.
Outro exemplo: em 11 de março de 2020, a Covid-19 foi caracterizada pela
Organização Mundial da Saúde (OMS) como uma pandemia. O termo
“pandemia” se refere à distribuição geográ ca de uma doença, e não à sua
gravidade. A designação reconhecia que existiam surtos de Covid-19 em
vários países e diversas regiões do mundo, e ninguém estava preparado para
combatê-la. Posso a rmar que nenhum plano de continuidade ou de
contingência havia previsto um evento dessa magnitude e porte mundial.
Ainda segundo dados da OMS, a pandemia do coronavírus provocou ao
menos 1,7 milhão de mortes no mundo desde que seu escritório na China
noti cou a aparição da doença em dezembro de 2019. De acordo com um
balanço estabelecido pelas agências internacionais em 19 de dezembro, tudo
com base em fontes o ciais, desde o início da epidemia mais de 75,6 milhões
de pessoas contraíram a doença. Destas, ao menos 48,2 milhões se
recuperaram, conforme as autoridades.
Interessante que o número de casos positivos re ete apenas uma parte do
total de contágios. Vale salientar que, devido às políticas díspares dos
diferentes países para diagnosticá-los, tendo em vista que alguns só o fazem
com aqueles que precisaram de hospitalização e, na maioria dos países
pobres, a capacidade de testes é limitada, aqui no Brasil também temos uma
evidência da disparidade de controles e indicadores.
A pandemia causada pelo coronavírus, ou a Covid-19, in uenciou a maneira
como as organizações se relacionaram com seus clientes, funcionários,
prestadores de serviços e fornecedores, pois, diante desse cenário
extremante caótico e com os riscos aparecendo no dia a dia dos negócios, a
questão pandêmica cou bem clara. Veri camos que alguns de nossos
clientes e algumas empresas de amigos – especialmente aqueles que
possuíam uma cultura organizacional de mitigação de riscos reputacionais –
mudaram a forma de realizar seus processos comerciais e negociais. Agora
estão exigindo que seus prestadores de serviços e fornecedores comprovem
que estão tomando medidas para manter a qualidade dos serviços prestados
e demonstrem que trabalham com o principal objetivo de preservar a saúde
das pessoas diante do surto de Covid-19, sob pena de rescisão contratual.
Portanto, a primeira ação para que uma organização possa garantir aos seus
clientes que tem condições de continuar a prestar seus serviços, entregar
seus produtos e cumprir seus contratos, ao mesmo tempo em que preserva a
segurança de seus funcionários, é a elaboração de um bom Plano de
Contingência, que deverá ser aprovado pelo conselho de administração, caso
tenha, pela alta administração e pelos sócios/investidores da organização
antes de ser encaminhado para terceiros.
Como já dissemos, não existe um modelo ou uma fórmula prede nida para
a elaboração de planos de contingência, uma vez que cada entidade possui
particularidades, porte e volume diferentes, sem contar os modelos
diferentes de conduzir seus negócios. Entretanto, existem alguns pontos
sugestivos para a elaboração de um plano diante da pandemia atual, que
veremos mais à frente.
O principal desa o é fazer com que a estratégia global e a perspectiva de
risco sejam comunicadas e entendidas por todos, em todos os níveis da
organização, re etindo no processo de tomada de decisões, uma vez que
todos nós devemos entender e identi car os riscos inerentes a nossas
atividades, pois somente com essa conscientização poderemos gerenciá-los
melhor.
O risco, portanto, tem como principal característica a probabilidade de
ocorrer ou não, dada determinada alternativa escolhida pelos gestores. Por
essa ótica, o risco pode ser interpretado como uma ameaça ao alcance dos
objetivos organizacionais. As categorias de riscos a que uma atividade está
exposta dependem da natureza dessa atividade e de como tratamos a sua
possibilidade.
Temos como base de trabalho a categorização de quatro riscos macros:
estratégico, operacional, conformidade e nanceiro, pois acreditamos que,
dessa forma, ca mais fácil orientar todos na organização. A padronização
facilita o aculturamento da organização, é uma ferramenta extremamente
útil na doutrinação das pessoas e recomenda cada um a olhar para dentro de
seu processo.
Riscos estratégicos são aqueles que podem afetar a estratégia de negócio ou
seus objetivos em curto, médio e longo prazos em uma organização. Estão
relacionados às incertezas inerentes às diversas escolhas envolvidas na
elaboração dos planejamentos estratégicos. Aqui salientamos que ocorrem
nos ciclos sucessivos de de nição e desdobramento de diversos objetivos
estratégicos, nos objetivos operacionais, nas posições de carteira de produtos
e serviços. Esses riscos podem ser incertezas ou oportunidades e
normalmente são os principais pontos de preocupação da diretoria e alta
administração.
Riscos operacionais são as possibilidades de perdas diretas e indiretas, em
razão de fraquezas ou ausências de processos e controles internos
adequados, bem como de perdas decorrentes de eventos externos. Podemos
citar, como exemplos, fraudes, erros de sistemas de informações, erros de
escrituração, extrapolação de autoridade dos empregados, desempenho
insatisfatório, incêndios, catástrofes, crises sociais, pandemias, problemas
com infraestrutura pública e crises sistêmicas.
Riscos de conformidade são as probabilidades de perda ocasionadas pela
inobservância, violação ou interpretação indevida de regulamentos e
normas, ou pela exposição a penalidades legais, que acarretam as perdas
nanceiras e de reputação que sua organização pode enfrentar, aqui ca
nosso grifo, se supostamente a empresa não atue dentro da lei ou das regras
que delimitam a atuação do seu setor e também dos seus próprios
normativos internos.
Riscos nanceiros são todas as possibilidades que podem levar uma pessoa
física ou pessoa jurídica – ambas correm o risco – a perder dinheiro, seja
por meio de transações nanceiras indevidas, ausência de controle
nanceiro, operações sem lastro, ausência de uxo de caixa adequado,
endividamento exagerado, por desvalorização de bens ou produtos, ou até
por investimentos inadequados.
Para que possamos orientar todos, uma vez de nidos os riscos macros,
devemos implementar um manual de riscos com os principais conceitos e
títulos, a m de que todos na organização possam falar a mesma língua, isto
é, a padronização na nomenclatura auxilia na mudança e na educação no
gerenciamento de riscos. A seguir demonstramos algumas dicas e
orientações.

Figura 3.1 – Mapa de riscos macros do negócio

Fonte: Elaborada pelo autor.

Para os riscos estratégicos, sugerimos levar em conta:

Conjuntura econômica – análise dos cenários econômicos local,
regional, nacional ou internacional que estejam desfavoráveis e
possam di cultar a estratégia de negócios da organização ou na
atuação de seus produtos e serviços nesses mercados.
Declínio do setor industrial – desequilíbrio da produção
industrial, mudanças na demanda ou falta de estímulo de
investimentos no setor, diante de outros setores da economia, que
possam ameaçar a competitividade da organização.
Desastres naturais – algumas catástrofes naturais de grandes
proporções podem ameaçar a capacidade da organização de
manter suas operações, gerar seus produtos/serviços ou recuperar
seus custos investidos.
Cenário político – as mudanças de governantes e suas decisões
políticas públicas, que de algum modo podem ser desfavoráveis às
operações da organização nos locais onde atua, podem afetar sua
geração de caixa.
Socioambiental – ações que podem prejudicar a comunidade e o
seu relacionamento com a organização ou expô-la a passivos
ambientais signi cativos. Vale salientar a busca de maiores
informações no tão comentado ESG.6
Produtos e serviços – a ine cácia para entregar seus produtos e
serviços propostos pode ameaçar a capacidade da organização de
atender adequadamente às demandas e necessidades dos seus
clientes.
Inovação – a ausência de habilidade para a implementação da
inovação tecnológica ou na simpli cação dos seus processos em
relação aos concorrentes pode prejudicar a produtividade ao
cliente.
Fusões e aquisições – a ausência de processos estruturados e
planejamento adequado para realização de fusões e aquisições ou
retorno insu ciente dos investimentos em participações que não
atendem aos objetivos de negócios estabelecidos pela organização.
Reputação e marca – a possibilidade de degradação da reputação e
da imagem da organização diante do mercado, seus clientes,
funcionários, fornecedores, órgãos reguladores e parceiros.
Planejamento estratégico – a ausência de de nição e
acompanhamento do planejamento estratégico e orçamentário
com base em critérios e premissas adequados à realidade da
organização ou que não estejam devidamente avaliados e
aprovados.
Mercado e concorrência – a incapacidade de reação a
determinadas ações da concorrência que re etem em vantagens
competitivas em relação a organização ou aspectos associados às
necessidades de mercado que impactam na realização dos seus
negócios.
Decisões de carteira de produtos – a possibilidade de falha nas
decisões de carteira de produtos resultando na diversi cação
inadequada das carteiras de investimento e a não otimização
correta dos ativos a serem preci cados.
Gestão de projetos e investimentos – quando a informação é
insu ciente para tomada de decisão de novos investimentos e na
realização de projetos com prazos e custos maiores que os
previstos, e que não agreguem valor às atividades da organização.
Terceirização – quando a terceirização é inapropriada para
algumas atividades, em desacordo com a legislação vigente ou
valores morais da organização, ou mesmo uma decisão incorreta
de transferência de suas atividades que acreditamos que poderiam
ser executados por terceiros.
Continuidade de negócios – a ine cácia e ine ciência em executar
adequadamente planos de contingências derivados de crises que
sejam capazes de recuperar tempestivamente as operações e/ou a
obtenção de itens essenciais aos processos da organização,
avaliando se são efetivos ou meramente documentos escritos e
não monitorados.
 Relações com acionistas/investidores – a queda ou perda da
con ança de investidores no modelo de negócios proposto ou na
di culdade em executar esse modelo impactando a capacidade da
organização para levantar capital de forma e ciente ou sustentar
seu valor de mercado.
Cultura organizacional – a di culdade de aderência dos
funcionários ou ine ciência da organização ao transmitir as suas
crenças e seus valores, bem como ausência de habilidade para
lidar com essas mudanças di cultando o atingimento dos
objetivos.
Modelo de gestão – a ausência de um modelo de gestão adequado
que afeta o alinhamento, a formalidade e a governança no que
tange aos processos decisórios de prestação de contas,
estabelecimento de metas, rotina e interação entre as equipes.
Conduta antiética – a falha ao comunicar os princípios de conduta
estabelecidos pela organização ou a falta de aderência por parte de
funcionários, clientes, fornecedores ou parceiros resultando em
conduta inapropriada ou atos irregulares em benefício próprio ou
da organização.
Sustentabilidade – a falha na realização de atividades que
comprometam a responsabilidade da organização, suas políticas,
práticas e atitudes relativas aos ambientes interno e externo, que
agregam valor para os investidores.

Para os riscos operacionais, sugerimos:

Qualidade – a comercialização de produtos de baixa qualidade

e/ou que não atendam ao de nido no plano comercial pode
ocasionar perdas na comercialização e na reputação junto aos
clientes e representantes.
Segurança alimentar – a comercialização de produtos e serviços
em condições impróprias para o consumo que causam efeitos
prejudiciais à saúde das pessoas (veja o caso da cervejaria Backer).
E ciência operacional – a ine ciência operacional que afeta a
capacidade da organização de comercializar seus produtos a um
preço competitivo em relação aos preços praticados pelos
concorrentes ou pelas companhias referências de mercado.
Manutenção – a falta de manutenção adequada, ou a ocorrência
de manutenção incorreta ou ine ciente nas instalações e nos
equipamentos nas unidades operacionais da organização.
Instalações – a dependência excessiva de determinadas unidades
operacionais em razão do subdimensionamento ou
superdimensionamento das instalações, e agora com o home o ce
devemos revisá-las.
Obsolescência de ativos – o excesso, a obsolescência ou a perda de
estoque ou outros ativos utilizados ou consumidos nos processos
de negócios.
Transporte e armazenagem – as restrições ou o aumento
signi cativo de custos associados aos processos de transporte e
armazenagem de produtos dentro da cadeia de produção das
unidades operacionais da organização.
Infraestrutura logística – a limitação de recursos ou investimentos
na infraestrutura logística necessária para a comercialização dos
produtos da organização (veja o caso da greve dos
caminhoneiros).
Disponibilidade de mercadorias – a indisponibilidade, seja parcial
ou total, das mercadorias essenciais para seus negócios devido à
inexistência de alternativas de fornecimento desses itens, para
assegurar a manutenção e a continuidade das operações da
organização (veja o caso da greve dos caminhoneiros).
Contratação de fornecedores – o impacto negativo sobre a
operação da organização, causado pela má qualidade em serviços
prestados ou dependência de determinados fornecedores-chave
na cadeia de produção da organização.
Relacionamento com clientes – a falta de habilidade para prever
mudanças no mercado ou a falta de foco nas necessidades dos
clientes, que podem ameaçar a capacidade da organização de
atender e exceder suas expectativas.
Canais de vendas – a indisponibilidade ou incapacidade dos
canais de venda para atuar no mercado de nido pelo
planejamento da organização ou de acordo com as metas de
ganhos de nidas por ela, que pode afetar sua capacidade de
acessar seus clientes atuais e potenciais.
Práticas comerciais – a utilização de práticas comerciais em
desacordo com valores, estratégias e diretrizes da organização,
considerando a preci cação das transações de compra e/ou venda
incompatíveis com o mercado e/ou com a estrutura de custos da
organização, incluindo processo de descontos e boni cações.
Ruptura de mercadoria – o desabastecimento das lojas por
erros/falhas nos pedidos de compras ou por entregas não
realizadas pelos fornecedores.
Concentração de fornecedores – a dependência excessiva de
parceiros comerciais da organização caracterizada,
principalmente, pelo grau de suscetibilidade a perdas nanceiras,
saúde nanceira e por variações em quantidade, conhecido como
terceiro relevante.
Atração, retenção e capacitação de pro ssionais – a ine ciência
para atração e retenção de pro ssionais quali cados. Execução de
procedimentos por funcionários sem o conhecimento necessário,
falta de treinamento ou inexperiência para realizar as atividades
de negócio de nidas.
Sucessão – o planejamento inadequado ou a inexistência de
planejamento com a de nição dos aspectos sucessórios, em
posições-chave da organização.
Remuneração e benefícios – as políticas de remuneração e
benefícios incompatíveis com o mercado e com as necessidades de
 atração e retenção de pro ssionais.
Saúde e segurança do trabalho – a proteção inadequada ou
ausência de mecanismos para evitar acidentes de trabalho,
pandemias ou qualquer evento que coloque em risco a saúde e
segurança de pro ssionais próprios e terceiros ou a população
impactada pelas operações da organização.
Infraestrutura – a falta de infraestrutura de tecnologia e caz
(hardware, redes, so ware, pessoas e processos) para apoiar
e cazmente as necessidades atuais e futuras do negócio.
Disponibilidade – quanto a informação e sistemas e a
impossibilidade de obter informações devido à falha de
comunicação, perda da capacidade de processamento ou
di culdade na operação dos sistemas.
Integridade e segurança da informação – a proteção inadequada
ou ausência de mecanismos e cazes que garantam o
processamento correto e con dencialidade de dados, controle de
acesso a informações críticas e reporte necessário para tomada de
decisão (veja as questões de LGPD).

Para os riscos de conformidade, sugerimos:

Tributário/ scal – os procedimentos tributários e scais não

adequadamente tratados ou em desacordo com a legislação em
vigor.
Ambiental – as práticas ambientais tratadas inadequadamente ou
em desacordo com a legislação vigente que podem causar danos a
pessoas e ao meio ambiente.
Trabalhistas/previdenciários – as práticas incompatíveis com leis e
acordos trabalhistas, discriminação ou diferenciação no
tratamento dos funcionários.
Societário – as falhas no atendimento à legislação societária e aos
órgãos reguladores relacionados.
Econômico, contábil e nanceiro – as informações contábeis e
nanceiras em desacordo com os princípios contábeis e as
regulações do mercado.
Concorrencial – as práticas comerciais em desacordo com as leis
em vigor, emergência de novas restrições concorrenciais que
afetem os negócios.
Anticorrupção – os atos ilícitos que violam as práticas e leis
anticorrupção causando perdas e prejuízo à imagem da
organização.
Lavagem de dinheiro – as operações ilícitas com clientes e
fornecedores que violam as práticas, leis e normativos de
prevenção e combate à lavagem de dinheiro causando perdas e
prejuízo à imagem da organização.
Propriedade industrial – as falhas na proteção dos direitos de
propriedade industrial próprios ou violação aos direitos de
terceiros (invenções, desenvolvimento e direitos de so ware ou
documentos, direitos de projeto, marcas e patentes).
Regulamentações setoriais – as falhas no monitoramento, na
avaliação, e no não cumprimento de regulamentações especí cas e
restritivas para cada tipo de negócio da organização.
Licenças e alvarás – as falhas ou os atrasos na obtenção e
renovação de licenças e alvarás necessários para funcionamento
ou expansão das operações.
Contratos – o descumprimento de compromissos contratuais
devido à ausência de mecanismos de controles e monitoramento
dos níveis de serviços acordados.
Acordos judiciais/extrajudiciais – o não cumprimento de
compromissos assumidos com órgãos scalizadores e reguladores,
Ministério Público e órgãos do Poder Judiciário, tais como os
Termos de Ajuste de Conduta (TACs), Acordos de Incentivos
Fiscais etc.
 Certi cações – a não obtenção de certi cações estratégicas para o
negócio ou a perda em razão do não cumprimento às exigências
normativas.

Para os riscos nanceiros, sugerimos:

Relatórios nanceiros – as distorções materialmente relevantes ou

omissão de fatos materiais nos relatórios nanceiros emitidos para
investidores e credores causando interpretação incorreta sobre a
realidade nanceira da organização.
Planejamento tributário – a falha na de nição de estratégia ou
execução do planejamento tributário da organização resultando
em descolamento entre o ganho planejado e auferido ou
exposição a contingências devido à interpretação dos órgãos
reguladores.
Ambiente de controles internos – os controles internos não
efetivos ou inexistentes, bem como fragilidades no ambiente de
controles relacionados à falta de manutenção dos controles,
normas, políticas ou procedimentos expondo a organização a
riscos que podem afetar o atingimento dos objetivos.
Patrimônio imobiliário – o inadequado dimensionamento e a
administração da estrutura de ativos imobiliários da empresa
causando possíveis perdas ou redução de valor desses ativos.
Seguros – a contratação de seguros inadequados ou em desacordo
com as políticas estabelecidas pela organização, ocasionando
coberturas insu cientes de seguros e não atendimento às cláusulas
de prevenção existentes.
Câmbio – o impacto negativo sobre valores dos ativos e passivos
da empresa decorrente de oscilações nas taxas de câmbio ou da
redução do poder aquisitivo da moeda local.
Commodities – a redução nas receitas ou o incremento nos custos
devido a oscilações nos preços de produtos amplamente
 negociados no mercado, tais como energia elétrica, gás, petróleo,
metais, celulose, produtos do agronegócio etc.
Taxas de juros – o incremento nos custos de captação ou redução
nos retornos de aplicações nanceiras devido a utuações não
esperadas nas taxas de juros.
Instrumentos nanceiros – a má utilização ou o desconhecimento
de aspectos relacionados à valorização de instrumentos
nanceiros e derivativos explícitos ou implícitos em contratos e
instrumentos nanceiros (veja o caso da Sadia).
Disponibilidade de capital – a di culdade de gerar capital para
desenvolvimento, ampliação de negócios, execução das estratégias
e geração de uxo de caixa.
Custo de oportunidade – a redução do valor econômico de
recursos nanceiros ou retorno de investimento insu ciente em
relação a alternativas que ofereçam o mesmo grau de risco.
Fluxo de caixa – a insu ciência de recursos/capital de giro para o
cumprimento de compromissos nanceiros ou necessidade de
obter empréstimo em função da redução de caixa ou uxo de
caixa esperado (veja o impacto da pandemia nas organizações).
Concentração – a dependência de um número reduzido de
clientes ou segmento econômico, possuindo elevada participação
nos resultados da empresa.
Garantias – o cumprimento inadequado das garantias ou o valor
para a realização não atender aos critérios e às premissas
previamente estabelecidas.
Inadimplência – o impacto nos resultados em razão do
descumprimento de obrigações assumidas por uma contraparte
(entrega de bens, serviços ou recursos nanceiros).

Algumas categorias de riscos às quais as organizações empresariais podem

estar sujeitas compreendem, por exemplo, o risco operacional. As principais
subáreas do risco operacional são as seguintes:
Risco de overload: de nido como risco de perdas por sobrecargas
nos sistemas elétricos, telefônicos, de processamento de dados,
internet etc.
Risco de presteza e con abilidade: de nido como probabilidade
de perdas pelo fato de as informações não poderem ser recebidas,
processadas, armazenadas e transmitidas em tempo hábil e de
modo con ável.
Risco de equipamento: de nido como probabilidade de perdas
por falhas nos equipamentos elétricos, de processamentos de
dados, telefônicos, de segurança, por falta de manutenção ou
negligência humana etc.
Risco de erro não intencional: geralmente identi cado por
perdas em decorrência de equívocos, omissões, distração,
despreparo ou negligência operacional de funcionários ou
colaboradores.
Risco de fraude: por motivo de comportamento fraudulento, tais
como adulteração de controles e de relatórios, descumprimento
intencional de normas da empresa, ausência de conduta ética,
desvio de valores, divulgação de informações restritas ou
indevidas.
Risco de quali cação: perdas por problemas de ausência de
quali cação pro ssional apropriada à função ou por contratação
sem a devida validação do colaborador.
Risco de produtos e serviços: quando a venda de produtos ou
prestação de serviços ocorrem de modo indevido ou sem atender
às necessidades e demandas dos clientes.
Risco de regulamentação: perdas em decorrência de alterações,
impropriedades ou inexistência de normas para controles internos
e externos.
Risco de modelagem: perdas ocasionadas no desenvolvimento,
na utilização ou interpretação incorreta dos resultados fornecidos
 por modelos, incluindo a utilização de dados incorretos, por
falhas no projeto.
Risco de liquidação nanceira: perdas por falhas nos
procedimentos e controles de nalização das transações, por falta
de procedimentos, ou ainda por inexistência de controle
sistêmico.
Risco sistêmico: mudanças no ambiente operacional, alterações
de limites, alteração de sistemas e ausência de homologação dos
sistemas (este último muito comum).
Risco de imagem: perdas decorrentes do impacto negativo na
marca da organização, por falha de controle interno, de
procedimentos, de atendimento e de qualidade, e a perda tem
caráter intangível.
Risco de catástrofe: perdas por desastres naturais, que possam
di cultar as operações diárias, ou destruição por desastres, como
incêndios, colisões, explosões, terremotos, tsunamis, furacões etc.

Ainda existem outras categorias de riscos que devem ser avaliadas e

implementadas em nossas políticas internas ou nos manuais
organizacionais, tais como:
Risco legal

Decorre de questionamentos jurídicos referentes às transações da

organização, que podem gerar perdas ou contingências não previstas
quando da realização de alguma transação comercial, como documentação
das transações incorretas, descumprimento da legislação vigente, novas leis,
decisões judiciais, análise de processos, defesas inadequadas etc.
Risco contratual
Possibilidade de perda relacionada à inadequação formal do contrato, à
interpretação errônea de suas cláusulas e à sua desconformidade com a
legislação pertinente.
Risco político
Decorre de mudanças promovidas por autoridades políticas que podem
afetar a maneira como a organização conduz seus negócios.
Risco de liquidez
De ciência de fundos para cumprir compromissos assumidos em
decorrência de gestão insatisfatória do caixa da empresa, justamente pela
incapacidade de honrar os pagamentos, pela falta de posição sustentada de
caixa e pela fonte de captação de recursos. Portanto, a gestão da liquidez
geralmente se encontra centralizada na área de tesouraria e tem como
objetivo manter um nível satisfatório de disponibilidade para atender às
necessidades nanceiras no curto, médio e longo prazos, tanto em cenário
normal como em cenário de crise, com adoção de ações corretivas, caso
necessário.
Risco de taxa
Correlação imperfeita das taxas de captação e aplicação da organização. É
particularmente importante para instituições nanceiras, levando-se em
consideração que uma instituição não nanceira terá risco essencialmente
na possibilidade de os seus passivos à taxa variável acarretarem um
acréscimo de custos perante uma subida das taxas de juros (e menos
comum, as suas aplicações gerarem menos receita em um ambiente de
descida de taxas de juros).
Risco de taxas de câmbio
Pode ser de nido como o risco de perdas devido a mudanças adversas nas
taxas de câmbio. Dois exemplos são dados, pela variação nos preços de
títulos públicos indexados à moeda estrangeira, de ativos internacionais
negociados em moeda estrangeira, devido à apreciação/depreciação relativa
de moedas, ou no descasamento em carteiras indexadas a alguma moeda
estrangeira.
Risco de mercado
Decorre da variabilidade dos preços dos fornecedores e dos produtos. Pode
ser de nido como uma medida numérica da incerteza relacionada aos
retornos esperados de um investimento, em decorrência de variações em
fatores como taxas de juros, taxas de câmbio, preços de ações e commodities.
Risco de terceirização

Possibilidade de perdas decorrentes da transferência da gestão e operação de

processos internos para outras entidades, vale salientar que, quando
contratamos um terceiro, estamos transferindo somente as atividades, pois o
risco continua sob a responsabilidade do contratante.
Risco contábil

Quando uma empresa se empenha em práticas contábeis para produtos e

serviços de um modo que não atenda aos princípios geralmente aceitos, os
erros e as fraudes contábeis podem resultar em sanções dos órgãos
reguladores, ações judiciais dos acionistas e reputação maculada. Pode ser
resultado de acidentes ou casos fortuitos, erro de valorização de carteiras,
erros de comunicação e discrepâncias no tratamento contábil.
Risco de controle
É mais amplo que o risco contábil e inclui os riscos de falhas dos sistemas
internos de informação, por meio de operações negligentes, projetos de TI
ruins ou fraude deliberada. Temos, como exemplos, relatórios de carteiras,
avaliação de ativos, reconciliação, extrapolação de limites e informações
gerenciais. Neste último vale lembrar que muitas decisões são tomadas por
informações gerenciais.
Risco de crédito

Pode ser de nido como uma medida numérica da incerteza relacionada ao

recebimento de um valor contratado/compromissado a ser pago por um
tomador de um empréstimo, contraparte de um contrato ou emissor de um
título, descontadas as expectativas de recuperação e realização de garantias.
Risco-país
O risco-país é uma medida que visa classi car o risco geral de um país.
Basicamente, ele visa calcular o nível de instabilidade econômica de uma
nação. Está relacionado à economia e a aspectos sociais e políticos do país
onde a unidade está instalada, e referenciamos o risco-país ao risco
soberano.
Risco de demanda

Incerteza que cerca a demanda futura por um produto ou por um serviço

devido à interação de fatores inesperados e incontroláveis, como mudanças
imprevistas na regulamentação e mudanças no gosto dos clientes.
Risco de novos produtos
Acontece quando a empresa não tem os sistemas ou a especialização para
gerir adequadamente um novo produto lançado. Os erros tendem a ser mais
altos nos estágios iniciais de desenvolvimento de um novo produto ou
quando o novo produto é espetacularmente mais popular que o previsto,
causando perdas em potencial de reputação e custos de oportunidade.
Risco de reputação

Pode apresentar como consequências as perdas monetárias e nanceiras que

se seguem à perda de reputação de uma organização. Esse risco é
particularmente importante no caso das instituições nanceiras, nas quais a
con ança do mercado nanceiro é fundamental, mas empresas não
nanceiras também necessitam entender e se prevenir, pois seus produtos
podem sofrer baixas de faturamento.
Risco de continuidade
Trata da continuidade do negócio em caso de pane no ambiente físico e/ou
lógico, que devem ser testados periodicamente para assegurar a e ciência e
e cácia em situações reais, ou seja, não basta planejar, é preciso ter certeza
de que o plano efetivamente funciona. Mas alguns itens de continuidade
devem ser referenciados, tais como sucessão do corpo diretivo, de pessoas-
chave, backup, unidades de negócio, plano de negócios (business plan)
acesso ao prédio em caso de distúrbios naturais, greve, protestos, entre
outros.
Os sistemas eletrônicos de informação apresentam riscos que devem ser
efetivamente controlados para evitar interrupção dos serviços e prejuízos em
potencial. Para isso, sempre falamos sobre os planos de contingência, que
permitem à organização operar sempre, independentemente dos problemas
ocorridos.
Sem controle adequado sobre os sistemas e a tecnologia de informações,
inclusive sistemas que estão em desenvolvimento, e em decorrência de
critérios inadequados de segurança física e eletrônica, as instituições podem
sofrer perda de dados e programas. Portanto, falhas de sistemas ou
equipamentos, procedimentos inadequados de backup e recuperação de
dados são procedimentos bem de nidos em governança de TI.
Há riscos associados à perda ou interrupção longa dos serviços, causada por
fatores fora do controle da organização, em casos extremos, uma vez que a
prestação de serviços aos clientes representa preocupação estratégica com o
negócio e com a imagem da organização.
Tais problemas podem causar sérias di culdades e até prejudicar a
habilidade da organização em conduzir suas atividades de negócios. Esse
risco potencial requer o estabelecimento de planos de contingência e de
recuperação.
Risco de desastre
Decorre de desastres naturais e pode ser segurado. Seu efeito pode ser
minimizado por planos de contingência, planos de recuperação de desastres
ou sistemas de cópia de segurança.

3.2 Gestão de crises e con nuidade de

negócios
A gestão de crises deve ser vista como uma sequela do planejamento de
contingência em vez de um substituto para ele. Embora a gestão de crises
não substitua o planejamento nem outra forma de gerência de risco, existem
situações – quando eventos de perda críticos são completamente
imprevisíveis e incontroláveis ou muito improváveis, ou quando os custos de
prognósticos, planejamento, redução ou prevenção forem altos demais – em
que ela é inteiramente apropriada.
A gestão de crises envolve o reconhecimento de uma crise, a sua solução e a
tentativa de aprender e tirar proveito dela. Usualmente a reação imediata a
uma crise nanceira é a negação, seguida de pânico. Nesse caso, uma
declaração formal para toda empresa de que está se enfrentando uma crise
grave é necessária a m de focar atenção e outros recursos para resolvê-la.
Mas quando a crise é uma catástrofe, um desastre, uma greve, um incêndio,
uma pandemia, uma explosão ou algum dano de grandes proporções?
Nesses casos, a gestão de crise só funciona se possuirmos um bom plano de
contingência.
Apresentamos alguns pontos importantes de planos de contingência e
recuperação. Vale ressaltar que são apenas algumas sugestões, pois, para que
os planos sejam bem-sucedidos e demonstrem sua verdadeira
funcionalidade, os testes necessitam ser efetivos, e não testes de “faz de
conta”, com o intuito de fantasiar a efetividade dos planos para ação.
Portanto, os planos devem ser levados a sério.
Nesse sentido, com o intuito de que esse gerenciamento aconteça de modo
adequado, eu e minha amiga Dra. Roberta Volpato Hano 7 publicamos um
artigo8 no qual sugerimos as seguintes orientações para implementar o
plano de gerenciamento de crises:
1. Estabelecer um comitê de gestão de crises, formado pelos principais
executivos e gestores da organização (de preferência com a realização
de reuniões matutinas diárias), para reavaliações tempestivas dos
cenários externos dentro da organização (citamos, como exemplo, os
avanços da Covid-19 e seus impactos no negócio).
2. Construir um plano de gestão de crises, associado a um plano de
recuperação e continuidade do negócio (incluindo possibilidades de
desastres e/ou situações externas; para isso, citamos, como exemplo, a
greve dos caminhoneiros e a pandemia da Covid-19).
3. Se o plano já existe e a empresa o considera desatualizado, ou mesmo
inapropriado para tratar a crise no momento presente, não vale se
ocupar com uma atualização agora, no momento temos que agir de
forma rápida, consciente e coordenada, é a pedida do momento.
4. Depois de superados os problemas, um grupo de trabalho de sua
empresa, criado de modo multissetorial e liderado pelos membros da
alta direção, deverá, através do debate sobre os aprendizados obtidos
com o enfrentamento da crise, constatar as vulnerabilidades dos
processos de gestão e controles internos, reconstruindo, dessa forma,
um novo, coerente e efetivo plano de gestão de crises.
5. A mesma lógica deve ser adotada para a avaliação dos riscos do
negócio: se isso ainda não faz parte da cultura do seu negócio, ou se a
avaliação está há muito tempo desatualizada, agora não é o momento
de se ocupar dela – até porque os aspectos estratégicos, operacionais,
nanceiros e regulatórios derivados da pandemia de Covid-19 serão
medidos apenas nas próximas etapas do seu negócio; portanto,
qualquer esforço envidado agora implicará retrabalho logo à frente.
6. Na atual conjuntura, a organização deve se ocupar em “apagar
incêndios” (sem deixar, é claro, de fazê-lo de forma coordenada,
estratégica e mediante a reunião dos recursos humanos, nanceiros e
tecnológicos necessários), mas nada além disso. Os detalhes, já que não
priorizados até o momento, postergue-os para o período de calmaria.
7. Quando se fala em riscos, automaticamente pensamos em impactos.
Caso a empresa, além de não ter avaliado previamente seus riscos
inerentes, também não tenha mapeado e calculado os impactos à sua
recuperação e continuidade, uma alternativa rápida e que pode servir
para tentar salvar o negócio é a renegociação com bancos, clientes e
fornecedores (especialmente, prazos e pagamentos), além da
manutenção da execução dos serviços e realização de entregas (pois, do
contrário, isso pode “matar” seu negócio).
8. Outra ferramenta rápida que pode ser usada, ainda que
temporariamente, para ajustar seu apetite e sua tolerância ao risco, é a
construção de indicadores de performance e riscos para o
monitoramento contínuo, com o estabelecimento de gatilhos para o
acionamento de medidas de contingência e continuidade de forma
minimamente estruturada, mas lembre-se de aperfeiçoar seus modelos
em um futuro próximo.
 9. O seu comitê de gestão de crises deve, nas reuniões diárias
obrigatórias que mencionamos de início, discutir sobre o mapeamento
de cenários (já ouviram falar de “stress testing”?9). Esses momentos são
essenciais para aprender com os problemas e desenvolver possíveis
soluções, especialmente para o caso de prolongamento da crise,
avaliando o apetite de risco e, o principal, qual a tolerância do negócio
para situações como a atual.
10. Implemente mecanismos internos de comunicação para
colaboradores, clientes e fornecedores, com a realização do
monitoramento, neste caso atual, sobre os avanços da Covid-19, de
preferência em fontes seguras (cuidado com as fake news), e de seus
impactos para o negócio e a vida das partes interessadas. Essa
comunicação deverá ser coesa e recorrente, realizada por porta-vozes
especialmente escolhidos para essa nalidade, de forma que todas as
partes interessadas, de dentro e de fora da organização, tenham acesso
ao mesmo conteúdo e ao mesmo tempo. Isso certamente evitará
vazamentos de dados descontextualizados e, até mesmo, especulações
promovidas por pessoas que não estão su cientemente inteiradas do
contexto e dos planos de ação adotados pela organização, além de
cenários de pânico e incerteza.
O principal desa o é fazer com que a estratégia global e a perspectiva de
risco sejam comunicadas e entendidas por todos em todos os níveis da
organização, re etindo no processo de tomada de decisões, uma vez que
todos nós devemos entender e identi car os riscos inerentes a nossas
atividades, e somente com essa conscientização poderemos gerenciá-los
melhor.
O risco, portanto, tem como principal característica a probabilidade de
ocorrer ou não, conforme determinada alternativa escolhida pelo gestor. Por
essa ótica, o risco pode ser interpretado como uma ameaça ao alcance dos
objetivos organizacionais. As categorias de riscos a que uma atividade está
exposta dependem da natureza dessa atividade e de como tratamos a sua
possibilidade.
 Figura 3.2 – Resiliência operacional

Fonte: Elaborada pelo autor.

Entendemos que uma gestão de riscos bem estabelecida começa com uma
boa comunicação, pois, dessa forma, todos estarão “na mesma página”,
sabendo apenas o que for realmente útil, verdadeiro e necessário para que
prossigam trabalhando de modo seguro e, ao mesmo tempo, auxiliando a
empresa no atingimento dos objetivos de seu plano de gestão de crises e de
continuidade dos negócios.
É provável que, quando chegarmos ao m da crise provocada pela
pandemia, as organizações que a ela sobreviverem se deparem com algumas
baixas e perdas, mas esperamos que esses dados, mesmo negativos, não
tenham destaque maior do que os aprendizados que advierem com o
período.
Entendemos que esse aprendizado faça sentido de verdade. A nossa sugestão
é revisitar os processos operacionais de sua empresa no que tange ao sistema
de controles internos, compliance, gestão de riscos, gestão de crises e gestão
da continuidade de negócios. Fica a nossa dica: jamais negligencie a
importância de se preocupar com a melhoria contínua e correções que, se
detectada a sua necessidade e implementadas imediatamente, garantirão
valor agregado e perenidade.
A gestão de riscos proporciona um processo de conhecimento dos limites
dos negócios, seus impactos, das possíveis perdas e das oportunidades que
possam surgir. Por isso, entendemos que um bom processo demanda uma
resiliência organizacional, em um nível mais estratégico. A resiliência pode
representar a habilidade da empresa para alterar suas estratégias de maneira
dinâmica ou até mesmo reinventar seu modelo de negócio visando a uma
adaptação ao seu modelo de negócios e processos internos.
Outro fato de que não podemos esquecer é que, por falhas dos planos de
contingência de algumas empresas que funcionavam operacionalmente no
World Trade Center (WTC), no dia do atentado de 11 de setembro de 2001,
elas simplesmente deixaram de existir, pois a contingência havia sido
aplicada justamente na torre ao lado.
Os planos de contingência deveriam ser avaliados segundo três critérios. O
primeiro é a con abilidade, pois o grau de proteção proporcionado pelo
plano contra grandes eventos inesperados afeta o processo dos negócios. O
segundo é a qualidade do plano, que é a disponibilidade operacional; a nal,
é preciso avaliar o tempo necessário para retornar ao funcionamento
normal. E o último é a sustentabilidade, o custo e a adaptabilidade do plano
a mudanças nos recursos e processos. Por exemplo, como resultado de um
plano de contingência con ável e sustentável, o escritório da Fuji Capital
Markets foi capaz de se recuperar dentro de dois dias depois de seu
escritório no World Trade Center ter sofrido um atentado a bomba.
A qualidade de um plano de contingência é proporcional ao tempo e esforço
que os pro ssionais e gestores nele empregaram. O planejamento de
contingência ou de continuidade de negócios pode ser muito dispendioso,
porque os eventos precisam ser considerados maduramente e comunicados
com antecedência, mas a e cácia e a qualidade total da recuperação serão
maiores, ou seja, há um menor risco de falha na recuperação. Portanto
apresentamos a seguir alguns pontos relevantes para um plano de
contingência:

avaliar os procedimentos antes, durante e depois da emergência;

determinar o local alternativo para continuidade das atividades;
designar um responsável pela segurança;
 elaborar um manual com o plano para os colaboradores;
realizar treinamento do pessoal, inclusive com relação a controle
de pânico, procedimentos de evacuação e autoproteção;
designar o cialmente os substitutos para funções críticas em caso
de emergência;
guardar as cópias do plano em local externo seguro e de fácil
acesso;
prever transporte de colaboradores para local alternativo;
efetuar o backup de movimento diário processado e guardado em
local seguro;
fazer testes anuais documentados e devidamente veri cados.

3.3 Resultados esperados pelos métodos

para iden ficação dos riscos
Buscar uma análise completa do processo pelos envolvidos, identi cando
riscos potenciais e avaliando as medidas de controle e mitigação. Dessa
forma, podemos melhorar a maneira de realizar as análises, pois com os
envolvidos no processo o conhecimento ui melhor, identi camos as forças
e as fragilidades existentes, com isso fortalecemos o gerenciamento dos
riscos.
Geralmente buscamos a implementação de controles que nem sempre
funcionam; portanto, quando identi camos os riscos, existe a possibilidade
de redução ou eliminação de controles caros e ine cazes, com a criação de
soluções alternativas para minimizar a exposição aos riscos. Assim se
tornam mais fáceis a de nição e o acompanhamento de ações para e ciência
dos controles, pois devemos lembrar que um risco não identi cado é um
controle interno não implementado, isso faz toda a diferença.
Métodos de identi cação de riscos proporcionam a avaliação de padrões dos
controles já existentes e se eles realmente funcionam ou necessitam de
melhorias. Faça com que o dono do processo entenda a importância dele no
dia a dia da função e que controles realmente auxiliam quando são
implementados como ferramenta de prevenção.
Quando nos referimos à disseminação da cultura de riscos na organização e
que facilitem na obtenção de entendimento e linguagem comuns sobre
riscos, pensamos que somente uma política de gestão de riscos não é o
su ciente, mas a implementação de um manual de riscos ou um dicionário
de riscos facilita o entendimento e reconhecimento das ameaças e fraquezas
dos processos, favorecendo a evolução das oportunidades e o fortalecimento
da gestão e dos processos operacionais.
Estabelecer canais adequados de reporte e monitoramento de ações de
melhoria sobre a exposição aos riscos e promoção de responsabilidades
dentro da organização para o gerenciamento de riscos e controles internos,
digo sem medo de errar, é uma forma de aprimorar o conhecimento dos
processos de negócios e melhoria do nível de con abilidade dos
colaboradores internamente, pois, quanto mais entendemos o propósito, o
objetivo, os fatores críticos de sucesso e os indicadores-chave, melhor será o
atendimento da demanda e a entrega dos controles operacionais.

Figura 3.3 – Avaliação, indicadores e monitoramento dos processos

Fonte: Elaborada pelo autor.

3.4 Implementando a metodologia do

COSO-ERM Framework
Existem vários motivos para utilizar a metodologia do COSO-ERM, tendo
em vista a necessidade de obtenção de resultados para identi cação dos
riscos corporativos, levando em conta a complexidade de fazer negócios,
que está mudando e vai mudar muito mais, e os novos riscos que continuam
a surgir em um ritmo muito mais rápido do que já foi visto no passado.
Basta avaliar o que a pandemia causou no mundo inteiro. A mudança do
comportamento do cliente tem exercido uma in uência considerável em um
cenário econômico global imprevisível.
A evolução das tecnologias e um maior apelo à transparência estão
promovendo uma mudança nos processos de planejamento estratégico e as
capacidades operacionais. Gerir esses desa os exige que as organizações
adotem uma nova abordagem para gerenciar riscos: que ajude a criar,
preservar e realizar valor, no presente e no futuro.
Devemos, sempre que possível, orientar nossos clientes e alunos a auxiliar a
alta administração em determinar seu apetite a riscos, que deve dar um
norte ao gerenciamento dos riscos, pois é de suma importância que
tenhamos esses limites bem de nidos e implementados.

Figura 3.4 – Riscos e apetite a riscos em processos corporativos

Fonte: Elaborada pelo autor.

