Apresentação

Os controles internos exercem um papel de alta relevância para

as organizações. Estão presentes em todas as dimensões e, para
a sua efetividade, devem constituir parte das atividades dos
níveis de governança, bem como ser objeto de contínua ação de
todos os colaboradores e mesmo de terceiros.

Aqui, iremos tratar de vários aspectos dos controles

internos que deveriam ser considerados para a
busca da sua efetividade.
Os controles internos e o cumprimento
dos objetivos estratégicos, os mecanismos
de governança e o gerenciamento de riscos
e compliance
Os controles internos mantêm uma
relação direta com os objetivos da
organização, com sua governança
e com a condução de sua gestão.
Nesse sentido, podemos
considerar a definição dada
pelo COSO ICIF 2013 (sobre o
qual vamos tratar mais adiante):
controle interno
“é um processo conduzido
pela estrutura de governança,
administração e outros profissionais
da entidade, e desenvolvido para
proporcionar segurança razoável
com respeito à realização dos
objetivos relacionados a operações,
divulgação e conformidade.”

De forma alinhada com o COSO, a Resolução CMN no 4.968/2021, em seu art. 3o,
expressa que os “sistemas de controles internos devem ter como finalidade o
atingimento dos objetivos de:

I - desempenho: relacionado à eficiência e à efetividade no uso dos recursos nas

atividades desenvolvidas;

II - informação: relacionado à divulgação voluntária ou obrigatória, interna ou

externa, de informações financeiras, operacionais e gerenciais, que sejam úteis
para o processo de tomada de decisão;

III - conformidade: relacionado ao cumprimento de disposições legais,

regulamentares e previstas em políticas e códigos internos”.
Enfim, podemos dizer que os controles internos têm por
missão promover uma razoável segurança para que se
alcance os objetivos estratégicos, bem como o cumprimento
das metas corporativas e obrigações em todos os níveis
organizacionais. Ou seja, os controles internos permeiam
toda a organização.

Devem ser estruturados para garantir a eficiência e a eficácia

operacional e gerencial; minimizar os impactos materializados
de eventos adversos gerados pelos riscos aos quais o
negócio está exposto; tratar os desvios e encaminhar ações
corretivas; salvaguardar os ativos; manter a confiabilidade
(exatidão e fidedignidade) das informações financeiras
e a conformidade com as regulações e leis aplicáveis;
contribuindo também com a ética organizacional.

Se os controles internos são fundamentais para a

consecução dos objetivos estratégicos e, portanto,
fundamentais para a governança corporativa,
precisamos compreender como isso ocorre de forma
mais prática. Vejamos isso nos próximos pontos.
Controles internos e governança corporativa
A governança corporativa consiste em um sistema de princípios, estruturas e mecanismos que evidenciam como uma
organização é conduzida.

Assim, a governança envolve diferentes atores, como sócios, conselhos de administração e fiscal, diretoria, órgãos de
fiscalização e outras partes interessadas, bem como requer uma estrutura que seja adequada à instituição.
 O IBGC - Instituto Brasileiro de Governança Corporativa, no Código de
Melhores Práticas de Governança Corporativa – 5o Edição, aponta quatro
princípios para a governança corporativa, assim considerados:

Consiste no desejo de disponibilizar para as partes

interessadas as informações que sejam de seu
TRANSPARÊNCIA

interesse e não apenas aquelas impostas por

disposições de leis ou regulamentos.

Não deve restringir-se ao desempenho econômico-

financeiro, contemplando também os demais fatores
(inclusive intangíveis) que norteiam a ação gerencial e
que conduzem à preservação e à otimização do valor
da organização.
 Caracteriza-se pelo tratamento justo e

EQUIDADE
isonômico de todos os sócios e demais
partes interessadas (stakeholders), levando
em consideração seus direitos, deveres,
necessidades, interesses e expectativas.

Ou accountability: os agentes de

PRESTAÇÃO
DE CONTAS
governança devem prestar contas de
sua atuação de modo claro, conciso,
compreensível e tempestivo, assumindo
integralmente as consequências de seus
atos e omissões e atuando com diligência e
responsabilidade no âmbito dos seus papéis.
 Os agentes de governança devem zelar
RESPONSABILIDADE

pela viabilidade econômico-financeira das

CORPORATIVA

organizações, reduzir as externalidades

negativas de seus negócios e suas
operações e aumentar as positivas, levando
em consideração, no seu modelo de
negócios, os diversos capitais (financeiro,
manufaturado, intelectual, humano, social,
ambiental, reputacional etc.) no curto,
médio e longo prazos.

Esses princípios são norteadores dos

caminhos da arquitetura e das práticas
da governança.
Por sua vez, para conferir uma adequada
robustez e confiabilidade ao desempenho
e às práticas da governança corporativa,
no que tange ao monitoramento para
alcançar os objetivos estratégicos,
deveríamos contar com um sistema de
controles internos para fornecer garantia
razoável sobre o cumprimento das metas,
a manutenção dos níveis declarados
de apetite por riscos e a geração de
informações confiáveis que suportam a
tomada de decisões.

Portanto, o sistema de controles internos

é um dos instrumentos pelos quais a
governança corporativa exerce a sua
função de supervisão. A governança
corporativa desafia a estrutura de
controles quanto à sua eficácia e, com
isso, garante-se um círculo virtuoso que
se retroalimenta.
Estrutura de governança
A estrutura da governança corporativa caracteriza a instância superior
de decisão, supervisão e controle da instituição.

Essa estrutura deve ser adequada ao porte e à complexidade da

organização, considerando os requerimentos regulatórios aplicáveis e,
também, a segregação de funções para evitar o conflito de interesses.

A estrutura mais comum de governança corporativa é composta por:

Um dos principais atores da

governança corporativa. Tem a missão

Conselho de de assegurar os interesses dos acionistas e

prestar contas, proteger o patrimônio, maximizar o retorno dos
Administração investimentos, aprovar políticas, estratégias de negócios e o apetite
por riscos, assegurar a efetividade do ambiente de controles internos
da instituição, cobrar os resultados da diretoria. Cabe ao Conselho
prestar contas aos acionistas. Em geral, na ausência do conselho de
administração, o papel deste é cumprido pela diretoria.

Órgão de fiscalização da companhia, respondendo exclusivamente aos

acionistas e à assembleia geral, produzindo informações e pareceres
quanto à situação econômico-financeira e patrimonial da companhia,

Conselho
quanto à qualidade da governança, bem como quanto a eventos
específicos, definidos em lei, regulamentação ou estatuto, como

Fiscal propostas dos órgãos de administração, a serem submetidas

à assembleia geral, relativas à incorporação, à fusão
ou ao desmembramento (exemplo esse previsto na
regulamentação voltada às cooperativas de crédito).
 Tem a responsabilidade de implantar e conduzir as diretrizes e decisões
aprovadas pelo Conselho de Administração, viabilizando o atingimento
Diretoria dos objetivos estratégicos. As atividades finalísticas são amparadas por
processos de suporte, bem como por um conjunto de práticas voltadas ao
gerenciamento de riscos, aos controles internos e à manutenção de um
ambiente de conformidade.

