GOVERNANÇA CORPORATIVA E COMPLIANCE 1 Noções de governança corporativa. 1.1 Gestão de riscos. 1.

2
Processos de análise e tomada de decisão. 1.3 Gerenciamento de crises. 1.4 Agentes de governança. 1.5 Modelo das
três linhas de defesa. 2 Compliance. 2.1 Conceitos, suporte da alta administração, código de ética e canal de
denúncia. 2.2 Código de Ética e Conduta da AgeRio (Disponível no sítio da AgeRio na internet). 2.3 Resolução CMN nº
4.859/2020. 2.4 Resolução CMN nº 4.595/2017. 3 Noção de controles internos. 3.1 Noções da metodologia COSO
2013. 3.2 Resolução CMN nº 4.968/2021. 4 Legislação Anticorrupção. 4.1 Lei n° 12.846/2013, Decreto nº
11.129/2022. 5 Política de Confidencialidade. 5.1 Confidencialidade, disponibilidade e integridade da informação. 5.2
Lei nº 13.709/2018 e alterações – dispõe sobre a proteção de dados pessoais.

3 Noção de controles internos. 3.1 Noções da metodologia COSO 2013.

Controle interno é um processo conduzido pela estrutura de governança, administração e outros profissionais da
entidade, e desenvolvido para proporcionar segurança razoável com respeito à realização dos objetivos relacionados
a operações, divulgação e conformidade.

• Conduzido para atingir objetivos em uma ou mais categorias – operacional, divulgação e conformidade.
• Realizado por pessoas – não se trata simplesmente de um manual de políticas e procedimentos, sistemas e
formulários, mas diz respeito a pessoas e às ações que elas tomam em cada nível da organização para realizar o
controle interno.
• Capaz de proporcionar segurança razoável - mas não absoluta, para a estrutura de governança e alta administração
de uma entidade.
• Adaptável à estrutura da entidade – flexível na aplicação para toda a entidade ou para uma subsidiária, divisão,
unidade operacional ou processo de negócio em particular.

Componentes do controle interno:

1. Ambiente de controle: é um conjunto de normas, processos e estruturas que fornece a base para a
condução do controle interno por toda a organização. A estrutura de governança e a alta administração
estabelecem uma diretriz sobre a importância do controle interno, inclusive das normas de conduta
esperadas.
2. Avaliação de riscos: envolve um processo dinâmico e iterativo para identificar e avaliar os riscos à realização
dos objetivos. A avaliação de riscos requer ainda que a administração considere o impacto de possíveis
mudanças no ambiente externo e dentro de seu próprio modelo de negócio que podem tornar o controle
interno ineficaz.
3. Atividades de controle: são ações estabelecidas por meio de políticas e procedimentos que ajudam a
garantir o cumprimento das diretrizes determinadas pela administração para mitigar os riscos à realização
dos objetivos. Podem ter natureza preventiva ou de detecção e abranger uma série de atividades manuais e
automáticas, como autorizações e aprovações, verificações, reconciliações e revisões de desempenho do
negócio. A segregação de funções é geralmente inserida na seleção e no desenvolvimento das atividades de
controle.
4. Informação e comunicação: A administração obtém ou gera e utiliza informações importantes e de
qualidade, originadas tanto de fontes internas quanto externas, a fim de apoiar o funcionamento de outros
componentes do controle interno. A comunicação é o processo contínuo e iterativo de proporcionar,
compartilhar e obter as informações necessárias.
5. Atividades de monitoramento: Uma organização utiliza avaliações contínuas, independentes, ou uma
combinação das duas, para se certificar da presença e do funcionamento de cada um dos cinco
componentes de controle interno. As avaliações contínuas, inseridas nos processos corporativos nos
diferentes níveis da entidade, proporcionam informações oportunas. As avaliações independentes,
 conduzidas periodicamente, terão escopos e frequências diferentes, dependendo da avaliação de riscos, da
eficácia das avaliações contínuas e de outras considerações da administração

• A presença e o funcionamento de cada um dos cinco componentes e princípios relacionados. “Presença”

refere-se à determinação da existência dos componentes e princípios relacionados no desenho e na
implementação do sistema de controle interno para atingir objetivos especificados. “Funcionamento” refere-se à
determinação de que os componentes e princípios relacionados continuem a existir na operação e na condução
do sistema de controle interno para atingir objetivos especificados;