O framework do Enterprise Risk Management – integrando a estratégia e o
desempenho operacional nos proporcionou algumas dicas úteis para a
implementação de gestão de riscos em que os processos iniciem no conselho
de administração e sejam monitorados pelas áreas de negócios, onde cada
um será responsável pelos seus processos, controles e riscos. Seguem
algumas sugestões do COSO-ERM:

Controlar os riscos com participação do conselho – o conselho de administração deve

fornecer uma supervisão da estratégia e desempenhar responsabilidades de
governança para apoiar a gestão na realização da estratégia e nos objetivos de
negócios.
Estabelecer as estruturas operacionais – a organização necessita estabelecer estruturas
operacionais na busca de objetivos estratégicos e de negócios, que facilitem reconhecer
os processos e controles existentes.
De nir a cultura desejada – a organização de ne os comportamentos desejados que
caracterizam a cultura desejada da entidade por meio de códigos de conduta que
alinharam comportamentos e posturas corporativas.
Demonstrar compromisso com os valores fundamentais – a organização demonstra
um compromisso para os valores fundamentais da entidade, sua conduta, alinha o
comportamento ético, promove a transparência e incentiva a honestidade.
Atrair, desenvolver e manter indivíduos capazes – a organização deve estar empenhada
em construir e orientar o capital humano alinhado com a estratégia e os objetivos de
negócios; quanto mais indivíduos capacitados e desenvolvidos internamente, melhores
serão os resultados corporativos.
Analisar o contexto empresarial – a organização tem como meta considerar os efeitos
potenciais de riscos no contexto empresarial no per l de risco, por meio de eventos
internos e externos (ver a análise do sistema Pestel).
De nir o apetite ao risco – a organização de ne o apetite de risco no contexto da
criação, preservação e realização de seus valores com processos de nidos. Elabore uma
política de gestão de riscos ou gerenciamento de riscos corporativos e estabeleça as
métricas e metodologias para de nição dos limites operacionais e grau de
responsabilidades.
Avaliar estratégias alternativas – a organização deve avaliar quais são as estratégias
alternativas e o impacto potencial no per l de risco, conforme tamanho, porte e
complexidade dos negócios, conhecido no mundo corporativo como sendo o plano B.
Formular objetivos empresariais – a organização considera o risco ao estabelecer os
seus objetivos de negócios em vários níveis que alinham e apoiam a estratégia, que
deve ser conhecida pelas partes envolvidas e possam ser avaliados com efetividade.
Identi car o risco – a organização identi ca o risco que afeta o desempenho da
estratégia e os objetivos de negócios e quando possível providencia o tratamento para
os processos identi cados. Nessa fase dependemos muito de quem faz os trabalhos, e
os processos de controle devem ser identi cados e conhecidos.
Avaliar a gravidade do risco – a organização, quando preparada, deve avaliar a
gravidade do risco, sempre alinhado à apetite de riscos dos negócios, por isso se faz
presente a publicação de uma política de gestão de riscos para que sejam avaliados o
impacto e a probabilidade conforme as regras internas.
Priorizar riscos – a organização deve priorizar os riscos como base de informação de
perdas para selecionar respostas aos riscos, pois somente conseguimos sensibilizar a
alta administração quando demonstramos os valores das possíveis perdas, para que
possamos priorizá-los. Esta etapa pode ser o início do sucesso do gerenciamento de
riscos.
Implementar respostas de risco – uma vez que a organização identi cou e avaliou os
riscos conforme seu grau de criticidade, a seleção das possíveis respostas ao risco
cará mais clara e evidente.
Desenvolver uma visão de carteiras – a organização que desenvolve e avalia seus
processos por produtos e serviços prestados internamente consegue uma visão de
risco das carteiras de negócios e utiliza os indicadores de performance que mais lhe
convierem para controle e monitoramento.
Avaliar mudanças substanciais – a organização deve identi car e avaliar as mudanças
que podem afetar substancialmente a estratégia e os objetivos de negócios. Crie
comitês internos com os principais gestores e faça com que todos opinem para que a
decisão seja colegiada e corporativa.
Comentários de risco e desempenho – a organização que analisa o desempenho da
entidade através de seus comitês e considera o apetite de risco tem uma gestão de
riscos mais próxima do seu dia a dia e di cilmente será surpreendida com possíveis
perdas operacionais ou de não atendimento da estratégia.
Monitorar a melhoria no gerenciamento de riscos corporativos – a organização que
persegue a melhoria no gerenciamento de riscos corporativos a cada mudança
regulatória ou operacional tem maior probabilidade de acerto e minimização de
perdas identi cadas com antecedência.
Aproveitar os sistemas de informação – a organização necessita olhar para dentro do
seu próprio negócio e aproveitar as informações fornecidas pelas áreas internas da
entidade e pelos seus sistemas de tecnologia para que possam suportar a gestão de
riscos corporativos. Durante a pandemia cou muito evidente o desconhecimento dos
processos internos.
 Comunicar informações sobre riscos – a organização deve utilizar canais de
comunicação para suportar o gerenciamento de riscos corporativos, pois a boa
comunicação facilita a identi cação das falhas e estas podem ser tratadas com maior
tempestividade.
Relatórios sobre risco, cultura e desempenho – a organização informa ao conselho e ao
corpo diretivo sobre os riscos, as falhas na cultura e na postura corporativa, e também
no desempenho em vários níveis do negócio, consolidando as informações com base
em toda a entidade com periodicidade regular.

3.5 Gerenciando um mapa de riscos

Quando falamos em um mapa de riscos, geralmente é uma representação
grá ca referente aos riscos presentes em um ambiente de trabalho,
apresentado gra camente de acordo com o layout do local analisado através
de círculos de cores diferentes, de acordo o nível dos riscos e com as cores
correspondentes a eles. Este mapa visa estimular as ações de prevenção de
acidentes de trabalho e doenças ocupacionais na organização, buscando
facilitar o conhecimento dos riscos aos funcionários e conscientizá-los a m
de que eles passem a ser mais zelosos pela própria segurança.
Gostaríamos de salientar que o mapa de riscos é considerado um
componente que demonstra a criticidade da gestão corporativa de risco e
tem como objetivo auxiliar na identi cação dos riscos que necessitam de
maior atenção, entendimento e monitoramento.
Já um mapa de gerenciamento de riscos deve oferecer, de uma forma lúdica,
a identi cação e a análise dos principais riscos que devem ser
compreendidos sobre a natureza. Assim podemos determinar os níveis de
risco que correspondem à combinação dos processos internos e, de uma
forma macro, apontar os controles e os processos a serem gerenciados
internamente.
Para facilitar o entendimento, zemos uma adaptação de um mapa de riscos
corporativos para que possamos orientar a todos sobre as principais
necessidades no gerenciamento de riscos corporativos, demonstrado a
seguir:

Figura 3.5 – Etapas de análise de um mapa de riscos

Fonte: Elaborada pelo autor.

6 A sigla ESG advém do termo em inglês Environmental, Social and Governance – ou, em
português, ASG, referindo-se à Ambiental, Social e Governança. No mundo dos
investimentos, investimento ESG é aquele que incorpora questões ambientais, sociais e de
governança como critérios na análise, indo além das tradicionais métricas econômico-
nanceiras e, com isso, permitindo uma avaliação das empresas de forma holística.
7 Uma das referências, Guia prático de construção de um plano de gestão de crises,
desenvolvido pela CEO do Studio Estratégia, Roberta Volpato Hanoff, está disponível no
link: https://studioestrategia.com.br/2020/03/17/guia-pratico-para-gestao-de-crises-no-
ambiente-organizacional/.
8 Outra referência, Gestão de riscos e continuidade dos negócios em tempos de coronavírus,
é um artigo que aponta nove aspectos essenciais para o gerenciamento de crises na
pandemia. Disponível em: https://www.ibgc.org.br/blog/artigo-gestao-de-riscos-marcos-assi-
roberta-hanoff.
9 O processo de stress testing é amplo, que pode ser aplicado a qualquer empresa, sendo
um meio de veri car como seu patrimônio ou ativos de uma carteira seriam afetados de
acordo com diferentes cenários que pudessem acontecer, trazendo para o modelo de
negócios uma visão das nanças, por meio de uma simulação com os principais indicadores
de juros, moedas, ações, crédito, inadimplência, atividade econômica, en m, todas as
variáveis que possam afetar seus investimentos e negócios.
Capítulo 4
Casos de fraudes
4.1 Conscien zação e cultura
A questão da cultura de controle sempre demonstra grande preocupação no
que tange a controles e prevenção de perdas, seja por erros, seja pelas tão
famigeradas fraudes nanceiras ou corporativas, que ultimamente têm
reduzido os resultados das corporações, causando perdas nanceiras, de
imagem e de reputação, em certos casos, intangíveis. Algumas empresas
vêm, a cada ano, buscando aprimorar o entendimento das causas e motivos
das perdas com fraudes, justamente para implementar melhores controles de
prevenção.
A edição mais recente da pesquisa “Per l do fraudador”,10 realizada pela
KPMG com base em dados apurados em 750 investigações de fraudes em 78
países, mostrou que o típico fraudador empresarial tem entre 36 e 55 anos
(69%), é uma ameaça interna (65% são funcionários), com um cargo de
nível de diretoria (35%) e trabalha na empresa há no mínimo seis anos
(38%). Além disso, ele tem autoridade ilimitada dentro da organização,
podendo transgredir os controles internos (44%).
“Ainda no per l, percebemos que o típico fraudador geralmente é descrito
como autoritário (18%), entretanto, a probabilidade de enxergá-lo como
amigável é três vezes maior do que de vê-lo de outra maneira. Além disso,
ele tende a ser respeitado, com 38% dos fraudadores descrevendo a si
mesmos como bem respeitados na organização”, analisa o sócio da área de
tecnologia forense da KPMG no Brasil, Antonio Gesteira.
Outra conclusão do estudo é que a fraude tem maiores chances de ser
realizada em conluio (62% em contraste com 38% do que a cometida por
um indivíduo sozinho). Embora a maior parte aconteça em empresas mistas
(46%), os homens ainda tendem a unir-se em conluio em maior proporção
do que as mulheres (39% são grupos masculinos, em contraste com 7% de
grupos femininos).
“Mesmo que os controles sejam robustos, os fraudadores podem e irão
esquivar-se deles ou infringi-los. Os fraudadores em conluio são capazes de
driblar controles em 16% dos casos. Importante frisar que partes externas
estão envolvidas em 61% das fraudes deste tipo”, a rma Gesteira.
Vale a pena salientar que os controles internos são uma forma de
identi cação de possibilidades de fraudes, pois existem outras. Por esse
motivo, adotamos a metodologia de melhores práticas e de avaliação de
necessidades de controles com foco nos controles interno e contábil.
Ainda sobre o tema de controles, não podemos deixar de evidenciar as
fraudes ocorridas nos últimos anos, que demonstram ausência de controle,
negligência operacional, ausência de índole e despreparo das auditorias e
dos órgãos reguladores.
Segundo o levantamento, as empresas não estão conseguindo utilizar ao
máximo a tecnologia para combater a fraude, mesmo sendo uma
viabilizadora signi cativa de atividades fraudulentas. A tecnologia é
considerada uma viabilizadora signi cativa para cerca de 25% dos 750
fraudadores investigados. Entretanto, o relatório mostra que as ferramentas
de análise de dados proativas desempenham um papel menor no combate à
fraude, com somente 3% dos fraudadores sendo detectados dessa maneira.
“O caráter ambíguo da tecnologia em termos de fraudes só tende a car mais
acentuado. À medida que a tecnologia se torna mais avançada, também
avançam os esquemas para utilizá-la maliciosamente. Porém, estamos vendo
poucas evidências de que as empresas estão fazendo o mesmo para evitá-la.
Sistemas de monitoramento de ameaças e ferramentas de análise de dados
são imperativos para as organizações que estão na vigilância contra
comportamentos estranhos ou suspeitos”, analisa o sócio da KPMG.
A pesquisa apontou ainda que os fraudadores especialistas em tecnologia
estão utilizando-a de diversas formas: cerca de 24% estavam vinculados à
criação de informações falsas ou enganosas em registros contábeis; 20%
envolviam fraudadores disseminando informações falsas ou enganosas por
e-mail ou outra plataforma de envio de mensagens; 13% envolviam
criminosos abusando do acesso autorizado a sistemas de computador.
“É importante que as empresas invistam em controle interno. O número de
fraudadores capazes de praticar ações que visam tirar vantagem de controles
de cientes aumentou para 27%, em comparação com os 18% do relatório de
2013. Além disso, 44% foram detectados como resultado de uma pista ou
reclamação e apenas a metade disso como resultado de uma revisão da
administração. A globalização e a regulamentação são apenas algumas das
megatendências que reforçam os motivos pelos quais os controles nas
empresas são mais importantes do que nunca”, naliza Gesteira.

4.2 Exemplos de casos reais

Com o propósito de evidenciar as fraudes ocorridas, Borgerth (2007) e da
Silva (2010) apresentam os principais escândalos contábeis:

Caso Enron – EUA (2001)

Era a sétima maior empresa dos Estados Unidos e uma das maiores
organizações do setor de energia do mundo, com negócios em mais de 40
países, e pediu concordata. Após dez dias o Congresso americano iniciou
uma análise sobre a quebra do grupo, que apresentava em seu balanço uma
dívida de US$ 22 bilhões de dólares. No Brasil, na mesma época, a
organização tinha participações no Gasoduto Brasil-Bolívia, na Usina
Termoelétrica de Cuiabá, na Eletrobolt, na Gaspart, na CEG/CEGRio e na
Elektro Eletricidade e Serviços.
O economista Kenneth Lay fundou, em 1984, a Enron, localizada em
Houston, no Texas. Foi uma das maiores empresas bene ciadas pela
desregulamentação do mercado de energia dos Estados Unidos e pela alta de
preços em 2000, quando o custo de energia no mercado atacadista
americano subiu de US$ 32 para US$ 317.
Sempre houve falta de divulgação das informações nanceiras sobre a
companhia; essa prática era difundida pelo próprio Lay, então presidente da
Enron, junto aos funcionários. Isso não atrapalhava o mercado americano,
porque suas ações se traduziam em lucro. Detentora de um faturamento
anual de US$ 100 bilhões, a Enron valia US$ 64 bilhões em janeiro de 2001.
Uma das maiores organizações de auditoria e consultoria do mundo, a
Arthur Andersen era a responsável por conferir a contabilidade da Enron.
Durante o processo de falência da Enron, a Arthur Andersen foi arrolada
pelo departamento de Justiça norte-americano depois de car provado que
havia autorizado a destruição de papéis referentes aos contratos de parcerias
em prestações de serviço, usados pelo grupo para esconder as dívidas e
in ar os lucros. A empresa admitiu ter in ado os lucros em
aproximadamente US$ 600 milhões em quatro anos. Assim, iniciou-se o
maior escândalo nanceiro na história dos Estados Unidos, que teve
repercussão mundial.

Caso Arthur Andersen – EUA (2002)

Em 2000, a Enron, segunda maior cliente da Andersen nos Estados Unidos,
pagou US$ 52 milhões pela auditoria e mais US$ 27 milhões por outros
serviços. Além de realizar a auditoria externa da Enron Corp., a Arthur
Andersen também prestava serviços de auditoria interna para a empresa de
energia, suscitando questões ainda maiores sobre sua competência para
auditar seu próprio trabalho.
A Arthur Andersen estava havia 89 anos no mercado e era considerada uma
das cinco principais dos Estados Unidos, quando foi condenada pela Corte
Federal de Houston a cinco anos de prisão e a uma multa de cerca de US$
500 mil por obstrução de justiça no caso da Enron, e perdeu o direito de
realizar auditorias de empresas públicas nos Estados Unidos. Foi um gesto
simbólico, já que a empresa encerrou suas atividades em agosto de 2002, e
como a condenação se referia à organização, ninguém foi para a prisão.
O julgamento contra a organização, que tinha cerca de 85 mil empregados
por todo o mundo e em 2001 faturou US$ 9,3 bilhões, foi o primeiro caso
criminal a surgir do escândalo nanceiro causado pela quebra da Enron.

Caso WorldCom – EUA (2002)

A cada trimestre, a empresa revisava os números contábeis para adequá-los
às estimativas dos analistas. Era a segunda maior operadora americana de
telecomunicações a longa distância e a primeira operadora mundial de
serviços de internet. A WorldCom representava no m da década de 1990
uma empresa-símbolo da euforia americana.
Da mesma forma que a Enron, a WorldCom foi cobiçada pelos investidores
que, de meados de 1998 à metade de 1999, multiplicaram por seis a sua
cotação. Assim como Kenneth Lay, CEO da Enron, Bernard Ebbers, CEO da
WorldCom, era também considerado um gênio dos negócios.
Do mesmo modo que a Enron, a WorldCom teve uma ascensão tão rápida
quanto a sua queda, com uma dívida de US$ 41 bilhões e a descoberta de
desvios contábeis de aproximadamente US$ 4 bilhões para esconder suas
perdas, o que originou outro escândalo.

Caso Xerox – EUA (2002)

Depois do escândalo da WorldCom, a Xerox dos Estados Unidos admitiu
em junho de 2002 ter in ado seu faturamento em US$ 1,9 bilhão nos
últimos cinco anos, contabilizando de uma única vez vendas de
equipamentos que seriam pagos em longo prazo.
A empresa encaminhou à Security and Exchange Commission (SEC) dos
EUA seu relatório revisado para o exercício de 2001.
O ajuste contábil era exigência do acordo fechado com a SEC em abril de
2002, quando o “chefão” do mercado de capitais americano descobriu as
falhas contábeis, mas superou o estimado pela agência na época, US$ 1,5
bilhão.
Sem admitir ou negar a culpa, a Xerox concordou, em abril de 2002, em
pagar a multa de US$ 10 milhões à SEC, a maior já paga por uma
organização, por ter informado erradamente o registro contábil das receitas.
A empresa não utilizou o princípio da competência para contratos de longo
prazo, reconhecendo seus resultados no primeiro ano e in ando a receita. A
KPMG pagou multa de US$ 22 milhões por atuação nesse caso.

Caso Tyco – EUA (2002)

De acordo com o Centro de Informações de Fraude, uma investigação
interna concluiu que existiam erros de contabilidade na Tyco, porém não era
um problema de fraude simétrica. O antigo diretor executivo da Tyco,
Dennis Koslowski, o antigo diretor nanceiro, Mark Swartz, e o antigo
conselheiro geral Counsel, Mark Belnick, foram acusados de darem a si
mesmos lucros livres ou empréstimos com juros muito baixos (algumas
vezes disfarçados de bônus) que nunca foram aprovados pelo quadro
corporativo da Tyco nem reembolsados.
Alguns desses “empréstimos” faziam parte do programa de Empréstimo-
Chave de Empregados que a empresa oferecia. Eles foram acusados de
venderem suas ações da empresa sem avisar os investidores, o que é
contrário a uma das regras da SEC.
Koslowski, Swartz e Belnick roubaram US$ 600 milhões da Tyco
International por meio de boni cações sem aprovação, empréstimos e
extravagantes despesas da empresa. Boatos sobre uma cortina de banheiro
de US$ 6 mil, uma cesta de lixo de US$ 2 mil e uma festa de aniversário de
US$ 2 milhões para a esposa de Koslowski na Itália são apenas alguns
exemplos do uso impróprio dos fundos da empresa.
Pelo menos 40 executivos da Tyco tomaram empréstimos que depois foram
“esquecidos” pelo programa de perdão de dívidas da Tyco, embora se diga
que muitos não sabiam que o que estavam fazendo era errado. Suborno
também foi pago para aqueles que a empresa temia que “traíssem”
Kozlowski. Basicamente, eles esconderam suas ações ilegais para se manter
fora dos livros de contabilidade e longe dos olhos dos acionistas e membros
do quadro.
Kozlowski e Swartz foram condenados em 2005 por utilização de bônus na
importância de US$ 120 milhões sem a aprovação dos diretores da Tyco,
abusando do programa de empréstimos a funcionários, e adulteração das
condições nanceiras da empresa para aumentar o preço das ações,
enquanto vendiam US$ 575 milhões em ações. Eles receberam sentenças de
8 a 25 anos de prisão. Belnick pagou uma multa de US$ 100 mil. Depois de
substituir os membros do conselho administrativo e vários executivos, a
Tyco International tem se mantido forte.

Caso Parmalat – Itália (2003)

Dia 11 de novembro de 2003, dia em que avaliadores da contabilidade da
empresa expressaram suas dúvidas acerca de um projeto de investimento de
500 milhões de euros efetuado no fundo Epicurum, situado nas Ilhas
Caiman. No mesmo instante, a agência Standard & Poors baixou a nota dos
títulos da Parmalat, cujo valor das ações se reduziu drasticamente.
Com a preocupação crescente dos credores da Parmalat, a direção do grupo
apresentou documento anunciando que a empresa possuía uma conta de
3,95 bilhões de euros no Bank of América, nas Ilhas Caiman. O banco
a rmou ser falso o tal documento exibido pela direção da Parmalat.
A ação da Parmalat conheceu, então, uma derrocada: mais de 115 mil
investidores e pequenos poupadores perderam, globalmente, cerca de 11
bilhões de euros (segundo dados do Le Monde Diplomatique, de fevereiro de
2004). Depois dos escândalos da Enron (cuja falência levou ao desemprego
5.600 pessoas e à perda de 68 bilhões de dólares de capitalização), Tyco,
WorldCom, foi a vez da Parmalat ser alvo de mais uma crise de governança
corporativa.
A fraude nas contas da empresa é uma das maiores na história do
capitalismo. Segundo a SEC dos EUA, foi descoberto um rombo nanceiro
de 8 bilhões de euros. O caso da Parmalat é chamado na imprensa como o
Enron Europeu. Calisto Tanzi, o PDG da Parmalat, foi preso em 2003.
Outros 20 funcionários importantes também responderam processo.
Foi outro exemplo de manipulação contábil, mas com interesse muito mais
nefasto. Além de tentar melhorar os números, mascaram-se os esquemas de
fraude do próprio controlador. O caso veio à tona quando um dos bancos se
recusou a con rmar o valor que teria de pagar à Parmalat, declarado em um
de seus balanços.
A Parmalat, maior empresa do setor alimentício da Itália, pediu concordata,
um dia após o governo italiano editar um novo decreto que facilitava os
trâmites burocráticos e as negociações com credores por parte de empresas
em di culdades nanceiras. O decreto sobre concordatas permitia que o
novo executivo-chefe da Parmalat, Enrico Bondi, assumisse amplos poderes
para reestruturar a organização, sem o risco de ações judiciais por parte de
acionistas, que estavam vendo seu capital se desvalorizar rapidamente em
meio às últimas notícias.

Caso Banco Santos (2004)

Em maio de 2004, o Banco Central do Brasil (Bacen) interveio no Banco
Santos instalando cerca de 30 scais e desencadeando uma série de saques
dos correntistas. Posteriormente, mesmo com caixa positivo, recorreu ao
redesconto, solicitando R$ 700 milhões para cobrir novos saques e, segundo
Edemar Cid Ferreira, controlador do banco, o Bacen recusou o pedido e em
seguida interveio no banco. No momento da intervenção,
o Banco Central do Brasil estimava que o Banco Santos tivesse um
patrimônio negativo de
R$ 100 milhões, porém, no m da scalização, o interventor apresentou
relatório no qual constava um ativo de R$ 751 milhões e passivo de R$ 2,987
bilhões. Então, o rombo no Banco Santos foi declarado em R$ 2,236 bilhões.
Desde a intervenção, várias irregularidades e operações obscuras foram
descobertas, dentre as quais, a concessão de empréstimos a empresas
brasileiras com di culdades nanceiras em troca de compra de papéis e
investimentos em empresas localizadas em paraísos scais. O Banco Santos
teve sua falência decretada em 20 de setembro de 2005.
Complementando os casos de fraudes, a seguir apresentamos os fatos mais
importantes e mais recentes de manipulação de resultados ou perdas
nanceiras por questões de ausência de controle ou negligência na
scalização das transações nanceiras.
Caso Sadia – Brasil (2008)
As operações com derivativos cambiais levaram a Sadia a ter um prejuízo de
R$ 2,484 bilhões em 2008, o maior de sua história ao longo de 64 anos.
Balanço divulgado em 2009 apontou que a organização perdeu nada menos
que R$ 2,55 bilhões com os instrumentos que caram conhecidos como
“derivativos tóxicos”, que não estavam demonstrados em seus balanços.

Caso Aracruz Celulose – Brasil (2008)

A empresa divulgou um comunicado informando que a exposição da
organização a instrumentos de derivativos foi “fortemente” afetada pelo
dólar e contratou uma empresa especializada para veri car o tamanho do
estrago. O diretor nanceiro pediu licença do cargo. Também por apostar
excessivamente nesse instrumento, a fabricante de celulose Aracruz
anunciou um prejuízo de R$ 4,2 bilhões em 2008, que também não havia
divulgado anteriormente em seus balanços.

Caso Banco Société Générale – França (2008)

A ministra de Economia e Finanças da França, Christine Lagarde, disse que
alguns dos controles internos do banco – que em 2007 sofreu uma perda de
cerca de US$ 7 bilhões (€$ 4,9 bilhões) com um esquema de fraude sobre as
operações realizadas pelo operador Jérôme Kerviel – falharam ou não foram
levados em consideração antes do golpe.

Caso Satyam Computer Service – Índia (2009)

Em uma carta ao conselho de administração da empresa, apresentada à
Bombay Stock Exchange, Ramalinga Raju, o presidente do conselho disse
que a empresa havia in ado seu lucro operacional de US$ 12,2 milhões para
US$ 136 milhões nos três meses encerrados em 30 de setembro, enquanto as
receitas foram in acionadas de US$ 430 milhões para US$ 550 milhões. A
empresa havia relatado uma margem operacional de 24%, quando na
verdade foi de 3%. A acusação da polícia foi a de que os auditores
participaram ativamente da “maquiagem” dos números, e já vem sendo
considerada a pior fraude corporativa da Índia.

Caso Banco PanAmericano – Brasil (2010)

No dia 9 de novembro de 2010, foi anunciada à imprensa a fraude do banco
PanAmericano. O problema havia sido detectado cerca de seis semanas
antes, em setembro, quando técnicos do Bacen estavam fazendo uma
scalização especial focada em cessão de créditos entre todos os bancos. De
acordo com o diretor de scalização do Bacen, a supervisão do órgão é
baseada em risco e, como a prática de cessão de créditos havia aumentado,
resolveram fazer uma investigação mais profunda.
Em meio a rumores de que estaria prestes a quebrar, o Banco
PanAmericano, especializado em nanciamento de automóveis e
empréstimos consignados (com débito em folha), com forte atuação junto às
classes C e D, informou que receberia um aporte de R$ 2,5 bilhões do Grupo
Silvio Santos, seu principal acionista.
Os recursos foram tomados do Fundo Garantidor de Créditos (FGC), criado
pelos próprios bancos para proteger correntistas e poupadores, depois de
terem sido veri cadas “inconsistências contábeis”. Segundo o Banco Central
(BC), havia duplicidade de carteiras de crédito nos balanços, ou seja, o
PanAmericano vendia carteiras de crédito para outras instituições, mas
continuava contabilizando esses recursos.
O BC chegou a considerar intervir no banco, o que foi descartado após
pedidos do grupo controlador. Para obter o nanciamento inicial de R$ 2,5
bilhões do FGC, o empresário teve de apresentar como garantia mais quatro
empresas, além do próprio PanAmericano: Baú Financeira, Liderança
Capitalização, Jequiti (da área de cosméticos) e SBT, avaliados em R$ 2,7
bilhões. Na realidade, investigações a avaliações demonstraram que o rombo
no banco era superior a R$ 5 bilhões.
Caso Banco UBS AG – Suíça (2011)
Conforme publicou o jornal Valor Econômico, em 18 de setembro de 2011, o
operador Kweku Adoboli, preso no dia anterior pela polícia de Londres após
o banco UBS revelar que um funcionário realizou operações não autorizadas
que causaram prejuízo de US$ 2 bilhões ao banco, foi acusado de fraude e de
contabilidade ilícita em dois episódios ocorridos a partir de outubro de
2008, durante o pico da crise econômica.
O homem de 31 anos, nascido em Gana, é lho de um funcionário
aposentado das Nações Unidas. Ele foi para a Inglaterra estudar e entrou no
UBS em 2006, logo após a formatura na faculdade.
Segundo a acusação, Adoboli teria se aproveitado de sua posição de
operador sênior para realizar operações contra o interesse do UBS, em vez
de prezar pela segurança do banco. Adoboli trabalhou na divisão de
investimento do banco, chamada Delta One, que realiza operações para
clientes, normalmente os ajudando a especular ou proteger o desempenho
de uma cesta de papéis.
Os operadores dessa divisão também assumem posições de risco usando o
dinheiro do próprio banco para realizar determinadas transações. Segundo
informou o UBS, nenhum cliente foi prejudicado pelas operações realizadas
por Adoboli.
A prisão do operador ocorreu justamente quando os reguladores globais
estavam pressionando os bancos a controlar operações com recursos
próprios, aumentar seus sistemas de controle de risco e separar a área de
banco de investimento da área de varejo. Pouco antes de ser preso, Adoboli
teria escrito em sua página pessoal, no Facebook: “Eu preciso de um
milagre”.
O operador, indiciado pela fraude que custou 2,25 bilhões de dólares ao
banco suíço UBS, declarou-se inocente das acusações no Tribunal Superior
de Southwark, em Londres.
O presidente da entidade, Oswald Grübel, teve de se demitir em função do
caso, o maior escândalo desse tipo desde que, em 2008, o operador francês
Jerome Kerviel fez o banco Société Générale perder 5 bilhões de dólares com
operações não autorizadas.
O que mais impressiona é a forma como as fraudes foram tratadas e como
causaram inúmeros prejuízos a colaboradores, investidores, governos e ao
próprio mercado, sem contar a questão de imagem e reputação dos
contadores, empresas de auditoria e órgãos reguladores.

Caso Petrobras (2014)

O nome do caso, “Lava Jato”,11 decorre do uso de uma rede de postos de
combustíveis e lava a jato de automóveis para movimentar recursos ilícitos
pertencentes a uma das organizações criminosas inicialmente investigadas.
Embora os trabalhos tenham avançado para outros rumos, o nome inicial se
consagrou.
No primeiro momento, foram investigadas e processadas quatro
organizações criminosas lideradas por doleiros, que são operadores do
mercado paralelo de câmbio. Depois, o Ministério Público Federal recolheu
provas de um imenso esquema criminoso de corrupção envolvendo a
Petrobras.
Nesse esquema, grandes empreiteiras organizadas em cartel pagavam
propina para altos executivos da estatal e outros agentes públicos. O valor da
propina variava de 1% a 5% do montante total de contratos bilionários
superfaturados. Esse suborno era distribuído por meio de operadores
nanceiros do esquema, incluindo doleiros investigados na primeira etapa.
Como funcionava o esquema
As empreiteiras – em um cenário normal, as empreiteiras concorreriam
entre si, em licitações, para conseguir os contratos da Petrobras, e a estatal
contrataria a empresa que aceitasse fazer a obra pelo menor preço. Neste
caso, as empreiteiras se cartelizaram em um “clube” para substituir uma
concorrência real por uma aparente. Os preços oferecidos à Petrobras eram
calculados e ajustados em reuniões secretas nas quais se de nia quem
ganharia o contrato e qual seria o preço, in ado em benefício privado e em
prejuízo dos cofres da estatal. O cartel tinha até um regulamento, que
simulava regras de um campeonato de futebol, para de nir como as obras
seriam distribuídas. Para disfarçar o crime, o registro escrito da distribuição
de obras era feito, por vezes, como se fosse a distribuição de prêmios de um
bingo.
Funcionários da Petrobras – as empresas precisavam garantir que apenas
aquelas do cartel fossem convidadas para as licitações. Por isso, era
conveniente cooptar agentes públicos. Os funcionários não só se omitiam
em relação ao cartel, do qual tinham conhecimento, mas o favoreciam,
restringindo convidados e incluindo a ganhadora dentre as participantes, em
um jogo de cartas marcadas. Segundo levantamentos da Petrobras, eram
feitas negociações diretas injusti cadas, celebravam-se aditivos
desnecessários e com preços excessivos, aceleravam-se contratações com
supressão de etapas relevantes e vazavam informações sigilosas, entre outras
irregularidades.
Operadores nanceiros – os operadores nanceiros ou intermediários eram
responsáveis não só por intermediar o pagamento da propina, mas
especialmente por entregar a propina disfarçada de dinheiro limpo aos
bene ciários. Em um primeiro momento, o dinheiro ia das empreiteiras até
o operador nanceiro. O repasse era feito em espécie, por movimentação no
exterior e por meio de contratos simulados com empresas de fachada. Num
segundo momento, o dinheiro ia do operador nanceiro até o bene ciário
em espécie, por transferência no exterior ou mediante pagamento de bens.
Agentes políticos – outra linha da investigação, correspondente à sua
verticalização, começou em março de 2015, quando o então procurador-
geral da República Rodrigo Janot apresentou ao Supremo Tribunal Federal
(STF) 28 petições para a abertura de inquéritos criminais destinados a
apurar fatos atribuídos a 55 pessoas, das quais 49 eram titulares de foro por
prerrogativa de função (“foro privilegiado”). Eram pessoas que, à época,
integravam ou estavam relacionadas a partidos políticos responsáveis por
indicar e manter os diretores da Petrobras. Elas foram citadas em
colaborações premiadas, feitas na primeira instância mediante delegação do
procurador-geral. A primeira instância passou a investigar os agentes
políticos sem foro por prerrogativa de função, por improbidade
administrativa, nas áreas cível e criminal.
Para o procurador-geral da República, esses grupos políticos agiam em
associação criminosa, de forma estável, com comunhão de esforços e
unidade de desígnios para praticar diversos crimes, entre os quais corrupção
passiva e lavagem de dinheiro. Fernando Baiano e João Vacari Neto atuavam
no esquema criminoso como operadores nanceiros, em nome de
integrantes do MDB e do PT.
Desdobramentos no Distrito Federal – a partir de decisões do STF, a
primeira instância do Ministério Público Federal passou a ter competência
para atuar em casos da Operação Lava Jato. As deliberações do STF se
deram em virtude de desmembramentos de inquéritos ou denúncias
relativas a pessoas sem prerrogativa de foro, bem como de casos em que o
relator decidiu por não ter conexão com o esquema criminoso instalado na
Petrobras.
Os primeiros casos chegaram à Procuradoria da República no Distrito
Federal em 2016. No entanto, a unidade não constituiu um grupo especí co
para atuar nos casos, a exemplo do que ocorreu no Paraná, São Paulo e Rio
de Janeiro. As distribuições foram feitas para os ofícios que atuam no
combate à corrupção.
No caso Lava Jato, a Polícia Federal (PF) conduziu a investigação inicial,
pedindo o monitoramento de conversas dos investigados e a realização da
maior parte das buscas, apreensões e prisões, também por ela executadas.
Na condução das investigações, a Polícia ouviu investigados, colheu
documentos e analisou provas, elaborando relatórios que foram
encaminhados ao Ministério Público Federal.
Os procuradores da República que atuam no caso, além de rati carem os
pedidos da Polícia perante a Justiça e de atuarem como scais do
procedimento policial, dirigiram trabalhos investigativos e analisaram
provas e relatórios produzidos pela Polícia para formular as acusações
criminais. Por meio do intercâmbio de informações com a Receita Federal, o
Ministério Público pediu e obteve a ampliação da investigação sobre
familiares do ex-diretor da Petrobras Paulo Roberto Costa.
Quando das acusações criminais, que são de responsabilidade dos
procuradores da República, foi também o Ministério Público Federal que
obteve perante a Justiça o bloqueio dos patrimônios dos réus.
O Ministério Público Federal e a Polícia Federal trabalharam de modo
integrado. Ambos foram e são essenciais para o sucesso do caso. As medidas
solicitadas à Justiça e operacionalizadas pela Polícia foram feitas com o aval
e a concordância do Ministério Público, e as atividades dos procuradores da
República contaram com a concordância e o apoio da PF. O caso é um
exemplo de união de esforços para lutar contra a corrupção, a impunidade e
o crime organizado.
Também se uniram ao trabalho de investigação e responsabilização dos
criminosos, sob a coordenação do Ministério Público Federal:
A partir do afastamento do sigilo scal de pessoas e empresas, auditores da
Receita Federal, mediante demanda do Ministério Público, analisaram
milhares de dados, entregando aos procuradores da República mapas do
uxo da propina e de movimentações de dinheiro altamente suspeitas.
O Conselho de Controle das Atividades Financeiras (Coaf) prestou
informações sobre movimentações nanceiras suspeitas e atípicas, o que
contribuiu com o direcionamento dos trabalhos de investigação.
A proteção dos colaboradores, essencial para o incentivo à cooperação e à
consequente expansão das investigações, depende da atuação adequada do
Conselho Administrativo de Defesa Econômica (Cade) e da Controladoria
Geral da União (CGU). O Cade tem contribuído com a investigação do
cartel, analisando milhares de dados.
O Departamento de Recuperação de Ativos e de Cooperação Jurídica
Internacional (DRCI), do Ministério da Justiça, auxiliou no
encaminhamento e recebimento de pedidos de cooperação internacional,
bem como em tratativas com autoridades estrangeiras, em paralelo à
Secretaria de Cooperação Jurídica (SCI) do Ministério Público Federal.
Petrobras (vítima) – encaminhou grande volume de informações
demandadas pelo Ministério Público.
10 A pesquisa “Per l do fraudador” (Global pro les of the fraudster) conta com dados de
investigações sobre fraudes realizadas entre março de 2013 e agosto de 2020 por
especialistas da área de Forensic da KPMG na Europa, no Oriente Médio, na África, nas
Américas e na Ásia-Pací co. A KPMG analisou um total de 750 fraudadores que estiveram
envolvidos em atos cometidos em 78 países.
11 A Operação Lava Jato é a maior iniciativa de combate a corrupção e lavagem de dinheiro
da história do Brasil. Iniciada em março de 2014, perante a Justiça Federal em Curitiba, a
investigação já apresentou resultados e cientes, com a prisão e a responsabilização de
pessoas de grande expressividade política e econômica, e recuperação de valores recordes
para os cofres públicos. O caso se expandiu e, hoje, além de desvios apurados em contratos
com a Petrobras, avança em diversas frentes tanto em outros órgãos federais quanto em
contratos irregulares celebrados com governos estaduais. Fonte:
http://www.mpf.mp.br/grandes-casos/lava-jato/entenda-o-caso. Acesso em: 2 jan. 2021.
Capítulo 5
Lei Sarbanes-Oxley
5.1 Lei Sarbanes-Oxley
Ficou evidente que, após os escândalos nanceiros ocorridos nos Estados
Unidos da América, conforme as fraudes relatadas no capítulo anterior, o
governo americano necessitava moralizar o mercado, por isso lançaram uma
nova ordem mundial para os mercados de capitais em 30 de julho de 2002.
Foi uma reação rápida e obviamente desesperada, haja vista a sequência de
escândalos contábeis que abalaram a con ança dos investidores e os
fundamentos da economia. O Congresso norte-americano decidiu pôr m à
tradicional “autorregulação”, calcada no modelo dos melhores princípios, e
substituí-la por uma lei dura e abrangente, capaz de colocar nos trilhos os
mais diversos agentes do mercado e ainda todas as organizações que
quiserem ter suas ações listadas nos Estados Unidos.
A lei criou uma nova autoridade reguladora para o setor da contabilidade: o
Conselho de Supervisão Contábil das Companhias Abertas (Public
Company Accounting Oversight Board – PCAOB). Para evitar alguns
con itos de interesses óbvios, os auditores foram proibidos de fazer uma
variedade de trabalhos não ligados a auditorias para os clientes.
As empresas tiveram que estabelecer comitês de auditoria independentes,
empréstimos das empresas para seus executivos foram proibidos, altos
executivos tiveram que certi car as contas de suas empresas e informantes
ganharam maior proteção ao emprego nos casos em que reportassem
suspeitas de atividades fraudulentas.
Desde a criação da Security Exchange Act – SEA (a CVM dos EUA), em
1934, ela é considerada como fato jurídico mais relevante para o mercado de
capitais norte-americano, que veio para restaurar a con ança e segurança
das práticas contábeis e dos relatórios corporativos, tornando transparentes
e con áveis os procedimentos de gestores em assuntos diretamente
relacionados com os resultados nanceiros.
A reforma corporativa idealizada pelos parlamentares Paul Sarbanes e
Michael Oxley – a Lei Sarbanes-Oxley – é considerada a mais importante
legislação do mercado de capitais desde o crash da Bolsa de Nova York, em
1929, e dos atos de 1933 e 1934, expedidos pela Securities and Exchange
Commission (SEC), em português, Comissão de Valores Mobiliários Norte-
Americana, que funciona nos mesmos moldes da CVM brasileira.
A Sarbanes-Oxley não economizou em abrangência. Impôs regras a
conselheiros, CEOs (Chief Executive O cer), CFOs (Chief Financial O cer),
diretores, auditores, analistas de mercado e até mesmo aos advogados que
tenham em suas carteiras de clientes organizações de capital aberto. Obrigou
CEOs e CFOs a assinarem declarações atestando a veracidade das
informações apresentadas em seus demonstrativos contábeis, as quais:

asseguram a ausência de dados falsos ou omissões;

proíbem empréstimos a administradores;
disciplinam a criação de comitês de auditoria, formados a partir
de membros dos conselhos de administração e compostos apenas
por participantes independentes;
impedem a prestação de serviços de auditoria e consultoria para
um mesmo cliente;
obrigam a adoção de códigos de ética para os administradores;
determinam à SEC a criação de uma regulamentação especí ca
para reduzir os con itos de interesses no trabalho de analistas de
mercado;
exigem que advogados venham a informar à SEC violações
relevantes à legislação por parte dos administradores.

Criada para dar transparência e proteger os investidores, a lei reescreveu,

literalmente, as regras para a governança corporativa relativas à divulgação e
à emissão de relatórios nanceiros.
Sob o texto da lei reside uma premissa simples: a boa governança
corporativa e as práticas éticas do negócio não são mais requintes, são leis. E
isso não afeta apenas as organizações americanas ou as suas unidades em
outros países.
Todas as organizações que têm suas ações negociadas nos Estados Unidos
sofrem o re exo das mudanças trazidas pela lei. No entanto, as
responsabilidades criadas pela Lei Sarbanes-Oxley são do interesse de todas
as organizações que queiram se atualizar sobre as práticas rigorosas que
estão entrando em vigor nos Estados Unidos e terão in uência global.
A Sarbanes-Oxley privilegia o controle interno e as formas mais adequadas
de divulgação e emissão de relatórios nanceiros, o que aumenta a
transparência no mundo corporativo e contribui para o aumento da
con ança nesse setor.
A revista Fortune elencou os dez grandes erros da lógica do mercado que
contribuíram para a SOX:

servidão dos executivos à Wall Street;

arrojo em excesso;
overdose de risco;
problemas de governança;
idolatria a sucessos passados;
estratégias de curto prazo;
ciranda das aquisições;
medo da pressão da che a;
cultura interna inadequada;
en m, “espiral da morte”.

A expressão “espiral da morte” é oriunda dos jargões de aviação. Refere-se

ao momento em que um piloto perde as referências visuais para continuar
seu trabalho. E, em vez de con ar nos instrumentos, toma decisões baseadas
em ansiedade e medo. Ao tentar resolver o problema, piora a situação.
A Sarbanes-Oxley atribui aos administradores das empresas a
responsabilidade por conhecer as informações relevantes divulgadas no
mercado e garantir a qualidade dessas informações nanceiras. Inseriu
padrões de conduta para as organizações, seus dirigentes e auditores, em
relação aos acionistas e investidores, englobando as punições, divulgações de
informações, acesso a dados e informações relevantes e regras mais rígidas
de relacionamento entre empresas e seus auditores, justamente o que se
espera de uma boa governança corporativa.
Sua estrutura básica é composta pelas seções (artigos) abaixo:
I. Comissão de Supervisão das Empresas de Auditoria: 101 a 109;
II. Independência do Auditor: 201 a 209;
III. Responsabilidades das Sociedades de Capital Aberto: 301 a 308;
IV. Demonstrações Financeiras Aperfeiçoadas: 401 a 409;
V. Con ito de Interesses dos Analistas: 501;
VI. Recursos e Autoridade da Comissão: 601 a 604;
VII. Estudos e Reportes: 701 a 705;
VIII. Responsabilidades por Crimes de Fraudes nas Empresas: 801 a 807;
IX. Penas por Crime de Colarinho-Branco: 901 a 906;
X. Reembolso de Impostos: 1.001;
XI. Fraude das Empresas e Responsabilidades: 1.101 a 1.107.
Em função da obrigatoriedade da emissão e divulgação desses relatórios, o
cumprimento da lei implica uma série de procedimentos, entre eles estão
aqueles referentes às seções inicialmente em vigor da legislação:
Seção 302
Ainda em função da obrigatoriedade da emissão e divulgação dos relatórios nanceiros,
trimestralmente e anualmente, a direção da organização, CFO e CEO devem declarar o
responsável pela divulgação dos controles e procedimentos, informando que:

há de nição dos controles que assegurem o conhecimento das informações relevantes;

a e cácia dos controles é avaliada;
 as de ciências signi cativas dos controles e os atos de fraudes foram comunicados ao
Comitê de Auditoria e auditores;
as mudanças signi cativas são informadas no relatório;
os conceitos de divulgação e integridade dos controles são introduzidos e
disseminados na organização;
os executivos que irão certi car também devem declarar que divulgaram todas e
quaisquer de ciências signi cativas de controles, insu ciências materiais e atos de
fraude ao seu comitê de Auditoria.