Comitês de Comitês técnicos, seja por uma boa prática da governança ou por imposição

Assessoramento regulatória. São estabelecidos para assessorar o Conselho de Administração.

Alguns exemplos de comitês são elencados a seguir:
 Diferencia-se do Conselho Fiscal por ser um órgão de assessoramento
do Conselho de Administração. Supervisiona e desafia a atuação
Comitês de das auditorias interna e independente, monitora a qualidade das

Auditoria demonstrações financeiras, do sistema de controles internos, da

conformidade, da integridade e do gerenciamento de riscos da
instituição. Fornece confiabilidade às informações, protegendo a
instituição e as partes interessadas.

Comitês de Avalia a aderência da exposição a riscos e do capital aos níveis aprovados

como aceitáveis no âmbito da estratégia de negócios, avalia a estrutura de
Riscos e gerenciamento de riscos e de capital, desafia a qualidade das metodologias,
políticas e processos aplicados nesse gerenciamento.
de Capital
Conselho de Remuneração
Assessora o Conselho de Administração
avaliando se os incentivos de remuneração
são adequados, em todos os níveis da
instituição, com objetivo de manter
equilíbrio e evitar conflitos de interesses
entre os atores da governança corporativa
e demais funcionários, para alcançar as
metas estratégicas.

No caso das instituições financeiras a

regulação, tanto internacional quanto a local,
tem normas publicadas sobre o tema de
governança e alinhadas às melhores práticas
de governança corporativa.
Alta
Administração

O coração do processo decisório e de condução em uma

instituição financeira reside fundamentalmente no conselho de
administração e na diretoria.
Vale ressaltar que há diferentes regulamentações
estabelecendo atribuições específicas ao conselho de
administração, sendo que, na ausência deste, tais atribuições
recaem à diretoria.
Assim, aqui designamos, para fins didáticos, o conjunto desses
dois colegiados por Alta Administração.

Nada obstante, vale lembrar que essa designação pode

ter interpretação diferente, seja em regulamentações,
seja pela visão de diferentes autores.
Segregação de Funções
A segregação de funções é elemento básico de um sistema de governança e se coloca nos fundamentos do sistema de controles internos. Tem por
finalidade detectar e evitar erros, atividades inadequadas ou impróprias, conflito de interesses e fraudes.

Consiste em separar formalmente os papéis e as responsabilidades, envolvendo as atividades de execução, aprovação/autorização de transações
e tomada de decisões.

A adequada segregação de funções deve estar presente em toda a estrutura organizacional, sendo de se destacar a sua necessidade prioritária
nos processos críticos onde há potencial de conflito de interesses entre as áreas.

No contexto da segregação de funções, contamos com práticas saudáveis como alçadas de aprovação, controles de acesso,
verificação, conciliação, reconciliação, revisão de desempenho e tratamento das não conformidades, além da própria definição
do organograma organizacional.
Exemplos de conflitos de interesse:

Um colaborador lançar suas despesas de viagem no sistema e ele

mesmo as aprovar, ou ele ainda efetuar o pagamento;

O colaborador que faz cobrança também faz alocação dos pagamentos;

O colaborador da área comercial, que oferece financiamento e

empréstimos aos clientes, realizar também as aprovações dos créditos
ou formalizar as operações.
Sistema
de alçadas
Um sistema de alçadas constitui uma linha base do ambiente de
controles internos. Para a sua implementação, são considerados
procedimentos com a finalidade de prevenção e detecção de riscos,
bem como com a finalidade de permitir maior agilidade na condução
das atividades de negócios, na solução de problemas e nos processos
internos da instituição.

Consiste na delegação de poderes de aprovação por meio de política

e estabelecimento de protocolos e limites de autorizações para
diferentes níveis hierárquicos da instituição, compatíveis com as
funções e responsabilidades.

A definição do sistema de alçadas segue a linha existente de

subordinação, partindo do conselho de administração e/ou da
diretoria, cascateando pelos diversos níveis da hierarquia. A delegação
de autoridade pode incluir unidades e/ou subsidiárias.

Os temas estratégicos e valores financeiros

de maior relevância são atribuições de
aprovação dos níveis mais elevados da
estrutura hierárquica.
O planejamento estratégico e o sistema de controles internos
A estratégia da instituição deve estar alinhada aos seus direcionadores estratégicos, ou seja, ao seu propósito como entidade, sua missão, sua
visão e seus valores.

Esses pilares são fundamentais para o planejamento estratégico, contribuindo para alinhar e apoiar as decisões que gerarão valor aos stakeholders.

O planejamento estratégico compreende o desenvolvimento de ações de médio e longo prazos em um contexto competitivo, visando a melhor
composição entre as forças e as fraquezas em relação às oportunidades e ameaças, assim como o estabelecimento dos riscos máximos aceitáveis
a serem assumidos na busca do alcance dos objetivos estratégicos (situações e resultados futuros desejados).
A avaliação das forças e das fraquezas considera a dimensão interna
da instituição, considerando a capacitação dos recursos humanos
(cultura, conhecimentos, experiências e habilidades), a adequação
e a alocação dos recursos organizacionais (processos, sistemas),
dos recursos físicos (instalações prediais e tecnológicas, canais de
vendas/atendimento etc.) e das parcerias estratégicas (fornecedores
e terceiros prestadores de serviços). São aspectos que podem ser
objeto de ação direta da instituição.
Já a avaliação das oportunidades e ameaças considera o
conhecimento e a avaliação sobre o mercado de atuação
(condições vigentes e prospectivas), seus competidores (atuais e
novos entrantes), inovações e/ou disrupções em relação a novos
produtos, serviços e tecnologias. São aspectos não controlados pela
instituição, mas que necessitam do acompanhamento sistemático
para evitar situações adversas que possam impactar a estratégia,
na forma de geração de alertas para as devidas providencias e
correções que se apresentarem necessárias.
A implementação do planejamento estratégico e o monitoramento
da sua execução requerem processos de gerenciamento sobre o
desempenho da estratégia e o tratamento dos eventos internos e
externos que influenciam o cumprimento dos objetivos estratégicos.
Vemos que esses processos implicam na permanente análise
e revisão da performance da estratégia, na obtenção e no
compartilhamento de informações entre os agentes da governança
corporativa e na elaboração de relatórios.
Com isso, podemos dizer que um ambiente assim
estabelecido se alinha a um robusto sistema de controles
internos, também se alinhando à boa prática recomendada
pelo COSO ERM 2017, contribuindo para assegurar um fluxo
de informações e dados íntegros, confiáveis e tempestivos,
utilizado para fins de tomada de decisões.
O modelo de linhas e a definição
de atribuições e responsabilidades
O “modelo de linhas” do IIA (The Institute of Internal Auditors),
largamente adotado pelas organizações como boa prática,
propõe a adoção de princípios de gestão dos riscos e dos
controles internos, a definição de papéis e responsabilidades
das estruturas e dos processos e os relacionamentos destes
entre si para assegurar que estejam alinhados aos objetivos
estratégicos, proporcionando criação de valor, apoio à
governança corporativa e atendimento aos interesses
dos stakeholders.

Vale lembrar...
o modelo de linhas era anteriormente conhecido por
“modelo de 3 linhas de defesa”. O IIA promoveu um
amplo debate internacional sobre o modelo e, em
2020, formalizou sua revisão. Nessa oportunidade, foi
retirado do título do modelo a palavra “defesa”.