A Estrutura reconhece que, embora o controle interno proporcione segurança razoável quanto à realização dos
objetivos da entidade, existem limitações. O controle interno não é capaz de evitar julgamentos errôneos ou más
decisões, ou ainda eventos externos que impeçam a organização de atingir suas metas operacionais. Em outras
palavras, até mesmo um sistema eficaz de controle interno pode apresentar falhas. As limitações podem ser
resultado de: • adequação dos objetivos estabelecidos como uma condição prévia ao controle interno; •
realidade de que o julgamento humano na tomada de decisões pode ser falho e tendencioso; • falhas que
podem ocorrer devido a erros humanos, como enganos simples; • capacidade da administração de sobrepassar
o controle interno; • capacidade da administração, outros funcionários e/ou terceiros transpassarem os
controles por meio de conluio entre as partes; e • eventos externos fora do controle da organização.

COSOII (GESTÃO DE RISCO CORPORATIVO): acrescenta fixação de objetivos, identificação de eventos, avaliação e
resposta a risco. A Gestão de Riscos Coporativos é mais ampla que o controle interno, englobando o controle
interno e focando mais diretamente no risco. O controle interno é parte integrante do gerenciamento de risco
corporativo, enquanto o gerenciamento de risco corporativo é parte do processo geral de governança.

O gerenciamento de riscos corporativos é: • um processo contínuo e que flui através da organização; •

conduzido pelos profissionais em todos os níveis da organização; • aplicado à definição das estratégias; •
aplicado em toda a organização, em todos os níveis e unidades, e inclui a formação de uma visão de portfólio de
todos os riscos a que ela está exposta; • formulado para identificar eventos em potencial, cuja ocorrência poderá
afetar a organização, e • para administrar os riscos de acordo com seu apetite a risco; • capaz de propiciar
garantia razoável para o conselho de administração e a diretoria executiva de uma organização; • orientado para
a realização de objetivos em uma ou mais categorias distintas, mas dependentes.

Componentes do Gerenciamento de Riscos Corporativos:

1. Ambiente de controle;
2. Fixação de objetivos: os objetivos devem existir antes que a administração possa identificar os eventos em
potencial que poderão afetar a sua realização. O gerenciamento de riscos corporativos assegura que a
administração disponha de um processo implementado para estabelecer os objetivos que propiciem suporte
e estejam alinhados com a missão da organização e sejam compatíveis com o seu apetite a riscos;
3. Identificação de Eventos – os eventos internos e externos que influenciam o cumprimento dos objetivos de
uma organização devem ser identificados e classificados entre riscos e oportunidades;
4. Avaliação de Riscos – os riscos são analisados, considerando-se a sua probabilidade e o impacto como base
para determinar o modo pelo qual deverão ser administrados. Esses riscos são avaliados quanto à sua
condição de inerentes e residuais. Risco inerente é o risco que uma organização terá de enfrentar na falta de
medidas que a administração possa adotar para alterar a probabilidade ou o impacto dos eventos. Risco
residual é aquele que ainda permanece após a resposta da administração. A avaliação de riscos é aplicada
primeiramente aos riscos inerentes. Após o desenvolvimento das respostas aos riscos, a administração
passará a considerar os riscos residuais.
5. Resposta a Risco – a administração escolhe as respostas aos riscos - evitando, aceitando, reduzindo ou
compartilhando – desenvolvendo uma série de medidas para alinhar os riscos com a tolerância e com o
apetite a risco. As respostas a riscos classificam-se nas seguintes categorias:

6. Atividades de Controle – políticas e procedimentos são estabelecidos e implementados para assegurar que
as respostas aos riscos sejam executadas com eficácia.
7. Informações e Comunicações – as informações relevantes são identificadas, colhidas e comunicadas de
forma e no prazo que permitam que cumpram suas responsabilidades. A comunicação eficaz também ocorre
em um sentido mais amplo, fluindo em todos os níveis da organização.
8. Monitoramento – a integridade da gestão de riscos corporativos é monitorada e são feitas as modificações
necessárias. O monitoramento é realizado através de atividades gerenciais contínuas ou avaliações
independentes ou de ambas as formas.