Em adendo a esta seção, foi proposta pela SEC a exigência de certi cação mais abrangente
incluindo os controles internos e os procedimentos para emissão de relatórios nanceiros bem
como os controles e procedimentos de sua divulgação.
Essa declaração está fortemente focada nas demonstrações nanceiras, exigindo que a
administração faça certas a rmações sobre elas.

Seção 404
Esta seção da lei exige a apresentação à SEC de relatórios de controles internos, que devem ser
apresentados junto das demonstrações nanceiras.
Deve ser informado quem é responsável por estabelecer e manter uma estrutura interna de
controles internos e procedimentos para relatórios nanceiros na organização e como é feita a
avaliação da e cácia desses controles e procedimentos.
Essas informações devem ser atestadas por um auditor externo.
É necessário um procedimento de controle interno das demonstrações nanceiras, com uma
rigorosa avaliação deste, por meio de auditoria interna e externa.

A seção 404 da Sarbanes-Oxley causou polêmica ao ser aprovada por causa

dos altos custos que demandava para seu cumprimento. Segundo o
Financial Executives International (FEI), o custo total de um processo de
adesão à seção 404 da SOX pode exceder US$ 4,6 milhões ao longo de cinco
anos para cada uma das grandes organizações dos Estados Unidos. Em
compensação, as organizações têm aproveitado a norma para entender
melhor os processos de gestão e adotar novas maneiras de reduzir custos
operacionais.
Seção 406
Não podemos falar da Lei Sarbanes-Oxley sem falar de ética, pois todo trabalho deve ser feito
com compromisso e competência, para que possa merecer crédito perante terceiros. Sendo assim,
 a aplicação da Lei Sarbanes-Oxley nas empresas deve obedecer a critérios puramente éticos,
apoiando-se nas verdades cientí cas que os documentos lhes oferecem.
Esta seção trata do código de ética estabelecido para a organização. Esta deve declarar se o possui
ou não e, uma vez estabelecido, deve ser disponibilizado na internet e intranet, e divulgado em
seus relatórios.

Seção 407
Em seu Comitê de Auditoria, a organização deve comunicar a existência do especialista
nanceiro, atestar que este conhece os princípios contábeis geralmente aceitos e possui
experiência na preparação ou auditoria das demonstrações e dos controles contábeis.

5.2 Impactos gerais da Lei Sarbanes-Oxley

Considerando a preocupação dos investidores em como seus investimentos
são gerenciados e protegidos, a SOX veio com o objetivo de assegurar isso,
podendo identi car os impactos e as mudanças que envolvem toda a
organização, da presidência aos cargos operacionais. Em resumo, a
implementação da lei:

Minimiza as possibilidades de fraudes contábeis, aumentando a

integridade dos relatórios públicos divulgados.
Determina padrões novos e muito mais rígidos para a
contabilidade corporativa, além de elevar as penalidades por
irregularidades.
Aumenta a responsabilidade do presidente (CEO) e do diretor
nanceiro (CFO), exigindo que as demonstrações nanceiras
sejam assinadas por ambos, atestando que elas apresentam a
situação nanceira e os resultados da empresa do modo adequado.
Exige a criação de comitê de auditoria, composto por três
membros não executivos do conselho de administração, com
poderes para nomear, coordenar e scalizar os auditores externos.
No caso do Brasil, criação do conselho scal.
 Prevê regras claras e penalidades severas, exigindo maior
transparência na divulgação das informações nanceiras e dos
atos da administração, além de controles bem de nidos, gerando
efeitos em toda a organização. O presidente e o diretor nanceiro
estão sujeitos a punições administrativas, como serem impedidos
pela SEC de ter cargos administrativos. As penas podem ser de até
20 anos de detenção e multas de até US$ 5 milhões, dependendo
da gravidade da infração.
Exige que as empresas de auditoria das demonstrações
contábeis/ nanceiras se enquadrem nas regras de independência
estabelecidas pela lei e registrar-se no Conselho de Supervisão de
Assuntos Contábeis das companhias abertas, não podendo
prestar, simultaneamente, trabalhos de consultoria e de auditoria
ao mesmo cliente.
Determina que os auditores independentes passem a emitir dois
pareceres: um sobre as demonstrações nanceiras, e outro, novo,
sobre a e cácia dos controles internos da organização. Isto é, cada
relatório anual deverá conter um relatório de controle interno e
uma avaliação referente à efetividade da estrutura de controle
interno e dos procedimentos para obtenção e divulgação de
informações nanceiras.

5.3 Impactos da SOX em TI (Tecnologia da

Informação)
A TI é a área responsável pelo controle, segurança da informação e sistemas.
Portanto, deverá estar alinhada a esta lei para garantir o cumprimento das
regras de transparência scal e nanceira.
Sistemas de Enterprise Resource Planning (ERP), aplicativos contábeis,
sistemas de Supply Chain Management (SCM), em conjunto com as demais
aplicações de comunicação, banco de dados e armazenamento de
informações precisam estar em sintonia com as regras adotadas na
legislação. Em contínuo, a atenção do administrador deve se estender à
utilização de todo e qualquer recurso tecnológico da empresa por parte dos
funcionários, e as políticas de segurança da informação adotadas devem ser
adaptadas ao teor da Sarbanes-Oxley.
A boa governança depende fundamentalmente da conscientização das
pessoas sobre práticas corretas para lidar com a informação. Os
requerimentos da Lei SOX para TI são:

controlar a criação, edição e versão dos documentos em um

ambiente de acordo com os padrões ISO, para controle de todos
os documentos relativos à seção 404;
cadastrar os riscos associados aos processos de negócios e
armazenar os desenhos de processos;
utilizar ferramentas como editor de texto e planilha eletrônica
para criação e alteração dos documentos da seção 404;
publicar em múltiplos websites os conteúdos da seção 404;
gerenciar todos os documentos controlando seus períodos de
retenção e distribuição;
digitalizar e armazenar todos os documentos que estejam em
papel, ligados à seção 404.

A Lei Sarbanes-Oxley exige controles e monitoramento; para que isso

funcione, a lei exige que haja uma política de segurança da informação,
necessitando do cumprimento de requisitos legais para ser implementada,
como:

estar claro e expresso o uso do monitoramento (harmonizar com

os princípios gerais de direito e a questão da privacidade);
ter uma política de conduta ética e de uso das ferramentas
tecnológicas (certo e errado);
 os contratos devem estar ajustados com cláusulas especí cas de
segurança da informação e com de nição de terminologia
(glossário);
ter uma política de classi cação da informação (pública, sensível,
con dencial, restrita).

5.4 Impactos da SOX nos custos

As empresas que já implementaram a SOX admitem um custo signi cativo
demandado para o cumprimento da lei. Os custos de implementação variam
em torno de 20% de todos os recursos destinados aos setores de auditoria
interna. Os maiores valores são destinados, sobretudo, à seção 404 no que
tange à tecnologia da informação.
A adequação à Lei Sarbanes-Oxley apresenta algumas di culdades, e o
processo, por si só, requer investimentos iniciais para efetuar-se o
diagnóstico dos tipos de controles internos existentes na organização, bem
como a identi cação das fragilidades que necessitam de especial atenção.
Como sabemos que uma parte substantiva do sistema de controles internos
está embasada e suportada nos sistemas de informações – os quais devem
estar mapeados e identi cados e serem construídos com a indicação dos
pontos de controle interno –, os recursos a serem empregados para a sua
adaptação podem ser vultosos. Nesse momento aparece o maior empecilho,
os custos.
Como geralmente os recursos internos são escassos, muitas empresas
envolvidas com a implementação da SOX buscam melhor enquadramento à
lei e, para que possam implementar o projeto, contratam consultorias, que
executam e promovem a adaptação dos controles exigidos, e as auditorias,
que avaliam se o trabalho está realmente em conformidade com a legislação.
Mesmo que as empresas não precisem de uma consultoria, os custos para
esse trabalho são bem elevados, tanto para empresas de médio porte quanto
para aquelas de grande porte, por isso vale a pena proceder a uma avaliação.
5.5 Desafios na implantação
Durante a implantação da SOX, é comum existirem alguns obstáculos e
desa os que devem ser enfrentados com persistência e disciplina para
garantir a e cácia da lei, como os exempli cados a seguir:

conscientizar a alta direção;

possuir uma estrutura para a tomada de decisão adequada aos
objetivos estratégicos da organização;
direcionar as ações com o objetivo de proteger a organização;
atender aos requisitos socioeconômicos culturais;
atender às exigências legais e regulatórias;
resistir às mudanças e à cultura organizacional;
tempo;
manter os registros, memorandos, especi cações, entre outros
documentos originais considerados fundamentais para atender os
requisitos da SOX, retidos, armazenados, protegidos contra
alterações e fáceis de localizar quando solicitados;
manter-se permanentemente atualizado sobre os objetivos e
estratégias de negócios da organização;
assegurar que a organização tenha a percepção correta dos
resultados gerados.

5.6 Vantagens com a implementação

Conforme apresentado no tópico anterior, vários são os desa os e
obstáculos enfrentados, porém, a organização deve considerar as vantagens
descritas a seguir com a implantação da SOX:
 promoção da boa governança corporativa e práticas de negócio;
aumento na independência do auditor externo;
obrigação de ter um comitê de auditoria independente;
de nição do papel de crítica de controle interno por meio de
certi cações e declarações;
transparência nos relatórios e nas informações aos acionistas e
restrição de trabalhos non-audit pelo auditor externo;
implantação de mecanismos de avaliação de riscos e revisão dos
processos;
implantação de um código de ética;
elevação do nível de segurança das aplicações;
gastos com a adaptação de TI e com adaptação de controles
exigidos;
custos com consultorias especializadas para implantação e/ou
avaliação dos controles;
maior custo com auditoria externa, porque os auditores
independentes passarão a emitir dois pareceres: um sobre as
demonstrações nanceiras e outro sobre a e cácia dos controles
internos da empresa, exigidos pela lei.

5.7 Ferramentas que auxiliam a adequação

à lei
As organizações contam com ferramentas oferecidas no mercado para
auxiliar na adequação à lei, isto é, que podem auferir e ciência ao
cumprimento dos procedimentos. Alguns exemplos podem ser encontrados
em grandes empresas: Enterprise Resource Planning (ERP), Seis Sigma,
Balanced Scorecard (BSC) e Control Self-Assessment.
Contudo, a implementação das metodologias depende muito da gestão de
conhecimento do negócio e da capacidade crítica de quem aplica as
metodologias, pois, no que tange à autoavaliação, sempre dependemos dos
gestores com relação à cultura e preocupação na gestão dos controles
internos e dos riscos.
Porém, nada impede a utilização de alguns frameworks como COSO, Itil,
Cobit e outros.

5.8 Categorias de controles segundo a SOX

Tabela 5.1 – Categorias de controles segundo a SOX
Controle Descrição

Inclui:

aprovação das transações executadas de acordo com as políticas

e os procedimentos, gerais e especí cos;
parâmetros e per l de acesso do sistema con gurado conforme as
Autorização políticas da empresa.

Exemplo: acréscimo/modi cações nos arquivos-mestres de empregados

(novo empregado, escolha de benefícios, salário inicial e modi cações de
salário no sistema de folha de pagamentos) são apropriadamente
autorizados.

Controles desenvolvidos para proteger os dados contra processamento

inapropriado e auxiliar na manutenção da integridade dos dados.
Exemplo: con guração de sistema evita o cadastramento em duplicidade
Con guração
de clientes. A con guração é desenvolvida, implementada, utilizada,
mantida apropriadamente e sujeita a procedimentos apropriados de
mudança de controle.

Relatório gerado por uma entidade para monitorar algum item. Os

Relatórios de relatórios podem incluir relatórios de exceções (violação de uma norma
exceção e estabelecida), de edição (mudança de um arquivo mestre).
edição Exemplo: relatório de exceção gerado por clientes que excedem seus
limites de crédito estabelecidos.
 Controle Descrição

Inclui:

Interface de dados: a transferência de porções de nidas de

informação (dados) entre dois sistemas informatizados, seja pela
utilização de meios manuais ou informatizados. Isto deve garantir
Controle de
a integridade de dados que estão sendo transferidos;
interface e
conversão Dados de conversão: o processo de migração de dados de um
sistema anterior (que podem ser dados obsoletos, duplicados,
incorretos, incompletos, os quais residem em várias posições
dentro do sistema) para o novo sistema.

Exemplo: Interface de dados entre o sistema de vendas e razão contábil.

Preparação periódica e oportuna, revisão e análise dos indicadores-chave

de desempenho. São mensurações quantitativas, nanceiras e não
nanceiras:
Indicadores-
chave de coletadas pela entidade, seja periódica, seja continuamente;
desempenho usadas pela administração para avaliar o progresso em relação
(KPIs) – aos objetivos de nidos pela entidade.
Indicadores de
performance Exemplo: a análise de vendas (período corrente e período anterior
comparável, orçamentos etc. divididos por região, linha de produção
etc.) é realizada regularmente e as variações não usuais são
acompanhadas.

Atividade de uma pessoa, que não o preparador, analisando e

supervisionando as atividades executadas.
Revisão da
Exemplo: comparação de uma lista de preços antiga com a lista revisada
administração
é realizada para assegurar que as mudanças feitas re itam aquelas que
foram autorizadas.

Um controle destinado a veri car se dois itens/sistemas de computador

etc. são mais consistentes.
Reconciliação Exemplo: extratos bancários são reconciliados mensalmente com razão.
As pendências identi cadas nas conciliações devem ser analisadas e
justi cadas.

A segregação de deveres e responsabilidades de autorizar transações,

contabilizar transações e manter custódia para evitar que as pessoas
Segregação de estejam numa posição tanto de penetrar como de esconder um erro ou
função irregularidades.
Exemplo: pessoas que aprovam comprar não devem ter acesso aos
pagamentos.
 Controle Descrição

A capacidade que usuários ou grupos de usuários têm, dentro de um

ambiente de processamento de um sistema de informações
computadorizadas, tal como estabelecido e de nido por direitos de
Acesso ao acesso con gurados no sistema. Os direitos de acesso num sistema
sistema correspondem ao acesso na prática.
Exemplo: acesso para acréscimo/modi cação no arquivo-mestre de
empregados no sistema de folha de pagamentos é limitado às pessoas
apropriadas (per l de acesso).
Fonte: Elaborada pelo autor.

Portanto, no que tange à conformidade com a Lei Sarbanes-Oxley, podemos

entender que ela requer muito mais do que documentação e estabelecimento
de controles nanceiros, internos e contábeis. A lei também demanda a
avaliação da infraestrutura de TI, suas operações e pessoal para que possa
surtir o efeito desejado.
Capítulo 6
Conhecendo o COSO
6.1 COSO – Commi ee of Sponsoring
Organiza ons of the Treadway Commission
O COSO é uma organização privada criada nos Estados Unidos em 1985
para prevenir e evitar fraudes nas demonstrações contábeis da empresa, o
que mais me impressiona é que a preocupação existe há anos, mas o que foi
feito realmente de prático? Muito pouco, as organizações somente se
lembram de prevenção a fraudes depois que sofrem uma ou várias.
A verdade é que muito se tem falado sobre controles internos, e o
impressionante é que ainda existem perguntas como: para que serve um
controle interno? É uma ferramenta para auxiliar as operações de uma
organização ou para atrapalhar? É um instrumento útil somente à auditoria
interna ou a toda a organização? Realmente é efetivo? Trará retorno ou
aumentará meus custos?
Podemos responder a essas perguntas de diferentes maneiras, de acordo
com a necessidade de entendimento. Em uma situação na qual os gestores
tenham uma opinião sobre controle interno que não é a mesma dos
auditores internos, que, por sua vez, divergem dos colaboradores da
controladoria, e estes divergem da alta administração, a falta de um
denominador comum ajuda a aumentar a confusão do papel e do signi cado
dos controles internos para a organização.
Em 1985, foi criada nos Estados Unidos a National Commission on
Fraudulent Financial Reporting (Comissão Nacional sobre Fraudes em
Relatórios Financeiros), iniciativa independente para estudar as causas da
ocorrência de fraudes em relatórios nanceiros e contábeis.
Essa comissão era composta de representantes das principais associações de
classe de pro ssionais ligados à área nanceira. Seu primeiro objeto de
estudo foram os controles internos.
Em 1992, publicaram o trabalho Internal control – integrated framework
(Controles internos – um modelo integrado), que se tornou referência
mundial para estudo e aplicação dos controles internos, e é a base
fundamental deste livro.
Posteriormente, a Comissão transformou-se em Comitê, que passou a ser
conhecido como COSO – e Committee of Sponsoring Organizations
(Comitê das Organizações Patrocinadoras). É uma entidade sem ns
lucrativos, dedicada à melhoria dos relatórios nanceiros fundamentados na
ética, na efetividade dos controles internos e na governança corporativa;
além de ser patrocinado por cinco das principais associações de classe de
pro ssionais ligados à área nanceira nos Estados Unidos. Veja-as a seguir:

AICPA: American Institute of Certi ed Public Accounts (Instituto

Americano de Contadores Públicos Certi cados);
AAA: American Accounting Association (Associação Americana
de Contadores);
FEI: Financial Executives International (Executivos Financeiros
Internacionais);
IIA: e Institute of Internal Auditors (Instituto dos Auditores
Internos do Brasil);
IMA: Institute of Management Accountants (Instituto dos
Contadores Gerenciais).

O comitê trabalha com independência em relação a suas atividades

patrocinadoras. Seus integrantes são representantes da indústria, dos
contadores, das organizações de investimento e da Bolsa de Valores de Nova
York. O primeiro presidente foi James C. Treadway, que deu origem ao nome
Treadway Commission.
Em 1988, o AICPA emitiu o SAS – Statements on Auditing Standards 55 e,
em 1995, emitiu o SAS – Statements on Auditing Standards 78, ambos
atualmente em vigor, que vieram alterar suas de nições anteriores sobre
sistemas de controles internos (Boynton, Johnson, Kell, 2002, p. 320):
 Consideração de Controles Internos em uma auditoria de demonstração contábil (Consideration
of Internal Control in a Financial Statement Audit) para que as normas pro ssionais passassem a
re etir o arcabouço e a linguagem utilizados no relatório do Comitê de Organizações
Patrocinadoras.
E o SAS 78 apresenta a seguinte de nição:
Controle interno é um processo estabelecido pelo conselho de administração, diretoria, gerência
ou outras pessoas da Organização, estruturado para providenciar razoável segurança de que os
seguintes objetivos sejam atingidos: con abilidade nos relatórios nanceiros, e cácia e e ciência
das operações e conformidade com as leis e normas aplicáveis.

6.2 Componentes de controles internos de

acordo com o COSO
Conforme as recomendações do próprio COSO de nem, as melhores
práticas de controles internos e contábeis existentes devem ser fontes de
evidenciação para:

estabelecer uma única de nição de controles internos que atenda

às necessidades de diferentes interessados;
fornecer um padrão com o qual empresas e outras entidades
possam avaliar seus sistemas de controles e determinar como
podem aperfeiçoá-los.

Dentro dessa necessidade de avaliar os sistemas de controles internos,

evidenciamos o próprio relatório do COSO, que corrobora nossa
metodologia na busca da proteção de investimentos, transferência de ativos,
transparência operacional e se confunde com os procedimentos de
governança corporativa, que de ne controles internos:
Controles internos são um processo operado pelo conselho de administração, pela administração
e outras pessoas, desenhado para fornecer segurança razoável quanto à consecução de objetivos
nas seguintes categorias:

con abilidade de informações nanceiras;

obediência (compliance) às leis e regulamentos aplicáveis;
 e cácia e e ciência de operações.

Ainda com base nos conceitos fundamentais do COSO, publicados no

Internal Control – Integrated Framework (1992, p. 9-12), utilizaremos a
seguinte metodologia de análise:

Controles internos representam um processo. São um meio para

atingir um m, não um m em si mesmo. Consistem em uma
série de ações que permeiam a infraestrutura de uma entidade e a
ela se integram, não que a ela se adicionam.
Controles internos são operados por pessoas. Não são meramente
um manual de políticas e um conjunto de formulários, mas o
resultado da interação de pessoas em todos os níveis da
organização – inclusive o conselho de administração, a
administração e os membros do quadro de pessoal em geral.
Pode-se esperar que controles internos forneçam apenas
segurança razoável, não segurança absoluta, à administração e ao
conselho de administração de uma entidade, em razão de suas
limitações e da necessidade de consideração dos custos e
benefícios relativos a sua implantação.
Controles internos vinculam-se à consecução de objetivos nas
categorias de elaboração e apresentação de relatórios nanceiros,
obediência às leis e aos regulamentos (compliance) e operações.

Então, partindo deste último conceito fundamental, está a pressuposição de

que a administração e o conselho de administração de fato formulam e
periodicamente atualizam objetivos da organização em cada uma das outras
três categorias citadas, portanto os procedimentos e as melhores práticas
deverão seguir esses conceitos.
A alta administração deve ter a responsabilidade pela implementação das
estratégias e políticas aprovadas pela diretoria e pelo desenvolvimento de
processos que identi quem, mensurem, monitorem e controlem os riscos
incorridos pela empresa, pela manutenção de uma estrutura organizacional
que determine claramente responsabilidades, autoridade e quem se reporta a
quem, pela xação das medidas apropriadas para o controle interno e pela
monitoração da adequação e da efetividade do sistema de controle interno.
Como nossa metodologia está relacionada aos objetivos, podemos inseri-los
em uma estrutura conceitual que possa ser implementada, sempre com
atenção no ambiente de controle, avaliação de risco, atividades de controle,
informação e comunicação e monitoração.
Conforme a publicação do COSO – nesse caso, o risco é a probabilidade de
perda ou incerteza associada ao cumprimento de um objetivo –, deve ser
realizado um processo de identi cação de riscos para cada objetivo
proposto.
A seguir descrevemos a estrutura conceitual de controles internos
desenvolvida
pelo COSO, constante nos Controles Internos – Estrutura Integrada, e
aprimorada pelo Gerenciamento de Riscos Corporativos – Estrutura
Integrada, a qual atualmente é a mais aceita entre as companhias abertas
norte-americanas, tendo também sido a estrutura recomendada pelo
PCAOB e pela SEC.
Os cinco componentes de um sistema de controles internos, também de
modo semelhante ao descrito no SAS 55/78, são caracterizados da seguinte
maneira:
1. Ambiente de controle: estabelece a base para o sistema de controle
interno por meio do fornecimento de disciplina e estrutura
fundamentais.
2. Avaliação do risco: envolve a identi cação e a análise pela gestão –
não pelo auditor interno – dos riscos relevantes para o alcance dos
objetivos predeterminados.
3. Atividades de controle, ou políticas, procedimentos e práticas:
asseguram que os objetivos de gestão sejam alcançados, e as estratégias
de mitigação dos riscos sejam implementadas.
4. Informação e comunicação: suporta todos os outros componentes
de controle por meio da comunicação das responsabilidades de
 controle aos empregados e por meio do fornecimento de informação
que permita às pessoas o cumprimento das suas responsabilidades.
5. Monitoração: inclui a supervisão externa dos controles internos por
parte da gestão ou de outras partes externas ao processo. Também pode
consistir na aplicação de metodologias independentes (como
procedimentos customiza- dos ou listas de veri cação padronizadas)
por parte das pessoas envolvidas em um processo.
De acordo com o COSO, os três principais objetivos de um sistema de
controle interno são assegurar:

operações e cientes e e cazes;

relatórios nanceiros corretos (divulgação);
conformidade com as leis e os regulamentos.

Entre as vantagens das auditorias baseadas no COSO, podemos destacar

cinco:
1. E cácia: o teste de todos os cinco componentes de controle do
COSO fornece uma base sólida para determinar o grau de garantia
fornecido pelos controles.
2. E ciência: enfoque numa categoria de objetivos do COSO que
protege contra o problema de uma abrangência inde nida (algo que
normalmente acarreta custos elevados).
3. Possibilidade de comparação: a utilização de um framework de
auditoria e de
um sistema de avaliação comum permite a comparação entre controles
de diferentes segmentos de negócio.
4. Comunicação: a integração de critérios do COSO nas conversações
com os clientes permite melhorar a compreensão dos conceitos de
controle.
5. Comitê de auditoria: os relatórios baseados no framework do COSO
ajudam a visualizar os pontos fortes e fracos do sistema de controle
interno.
 Figura 6.1 – Modelo COSO I: Controle interno – Estrutura integrada

Fonte: Adaptado do COSO 2013.

E como os controles evoluíram e caminharam na busca da gestão de riscos,

o COSO- -ERM (Enterprise Risk Management) começou a ser desenvolvido
em 2001 paralelamente à revelação dos escândalos norte-americanos
daquele período. O trabalho, que se desenvolveu por iniciativa do COSO,
contou com a colaboração de pro ssionais da PwC e foi concluído em 2004.
Este novo conceito não teve a pretensão de revogar o trabalho do comitê,
divulgado em 1992, o Internal control – integrated framework, pelo
contrário, foi criado para complementá-lo e aumentar a sua abrangência.
Em 2004, o próprio COSO (p. 2) de niu como:
Enterprise Risk Management é um processo efetivado pelo Conselho de Administração, diretores
e outras pessoas da entidade, aplicado no processo de de nição da estratégia, desenhado para
identi car potenciais eventos que possam afetar a entidade e para gerenciar riscos de forma que
eles quem enquadrados dentro de seus limites de tolerância, providenciando razoável segurança
de que os objetivos da entidade serão realizados.

A seguir, apresentamos um paralelo dos dois modelos para que possamos

identi car melhor as mudanças de foco – o anterior, que tinha uma
estrutura voltada aos controles internos, e o foco atual, que incorporou a
preocupação com a gestão de riscos, porém voltada ao atual ambiente
corporativo.
A metodologia proposta pelo COSO (2003) prevê o cruzamento de três
dimensões distintas, porém fundamentais, de nidas pela metodologia.

Objetivos: trata de categorias em que os objetivos organizacionais

podem ser classi cados.
Componentes de gerenciamento de riscos: são processos e
de nições dos quais um gerenciamento de risco necessita.
Nível organizacional: é o nível correspondente a empresa em
termos de estrutura organizacional (área, unidade de negócio,
lial etc.). Esse cruzamento, por ser tridimensional, apresenta-se
na forma de um cubo.

Figura 6.2 – COSO II: Gerenciamento de riscos corporativos – estrutura integrada

Fonte: Adaptado do COSO 2007.

Trataremos das categorias da composição de objetivos, e cada item ca mais
claro quando evidenciamos cada um deles:

Estratégico: metas elaboradas pela alta administração que devem

estar alinhadas com a missão da organização.
Operacional: uso efetivo e e ciente dos recursos disponíveis para
atingir os objetivos estabelecidos pela alta administração.
Comunicação: relatórios amigáveis elaborados com o objetivo de
transmitir informações úteis, tempestivas e con áveis para a
tomada de decisões visando atingir os objetivos.
Conformidade: obediência a leis e regulamentos aplicáveis à
instituição.

O cubo está dividido em oito componentes de gerenciamento de riscos que

ampliam o conceito de controle interno. Podemos notar que o
gerenciamento de risco consiste no inter-relacionamento de oito
componentes, descritos a seguir, que derivam de uma forma de gerência e de
iniciativas ao processo de gerenciamento.

Ambiente interno
Compreende o tom da organização e con gura as bases para determinar
como o risco é visto e localizado pelas pessoas da organização, incluindo o
gerenciamento losó co do risco e do apetite a ele, a integridade, os valores
éticos e o ambiente no qual ocorrem as operações.
Os riscos têm várias origens, visto que podem ser criados pelo homem e
advir de causas naturais, de crescimento econômico de longo prazo ou da
força da evolução tecnológica.
Por conseguinte, as pessoas veem os riscos sob óticas diferentes, e a sua
localização pode tornar-se extremamente difícil. Assim, um ambiente
interno deve propiciar um clima adequado para a realização dessas
atividades de antevisão, localização e entendimento dos riscos.
Outro fator importante reside no apetite pelo risco, que determinará as
vantagens que poderão ser criadas a partir de uma gestão estratégica de
recursos e operações.

Tabela 6.1 – Ambiente interno

Gerenciamento
Liderança e Pessoas e Responsabilidade
de riscos e
estratégia comunicação e reforços
infraestrutura

Demonstrar ética Compromisso com a Avaliar e

Estrutura organizacional
e valores competência mensurar riscos

Comunicar
Compartilhar informações Medidas de performance Acesso a sistema
missão e
e conhecimento e recompensas e segurança
objetivos

Fonte: Elaborada pelo autor.

Podemos complementar que é um conjunto de padrões, processos e

estruturas que fornecem uma base sólida de implantação do controle
interno através de toda a organização e seus processos operacionais.
O conselho de administração e a alta administração devem estabelecer a
importância do controle interno, incluindo, principalmente, alguns padrões
de conduta esperados, reforçando as expectativas nos vários níveis da
organização.
O ambiente de controle abrange principalmente a integridade e os valores
comportamentais, de nindo como a ética será cobrada internamente na
organização, onde todos os parâmetros que permitam ao conselho de
administração implantar sua forma de supervisionar os processos e seus
gestores quanto à responsabilidade da governança, da gestão, no respeito à
estrutura organizacional. Muita atenção no processo de delegar autoridades
e responsabilidades, e na metodologia de atrair, desenvolver e reter os
pro ssionais competentes. Aqui ca nossa dica de como implementar o
gerenciamento de condutas e a forma de medir a performance, nos
incentivos e nas recompensas para garantir que o controle interno funcione
na prestação de contas e análise das performances operacionais. O ambiente
de controle será resultante da avaliação e da análise do impacto em todo o
sistema de controle interno.

Con guração dos objetivos

É necessário que os objetivos existam antes de o gerenciamento poder
identi car eventos potenciais que afetem sua realização.
Uma boa iniciativa de gerenciamento de risco assegura que a gerência
elabore um conjunto de objetivos que suportem e alinhem-se à missão da
organização e, ao mesmo tempo, sejam consistentes em relação ao apetite
pelo risco.
Os objetivos de uma instituição são traçados pela alta administração, e as
iniciativas devem estar alinhadas a eles, sob pena de ocorrerem perdas
signi cativas.
A habilidade dos administradores na elaboração de um conjunto de
objetivos capaz de possibilitar a geração de valor é fundamental para o
sucesso organizacional.
Instituições nanceiras, como toda organização, assumem risco em função
de suas operações e características próprias, por isso é fundamental utilizar
instrumentos complexos de mensuração de riscos como parte integrante do
sistema de controles internos.

Identi cação de eventos

Referimo-nos aos eventos internos e externos que afetam a realização dos
objetivos de uma organização, os quais devem ser identi cados e
distinguidos entre riscos e oportunidades.
Os eventos são canais do gerenciamento estratégico ou dos objetivos
estabelecidos. Os gestores, no desempenho de suas atividades, devem
preocupar-se constantemente com as mudanças ao seu redor, as quais são
mais frequentes e ocorrem dentro e fora da organização, e afetam,
necessariamente, as operações.
Portanto, são de vital importância a criação e a manutenção de um sistema
que possibilite identi car eventos que, de alguma forma, afetam os objetivos
traçados.
Esse sistema capacitará os gestores para que aproveitem as oportunidades
oferecidas pelas constantes mutações, quer do mercado, quer do ambiente
interno da organização. Dessa forma, é possível ampliar as chances de criar e
aumentar valor.

Tabela 6.2 – Identi cação de eventos

Fonte: Elaborada pelo autor.

Controle de risco
Os riscos são analisados considerando probabilidade e impacto como base
para determinar qual deles deve ser administrado e controlado, sob uma
base própria e residual. Já que o risco pode ser entendido como a
volatilidade de resultados inesperados, relacionados ao valor das operações
da organização, os gestores devem criar procedimentos e sistemas efetivos
quanto à análise das potencialidades de ocorrência e dos impactos sobre os
ativos.
Existem vários riscos associados às operações e atividades empresariais,
porém, cabe aos gestores a tarefa de, ao identi carem os riscos, escolher a
ordem na qual eles devem ser mitigados.

Reação ao risco
A gerência promoverá a seleção das reações ao risco quanto a evitá-lo,
aceitá-lo, reduzi-lo ou dividi-lo, desenvolvendo, assim, um conjunto de
ações para alinhar os riscos à tolerância e ao apetite da organização.
A reação sempre dependerá da capacidade de as pessoas envolvidas na
administração perceberem, em tempo hábil, sua existência. A habilidade do
gestor determina as potencialidades de suas reações e, dessa forma,
estabelece como tirar vantagem das oportunidades.
Após sua identi cação e mensuração, os riscos devem passar por um
processo de seleção em confronto com as regras e os procedimentos que
determinarão a tolerância da organização em relação a eles. Como fator de
prudência no caminho de geração de valor para o acionista, entendemos que
a medição será o fator-chave e deve estar alinhada ao apetite da organização
pelos riscos.

Atividades de controle
Políticas e procedimentos são estabelecidos e implementados para ajudar a
assegurar que as reações ao risco sejam efetivadas. Na criação do sistema de
controles internos, o fundamento está na criação de políticas e
procedimentos não apenas para sua implementação, mas também para sua
manutenção e para as atividades de acompanhamento.
As atividades de controle podem ser desenvolvidas tanto por pessoas quanto
por máquinas e equipamentos utilizados no processo operacional das
instituições. Tais atividades visam assegurar que as ações e iniciativas sejam
tomadas no sentido de prever os riscos associados para elaboração dos
objetivos da organização.

Tabela 6.3 – Atividades de controle

 Fonte: Elaborada pelo autor.

Informação e comunicação
A informação relevante é identi cada, capturada e divulgada de maneira
padronizada e em tempo hábil, para possibilitar às pessoas o cumprimento
de sua responsabilidade. A efetiva comunicação também ocorre em amplo
sentido, abrangendo todos os setores da organização.
A transmissão de notícias relevantes é o fator primordial em uma
organização moderna que deseja atingir seus objetivos com relativo sucesso.
Para tanto, uma estrutura de transmissão de informações e conhecimento
deve ser criada e desenvolvida para conduzir as pessoas ao caminho da
realização dos objetivos da organização.
Não podemos deixar de considerar que são necessários canais adequados de
comunicação em todos os níveis e em todas as direções dentro da
organização, possibilitando a identi cação e a circulação das informações
relevantes e das responsabilidades inerentes às atividades desenvolvidas.
Esse mecanismo fortalecerá a cultura e a identidade organizacional e gerará
comprometimento das pessoas com seus objetivos.

Tabela 6.4 – Informação e comunicação

Interna Externa

Expectativa de comportamento e
Perspectivas do negócio
conduta
 Responsabilidades e delegação de Ética e conduta
autoridade

Objetivos/missão/visão e valores
Transparência sobre os mecanismos de
gerenciamento de riscos
Linguagem comum de riscos

Fonte: Elaborada pelo autor.

Monitoramento
A totalidade de iniciativas de gerenciamento de risco é monitorada e, para
isso, são necessárias modi cações. O monitoramento é feito continuamente
pelas atividades gerenciais, avaliações individuais ou ambas.
O acompanhamento das medidas adotadas favorece a realização dos
objetivos e a criação de valor. Assim, o monitoramento constante das
atividades, dos riscos e dos eventos possibilita previsões e embasa as
modi cações necessárias ao aperfeiçoamento das estruturas quanto às falhas
ou adaptações às mudanças.