Ao tornar o modelo mais “ativo”, o IIA assim diz: “O modelo é

aplicável a todas as organizações e é otimizado por... Focar
na contribuição que o gerenciamento de riscos oferece para
atingir objetivos e criar valor, bem como questões de ‘defesa’
e proteção de valor”.
Para tanto, o modelo recomenda a separação da gestão dos riscos em três
linhas com funções distintas, sendo que o relacionamento destas entre si se
dá de forma integrada e alinhada aos objetivos estratégicos.

1 linha
a

A primeira linha é representada pelas áreas de negócios, operações e de

suporte. Os papéis de primeira linha estão mais diretamente alinhados com
a entrega de produtos e/ou serviços aos clientes da instituição, incluindo
funções de apoio e prestação de contas sobre as performances e alcance
das metas estratégicas.

É responsável direta pelo gerenciamento dos riscos inerentes aos processos

e por conseguinte, assegurar a existência dos controles internos para manter
as exposições de riscos em níveis considerados aceitáveis.
Já a segunda linha é representada pelas áreas de gerenciamento de
riscos, controles internos, compliance e outras. Os papéis de segunda
linha podem se concentrar em objetivos específicos do gerenciamento
de riscos, como: conformidade com leis; regulamentos e comportamento
ético aceitável; controle interno; segurança da informação e tecnologia;
sustentabilidade; e avaliação da qualidade.

2 linha
a

Inclui ainda assessoria e apoio para a primeira linha, assim

como análises e reportes para a Alta Administração sobre os
objetivos específicos mencionados. Dessa forma, a segunda linha,
indiretamente, participa na condução das ações de gestão e
contribui para a tomada de decisões e para atingir os objetivos
estratégicos da instituição.
Por último temos a terceira linha, representada pela auditoria
interna, a qual, de forma independente e objetiva, tem a
incumbência da revisão e da avaliação sobre a adequação e
a eficácia da governança corporativa, do gerenciamento dos
riscos e do ambiente de controles internos.

A independência da terceira linha permite à auditoria interna

ter acesso irrestrito a pessoas, recursos e dados necessários
à consecução dos trabalhos de avaliação, seguindo um
planejamento de trabalho baseado em riscos, bem como levar
a cabo as conclusões de suas avaliações e recomendações, de
forma isenta, pois não participa dos processos decisórios. Ou
seja, não faz parte do sistema de controles internos.

3 linha
a

Comunica os resultados dos trabalhos à Alta Administração

buscando propor e apoiar as medidas de melhorias ao modelo
de gestão.
Segundo a regulamentação do Conselho Monetário Nacional voltada aos
controles internos (Resolução CMN no 4.968/2021), cabe à auditoria interna
promover avaliações periódicas acerca da eficácia dos sistemas de controles
internos e dos principais riscos associados às atividades da instituição.

No entanto, conforme definição do próprio IIA, a independência da auditoria

interna não implica em isolamento.

Deve existir cooperação com as áreas da primeira e segunda linhas, para evitar
sobreposições e lacunas não cobertas e para manter foco nos temas mais
relevantes para a instituição, de forma a promover um ambiente de controles
com razoável segurança para o atingimento dos objetivos estratégicos.
Segundo o IIA, as três linhas apresentam papéis e
responsabilidades, que transcrevemos a seguir:

1 linha
a

• Liderar e dirigir ações (incluindo gerenciamento de riscos) e

aplicação de recursos para atingir os objetivos da organização;

• Manter um diálogo contínuo com o corpo administrativo e reportar:

resultados planejados, reais e esperados, vinculados aos objetivos
da organização; e riscos;

• Estabelecer e manter estruturas e processos apropriados para o

gerenciamento de operações e riscos (incluindo controle interno);

• Garantir a conformidade com as expectativas legais, regulatórias

e éticas.
 2 linha
a

• Fornecer expertise complementar, apoio, monitoramento e questionamento quanto ao gerenciamento de

riscos, incluindo:
• Desenvolvimento, implantação e melhoria contínua das práticas de gerenciamento de riscos (incluindo controle
interno) nos níveis de processo, sistemas e entidade;

• Atingimento dos objetivos de gerenciamento de riscos como: conformidade com leis, regulamentos e
comportamento ético aceitável, controle interno, segurança da informação e tecnologia, sustentabilidade; e
avaliação da qualidade.

• Fornecer análises e reportar sobre a adequação e eficácia do gerenciamento de riscos (incluindo controle interno).

3 linha
a

• Mantém a prestação de contas primária perante o corpo administrativo e a independência das

responsabilidades da gestão;

• Comunica avaliação e assessoria independentes e objetivas à gestão e ao corpo

administrativo sobre a adequação e eficácia da governança e do gerenciamento de riscos
(incluindo controle interno), para apoiar o atingimento dos objetivos organizacionais e promover
e facilitar a melhoria contínua;

• Reporta ao corpo administrativo prejuízos à independência e objetividade e implanta

salvaguardas conforme necessário.
Portanto, o Modelo de Linhas se apresenta como um
referencial para auxiliar a Alta Administração na definição
da estrutura mais adequada para atribuição dos papéis e
responsabilidades do gerenciamento dos riscos, do sistema de
controles internos, conformidade e para o fortalecimento da
governança corporativa.

A delegação formal de papéis e responsabilidades em

uma instituição deve se basear na segregação de funções
e natureza das atividades, bem como prever relações
de subordinação, alçadas de aprovação/autorização de
transações e para tomada de decisões e apoio aos objetivos
da instituição.

E, como dissemos, o Modelo de Linhas pode auxiliar muito no

estabelecimento de papéis e responsabilidades.

Poderíamos afirmar que a eficácia do Modelo

de Linhas, de certa forma, está diretamente
relacionada com a compreensão e o engajamento dos
colaboradores, em todos os níveis da hierarquia.
O papel dos risk takers, risk owners
e da supervisão de riscos
O relacionamento dos distintos atores envolvidos no risco pode ser visto
sob ângulos diversos. Um ângulo que já vimos se refere ao modelo de
três linhas.

Uma outra forma de compreender os atores e seu envolvimento com os

riscos diz respeito à identificação das responsabilidades na cadeia de
atividades envolvidas no mundo dos riscos.