Um evento é um incidente ou uma ocorrência gerada com base em fontes internas ou externas, que afeta a
realização dos objetivos. Os eventos podem causar impacto negativo, positivo ou ambos. Os eventos que geram
impacto negativo representam riscos. O risco é representado pela possibilidade de que um evento ocorrerá e
afetará negativamente a realização dos objetivos. Os eventos cujo impacto é positivo podem contrabalançar os
impactos negativos ou representar oportunidades. Oportunidade é a possibilidade de que um evento ocorra e
influencie favoravelmente a realização dos objetivos.

A nova versão do COSO ERM – também denominado como Framework, destaca a importância de considerar os
riscos tanto no processo de estabelecimento da estratégia quanto na melhoria da performance.
Quando o gerenciamento de riscos corporativos é integrado em toda a organização, podem ser obtidos muitos
benefícios, entre eles: Aumento do leque de oportunidades; Identificação e gestão do risco na entidade como
um todo; Aumento dos resultados positivos e da vantagem com a diminuição das surpresas negativas;
Diminuição da oscilação da performance; Melhor distribuição de recursos; Aumento da resiliência da empresa;

Componentes e princípios

1° COMPONENTE: GOVERNANÇA E CULTURA A Governança define o tom da organização, reforçando a

importância e estabelecendo responsabilidades de supervisão do gerenciamento de riscos corporativo. A cultura
perpassa por valores éticos, comportamentos desejáveis e entendimento do risco na entidade. O componente
Governança e Cultura possui 5 princípios:
a. Exerce supervisão do risco por intermédio do conselho — O conselho de administração supervisiona a
estratégia e cumpre responsabilidades de governança para ajudar a administração a atingir a estratégia e os
objetivos de negócios.
b. Estabelece estruturas operacionais
c. Define a cultura desejada
d. Demonstra compromisso com os valores fundamentais
e. Atrai, desenvolve e retém pessoas capazes

2° COMPONENTE: ESTRATÉGIA E DEFINIÇÃO DE OBJETIVOS: Gerenciamento de Riscos Corporativos, estratégia e

definição de objetivos trabalham juntos em um processo de planejamento estratégico. O apetite a risco é
estabelecido e alinhado com a estratégia; os objetivos do negócio colocam a estratégia em prática enquanto
servem de base para identificar, avaliar e responder a risco. O componente Estratégia e Definição de Objetivos
possui 4 princípios:
a. Analisa o contexto de negócios
b. Define o apetite a risco
c. Avalia estratégias alternativas
d. Formula objetivos de negócios

3° COMPONENTE: PERFORMANCE (OU DESEMPENHO): Riscos que possam impactar no atingimento da

estratégia e objetivos do negócio devem ser identificados e avaliados. Os riscos devem ser priorizados por
severidade no contexto do apetite a risco. A organização seleciona então as respostas a riscos e elabora um
portfólio com a quantidade de risco que resolveu assumir. O resultado desse processo é relatado às principais
partes interessadas.
a. Identifica o risco
b. Avalia a severidade do risco
c. Prioriza os riscos
d. Implementa respostas aos riscos
e. Adota uma visão de portfólio

4° COMPONENTE: ANÁLISE E REVISÃO: Por meio da revisão do desempenho da entidade, a organização pode
considerar quão bem os componentes do gerenciamento de riscos corporativos estão funcionando ao longo do
tempo e avaliar quais revisões são necessárias. O componente Revisão possui 3 princípios:
a. Avalia mudanças importantes
b. Analisa riscos e performance
c. Busca o aprimoramento no gerenciamento de riscos corporativos

5° COMPONENTE: INFORMAÇÃO, COMUNICAÇÃO, DIVULGAÇÃO: Gerenciamento de Riscos Corporativos requer

um processo contínuo de obtenção e compartilhamento necessário de informação, de fontes tanto internas
quanto externas, que circula por toda a organização. O componente Informação, Comunicação e Divulgação
possui 3 princípios:
a. Alavanca sistemas de informação
b. Comunica informações sobre riscos
c. Divulga informações de riscos, cultura e performance

Governança no setor público refere-se aos mecanismos de avaliação, direção e monitoramento; e às interações
entre estruturas, processos e tradições, as quais determinam como cidadãos e outras partes interessadas são
ouvidos, como as decisões são tomadas e como o poder e as responsabilidades são exercidos. Preocupa-se, por
conseguinte, com a capacidade dos sistemas políticos e administrativos de agir efetiva e decisivamente para
resolver problemas públicos.