6.3 Novo COSO-ERM

Em 2004, o COSO publicou o Enterprise Risk Management – Integrated
Framework (COSO-ERM), documento que ainda hoje é tido como
referência no tema gestão de riscos corporativos. O modelo, como o próprio
nome revela, foi elaborado com o nítido propósito de proporcionar uma
orientação para as organizações estabelecerem um processo de gestão de
riscos corporativos e na aplicação de boas práticas de controle interno e de
gerenciamento dos processos.
De acordo com o COSO-ERM, a gestão de riscos corporativos é:
Processo que permeia toda a organização, colocado em prática pela alta administração da
entidade, pelos gestores e demais colaboradores, aplicado no estabelecimento da estratégia e
projetado para identi car possíveis eventos que possam afetar a instituição e para gerenciar riscos
de modo a mantê-los dentro do seu apetite de risco, com vistas a fornecer segurança razoável
quanto ao alcance dos objetivos da entidade (COSO, 2004, tradução livre).
A versão de 2017 do COSO-ERM apresenta os cinco componentes
atualizados que são suportados por um conjunto de princípios de controles e
gestão, sendo que esses princípios abrangem tudo, desde o processo de
governança até monitoramento operacional. Entretanto, eles são
gerenciáveis em tamanho, complexidade e volume, descrevem práticas que
podem ser aplicadas de maneiras diferentes para diferentes organizações,
independentemente do tamanho, tipo ou setor. Mais uma vez salientamos
aqui que não existe fórmula mágica nem modelos preestabelecidos.
Portanto, aderir a esses princípios pode fornecer à alta administração e ao
conselho de administração uma expectativa razoável de que a organização
entenda e se esforce para gerenciar os riscos associados a sua estratégia e
objetivos de negócios. O gerenciamento de risco da organização é tanto
sobre a compreensão das implicações da estratégia quanto sobre a
possibilidade de uma estratégia não estar alinhada à forma de como
podemos tratar o gerenciamento de riscos para estabelecer objetivos.
Essas considerações devem estar no contexto da missão, da visão e dos
valores fundamentais da organização, como orientador da direção e do
desempenho geral de uma organização. E por que atualizar o COSO-ERM
Framework?
Podemos elencar vários motivos para implementar, um deles é a
complexidade de fazer negócios que está mudando todos os dias, seja pelo
mercado ou pelas tecnologias envolvidas, e os novos riscos continuam a
surgir num ritmo mais rápido do que já foi visto no passado. A mudança do
comportamento dos clientes tem exercido grande in uência considerável em
um cenário econômico global imprevisível, e agora, pós-pandemia, muitas
coisas precisam ser revisadas e analisadas.
A evolução das tecnologias e um maior apelo à transparência, relacionada à
integridade e conformidade, estão proporcionando uma ampliação dos
processos de planejamento estratégico e das capacidades operacionais.
Avaliar esses desa os exige que as organizações adotem uma nova
abordagem operacional para gerenciar riscos, em que possamos criar,
preservar e realizar valor no presente e no médio e longo prazos.
Algumas das principais mudanças no Framework nos levam a observar que
o COSO-ERM introduz uma nova estrutura, a qual com apenas cinco
componentes e vinte princípios alinhados ao ciclo econômico e aos
princípios-chave do Framework cobre os processos da governança para
atividades do dia a dia, e são gerenciáveis e aplicáveis para todas as
organizações, independentemente do tamanho, tipo ou setor, e permitem
uma conversa mais uente sobre o risco entre o conselho e o gerenciamento
dos riscos da organização.
A metodologia explora os diferentes benefícios do ERM, em que o
Framework apresenta um formato mais simpli cado para integrar as
práticas de gerenciamento de riscos da organização com práticas de
gerenciamento de desempenho e monitoramento da estratégia para ajudar a
obter benefícios relacionados ao valor. Assim, podemos trazer um foco para
esses benefícios aumentando as conversas sobre o motivo da implementação
do ERM.
Ainda fornece um foco na integração do gerenciamento de riscos e
orientação sobre como integrar melhor o gerenciamento de riscos da
organização, vinculando o risco com a con guração da estratégia e as
atividades do dia a dia, incorporando-o em toda a cultura, nas capacidades e
práticas de gestão de riscos de uma organização e promovendo uma melhor
tomada de decisão.
Este novo modelo tem a perspectiva focada nos negócios, em que o
Framework realiza conversas sobre riscos relevantes e universais,
estabelecendo de nições básicas, componentes e princípios para todos os
níveis de gerenciamento envolvidos na concepção, implementação e
monitoramento de práticas do COSO-ERM.
O Framework utiliza novos grá cos conceituais, em que o grá co central
traz à luz a relação entre gerenciamento de risco e modelo de negócios, e os
outros grá cos demonstram as curvas de risco, destacam as relações entre
risco, estratégia e desempenho incorporando o gerenciamento do risco em
processos do dia a dia. E explora o gerenciamento de risco em todas as
atitudes da organização, desde os riscos de nível de entidade até o nível de
processo; portanto, o Framework explora como a identi cação, a avaliação e
o gerenciamento de risco mudam do processo de negócios para o
estratégico.
Traz alguns temas desa adores, como examinar os tópicos apetite de risco e
visão de risco por portfólio, abordando alguns conceitos mal implementados
ou equivocados que existem hoje. Fornece uma visão mais profunda com
ênfase na cultura, uma vez que podemos incutir maior transparência e
conscientização de riscos na cultura de uma organização, ajudando as
pessoas a tomar decisões enquanto compreendem a importância da cultura
dos riscos e dos controles na de nição dessas decisões.
O COSO-ERM aborda com reponsabilidade o papel crescente da tecnologia
da informação, demonstrando de que modo as tendências do negócio, como
a proliferação de dados, inteligência arti cial e automação, podem
in uenciar na estratégia de uma organização, no seu o contexto empresarial
e na gestão de riscos.
A nova versão de 2017 trouxe cinco componentes atualizados que são
suportados por um conjunto de princípios de controles e principalmente de
gestão. Esses princípios abrangem boa parte do que necessitamos entender e
aplicar nos negócios, começando pela análise nos processos internos de
governança e chegando até o monitoramento operacional.
1. Governança e cultura: a governança de ne o tom da organização,
reforçando a importância e o estabelecimento de responsabilidades de
supervisão para o gerenciamento de riscos corporativos. A cultura deve
avaliar os valores éticos, os comportamentos desejados e a
compreensão de risco na entidade.
2. Estratégia e de nição objetiva: o gerenciamento de riscos da
organização, na estratégia e no trabalho que necessitam de de nições
dos objetivos em conjunto com o processo de planejamento estratégico.
O apetite de risco é estabelecido e alinhado com a estratégia, e os
objetivos de negócios colocam a estratégia em prática enquanto servem
como base para identi car, avaliar e responder ao risco. Aqui ca nossa
dica, pois muitos riscos estratégicos estão descasados dos riscos
operacionais, causando falha no gerenciamento de riscos; portanto,
 uma gestão integrada de riscos deve ser realizada entre as três linhas de
proteção do negócio, segundo o IIA.
3. Desempenho: os riscos que podem afetar a conquista da estratégia
dos negócios precisam ser identi cados e avaliados adequadamente
com seus objetivos e de preferência divulgados internamente para as
partes interessadas. Os riscos serão priorizados pela gravidade com o
contexto do apetite de risco da organização que deve selecionar as
respostas aos riscos e levar um gerenciamento na visão de portfólio da
qualidade e quantidade de risco assumida. Os resultados desse
processo são relatados às principais partes interessadas de risco e
deveremos evidenciar a tomada de decisão.
4. Veri cação e revisão: ao analisar o desempenho da organização,
podemos considerar quão bem os componentes de gerenciamento de
risco da organização estão funcionando ao longo do tempo e à luz de
mudanças substanciais, o que estamos fazendo para adequação a
processos e legislações especí cas, e determinar as revisões necessárias
e quantos colaboradores serão envolvidos na mudança e
implementação dos processos e dos controles internos.
5. Informação, comunicação e relatórios: o gerenciamento de risco da
organização requer uma melhoria nos processos de comunicação
interna e que possamos implementar um procedimento contínuo de
obtenção, análise e no compartilhamento de informações necessárias
para a tomada de decisão. Sempre que possível, devemos obter as
informações de fontes internas e externas, que devem uir por toda a
organização e auxiliar em um processo de aculturamento de gestão de
riscos para conselho de administração, alta direção, gestores,
colaboradores e terceiros.
O COSO-ERM apresenta alguns princípios orientadores na implementação
de um processo de gerenciamento de riscos, conforme seguem:
1. Controlar os riscos com atividades do conselho – o conselho de
administração deve fornecer supervisão da estratégia e desempenhar
suas responsabilidades no processo de governança para apoiar a gestão
na obtenção de resultados com base na estratégia e nos objetivos de
negócios estabelecidos anualmente.
2. Estabelecer estruturas operacionais – a organização necessita
estabelecer suas estruturas operacionais para a responsabilização dos
gestores na busca de atingir os objetivos estratégicos e de negócios;
quanto melhor for a estrutura do negócio, mais resultados no
gerenciamento dos controles e dos indicadores serão obtidos.
3. De nir a cultura desejada – a organização de ne os
comportamentos desejados que caracterizam a cultura desejada da sua
entidade, por meio de códigos de conduta e treinamentos internos,
pois, somente gerenciando as condutas e aprimorando as posturas,
poderemos de nir a cultura desejada, segue a nossa dica para este
princípio.
4. Demonstrar compromisso com os valores fundamentais – a
organização deve demonstrar um compromisso com os valores
fundamentais da entidade, em que a conduta, a ética, a transparência e
a honestidade devem ser únicas e verdadeiras. Não basta capacitar,
necessitamos checar e validar os processos de negócio.
5. Atrair, desenvolver e manter indivíduos capazes – a organização tem
como padrão estar empenhada em construir, orientar e aprimorar o
capital humano, para que estejam alinhados com a estratégia e os
objetivos de negócios. A cada mudança de pessoas e saída de
pro ssionais, geralmente a organização se torna refém pela falta de
processos e de política de sucessão.
6. Analisar o contexto empresarial – a organização considera os efeitos
potenciais de riscos no contexto empresarial ao seu per l de risco,
desde que conheçam o quê, com quem, como e por que realizamos os
negócios.
7. De nir o apetite ao risco – este item é de suma importância na
gestão de riscos de uma organização, pois, quando de nimos o apetite
ao risco, ca mais claro como as decisões serão tomadas. No contexto
da criação, preservação e realização de seus valores, os processos, os
controles e a gestão de negócios também cam bem de nidos.
8. Avaliar estratégias alternativas – a organização necessita avaliar as
suas estratégias principais e as alternativas, e qual será o impacto
potencial no per l de risco dos negócios, levando em consideração o
tamanho, o porte e a complexidade dos seus negócios.
9. Formular objetivos empresariais – a organização que considera o
risco como parte de seus negócios deverá estabelecer os objetivos de
negócios, em seus vários níveis, que alinhem e apoiem a estratégia, e
possam ser avaliados com efetividade pelos órgãos de supervisão.
10. Identi car o risco – a organização, quando identi ca os riscos que
afetam o desempenho da estratégia escolhida e de seus objetivos de
negócios, deve providenciar um tratamento especí co para os processos
identi cados e fazer acontecer as mudanças e os ajustes.
11. Avaliar a gravidade do risco – a organização deve avaliar a
gravidade do risco alinhado ao apetite de riscos dos negócios, desde que
tenha os limites e monitoramentos operacionais conforme sua política
institucional ou operacional de gerenciamento de riscos.
12. Priorizar os riscos – a organização que consegue priorizar os riscos a
serem tratados e remediados poderá gerenciar melhor os processos do
negócio e terá como base de informação as suas possíveis perdas ou as
perdas que se concretizaram para que possa selecionar respostas aos
riscos; quanto maior a criticidade dos riscos, melhores deverão ser os
seus controles internos, voltados para a gestão operacional da sua
organização e o monitoramento corporativo.
13. Implementar respostas de risco: a organização tem como objetivo
identi car, avaliar e selecionar as possíveis respostas ao risco; quanto
maior for o conhecimento dos contextos operacionais e dos possíveis
impactos, melhor será a resposta aos riscos.
14. Desenvolver a visão de carteiras – a organização implementará uma
visão de risco das carteiras de negócios (portfólio), pois, com os
indicadores de performance implementados, os indicadores de riscos
serão facilmente evidenciados e tratados.
15. Avaliar mudanças substanciais – a organização deve identi car e
avaliar as mudanças internas, sejam em processos, sistemas, legislações
e estratégias, que podem afetar substancialmente o alcance dos objetivos
de negócios.
16. Comentários de risco e desempenho – a organização deve analisar o
desempenho da entidade através de seus comitês e considerar o apetite
de risco em seus processos de negócios; quanto mais efetivos forem seus
comitês, melhores serão as respostas aos riscos inerentes e residuais.
17. Monitorar a melhoria no gerenciamento de riscos corporativos – a
organização necessita perseguir a melhoria contínua do gerenciamento
de riscos corporativos a cada mudança regulatória ou operacional, ou
até mesmo pelo gerenciamento de crises ou mudanças na estratégia dos
negócios.
18. Aproveitar os sistemas de informação – a organização precisa
implementar um olhar mais pro ssional para dentro do próprio negócio
e necessita aproveitar as informações fornecidas pela entidade e os seus
sistemas de tecnologia para que possam suportar a gestão de riscos
corporativos. Aqui vale a pena observar as questões da pandemia com a
implementação do home o ce.
19. Comunicar informações sobre riscos – a organização tem o dever de
utilizar canais de comunicação para suportar o gerenciamento de riscos
corporativos. A boa comunicação facilita a identi cação das falhas e
possibilita transmiti-las às partes interessadas, que realmente fazem
parte do processo de decisão. Cuidado como certas informações
desnecessárias e sem objetivo de proteção da organização.
20. Relatórios sobre risco, cultura e desempenho – a organização deve
informar o conselho e o corpo diretivo sobre os riscos, e as falhas nos
processos operacionais que devem proceder à análise da cultura e do
desempenho em vários níveis do negócio e consolidar as informações
com base em toda a entidade; quanto mais indicadores de performance
 houver, melhor será o acompanhamento dos gestores, dos processos e
resultados corporativos.
Algum tempo atrás, exatamente durante a crise de credibilidade da
Petrobras, em uma entrevista sobre o caso da petrolífera, disse a seguinte
frase, que ainda está bem atual:
Administrar os riscos e conhecê-los está ligado às decisões importantes que
serão tomadas na empresa. É tão importante quanto qualquer estratégia. Se
os gestores não estão preparados, como a empresa vai reagir em um
momento de crise?

6.4 O escopo e o posicionamento da função

de conformidade em uma organização
O COSO-ERM trouxe, em dezembro de 2020, uma atualização fazendo
referências ao risco de conformidade que geralmente envolve o risco de
violações de leis e regulamentos, mas também aborda disposições
contratuais, padrões pro ssionais, organizacionais, política e questões de
ética. As leis e os regulamentos que caem no escopo de um programa de
conformidade, no entanto, podem variar de acordo com o setor e de
organização para organização. Por exemplo, risco de violar as práticas de
corrupção no exterior.
Com base na evolução dos programas de compliance e ética pelo mundo
todo, as atuais diretrizes do U.S. Federal Sentencing Guidelines Manual
(USSG) identi caram os sete elementos de um programa Compliance &
Ética e caz:
1. Padrões e procedimentos
2. Governança, supervisão e autoridade
3. Devida diligência na delegação de autoridade
4. Comunicação e treinamento
5. Sistemas de monitoramento, auditoria e relatórios
 6. Incentivos e scalização
7. Resposta a irregularidades
Separadamente, o USSG também exige que as organizações devam avaliar
periodicamente o risco de não conformidade e continuamente procuram
maneiras de melhorar seus programas de Compliance & Ética – C&E. Estas
duas partes do requisito têm sido frequentemente referidas como o oitavo
elemento de um programa e caz.
Uma amostra de algumas das orientações de fora dos EUA revela uma
imagem consistente do que os reguladores esperam dos programas C&E.
Por exemplo, no Reino Unido, o Ministério da Justiça forneceu orientações
sobre a Lei Antissuborno 2010, descrevendo procedimentos que
organizações comerciais podem colocar em prática para minimizar o risco
de suborno. Esses procedimentos são resumidos nos seguintes seis
princípios, que se alinham intimamente com o USSG:

procedimentos proporcionais;
compromisso de nível superior;
avaliação de risco;
devida diligência;
comunicação (incluindo treinamento);
monitoramento e revisão.

A orientação também foi emitida pela International Organization for

Standardization (ISO). Seu padrão de sistemas de gestão antissuborno e a
norma ISO 37001 incluem as seguintes expectativas de um programa:
1. Desempenho de uma avaliação de risco de suborno
2. Liderança e compromisso com o sistema de gestão antissuborno
3. Estabelecimento de uma função de conformidade antissuborno
4. Recursos su cientes fornecidos para o sistema de gestão
antissuborno
5. Competência dos funcionários
 6. Conscientização e treinamento sobre políticas antissuborno
7. Devida diligência em conexão com negócios de terceiros associados
e funcionários
8. Estabelecimento e implementação de medidas e controles
antissuborno
9. Auditoria interna do sistema de gestão antissuborno
10. Revisões periódicas do sistema de gestão antissuborno pelo corpo
administrativo
Além do suborno, a ISO também emitiu orientações de forma mais ampla
em sistemas de gestão de conformidade na forma de ISO 19600:2014. Mais
recentemente, a ISO/DIS 37301 foi proposta em 2020 para substituir a ISO
19600. O rascunho da nova norma descreve os seguintes cinco elementos de
um sistema de gestão de conformidade:
1. Obrigações de conformidade (identi cação de novos e requisitos de
conformidade alterados)
2. Avaliação de risco de conformidade
3. Política de conformidade
4. Treinamento e comunicação
5. Avaliação de desempenho
Uma variedade de outros desenvolvimentos legais e regulamentares que não
fazem referência direta aos programas de C&E, no entanto os afetam. Por
exemplo, os regulamentos da União Europeia de 2019 visam fornecer novas
proteções para a ajuda de denunciantes em apoiar um elemento importante
de um programa de C&E e caz. Da mesma forma, as leis de proteção de
dados e privacidade geralmente diferem de um país para outro, mas
frequentemente têm efeitos diretos ou indiretos nos programas de C&E.
A relação entre conformidade, controle interno e gestão de riscos
corporativos do COSO de ne controle interno em seu Framework de 2013 e
no Enterprise Risk Management – Integrando Estratégia e Desempenho
(2017) da seguinte forma: por meio de um processo, efetuado pelo conselho
de administração de uma entidade, gestão e outro pessoal, projetado para
fornecer garantia razoável em relação à realização de objetivos relacionados
às operações, relatórios e conformidade.
E, como esta de nição indica claramente, o controle interno não é
exclusivamente sobre questões contábeis e nanceiras, deve estar em
conformidade com leis e regulamentos, portanto é um dos três fundamentos
objetivos do sistema de controles internos de uma organização. Os cinco
componentes de controle interno suportam todas as três categorias de
objetivos:

ambiente de controle;
avaliação de risco;
atividades de controle;
informação e comunicação;
atividades de monitoramento.

Na de nição da estratégia e dos objetivos para os riscos de conformidade,

descrevemos a aplicação da estratégia e dos componentes de de nição de
objetivos da estrutura COSO-ERM, e os quatro princípios a seguir
associados à gestão de riscos de conformidade:

analisa o contexto de negócios;

de ne o apetite de risco;
avalia estratégias alternativas;
estabelece objetivos de negócios.

O contexto é fundamental para compreender e gerenciar riscos de

conformidade. A tomada de decisões de negócios é um dos motivadores do
risco de conformidade, por isso as decisões podem criar novos riscos, alterar
os riscos existentes ou eliminar os riscos. Assim, a identi cação de um
universo de risco de conformidade deve considerar a estratégia em evolução
da organização.
O Chief Compliance O cer (CCO) deveria ter um nível apropriado de
envolvimento na de nição do processo da estratégia para permitir que a
função de conformidade seja posicionada a identi car e desenvolver planos
para gerenciar riscos de conformidade que emergem de mudanças na
estratégia. Da mesma forma, o CCO deve ser informado sobre mudanças
repentinas na estratégia que podem ocorrer conforme uma organização
responde às mudanças em seu ambiente.
O contexto para o gerenciamento de risco de conformidade e caz inclui a
consideração de outros fatores internos de risco de conformidade – fatores
que podem criar novos riscos ou alterar os existentes. Alguns dos fatores
internos mais importantes de risco de conformidade incluem mudanças em
pessoas, processos e tecnologia.
Outro fator de risco de conformidade é a pressão da gestão, particularmente
quando essa pressão não está associada a lembretes em relação à expectativa
de conformidade e adequada a incentivos para adesão ao programa C&E.
Mais amplamente, mudanças na cultura organizacional podem surgir a
partir de muitos fatores e podem afetar o risco de conformidade.
Os motivadores externos do risco de conformidade também representam
um importante elemento de contexto na identi cação e no gerenciamento
de riscos de conformidade. Os fatores externos mais óbvios são aqueles que
envolvem o cenário legal, regulatório e de execução. Por exemplo, mudanças
recentes nas leis de privacidade e segurança de dados criaram riscos de
conformidade totalmente novos para algumas organizações.
Os motivadores externos também incluem fatores competitivos, econômicos
e outros que podem afetar direta ou indiretamente o risco de conformidade.
Fatores externos podem estar em um nível macro (por exemplo, em todo o
setor de concorrência, condições econômicas) ou em um nível micro (por
exemplo, mudanças nas leis e nos regulamentos locais ou regionais).
Para quem não está familiarizado com o termo, apetite pelo risco de
conformidade muitas vezes evoca imagens de organizações que aceitam
voluntariamente violações de conformidade conhecidas. A própria natureza
do risco de conformidade signi ca que uma lei pode ser violada e pode
resultar em uma ou mais consequências não nanceiras para a organização
(por exemplo, multas, suspensão ou exclusão e danos à reputação).
O nível de aceitação do risco de conformidade na busca de metas de
negócios e objetivos é um tópico para discussão entre a gestão e o conselho
(esta discussão não é relacionada à aceitação de violações conhecidas, é
sobre a realidade pressuposta de que é impossível eliminar a possibilidade de
um evento de não conformidade).
Conforme de nido pelo COSO, o apetite pelo risco refere-se aos tipos e à
quantidade de riscos, em um nível amplo, que a organização está disposta a
aceitar em busca de valor. Nem apetite nem tolerância a risco, os níveis
aceitáveis de variação no desempenho relacionados aos objetivos de
negócios são normalmente de nidos no nível especí co de risco.
Com a análise de desempenho para riscos de conformidade, devemos
avaliar que esta seção descreve a aplicação do desempenho componente da
estrutura COSO-ERM com cinco princípios associados à gestão de riscos de
conformidade:

identi ca o risco;
avalia a gravidade do risco;
prioriza o risco;
implementa respostas de risco;
desenvolve visão de portfólio.

Para que os programas C&E sejam e cazes, é esperado que os reguladores e

as organizações, periodicamente, devam avaliar as ameaças de
descumprimento potenciais de leis, regulamentações e políticas, bem como
má conduta ética, de modo que a organização possa tomar medidas para
gerenciar esses riscos para níveis aceitáveis.
A aplicação da governança e do componente de cultura na estrutura COSO-
ERM para a gestão de riscos de conformidade deve ser avaliada na
metodologia estrutural do COSO, que descreve os 20 princípios que
fundamentam o processo:
 1. Exercitar a supervisão de risco do conselho
2. Estabelecer estruturas operacionais
3. De nir a cultura desejada
4. Demonstrar compromisso com os valores essenciais
5. Atrair, desenvolver e reter indivíduos capazes
6. Analisar o contexto de negócios
7. De nir o apetite de risco
8. Avaliar estratégias alternativas
9. Formular objetivos de negócios
10. Identi car o risco
11. Avaliar a gravidade do risco
12. Priorizar o risco
13. Implementar respostas de risco
14. Desenvolver visão de carteira (portfólio)
15. Avaliar mudanças substanciais
16. Avaliar risco e desempenho
17. Buscar melhoria na gestão de riscos corporativos
18. Implementar melhorias na informação e tecnologia
19. Comunicar informações de risco
20. Elaborar relatórios sobre risco, cultura e desempenho
Para que os programas Compliance & Ética sejam e cazes, é esperado que
órgãos reguladores e outros órgãos de supervisão avaliem periodicamente as
ameaças potenciais de descumprimento de leis, regulamentações e políticas,
bem como má conduta ética, de modo que a organização possa tomar
medidas para gerenciar esses riscos em níveis aceitáveis.
O COSO-ERM determina que a organização considere o risco de
conformidade como parte do per l de risco da organização para determinar
o apetite de risco. Para isso, devemos:
 considerar o risco de conformidade por tipo de risco (por
exemplo, antissuborno), unidade de negócios ou função
organizacional (por exemplo, recursos humanos) e localização ou
região;
determinar e avaliar as relações entre os riscos de conformidade e
a realização dos objetivos dos negócios;
discutir o apetite pelo risco regularmente e atualizar conforme
necessário com base nas mudanças do risco de conformidade;
considerar o desenvolvimento de declarações de apetite
centralizadas em riscos especí cos associadas aos riscos de
conformidade em apoio a apetite e tolerância ao risco
organizacional.

Compreender o tamanho da ameaça de um risco de conformidade para a

realização dos objetivos de negócios permite que o Chief Compliance O cer
priorize efetivamente a implantação de medidas preventivas e dos recursos
de investigação. Por exemplo, se uma organização tem um determinado
colaborador e a sua função tenha uma determinada categoria de risco de
conformidade que possa representar uma ameaça signi cativa à realização
dos objetivos de negócios, a organização deve alocar mais recursos para
gerenciar esse risco. Maior atenção pode ser dedicada à auditoria e ao
acompanhamento nessa área, entre outras respostas possíveis.
As organizações também devem reconhecer que não podem eliminar de
forma realista todos os riscos de conformidade ou reduzir as probabilidades
de ocorrência a zero. Isso simplesmente não é possível. Como resultado,
deve ter envolvimento em discussões sobre o apetite de risco relacionado
aos riscos de conformidade, que, conforme já mencionamos, é uma
ferramenta valiosa na priorização de esforços visando à prevenção e
detecção de violações de conformidade especí ca. A orientação dos órgãos
reguladores é extremamente consistente com este conceito: “esperar que as
organizações reduzam e gerenciem, não necessariamente eliminar o risco de
conformidade”.
No que tange à avaliação de risco e melhoria do programa de integridade, os
reguladores enfatizam consistentemente a importância de fazer uma
abordagem baseada em risco para treinamento, monitoramento e auditoria,
e os outros elementos de um programa Compliance & Ética. Como tal, um
processo de avaliação de risco sólido é crítico. Abordagens e considerações
para avaliar o risco de conformidade e eventos de ausência de ética são
geralmente muito semelhantes à avaliação de outros tipos de riscos. Por
exemplo, uma abordagem típica incluiria as seguintes etapas:
1. Identi car os riscos de conformidade que são inerentes às atividades
da organização.
2. Mapear os riscos de conformidade para os controles internos
existentes.
3. Avaliar a e cácia dos controles internos.
4. Avaliar a probabilidade e o impacto de cada risco de conformidade.
5. Priorizar (por meio de pontuação, mapas de calor ou outros
métodos) riscos de conformidade com base na avaliação.
6. Projetar respostas de risco (por exemplo, melhorias para controles e
treinamento) a m de reduzir o risco a um nível aceitável.
7. Atribuir responsabilidades e monitorar a implementação de
respostas ao risco.

6.5 Processos de iden ficação dos riscos

segundo o COSO
Como forma de auxiliar nos processos de identi cação dos riscos,
sugerimos que o auditor responda às perguntas relacionadas a seguir para
cada objeto identi cado, anotando as respostas que representarem uma
possível ameaça:

O que pode dar errado?

Como e onde podemos falhar?
 O que deve dar certo?
Onde somos vulneráveis?
Quais ativos devemos proteger?
Temos algum ativo líquido ou de uso alternativo?
Como podemos ser roubados ou furtados?
Como poderiam interromper nossas operações?
Como sabemos se nossos objetivos foram alcançados?
E se os objetivos não forem alcançados?
Quais informações são as mais importantes?
Onde gastamos mais dinheiro?
Como faturamos e cobramos nossas vendas?
Quais decisões requerem mais análise?
Quais atividades são mais complexas?
Quais atividades são mais regulamentadas?
Quais são nossas maiores exposições ao risco legal?

Uma vez identi cados os riscos, devemos avaliá-los e re etir sobre eles com
base nas seguintes perguntas:

Qual é a probabilidade (frequência) de os riscos ocorrerem?

Em caso da ocorrência de riscos, qual seria o impacto nas
operações, considerando os aspectos quantitativos e qualitativos?
Quais ações seriam necessárias para administrar os riscos
identi cados?

É fundamental certi car-se de que a entidade tenha uma missão clara, e as

metas e os objetivos estejam formalizados; avaliar os riscos com relação ao
nível de dependência do setor e quanto ao nível de processo; elaborar um
papel de trabalho para cada atividade relevante e priorizar as atividades e os
processos mais críticos e, se for o caso, aprimorá-los.
O propósito deste capítulo foi fornecer uma visão do modelo COSO
principalmente aos auditores, mas também aos o ciais de compliance, à
gerência sênior, entre outros, de uma maneira prática, de modo a ser útil na
execução dos trabalhos.
Vale ressaltar que as atividades de controle devem ser implementadas de
maneira ponderada, consciente e consistente. De nada adianta implantar um
procedimento de controle se este for executado de maneira mecânica, sem
foco nas condições e nos problemas que motivaram sua implantação.
Também é essencial que as situações adversas identi cadas pelas atividades
de controles sejam investigadas, adotando-se tempestivamente as ações
corretivas apropriadas.
Para facilitar a busca pelo conhecimento, a seguir apresentamos, a título de
sugestão, as principais obras publicadas pelo COSO desde a sua criação:

1992: Internal Control – Integrated Framework

1996: Internal Control Issues in Derivatives Usage
1999: Fraudulent Financial Reporting: 1987-1997
2004: Enterprise Risk Management – Integrated Framework
2006: Internal Control over Financial Reporting – Guidance for
Smaller Public Companies
2009: Guidance on Monitoring Internal Control Systems
2010: Fraudulent Financial Reporting: 1998-2007
2010: Announced a project to update its 1992 Internal Control –
Integrated Framework
2013: Internal Control – Integrated Framework
2017: Enterprise Risk Management
Capítulo 7
ISO 31000:2018 (riscos)
7.1 Introdução à ISO 31000:2018
Não podemos deixar de enfatizar que todas as organizações enfrentam
incertezas, e o desa o da administração é determinar o nível de incerteza
que a organização está preparada para aceitar, na medida em que se
empenha para agregar valor às partes interessadas. A norma ISO 31000:2018
fornece diretrizes para gerenciar riscos enfrentados pelas organizações,
portanto pode ser personalizada para qualquer organização e seu contexto.
Fica aqui a nossa dica: a abordagem de riscos na norma busca um
alinhamento comum para gerenciar qualquer tipo de risco e não tem
especi cidade para nenhum tipo de setor ou atividade especí ca ou
exclusiva.
O gerenciamento de riscos corporativos não apenas permite identi car,
avaliar e administrar riscos diante de incertezas, mas também integra o
processo de criação, preservação e proteção de valor. Por esse motivo ca
evidente que o gerenciamento de riscos corporativos é um processo
conduzido pelo conselho de administração, pela diretoria executiva, pelos
gestores e demais colaboradores, e aplicado no estabelecimento de
estratégias por meio de toda a organização.
A gestão de riscos deve ser capaz de identi car eventos em potencial, que
podem afetar a organização, permitir o gerenciamento de riscos de modo
compatível com o apetite de risco da organização e, ainda, possibilitar um
nível razoável de garantia em relação à realização dos seus objetivos. O
processo é constituído de oito componentes inter-relacionados e integram o
modo pelo qual a administração gerencia a organização. Os componentes
são associados e servem de critério para determinar se o gerenciamento de
riscos é e caz ou não.
Um dos objetivos fundamentais dessa estrutura é contribuir para que a
gestão de empresas e demais organizações adotem uma forma mais
adequada de abordar os riscos inerentes ao cumprimento de seus objetivos.
Entretanto, o signi cado de gestão de riscos corporativos varia de pessoa
para pessoa, de empresa para empresa, mas o processo recebe diversos
rótulos e signi cados, o que constitui um obstáculo ao entendimento
comum.

Figura 7.1 – Princípios da ISO 31000:2018

Fonte: ABNT, ISO 31000, fev. 2018.

A gestão de riscos e caz, segundo a nova ISO, requer os elementos da Figura

7.1 e pode ser explicada como:

Integrada – a gestão de riscos é parte integrante de todas as

atividades organizacionais.
Estruturada e abrangente – uma abordagem estruturada e
abrangente para a gestão de riscos contribui para resultados
consistentes e comparáveis.
 Personalizada – a estrutura e o processo de gestão de riscos são
personalizados e proporcionais aos contextos externo e interno da
organização relacionados aos seus objetivos.
Inclusiva – o envolvimento apropriado e oportuno das partes
interessadas possibilita que seus conhecimentos, pontos de vista e
percepções sejam considerados. Isto resulta em melhor
conscientização e gestão de riscos fundamentada.
Dinâmica – riscos podem emergir, mudar ou desaparecer à
medida que os contextos externo e interno de uma organização
mudem. A gestão de riscos antecipa, detecta, reconhece e
responde a essas mudanças e esses eventos de uma maneira
apropriada e oportuna.
Melhor informação disponível – as entradas para a gestão de
riscos são baseadas em informações históricas e atuais, bem como
em expectativas futuras. A gestão de riscos, explicitamente, leva
em consideração quaisquer limitações e incertezas associadas a
essas informações e expectativas. Convém que a informação seja
oportuna, clara e disponível para as partes interessadas
pertinentes.
Fatores humanos e culturais – o comportamento humano e a
cultura in uenciam signi cativamente todos os aspectos da gestão
de riscos em cada nível e estágio.
Melhoria contínua – a gestão de riscos é melhorada
continuamente por meio do aprendizado e de experiências.

Assim, uma meta importante seria integrar diversos conceitos de

administração e gerenciamento de riscos em uma única estrutura para a
qual se estabelece uma de nição comum, seus componentes são
identi cados e os conceitos fundamentais são descritos. Essa estrutura seria
capaz de acomodar a maior parte das opiniões e, assim, possibilitar um
ponto de partida na avaliação e no aprimoramento da gestão de riscos
corporativos para futuras iniciativas de órgãos reguladores e para as
instituições de ensino.
Dentro desse panorama, a gestão dos riscos possibilita a uma organização
aumentar a probabilidade de atingir os objetivos estratégicos, encorajar uma
gestão proativa, na qual os principais assuntos possam ser tratados, estar
atenta para a necessidade de identi car e tratar os riscos através de toda a
organização, a nal, a gestão é corporativa e não individual, melhorar a
identi cação de oportunidades e ameaças, pois, quando temos consciência,
a gestão ca mais ajustada e próxima da realidade.
Não podemos esquecer que atender às normas internacionais e requisitos
legais e regulatórios pertinentes faz parte do dia a dia do negócio. Melhorar
os reports das informações nanceiras e dos relatórios, em outras palavras, a
comunicação interna deve ser melhorada e tempestiva, para que a tomada
de decisões seja mais assertiva; dessa maneira, melhoramos a governança e a
con ança das partes interessadas, a nal, quando estabelecemos uma base
con ável para a tomada de decisão e para o planejamento, os controles
internos melhoram e facilitam a gestão.
Na gestão de riscos, devemos alocar e utilizar e cazmente os recursos
necessários e existentes para o tratamento de riscos e facilitar a e cácia e a
e ciência operacional. Se o processo de gestão for realmente implementado
com responsabilidade, é possível melhorar o desempenho em saúde e
segurança, bem como a proteção do meio ambiente, gerenciar a prevenção
de perdas e gestão de incidentes, e obviamente minimizar perdas, melhorar
a aprendizagem organizacional e aumentar a resiliência operacional da
organização.
Convém a gestão de riscos e caz de uma organização, em todos os níveis,
para que possamos proporcionar uma integração nas atividades que tenham
importância e nas funções exercidas nos processos operacionais. A e cácia
dependerá da integração entre a governança e os processos de negócio,
portanto estratégia e operacional devem estar alinhados, para que a tomada
de decisão seja assertiva, por isso a gestão de riscos deve:
a. Criar e proteger valor: realização de procedimentos de modo que os
objetivos possam ser demonstrados e para melhoria de desempenho
referente à segurança e saúde das pessoas, segurança física,
conformidade legal e regulatória, aceitação pública, proteção ao meio
ambiente, qualidade do produto, gerenciamento de projetos, e ciência
nas operações, governança e reputação.
b. Ser parte integrante de todos os processos organizacionais:
atividade autônoma separada das principais atividades e processos da
organização, responsabilidade da administração, planejamento
estratégico, gestão de projetos e gestão de mudanças.
c. Ser parte da tomada de decisão: a organização necessita estabelecer
maiores índices de segurança e con abilidade de suas informações,
priorizar as ações e distinguir entre formas alternativas de ação.
d. Abordar explicitamente a incerteza: a incerteza e a subjetividade
fazem parte do gerenciamento de riscos e devemos abordar
explicitamente o modo como elas devem ser tratadas.
e. Ser sistemática, estruturada e oportuna: contribui para a e ciência
e para que os resultados sejam mais consistentes, comparáveis e
con áveis.
f. Basear-se nas melhores informações disponíveis: dados históricos,
experiências, retroalimentação das partes interessadas, observações,
previsões e opiniões de especialistas. Entretanto, convém que os
tomadores de decisão se informem e levem em consideração quaisquer
limitações dos dados ou modelagem utilizados, ou a possibilidade de
divergências entre especialistas.
g. Ser feita sob medida: não podemos utilizar “receita de bolo”, pois a
gestão depende do tamanho, da necessidade e do apetite de risco da
organização, alinhada com o contexto interno e externo da organização
e com o per l de risco.
h. Considerar fatores humanos e culturais: reconhecer as
capacidades, percepções e intenções do pessoal interno e externo que
podem facilitar ou di cultar a realização dos objetivos da organização.
Portanto, conhecimento e cultura organizacional são ferramentas
utilizadas para o aperfeiçoamento da gestão, pois as pessoas são parte
importante do processo.
 i. Ser transparente e inclusiva: o envolvimento apropriado e oportuno
das partes interessadas, em particular dos tomadores de decisão em
todos os níveis da organização, assegura que a gestão de riscos
permaneça pertinente e atualizada. O envolvimento permite que as
partes interessadas (steakholders, em inglês) sejam devidamente
representadas e tenham suas opiniões levadas em consideração na
determinação dos critérios de risco.
j. Ser dinâmica, interativa e capaz de reagir a mudanças: gestão de
riscos continuamente percebe e reage às mudanças. Ela não é estática,
deve ser reativa a mudanças e sempre que possível ser revisada e
implementada, a nal os eventos internos e externos, o contexto e o
conhecimento modi cam-se, o monitoramento e a análise crítica dos
riscos são realizados, novos riscos surgem, alguns se modi cam e
outros desaparecem, por isso devemos acompanhá-los bem de perto.
k. Facilitar a melhoria contínua da organização: desenvolver
estratégias para melhorar a maturidade da organização, juntamente
com todos os aspectos da sua organização. Portanto, a melhoria
contínua deve ser aplicada com treinamento e, quando possível, com
certi cação pro ssional dos recursos da organização.

7.2 Estrutura da gestão de riscos

Figura 7.2 – Relacionamento entre componentes da estrutura para gerenciar riscos
 Fonte: ISO 31000:2018.

A estrutura anterior não pretende prescrever um sistema de gestão, mas

auxiliar a organização a integrar a gestão de riscos em seu sistema de gestão
global. Porém, convém às organizações adaptarem os componentes da
estrutura a suas necessidades especí cas.
A garantia da contínua e cácia da introdução da gestão de riscos em uma
organização requer:

Promover comprometimento forte e sustentado, que deve ser

assumido pela administração da organização, bem como
planejamento rigoroso e estratégico para obter o tão almejado
comprometimento em todos os níveis.
De nir e aprovar a política de gestão de riscos com a criação de
um glossário de riscos para que todos na organização tenham
conscientização dos riscos existentes.
Assegurar que a cultura da organização e a política de gestão de
riscos estejam alinhadas e aplicadas. É quando de nimos
indicadores de desempenho para a gestão de riscos, para que
estejamos alinhados com os indicadores de desempenho da
organização.
 Alinhar objetivos da gestão de riscos com objetivos e estratégias
da organização; entretanto, as estratégias devem ser apresentadas
aos principais gestores e pessoas-chave da organização.
Assegurar a conformidade legal e regulatória, e é de suma
importância atribuir responsabilidade nos níveis apropriados
dentro da organização, pois os processos existentes somente
funcionam se os gestores estiverem engajados aos processos e
objetivos, sem isso, nada funciona.
Proporcionar a alocação dos recursos necessários para a gestão de
riscos, comunicar os benefícios da gestão de riscos a todas as
partes interessadas e, sempre que possível, assegurar que a
estrutura para gerenciar riscos continue a ser apropriada ao
negócio.

7.3 Concepção da estrutura para gerenciar

riscos
7.3.1 Entendimento da organização e seu contexto

Quando estabelecemos a necessidade de uma concepção da estrutura de

gerenciamento de riscos na organização, devemos avaliar e compreender os
contextos externos e internos da organização, e essa estrutura não está
limitada ao ambiente cultural, social, legal, regulatório, nanceiro,
tecnológico, econômico, natural e competitivo, quer seja internacional,
nacional, regional ou local.
É importante que identi quemos os fatores-chave e as tendências que
tenham impacto sobre os objetivos da organização, e não é saudável
esquecer as relações com partes interessadas externas e suas percepções e
valores sobre a organização.
Já no ambiente interno da organização podemos incluir, mas não estamos
limitados a: visão, missão e valores; governança, estrutura organizacional,
papéis e responsabilizações; estratégia, objetivos e políticas; cultura da
organização; normas, diretrizes e modelos adotados pela organização;
capacidades entendidas em termos de recursos e conhecimento (por
exemplo: capital, tempo, pessoas, propriedade intelectual, processos,
sistemas e tecnologias); dados, sistemas de informação e uxos de
informação; relacionamentos com partes interessadas internas, levando em
consideração suas percepções e valores; relações contratuais e compromissos
e interdependências e interconexões.
Fica cada dia mais evidente que as grandes falhas em processos de gestão de
riscos consistem justamente em buscar a implementação de gestão sem
conhecer profundamente os processos e os objetivos do negócio. Para isso, o
mapeamento dos processos com entrevistas e levantamento dos
procedimentos com identi cação dos riscos junto aos gestores é importante.
A maioria das pessoas sempre me pergunta como implementar controles
internos e gestão de riscos, e a resposta sempre é a mesma, entender o
negócio, identi car e implementar os controles e, obviamente, já sinalizar as
possibilidades de riscos dos processos.
Mas o conhecimento sempre esbarra na falta de conhecimento do negócio
por alguns pro ssionais, na ausência da metodologia interna no
reconhecimento das possibilidades de controles e nos riscos envolvidos,
pois, além de entender onde o negócio está inserido, o uxo da informação é
muito importante.

7.3.2 Estabelecimento da política de gestão de riscos

Estabelecer claramente os objetivos, o comprometimento e os propósitos da

organização em relação ao gerenciamento de riscos e vincular, sempre que
possível, a seus objetivos e outras políticas internas que darão subsídios
internos aos processos de negócios, reforçando a necessidade de integrar a
gestão de riscos na cultura corporativa da sua organização. Devemos
abordar quais são os principais processos de negócio e de que forma a
decisão é apresentada; dessa forma, a organização de ne as autoridades,
responsabilidades e responsabilizações para gerenciar os riscos e as ligações
entre os objetivos e as políticas da organização com a política de gestão de
riscos.
As maiores di culdades são, justamente, identi car e direcionar as
responsabilidades para gerenciar riscos. É de suma importância entender
que os gestores são, na maioria das vezes, os responsáveis pelos
procedimentos e pelo cumprimento das normas. Sempre que possível, deve-
se determinar como são tratados os con itos de interesses e os objetivos
con itantes, medidos e relatados conforme os indicadores de desempenho
são apresentados pelos gestores.
Quando conseguimos que o comprometimento dos envolvidos torne-se
mais evidente, em paralelo trabalhamos com os recursos necessários para
auxiliar os responsáveis pelo gerenciamento dos riscos e também na
melhoria do desempenho da gestão de riscos, que será medido e reportado
às partes interessadas.
Implementar controles e gestão de riscos sempre se direciona ao
comprometimento de analisar criticamente e melhorar periodicamente a
política e a estrutura da gestão de riscos em resposta a um evento ou uma
mudança nas circunstâncias.
Devemos considerar, em uma política de gestão de riscos corporativos, os
seguintes itens:

matriz de riscos corporativos;

ferramentas automatizadas de gestão de riscos corporativos (caso
existam);
programas de autoavaliação de riscos e controles;
normas e procedimentos das áreas operacionais, dos
departamentos, dos produtos e dos sistemas informatizados;
indicadores-chave de performance e de riscos;
relatórios de monitoramento à exposição aos riscos corporativos;
 comunicação dos resultados para a alta administração.

7.3.3 Atribuir papéis organizacionais, autoridades, reponsabilidades

e responsabilizações

Como já evidenciamos em capítulos anteriores, as responsabilidades em

realizar o gerenciamento de riscos deve fazer com que a organização possa
assegurar que haja políticas e regras internas que evidenciem a
responsabilização, a autoridade e a competência apropriadas para que a alta
administração e os gestores responsáveis gerenciem os riscos e assegurem a
su ciência, a e cácia e a e ciência de quaisquer controles internos
implementados, que são as ações necessárias que podem ser devidamente
evidenciadas quando identi camos os verdadeiros proprietários dos riscos,
que geralmente têm ou deveriam ter a responsabilidade e a autoridade para
gerenciar riscos.
Identi car os responsáveis pelo desenvolvimento, pela implementação e
manutenção da estrutura para gerenciar riscos não é uma tarefa das mais
fáceis, pois, quanto melhor for a identi cação dos controles internos, mais
facilitada será a forma de identi car outras responsabilidades das pessoas
em todos os níveis da organização no processo de gestão de riscos, pois
muitos dos processos são dependentes das atividades de outras áreas e
gestores; portanto, o risco principal é essencial, mas a correlação interna
também se faz presente nessa etapa. Como diz o ditado popular: “Uma
andorinha só não faz verão”, em outras palavras, um processo é composto
por inúmeras atividades que devem ser avaliadas e evidenciadas.
Deve-se estabelecer um modelo em que possamos medir e avaliar o
desempenho dos processos por meio de reportes internos e/ou externos
para suprir os devidos escalões da organização. Assim, podemos entender a
performance do negócio e assegurar níveis apropriados de reconhecimento
dos riscos e dos controles envolvidos para que a estratégia, os resultados e os
riscos sejam tratados com seriedade e possamos evitar surpresas
desagradáveis na gestão corporativa.

7.3.4 Alocando recursos

Um dos principais desa os na gestão de riscos que cou muito evidente

nesta versão da ISO, pois, quando nos referimos aos recursos para
gerenciamento de riscos, como já havia comentado na edição anterior, nós
classi cávamos recursos apenas em nanceiros e máquinas/equipamentos,
mas hoje esse conceito mudou consideravelmente. Portanto, quando nos
referimos a recursos no mundo corporativo, falamos de pessoas,
referenciamos suas habilidades, experiências e competências.
E ainda temos como referências os processos, as metodologias, ferramentas
(hardware ou so ware), documentação, procedimentos, sistemas de gestão
da informação e de gestão do conhecimento, além de programas de
treinamento, capacitação e aculturamento corporativo extremamente
importantes para a gestão de riscos. Vale aqui uma recomendação: devemos
considerar as capacidades, limitações e algumas restrições dos recursos
existentes.

7.3.5 Integração nos processos organizacionais

Devemos estabelecer processos, fazer o mapeamento e ter normas para que

as principais questões sejam identi cadas para uma gestão de riscos bem-
sucedida. Portanto, aqui evidenciamos que devemos estabelecer um
processo de comunicação e facilitação da consulta interna, para que
possamos apoiar a estrutura operacional e tornar o processo de gestão de
riscos mais e caz. A integração vai depender de como compartilhamos a
informação com o público-alvo, como fornecemos o retorno das consultas e
como esse processo contribuirá para as decisões e melhoria dos métodos e
dos conteúdos. Por isso, a forma como a informação é coletada, consolidada,
sintetizada e compartilhada deve ser apropriada, e todas as sugestões de
melhorias devem ser estudadas e, se possível, implementadas.
Os processos organizacionais, em sua maioria, são complexos e de difícil
acesso. Por isso, devemos providenciar e assegurar que a estrutura de gestão
de riscos seja incorporada em todas as práticas e processos da organização.
Devemos avaliar nossa estrutura com o desenvolvimento de um plano com
prazos e recursos, identi cação do grau de responsabilidades na tomada de
decisão, garantias de que as mudanças e projetos sejam claramente
compreendidos e praticados.
Essa estrutura deve ser parte integrante, e não separada, dos processos
operacionais e ser incorporada no desenvolvimento de políticas, na análise
crítica, no planejamento estratégico e de negócios, e nos processos de gestão
de mudanças. Para que a implementação seja bem-sucedida, é necessário
engajamento e conscientização de todas as partes interessadas; dessa forma,
podemos abordar a incerteza na tomada de decisão, e avaliação de possíveis
mudanças e alterações.
Uma vez concebida e implementada, a sua estrutura de gestão de riscos
poderá assegurar que seu processo de controles internos e gerenciamento de
riscos seja parte integrante de todas as atividades da organização, incluindo
os processos de apetite a riscos, tomada de decisões, avaliação das mudanças
nos contextos internos e externos desde que sejam devidamente capturados,
interpretados e implementados.
Quando nos referimos à informação, devemos usar a comunicação para
construir con ança na organização. É de suma importância comunicar as
partes interessadas sobre a ocorrência de algum evento de crise ou
contingência.

7.3.6 Processos de gestão de riscos

Envolvem a aplicação sistemática de políticas, procedimentos e práticas de

controles internos para as atividades de comunicação e consulta, alinhados
aos contextos dos negócios, na forma de tratamento, análise crítica, registros
e relatos dos riscos.

Figura 7.3 – Processo para gerenciar riscos

Fonte: ISO 31000:2018.