As expressões risk taker (tomador do risco), risk owner (proprietário do

risco) e supervisão do risco pode ser útil para essa compreensão.
Porém, é preciso alertar que a literatura pode levar a uma certa
superposição entre os conceitos de risk taker e risk owner, mais
dificultando que facilitando a nossa compreensão.
Sendo assim, preferimos, aqui, dizer que podemos identificar três
instâncias de relacionamento com o risco:
(i) o decisor sobre a tomada do risco;
(ii) o responsável primário pelo risco;
(iii) o supervisor do risco.
Assim, inicialmente os riscos são objeto de um processo decisório,
que pode ser menos ou mais formalizado. Com isso, temos as
pessoas/instâncias que decidem sobre os riscos. Se considerarmos
a prática (inclusive regulamentada) da formalização de uma
declaração de apetite por riscos (RAS – Risk Appetite Statement),
vamos depositar no mais alto nível da administração – conselho
de administração ou diretoria – essa responsabilidade. Aqui,
estamos tratando da responsabilidade máxima pelo risco, dentro
da instituição.
Avançando, a boa prática indica que devemos contar com a
existência de responsáveis primários pelos riscos, localizados na
origem do risco. Esses agentes são responsáveis pela manutenção
dos níveis de exposição dos riscos e, quando houver violações,
pela implementação de planos de resposta para trazer os
riscos de volta aos limites definidos. No modelo de linhas, essa
responsabilidade primária se aproxima da primeira linha.
A supervisão do risco tem a função de assegurar, por meio de
monitoramento e procedimentos/ferramentas, que os responsáveis
primários estão executando ações de controle de forma efetiva e
aplicando respostas adequadas para manter a exposição ao risco
dentro dos limites individuais estabelecidos.
Cabe à supervisão do risco, de forma holística, analisar e
consolidar a performance do risco em relação às previsões
do apetite por riscos, capitaneadas pela declaração de
apetite por riscos bem como comunicar à Alta Administração
o monitoramento realizado. É função, também, da supervisão,
desafiar os responsáveis primários pelos riscos e propor melhorias
de processos e controles. No modelo de linhas, a supervisão de
riscos seria representada pelas áreas da segunda linha.
A vantagem dessa abordagem é que auxilia na compreensão
dos riscos a partir do envolvimento dos agentes, no contexto
da estrutura organizacional, permitindo um ambiente de melhor
cooperação e responsabilização.
Como cada instituição acaba por contar com uma estrutura
organizacional com características próprias, um exercício muito
valioso consiste em compreender como essa estrutura pode ser
vislumbrada a partir das três instâncias de envolvimento com os
riscos: decisores máximos, responsáveis primários e supervisores.
Controles internos e gerenciamento de riscos e de capital
Os controles internos cumprem papel fundamental no gerenciamento dos riscos e do capital, pois são
instrumentos pelos quais os limites de riscos estabelecidos são monitorados (riscos incorridos versus
riscos previstos), bem como pelos quais é monitorado o capital necessário para atender os objetivos
estratégicos frente às exposições a riscos.

Nos itens seguintes, vamos discorrer sobre estes aspectos do controle

interno nos âmbitos do gerenciamento de riscos e de capital.
Os controles internos e a segmentação
do sistema financeiro
No conjunto de regulamentação das instituições financeiras estabelecida pelas diversas
autoridades existentes, contamos com uma específica que aqui nos interessa.
Fazemos referência à segmentação do sistema financeiro, estabelecida pelo Conselho
Monetário Nacional por meio da Resolução CMN no 4.553, de 2017.
Essa norma criou a segmentação do conjunto de instituições financeiras e
demais instituições autorizadas a funcionar pelo Banco Central do Brasil em
cinco níveis para fins de aplicação proporcional da regulação prudencial,
conforme os seguintes critérios:

S1: bancos múltiplos, bancos comerciais, bancos de investimento, bancos de

câmbio e caixas econômicas (exclui as cooperativas) que:
• tenham porte igual ou superior a 10% do Produto Interno Bruto (PIB); ou
• exerçam atividade internacional relevante, independentemente do porte
da instituição.
S2: bancos múltiplos, bancos comerciais, bancos de investimento, bancos de
câmbio e caixas econômicas, de:
• porte inferior a 10% e igual ou superior a 1% do PIB;
• pelas demais instituições de porte igual ou superior a 1% do PIB
(inclui as cooperativas).

• S3: instituições de porte inferior a 1% e igual ou superior a 0,1% do PIB.

• S4: instituições de porte inferior a 0,1% do PIB.
• S5: instituições de porte inferior a 0,1% do PIB que utilizem metodologia
facultativa simplificada para apuração dos requerimentos mínimos de
Patrimônio de Referência (PR), de Nível I e de Capital Principal, exceto
bancos múltiplos, bancos comerciais, bancos de investimento, bancos de
câmbio e caixas econômicas.
Uma segmentação adicional se deu por meio da Resolução BCB n° 197 de
11/3/2022. Nessa norma, o Banco Central do Brasil instituiu segmentação
análoga à da Resolução CMN no 4.553, estabelecendo os seguintes
segmentos para conglomerados cuja instituição líder seja instituição de
pagamento e que seja integrado por instituição ali definida:

• S1: conglomerados prudenciais de porte igual ou superior a 1% (um por

cento) do Produto Interno Bruto (PIB).
• S2: conglomerados prudenciais de porte inferior a 1% (um por cento)
e igual ou superior a 0,1% (um décimo por cento) do PIB.
• S3: conglomerados prudenciais de porte inferior a 0,1% (um décimo
por cento) do PIB.
• S4: instituições de porte inferior a 0,1% (um décimo por cento)
do PIB, que não sejam bancos múltiplos, bancos comerciais, bancos
de investimento, bancos de câmbio, caixas econômicas ou agências
de fomento, e que utilizem metodologia facultativa simplificada
para apuração do requerimento mínimo de Patrimônio de Referência
Simplificado (PRS5).

A segmentação é relevante para a compreensão do alcance da regulação

prudencial, com o que se acaba por exigir práticas de gerenciamento
mais rigorosas das instituições de maior porte e mais complexas.
Tipologia dos riscos: principais
riscos em instituições financeiras
Antes de avançarmos sobre o gerenciamento de riscos e de capital,
cabe aqui uma referência aos principais riscos enfrentados pelas
instituições financeiras. Para isso, destacamos, primeiramente, que
uma prática corrente é agrupar separadamente os chamados “riscos
financeiros” e os “riscos não financeiros”.

Os riscos financeiros compreendem os riscos: de crédito, de mercado

de taxa de juros na carteira bancária (IRRBB) e de liquidez.

Os riscos não financeiros alcançam vários tipos de riscos, sendo que,

dentre os mais relevantes, podemos citar: operacional, cibernético,
de não continuidade de negócios, social, ambiental, climático
de transição, climático físico, de lavagem de dinheiro, de não
conformidade (compliance), reputacional e de estratégia.
A seguir, apresentamos o conceito regulatório de alguns
desses principais riscos:

• Risco de crédito: possibilidade de ocorrência de perdas associadas

a: não cumprimento pela contraparte de suas obrigações nos termos
pactuados; desvalorização, redução de remunerações e ganhos
esperados em instrumento financeiro decorrentes da deterioração da
qualidade creditícia da contraparte, do interveniente ou do instrumento
mitigador; reestruturação de instrumentos financeiros; ou custos de
recuperação de exposições caracterizadas como ativos problemáticos.

Essa definição inclui: o risco de crédito da contraparte; o risco país; o

risco de transferência; a possibilidade de ocorrência de desembolsos
para honrar garantias financeiras prestadas; a possibilidade de perdas
associadas ao não cumprimento de obrigações nos termos pactuados
por interveniente, provedor do instrumento mitigador ou mandatário de
cobrança; e o risco de concentração.
• Risco de mercado: possibilidade de ocorrência de perdas resultantes da
flutuação nos valores de mercado de instrumentos detidos pela instituição.