Convém que a organização estabeleça mecanismos de comunicação e

reporte internos a m de apoiar e incentivar a responsabilização e a
propriedade dos riscos. Esses mecanismos devem assegurar que os
componentes-chave da estrutura da gestão de riscos sejam integrados na
estrutura, operações e processos da organização, e quaisquer alterações
subsequentes sejam comunicadas adequadamente. Vale salientar que
podemos aplicar esse método nos níveis estratégicos, táticos e operacionais,
e todo projeto também deve ser previamente avaliado.
Necessitamos da existência de um processo adequado de comunicação
interna sobre a estrutura, sua e cácia e os seus resultados, e que possamos
criar uma forma de receber e responder as consultas. Existe a necessidade de
que os sistemas de informações pertinentes estejam em conformidade com a
aplicação da gestão de riscos e sejam de fácil acesso a todos os níveis nos
momentos apropriados.
Deve haver processos de consulta às partes interessadas internas e, quando
possível, reunir diferentes áreas de especialização para cada etapa do
processo de gestão de riscos, a m de que tenhamos uma decisão colegiada,
pois assim poderemos avaliar os diferentes pontos de vistas e que sejam
considerados quando da de nição dos critérios e da avaliação dos riscos.
Cuidado nessa etapa, pois a tomada de decisão deve ser corporativa. Avalie
os possíveis con itos de interesses e possíveis boicotes ao projeto. Isso
mesmo, algumas áreas em certos momentos não fornecem as informações
su cientes justamente para di cultar o mapeamento e a supervisão dos
riscos; portanto, quando possível, devemos construir um senso de inclusão
corporativa e de nir as propriedades e responsabilidades dos riscos a serem
tratados.
Todos esses mecanismos devem incluir processos para consolidar a
informação sobre os riscos, conforme apropriados, e obviamente a partir de
uma variedade de fontes, levando em consideração, sempre que possível, a
sua sensibilidade.

7.3.7 De nindo critérios de risco

A organização necessita desenvolver e implementar um plano que

especi que a quantidade e os tipos de risco que pode ou não assumir em
relação aos seus objetivos. Com isso, podemos estabelecer critérios para
avaliar o grau de importância do risco para que possamos apoiar os
processos de tomada de decisão; a nal, os critérios de risco devem estar
alinhados à estrutura de gestão de riscos e ser devidamente personalizados
para o planejamento e o escopo da atividade em análise.
Nessa etapa devemos assegurar que os critérios de riscos estejam re etindo
os valores, objetivos e os recursos da organização, e estejam devidamente
alinhados com as políticas, as declarações e o comprometimento sobre o
gerenciamento de riscos, com base nas obrigações da organização e no
ponto de vista das partes interessadas.
Tudo isso que foi detalhado instrui que os critérios de risco devem ser
estabelecidos no início do processo de avaliação das possibilidades e das
probabilidades dos riscos, pois devemos implementar um projeto que seja
dinâmico, que seja continuamente analisado com um grau de criticidade no
que tange a natureza, incertezas e consequências, bem como efetuar a
medição, de nir prazos, níveis de riscos e a capacidade da organização.

7.3.8 Processo de avaliação de riscos

Na implementação da estrutura para gerenciar riscos, convém que a

organização de na o propósito da identi cação de riscos e como podemos
encontrar, reconhecer e descrever os riscos inerentes às atividades da
organização, e como será possível auxiliar ou impedir que a organização
alcance seus objetivos estratégicos e operacionais.
Na implementação da estrutura com base em uma política e com a
metodologia de gestão de riscos relacionados aos processos organizacionais,
podemos utilizar uma variedade de técnicas para identi car as incertezas
que podem afetar um ou mais objetivos. Portanto, devemos avaliar os
seguintes fatores e o relacionamento entre eles, considerando:

fontes tangíveis e intangíveis de risco;

causas e eventos;
ameaças e oportunidades;
vulnerabilidades e capacidades;
mudanças nos contextos interno e externo;
indicadores de riscos emergentes;
natureza e valor dos ativos e recursos envolvidos;
consequências e seus impactos aos negócios;
 limitações do conhecimento e da con abilidade da informação;
tempestividade;
vieses, hipóteses e crenças envolvidas.

7.3.9 Processo de análise de riscos

O propósito da análise de riscos é compreender a natureza dos riscos e suas

características, com a inclusão dos níveis de risco, onde realmente é
necessário, envolvendo a consideração detalhada das incertezas, fontes de
riscos, consequências, probabilidade, eventos, cenários, controles e da sua
e cácia. Ressaltamos que um evento de riscos pode ter múltiplas causas e
consequências, e pode afetar todos os objetivos. Aqui ca nossa dica sobre a
necessidade de obter uma decisão colegiada e realizar avaliações em comitês
especí cos.
A organização deve estudar a possibilidade de manter sessões periódicas de
informação e treinamento alinhados ao negócio e que possam atender às
necessidades da organização, além de consultar e comunicar-se com as
partes interessadas para assegurar que a estrutura continue apropriada e as
incertezas sejam mais bem aculturadas internamente, pois, com base nos
resultados e nas análises críticas, convém que decisões sejam tomadas sobre
a aplicabilidade da política, do plano e da estrutura da gestão de riscos, que
podem e devem ser melhorados. Portanto é adequado que o processo de
gestão de riscos seja parte integrante da gestão, incorporado na cultura e nas
práticas, e esteja adaptado aos processos de negócios da organização.
A análise de riscos pode ser realizada com vários graus de detalhamento e
complexidade, dependendo do propósito da análise, da disponibilidade e da
con abilidade da informação. Não podemos nos esquecer dos recursos
disponíveis, em que as técnicas de análise podem ser qualitativas,
quantitativas ou uma combinação destas, dependendo das circunstâncias e
do que esperamos do nosso gerenciamento de riscos.
 Figura 7.4 – Análise de riscos

Fonte: ISO 31000:2018.

Segundo a ISO 31000:2018 convém que a análise de riscos considere fatores

como:

probabilidade de eventos e consequências;

natureza e magnitude das consequências;
complexidade e conectividade;
fatores temporais e volatilidade;
e cácia dos controles existentes;
sensibilidade e níveis de con ança.

A norma comenta que a gestão de riscos pode ser in uenciada por qualquer
divergência de opiniões, vieses, percepções de risco e de julgamentos.
Devemos avaliar as in uências e a qualidade da informação; as hipóteses
não podem ser descartadas, e as limitações técnicas devem ser avaliadas.
Tudo isso deve ser extremamente considerado, documentado e comunicado
aos tomadores de decisão. Todos os eventos sempre terão algumas
características de incerteza difíceis de quanti car, neste caso uma
combinação de técnicas pode fornecer um melhor discernimento. Mais uma
vez salientamos que não existe modelo único para gerenciamento de riscos.
O tratamento de riscos dependerá da forma como identi camos e
analisamos os riscos, a decisão sobre o que fazer de acordo com a estratégia
e os métodos mais apropriados para tratar essas informações, por isso a
política de gestão de riscos auxiliará nas questões dos tipos e dos níveis de
riscos da organização.

7.3.10 Processo de avaliação de riscos

Como podemos tomar decisões com base na gestão de riscos? Se a avaliação

não for realizada dentro dos padrões na norma, não conseguirá apoiar a
tomada de decisão, por isso devemos proporcionar a comparação dos
resultados da análise de riscos com critérios estabelecidos a m de que
possamos determinar as ações que agreguem valor ao negócio, podendo
assim, segundo a norma ISO, auxiliar a alta administração a tomar uma
decisão de:

deixar de fazer a operação ou o negócio;

considerar as opções de tratamento de riscos;
realizar análises adicionais para compreender os riscos;
manter os controles existentes;
reconsiderar os objetivos.

7.3.11 Tratamento de riscos

O tratamento de riscos dependerá da forma como identi camos e

analisamos os riscos, a decisão sobre o quê e como fazer com que a
estratégia e os métodos estejam mais apropriados para tratar essas
informações, por isso a implementação de uma política de gestão de riscos
auxiliará nas questões dos tipos e dos níveis de riscos da organização a m
de que possamos selecionar e implementar opções para uma abordagem de
riscos envolvendo um processo de:

formulação e seleção de opções para tratamento dos riscos

identi cados;
planejamento e implementação do modelo de tratamento do
risco;
avaliação da e cácia desse tratamento;
decisão se os riscos residuais são aceitáveis;
se não forem aceitáveis, realizar um tratamento adicional.

Vale a pena salientar aqui que, depois de avaliar os riscos inerentes e de nir
qual e como será o tratamento dos riscos, precisamos também de nir
quanto do tratamento poderá reduzir o nosso risco inerente e, por meio
dessas informações, elaborar nossa estratégia de tratamento do risco
residual.
Quando estabelecemos as de nições sobre o risco inerente e residual,
devemos evidenciar que:

risco inerente representa a quantidade de risco que existe com os

controles internos existentes no momento do mapeamento e da
identi cação dos riscos;
risco residual é a quantidade de risco que permanecerá ou não e
poderá aparecer mesmo após a inclusão dos controles adicionais
e/ou ajustes dos controles existentes.

Para auxiliar a todos sobre o tratamento dos riscos, devemos evidenciar que
os riscos residuais são aqueles que devem permanecer e vão permanecer a
menos que encerremos a operação/o processo/o projeto, durante todo o
ciclo de vida desse processo, mesmo que uma implementação de tratamento
e de resposta aos riscos sejam bem planejada e realizada. Portanto, podemos
dizer que esses riscos são aceitos pelo processo desde que o apetite a risco
esteja bem de nido e os limites de exposição também muito bem de nidos e
monitorados. Sendo assim, podemos citar como exemplo: imagine que você
esteja realizando uma construção de um prédio em uma zona propensa a
terremotos ou estacione seu carro em uma zona propensa a alagamentos,
hoje não está chovendo ainda, mas tudo pode acontecer.
Segundo a norma ISO, devemos balancear os potenciais benefícios com
relação à possibilidade de alcançar os objetivos do negócio, avaliando os
custos, a dedicação, o nível de esforços despendido na implementação e as
possíveis desvantagens. O tratamento não é realizado por modelos
exclusivos, mas com modelos apropriados às circunstâncias e à
complexidade de suas operações e processos; portanto, podemos considerar
os seguintes pontos:

evitar o risco ao decidir não iniciar ou continuar com a atividade

que dá origem ao risco;
assumir ou aumentar o risco para que possamos atingir uma
oportunidade;
remover a fonte de risco, em alguns casos demitindo pessoas, ou
desfazendo projetos, ou fechando unidades de negócios;
mudar e ajustar a probabilidade, alterando seus controles e o
monitoramento operacional;
mudar as consequências, alterando processos, capacitando
pessoas e automatizando processos;
compartilhar o risco, por meio de contratos, compra de seguros,
joint ventures, operações de hedge;
reter ou aceitar o risco por decisão fundamentada e aprovada pela
alta administração.

Vale a pena uma orientação com relação ao tratamento do risco: quando o

custo do controle superar o benefício, devemos avaliar a necessidade de
implementar este controle, somente assim teremos a segurança na retenção
e aceitação do risco.
Na identi cação de riscos, devemos avaliar e identi car as fontes de risco,
área de impactos, eventos e suas causas e consequências potenciais, pois o
tratamento sempre será dependente das considerações econômicas,
orçamentárias e operacionais; portanto, devemos levar em conta todas as
obrigações, os compromissos voluntários ou não e os pontos de vista das
partes interessadas. A nalidade é gerar uma lista abrangente de riscos
baseada nos eventos que possam criar, aumentar, evitar, reduzir, acelerar ou
atrasar a realização dos objetivos, pois dessa forma será possível selecionar
as opções de tratamento dos riscos de acordo com os objetivos da
organização, por meio de seus critérios, e não esquecer de avaliar os
recursos disponíveis.
A identi cação deve ser muito abrangente e com análises da criticidade, pois
um risco que não é identi cado pode se tornar um risco não tratado.
Devemos então considerar os valores, as percepções e o envolvimento de
todas as partes interessadas com base no seu grau de responsabilidade de
seus processos e estabelecer uma forma de comunicação e consulta
tempestiva, com objetividade para que a tomada de decisão seja efetiva e
e caz. Cabe aqui um adendo: alguns tratamentos de riscos podem ser mais
aceitáveis para algumas pessoas do que para outras.
Isso envolve a seleção de uma ou mais opções para modi car os riscos e a
implementação dessas opções, pois, uma vez implementadas, o tratamento
tende a fornecer novos controles ou modi car os existentes. Neste caso é que
sinalizamos pelo aprimoramento da gestão do negócio por meio dos
controles internos. Por isso, a ação de evitar o risco favorece, e muito, ao se
decidir não iniciar ou descontinuar a atividade que dá origem a ele e a
tomada ou o aumento do risco na tentativa de tirar proveito de uma
oportunidade.
Nessa etapa, as questões de remoção da fonte de risco, ou alteração da
probabilidade, ou das consequências vão depender do modo como a
organização quer tratar os riscos, sejam eles eminentes ou inerentes ao
negócio. O principal propósito dos planos de tratamento de riscos é
especi car como as opções escolhidas serão implementadas, que todos os
ajustes sejam compreendidos pelos colaboradores e gestores envolvidos, e
que o resultado do plano tenha como ser medido e monitorado, mas, como
tudo na vida, devemos estabelecer a prioridade do que será tratado.
O compartilhamento do risco com outra parte ou partes (incluindo
contratos e nanciamentos de risco) auxilia a atingir os resultados esperados
para que a retenção do risco por uma decisão consciente e bem embasada
auxilie os gestores a minimizar os riscos existentes. Entretanto, a seleção das
opções de tratamento de riscos envolve equilibrar, de um lado, os custos e os
esforços de implementação e, de outro lado, os benefícios decorrentes,
relativos a requisitos legais, regulatórios ou quaisquer outros, como
responsabilidade social e proteção do ambiente natural, por exemplo, e
riscos severos (com grande consequência negativa), porém raros (com
probabilidade muito baixa), mas nunca faça sem antes consultar as partes
interessadas apropriadas.
Podemos incluir riscos secundários que necessitam ser avaliados, tratados,
monitorados e analisados criticamente. Devem ser incorporados no mesmo
plano de tratamento do risco original e não tratado como um novo risco.
Vale a pena salientar que o plano de tratamento inclua:

a justi cativa para a seleção das opções, como a inclusão dos

benefícios esperados e seus objetivos;
aqueles que são responsabilizáveis e quem aprova a
implementação do plano;
as ações propostas e que possam ser implementadas;
os recursos que serão necessários e suas possíveis contingências;
a medição do desempenho e seus indicadores;
as possíveis restrições ou questões impeditivas;
os relatos, registros e quais os monitoramentos requeridos;
os prazos para tomada de decisões e de conclusão.
Na preparação e implementação dos planos para tratamento de riscos,
apresentamos aqui uma questão de suma importância, que é saber a
nalidade dos planos de tratamento de riscos e como serão documentados.
As informações fornecidas nos planos de tratamento incluem as razões para
a seleção das opções de tratamento, além dos benefícios mencionados
anteriormente, e o que se espera obter dos responsáveis pela aprovação e
implementação do plano; a nal, tem que sair do papel, promover uma
praticidade e operacionalidade, de acordo com as ações propostas e os
recursos requeridos, incluindo suas contingências, que devem ser discutidas
em comitês ou grupos de trabalho, pois o custo do controle não pode
superar o benefício.
As medidas de avaliação do desempenho e identi cação das restrições são
partes integrantes do sucesso da atividade de tratamento de riscos e, aliadas
aos requisitos para a apresentação de informações e de monitoramento,
devem ser acompanhadas por um cronograma e uma programação
especí ca.

7.3.12 Monitoramento e análise crítica

Conforme mencionado no item anterior, o monitoramento é a fonte do

sucesso de sua gestão de riscos, pois falar em gestão de riscos sem
mencionar o monitoramento pode ser um grande erro, por esse motivo a
implementação do processo de monitoramento com uma análise crítica da
gestão operacional devem ser planejadas como parte do processo de gestão
de riscos e envolvem checagem ou vigilância regulares.
O monitoramento e a análise crítica podem ser periódicos ou acontecer em
resposta a um fato especí co, e têm como nalidade garantir que os
controles sejam e cazes e e cientes no projeto e na operação, obter
informações adicionais para melhorar o processo de avaliação dos riscos,
analisar os eventos (incluindo os “quase incidentes”, mudanças, tendências,
sucessos e fracassos) e aprender com eles. Cuidado quando especi car o
tempo de revisão, tendo em vista que precisamos escalonar a periodicidade
com relação ao grau de riscos do processo; portanto, quanto maior o cifrão,
maior será a importância da revisão dos processos e o monitoramento dos
controles.
As questões de detecção de mudanças no contexto externo e interno –
incluindo alterações nos critérios de risco e no próprio risco, as quais podem
requerer revisão dos tratamentos dos riscos e suas prioridades – e de
identi cação dos riscos emergentes devem fazer parte das rotinas diárias da
equipe de gerenciamento de riscos da organização juntamente com os
gestores dos processos, para que realmente a gestão de riscos seja integrada.
Os resultados do monitoramento e da análise crítica devem ser
incorporados em todas as atividades da gestão dos negócios, em que
devemos avaliar o desempenho, a medição e os devidos relatos dos fatos
ocorridos na organização, não importando o tamanho ou a materialidade,
mas devemos identi car e avaliar os fatos e as possíveis correções
implementadas para sanear as falhas e os erros operacionais.

7.3.13 Registro e relatos

No processo de gestão de riscos, os registros fornecem os fundamentos para

a melhoria dos métodos e das ferramentas, bem como de todos os processos.
Para isso, as decisões relativas à criação de registros levam em consideração
a necessidade de aprendizado contínuo da organização e os benefícios da
reutilização de informações para ns de gestão. Nesse ponto, destacamos
que o aprendizado com os incidentes ocorridos no passado podem auxiliar
na busca por melhor gerenciamento dos riscos; a nal, os seus resultados
devem ser documentados e relatados, não importando se positivos ou
negativos, mas que sejam reportados de uma forma periódica e em
relatórios apropriados.
Os custos e os esforços envolvidos na criação e na manutenção de registros e
relatos devem ser avaliados conforme as necessidades e possibilidades da
organização, mas não podemos esquecer que existem obrigações ao
atendimento de registros legais, regulatórios e operacionais.
O método de acesso, a facilidade de recuperação e os meios de
armazenamento devem ser avaliados e aprovados junto aos gestores com
anuência da alta administração, pois as normas existentes determinam o
período de retenção e o grau de sensibilidade das informações geradas e
processadas. Por isso, as decisões relativas a criação, retenção e manuseio
das informações documentadas devem levar em consideração a maneira de
uso, a sensibilidade da informação e os contextos internos e externos que
afetariam a gestão do negócio.
Segundo a ISO, o relato é parte integrante da governança da organização;
portanto, convém que melhore a qualidade das trocas de informações e da
comunicação corporativa com as partes interessadas e seja uma ferramenta
de apoio à alta administração e aos órgãos de supervisão para cumprirem
suas responsabilidades. Por essa razão, devemos especi car as necessidades
das partes interessadas com as devidas comunicações, avaliar o custo da
informação, a frequência e pontualidade dos relatos apurados, quais serão os
métodos de obtenção, o tratamento dos relatos, a pertinência da informação
para os objetivos corporativos e de que forma a tomada de decisão é
suportada pelos relatórios gerados pelos processos de negócio.
Capítulo 8
Metodologia de análise de riscos
8.1 A metodologia de análise
A metodologia de análise de riscos deve levar em consideração o tamanho, a
complexidade e o volume das operações, e não podemos desprezar a
possibilidade de ocorrência de falhas ou erros em nossos processos
operacionais, pois não é possível controlar o risco operacional nas atividades
corporativas, sem que tenhamos conhecimento dos processos de negócios,
para que possamos observar e entender, dentro de cada atividade, quem,
como, onde, por que e quando faz alguma atividade.
Portanto, tenha em mente que não há necessidade de xar a gestão de riscos
em uma única metodologia, você pode fazer um mix do que há de melhor
nas metodologias, mas que sejam simples e de fácil absorção,
implementação, e todos os envolvidos entendam o quê e por que estão
fazendo alguma atividade e os riscos envolvidos. Nada impede que
implementemos uma metodologia totalmente própria, que possa ser
adaptada para qualquer ramo de atividade, uma vez que a adaptação é um
fator importante e há a possibilidade de cada organização implementar o seu
próprio método, desde que realizado por pro ssionais com conhecimento
em gestão de riscos.
Em princípio, a gestão de riscos tem como propósito eliminar, reduzir ou, ao
menos, evitar, por meio da análise das falhas potenciais e propostas de ações
de melhoria, a ocorrência de falhas nos projetos de novos produtos e
serviços e em novos processos antes mesmo da sua implantação. Devemos
enfatizar que o princípio é a gestão de riscos e minimizar as possíveis
perdas.
A implementação de qualquer metodologia tem como propósito avaliar os
controles de exposições que sejam signi cativas, assim como a criação e
manutenção de um banco de dados contendo informações de controles de
riscos operacionais e de que forma o negócio se comporta, por isso sempre
evidenciamos que os controles internos são parte integrante do sucesso da
gestão de riscos.
Tendo em vista a incidência de eventos de perdas e seus efeitos reais
observados, aqui ca mais uma vez a menção ao processo de riscos causados
pela pandemia no atual momento. Entretanto, o controle de exposições no
que tange à gestão de riscos deve ser gerenciado e monitorado
constantemente pela área de riscos e pelas áreas envolvidas no processo de
gestão, pois assim poderemos implementar uma gestão integrada de riscos,
em que todas as partes interessadas devem fazer, pelo menos, parte do
processo de identi cação, análise, avaliação, tratamento e monitoramento,
lembrando que cada um de nós é responsável, de certa forma, pelos
controles internos, compliance e riscos existentes em nossas atividades e
processos de negócio.
Necessitamos de fontes de informação que servirão para balizar estimativas
de probabilidade de ocorrência e de impactos dos riscos, bem como orientar
a implementação de controles internos e de riscos operacionais que
bene ciarão a governança de riscos corporativos por meio da documentação
estabelecida na sua metodologia para acompanhamento da evolução em
uxos operacionais cada vez mais seguros do ponto de vista de riscos. Essa
fonte de informação está inserida em cada um dos processos operacionais
realizados por gestores e colaboradores, nunca se esqueça disso. Quem está
no dia a dia tem mais condições de apresentar os problemas e as possíveis
falhas, não é necessário conhecer tudo, mas devemos conhecer quem
conhece, fazer alianças corporativas na busca da proteção dos negócios e de
todas as partes interessadas.
Quando da possibilidade de identi cação dos riscos operacionais
considerados relevantes, devemos inserir as informações em algum sistema
ou relatório interno, onde possamos evidenciar as principais atribuições da
gestão de risco operacional por processos, por meio de:

entrevistas com os especialistas ou os gestores das áreas com o

objetivo de mapear os processos e identi car os riscos e controles
 associados a cada processo;
avaliação em conjunto com os gestores do nível de exposição ao
risco de um processo, bem como de nir planos de ação baseados
na avaliação e no resultado dos controles e estabelecer o
tratamento adequado ao risco;
quando julgar necessário, uma reunião com os respectivos
gestores e diretores das áreas afetadas com o objetivo de avaliar as
situações relevantes de exposição da organização aos riscos
operacionais, contribuindo para o aprimoramento dos controles
internos e propondo adequações necessárias;
implementação de um banco de dados contendo informações de
controles de riscos operacionais, eventos de perdas e efeitos
observados, fazendo com que tenhamos a gestão sobre as
documentações geradas nas análises e acompanhar a evolução dos
uxos operacionais;
inserção de um uxo, manual de procedimento ou em algum
organograma institucional que demonstre de forma lúdica e
simples a importância do risco operacional para as áreas de
negócios, evidenciando atividades e processos.

A melhor forma de implementar um processo de detecção de riscos, seja em

novos processos ou nos procedimentos existentes, de modo que possamos
avaliar qualquer potencial incidente de risco operacional, é determinar o
tipo de ação que será tomada para redução desse risco. Os procedimentos ou
uxogramas podem orientar como realizar melhorias nas atividades e nos
processos de negócio.
Quando aplicamos uma metodologia de gerenciamento de riscos, devemos
levar em consideração muitas das possibilidades de ocorrência de falhas,
ausência de processos, excesso de autocon ança, negligência operacional,
ausência de recursos adequados, mudanças inesperadas de processos, entre
outras. Ao analisar, por exemplo, um fator de risco dentro dos processos,
seja ele qual for, podemos associá-lo aos modos operantes de
monitoramento, ou ao formato da gestão de processos e ao conhecimento
dos processos operacionais sujeitos a mudanças inesperadas.
A ideia é que a identi cação da possível falha re ita a maneira como um
fator de risco possa vir a afetar adversamente a organização. Devemos,
sempre que possível, observar o potencial de falha, o grau de severidade
para o gerenciamento do risco, a avaliação das dimensões corporativas que a
falha pode de alguma forma afetar e como esses impactos devem ser
considerados; a nal, quando relacionamos riscos a perdas nanceiras, a
tendência é obter maior atenção na prevenção. Eles geralmente são:

nanceiro/econômico: uxo de caixa, retorno para o acionista,

lucro;
estratégico/operacional: político, imagem, reputação,
participação no mercado, viabilidade, objetivos e metas da
organização.

Aplicar uma metodologia de gestão de riscos, para que possamos viabilizar a

prevenção de perdas, por meio da análise das relações de causa e efeito –
muitos estudiosos e pro ssionais utilizam o Diagrama de Ishikawa –, é uma
das ferramentas da qualidade e também conhecida como Diagrama de
Espinha de Peixe, pois o seu formato lembra muito essa imagem, ou o
Diagrama de Causa e Efeito, composto pelos problemas e suas possíveis
causas.
Esta ferramenta, geralmente, é utilizada para encontrar, organizar, classi car,
documentar e exibir, de maneira grá ca, as possíveis causas de um
determinado problema, separadas por categorias que facilitam um melhor
entendimento das ideias e análises das possíveis ocorrências. Vale salientar
que as causas são tratadas por uma hierarquia; assim, é possível identi car
de maneira muito mais concreta as possíveis fontes do problema ou de uma
falha operacional.
Uma matriz resultante da análise das possibilidades e dos controles
existentes pode possibilitar uma maior objetividade na detecção dos
possíveis riscos, de acordo com a sua relevância e operacionalidade. Um
processo de análise in loco no processo demandará um levantamento prévio
das possíveis perdas orientadas pelo uso de um modelo e com a formatação
de um banco de dados contendo informações sobre a incidência dos eventos
de perda e de seus efeitos reais observados por meio de entrevistas e
observações dos processos operacionais junto aos realizadores das atividades
e dos processos.
Uma das maiores di culdades que encontramos é no balizamento das
estimativas de probabilidade e nos impactos de ocorrência dos riscos, tendo
em vista que essa análise tem como propósito orientar a implementação de
melhoria dos processos, como podemos medir a capacidade de gestão dos
sistemas de controles internos e quanto tempo levamos para detectar uma
falha operacional. Por isso, devemos avaliar as normas, os procedimentos, os
sistemas e as pessoas. Este grupo de informação é conhecido como sistema
de controles internos – SCI.

8.1.1 De nição dos níveis de riscos e controles

Os itens mais importantes na gestão de riscos são a de nição do apetite a

riscos, como já mencionamos nesta obra, e a mensuração qualitativa dos
riscos que será implementada futuramente por meio de uma matriz, em que
o nível de risco é de nido pela composição das variáveis de sua frequência,
conhecidas como probabilidade e severidade, conhecidas, por sua vez, como
impacto nanceiro, ou, como dizem, “quanto eu perco”. Sempre serão
associadas aos possíveis eventos de perda, que são os fatores de riscos
internos e externos, sejam inerentes ou não ao processo que você está
analisando.
A matriz de riscos é uma forma simples de representação dos riscos
corporativos. Fica aqui uma dica: as pessoas costumam complicar a matriz;
portanto, a simplicidade é tudo para que realmente ela seja uma ferramenta
que pode ser implementada na análise de riscos de processos de várias
naturezas.
Geralmente a obtenção da informação é o maior obstáculo que temos, pois a
representação dos riscos em uma matriz permitirá, desde que estabelecida
de forma clara, a identi cação dos riscos apurada junto aos gestores e
principais participantes do processo. Devemos, então, avaliar tanto a
frequência como a severidade. Ter risco alto não é um problema, o
verdadeiro problema é não tratar o risco com controles internos efetivos e
funcionais.
Quando nos referimos aos impactos de perdas, é sempre bom ter uma forma
simples e objetiva para a obtenção de informações dos possíveis impactos. A
seguir, mostramos um exemplo para auxiliar na elaboração de um modelo
de tabela de impactos.

Tabela 8.1 – Classi cação de tabela de impactos

Tabela
de Financeiro Imagem Operacional Compliance
impactos

Falha com parada dos Interrupção das

serviços com índice atividades por
Terrível para o negócio,
Muito Acima de acima de 50% dos órgãos
5 exige gerenciamento de
alto 7,1% processos, afetando a reguladores por
crises de forma urgente
capacidade de tempo
realização do negócio indeterminado

Gravíssimo,
Parada parcial dos Interrupção das
compromete a
serviços, afeta a atividades com
organização e seus
De 5,1% capacidade de multas e sanções
4 Alto executivos, exigindo o
a 7% realização das regulatórias, e
gerenciamento de
atividades interrupção por
crises e tomada de
operacionais algumas semanas
decisões

Grave, mas sem Perda de capacidade e Multas

grandes consequências, controle gerencial dos decorrentes da
De 3,1% podemos contornar de serviços, afeta o paralisação e
3 Médio a 5% forma ágil. Pode ser processo e prováveis sanções
manual e se possível cumprimento das dos órgãos
com simplicidade metas reguladores
 Tabela
de Financeiro Imagem Operacional Compliance
impactos

Atrasos, perda de Multas pontuais,

Signi cativo, envolve a
e ciência e necessidade de
empresa, parceiros e/ou
De 1,1% capacidade dos ajustes internos e
2 Baixo executivos, mas
a 3% serviços, afetando envio de relatórios
devemos trabalhar a
atendimento da aos órgãos
informação
demanda reguladores

Importante, pode ser Necessidade de

Perda de e ciência e
gerenciado de forma esclarecimentos
controle dos
Muito Abaixo de mais operacional por
processos, mas
às autoridades
1 1% gestores de negócio, supervisoras de
baixo podemos atender com
mas com suporte da forma mais
equipe reduzida
área de comunicação simpli cada

Fonte: Elaborada pelo autor.

Quando nos referimos às probabilidades, devemos avaliar de forma simples

e compatível com o negócio e na obtenção de informações das possíveis
probabilidades. A seguir, há um exemplo para auxiliar na elaboração de um
modelo de tabela de probabilidades.

Tabela 8.2 – Probabilidade de ocorrências de riscos

Tabela de
Possibilidade de ocorrência Motivo da exposição
probabilidades

Totalmente possível devido às Ausência de controle e possibilidade de

5 Muito alto circunstâncias atuais mitigação é mínima

Possibilidade de falha devido

4 Alto Existem controles, mas não são efetivos
aos volumes atuais

Pode ocorrer uma falha a Controles existentes, pouco efetivos e

3 Médio qualquer instante muito dependentes de pessoas

Controles oferecem alguma efetividade,

2 Baixo Ocorrência pode acontecer
mas as falhas podem ocorrer
 Tabela de
Possibilidade de ocorrência Motivo da exposição
probabilidades

Ocorrência muito pouco Controles efetivos, com monitoramento

1 Muito baixo provável efetivo e periódico

Fonte: Elaborada pelo autor.

Figura 8.1 – Exemplo de uma Matriz 5 X 5 – Muito alto, Alto, Médio, Baixo e Muito baixo

Fonte: Elaborada pelo autor.

A sua matriz de risco deve ser implementada com a composição de pesos

atribuídos às variáveis de frequência e severidade, podendo ser uma matriz
de 3 x 3 ou 5 x 5. Geralmente iniciamos com uma matriz de três níveis, para
facilitar o entendimento e o futuro aculturamento do pessoal; com o passar
do tempo, você pode evoluir a sua matriz até alcançar o nível 10 x 10, que
está evidenciado na primeira edição deste livro.
A forma da representação grá ca da sua matriz será por quadrantes como
base do per l de risco do processo avaliado pelo gestor, dentro das suas
atividades, dos produtos e dos serviços identi cados. A seguir apresentamos
um modelo para que você tenha uma referência sobre a forma de
apresentação.

Figura 8.2 – Exemplo de uma Matriz 3 X 3 – Alto, Médio e Baixo

Fonte: Elaborada pelo autor.

Todas as vezes que nos referimos a riscos, o que mais sensibiliza a alta
administração é a severidade, em outras palavras, a possibilidade de perdas
nanceiras mobiliza mais a proteção dos negócios. Podemos classi car os
riscos como sendo de:

Baixa severidade – o tratamento e monitoramento não é tão

signi cativo, mas é necessário rever a classi cação, desde que o
processo não mude, e deve ser periodicamente reavaliada.
Média severidade – existe uma menor probabilidade, mas
poderia ter um impacto signi cativo sobre a estratégia e os
objetivos de negócios; podem ser de menor importância, mas é
mais provável que ocorram; considerar a análise de
 custo/benefício e se possível reavaliar com frequência para
detectar mudanças nas condições para um nível acima.
Alta severidade – riscos críticos que podem afetar
potencialmente a realização dos objetivos de negócio e se tornam
uma ameaça quando não tratados adequadamente.

8.2 Atribuições da gestão de risco

operacional
8.2.1 Realizar entrevistas, mapear os processos, identi car os riscos
e controles

Na primeira fase, o responsável pelo planejamento e pela aplicação da

metodologia realiza entrevistas com os gestores da organização e aplica
questões presenciais para a elaboração de relatórios de autoavaliação de
controles para identi car os processos com maior exposição ao risco.
Geralmente nessa etapa identi camos as falhas ou a necessidade de
melhoria, mas somente quando o cliente interno entende que assim
podemos melhorar a forma de identi car os gargalos operacionais e onde o
uxo não funciona, e se funciona, porque não ui internamente. Fica aqui
nossa dica: sempre que avaliar processos de riscos, devemos ranquear as
áreas com as maiores probabilidades de riscos, para que a próxima etapa
alcance o propósito da gestão.
Na sequência poderemos identi car qual processo será analisado, descrever
os objetivos e a abrangência da análise. Cuidado ao misturar macroprocesso
com processo, atividade e rotinas, pois isso pode atrapalhar o entendimento
de quem realiza as funções e a responsabilidade na gestão; portanto, será
necessário validar o que vamos selecionar para alinhar com os gestores e
formar pequenos grupos de trabalho multidisciplinares com especialistas
nos processos selecionados para realização da famosa mitigação de riscos.
Devemos fazer com que as reuniões sejam agendadas com antecedência e
realizadas com o consentimento de todos os participantes para evitar
paralisações nas rotinas dos processos. Devemos priorizar os riscos mais
críticos, estar bem preparados para levantar os dados e, em certos casos,
avaliar e sugerir cenários de falhas de processos para que o cliente interno se
identi que com o possível risco. Um fator muito importante de atenção
nesse momento é a identi cação de um patrocinador, alguém que abrace a
causa e dê suporte para a avaliação interna, a m de que o projeto possa
caminhar e as cobranças sejam mais efetivas, validadas e respondidas dentro
do prazo.
Outro ponto importante é a preparação da documentação-suporte, pois os
manuais de procedimentos, mapeamentos de processos, uxos operacionais,
pontos de auditoria, testes de controles internos e demais documentos
devem estar à disposição para a próxima etapa, caso eles existam. Aqui outro
alerta: nem sempre o gestor consegue, na entrevista, con rmar a sua
existência; portanto, faça as anotações para posterior solicitação e
evidenciação dos documentos.
Se esses documentos não estiverem à disposição do avaliador, ao menos o
uxo operacional ou um mapeamento de processo deverá ser utilizado antes
da etapa de avaliação. Nessa etapa podem ocorrer grandes falhas se o
processo não for devidamente mapeado, documentado e evidenciado.

8.2.2 Avaliar o nível de exposição de um processo ao risco, de nir

planos de ação e tratamento do risco

Quando possuímos uma área ou um grupo de trabalho multidisciplinar, a

avaliação ca demasiadamente mais leve, objetiva e corporativa. Podemos
estabelecer um formulário padrão para obtenção de informações com o
objetivo de identi car, analisar e providenciar o melhor entendimento das
funções e das características dos processos, no qual podemos descrever os
tipos de possíveis falhas para cada função, avaliar e analisar as
consequências e os efeitos, e sempre que possível obter a informação e
registrar as causas das possíveis falhas e determinar quais são as medidas de
controles existentes ou não.
Dessa forma podemos identi car as de ciências dos processos, e as equipes
podem começar a atuar, preferencialmente, nos riscos potenciais que não
apresentam qualquer tipo de controle. Por esse motivo é sempre muito
importante ter um ranking de níveis de riscos do mais alto para o menor,
entendendo níveis de severidade, ocorrência e de detecção, sendo este
último o mais importante, a meu ver, tendo em vista que devemos avaliar se
nossos controles internos são efetivos ou não.
É importante que, quando a área de riscos ou o grupo de trabalho estiver
avaliando um indicador, a avaliação de cada nível deve ser realizada de
forma independente, mas com avaliação dessa atividade dentro do processo
operacional, pois a severidade de uma determinada atividade pode causar
um efeito signi cativo, mas isso não impede que avaliemos a probabilidade
de detecção ou não e da possibilidade de ocorrência de falha ou erro, pois
hoje pode ser baixo, mas amanhã o volume muda, a complexidade aumenta
e pode afetar toda a nossa análise anterior.
Vale lembrar que cada organização necessita implementar seus próprios
critérios de níveis com os devidos pesos, do mais crítico ao menos crítico,
adaptados a sua realidade especí ca. A sua matriz de risco é um documento
“vivo”, ou seja, uma vez realizada uma análise para um produto, processo,
serviço ou projeto qualquer, devemos revisar sempre que ocorrerem
alterações nesses itens; a nal, nada é estático no mundo corporativo.
Além disso, mesmo que não haja alterações, deve-se regularmente revisar a
análise confrontando as falhas potenciais identi cadas pela área de riscos ou
pelo grupo com as que realmente vêm ocorrendo no dia a dia do processo e
o uso do produto, de modo a permitir a incorporação de falhas e erros não
previstos, bem como a reavaliação, com base em dados objetivos, das falhas
já previstas anteriormente em nossas análises de riscos.
Conforme já mencionado em outros capítulos deste livro, devemos ter uma
de nição dos responsáveis pela implantação das ações preventivas e
recomendações de ações, conhecido também como plano de ação, que
devem ser aplicadas e, se possível, modi car o processo de modo a torná-lo
mais seguro e que seja possível monitorá-lo durante seu ciclo operacional.
Essas ações de melhoria nos processos podem ajudar a organização na
minimização e redução dos custos por meio de um método de prevenção de
falhas e erros, e da ocorrência de prejuízos associados aos riscos
operacionais. Exemplos de ações que podemos implementar, baseadas na
nossa própria metodologia, com medidas de:

prevenção ao tipo de falha;

prevenção de uma causa de falha;
processos que di cultam a ocorrência de falhas;
ações que limitem o efeito do tipo de falha;
avaliações que aumentam a probabilidade de detecção do tipo ou
da causa de falha.

Todas essas medidas são analisadas quanto a viabilidade e recursos para

implementação. Após essas análises, podemos de nir as que serão
implantadas. Mesmo com toda a di culdade em determinar conceitos e
valores para as falhas potenciais detectadas nos processos, a aplicação de
uma metodologia demonstra ser muito mais efetiva na priorização dos
pontos críticos para receber ações preventivas; em outras palavras, quanto
maior o risco, maior a necessidade de controles e processos operacionais que
permitam mitigar e tratar o risco.
Assim, todos os pro ssionais que participam do processo de identi cação,
análise e avaliação de riscos adquirem uma visão melhorada de todo o
processo, reforçando as atividades que podem provocar falhas em
determinados processos ou procedimentos; quanto mais próximo do
processo estivermos, melhor será a forma de implementar um
gerenciamento de riscos efetivo.
Não basta identi car os riscos, necessitamos deixar evidenciadas as possíveis
ações que serão tomadas, as datas de realização com as respectivas medidas
recomendadas, juntamente com o nome do responsável e prazo de entrega.
As medidas que foram tomadas terão uma nova avaliação de risco, pois
pode vir a mudar tudo aquilo que estávamos fazendo.

8.2.3 Avaliar as situações relevantes de exposição dos controles

internos

Como fazer que esta análise apresente um resultado que deverá ser
apresentado para os gestores responsáveis pelo processo, cujo procedimento
traz as exposições detectadas na análise e depois para os comitês de riscos.
Caso você tenha um implementado, para que as situações de maior
fragilidade estejam sendo divulgadas e permeadas de maneira adequada por
toda a hierarquia, aqui mora o perigo, pois essa apresentação necessita ser
simples e aplicável, em que o impacto é o que mais importa, juntamente com
a probabilidade. Cuidado ao apresentar indicadores com que somente a área
de riscos tenha familiaridade, apresente valores e percentuais de erros e
falhas, assim você incorpora a necessidade do negócio com o engajamento
das pessoas.
O seu comitê irá deliberar a respeito da propensão ao risco que a
organização está disposta a correr, ou sugerir mudanças por meio de novas
implementações, mudanças no seu apetite a riscos corporativos, das suas
políticas internas e até no aprimoramento dos processos de controles
internos, sendo muito mais estratégicos.
É importante salientar que, a cada nova implementação, o grau de exposição
ao risco será reavaliado. As mudanças na estrutura do negócio, dos produtos
ou processos farão parte dessa avaliação e, sempre que necessário, serão
levadas para decisão em comitês especí cos de riscos para que,
posteriormente, sejam reportadas ao comitê de risco e possam ser
monitorados os resultados e o processo de gerenciamento de riscos.
Não podemos deixar de apontar o fato de que o envolvimento da equipe de
gestão de riscos operacionais e controles internos com a criação de controles
mais so sticados e aprimoramento dos controles existentes será
fundamental para minimizar os riscos e atingir os objetivos de nidos pela
organização. Fica aqui outra dica: nunca faça nada sem avaliar a sinergia do
risco estratégico com o risco operacional, pois muitas organizações têm se
perdido por falta de alinhamento entre o planejado e o realizado.

8.2.4 Controles de riscos operacionais e a evolução dos processos

Para o correto monitoramento, controle e mitigação dos riscos operacionais

identi cados e tratados nas etapas anteriores, é necessária a elaboração de
uma base de dados com toda a documentação utilizada nas análises e no
armazenamento de informações referentes às perdas associadas aos riscos
selecionados, pois a utilização de uma boa comunicação suportada por um
bom processo de guarda de relatos na identi cação e no tratamento dos
riscos pode auxiliar demais na projeção e no entendimento do operacional.
Para acompanhamento da evolução dos processos e mitigação dos riscos, o
gestor de riscos deverá elaborar, com periodicidade mínima anual –
dependendo do volume dos processos a serem revisados e avaliados –,
relatórios que permitam a identi cação e correção tempestiva das
de ciências de controles internos e de gerenciamento do risco operacional.
Associados a essas ações, deverão ser realizados, também com periodicidade
mínima anual, testes de avaliação dos processos ou sistemas implementados
para controle de riscos operacionais. Fica mais uma dica: faça um
cronograma por grau de criticidade de seus processos, para muito alto e alto
de um ano, médio e baixo de dois anos e os muito baixo até três anos, isso se
sua matriz for 5 x 5.
O gestor de riscos operacionais é responsável pela implementação,
manutenção e divulgação de um processo estruturado de comunicação e
informação da evolução dos controles por meio de indicadores em conjunto
com os gestores responsáveis pelos processos operacionais, pois quem está
na linha de frente necessita entender seus controles internos, seus riscos, a
segurança da informação e se seus processos estão em conformidade com as
regras internas e externas.
A cada alteração de sistemas – neste caso me re ro a so wares, legislação,
estratégia dos negócios, dos sócios e/ou investidores –, devemos avaliar
nosso processo de gerenciamento de riscos alinhados aos processos de
controles internos e compliance, tendo em vista que uma gestão integrada de
risco se faz presente quando estas áreas trabalham em sinergia, oferecendo
suporte à área de negócios e à alta administração, pois todos têm um grau de
responsabilidade na gestão de riscos.

8.2.5 Onde a governança pode ser inserida no desenho

organizacional e a importância do risco operacional para os negócios

A estrutura organizacional das instituições nanceiras apresenta alguns

comitês de risco de crédito, risco de mercado, além de outros comitês
especí cos, conforme suas necessidades e sua complexidade das operações.
Um dos mais comuns é o do risco operacional, muito acionado durante a
pandemia para gestão de crises, e outros para integrar os trabalhos dos
diversos comitês, como os de TI, RH, estratégicos, controles internos e
compliance, e assim por diante. Vale destacar que essas medidas
organizacionais facilitam o atendimento dos requisitos do Conselho
Monetário Nacional e do Bacen.
Uma boa prática para consolidar a importância do risco operacional e o
bom andamento dos negócios nas organizações é a elaboração e
disseminação de políticas de gerenciamento de risco operacional aos
colaboradores e prestadores de serviços da organização, em seus diversos
níveis, estabelecendo papéis, responsabilidades, gestão de crises e os planos
de contingência e de continuidade de negócio, contendo as estratégias a
serem adotadas para assegurar condições de continuidade das atividades e
limitar perdas decorrentes de risco operacional.
A partir da aplicação das ações preventivas, a metodologia de gestão de
riscos pode ser utilizada e, assim, dar continuidade a um ciclo de melhorias
na organização, característico de sistemas de gestão voltados à obtenção da
qualidade e redução de riscos. Não pense incialmente em implementar um
so ware, avalie a implementação do mapeamento de processos, avaliação
dos controles internos, isso facilitará a gestão de conhecimento dos
processos de negócios, atividades e responsabilidade no dia a dia do
negócio.
O COSO-ERM orienta que a gestão de riscos, bem como a sua
implementação, tem a participação do Conselho de Administração, pois,
quando identi camos ausência na supervisão, seja nas questões estratégicas
ou operacionais, quem é penalizada é a organização. Em alguns casos, é
proveniente, às vezes, do fornecimento de informações imprecisas ou
inadequadas para os comitês de riscos e os próprios conselhos, muitas vezes
constituídos de indicadores extraídos diretamente dos níveis operacionais e
com um alto nível de detalhamento, o que impede a obtenção de uma visão
prática para o processo de gestão, fato já alertado anteriormente nesta edição
deste livro.
Percebemos que, em algumas organizações, pode ser constatada a ausência
de efetividade da governança exercida pela alta administração sobre as
atividades de controle desenvolvidas pelas unidades administrativas,
di cultando a certi cação da estrutura de controles internos pelos dirigentes
e, de vez em quando, surpreendendo negativamente a alta administração e
até mesmo os investidores. Fica aqui uma dica dos fatos ocorridos tanto em
Mariana (MG) como em Brumadinho (MG).
Essas situações decorrem de um ambiente de controle fragilizado, mal
avaliado ou inadequado sobre os seguintes pontos:

o conhecimento das atividades de controle;

o vínculo entre a governança corporativa e as atividades de
controle;
a documentação da estrutura de controles e os controles internos
voltados para os controles de divulgação.

Na prática, os últimos escândalos corporativos demonstraram a importância

dos controles internos nas organizações, sendo uma ferramenta que auxilia
na prestação de contas das atividades exercidas na organização, pois a
necessidade de possuir informações mais detalhadas e, em alguns casos,
manuais de conduta especí cos para algumas unidades organizacionais
demonstrou a importância de uma unidade de gestão de risco operacional
atuante, com foco nos riscos e um novo papel no esquema de governança
corporativa junto às unidades de ouvidoria, ao conselho scal, aos comitês
de auditoria, de ética e de riscos.
As organizações com capital aberto e ações em bolsa já praticam a
governança corporativa para atendimento dos normativos da CVM, por esse
motivo a constituição dos comitês já é inerente a atividades de muitas delas,
e as instituições nanceiras, em sua maioria, já contemplam vários comitês.
E a empresa que não se enquadra nesses normativos dos órgãos reguladores?
Como estão praticando a governança ou a gestão? Esse é um ponto a ser
avaliado, pois, dependendo do tamanho de negócio, os custos de
implementação podem tornar o negócio inviável. Nem sempre o mesmo
modelo é para todos, pense sempre nisso antes de implementar.
Nesse exato momento entram em ação a governança corporativa e uma
gestão de riscos, controles internos e compliance que estejam de acordo com
a necessidade e o tamanho da organização. Por isso recomendamos uma
avaliação junto aos gestores e à alta administração para que possamos
determinar o caminho a seguir. É preciso levar esse fator em consideração
antes de implementar qualquer sistema e/ou metodologia.
Segundo resultados obtidos na aplicação dessa metodologia, haverá a
constatação da e cácia da análise do tipo e efeito de erros e falhas de
procedimento, que está associada às boas práticas de gestão de riscos e
governança, para eliminar, reduzir ou ao menos evitar as falhas
operacionais, sejam elas potenciais ou efetivas. Portanto, devemos criar
propostas de ações de melhoria, no contexto de riscos operacionais em
uxos operacionais que já estejam estabelecidos e catalogar toda a
documentação da Matriz de controles de forma evolutiva e objetiva.
É muito importante entender que a possibilidade de integração desses vários
controles consiste em garantir que os responsáveis pelas atividades de gestão
de riscos façam chegar à alta administração as informações necessárias e
precisas para comprovar a adesão das práticas gerenciais às diretrizes
estratégicas. Quando conseguimos demonstrar em valores as possibilidades
de perdas, a alta administração passa a olhar para a gestão de riscos como
um processo de prevenção a perdas, e não somente como modismo ou
exigências dos órgãos reguladores.
Boas práticas de governança corporativa requerem que a gestão de riscos
seja realizada pelo administrador, com base na propensão ao risco de nida
pela organização por meio de metodologias e cazes e comprovadamente
úteis para a organização.
O gestor deve prestar contas demonstrando o alinhamento esperado de sua
gestão às diretrizes estratégicas explicitadas pela alta administração,
principalmente no que tange à propensão ao risco. O administrador deve
demonstrar o desempenho obtido de modo plenamente transparente, com o
fornecimento de informações relevantes, su cientes e tempestivas, durante o
processo de prestação de contas, que é um dos princípios da governança,
além da responsabilidade dos gestores na condução dos negócios.
Capítulo 9
Indicadores, recursos e possíveis ferramentas
Vale a pena salientar que apresentamos algumas dicas de possíveis ferramentas para
auxiliar no gerenciamento de riscos corporativos e operacionais. Aproveitando o
momento, apresento aqui, para orientação e direcionamento, algumas métricas que,
segundo o professor Gutemberg José de Melo Maia,12 podem orientar quem busca
técnicas de análise de risco e são de fundamental importância para qualquer organização
no que tange à busca pelo gerenciamento de riscos, seja para evitar acidentes ou a
repetição deles, seja também para evitar perdas e danos. A seguir algumas das principais
métricas utilizadas na indústria em geral:

APR – Análise preliminar de riscos – estudo antecipado

AAF – Análise de árvore de falhas – processo lógico dedutivo
ADC – Árvores de causas – rede fatores
FMEA – Análise de modos de falhas e efeitos
HAZOP – Estudo de perigos e operabilidade
TIC – Técnica de incidentes críticos – erros e condições inseguras
WHAT-IF – Análise de riscos – análise geral/qualitativa

Neste capítulo, vamos apresentar algumas sugestões para você gerenciar os riscos
corporativos e operacionais, na forma de avaliar, melhorar e adaptar ao seu negócio com
base na simplicidade e efetividade dos processos de gestão de riscos, em nossa experiência
e nos resultados da implementação de metodologias de gerenciamento de riscos dos
negócios e métodos de gestão, como COSO-ERM, normas ISO, normativos de órgãos
reguladores, entre outros modelos geralmente aceitos.
Quanto mais aplicamos e estudamos, mais fácil se torna nossa metodologia. Cuidado com
as ofertas de mapeamento de riscos, sem a descrição dos processos operacionais, manuais
de procedimentos, políticas operacionais e uxos macros dos seus principais processos.
Entenda que, sem isso, seu gerenciamento de riscos está fadado ao fracasso ou a gastos
absurdos com so wares que serão severamente criticados pela ausência de informações,
justamente por não realizar as ações citadas.

9.1 Análise SWOT

Ferramenta de gestão bastante difundida para estudo do ambiente interno e externo nas
empresas, a análise SWOT é um instrumento utilizado para fazer análise de cenário (ou
análise de ambiente), usado como base para gestão e planejamento estratégico de uma
corporação ou empresa. Vale salientar que não importa o tamanho da empresa, todas
podem implementar esse modelo, o que diferencia é a complexidade de cada negócio.
Devido a sua simplicidade, a sua utilização pode ser para qualquer tipo de análise de
cenário de mercado, operacional, marketing, entre outros itens que merecem uma análise
prévia, desde a criação de um blog até a gestão de uma multinacional.
A análise SWOT é um sistema simples para posicionar ou veri car a posição estratégica
da organização no respetivo ambiente em questão. A técnica é creditada a Albert
Humphrey, que liderou um projeto de pesquisa na Universidade de Stanford nas décadas
de 1960 e 1970, usando dados da revista Fortune das 500 maiores corporações.

Figura 9.1 – Análise SWOT

Análise SWOT

Ambiente interno Ambiente externo

S O
Forças (Strenghts) Oportunidades (Opportunities)

W T
Fraquezas (Weaknesses) Ameaças (Threats)
Fonte: Albert Humphrey.

A análise SWOT é feita por meio da identi cação e da análise dos pontos fracos e fortes
da organização, e das oportunidades e ameaças às quais está exposta. Aqui ca nossa dica:
parece simples identi car, mas demonstrar fraqueza e ameaças faz com que as pessoas,
em certos casos, ocultem informações por medo de expor uma fragilidade, mas a
ferramenta é justamente para fortalecer esses pontos.
Como frisamos anteriormente e apesar de parecer simples, esse método se mostra
bastante e caz na identi cação dos fatores que in uenciam no funcionamento da
organização, fornecendo informações bastante úteis no processo de planejamento
estratégico.
Pode-se dividir a análise SWOT em duas partes:

A análise do ambiente interno, na qual serão identi cados os pontos fortes e os

fracos: conjunto de recursos físicos, humanos, nanceiros etc. É possível
exercer controle, pois os pontos fortes e os fracos resultam das estratégias
de nidas pelos seus gestores.
 Strenghts: vantagens internas da empresa em relação às empresas concorrentes.
Weaknesses: desvantagens internas da empresa em relação às empresas concorrentes.

A análise do ambiente externo, onde estão as ameaças e as oportunidades:

composto por fatores que existem fora dos limites da organização, mas de
alguma forma exercem in uência sobre ela.
Opportunities: aspectos positivos da envolvente com potencial de fazer crescer a vantagem
competitiva da empresa.
reats: aspectos negativos da envolvente com potencial de comprometer a vantagem competitiva
da empresa.

Devemos avaliar também o ambiente sobre o qual não há controle, mas deve ser
monitorado continuamente, pois constitui base fundamental para o planejamento
estratégico:

Fatores macroambientais: questões demográ cas, políticas, econômicas,

tecnológicas etc.
Fatores microambientais: consumidores, parceiros, fornecedores etc.

Figura 9.2 – Exemplo de análise SWOT

Fonte: Imagem adaptada por Vlamir Garcia, palestra de Controles Internos – Trevisan (2011).

9.2 Metodologia de análise Hazop

O Hazard and Operability Study (Hazop), ou Estudo de Perigos e Operabilidade,
geralmente utilizado nos processos industriais, consiste em uma metodologia qualitativa
para a identi cação de riscos ligados a processos, sendo que esses riscos podem afetar
pessoas, equipamentos, o ambiente e demais elementos contidos nos processos
analisados.
Mais uma dica sobre a aplicação do Hazop: geralmente é utilizado para segurança do
trabalho, em que determinamos uma equipe interna com o propósito de identi car as
possíveis variáveis que podem levar a um ou mais acidentes de trabalho nas diversas
esferas que englobam o sistema de trabalho da organização.
Tem como padrão fazer um levantamento de maneira aprofundada junto às partes do
processo, detectando as possibilidades de variação do padrão projetado, desde que você o
possua. Outro ponto abordado por essa metodologia é no reconhecimento dos problemas
que podem afetar os resultados da operação e promover a redução da qualidade do seu
produto ou serviço.
O Hazop proporciona uma visão que vai além da identi cação dos riscos, tem como
objetivo permitir a evidenciação das causas e consequências, bem como propor ações
corretivas e preventivas para as falhas.
Geralmente tem aplicabilidade em planejamento de projetos, na fase em que os custos
para alteração em alguma atividade ou item ainda não são tão altos, se comparados aos
das fases pós-implementação, que demandariam muito mais ajustes e recursos. Porém,
nada impede sua realização em qualquer uma das fases.
A metodologia Hazop apresenta dois pontos focais: um sobre os problemas de segurança,
e outro sobre os problemas de operabilidade. Quando nos referimos aos de segurança,
podemos dizer que são os riscos que ocorrem por meio dos colaboradores e pelos
equipamentos da linha produção; os de operabilidade, aparentemente, não oferecem
perigo, todavia comprometem a produção, podendo afetar a qualidade e a e ciência, por
exemplo.
Para a implementação do Hazop, necessitamos de uma equipe multidisciplinar para
avaliar o processo sob diversas esferas e sob diferentes pontos de vista. Nesse momento se
faz presente a importância de um patrocinador e de gestores engajados a m de que as
reuniões de alinhamento sejam produtivas e e cientes, nas quais todos devem receber
uma funcionalidade e obrigação.
Entendemos que o primeiro passo para a implementação está baseado na seleção dos
processos, que já devem estar devidamente mapeados e, se possível, representados em um
uxograma, pois assim serão selecionadas as variáveis físicas de cada processo e serão
analisadas para a identi cação dos desvios que possam sofrer e como lidamos com a
produção, os exemplos são: vazão, temperatura, pressão. Estes itens são analisados
conforme as variáveis de cada um durante a operação. Portanto, cabe ao líder da equipe
ser responsável pela orientação dos demais membros, realizando a aplicação de palavras-
guia às variáveis do processo.
As combinações entre palavras-guias e variáveis dizem respeito aos desvios que podem
ocorrer nas variáveis ao longo do processo produtivo. As mais usadas são: nenhum,
maior, menor, mais de, menos de, parte de, mais do que, entre outras. Essas palavras
combinadas com as variáveis citadas anteriormente, por exemplo, a união entre “maior” e
“temperatura” refere-se ao desvio da temperatura acima do planejado.
Uma vez estabelecidas as combinações de nidas, que dizem respeito aos problemas que
podem ser enfrentados, é necessário que possamos re etir e analisar as informações
obtidas sobre eles e determinar os demais itens da metodologia Hazop. Aqui
apresentamos alguns: causas, consequências, detecção, providências e responsável.

Causas: dizem respeito aos motivos pelos quais o desvio acontece.

Consequências: relatam os efeitos trazidos pelo desvio em questão.
Detecção: refere-se ao modo através do qual o erro pode ser constatado, como
um alarme industrial, por exemplo. Aqui vale a pena observar as formas de
proteção geralmente utilizadas para a prevenção e contenção das causas e
consequências dos desvios.
Providências: são todas as ações possíveis e necessárias para que o desvio não
ocorra e o processo possa ser seguido conforme planejado, gerando os
resultados dentro das especi cações técnicas e operacionais.
Responsável: diz respeito a quem monitora, comunica e presta contas de seus
processos. Nesse caso é a pessoa ou o grupo encarregado de realizar as ações
planejadas – podem ser incrementadas, desde que ajudem na aplicação do
método e na organização dos dados obtidos de forma lúdica e objetiva.

Agora entra em ação o processo de controles internos na prestação de contas, em que

todas as informações devem ser consolidadas em algum tipo de relatório, seja sistêmico
ou planilha, de modo que facilite a identi cação e organização das informações por todas
as partes interessadas.

9.3 Análise KPI – Key performance indicator

KPI – Indicador-chave de desempenho – tem por nalidade medir a etapa de um
processo ou resultado, com acompanhamento periódico dos resultados apresentados, pois
muitas são a metas instituídas pelas organizações e atividades exercidas pelos
colaboradores. Esta metodologia auxilia na avaliação e identi cação de possíveis
problemas ou di culdades, desde que aplicada com responsabilidade por todos.

K Key = chave

P Performance = desempenho

I Indicator = indicador

Logo, um KPI pode ser um dado/uma informação ou uma razão operacional, mas é mais
comum ser uma razão. A diferença é que o KPI é diretamente ligado a um objetivo da sua
empresa, ou seja, mesmo que você tenha um concorrente em sua indústria,
provavelmente ele terá objetivos diferentes; portanto, utilizarão KPIs diferentes.
Para de nir o KPI que deverá ser usado, deve-se:

iniciar o processo de de nição dos objetivos estratégicos;

avaliar o tipo de estratégia que está sendo utilizada e como fazer a obtenção dos
índices;
dividir em objetivos operacionais para cada área da organização;
controlar os objetivos de nidos para todas as áreas a m de garantir que os
objetivos da organização sejam alcançados;
avaliar a possibilidade de mensuração com indicadores de fácil entendimento;
avaliar a possibilidade de criação de uma base de dados com informações
relevantes que possibilitem a tomada de decisão.

De maneira geral, podem-se dividir os objetivos de negócios de uma organização em três

grandes grupos: diminuir custos, aumentar receita e aumentar a satisfação do cliente. Os
objetivos para cada organização podem variar de acordo com a estratégia que a empresa
deverá adotar:

Índices – são as informações que mostram os resultados alcançados durante

uma campanha de marketing, por exemplo, através de indicadores-chave de
desempenho. Esta informação deverá indicar quanto valeram os investimentos
de tempo e dinheiro comparados aos resultados atingidos.
Metas operacionais – quando estabelecemos objetivos corporativos por meio de
metas, podemos observar, por meio dos indicadores-chave, o desempenho dos
processos em um determinado período.
 Tolerância – somente entra em questão quando as metas não são alcançadas
nos períodos estabelecidos, mostrando em qual situação se encontra e podemos
analisar se as estratégias estão corretas ou necessitam de ajustes. Os valores que
ultrapassem essa margem devem ser sinalizados com medidas preventivas para
evitar altos investimentos sem retorno.

A implementação de uma ferramenta de análise de performance por meio do KPI

depende das características que envolvem as ferramentas utilizadas para a captação de
informações que chegam até as pessoas ou equipes que vão fazer a análise dos dados
coletados.
De qualquer forma, podemos de nir algumas características de suma importância, que
devem ser consideradas, tais como:

objetividade;
mensurável;
veri cável;
valor agregado;
comunicação;
consenso no objetivo de nido;
comprometimento dos envolvidos.

Os indicadores-chave de performance devem dar suporte para a tomada de decisão, desde

que sejam facilmente decifráveis e identi cáveis. Não só para o setor que vai utilizar os
resultados, como para todos os gestores responsáveis pelos processos de negócio, cabe
inteligência para que possamos coletar os dados e fazer as devidas análises.
Já observei algumas organizações que optam por indicadores-chave tão complexos, mas
tão complexos que as próprias pessoas que criaram as informações têm di culdade para
explicar o que zeram, e não conseguem avaliá-los com precisão, causando mais
problemas e custos na implementação dos devidos índices corporativos. Portanto, devem
ser mensuráveis e expressos em números e atribuídos a cada unidade.
Devem ser ao menos que sejam relacionados a processos de negócios que facilitem o
entendimento, como em litros, horas, custo colaborador, quilometragem, quilos, metros e
assim por diante. Também devem ser veri cáveis, permitindo sustentar os possíveis
indicadores-chave com evidências documentais, testemunhais, objetivas, entre outras. O
principal é que possamos disponibilizar os resultados validados pelos gestores dos
processos e que seja possível compreendê-los.
Exemplo 1: Portal de notícias

Modelo de negócio: conteúdo, informação.

Objetivo: buscar um grande número de visitantes para que eles naveguem pela
maior quantidade de páginas possível, objetivando vender mais publicidade
para os anunciantes.
KPI: taxa de abandono ou taxa de rejeição (bounce rate)
Período analisado: horário e diário.
Desvio: 10 a 15% da média; se passar de 15%, a pessoa responsável deve receber um e-mail para
que possa iniciar uma ação.
Responsável: grupo de editores.
Ação: trocar a matéria de chamada da página.

Exemplo 2: Varejo on-line

Modelo de negócio: transacional.

Objetivo: direcionar os visitantes para a compra de produtos e serviços.
KPI: tíquete médio de compra.
Período analisado: diário e semanal.
Desvio: 8 a 12% da média.
Responsável: marketing de produto.
Ação: lançamento de campanha de incentivo (desconto) para um grupo de produtos.

9.4 Análise BSC – Balance scorecard

O BSC é uma abordagem para administração estratégica, desenvolvida por Robert Kaplan
e David Norton em 1992. Trata-se de uma metodologia para auxiliar as organizações a
traduzir sua visão e estratégia em ações, guiando a performance e o comportamento para
atingir seus objetivos estratégicos. O BSC busca a maximização dos resultados com base
em quatro perspectivas que devem re etir a visão e estratégia da organização:

Perspectiva nanceira: corresponde à análise dos aspectos nanceiros da

organização, seus impactos nas decisões estratégicas, nos indicadores e na
avaliação das metas estabelecidas.
 Perspectiva dos clientes: extremamente relacionada à nossa participação de
mercado, além de controle da satisfação de nossos clientes e da forma como
avaliamos a intensidade que cada unidade de negócio apresenta em termos de
captação e retenção de clientes.
Perspectiva de processos internos: quando implementamos manuais de
procedimentos e melhorias nos processos, esta perspectiva busca avaliar o grau
de atendimento e inovação nos processos de gestão da organização e o nível de
qualidade de suas operações.
Perspectiva de aprendizado e crescimento: corresponde à análise da
capacidade da melhoria do nível de conhecimento de seus colaboradores e
como a organização mantém seu capital intelectual com elevado grau de
motivação, satisfação interna e produtividade.

Tabela 9.1 – Análise de perspectiva – visão estratégica

Perspectiva de
Perspectiva de Perspectiva de processos
Perspectiva nanceira aprendizado e
clientes internos
crescimento
 Perspectiva de
Perspectiva de Perspectiva de processos
Perspectiva nanceira aprendizado e
clientes internos
crescimento

Crescimento e mix Participação Percentual de vendas Satisfação,

de receita de mercado gerado por novos retenção e
Novos produtos, Número de produtos produtividade dos
serviços, clientes clientes Lançamento de novos funcionários
e mercado Clientes por produtos versus Reciclagem da
Novas relações de empregado lançamento da força de trabalho
vendas e Captação de concorrência Capacidade dos
estratégia de clientes Inovações no processo sistemas de
preços de gestão informação
Retenção
Relação de clientes Tempo de Motivação
custo/melhoria de
Clientes desenvolvimento de Empowerment e
produtividade novos produtos alinhamento
perdidos
Produtividade da Entrega e ciente de Sugestões
Satisfação,
receita/funcionário produtos apresentadas e
lealdade
Redução de Serviço pós-venda implementadas
Imagem da
custos e despesas Operações internas Medidas de
marca
operacionais alinhamentos
Lucro ou Gerenciamento da
Ciclo e giro de marca individual e
por cliente
caixa organizacional
ou por Qualidade de produção
Melhoria da segmento Medidas do
utilização dos desempenho da
ativos equipe
Medidas da
administração de
riscos
Lucro e valor
agregado por
empregado

Fonte: Qualiex – Blog da Qualidade.

O Balanced Scorecard (BSC) é uma metodologia ou um sistema que auxilia as

organizações na mensuração de seu desempenho, buscando traduzir a visão da
organização para um conjunto de medidas de desempenho que sejam coerentes e
compatíveis com seus objetivos estratégicos e operacionais. Algumas pessoas comentam
que esse sistema possibilita que a missão da organização seja inspiradora, que possa
auxiliar na melhoria da motivação dos seus colaboradores, fazendo uma tradução de suas
metas, missões e ações cotidianas de seus colaboradores e gestores.
Portanto, o BSC procura estabelecer uma estrutura, uma forma de linguagem, uma
facilidade na comunicação entre a missão e a estratégia da organização, por meio da
implementação de indicadores de desempenho (KPI) que facilitam a informação interna
sobre os resultados atuais e os projetados, favorecendo uma melhor análise do
desempenho dos colaboradores para que possamos alcançar as metas de médio e longo
prazo. Geralmente o processo do BSC é composto de:

Mapa estratégico: descreve a estratégia da organização por meio de objetivos

inter-relacionados e distribuídos nas quatro dimensões (perspectivas).
Objetivo estratégico: o que deve ser alcançado e o que é crítico para o sucesso
da organização.
Indicador: como deverá ser medido e acompanhado o sucesso do alcance do
objetivo. Esse indicador deve cumprir os seguintes requisitos:
Ser claro, transmitir informação clara e ser con ável sobre o evento a analisar.
Fácil de obter, mediante o acesso intuitivo a uma aplicação de tecnologia.
Ser coerente com os ns estabelecidos, missão, visão e valores da organização, medindo e
controlando os resultados alcançados.
Ser adequado e oportuno, disponível para a tomada de decisão.
Ter a sua unidade de medida corretamente identi cada: números absolutos (n.), percentagens
[taxas de crescimento, pesos (%)], dias, horas, moedas etc.

Ter um responsável designado capaz de atuar sobre os indicadores.

Meta: o nível de desempenho ou a taxa de melhoria necessária.
Plano de ação: programas de ação-chave necessários para alcançar os objetivos.

Como não é possível realizar uma viagem com base apenas no controle de velocidade,
avaliar os indicadores de desempenho do carro facilita alcançar os objetivos. Então
podemos dizer que ter indicadores nanceiros não será su ciente para garantir que a
organização esteja caminhando na direção correta. Necessitamos monitorar e avaliar,
juntamente com os resultados econômico- nanceiros, o nosso desempenho no mercado
junto aos nossos clientes, o nosso desempenho dos processos internos e pessoas (aqui os
controles internos se fazem presentes), as inovações e as novas tecnologias.
Tudo isso avaliado periodicamente permite que tenhamos uma gestão operacional em que
as pessoas, as tecnologias, as inovações – lógico, se bem implementadas aos processos
internos das organizações – possibilitarão alavancar o nosso desempenho junto aos
clientes, e a organização obterá os resultados nanceiros esperados. Assim, podemos
a rmar que estamos criando valor com ativos intangíveis, agora imagine alinhar a uma
boa gestão de controles internos, compliance e riscos, como seremos respeitados por todas
as partes interessadas.

9.5 Procedimentos internos

Procedimentos são normas ou regulamentos utilizados em organizações, que visam às
melhores práticas de administração para os negócios da organização.
Qual a relação entre política, norma e procedimento? É muito importante entender as
funções de cada uma, pois a política, as normas e os procedimentos estão diretamente
ligados. A política descreve a visão e as diretrizes a serem seguidas para o atingimento de
um objetivo estabelecido pela organização. A norma estabelece as regras a serem
cumpridas para atingir o objetivo proposto pela organização. Os procedimentos
descrevem a forma de executar as atividades necessárias para atingir o objetivo proposto
pela organização.
Todas as áreas, os departamentos e as diretorias podem e devem possuir esses normativos
e procedimentos devidamente mapeados, formalizados, validados, implementados e
seguidos, preferencialmente, com periodicidade regular.
Os procedimentos devem estar alinhados à cultura organizacional e aos objetivos da
empresa, mas, para que isso ocorra, os procedimentos são ferramentas para estabelecer
regras e formas de realizar as atividades de uma maneira uniformizada, assim podemos
mudar as posturas de todos e ter evidências das rotinas, atividades e dos uxos
operacionais.
Pode-se dizer que a somatória dos procedimentos de uma organização forma um manual
de procedimentos, que é um conjunto de regras operacionais de determinada área com o
objetivo de regulamentar e padronizar seus processos internos. Todos os colaboradores da
organização são os usuários dos procedimentos. Vale salientar que dá segurança para
quem faz e para quem recebe produtos ou serviços provenientes desses procedimentos.
O procedimento de ne em que momento cada pessoa deve realizar cada atividade para
que haja a entrega do produto ou serviço de acordo com o esperado. Trata-se do conjunto
sequencial de ações que permitem realizar um trabalho de forma correta e atingir uma
meta. Não esqueça que é uma descrição detalhada de todas as operações necessárias para
a realização de uma tarefa, é um documento organizacional que traduz o planejamento do
trabalho a ser executado.
Portanto, garante, mediante uma padronização, os resultados esperados por cada tarefa
executada, ou seja, é um roteiro padronizado para realizar uma atividade de forma a
evitar desvios de conduta e qualidade.
Deve ser usado para descrever regras, informações mais detalhadas das atividades
especí cas para o gerenciamento do sistema da qualidade. É responsável por padronizar
os processos gerenciais, tendo por característica ser um padrão de sistema. Seguem
exemplos:

controle de documentos;
 controle de registros;
controle de produtos em não conformidade;
ação corretiva;
ação preventiva;
auditoria interna;
além de um processo completo de um determinado departamento ou setor.

Como pré-requisitos, podemos dizer que um bom procedimento deve conter a seguinte
estrutura (melhores práticas):

Título: deve ser de fácil entendimento.

Número: divisão numérica por área e subárea, por exemplo.
Introdução: objetivo, breve descritivo da aplicação do procedimento.
Dicionário/de nições: campo com termos ou frases e seus respectivos
signi cados.
Métodos: campo onde são descritas as atividades referentes ao tema dos
procedimentos (passo a passo).
Responsabilidades: devem estar claramente distribuídas ao longo do
procedimento.
Anexos: podem-se inserir uxos, formulários etc.
Assinaturas: áreas “proprietárias” do procedimento, logo, áreas responsáveis
pelo texto.

Apesar da semelhança, a Instrução de Trabalho (IT) é um documento muito importante

no Sistema de Gestão da Qualidade (SGQ) ISO 9001, pois contém o modo correto de
executar uma determinada atividade. O importante é que quem redigir a instrução de
trabalho conheça detalhadamente a tarefa descrita ou tenha ajuda de quem possui esse
conhecimento.
A instrução de trabalho é um formulário utilizado para documentar ou padronizar tarefas
geralmente técnicas, especí cas e operacionais. Esse documento tem a descrição
detalhada ou uma ilustração de como realizar determinada tarefa dentro de um processo.
Entenda que cada atividade, serviço ou setor necessita implementar uma série de
instruções de trabalho que alcance todos os procedimentos realizados na organização.
Podemos utilizar algumas ferramentas para descrever o conteúdo, tais como uxogramas,
modelos, notas técnicas, manuais de instrução de equipamentos, fotogra as, lista de
veri cação, checklist, manuais de manutenção de equipamentos, controles de licenças,
controles de renovação de documentação, entre outras.
Para auxiliar, segue uma sugestão de uma estrutura ou um layout recomendável para a sua
instrução de trabalho. Observe que são informações básicas, mas de suma importância
quando implementamos qualquer documentação de forma o cial em nossas
organizações, conforme segue:

logotipo da empresa;
título da instrução de trabalho;
código (numeração padrão) da instrução de trabalho;
nome do responsável pela elaboração e aprovação;
data da emissão e data da revisão (quando ocorrer);
número da revisão;
número total de páginas da instrução de trabalho;
conteúdo objetivo e de fácil entendimento;
anexos quando necessários ( uxograma, formulários, modelos).

Cuidado para não confundir uma instrução de trabalho com o manual de procedimentos
operacionais, pois eles podem ter layouts e estruturas bem parecidas, mas cada um tem
uma função diferente para sua organização.

Instrução de trabalho (IT): geralmente utilizada em atividades produtivas,

operacionais. A sua principal característica é ter um padrão técnico. Podemos
citar aqui a validação de novos produtos, na seleção de candidatos, na
armazenagem de estoque, abastecimento de matéria-prima, atividades de
vendas internas, atendimento ao cliente, inspeção de qualidade, entre outros
itens voltados à produção.
Procedimento operacional: descreve regras, informações mais detalhadas para
o gerenciamento do sistema da qualidade, procedimentos internos. Podemos
citar: controle de documentos, cadastro de clientes, cadastro de fornecedores,
gestão tributária, imobilizado, auditoria interna, entre outros.

Seguem algumas dicas especiais que poderão auxiliar você na elaboração de instrução de
trabalho, que também podem ser aplicadas aos seus procedimentos operacionais:

Sempre que possível faça uma avaliação e realize testes em todos os modelos de
formulários de instrução de trabalho, e estabeleça um padrão que melhor se
adapte às necessidades da sua organização.
Nunca faça nada sozinho, sempre que possível envolva toda a sua equipe na
descrição das rotinas. Não existe melhor forma de obter uma informação do
 processo operacional do que conversar com quem realmente faz.
Tenha implementado um passo a passo, a nal deveremos padronizar toda a
documentação para execução de atividades e conteúdo para posteriores
treinamentos. Isso mesmo, não basta implementar, temos que treinar as pessoas
na leitura, no entendimento e na aplicação das regras operacionais.
Muito cuidado ao escrever qualquer documento, utilize recursos que sejam
didáticos e de fácil entendimento, seja para um sênior, seja para um novato que
acabou de ser admitido, com uma descrição do passo a passo, fazendo com que
o conteúdo que bem objetivo e entendível.
Quanto maior for o conhecimento sobre o processo, maior será a segurança
para a execução das atividades. Vale salientar que será fundamental, pois a
instrução de trabalho deve contemplar os Equipamentos de Proteção Individual
(EPIs) para execução das atividades de modo a prevenir acidentes (lembre-se
aqui do Hazop).
É importante salientar que uma instrução de trabalho tem como objetivo
orientar o uso de recursos necessários para a realização da atividade; a nal,
depois que identi camos os recursos, devemos orientar adequadamente o uso
correto de instrumentos, equipamentos, máquinas etc.
Parece simples, mas a distribuição das cópias desses documentos deve ser
devidamente controlada; houve uma oportunidade em que identi camos 23
cópias de um mesmo documento na rede interna em um cliente.
Deixar as instruções de trabalho sempre disponíveis ao setor responsável e aos
outros setores envolvidos.
Providenciar as revisões das instruções de trabalho periodicamente
(anualmente) e sempre que houver alguma alteração ou mudança na execução
das rotinas.
Uma dica essencial é que evitemos utilizar termos técnicos ou muitas
abreviações; caso necessite utilizá-los, mantenha sempre uma tabela de
orientação com o signi cado de cada um.
E, por favor, nunca utilize o nome do colaborador que executa a atividade, mas
sempre o cargo e/ou função.

9.6 Mapeamento de processos, riscos e controles

9.6.1 Entrevistas
É o primeiro trabalho a ser executado pelo gestor de riscos. Por meio da análise do
organograma da empresa, permitem-se identi car todas as diretorias, os departamentos e
seus respectivos responsáveis. Após o conhecimento da estrutura da organização, deverão
ser realizadas entrevistas com os responsáveis diretos e/ou indiretos das áreas, para a
identi cação de todos os processos de uma forma macro.

9.6.2 Elaboração do uxo macro

Identi cados os processos, deverá ser elaborado um uxograma macro, contendo todos
os departamentos e seus respectivos processos. Os objetivos da elaboração desse
documento são:
1. Visualizar toda a organização de uma forma sistêmica pela complexidade de seus
processos.
2. De nir junto ao comitê especí co e/ou alta administração a prioridade de análise
dos processos.
3. Permitir o controle dos processos mapeados e pendentes.

9.6.3 Elaboração dos uxos detalhados dos processos

De nidas as prioridades, o pro ssional de riscos deverá realizar novas entrevistas com os
responsáveis diretos e indiretos pela elaboração dos uxogramas de modo detalhado.
O detalhamento do processo é fundamental, uma vez que toda essa documentação servirá
de suporte para identi cação dos riscos, elaboração dos pontos de controle para
formalização por meio da elaboração de normas e procedimentos.
Na elaboração dos uxogramas, é importante que as atividades sejam separadas por área,
o que permitirá melhor visualização do documento, aprimorando a análise para
racionalização, análise de riscos e identi cação de melhorias.

9.6.4 Identi cação dos pontos de controle, riscos e falhas

Para toda possibilidade de risco, é necessário haver algum ponto de controle para sua
mitigação, de acordo com o que é mais viável. Avaliar os controles é de fundamental
importância, pois, quando e cientes, reduzem a possibilidade de materialização dos
riscos e auxiliam na identi cação para proposição de melhorias.
Durante o mapeamento, é possível identi car riscos já materializados, isto é, problemas
identi cados cujo impacto negativo já é presente. Para essa situação, é necessária uma
avaliação imediata, devendo ser tratada com prioridade. Segue um breve descritivo das
etapas do uxo.

Figura 9.3 – Fases do Projeto de Gestão de Risco Operacional

Fonte: Elaborada pelo autor.

Levantamento de informações
Entrevistas com os principais executivos da organização
Entrevistas com os funcionários operacionais
Levantamento dos procedimentos dos processos

Descrição detalhada dos processos e das atividades

Elaboração de macro uxos dos processos
Alinhamento com os responsáveis pelas áreas/processos
Inserir dados nas matrizes de processo
Inserir dados nas matrizes de compliance
Inserir dados nas matrizes de gestão de riscos operacionais

9.7 Análise pelo sistema Pestel

Quando começamos a utilizar em nossos trabalhos de gestão de riscos a análise pelo
sistema Pestel, que é composto de eventos externos, tais como políticos, econômicos,
sociais, tecnológicos, ambientais e legais, salientamos que é uma estrutura ou uma
ferramenta usada para analisar e monitorar os fatores macroambientais que podem ter
um impacto profundo no desempenho da sua cadeia de suprimentos e dos processos de
negócios. A utilização dessa ferramenta é especialmente útil ao iniciar um novo negócio,
ao entrar no mercado externo e na manutenção de seus processos de negócios que são
afetados pelo ambiente externo.
No entanto, ao longo dos anos, os pro ssionais expandiram a estrutura com fatores como
demogra a, intercultural, ética e ecologia, resultando em variantes na descrição. O
objetivo é obter uma compreensão mais abrangente do ambiente macro no qual sua
empresa está operando atualmente. Essa é uma das melhores ferramentas de
monitoramento que você pode usar para obter uma visão mais abrangente. Contudo,
antes de começar a usar esta ferramenta, é importante entender o que cada fator signi ca.

Fatores políticos (Political) – devemos levar em conta o nível de intervenção

governamental na economia. Analise se os fatores políticos são de suma
importância, pois as organizações necessitam de estabilidade política para
operar ou da possibilidade de atingir o nível desejado de rentabilidade. Além da
estabilidade ou instabilidade política, os fatores políticos também incluem
política governamental, corrupção, política de comércio exterior, política
tributária, legislação trabalhista, legislação ambiental e restrições comerciais.
Além disso, toda intervenção governamental pode gerar um grande impacto
nos sistemas nanceiros, na economia, na política pública, no gerenciamento de
crises (citamos aqui a pandemia), na infraestrutura e nas questões de saúde de
uma nação. Todos esses são fatores que precisam ser levados em consideração
ao avaliar a atratividade de um mercado em potencial, e a instabilidade pode
afastar até possíveis investidores para as empresas e startups do país.
Fatores econômicos (Economic) – afetam as organizações e têm um impacto
direto sobre a sua rentabilidade e, portanto, são importantes quando você
utiliza a análise Pestel. Esses fatores incluem o crescimento econômico, a taxa
de in ação, a taxa de câmbio, a taxa de juros, o rendimento disponível para os
consumidores nais e as taxas de desemprego. Os fatores econômicos podem
ser classi cados, ainda, em fatores micro e macroeconômicos. Os fatores
microeconômicos estão geralmente relacionados com a forma que os
consumidores, na sociedade, fazem a economia girar pelo seu consumo, ou
como gastam sua renda disponível; por outro viés, os fatores macroeconômicos
estão mais preocupados com as condições gerais da oferta e procura na
economia. Vale evidenciar que esses fatores podem ter um impacto direto ou
indireto no longo prazo em uma organização; a nal, afetam o poder de compra
dos consumidores e podem alterar os modelos de oferta/demanda na
economia. Fica aqui uma evidência com o que passamos durante a pandemia.
Fatores sociais (Social) – o ambiente social em que a organização está inserida
pode causar um impacto profundo sobre a sua operação. Devemos entender
que os fatores sociais incluem as questões culturais e crenças do seu público-
alvo. Podemos aqui exempli car com um produto ou um anúncio publicitário
que pode ser considerado ofensivo numa cultura em particular, enquanto este
seria perfeitamente normal em outra cultura. É preciso atentar para isso, pois
ultimamente localizamos vários nichos, e está difícil de agradar. Não podemos
esquecer também a análise de dados demográ cos, normas, costumes, idade,
educação, gostos, interesses e opiniões da sociedade, sem se esquecer das
tendências da população e do público-alvo especí co, bem como as taxas de
crescimento populacional, distribuição etária, distribuição de renda, atitudes na
carreira, ênfase na segurança, questões de saúde, no estilo de vida e nas
barreiras culturais. Estes itens afetam tanto, que o risco de compliance pode
car sem controle. Esses fatores são especialmente importantes para os
pro ssionais de marketing ao segmentar determinados clientes. Além disso,
também diz algo sobre a mão de obra do local e da análise das condições.
Fatores tecnológicos (Technological) – a tecnologia pode afetar tanto o nosso
negócio que, se não a acompanharmos, poderemos simplesmente ser
esquecidos e quebrar; portanto, este é um dos fatores mais importantes da
análise da metodologia Pestel. Quando nos referimos aos fatores tecnológicos, a
sua importância não está somente na fabricação de produtos e serviços, mas
também em sua distribuição e seu gerenciamento. Estes fatores ajudam as
organizações a explorar meios de comunicação mais interessantes e para que
haja a interação com seu público-alvo, podendo afetar as operações de qualquer
indústria e do mercado no qual você está situado, de uma forma favorável ou
desfavorável, depende de como tratamos o nosso negócio, as estratégias e os
objetivos. Devemos avaliar os incentivos tecnológicos, no nível de atividade de
inovação, automação, pesquisa e desenvolvimento (P&D), evolução tecnológica
e a quantidade de conhecimento tecnológico que um mercado possui. Tudo isso
pode in uenciar as decisões de entrar ou não em determinados setores, lançar
ou não lançar determinados produtos, ou terceirizar atividades de produção no
local ou exterior. Quando temos noção do que está acontecendo em termos de
tecnologia, é possível impedir que sua organização tenha custos e despesas
desnecessárias no desenvolvimento de uma tecnologia que se tornaria obsoleta
muito em breve devido a alterações tecnológicas disruptivas em outros lugares.
Fatores ambientais (Environmental) – como já mencionamos anteriormente,
este item deve ser tratado também, caso sua organização pense em atender o
ESG,13 em que os fatores ambientais são essenciais para analisar a metodologia
Pestel. No entanto, esses fatores ganharam importância devido à preocupação
crescente sobre o meio ambiente entre as massas, mas muito aquém do que
imaginamos como sendo uma realidade efetiva, saindo do papel e tendo
evidências e punições. Os consumidores de hoje preferem comprar produtos de
empresas cujos produtos e serviços sejam compatíveis com a proteção do meio
ambiente e socialmente responsáveis. Por isso, tornaram-se mais importantes
devido à crescente escassez de matérias-primas para alguns produtos, metas de
combate à poluição e metas de carbono estabelecidas pelos organismos
internacionais. Devemos incluir os aspectos ecológicos e ambientais, como
tempo, clima, responsáveis por mudanças ambientais e climáticas que podem
afetar especialmente setores como turismo, agricultura, pecuária e seguros.
Além disso, a crescente conscientização sobre os possíveis impactos das
mudanças climáticas está afetando o modo como as organizações operam e os
produtos que oferecem. Isso levou muitos órgãos reguladores e algumas
empresas a se movimentarem cada vez mais para estabelecer práticas como
responsabilidade social, ambiental e sustentabilidade.
Fatores legais (Legal) – fatores legais ou de conformidade são considerados de
suma importância para qualquer tipo de organização. Parte da avaliação da
complexidade dos negócios concentra-se em questões como a segurança dos
produtos, prestação de serviços, dos direitos do consumidor, leis de
discriminação, questões de diversidade, leis antitruste, leis trabalhistas, leis de
direitos autorais, patentes e leis de saúde e segurança. Para as organizações
realizarem as operações com um grau de segurança e possibilidade de sucesso,
não devem só saber, mas também devem respeitar as regras e os regulamentos
do país em que estão operando. É claro que as organizações precisam entender
e praticar a conduta e a ética para negociar com sucesso e honestidade. Se uma
organização comercializa globalmente, isso se torna especialmente complicado,
pois cada país tem seu próprio conjunto de regras e regulamentos. E vou mais
além, em certos casos a legislação muda de estado para estado. Além disso,
precisamos ter ciência das possíveis alterações na legislação e do impacto que
isso pode ter nos seus negócios no curto, médio e longo prazos.
Recomendamos que você tenha um pro ssional gabaritado e com
conhecimento para avaliar e dar suporte organizacional a m de auxiliar com
esse tipo de apoio.
Fatores éticos (Ethical) – com todas as questões de integridade pública e
privada (corporativa) que estão à tona no mundo dos negócios ultimamente,
em que a honestidade e a ética têm sofrido grandes afrontas, o que cou muito
evidente durante a pandemia, quando as questões de fraudes em licitações
foram muito grandes, e a ausência de conduta e ética nas negociações nem se
fala, temos a incorporação dos fatores éticos, tornando o sistema Pestele ou
Pestel + E. Signi ca que o fator ético tem como foco a inclusão da conduta, dos
princípios éticos e das questões morais que podem surgir em uma organização.
Consideram-se ações como o comércio justo, atos de escravidão e trabalho
infantil, bem como responsabilidade social corporativa. Uma organização deve
contribuir para a concretização dos objetivos locais ou sociais, tais como
 voluntariado ou participação em atividades lantrópicas, ativistas ou de cunho
voltado para a caridade.