Essa definição inclui: o risco da variação das taxas de juros e dos preços
de ações, para os instrumentos classificados na carteira de negociação;
e o risco da variação cambial e dos preços de mercadorias (commodities),
para os instrumentos classificados na carteira de negociação ou na
carteira bancária.

• Risco de taxa de juros na carteira bancária: risco, atual ou prospectivo,

do impacto de movimentos adversos das taxas de juros no capital e nos
resultados da instituição financeira, para os instrumentos classificados na
carteira bancária.

• Risco de liquidez: possibilidade de não ser capaz de honrar eficientemente

as obrigações esperadas e inesperadas, correntes e futuras, inclusive
as decorrentes de vinculação de garantias, sem afetar suas operações
diárias e sem incorrer em perdas significativas; e possibilidade de não
conseguir negociar a preço de mercado uma posição, devido ao seu
tamanho elevado em relação ao volume normalmente transacionado ou em
razão de alguma descontinuidade no mercado.
• Risco operacional: possibilidade da ocorrência de perdas resultantes
de eventos externos ou de falha, deficiência ou inadequação de
processos internos, pessoas ou sistemas. Essa definição inclui o risco
legal associado à inadequação ou deficiência em contratos firmados
pela instituição, às sanções em razão de descumprimento de dispositivos
legais e às indenizações por danos a terceiros decorrentes das atividades
desenvolvidas pela instituição.

Entre os eventos de risco operacional, incluem-se:

• fraudes internas;
• fraudes externas;
• demandas trabalhistas e segurança deficiente do local de trabalho;
• práticas inadequadas relativas a clientes, produtos e serviços;
• danos a ativos físicos próprios ou em uso pela instituição;
• situações que acarretem a interrupção das atividades da instituição;
• em sistemas, processos ou infraestrutura de tecnologia da
informação (TI);
• falhas na execução, no cumprimento de prazos ou no gerenciamento
das atividades da instituição.

Para as instituições de pagamento, o Banco Central do Brasil

acrescentou, no escopo do risco operacional, os eventos que
se caracterizem como: falhas na proteção e na segurança de
dados sensíveis relacionados tanto às credenciais dos usuários
finais quanto a outras informações trocadas com o objetivo de
efetuar transações de pagamento; falhas na identificação
e autenticação do usuário final; e falhas na autorização das
transações de pagamento.
• Risco cibernético: possibilidade de ocorrência de perdas
resultantes de incidentes cibernéticos.
O incidente cibernético é caracterizado como um evento
relacionado com o ambiente cibernético que: produz
efeito adverso ou representa ameaça aos sistemas
de Tecnologia da Informação (TI) ou à informação que
esses sistemas processam, armazenam ou transmitem;
ou infringe políticas ou procedimentos de segurança
referentes aos sistemas de TI.
• Risco de não continuidade de negócios: descontinuação
ou paralização de atividades e processos considerados
críticos para a instituição, com grandes impactos
financeiros e não financeiros junto a clientes e
demais stakeholders (acionistas, órgãos reguladores
e de fiscalização).
• Risco social: possibilidade de ocorrência de perdas
ocasionadas por eventos associados à violação de
direitos e garantias fundamentais ou a atos lesivos a
interesse comum.
• Risco ambiental: possibilidade de ocorrência de perdas
para a instituição ocasionadas por eventos associados à
degradação do meio ambiente, incluindo o uso excessivo
de recursos naturais.
• Risco climático de transição: possibilidade de ocorrência
de perdas para a instituição ocasionadas por eventos
associados ao processo de transição para uma economia
de baixo carbono, em que a emissão de gases do efeito
estufa é reduzida ou compensada e os mecanismos
naturais de captura desses gases são preservados.
• Risco climático físico: possibilidade de ocorrência
de perdas para a instituição ocasionadas por eventos
associados a intempéries frequentes e severas ou a
alterações ambientais de longo prazo, que possam ser
relacionadas a mudanças em padrões climáticos.
• Risco de lavagem de dinheiro: risco de utilização do
sistema financeiro para práticas de lavagem de dinheiro ou
ocultação de bens, direitos e valores e de financiamento
do terrorismo.

• Risco de não conformidade (compliance): possibilidade

de a instituição sofrer sanções legais ou administrativas,
perdas financeiras, danos de reputação e outros danos,
decorrentes de descumprimento ou falhas na observância
do arcabouço legal, da regulamentação infralegal, das
recomendações dos órgãos reguladores e dos códigos de
autorregulação aplicáveis.

• Risco reputacional: consiste nos impactos adversos

decorrentes de um conjunto de eventos que afetem
a imagem e a reputação da instituição, tanto junto a
consumidores com aos demais stakeholders.

• Risco de estratégia: possibilidade da ocorrência de

impactos adversos decorrentes das decisões estratégicas
da instituição.
Melhores práticas no gerenciamento dos riscos corporativos:
o gerenciamento integrado dos riscos
O gerenciamento integrado de riscos é o “estado da arte” que os reguladores vêm requerendo, modernamente, das instituições financeiras.

O gerenciamento integrado representa uma visão abrangente dos riscos, que se inicia com a efetiva e clara governança com relação aos riscos
da instituição. Essa governança, então, alcança vários níveis da instituição, em suas três linhas.

Uma forma de entendermos esse gerenciamento integrado é considerar que ele representa uma arquitetura composta por: conhecimento
profundo dos riscos da instituição; gerenciamento efetivo dos riscos individuais; utilização efetiva dos testes de estresse tanto para
identificação dos riscos como para o gerenciamento do capital e, também, para o planejamento estratégico; identificação das
interconexões entre os riscos (riscos de fronteira) e gerenciamento dos seus impactos materiais.
Isso tudo deve ser suportado por uma adequada estrutura organizacional que viabilize essa visão integrada, assim como
deve contar com um processo de comunicação interna que incentive essa mesma visão integrada.
Como vemos, o gerenciamento integrado requer uma visão
abrangente (holística) de todos os riscos a que ela está exposta
e como estes se relacionam entre si. Para isso, deve haver um
processo estruturado, contínuo e que permeie todos os níveis
hierárquicos e unidades da instituição, com o objetivo de obter
prevenção e respostas adequadas aos eventos de riscos potenciais
indesejados que possam prejudicar o alcance dos objetivos
estratégicos, assim como a manutenção dos riscos incorridos
compatíveis com os limites estabelecidos no apetite por riscos.
Cabe à Alta Administração, aos colegiados da governança
corporativa e aos demais gestores da instituição, zelar pelo
gerenciamento dos riscos corporativos, no âmbito das suas
responsabilidades e protocolos estabelecidos, bem como incentivar
a interação das equipes para compreensão dos riscos a que a
instituição está exposta e aplicar as melhores práticas de controles.
Como dissemos, no processo de gerenciamento dos
riscos corporativos, o tratamento e a priorização dos
riscos devem considerar a relevância de cada risco no
contexto da estratégia e do apetite por riscos, por
meio de uma visão de portfólio de riscos assumidos,
conjugado com uma abordagem integrada que permita
avaliar também os efeitos adversos das interações
entre os diversos tipos de riscos e as medidas de
mitigação adequadas.

Ou seja, o gerenciamento dos riscos vai além de

uma visão isolada de cada risco, também
considerando as interconexões entre eles e o impacto
dessas interconexões.

Clique aqui e
veja exemplos
Como dissemos, no processo de gerenciamento dos riscos corporativos,
o tratamento e a priorização dos riscos devem considerar a relevância
de cada risco no contexto da estratégia e do apetite por riscos, por
meio de uma visão de portfólio de riscos assumidos, conjugado com uma
abordagem integrada que permita avaliar também os efeitos adversos
das interações entre os diversos tipos de riscos e as medidas de
mitigação adequadas.

Ou seja, o gerenciamento dos riscos vai além de uma visão isolada

de cada risco, também considerando as interconexões entre eles e o
impacto dessas interconexões.

Exemplos de efeitos adversos das interações entre os riscos:

• Aumento do nível de inadimplência de risco de crédito pode impactar o

risco de liquidez;

• Falhas na gestão de garantias (risco operacional) podem impactar a

execução judicial na recuperação de operações de crédito problemáticas;

• Operações especulativas no mercado de títulos e valores mobiliários

(risco de mercado) sem proteção (hedge) podem gerar chamadas de
margem e impactar a liquidez da instituição;

• Ataques de hackers podem ocasionar a perda de dados (risco

operacional) e gerar impactos negativos de reputação junto aos clientes,
à sociedade e aos reguladores.
Assim sendo, o escopo dos procedimentos e as ferramentas
de gerenciamento dos riscos devem considerar o
mapeamento das interconexões e os desdobramentos dos
seus impactos, de forma a mensurar os níveis de contágio e
estabelecer as medidas mitigadoras.

O gerenciamento das interações entre os riscos constitui,

ainda hoje, um desafio para muitas instituições. Nada
obstante, compreender o papel desse gerenciamento
pode representar uma efetiva diferença qualitativa
na performance das instituições financeiras,
independentemente de seu tamanho e complexidade.
Controles internos e a
definição do apetite por riscos
Em geral, a definição do apetite por riscos está diretamente relacionada
ao planejamento estratégico, ao perfil de risco da instituição, bem
como alinhada à alocação de capital. Em sua declaração de apetite
por riscos, a instituição deve especificar os tipos de riscos (financeiros
e não financeiros) relevantes e o quanto está disposta a assumir para
alcançar as metas estratégicas.
Para a construção da declaração, informações e dados internos
(capacidade de gestão dos riscos e ambiente de controles internos) e
externos (aspectos macroeconômicos, setoriais e concorrenciais) são
bases utilizadas para formulação do apetite por riscos.
Mas vale destacar a necessidade de que o teor da declaração do
apetite por riscos, aprovada pela Alta Administração, seja divulgado de
forma adequada e proporcional a toda a instituição e a terceirizados
relevantes. Isso contribuirá para que a declaração de apetite por riscos
constitua um efetivo direcionador para o gerenciamento de riscos e de
comprometimento de todos.
Espera-se que o apetite seja objeto de permanente monitoramento.
Para isso, políticas, processos e limites tornam-se essenciais, fazendo
com que a assunção dos riscos e seus controles seja parte do dia a
dia dos diversos segmentos da instituição, bem como alinhando as
atividades aos objetivos estratégicos.
O monitoramento inclui a geração de alertas por meio de indicadores (quantitativos
e qualitativos) quando os limites estiverem próximos de serem violados, bem
como uma comunicação clara, oportuna e escalável para os fóruns da governança
corporativa, com as avaliações e recomendações das áreas que supervisionam
as exposições de riscos e tendências, para fins de tomada de decisões sobre
eventuais ajustes/calibragens necessários tanto na condução do planejamento
estratégico dos negócios como na própria definição dos limites dos riscos.

Portanto, fica evidente o papel que o sistema de controles internos cumpre nesse
acompanhamento e monitoramento, por meio de indicadores, evidenciando o
alinhamento dos riscos incorridos aos níveis de exposição de riscos declarados
como aceitáveis para o atingimento dos objetivos estratégicos.

Exemplos de indicadores sobre riscos:

Risco de crédito:
• Índice de inadimplência observada vis à vis os limites estabelecidos na RAS;
• Indicadores de concentração (maiores clientes, setores econômicos, regiões etc.);
• Indicador de relação entre perdas esperadas e perdas efetivas.

Risco de mercado e risco de taxa de juros na carteira bancária - IRRBB:

• Indicador de contribuição dos componentes do risco de mercado para o requerimento
de capital;
• Indicador de contribuição do IRRBB para o requerimento de capital pela metodologia
Economic Value of Equity – EVE e pela metodologia Net Interest Income – NII.

Risco de Liquidez:
• Indicadores de liquidez de curto prazo e estrutural.

Risco Operacional:
• Indicador de perdas operacionais em relação ao Patrimônio de Referência;
• Indicador de perdas operacionais em relação ao Resultado operacional;
• Indicadores de evolução dos diversos tipos de eventos operacionais
ocorridos, evidenciando sua relevância.
Melhores práticas no
gerenciamento dos riscos
corporativos: o risco de terceiros

A terceirização e a contratação de fornecedores

especializados no segmento financeiro têm apresentado
crescimento acentuado, em grande parte devido à maior
complexidade e competividade do setor, representada
pela expansão da oferta de produtos e serviços em maior
velocidade, por meio de soluções tecnológicas em conjunto
com a necessidade de redução de custos.

Porém, se o relacionamento com terceiros foi intensificado,

com claros benefícios, também se intensificou a identificação
de novos riscos materiais para as instituições financeiras.

Para continuarem competitivas e ao mesmo tempo atenderem

as exigências regulatórias, as instituições financeiras, por meio
de uma abordagem baseada em riscos, precisam estabelecer
processos e procedimentos para avaliar e mensurar o seu nível
de dependência e os riscos oriundos da terceirização, de forma
integrada com o gerenciamento dos demais riscos.
Dependendo da relevância do terceiro para a
instituição financeira, durante a fase de contratação
o gerenciamento de riscos corporativos pode levar à
decisão de se aplicar o procedimento de “due diligence”
detalhado junto à entidade a ser contratada, para avaliar,
sob a ótica de riscos e controles, os riscos inerentes aos
processos objeto da terceirização e seus mitigantes.

A due diligence geralmente é considerada uma

ferramenta de compliance, mas também pode ser crucial
para a segurança dos controles internos, na medida em
que fortalece o reconhecimento tempestivo e apropriado
de fontes de riscos.

A seguir são elencados temas que podem fazer

parte da atividade de due diligence e que,
também, podem refletir pontos de atenção
para a atividade contínua de controles internos.

• Além dos temas relacionados à capacidade

operacional-funcional e tecnológica, à solidez
econômico-financeira, ao cumprimento de prazos e de
especificações de qualidade por parte do terceiro, deve-
se verificar a existência de políticas e procedimentos de
controles dos riscos inerentes associados aos serviços
e/ou produtos a serem contratados.
• Em função da crescente oferta de serviços e
produtos por plataformas tecnológicas, é fundamental
que sejam avaliadas as tecnologias e as ferramentas
utilizadas pelo terceiro quanto à confiabilidade, à
integridade, à disponibilidade e à recuperação de
dados em produção, seja em ambiente físico, digital
ou em nuvem, também avaliando se os seus níveis
de proteção são atualizados com frequência para
mitigar invasões, tais como ataques cibernéticos e/
ou acessos não autorizados aos dados da instituição
e de clientes. Cabe, também, verificar se o terceiro
foi objeto de ataque cibernético em definida janela de
tempo, sendo que, em caso positivo, o evento deverá
ser adequadamente avaliado.