Tabela 9.2 – Modelo de uma tabela da metodologia de análise Pestel

EVENTOS

Políticos Econômicos Sociais Tecnológicos Ambientais Legais

Economia Tabus Pesquisa e Projetos

Governo Poluição
local culturais inovação de Lei

Problemas Tecnologias Regulamentos

Eleições Tributação Legislação vigente
éticos emergentes ambientais

Mudança de Tendências Taxa de Gestão de Legislação

Maturidade
governo econômicas crescimento resíduos internacional

Negociação In ação Consumidores Legislação Sustentabilidade CLT

Padrões de Descartes de Proteção ao

Financiamento Juros Comunicação
compra produtos consumidor

Guerras,
Crescimento Mudança de Desenvolvimento Proteção Normas de saúde e
terrorismo,
da indústria gerações de tecnologia ambietal segurança
con itos

Política Comércio Propriedade

Estilo de vida Socioambiental Legislação tributação
interna internacional intelectual

Política Taxas de
externa câmbio
Integridade Internet e IOT Logística reversa Compliance/integridade

Invasão e
Importação Conduta e Normas especí cas da
Corrupção vazamento de Re orestamento
e exportação comportamento indústria
dados

Pandemia Sazonalidade Pandemia LGPD Pandemia

Fonte: Elaborada pelo autor.

Você deve estar se perguntando, ao tomar conhecimento do modelo Pestel, como pode
demonstrar os benefícios de implementar em minha organização a metodologia de
análise Pestel. A questão é o custo? O escopo? Podemos dizer, sem medo de errar, que o
maior custo da análise do modelo Pestel é o tempo, pois alguns programas adicionais
podem ajudar a organizar a obtenção de informações e o famoso feedback; a nal,
podemos realizá-lo por meio de um simples documento utilizando uma planilha em MS
Excel.
A análise do modelo Pestel deve der feita de forma objetiva e direta. A quantidade de
pesquisa necessária, com a avaliação de quanto tempo será dedicado e com que
frequência você deve fazer a análise para sua organização, vai depender do tamanho,
porte e da complexidade dos negócios. O que mais impressiona nessa metodologia é que
qualquer pessoa pode fazer a análise Pestel, pois, enquanto uma equipe gera um relatório
com os resultados, uma outra pessoa também pode executar a análise dos riscos sem
problemas e com grande chance de sucesso, engajamento e conhecimento, que fortalecem
esta etapa.
Imagine ter que implementar uma gestão de riscos com análise de eventos externos sem a
análise Pestel. Os ambientes que afetam direta e indiretamente os negócios podem passar
despercebidos por falta de identi cação e validação, com isso podemos analisar muitos
fatores diferentes que in uenciam o negócio e afetariam o sucesso do seu produto ou
serviço. Devemos incentivar um processo de planejamento e capacitação interna para que
haja uma compreensão mais profunda do planejamento estratégico e operacional do seu
negócio.
A análise Pestel serve para que possamos analisar e avaliar as organizações de forma
ampla, objetiva e funcional, podendo ser utilizada para seus produtos, planos de
marketing e relacionamento com clientes, conforme a especi cidade de cada um. Quando
usamos nos novos projetos dentro da organização, a análise Pestel pode proporcionar um
aumento da conscientização corporativa sobre as possíveis ameaças, seja de um
concorrente existente, seja de um concorrente eminente, seja dentro de seus próprios
produtos.
Vamos supor que a sua organização esteja buscando expandir os negócios e você
descobriu que estão projetando a instalação de uma grande empresa nas imediações e
poderá haver um aumento de aproximadamente 15% no crescimento da população nessa
cidade. Isso pode ser excelente para os seus negócios, se o aumento for
predominantemente de pessoas com idades diversi cadas, enquanto o seu mercado-alvo
está na faixa de 20 a 30 anos. Essa poderá ser uma chance de alcançar um novo público
com um novo produto, mas requer estudos.
Com a análise Pestel, você terá a capacidade de examinar com riqueza de detalhes as
alterações e poderá desenvolver um plano para minimizar todo ou qualquer aumento ou
redução no seu lucro, isso se o negócio puder ser atingido pelo que pode ser denominado
como uma ameaça inesperada. As oportunidades, geralmente, são externas; portanto, ao
utilizar a análise Pestel, para que possamos estudar os ambientes externos, as
oportunidades podem ser encontradas e utilizadas para fortalecer o negócio de sua
organização.
Fica aqui outra dica importante: se você pretende executar a análise Pestel, tente
identi car primeiramente o motivo e desenvolva uma ideia de negócio ou para entender
melhor o seu público-alvo, pois ela pode fornecer resultados abaixo do esperado,
dependendo do escopo e da necessidade.

9.8 Mapas e relatórios

A expressão “mapas e relatórios ou demonstrações nanceiras” designa um conjunto de
mapas no qual estão espelhadas as informações contábeis e nanceiras. Podem ser
agrupados em quatro tipos distintos:

Mapas que demonstram o patrimônio da empresa, as suas dívidas e o seu valor

em determinado e preciso momento. Os exemplos mais relevantes desse tipo de
mapa são o balancete e o balanço.
Mapas que demonstram como se formaram os resultados ao longo de
determinado período de tempo. Um bom exemplo desse tipo de mapa é a
demonstração de resultados.
Mapas de indicadores de performance operacionais que demonstram os
resultados das carteiras de disponibilidades, liquidez, investimentos, operações
de crédito ou duplicatas a receber, imobilização, fornecedores, contas a pagar,
entre outros controles.
Mapas que demonstram os uxos monetários e as alterações patrimoniais em
determinado período de tempo, como as demonstrações de uxo de caixa, as
demonstrações de alterações dos capitais próprios e os mapas de origens e
aplicações de fundos.

Representamos o monitoramento por meio de relatórios gerenciais, que são instrumentos

de suporte da gestão e permitem previsões, visualização de trajetórias com séries
históricas, análise de tendências e, se possível, com uma visão sistêmica, o que contribui
para decisões mais assertivas.
Devemos buscar informações em todos os departamentos da organização e, caso seja
necessário, no ambiente externo, tais como fornecedores, concorrentes, mercado e
clientes, a partir de tecnologias que possam extrair, combinar, depurar, cruzar e analisar
de forma so sticada os dados de fontes diversas.
Podemos relacionar alguns tipos de relatórios que podem ser indispensáveis às
organizações que entendem que as informações quando bem trabalhadas e tempestivas
vão fazer toda a diferença no momento da tomada de decisão. Conheça alguns deles:
 Relatório de vendas – é um tipo de relatório que demonstra o volume de
vendas e auxilia a quali car os clientes entre os que mais compram ou os que
estão muito tempo sem comprar; facilita a avaliação dos produtos e saber, por
exemplo, qual é o mais vendido em determinado período, quem são os
vendedores, as regiões e as unidades de negócio.
Relatório contábil – quando implementamos relatórios realizando uma coleta
seletiva e fazemos uma análise das informações nanceiras registradas em
demonstrações contábeis, como balanços e uxos de caixa.
Relatório orçamentário – o orçamento traz projeções das contas de receitas e
despesas, para que a administração se mantenha atualizada sobre eventos
nanceiros que facilitarão o planejamento de alocação de recursos e, com isso,
podemos analisar o real versus o orçado, que servirá como uma ótima
ferramenta de controles internos e, alinhados a uma gestão de centro de custos,
facilitará o gerenciamento de riscos e de possíveis perdas.
Relatório de qualidade – controle de qualidade é uma forma de acompanhar a
evolução dos indicadores de qualidade, que medem resultados de inspeções,
vistorias e auditorias, especialmente na linha de produção, e as não
conformidades apuradas e seus planos de ação.
Relatório de produtividade – avaliar a produtividade facilita a mensuração do
desempenho e a análise do tempo dos colaboradores na entrega de resultados. É
possível identi car as atividades que mais demandam tempo, permitindo um
planejamento ou a realocação de pessoal funcional conforme sua estratégia.
Relatório de custos – focado na e ciência operacional, que pode contribuir
para decisões que objetivam melhorar a obtenção de resultados, pois a gestão de
custos é fundamental para o controle e a redução de custos xos e variáveis.

9.9 CSA – Control self-assessment

O CSA consiste na metodologia iniciada na empresa petrolífera Gulf – Canadá, em 1987,
para atender a um decreto local, utilizada por auditores internos que necessitavam de
novas abordagens para o exame da efetividade dos controles internos.
Trata-se de uma metodologia empregada para avaliação e revisão dos principais objetivos
dos negócios da organização, dos riscos envolvidos na busca de atingir esses objetivos e
dos controles internos projetados para administrar esses riscos, avaliando a sua e cácia.
O método pode ser utilizado para avaliar aspectos relativos a controles, processos, riscos e
cumprimento de objetivos, por meio de reuniões, questionários ou autoanálise gerencial.
Devem ser consideradas as seguintes questões para sua implementação:

escopo: área, região, nível de detalhe, grupo de trabalho etc.;

nalidade dos resultados do trabalho (auditoria, autoavaliação etc.);
ferramentas e técnicas a serem utilizadas para a documentação do trabalho;
quem dirige o processo, se auditoria interna ou gerência operacional.

As reuniões ocorrem com a participação do gestor do processo, seus principais

colaboradores, clientes e fornecedores. No m são elaboradas cartas de avaliação do
assunto discutido, nas quais o gestor de ne se o risco é aceitável ou não, sendo necessária
a proposição de algum plano de ação para solução dos problemas identi cados. Mas,
como sempre identi camos e alertamos sobre a implementação de um processo de
autoavaliação que esbarra na ausência de conceitos e conscientização de riscos nas
atividades, justamente a ausência de cultura de controles e riscos, por esse motivo
identi camos a seguir alguns dos pontos fracos e de ciências do processo:

pode gerar perguntas de difícil compreensão;

depende do comprometimento dos gestores e da equipe envolvida;
pode afetar a qualidade nal dos resultados, dependendo da quantidade total de
respostas, tempo e atenção dedicados pelo entrevistado;
pode consumir muito tempo para elaborar questionários ou preparar reuniões;
gera possibilidade de desatualização, devido a mudanças no ambiente ou nos
processos;
pode resultar em eventual visão parcial do procedimento, dependendo da sua
execução;
não garante que todos os riscos relevantes tenham sido identi cados;
pressupõe que o corpo gerencial esteja apto a de nir claramente os objetivos,
identi car e avaliar os riscos;
pode gerar dependência de resultados, de acordo com o processo de cultura de
riscos e controles da organização;
acarreta investimento de tempo para aplicação do método;
pode envolver alto custo de implementação, dependendo da forma de
aplicação;
não prevê a captura de registro de ganhos com os resultados dos trabalhos;
pode acarretar utilização inadequada do método para aplicação de sanções aos
funcionários participantes.
Por esses motivos, devemos buscar a implementação gradual, por departamentos, nunca
pela organização inteira, e elaborar reuniões prévias com algumas áreas, para que haja
melhor disseminação da importância da autoanálise por todos e para sucesso do projeto,
até mesmo para compilação de dados e respostas aos envolvidos e à alta administração,
para possíveis investimentos ou mudanças na busca de minimizar os riscos.
Nem tudo é ruim no CSA, existem pontos fortes e benefícios que poderão ser sentidos
após três ou quatro ciclos operacionais, uma vez que a cultura e o engajamento dos
colaboradores são os fatores primordiais do sucesso. O processo de autoavaliação:

evita surpresas, pois garante a identi cação e administração de riscos;

melhora a con abilidade da informação gerencial;
dissemina a cultura de controle de riscos;
padroniza a metodologia de identi cação e avaliação de riscos na organização;
centraliza informações a respeito dos riscos relevantes;
facilita o conhecimento do negócio e suas vulnerabilidades;
identi ca atividades críticas com controles frágeis ou inexistentes;
prioriza área de riscos para desenvolvimento de medidas adequadas de
controles;
mantém a alta hierarquia informada sobre as formas de execução do trabalho;
consiste em e ciência como método para obter informações em uma base
ampla;
permite resultados resumidos e consolidados, pois a informação está em bases
sólidas;
torna-se válido para empresas que atuam em setores altamente regulamentados;
estabelece planos de ação com responsabilidades e prazos de nidos;
permite maior participação em grupo, de maneira não defensiva;
promove gestão participativa e melhor conhecimento de suas funções para os
funcionários envolvidos no processo;
exibiliza a adaptação às diversas áreas de negócios.

Partindo para uma análise mais conclusiva, o CSA é uma metodologia que permite que os
diversos riscos associados às atividades desenvolvidas sejam devidamente identi cados,
administrados e mitigados, principalmente por meio de reuniões estruturadas e da
utilização dos questionários pelos gestores.
A questão crítica para o sucesso do CSA é o aculturamento sobre os riscos e controles de
suas atividades pelos gestores dos processos e por todos os funcionários da organização,
de modo que o reporte e a identi cação dos riscos não estejam associados a punições,
mas enfatizem a melhoria dos processos e, consequentemente, dos resultados da
organização.
Outros fatores importantes para o seu êxito são a escolha do facilitador e a de nição clara
do objetivo que se quer atingir com o processo. O facilitador deve ter habilidade para
conduzir o processo, encorajando a participação de todos os envolvidos.
A de nição do escopo do processo é fundamental para que a atividade alcance os
resultados esperados. Para isso, devemos de nir a função e o objetivo desse método, e o
nível de detalhe que será trabalhado.
Para a gestão do risco operacional, o CSA pode ser útil na identi cação tanto dos riscos já
incorridos como dos potenciais. Essa identi cação permitirá à organização estabelecer
controles nas atividades que apresentem riscos potenciais e trabalhar na mitigação dos já
existentes e identi cados.
Um processo de obtenção de autoavaliação de riscos e controles deve ser realizado com
perguntas de fácil entendimento e de preferência que sejam padronizadas para todos os
processos, pois, quando realizamos perguntas especí cas para o processo, existe a grande
possibilidade de perder o senso de comparabilidade dos riscos.
Em outras palavras, a montagem do questionário deve levar em consideração o volume de
operações, controles internos, compliance, segurança da informação, riscos, auditoria,
entre outros questionamentos. A seguir algumas sugestões de questões que podem ser
aplicadas em seus processos de CSA:

quantidade de operações, transações, demandas, autorizações e aprovações;

existência de manuais e procedimentos homologados e disponíveis;
existência de procedimentos manuais, por meio de planilhas excel, access ou
semelhantes (baixa plataforma);
existência de política de backup, bem como testes de restore periódicos dos
principais dados da área;
existência de pontos de auditoria em aberto para a área, bem como situação e
prazos para a regularização;
índice de turnover (rotatividade) da área e existência de plano de contingência
para a cobertura das atividades, em caso de necessidade;
existência de procedimentos de segregação de função e limites de alçada, com
evidências;
 existência de possibilidade de ocorrência de fraude no processo e histórico de
perda;
existência de legislação ou regulamentação especí ca ao negócio (empresa) e
processo (área);
existência de plano de continuidade de negócio para negócio (empresa) e
processo (área), instalações, sistemas etc.;
existência de dependência de empresa ou pessoal terceirizado no processo
(terceiro relevante);
quantidade de sistemas envolvidos no processo, nível de integração e as devidas
manutenções de versões;
existência de risco de imagem (reputação) da empresa no processo;
probabilidade de ocorrência de falhas e erros no processo (diário, semanal,
mensal, bimestral ou anual);
probabilidade de impacto nanceiro no processo (diário, semanal, mensal,
bimestral ou anual).

O importante é que a quantidade de questões não seja muito grande, tendo em vista que
algumas áreas possuem mais que um processo, como, por exemplo, o departamento
jurídico, que geralmente tem três processos: contencioso, societário e contratos. Então,
imagine um questionário com 30 questões: neste caso, seriam 90 questões a serem
realizadas, sobrecarregando o nosso cliente interno.
A cada questão formulada, geralmente identi camos ao lado a resposta do gestor para que
possamos entender os motivos que proporcionaram a análise dos riscos, que podem ser
alto, médio ou baixo.
Se uma matriz de riscos nunca foi elaborada, devemos iniciar com uma análise simples,
até porque ela é feita pelo gestor, pois neste momento a percepção de risco é dele, mas não
estamos impedidos de criar um cenário diferente para que haja uma avaliação mais
criteriosa.
Vale a pena evidenciar que este é um processo de análise macro, e sempre teremos que
realizar a visita in loco ou presencial para que possamos realmente validar o processo mais
a fundo, identi cando atividades, metodologias e tarefas exercidas, que serão realizadas
conforme indicadores de criticidade de riscos, determinando o cronograma de revisão e
análise.
Uma vez elaborados os questionários para as áreas e os processos, devemos compilar os
dados obtidos para que possamos elencar os processos com maior criticidade conforme as
questões apresentadas. Se levarmos em consideração um questionário de 15 questões,
teremos respostas individuais com suas análises de riscos entre alto, médio e baixo,
conforme a percepção dos gestores entrevistados, frisando que a nossa opinião não deve
se sobrepor a do gestor. A tabela a seguir exempli ca um relatório com a compilação de
dados:

Tabela 9.3 – Relatório com compilação de dados

Nível de risco

Depto/Área Processo Responsável A M B

Jurídico Contratos Marcos Pereira 8 4 3

Tecnologia
Homologação Marcos Assi 8 3 4
da Informação

Jurídico Contencioso Marcos Pereira 7 5 3

Controladoria Tributário Marcos Oliveira 7 4 4

Tecnologia
Infraestrutura Marcos Assi 6 5 4
da Informação

Back Of ce Cadastro Marcos José 5 5 5

Back Of ce Formalização Marcos José 4 6 5

Recursos Humanos Treinamento Marcos Santos 4 4 7

Fonte: Elaborada pelo autor.

Para cada questionário apresentado, demonstramos a quantidade de respostas de riscos

alto, médio e baixo, fazendo um ranking de criticidade, nos mesmos moldes de quadro de
medalhas em competições olímpicas. Dessa forma podemos evidenciar as áreas e os
processos com maior nível de riscos. Sempre que possível, destacamos com as cores
vermelha (alto), amarela (médio) e verde (baixo), que já é uma forma padronizada de
apresentação de riscos em reuniões com gestores e alta administração.
Outro item importante é a demonstração de um grá co para cada tipo de pergunta, em
que apresentamos os riscos e as considerações dos gestores de uma forma mais
personalizada, ainda por criticidade versus processos, conforme o exemplo a seguir:

Grá co 9.1 – Possibilidade de fraudes

 Fonte: Elaborado pelo autor.

Durante as entrevistas, as áreas apontarão seus riscos. Ao apresentar as respostas por

questões e percentualmente quantos processos são de riscos alto, médio e baixo, torna-se
muito mais fácil identi car a criticidade, favorecendo o entendimento e acesso a todos os
que têm poder de decisão.
Quando falamos em probabilidade de perdas, devemos instituir uma régua de
probabilidade de falhas, lembrando mais uma vez que apresentamos sugestões que
facilitem a metodologia e forma de análise, como, por exemplo:

risco baixo – eventos mensais;

risco médio – eventos semanais;
risco alto – eventos diários.

Gostaria de destacar que os itens anteriores são eventos padrões. Caso a sua empresa
possua outra periodicidade, a avaliação deve ocorrer separadamente do processo, por isso
citamos relatórios que possuem periodicidade bimestral, trimestral, semestral, anual,
entre outras.
Outra informação de suma importância em gestão de riscos corporativos diz respeito ao
momento em que de nimos, com anuência da diretoria, a métrica de valores das perdas
conforme determina o apetite de riscos do negócio e de seus gestores; assim, podemos
citar, como exemplos, os valores a seguir:

risco baixo – valores de $ 0,01 a $ 50.000,00;

risco médio – valores de $ 50.000,01 a $ 100.000,00;
risco alto – valores acima de $ 100.000,01.
Quando de nimos a régua de perdas, ca muito mais fácil determinar os valores de
impacto de perdas nanceiras. Dessa forma, os clientes internos terão como padrão a
identi cação da criticidade. Outro passo é padronizar uma forma de apurar as perdas do
negócio e deixar o histórico de cálculo para revisões futuras.
Outra questão importante é que nem sempre temos o histórico de perdas; portanto, se
quisermos obter informações de perdas nanceiras, poderemos utilizar a metodologia de
quanto custa o dia da empresa parada, de acordo com a faixa de horas. Apresentamos o
Grá co 9.2 como exemplo:

Grá co 9.2 – Impacto de perdas

Fonte: Elaborado pelo autor.

Esse modelo é utilizado para análises iniciais e serve até mesmo para uma ideia do plano
de continuidade com base nas perdas possíveis, para provisão de riscos do negócio.
Quando apresentado dessa forma, ca mais objetiva a identi cação das perdas por
período de inatividade.

12 Aula sobre Técnicas de Análise de Risco. Faculdade de Tecnologia Senai Cimatec – Engenharia Elétrica.
Disponível em: https://www.docsity.com/pt/tecnicas-de-analise-de-risco-3/5208175/. Acesso em: 20 jan.
2021.
13 A sigla ESG advém do termo em inglês Environmental, Social and Governance – em português, ASG,
referindo-se a Ambiental, Social e Governança. No mundo dos investimentos, investimento ESG é aquele
que incorpora questões ambientais, sociais e de governança como critérios na análise, indo além das
tradicionais métricas econômico- nanceiras e, com isso, permitindo uma avaliação das empresas de forma
holística. Disponível em: https://conteudos.xpi.com.br/esg/. Acesso em: 21 jan. 2021.
Capítulo 10
Segurança da informação
10.1 Conceito
Todos os sistemas estão sujeitos a falhas, erros e mau uso de recursos em
geral. O sistema de informação é um valioso recurso para a organização.
Para que seja utilizado da melhor forma possível e esteja protegido contra
eventuais atos de violação e sinistros, é necessário que os controles sejam
considerados desde a fase da sua concepção.
Todos os controles são ferramentas que podem estar integradas ou não a
determinado sistema de informação aplicativo, visando à obtenção de
segurança contra ameaças presentes ou potenciais no ambiente de
tecnologia da informação.
A segurança da informação é um dos assuntos mais importantes entre as
preocupações de qualquer organização. Con dencialidade, con abilidade,
integridade e disponibilidade da informação estão diretamente ligadas à
segurança.
Segurança da informação é, atualmente, um dos mecanismos de maior
importância na promoção da integridade de uma estrutura de rede, na qual
trafeguem as informações e a base de dados, comuns e/ou restritas. Nessa
preocupação com segurança estão inclusos os hardwares que armazenam
tais informações.
É importante tornar essas informações con áveis e garantir que o seu uso
não trará nenhuma consequência danosa tanto para si como para outros
usuários da organização.
A elaboração de uma política de segurança da informação é uma tarefa
complexa e trabalhosa. Devido a alguns fatores, como monitoramento
contínuo, revisões e atualizações periódicas, seus benefícios muitas vezes só
serão notados em médio ou longo prazo.
Muitos entendem que a segurança da informação é causadora de geração de
custos. Entretanto, devido à dependência da tecnologia da informação, na
situação atual do mundo dos negócios, na qual o crescimento do uso de
tecnologias nos direciona na busca de redução dos custos e no aumento da
produtividade, com sistemas cada vez mais interligados, cria-se a
necessidade de tornar essa tecnologia segura e con ável.
É necessário desenvolver e implementar uma política de segurança da
informação em uma organização. A ISO 27000 demonstra que ela é de
extrema importância no combate às ameaças aos ativos de uma organização.
Vale a pena salientar que é um conjunto de diretrizes, normas e orientações
de procedimentos que visam conscientizar e orientar os funcionários,
clientes, parceiros, colaboradores e fornecedores para o uso seguro dos
ativos, que são as informações da empresa.
Como sugestão, necessitamos criar um grupo de trabalho ou uma comissão
composta de diversos pro ssionais dos principais departamentos da
empresa, pois, quanto mais abrangente for essa comissão, maior será a
divulgação das diretrizes de segurança na organização. É importante
salientar que, quanto mais abrangente for o grupo, maiores serão os
requisitos de segurança das atividades que ele exerce na organização.
Essa análise dos riscos de cada ativo deve considerar o impacto no negócio
causado por uma falha de segurança e a probabilidade de sua ocorrência.
Outro fator a ser considerado é que essa análise deve ser refeita
periodicamente de acordo com o ativo, para que se veri que como está a
situação do risco residual do ativo que pode ter aumento com o surgimento
de um novo risco.
Devemos fazer uma análise dos tipos de ativos que devem ser protegidos e a
quais dedicaremos esforços para aplicar os investimentos em segurança.
Também é importante lembrar que o custo da proteção do ativo não deve
ser maior que o valor nanceiro do ativo ou do impacto causado por uma
falha de segurança nesse ativo. Portanto, devemos avaliar o que proteger.
Com os ativos e seus respectivos riscos de nidos, passamos para a fase de
implementação dos controles necessários. Não podemos esquecer que os
controles variam de acordo com a necessidade de cada organização e eles
não eliminam os riscos, mas os minimizam para um percentual aceitável.
Esta obra busca evidenciar os riscos e seus controles; portanto, a política de
segurança é peça importante em uma gestão de compliance. A seguir
apresentamos algumas sugestões que devem fazer parte de uma política de
segurança da informação:

segurança organizacional;
gestão de ativos;
segurança física e do ambiente;
controle de acesso;
uso de intranet e internet;
dispositivos móveis;
acesso remoto;
utilização de e-mail corporativo;
utilização de impressoras;
acesso a datacenter;
realização, guarda e recuperação de backups;
aquisição, desenvolvimento e manutenção de sistemas de
informação;
gerenciamento de incidentes de segurança da informação;
gestão de continuidade de negócio;
conformidade e controles.

Existem, ainda, algumas atividades que demandam controles especí cos e

são essenciais em qualquer norma ou política, como:

direito de propriedade intelectual;

cuidados com os registros da organização;
 proteção dos dados e direito à privacidade das informações
pessoais.

A fase de análise de soluções, de hardware ou de so ware, é crítica. É

extremamente necessário que se escolham soluções que tragam um nível de
segurança proposto na política sem diminuir o nível de funcionalidade da
rede e sem que seu custo de implantação ultrapasse o valor disponível para o
projeto.
Um dos fatores que também deve ser analisado durante o processo de
desenvolvimento da política é a linguagem universal. Da mesma forma que
comentamos sobre o glossário de riscos, a política deve ser um documento
com linguagem clara e de fácil entendimento para que os colaboradores que
não atuam na área de segurança possam entender as necessidades da
organização.
Para que a segurança da informação tenha sucesso, é exigido o
comprometimento e apoio da alta administração, visto que uma abordagem
bottom up para as atividades de segurança tem pouca chance de sucesso, e
geralmente somente o top down obtém resultados, pois são assuntos a serem
tratados pela alta administração, como regulamentações, requisitos de
compliance e possíveis sanções.
A divulgação da política de segurança é outro fator muito importante para o
sucesso. Com ela, pode-se atingir toda a organização de uma forma
homogênea e ágil, com a realização workshops, palestras e treinamentos. O
sucesso depende do engajamento e do entendimento das necessidades da
organização. Por melhor que seja a política, a cultura de segurança é uma
prioridade.
As organizações possuem um conjunto de políticas que governam a forma
como realizam seus negócios. Podemos demonstrar por meio de camadas de
políticas corporativas, como:

Políticas gerais: con ito de interesses, segurança da informação e

continuidade de negócios.
 Políticas para aplicações: rotinas de backup, permissões de
acesso e acesso remoto.

Segundo Rezende (2009), gerir informações e conhecimento das teorias

demanda entender de:

relações humanas e comportamentais – pessoas;

desenvolvimento organizacional – estruturas e RH;
administração por objetivos – metas;
burocracia – formalismo, prioridades;
políticas especí cas por tópicos: uso de internet, e-mail e direitos
autorais;
estruturalista – organizacional;
matemática – algoritmos;
sistemas – integração das funções empresariais;
contingência – interdependências e alternativas.

Rezende (2009) faz menção a outras teorias e técnicas que in uenciam na

gestão das informações:

centralização e descentralização;
organização e departamentalização;
funções da administração/gestão;
administração do tempo;
administração do desempenho;
comportamento humano;
comunicação pessoal;
grupos formais e informais;
administração das diferenças (positivas e negativas);
reconhecimento e valorização;
 competitividade;
inteligência de negócios.

O grande desa o da segurança da informação nas organizações é encontrar

caminhos para tratar da globalização da economia, das questões de
competitividade e inteligência organizacional, da natureza da TI – avaliando
o baixo custo e a facilidade de uso –, dos novos tipos de aplicações e o modo
como as pessoas os utilizam, da arquitetura da informação e o modo como a
informação é tratada na forma de recurso estratégico.
Quem nunca achou que segurança da informação e segurança em TI fossem
sinônimos? Sabemos que segurança de TI é apenas uma parte da segurança
da informação, uma vez que a segurança em TI tem foco em tecnologia e
responsabilidade no nível do Chief Information O cer (CIO).
A segurança da informação tem como foco os universos de riscos,
benefícios e processos envolvidos com a informação. A responsabilidade é
da gerência executiva, apoiada pelo conselho, e lida com conteúdo,
informação e conhecimento. Deve ser uma estratégia organizacional para a
preservação e precisa acompanhar a estratégia para que haja progresso.
A política de segurança da informação traça a linha mestra e de ne a
estrutura e o propósito para todos os aspectos da segurança da informação.
Dentro da política, encontramos o objetivo para todos os controles a serem
implementados.
Se alguma norma ou algum procedimento for implementado sem que
atenda a algum requisito das diretrizes de segurança, ele deve ser revisto.
De acordo com o Aberdeen Group14:
Empresas que operam em níveis (de segurança) excepcionais baixam suas perdas nanceiras a
menos de 1% de seu faturamento, ao passo que outras empresas registram taxas de perda acima
de 5%.

O CobiT – DS5 menciona a questão de garantir segurança dos sistemas, que

determina:
A necessidade de manter a integridade das informações e proteger os ativos de TI requer um
processo de gestão da segurança. Este processo inclui a implantação e manutenção de papéis e
responsabilidades, políticas, padrões e procedimentos da segurança de TI. Gestão da segurança
 também inclui a execução de monitoramento e testes periódicos de segurança e a implementação
de ações corretivas para as vulnerabilidades e os incidentes de segurança identi cadas. A gestão
efetiva da segurança protege todos os ativos de TI e minimiza o impacto no negócio de
vulnerabilidades e incidentes de segurança.

Apresentamos alguns conceitos geralmente aceitos em segurança da

informação:

Con dencialidade
Integridade
Disponibilidade
Sensibilidade
Identi cação
Autenticação
Autorização
Não repúdio
Perímetro de segurança
Controle de acesso
Governança
Criticidade
Estratégia
Arquitetura
Gestão
Risco
Exposição
Vulnerabilidades
Ameaças
Risco residual
Impacto
Ataques
 Gap analysis
Controles
Contramedidas
Políticas
Padrões
Classi cação de dados
Auditabilidade (trilhas de auditoria ou log)
Métricas de segurança e monitoração
Análise de impacto nos negócios (BIA)
Análise de dependências nos negócios

Em muitos momentos em gestão de controles internos e de riscos,

necessitamos de algumas métricas – termo usado para denotar a adoção de
uma medida baseada em um referencial e envolve pelo menos dois pontos: a
medição e a referência – em segurança da informação.
Geralmente as métricas de segurança falham ao indicar o estado ou grau de
segurança relacionado a determinado ponto de referência. Por esse motivo,
buscamos as métricas de segurança efetivas. Nesse caso, é difícil ou
impossível gerir qualquer atividade que não seja mensurada. As métricas de
segurança incluem itens, como “tempo de parada por vírus”, “percentual de
servidores atualizados” e “número de servidores invadidos”; contudo,
nenhuma dessas medições mostra de fato como a segurança está
funcionando, pois a efetividade está na gestão da segurança da informação.
Em segurança, pode-se a rmar que algumas empresas são atacadas e podem
sofrer perdas mais frequentes que outras. Existe uma correlação sólida entre
a boa gestão, a prática em segurança e o número reduzido de incidentes e
perdas.
As ameaças à segurança da informação são cada dia mais eminentes, podem
ocorrer de diversas formas e por diversos motivos, mas a maioria não é
intencional. Algumas das ameaças mais comuns à segurança da informação
são:
 Erros e omissões: erros humanos de operação ou falha em
executar procedimentos de segurança.
Fraude e roubo: alteração de dados com nalidade fraudulenta ou
roubo de dados.
Hackers maliciosos ou crackers: invasores com (hackers) ou sem
(crackers) conhecimento avançado sobre computadores, que
normalmente querem algo mais do que simplesmente mostrar que
estão dentro de seu sistema.
Códigos maliciosos: todo e qualquer programa que vise causar
dados e/ou roubar dados de uma empresa ou causar um mal
funcionamento.
Ataques de negação de serviço: ataques de negação de serviço
visam somente comprometer a disponibilidade de uma entidade,
causando-lhe prejuízos.
Engenharia social: as pessoas podem se aproveitar de
características humanas, como o desejo de ajudar, a tendência a
con ar nas pessoas, o medo de retaliação e a tendência de não
seguir procedimentos para aumentar a produtividade, como colar
senha no monitor ou embaixo do teclado.

Algumas métricas devem ser estabelecidas durante a implementação do

programa de governança de TI. Os Key Gols Indicators (KGIs) e os Key
Performance Indicators (KPIs) podem ser úteis na obtenção de dados do
funcionamento do programa e dão indicações de quais objetivos já foram
alcançados.
O alinhamento estratégico da segurança da informação deve ser utilizado
como suporte aos objetivos da empresa. É um objetivo altamente desejável,
mas extremamente difícil de ser alcançado. O melhor indicador de que a
segurança está alinhada com os objetivos de negócio é o desenvolvimento de
uma estratégia de segurança que de na os objetivos de segurança em termos
de negócio e garanta que os objetivos estejam diretamente articulados desde
o planejamento até a implementação de políticas, padrões, processos e
tecnologia.
Portanto, alguns indicadores do alinhamento estratégico são essenciais,
como:

desenvolvimento de uma estratégia adequada;

um programa de segurança que demonstre de maneira clara a
viabilização de atividades de negócio;
uma organização de segurança que é sensível aos requisitos do
negócio;
objetivos organizacionais e de segurança de nidos e claramente
entendidos por todos os envolvidos em segurança e em áreas
relacionadas;
um comitê executivo de segurança com os executivos-chave que
possuem autonomia e autoridade para garantir o alinhamento da
segurança à estratégia do negócio.

10.2 As normas de segurança da informação

ISO/IEC 27001 e ISO/IEC 27002 e os seus
documentos eletrônicos
A norma ISO 27000 é um padrão internacional sobre as boas práticas na
gestão da segurança da informação, que levam empresas ao nível máximo de
excelência internacional em segurança da informação.
É um padrão para sistema de gestão da segurança da informação (ISMS –
Information Security Management System) publicado em outubro de 2005
pela International Organization for Standardization e International
Electrotechnical Commision.
Seu nome completo é ISO/IEC 27001:2005 – Tecnologia da informação –
técnicas de segurança – sistemas de gerência da segurança da informação –
requisitos, mais conhecido como ISO 27001.
Seu objetivo é ser utilizada em conjunto com a ISO/IEC 17799, o código de
práticas para gerência da segurança da informação, que lista os objetivos do
controle de segurança e recomenda um conjunto de especi cações de
controles de segurança.
Organizações que implementam um ISMS de acordo com as melhores
práticas da ISO 17799 estão simultaneamente em acordo com os requisitos
da ISO 27001, mas uma certi cação é totalmente opcional.
A ISO 27001 foi baseada no BS 7799, parte 2, e o substituiu, o qual não é
mais válido. A série ISO 27000 está de acordo com outros padrões de
sistemas de gerência ISO, como ISO 9001 (sistemas de gerência da
qualidade) e ISO 14001 (sistemas de gerência ambiental), ambos em acordo
com suas estruturas gerais e de natureza, a combinar as melhores práticas
com padrões de certi cação.
Certi cações de organização com ISMS ISO/IEC 27001 são um meio de
garantir que a organização certi cada implementou um sistema para
gerência da segurança da informação de acordo com os padrões.
Credibilidade é a chave de ser certi cado por uma terceira parte que é
respeitada, independente e competente. Essa garantia dá con ança à
gerência, parceiros de negócios, clientes e auditores de que uma organização
é séria no que se refere à gerência de segurança da informação – não
perfeita, necessariamente, mas rigorosamente no caminho certo de melhoria
contínua.
O ambiente de tecnologia da informação, ou TI, tem por característica ser
muito mais operacional que tático/estratégico dentro de uma organização.
Essa característica, que remonta ao aparecimento do computador, é
facilmente identi cada nos dias de hoje.
A TI sempre teve di culdade para a formalização de atividades e processos
de trabalho, ou mesmo na documentação de sistemas de informação, muitas
vezes pela ausência de cultura e conhecimento.
Esse aspecto prático de realizar uma ação e não registrá-la começou a ter
impacto quando surgiram as normas e boas práticas, que exigiam a
elaboração de documentos e evidências para os processos de auditoria.
A norma ISO/IEC 27001 (ABNT, 2006) é um desses exemplos, pois é uma
norma de certi cação que, por sua natureza, exige formalidade,
documentação e organização.
Documentar, dentro do ambiente de TI, signi ca elaborar documentos
eletrônicos, planilhas, inserir informações em sistemas e depois imprimir no
formato que for necessário.
Esse cenário ca mais acentuado quando a abordagem é feita pela norma
ISO/IEC 27002 (ABNT, 2005). Esta norma apresenta 133 controles de
segurança da informação que, em sua maioria, são apoiados por um
documento (eletrônico ou não). Na ISO 27000 temos duas normas mais
conhecidas:
ISO 27001: é um modelo focado em estabelecer, implantar, operar, monitorar, rever, manter e
melhorar um sistema de gestão da segurança da informação. Irá implementar os controles da ISO
27002. Traz o tema da implementação de segurança da informação dentro de uma abordagem de
processos que procura enfatizar aos usuários:

entendimento dos requisitos e a necessidade de se ter uma política da segurança da

informação;
implementação e operação de controles para gerenciamento dos riscos;
monitoramento do desempenho e da e cácia da política de segurança da informação;
promoção da melhoria contínua.

ISO 27002: código de práticas para segurança da informação. Está estruturada em 11 seções de
controles de segurança da informação que juntas totalizam 39 categorias. Cada seção a seguir tem
uma série de controles que podem ser implementados, dependendo do tamanho e da necessidade
de cada empresa. Cada categoria principal de segurança da informação contém:

um objetivo de controle, indicando o que precisa ser alcançado;

um ou mais controles que podem ser aplicados para alcançar o objetivo do controle.

A norma apresenta as seguintes seções de controles de segurança:

Política da segurança da informação

 Organizando a segurança da informação
Gestão de ativos
Segurança em recursos humanos
Segurança física do ambiente
Gestão das operações e comunicações
Controle de acesso
Aquisição, desenvolvimento e manutenção de sistemas de
informação
Gestão de incidentes da segurança da informação
Gestão da continuidade do negócio
Conformidade

10.3 Os bene cios da cer ficação em ISO

27001
Segundo o BSI (British Standards Institute), a informação é crítica para a
operação e talvez igualmente o seja para a sobrevivência da organização. Ser
certi cado pela ISO/IEC 27001 ajudará a gerenciar e proteger os valiosos
ativos da informação.
A ISO/IEC 27001 é a única norma internacional auditável que de ne os
requisitos para um sistema de gestão de segurança da informação (SGSI). A
norma é designada para assegurar a seleção de controles de segurança
adequados e proporcionais.
Ela ajuda a empresa a proteger seus ativos da informação e dar con ança a
todas as partes interessadas, especialmente seus clientes. A norma adota
uma abordagem de processo para estabelecimento, implementação,
operação, monitoramento, revisão, manutenção e melhoria de seu SGSI.
A ISO/IEC 27001 é aplicável a qualquer organização, grande ou pequena,
em qualquer setor ou parte do mundo. A norma é especialmente aplicável às
áreas em que a proteção da informação é crítica, como nanças, saúde,
setores públicos e de TI.
A ISO/IEC 27001 é também altamente e caz para organizações que
gerenciam informação em nome de terceiros, como empresas terceirizadas
de TI. Ela pode ser usada para garantir a seus clientes que suas informações
estão sendo protegidas.
A certi cação de seu SGSI na ISO/IEC 27001 pode trazer os seguintes
benefícios para a organização:

demonstra a garantia independente de seus controles internos e

que os requisitos de governança corporativa e de continuidade do
negócio estão sendo atendidos;
demonstra de modo independente que as leis e os regulamentos
aplicáveis são observados;
proporciona uma vantagem competitiva por cumprir requisitos
contratuais e demonstrar para seus clientes que a segurança da
informação é tratada com extrema importância pela organização;
de modo independente veri ca se os riscos organizacionais são
corretamente identi cados, avaliados e gerenciados, enquanto
formaliza os processos de segurança da informação, de
procedimentos e de documentação;
comprova o comprometimento da alta direção na segurança de
suas informações;
o processo de auditoria regular ajuda a empresa a monitorar
continuamente seu desempenho e sua melhoria.