Devem ser estabelecidos, junto aos terceiros que

manuseiam dados e informações de clientes e da
própria instituição, procedimentos de controles para
prevenção e tratamento dos incidentes compatíveis
com a política de segurança cibernética da própria
instituição, bem como a Lei Geral de Proteção de
Dados. No caso de serviços terceirizados de TI em
nuvem, é essencial verificar as normas aplicáveis,
estabelecidas pelo Conselho Monetário Nacional e pelo
Banco Central do Brasil.
• Em se tratando de processos terceirizados
considerados críticos para os negócios, cabe a
verificação sobre a existência e a atualização de
planos de continuidade de negócios no caso de
incidentes e/ou interrupção das atividades devido à
indisponibilidade dos sistemas ou de aplicativos de
informática, relacionados aos serviços contratados.

• No que tange à conformidade, cabe avaliar se

os processos e os procedimentos contratados
estão aderentes aos requerimentos regulatórios
e à legislação aplicáveis, bem como se há
compatibilidade com a política de compliance
da instituição.

• Deve-se avaliar se há condutas não compatíveis

por parte dos terceiros e fornecedores, em relação
aos valores da instituição. Ou seja, cabe verificar se
existem, contra as contratadas, reclamações e/ou
ações judiciais referentes ao não
cumprimento de legislação e aspectos social,
ambiental e climático que possam trazer
consequências reputacionais junto aos clientes e
à sociedade, bem como sanções por parte dos
órgãos reguladores.
• A instituição deve
considerar os impactos da
dependência de um terceiro
e/ou fornecedor para seus
processos, produtos e
serviços, de modo a mitigar
os riscos de concentração
e estratégico.
• As informações obtidas
com a due dilligence
deveriam ser cruzadas com
os relatórios elaborados
pelas auditorias (interna
e independente), junto ao
terceiro e/ou fornecedor
avaliados, para verificar se
existem discrepâncias.
• A experiência com as due diligences e com as
atividades contínuas de controle interno deveria
contribuir para aprimorar as práticas de controle
para mitigar os riscos inerentes; para a devida
formalização, em cláusulas contratuais, de
mitigantes a serem requeridos e implementados;
bem como para o aprimoramento no fluxo de
comunicação junto às contratadas.
Controles internos e a gestão
de terceiros

Neste item procuramos destacar as etapas

do processo de due diligence quanto à sua
execução operacional e as áreas envolvidas.
Vamos aprofundar o tratamento dos terceiros
com foco específico nos controles internos.

Pode-se transferir a execução dos processos

e atividades a terceiros, porém não a
responsabilidade. Isto quer dizer que os riscos
inerentes à terceirização e suas causas
devem ser conhecidos e controlados pelas
organizações, uma vez que, se materializados,
podem impactar negativamente os objetivos
estratégicos, a reputação junto a clientes,
acionistas, sociedade e reguladores.
Portanto, o gerenciamento dos riscos, dos controles internos
e a não conformidade provenientes de serviços terceirizados
e de fornecedores constitui desafio e requer o envolvimento
de todos os níveis hierárquicos da instituição.
Com esse ambiente desafiador, uma boa prática nas organizações
consiste em contar com uma clara política para a contratação de
terceiros. São vários os direcionadores passíveis de consideração
nessa política, como nos exemplos a seguir:
• Tipos de produtos/serviços: permanentes, temporários, eventuais;
• Natureza dos produtos/serviços: processos, sistemas, suporte;
• Categorização da exposição dos riscos: risco baixo, médio, alto
(utilizando parâmetros como: relevância para o atingimento dos
objetivos estratégicos, reputação, percepção das autoridades,
perdas potenciais, continuidade do negócio, afronta à legislação
e regulamentação etc.);
• Materialidade: classificação por valor dos contratos.
Como essência aqui, fica a importância de uma política de contratação
de terceiros que seja adequada à natureza e à complexidade da
instituição financeira, e que faça sentido para orientar as situações
concretas enfrentadas no dia a dia.
Exemplos de riscos associados à terceirização
e à contratação de fornecedores:
• Risco operacional: falhas em processos, fraudes, fuga de
dados de clientes, lavagem de dinheiro etc., no âmbito da
empresa terceirizada;
• Risco tecnológico: interrupções nos sistemas da empresa
terceirizada devido à obsolescência e consequente impactos junto
aos clientes;
• Segurança cibernética: invasão e roubo de dados devido a firewall
desatualizado nos sistemas da empresa terceirizada;
• Riscos social, ambiental e climático: atividades executadas
no âmbito da terceirizada envolvendo desrespeito aos direitos
humanos, descartes de material poluente em locais não permitidos
pela legislação etc.;
• Risco financeiro: a empresa contratada apresenta problemas de insolvência, não podendo mais operar, inclusive
sendo incapaz de fazer face a prejuízos eventualmente causados à instituição financeira;

• Risco país: contratação de serviços em jurisdições que apresentam problemas políticos, com o que os serviços foram interrompidos;

• Risco estratégico: dissonância entre os objetivos estratégicos da empresa contratada e da instituição contratante, podendo resultar em
descontinuidade dos serviços pela venda de controle acionário;

• Risco reputacional: atividades ilícitas praticadas por empresa terceirizada ou fornecedor que, por sua vez, impacta negativamente a
reputação da instituição contratante;

• Não conformidade regulatória: atividades executadas por terceiros e fornecedores com descumprimento das legislações e normas
aplicáveis ao setor da instituição contratante;

• Custos de saída: mudança de empresa prestadora de serviços sem planejamento adequado de transição, gerando custos adicionais para
a instituição contratante; e

• Concentração: processo crítico da instituição realizado exclusivamente por uma empresa terceirizada ou dependência de insumos de um
único fornecedor.