Segundo o próprio BSI, para atingir esses benefícios, as organizações

necessitam mais do que simplesmente cumprir a ISO/IEC 27001 ou as
recomendações da norma do código de prática ISO/IEC 27002.
Ainda vale salientar a existência de benefícios adicionais quando tratamos
de certi car uma empresa em uma norma. Dentre os benefícios, podemos
citar:
 1. Redução do risco de responsabilidade pela não implementação de
um SGCI ou determinação de políticas e procedimentos.
2. Oportunidade de identi car e corrigir pontos fracos.
3. Assunção pela alta direção da responsabilidade pela segurança da
informação.
4. Possibilidade de revisão independentemente do sistema de gestão da
segurança da informação.
5. Oferta de con ança aos parceiros comerciais, partes interessadas e
clientes.
6. Melhor conscientização sobre segurança.
7. Combinação de recursos com outros sistemas de gestão.
8. Mecanismo para medir o sucesso do sistema.

10.4 Gestão de riscos de segurança da

informação – ISO 27005:2008
Segundo a ISO 27005, quando falamos em gestão de riscos de segurança da
informação, devemos entender que é uma necessidade em qualquer
organização avaliar as possibilidades da existência de uma ameaça que possa
explorar as vulnerabilidades dos seus ativos e, assim, comprometer a
con dencialidade, integridade e disponibilidade das informações de uma
organização.
Classi car riscos sempre irá esbarrar na oportunidade, na incerteza ou em
uma ameaça, que sempre estará relacionada a ocorrências de perdas.
Podemos citar perda nanceira, fraude, roubo, comprometimento da
imagem, infração legal, indisponibilidade de serviços, dentre outras
possibilidades. Portanto, gerenciar riscos é um dos principais processos da
gestão da segurança da informação, mas nunca faça sem antes entender seus
processos operacionais; a nal, como posso identi car o ativo da informação
sem entender como os processos são realizados? E quem é o dono da
informação, como é gerada e como é validada?
Veja como a importância do processo de gestão de riscos tem alterado a
forma de gestão de muitas organizações, tendo em vista que algumas
normas internacionais foram criadas com o intuito de nortear os conceitos e
as boas práticas de gerenciamento de riscos.
A utilização de normas de segurança da informação tem como foco garantir
que a organização está seguindo as principais diretrizes dos processos de
gestão da segurança da informação e possibilita que a organização seja
reconhecida pela utilização de boas práticas em gestão da segurança da
informação, ainda mais agora com todas essas questões de LGPD.
O âmbito de aplicação dessa norma deve ser para a organização como um
todo e avaliado para todos os processos internos, com a aplicabilidade de
gestão de TI e suporte da infraestrutura de TI, para que possamos atender
aos requisitos de um Sistema de Gestão de Segurança da Informação (SGSI).
A ISO/IEC 27005 de ne os processos de gestão de riscos como atividades
coordenadas para orientar e mensurar o risco de uma organização, pois,
para cada atividade da norma, são propostas diretrizes para implementação,
que segundo a norma devem:

de nir o escopo e os limites que serão levados em consideração na

gestão de riscos;
ser descritos os processos que fazem parte do escopo, garantindo a
identi cação dos ativos relevantes para a gestão dos riscos;
de nir o contexto que inclui determinar os critérios gerais de
aceitação dos riscos para a organização e as responsabilidades
para a gestão de riscos.

As atividades de análise e avaliação de riscos são subdivididas em outras três

atividades, identi cação de riscos, estimativa de riscos e avaliação de riscos.

Identi cação de riscos – proporcionar entendimento e

conhecimento dos eventos que possam causar algum impacto
negativo nos negócios da organização. Avalie os ativos, suas
vulnerabilidades e as ameaças que podem causar danos aos ativos,
 observe as consequências que as perdas de con dencialidade, de
integridade e de disponibilidade podem ter sobre os ativos.
Estimativa de riscos – nesta fase que determina que devemos
atribuir valor ao impacto que um risco pode ter e a probabilidade
de sua ocorrência, de forma qualitativa ou quantitativa, sempre
será complicado, pois projetar perdas sem dados estatísticos será
um limitador; portanto, estimar o risco através da combinação
entre a probabilidade de um cenário de incidente e suas
consequências vai fazer muita gente sair da zona de conforto e
queimar a massa cinzenta para obter algum número.
Avaliação de riscos – mais um grande desa o para os gestores e a
área de riscos determinarem a prioridade de cada risco através de
uma comparação entre os níveis estimados do risco e qual o nível
aceitável estabelecido pela organização; por isso, sua política de
gestão de riscos com a de nição do apetite a risco se faz presente
nesta etapa. Podemos realizar as avaliações com as seguintes
variáveis:
identi cação do risco;
identi cação dos ativos;
identi cação das ameaças;
identi cação dos controles existentes;
identi cação das vulnerabilidades;
identi cação das consequências;
análise do risco;
metodologia de análise do risco com base na ISO 31000;
consequências da avaliação;
avaliação da probabilidade do incidente;
determinação do nível de risco;
avaliação do risco.

Devemos veri car se a avaliação dos riscos está dentro dos padrões e
critérios estabelecidos pela organização. Caso não esteja satisfatória, a
atividade pode ser refeita de forma que possamos revisar, aprofundar e
detalhar ainda mais a avaliação, assegurando que os riscos possam ser
adequadamente avaliados.
Implementar controles para reduzir, reter, evitar ou transferir os riscos é
mais uma das etapas que podem auxiliar no sucesso do seu projeto; porém,
se o tratamento do risco não for satisfatório e não facilitar a obtenção de um
nível de risco residual aceitável, deve-se iniciar novamente a atividade ou o
processo até que os riscos residuais sejam devidamente identi cados,
explicados e aceitos pelos gestores da organização. O tratamento do risco
pode avaliar as seguintes variáveis:

modi cação do risco;

retenção do risco;
mitigação do risco;
divisão do risco;
monitoramento e revisão dos fatores de risco;
monitoramento da gestão de risco, revisão e sua melhoria.

Falar de aceitação do risco é fácil, difícil é convencer o dono do risco;

portanto, devemos registrar formalmente a aprovação dos planos de
tratamento do risco e os riscos residuais identi cados, juntamente com a
identi cação do responsável pela decisão.
Mais uma etapa de difícil conclusão é a parte de desenvolver os planos de
comunicação dos riscos para assegurar que todos tenham consciência sobre
os riscos e controles a serem adotados, geralmente todos reclamam, colocam
obstáculos, mas seja rme, senão seu projeto pode car à deriva.
Uma vez implementadas as etapas anteriores, devemos partir para o
monitoramento e a análise crítica de riscos, olhar periodicamente os riscos e
seus fatores para identi car eventuais mudanças no contexto, seja interno ou
externo. Então, certi car-se de que o processo de gestão de riscos de
segurança da informação e as atividades relacionadas estejam apropriadas
nos processos identi cados.
Vale salientar que a norma ISO/IEC 27005 não inclui uma metodologia
especí ca para a gestão de riscos de segurança da informação. Cabe a cada
organização de nir a sua melhor abordagem conforme o contexto,
complexidade, necessidade ou legislação na qual está inserida.

14 Aberdeen Group é o fornecedor-líder de fato baseado em pesquisas voltadas para a

cadeia de valor global impulsionada pela tecnologia.
Capítulo 11
Coletânea de artigos do autor – controles
internos e riscos
Segundo o IBGC, no Guia de Orientação para Gerenciamento de Riscos
Corporativos, o termo “risco” é proveniente da palavra risicu ou riscu, em
latim, que signi ca ousar (em inglês, to dare). Costuma-se entender risco
como possibilidade de “algo não dar certo”, mas seu conceito atual envolve a
quanti cação e quali cação da incerteza, tanto no que diz respeito às
“perdas” como aos “ganhos”, com relação ao rumo dos acontecimentos
planejados, seja por indivíduos, seja por organizações.
Quando investidores compram ações, cirurgiões realizam operações,
engenheiros projetam pontes, empresários abrem seus negócios e políticos
concorrem a cargos eletivos, o risco é um parceiro inevitável. Contudo, suas
ações revelam que hoje o risco não precisa ser tão temido: administrá-lo
tornou-se sinônimo de desa o e oportunidade.

Figura 11.1 – Gestão de risco operacional

 Fonte: Elaborada pelo autor.

O risco é inerente a qualquer atividade na vida pessoal, pro ssional ou nas

organizações e pode envolver perdas, bem como oportunidades. Em
nanças, a relação risco-retorno indica que, quanto maior o nível de risco
aceito, maior o retorno esperado dos investimentos.
O risco tanto é uma propriedade objetiva de um evento ou atividade, relativa
à probabilidade de ocorrência de um evento adverso bem de nido, quanto
uma construção social e cultural. Nesse caso, as prioridades não são
estabelecidas conforme números, mas conforme critérios de prioridade
instituídos pelos valores sociais e estilos de vida preferidos, lembrando que,
em uma mesma sociedade, poderá haver diferentes estilos.
Risco é a possibilidade de haver um acontecimento incerto, fortuito (ou
acidental, independe da vontade da empresa) e danoso (precisa haver
perda). Podemos citar o exemplo de cortar o dedo com uma faca de plástico:
parece impossível.
O risco está associado às leis de probabilidade, sempre podem ocorrer fatos
novos, inesperados. O risco tem de ser algo possível. Citamos como exemplo
a possibilidade de um avião cair. A ameaça é um risco na segurança
empresarial, pois é um evento capaz de produzir perdas reais e mensuráveis
por um padrão comum (é de nido pela empresa – desde a moeda corrente
até o desgaste de sua imagem interna ou externa).
Risco pode ser uma ou mais condições de variáveis com potencial
necessário de causar dano ao patrimônio da empresa, tangível ou intangível.
Muitos riscos são inerentes ao negócio, e a competência do pro ssional de
gestão de riscos e controle reside na seleção de quais riscos a empresa deve
tratar.
O risco é, portanto, inerente a qualquer atividade, pode ser de qualquer
natureza e ter dimensões e efeitos que podem ser negativos ou positivos. O
risco sempre estará presente, com baixo ou alto nível de perigo, depende das
medidas preventivas e de segurança existentes.
A aplicação do conceito de risco na interpretação de fenômenos denota, a
rigor, a rejeição do determinismo causal. Isso porque, com o seu uso, há a
admissão implícita do aleatório ou da intervenção do acaso. Ainda que
possa haver diferentes interpretações para o signi cado de “acaso”, sempre
haverá o reconhecimento de uma ignorância. E mesmo o fato de os
procedimentos matemáticos poderem oferecer uma dimensão para esse
“acaso”, aquela condição intrínseca de ignorância permanece.
Uma pergunta paira no ar: como ser resiliente? Entendo que seja descobrir o
segredo para contornar os riscos e contratempos nos negócios e promover a
pro ssionalização do gerenciamento da empresa, investindo em um plano
de negócios, desenhando um uxo de caixa, conhecendo todas as
possibilidades do empreendimento e possibilidades de perdas existentes.
Acreditamos que gestão de riscos e gestão de crises requerem visão no
ontem, no hoje e projeção no futuro, somente assim podemos efetuar uma
gestão empresarial responsável, com base em informação con ável que dê
suporte à tomada de decisões na organização.
Durante a pandemia, eu e minha amiga de pro ssão Roberta Volpato Hano
escrevemos um artigo para orientar nossos clientes e seguidores nas redes
sociais, a m de tornar possível algum ajuste operacional e melhorias nos
processos de gerenciamento de riscos e continuidade de negócios, quando
percebemos as inúmeras incertezas relacionadas aos impactos e,
principalmente, aos desdobramentos causados pela pandemia de Covid-19,
que afetou o mundo inteiro (e aqui no Brasil não foi diferente).
Identi camos que muitas empresas, independentemente do seu porte ou
complexidade dos negócios, precisavam avaliar seus processos de gestão, de
maneira que fossem baseados em suas realidades, bem como em seu apetite
ao risco, dadas as necessidades de manutenção de uxo de caixa e
atingimento, dentro do possível, dos objetivos estratégicos originalmente
desenhados para 2020 que, acreditamos, mudaram bastante, não é verdade?

Figura 11.2 – Apetite a riscos

 Fonte: Elaborada pelo autor.

Por esse motivo, acreditamos que, para o seu negócio ser sustentável nesse
imenso desa o, e haja desa o, tanto na mudança da gestão quanto na forma
de continuar o seu negócio, entendemos que a gestão de riscos deverá ter
seu papel com o grau de relevância para manutenção de seus produtos e
serviços, colaboradores e gestores, clientes e, por que não, seus fornecedores;
a nal, todos fazem parte de sua cadeia de valor.

Figura 11.3 – Cadeia de valor de Porter

Fonte: Elaborada pelo autor.

Para que possamos entender melhor, apresentamos o conceito de cadeia de

valor, que é um modelo que visa estruturar as atividades desenvolvidas por
uma organização, com o objetivo de criar valor para seus clientes. Esse
conceito foi desenvolvido pelo professor Michael Porter, da Harvard
Business School, em 1985, e consiste na criação de um uxograma para o
controle dos conjuntos de atividades de valor para que as empresas possam
analisar o funcionamento das relações entre elas. Nas questões de
mapeamento de riscos, facilita muito o entendimento dos processos de
negócios, seus controles, suas conformidades e a probabilidade de impactos
de perdas que podem ocorrer dentro de cada organização.
Nesse sentido, visando a que esse gerenciamento aconteça de modo
adequado, eu e Roberta Volpato damos como orientação considerar os
seguintes aspectos:

Estabelecer um comitê de gestão de crises, formado pelos

principais executivos e gestores da organização, de preferência
com reuniões matutinas diárias, para reavaliações tempestivas dos
cenários externos dentro da organização (citamos como exemplo
os avanços da Covid-19 e seus impactos no negócio).
Construir um plano de gestão de crises,15 associado a um plano de
recuperação e continuidade do negócio (incluindo possibilidades
de desastres e/ou situações externas; para isso, citamos, como
exemplo, a greve dos caminhoneiros e a pandemia da Covid-19).
Se o plano já existe e a empresa o considera desatualizado, ou
mesmo inapropriado para tratar a crise no momento presente,
não vale se ocupar com uma atualização agora, no momento
temos que agir de forma rápida, consciente e coordenada, é a
pedida do momento.
Depois de superados os problemas, um grupo de trabalho de sua
empresa, criado de modo multissetorial e liderado pelos membros
da alta direção, deverá, através do debate sobre os aprendizados
obtidos com o enfrentamento da crise, constatar as
vulnerabilidades dos processos de gestão e controles internos,
reconstruindo, dessa forma, um novo, coerente e efetivo plano de
gestão de crises.
A mesma lógica deve ser adotada para a avaliação dos riscos do
negócio: se isso ainda não faz parte da cultura do seu negócio, ou
se a avaliação está há muito tempo desatualizada, agora não é o
momento de se ocupar dela, até porque os aspectos estratégicos,
operacionais, nanceiros e regulatórios derivados da pandemia de
Covid-19 serão medidos apenas nas próximas etapas do seu
negócio; portanto, qualquer esforço envidado agora implicará
retrabalho logo à frente.
Na atual conjuntura, a organização deve se ocupar de “apagar
incêndios” (sem deixar, é claro, de fazê-lo de forma coordenada,
estratégica e mediante a reunião dos recursos humanos,
nanceiros e tecnológicos necessários), mas nada além disso. Os
detalhes, já que não priorizados até o momento, postergue para o
período de calmaria.
Quando se fala em riscos, automaticamente pensamos em
impactos. Caso a empresa, além de não ter avaliado previamente
seus riscos inerentes, também não tenha mapeado e calculado os
impactos à sua recuperação e continuidade, uma alternativa
rápida, que pode servir para tentar salvar o negócio, é a
renegociação com bancos, clientes e fornecedores (especialmente,
prazos e pagamentos), além da manutenção da execução dos
serviços e realização de entregas (pois, do contrário, isso pode
“matar” seu negócio).
Outra ferramenta rápida, que pode ser usada ainda que
temporariamente, para ajustar seu apetite e tolerância a risco, é a
construção de indicadores de performance e riscos para o
monitoramento contínuo, com o estabelecimento de gatilhos para
o acionamento de medidas de contingência e continuidade de
forma minimamente estruturada, mas lembre-se de aperfeiçoar
seus modelos em um futuro próximo.
O seu comitê de gestão de crises deve, nas reuniões diárias
obrigatórias que mencionamos de início, discutir o mapeamento
de cenários (já ouviram falar de “stress testing”?).16 Esses
momentos são essenciais para aprender com os problemas e
desenvolver possíveis soluções, especialmente para o caso de
prolongamento da crise, avaliando o apetite de risco e, o principal,
a tolerância do negócio a situações como a atual.
Implemente mecanismos internos de comunicação com
colaboradores, clientes e fornecedores. Realize o monitoramento,
 neste caso atual, sobre os avanços da Covid-19 e de seus impactos
para o negócio e a vida das partes interessadas, de preferência em
fontes seguras (cuidado com as fake news). Essa comunicação
deverá ser coesa e recorrente, realizada por porta-vozes
especialmente escolhidos para essa nalidade, de forma que todas
as partes interessadas, de dentro e de fora da organização, tenham
acesso ao mesmo conteúdo e ao mesmo tempo. Isso certamente
evitará vazamentos de dados descontextualizados e, até mesmo,
especulações promovidas por pessoas que não estão
su cientemente inteiradas do contexto e dos planos de ação
adotados pela organização, além de cenários de pânico e incerteza.

O principal desa o é fazer com que a estratégia global e a perspectiva de

risco sejam comunicadas e entendidas por todos em todos os níveis da
organização, re etindo no processo de tomada de decisões, uma vez que
todos devem entender e identi car os riscos inerentes a nossas atividades, e
somente com essa conscientização poderemos gerenciá-los melhor.
O risco, portanto, tem como principal característica a probabilidade de
ocorrer ou não, dada determinada alternativa escolhida pelo gestor. Por essa
ótica, o risco pode ser interpretado como uma ameaça ao alcance dos
objetivos organizacionais. As categorias de riscos a que uma atividade está
exposta dependem da natureza dessa atividade e de como tratamos a sua
possibilidade.
A gestão de riscos proporciona um processo de conhecimento dos limites
dos negócios, seus impactos, das possíveis perdas e das oportunidades que
possam surgir; por isso, entendemos que um bom processo demanda uma
resiliência organizacional em um nível mais estratégico. A resiliência pode
representar a habilidade da empresa em alterar suas estratégias de maneira
dinâmica ou até mesmo reinventar seu modelo de negócio visando a uma
adaptação do seu modelo de negócios e processos internos.

Figura 11.4 – Resiliência organizacional

 Fonte: Elaborada pelo autor.

Entendemos que uma gestão de riscos bem estabelecida começa com boa
comunicação, pois, dessa forma, todos estarão “na mesma página”, sabendo
apenas o que for realmente útil, verdadeiro e necessário para que prossigam
trabalhando de modo seguro e, ao mesmo tempo, auxiliando a empresa no
atingimento dos objetivos de seu plano de gestão de crises e de continuidade
dos negócios.
É provável que, quando chegarmos ao m da crise provocada pela
pandemia, as organizações que a ela sobreviverem se deparem com algumas
baixas e perdas, mas esperamos que esses dados, mesmo negativos, não
tenham destaque maior do que os aprendizados que advierem com o
período.
Entendemos que esse aprendizado faça sentido de verdade. A nossa sugestão
é revisitar os processos operacionais de sua empresa no que tange ao sistema
de controles internos, compliance, gestão de riscos, gestão de crises e gestão
da continuidade de negócios. Fica a nossa dica: jamais negligencie a
importância de se preocupar com a melhoria contínua e com correções
necessárias que, se detectadas e implementadas imediatamente, garantirão
valor agregado e perenidade.
Implementação da LGPD: por onde começar?
Controlador, operador e encarregado: estes pro ssionais são fundamentais nas empresas que
pretendem implantar a LGPD

Agosto foi de fortes emoções para os especialistas e para as empresas, tendo

em vista os acontecimentos do m do mês. Vamos por partes para que
possamos entender essa insegurança jurídica sobre a Lei Geral de Proteção
de Dados (LGPD).
A Lei n. 13.709, conhecida como Lei Geral de Proteção de Dados Pessoais
(LGPD), foi sancionada pelo ex-presidente Michel Temer em agosto de 2018
e tinha como prazo de início agosto de 2020, mas, devido à pandemia,
algumas mudanças ocorreram e tínhamos uma Medida Provisória n.
959/2020 que aguardava aprovação na Assembleia Legislativa Federal. No
dia 25 de agosto, a Câmara dos Deputados nalmente votou e aprovou a
Medida Provisória n. 959/2020, texto que pretendia adiar a entrada da Lei
Geral de Proteção de Dados (LGPD) para maio de 2021, porém a MP foi
alterada propondo uma redução no prazo de adiamento para o dia 31 de
dezembro deste ano.
No dia seguinte (isso mesmo no dia 26 de agosto), foi a vez de o Senado
apreciar o projeto e, para nossa surpresa de novo, os senadores decidiram
eliminar o artigo que tratava da LGPD. Com isso, a norma brasileira de
proteção de dados deveria entrar em vigor assim que a MP n. 959/2020 fosse
sancionada ou vetada pelo presidente Jair Bolsonaro.
Então, em 27 de agosto, foi publicado no Diário O cial da União o decreto
que aborda a estrutura regimental da Autoridade Nacional de Proteção de
Dados (ANPD), órgão que será responsável por garantir o cumprimento da
lei. Mas vale a pena salientar que as penalidades da LGPD só poderão ser
aplicadas a partir de agosto de 2021; portanto, o Brasil não é para amadores,
precisamos de muita gestão para suportar a nossa instabilidade jurídica e
operacional para as empresas.
A Lei Geral de Proteção de Dados Pessoais (LGPD ou LGPDP), Lei n.
13.709/2018, é a legislação brasileira que regula as atividades de tratamento
de dados pessoais e que também altera os artigos 7º e 16 do Marco Civil da
Internet. Assim, o Brasil passou a fazer parte dos países que contam com
uma legislação especí ca para proteção de dados e da privacidade dos seus
cidadãos.
Outros regulamentos similares à LGPD no Brasil são o General Data
Protection Regulation (GDPR) na União Europeia, que passou a ser
obrigatório em 25 de maio de 2018 e aplicável a todos os países da União
Europeia (UE).
A lei determina que o tratamento de dados deve ser entendido como
qualquer procedimento que envolva a utilização de dados pessoais, tais
como a coleta (cadastro), a classi cação, a utilização, o processamento, o
armazenamento, o compartilhamento, a transferência, a recuperação, a
eliminação, entre outras ações.
Portanto, é importante salientar que todo esse processo exige a presença de
pelo menos três guras essenciais que as empresas deverão conter em seu
quadro pro ssional:

controlador – toma as decisões sobre o tratamento dos dados;

operador – coloca em prática as decisões do controlador;
encarregado – tem a missão de fazer a “ponte” entre o controlador,
a pessoa dona dos dados e a agência governamental responsável
pela scalização da lei.

Figura 11.5 – A LGPD

 Fonte: Elaborada pelo autor.

Cabem, nesse momento, alguns esclarecimentos. Nada impede que o

controlador exerça a atividade por conta própria, tornando-se, ao mesmo
tempo, controlador e operador. Porém, será o controlador que deverá
indicar o encarregado pelo tratamento de dados pessoais, conforme o art. 41
da lei que diz o seguinte:
O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
§ 1º A identidade e as informações de contato do encarregado deverão ser
divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio
eletrônico do controlador.
Portanto, quando indicado, o encarregado terá sua identidade e informações
de contato publicadas, de forma clara e objetiva, no site do controlador. É o
que diz a lei.
Não restam dúvidas de que o encarregado é uma das grandes novidades da
lei, além de uma das mais importantes inovações. Na legislação brasileira, o
Data Protection O cer (DOP) é chamado de Encarregado de Proteção de
Dados Pessoais, podendo também ser chamado de Chief Privacy O cer
(CPO), pois a de nição está no art. 5º, inciso VIII:
Para os ns desta Lei, considera-se:
Encarregado: pessoa indicada pelo controlador e operador para atuar como
canal de comunicação entre o controlador, os titulares dos dados e a
Autoridade Nacional de Proteção de Dados (ANPD).
Para que a informação não que pela metade, devemos demonstrar que as
suas atividades também estão descritas no art. 41, § 2º da LGPD:
As atividades do encarregado consistem em:
I – Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e
adotar providências;
II – Receber comunicações da autoridade nacional e adotar providências;
III – Orientar os funcionários e os contratados da entidade a respeito das
práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – Executar as demais atribuições determinadas pelo controlador ou
estabelecidas em normas complementares.

Figura 11.6 – As atividades do encarregado

Fonte: Elaborada pelo autor.

Para que possamos complementar a informação, trazemos aqui o art. 39 da

GDPR, que esclarece de forma bem clara:
Funções do encarregado da proteção de dados:
1. O encarregado da proteção de dados tem, pelo menos, as seguintes funções:
a) Informar e aconselhar o responsável pelo tratamento ou o subcontratante,
bem como os trabalhadores que tratem os dados, a respeito das suas obrigações
nos termos do presente regulamento e de outras disposições de proteção de
dados da União ou dos Estados-Membros;
b) Controlar a conformidade com o presente regulamento, com outras
disposições de proteção de dados da União ou dos Estados-Membros e com as
políticas do responsável pelo tratamento ou do subcontratante relativas à
proteção de dados pessoais, incluindo a repartição de responsabilidades, a
sensibilização e formação do pessoal implicado nas operações de tratamento de
dados, e as auditorias correspondentes;
c) Prestar aconselhamento, quando lhe for solicitado, no que respeita à
avaliação de impacto sobre a proteção de dados e controla a sua realização nos
termos do artigo 35;
d) Cooperar com a autoridade de controle;
e) Ponto de contato para a autoridade de controle sobre questões relacionadas
ao tratamento, incluindo a consulta prévia a que se refere o artigo 36, e
consulta, sendo caso disso, esta autoridade sobre qualquer outro assunto.
Então, se você tem a intenção de fazer a implementação, deve se enquadrar
nas exigências da lei, e as empresas terão que fazer algum investimento, seja
em tecnologia ou em capacitação de seus pro ssionais internos, para a
implementação de uma estrutura adequada e uma política interna de
compliance digital acerca do tratamento de dados de seus clientes. Isso vale
tanto para empresas do setor público quanto do setor privado.
Vale como dica que a primeira ação a ser tomada é um diagnóstico da sua
organização com sua equipe de TI juntamente com a área de controles
internos, riscos e compliance – sejam da própria empresa ou terceirizada –
com relatórios de análises de risco e de análises de impacto das novas
exigências. Com isso, será possível veri car em qual estágio a empresa se
encontra nesse sentido, quais são os pontos mais vulneráveis de seus
sistemas e constatar quais são os maiores fatores de risco.
Tendo em vista algumas informações publicadas ultimamente, devemos
dizer que, para estar em compliance com a LGPD (ou com a GDPR), não se
trata apenas de revisão de políticas e contratos. É uma mudança complexa
de cultura e na forma de fazer gestão de dados, momento mais que
oportuno de conhecer melhor seu negócio e como as informações estão
uindo dentro e fora do negócio, tendo em vista que temos ainda um
processo de home o ce em pleno movimento dentro das organizações.
Devemos avaliar cada processo, identi cando suas diversas etapas, tais como
avaliação de impacto, organização de banco de dados, implementação de
mecanismos de segurança (proteção de invasão, criptogra a, duplo fator de
autenticação, mudança de autorizações de acesso etc.), treinamento de
colaboradores internos e terceiros, adequação de políticas internas e
contratos, plano de resposta a incidentes, dentre várias outras etapas que
envolvem tempo e trabalho para um resultado con ável e adequado à
realidade da empresa. Não é algo que se faça “do dia para a noite”.
Devemos avaliar inúmeros itens previstos na lei, podemos citar alguns:

aplicabilidade da LGPD em nosso negócio e de terceiros;

titularidade dos dados, como e quando avaliar;
nalidade do tratamento dos dados, quem vai fazer;
forma de armazenamento dos dados, como, quando e onde;
compartilhamento dos dados, ferramentas de monitoramento;
dados considerados sensíveis, geralmente estarão no RH.

Outra dica essencial é realizar a classi cação de dados, de acordo com a

seguinte ordem:

Mapeamento de dados, utilizando o 5W2H, se quiser.

Onde estão armazenados os dados pessoais?
Quais processos tratam dados pessoais?
Consentimento para o uso dos dados, como fazer e com quem.
Acesso aos dados, quem pode, como e quando acessar.
Atualização, correção e exclusão, responsabilidades e obrigações.
Portabilidade, como orientar o cliente sobre suas políticas.
Proteção dos dados internos e de terceiros.
Direito ao esquecimento, cuidado ao apagar o passado.
Devemos nos preparar para que tenhamos um processo de segurança
jurídica, com base nas exigências e penalidades da lei, observando:

Quais são as sanções previstas na lei?

Que tipo de documentação é exigida?
Como devemos e podemos guardar as evidências?
Alguns cuidados contratuais na venda de bens e serviços.
Como podemos compartilhar os dados?
Gestão de terceiros.
Como identi car e tratar os dados de menores?
Quais tipos de seguro para cobertura de multas e o que fazer para
que o incidente esteja coberto?

É importante entender que devemos interpretar o que diz a lei, pois a GDPR
entende que o DPO tem atividades implícitas por extensão natural do cargo.
E isso é muito importante: evidenciar como poderemos manter registro das
operações de tratamento de dados e como deveremos informar,
regularmente, a conformidade e os riscos à alta administração e,
principalmente, como manter a sinergia dos processos em conjunto com
controles internos, compliance, riscos e auditoria interna.
Dessa forma, o encarregado estimula o tratamento de dados pessoais, mas
não trata os dados, tem como principal função orientar todos sobre as
melhores práticas de privacidade e deverá ser o canal de comunicação,
adotando todas as providências necessárias para o controlador car em
conformidade com a legislação e colaborar na revisão do código de conduta
com os itens para proteção dos dados pessoais.
Segundo alguns especialistas, algumas posições podem ser con itantes com
a função de DPO, tais como CEO, COO, CFO, coordenador de marketing,
coordenador de RH, coordenador de TI, somente para citar alguns.
Contudo, sempre devemos avaliar o porte da organização e se existem
condições de estabelecer essa independência.
Todos têm que indicar o encarregado de dados? A princípio sim. Segundo a
lei, a ANPD poderá dispensar a necessidade de indicação do DPO,
conforme a natureza, o porte da entidade ou o volume de operações de
tratamento de dados. Como ainda não temos nenhuma de nição do
regulador no Brasil, devemos aguardar o que virá pela frente.
Outro item muito importante é o Art. 44 da lei que determina:
O tratamento de dados pessoais será irregular quando deixar de observar a
legislação ou quando não fornecer a segurança que o titular dele pode esperar,
consideradas as circunstâncias relevantes, entre as quais:
I – O modo pelo qual é realizado;
II – O resultado e os riscos que razoavelmente dele se esperam;
III – As técnicas de tratamento de dados pessoais disponíveis à época em que
foi realizado.
Parágrafo único. Responde pelos danos decorrentes da violação da segurança
dos dados o controlador ou o operador que, ao deixar de adotar as medidas de
segurança previstas no art. 46 desta Lei, der causa ao dano.
Em outras palavras, o DPO não será responsável pelo não cumprimento das
obrigações relacionadas ao tratamento de dados pessoais; porém, se passar
instruções inadequadas, que venham a gerar danos aos titulares de dados,
seja por negligência, alguma imperícia ou imprudência, poderá sim ser
responsabilizado, conforme já previsto no art. 43, III da referida lei.
Portanto, procure um encarregado de dados ou DPO que possa:

transitar bem entre diferentes públicos;

traduzir linguagem técnica e jurídica para o público em geral;
ter conhecimento sobre gestão de riscos e governança;
ter familiaridade com tecnologia;
saber trabalhar em equipe;
ter conhecimento da legislação;
ter conhecimento sobre privacidade e segurança da informação.
Para nalizar, deve ter algumas noções de governança de TI e gestão de
segurança da informação, pois, sem isso, os incidentes cam muito mais
evidentes a cada dia. Portanto, devemos identi car:

procedimentos internos com os papéis e as responsabilidades na

proteção dos dados;
quais as tecnologias usuais para a garantir a privacidade e a
con dencialidade das informações;
quais os tipos de análise de vulnerabilidades temos e quais as
métricas de segurança da informação implementadas;
se existe o engajamento da alta gestão da empresa;
quais os papéis e as responsabilidades do encarregado pela
proteção dos dados (DPO) se você tiver alguém para a função;
gestão de crises e noções de respostas a incidentes com revisão da
ISO 27001;
matriz de análise de riscos e medidas de prevenção e correção;
os cuidados na preservação de evidências.

Figura 11.7 – Matriz de riscos e mapeamento de processos

Fonte: Elaborada pelo autor.

Pelos motivos listados, acreditamos que muitas empresas ainda estão aquém
de poder implementar um processo interno, tendo em vista que muitas
nunca se preocuparam com a ISO de segurança da informação, ou com a
implementação de processos de governança de TI. Muitas nem sequer
olharam o marco civil de internet, que poderia auxiliar nesse momento.
Fica aqui nossa dica de como fazer um processo com base em mapeamento
de processos, implementação de controles internos, uma gestão de
compliance voltada para riscos e uma mudança de postura de todos no que
tange à necessidade de melhoria dos negócios.

15 Para quem busca um guia prático de construção de um plano de gestão de crises,

recomendamos o download do e-book desenvolvido pela CEO do Studio Estratégia, Roberta
Volpato Hanoff, disponível no link: https://studioestrategia.com.br/2020/03/17/guia-pratico-
para-gestao-de-crises-no-ambiente-organizacional/.
16 O processo de stress testing é amplo e pode ser aplicado a qualquer empresa. É um meio
de veri car como seu patrimônio ou os ativos de uma carteira seriam afetados de acordo
com diferentes cenários que pudessem acontecer, trazendo para o modelo de negócios uma
visão das nanças por meio de uma simulação com os principais indicadores de juros,
moedas, ações, crédito, inadimplência, atividade econômica, en m, todas as variáveis que
possam afetar seus investimentos e negócios.
Lista de abreviaturas e siglas
AAA: American Accounting Association (Associação Americana de
Contadores)
AICPA: American Institute of Certi ed Public Accountants (Instituto
Americano de Contadores Públicos Certi cados)
ANS: Agência Nacional de Saúde Suplementar
Anvisa: Agência Nacional de Vigilância Sanitária
Bacen: Banco Central do Brasil
BIA: Business impact analysis (Análise de impacto nos negócios)
BSC: Balanced scorecard
CEO: Chief executive o cer
CFC: Conselho Federal de Contabilidade
CFO: Chief nancial o cer
COSO: Committee of Sponsoring Organizations – Treadway Comission
(Comitê de Organizações Patrocinadoras)
COBIT: Control Objectives for Information and related Technology
(Objetivos de Controles de Informações relacionados à Tecnologia)
CPA: Certi ed Public Accountants (Contadores Públicos Certi cados)
CPC: Comitê de Pronunciamentos Contábeis
CSA: Control Self-Assessment
CRC: Conselho Regional de Contabilidade
CVM: Comissão de Valores Mobiliários
ERP: Enterprise Resource Planning
Fipeca : Fundação Instituto de Pesquisas Econômicas, Contábeis, Atuariais
e Financeiras
FMEA: Failure Mode and E ect Analysis
GAAP: Generally Accepted Accounting Principles
IASB: International Accouting Standard Board
IBGC: Instituto Brasileiro de Governança Corporativa
IIA: Institute of Internal Auditors – Instituto dos Auditores Internos do
Brasil
IFAC: International Federation of Accountants (Federação Internacional de
Contadores)
IFRS: International Financial Reporting Standard (Padrão Internacional de
Relatórios Financeiros)
IMA: Institute of Management Accountants (Instituto dos Contadores
Gerenciais)
ISACA: Information Systems Audit and Control Foundation (Fundação de
Controles e Auditoria de Sistema de Informação)
ISO: International Organization for Standardization
KPI: Key Performance Indicator
NBC: Normas Brasileiras de Contabilidade
OCDE: Organization for Economic Cooperation and Development
(Organização para a Cooperação e Desenvolvimento Econômico)
PCGA: Princípios contábeis geralmente aceitos
PED: Processamento eletrônico de dados
Previc: Superintendência Nacional de Previdência Complementar
PUC-SP: Pontifícia Universidade Católica de São Paulo
SAS: Statement on Auditing Procedures (Demonstração de Procedimentos
de Auditoria)
SEA: Security Exchange Act
SEC: Security and Exchange Commission
SLM: Service Level Management (Gerenciamento de nível de serviço)
SOX: Lei Sarbanes-Oxley
Susep: Superintendência de Seguros Privados
USGAAP: Generally Accepted Accounting Principles (United States)
USSG: U.S. Federal Sentencing Guidelines
Referências
ABNT – Associação Brasileira de Normas Técnicas. Tecnologia da
informação – Técnicas de segurança – Requisitos. ABNT NBR ISO/IEC
27001. Rio de Janeiro, 2006.
ABNT – Associação Brasileira de Normas Técnicas. Tecnologia da
informação – Técnicas de segurança – Código de prática para a gestão da
segurança da informação. ABNT NBR ISO/IEC 27002. Rio de Janeiro,
2005.
ABNT – Associação Brasileira de Normas Técnicas. Tecnologia da
informação – Técnicas de segurança – Gestão de riscos de segurança da
informação. ABNT NBR ISO/IEC 27005. Rio de Janeiro, 2018.
ABNT – Associação Brasileira de Normas Técnicas. Risk management and
guidelines – ABNT NBR ISO/IEC 31000. Rio de Janeiro, 2018.
AICPA – American Institute of Certi ed Public Accountant. SAS Statement
on
ASSI, M. Controles internos e cultura organizacional. 3. ed. São Paulo:
Saint Paul, 2019.
ASSI, M. Gestão de compliance e seus desa os. 1. ed. São Paulo: Saint Paul,
2013.
ASSI, M. Governança, riscos e compliance. 1. ed. São Paulo: Saint Paul,
2017.
ASSI, M. Os controles internos e contábeis na gestão de tesouraria.
Dissertação de Mestrado apresentada à Pontifícia Universidade Católica de
São Paulo (PUC-SP), 2010.
BERNSTEIN, P. Desa o aos deuses: a fascinante história do risco. 3. ed. Rio
de Janeiro: Campus, 1996.
BORGUERTH, V. M. da C. SOX – entendendo a Lei Sarbanes-Oxley. 1. ed.
São Paulo: ompson, 2007.
BOYNTON, W. C.; JOHNSON, R. N.; KELL, W. G. Auditoria. 1. ed. São
Paulo: Atlas, 2002.
BSI – British Standards Institution, ISO/IEC 27001. Segurança da
Informação. Disponível em: http://www.bsibrasil.com.br/certi cacao/.
Acesso em: 10 jan. 2021.
COMMITTEE of Sponsoring Organizations of the Treadway Commission
(COSO). Internal Control – Integrated Framework, USA. Disponível em:
www.coso.org. Acesso em: 10 jan. 2021.
COMMITTEE of Sponsoring Organizations of the Treadway Commission
(COSO). COSO ERM – Enterprise Risk Management – Integrated
Framework, USA. Disponível em: www.coso.org. Acesso em: 10 jan. 2021.
CONSELHO Federal de Contabilidade. Normas Brasileiras de
Contabilidade. 2011.
DIAS, S. V. dos S. Auditoria de processos organizacionais: teoria,
nalidade, metodologia de trabalho e resultados esperados. São Paulo: Atlas,
2006.
FEBRABAN – Federação de Bancos Brasileiros. Melhores práticas na
gestão do risco operacional. Disponível em: www.febraban.org.br. Acesso
em: 10 jan. 2021.
GITIMAN, L. J. Princípios de administração nanceira. 10. ed. São Paulo:
Saraiva, 2004.
IBGC – Instituto Brasileiro de Governança Corporativa. Código das
melhores práticas de governança corporativa. 5. ed. São Paulo, 2015.
IBGC – Instituto Brasileiro de Governança Corporativa. Caderno 19.
Gerenciamento de riscos corporativos: evolução em governança e
estratégia. 1. ed. São Paulo, 2017.
IFAC – International Federation of Accountants. Compliance program.
Disponível em: www.ifac.org. Acesso em: 10 jan. 2021.
Kaplan, Robert S.; Norton, David P. Estratégia em ação – Balanced
Scorecard. Rio de Janeiro: Campus, 1997.
KAPLAN, R. S.; NORTON, D. P. Organização orientada para a estratégia:
como as empresas que adotam o balanced scorecard prosperam no novo
ambiente de negócios. Rio de Janeiro: Campus, 2000.
KNIGHT, Frank H. Risk, uncertainty and pro t. 7. ed. Boston: Houghton
Mi in Company, e Riverside Press, Cambridge, 10 ago. 2008.
KPMG Forensic. A fraude no Brasil. Disponível em:
www.kpmg.com.br/publicacoes/forensic/Fraudes_2016_port.pdf. Acesso
em: 15 dez. 2020.
MARTINS, E.; IUDÍCIBUS, S.de. A contabilidade não funciona? Revista de
Contabilidade. p. 38-45. São Paulo, 2004.
MIRANDA, W. Como elaborar instruções de trabalho ISO 9001:2008.
EBOOK 2008.
OLIVEIRA, A. M. S.; FARIA, A. O.; OLIVEIRA, L. M.; ALVES, P.S. L. G.
Contabilidade internacional – gestão de riscos, governança corporativa e
contabilização de derivativos. 1. ed. São Paulo: Atlas, 2008.
OLIVEIRA, L. M. de; PEREZ, J.; HERNANDEZ, J.; SANTOS, S. C. A. dos.
Controladoria estratégica. 4. ed. São Paulo: Atlas, 2008.
PADOVESE, C. Luís; BERTOLUCCI, R. G. Gerenciamento do risco
corporativo em controladoria. 2. ed. São Paulo: Cengage, 2013.
PAXSON, D.; WOOD, D. Encyclopedic dictionary of nance. (USA):
Blackwell, 2010.
REZENDE, D. A.; ABREU, A. F. de. Tecnologia da informação aplicada a
sistemas de informação empresariais. 6. ed. São Paulo: Atlas, 2009.
SANCHES, M. V. Sistemas de controles internos e de scalização em
demonstrações contábeis – uma análise crítica de normas especí cas.
Dissertação de Mestrado apresentada à Universidade de São Paulo (USP),
2007.
SARBANES-OXLEY. Financial and accounting disclosure information.
USA. Disponível em: www.sarbanes-oxley.com. Acesso em: 10 out. 2020.
SILVA Neto, L. de A. Derivativos – de nições, emprego e risco. 4. ed. São
Paulo: Atlas, 2006.
SOARES, I.; MOREIRA J.; PINHO C.; COUTO J. Decisões de investimento
– análise nanceira de projetos. Lisboa: Edições Sílabo, 2008.
STAMATIS, D. H. Failure mode and e ect analysis: FMEA from theory to
execution. 2. ed. Milwaukee: Quality Press, 2003.
TALEB, N. N. A lógica do Cisne Negro. Rio de Janeiro: Best Seller, 2008.
VIEIRA, J. A. Controles internos em organizações nanceiras – uma
comparação entre as normas brasileiras (BCB) e os princípios internacionais
(BIS/Basileia). Dissertação de Mestrado apresentada à Unifecap, São Paulo,
2005.
VIEIRA, S. S. C. Fraude nas empresas: prevenção e apuração. Dissertação
de Mestrado apresentada à Faculdade de Administração e Finanças do Rio
de Janeiro, 2000.
WEILL, P.; ROSS, J. W. Governança de TI, tecnologia da informação. São
Paulo: M. Books do Brasil, 2006.
WELLS, Joseph T. Corporate fraud handbook: prevention and detection.
New Jersey: John Wiley & Sons, 2004.