O gerenciamento dos terceirizados e dos fornecedores considerados críticos necessita de governança e abordagem estruturada, com
a delegação clara de responsabilidades (respaldada na política de controles internos). Neste sentido, o Modelo de Linhas contribui com
designações para as áreas da primeira e da segunda linhas quanto às avaliações dos riscos inerentes e dos controles internos.
Resumidamente, estas avaliações ocorrem em dois momentos:
a) Fase de contratação
Processo de due diligence
• Áreas da primeira linha avaliam a capacidade técnica
operacional e estabelecem padrões de qualidade, volumes
e prazos a serem atendidos, bem como Acordos em Nível de
Serviços (SLAs – Service Level Agreement) indicadores de
eficiência operacional/desempenho e implantação de Planos de
Continuidade de Negócios.
• Áreas da segunda linha (riscos, controles internos e
compliance), auxiliam e orientam os gestores da primeira linha
quanto à identificação dos riscos inerentes aos serviços a serem
terceirizados, à avaliação do ambiente de controles internos e de
segurança (física e lógica) e à conformidade com as legislações
e normas regulamentares da empresa terceira.
• As áreas de segunda linha estabelecem, juntamente com
os gestores das áreas contratantes da primeira linha, os
indicadores de riscos e de controles internos que farão parte do
escopo de monitoramento e reporte.
Avaliação econômico-financeira, cadastro e aprovação
• Área responsável pelo processo interno de contratação
deve realizar avaliação econômico-financeira, pesquisas de
idoneidade fiscal e tributária e de pagamentos a credores. Deve
providenciar a formalização do cadastro e/ou a sua manutenção
e submeter às alçadas competentes e/ou fóruns de governança
para aprovação. Adicionalmente, deve implementar controles
que assegurem que todas as etapas foram conduzidas
conforme estabelecido pela instituição.
Elaboração e formalização do contrato
• A área jurídica, quando acionada, deve preparar os contratos
com as cláusulas técnicas específicas dos serviços contratados
e de confidencialidade, bem como cláusulas e SLAs referentes
às condições de gestão dos riscos, dos controles internos e de
conformidade que a empresa contratada deverá implantar e
reportar com periodicidade para a instituição.
• A área competente deve verificar firmas e poderes: Ações de controles
os representantes devem ter procuração da empresa
terceirizada, outorgando-lhes poderes para assinatura • É uma incumbência das áreas contratantes dos
dos contratos. serviços a implementação de procedimentos
contínuos de controles internos adequados e
• Deve-se implementar controles para assegurar específicos, conforme a natureza dos serviços, para
que todas as etapas foram conduzidas conforme assegurar a integridade e a segurança dos processos
estabelecido pela instituição. terceirizados (tanto na saída quanto na volta dos
fluxos operacionais), atendimentos dos requisitos
b) Fase pós-contratação de negócios, acessos (físico e lógico) autorizados
às instalações e aos sistemas, bem como monitorar
Quanto ao monitoramento dos riscos de terceiros,
os indicadores de performance (KPIs) e reportar os
faz-se necessário o estabelecimento de ferramentas
resultados para as alçadas competentes. Faz parte
apropriadas (tais como indicadores de performance
também do escopo monitorar os indicadores de
e de riscos, inclusive considerando o relacionamento
riscos (KRIs) e de controles (KCIs) estabelecidos junto
interáreas, por meio de acordos de nível de serviços
aos terceiros e fornecedores e o reporte oportuno
– SLAs), e periodicidades definidas para medir o nível
para as áreas da segunda linha (riscos, controles
de exposição aos riscos mapeados. É desejável que
internos e compliance).
se conte com fluxo de comunicação implantado para
escalar informação sobre os desvios constatados, de
modo que as alçadas competentes avaliem os impactos
e decidam por tratamentos a serem aplicados.
O gerenciamento dos riscos de terceiros deve ser
realizado de forma integrada com os demais riscos aos
quais a instituição está exposta.
Gestão centralizada de contratos
de terceiros e fornecedores
• Quando houver, cabe à área responsável pelo
gerenciamento centralizado dos contratos de terceiros e
fornecedores assegurar o acompanhamento da vigência
dos contratos, verificar junto aos gestores das áreas
contratantes o cumprimento das cláusulas operacionais,
de riscos, controles e conformidade, endereçamento de
eventuais desvios e acionamentos jurídicos.
• Também cabe à área do gerenciamento centralizado
a manutenção e a atualização dos cadastros dos
fornecedores e prestadores de serviços terceirizados.
• Ainda, cabe à mesma área implementar controles
internos para assegurar que todas as etapas previstas
foram conduzidas conforme estabelecido pela instituição.
Supervisão
• As áreas de segunda linha recebem das áreas contratantes
(primeira linha), o reporte das medições dos indicadores (KRIs,
KCIs e KPIs) e as informações sobre os casos de desvios e as
ações corretivas que foram implantadas. Avaliam os resultados
e a eficácia das ações corretivas implantadas pela primeira linha
para o tratamento dos desvios que porventura aconteceram.
• Os procedimentos de supervisão consideram a realização de
visitas técnicas periódicas nas dependências das empresas
contratadas, acompanhado pelos gestores das áreas
contratantes da primeira linha, com objetivo de verificar in loco a
implementação de melhorias do ambiente de controles internos.
• Realizar periodicamente aplicação de questionários de
autoavaliação de riscos e controles e testes dos controles
internos específicos para o tratamento dos riscos provenientes
de terceiros e fornecedores, de responsabilidade direta das
áreas contratantes da primeira linha.
• Coordenar junto com a primeira linha, a realização de testes
dos planos de continuidade que envolvem terceirizados e
fornecedores críticos.
Por fim, deve-se elaborar relatório consolidado sobre os resultados Revisão independente
do monitoramento de terceiros e fornecedores considerados críticos,
Cabe à auditoria interna (terceira linha), no papel de revisor
quanto a cobertura dos controles internos e os níveis de exposição
independente, avaliar todo o processo de contratação de
aos riscos e sua aderência ao apetite por riscos, para conhecimento e
terceiros e fornecedores, tanto na primeira como na segunda
tomada de decisão pela Alta Administração.
linha, quanto à eficácia, à lisura, à integridade e realizar
apontamentos de não conformidade em relação às políticas
e aos procedimentos estabelecidos, bem como indicar
melhorias e boas práticas para este processo.

Uma nota: e quando a área contratante

pertence à segunda linha?

É natural que as contratações de terceiros possam ser

necessárias para atender as demandas das áreas de segunda
linha. Se isso ocorrer, espera-se que aconteça respeitando
as diretrizes estabelecidas na política de contratação de
terceiros e que também sejam respeitados os procedimentos
previstos internamente nos manuais correspondentes.

Tendo em vista que essas áreas de segunda linha participam

do processo de avaliação de riscos e controles de terceiros,
podemos, em princípio, estar frente a um conflito de interesse,
o que deveria ser objeto de atenção.

O importante, aqui, é que tal conflito seja objeto de

tratamento/mitigação. Um mecanismo possível é a atuação
cruzada de áreas, inclusive por meio de acordos em nível de
serviço (SLAs), eliminando a fonte do conflito. Ademais, essas
situações poderiam ser objeto de específica
atenção da auditoria interna.
Controles internos e gerenciamento de capital: estruturas
e instrumentos de controle
Sabemos que o setor financeiro é fortemente regulado. E um tema dos mais regulamentados consiste no capital, seja quanto ao seu requerimento
quantitativo, seja quanto ao seu gerenciamento. Assim, as instituições financeiras devem manter nível de capital adequado ao seu perfil de risco,
em horizonte que permita a busca de sua sustentabilidade.

As orientações do Comitê de Basileia para o capital, definidas em 2004 e intituladas de Basileia II, estabeleceram três pilares. Essa estrutura
permanece até hoje, estando consolidada no conjunto de orientações denominado Basileia III, após forte aperfeiçoamento com os impactos
advindos de crise internacional de 2007-2008.

Podemos, mesmo, dizer que em Basileia III as instituições passaram a ter que contar com muito mais capital do que em Basileia II,
sendo que a qualidade do capital agora requerido também foi elevada consideravelmente.
Na estrutura regulatória, o primeiro pilar é caracterizado pelo requerimento mínimo
de capital (o que chamamos de capital regulatório), calculado por meio de modelos
padronizados, havendo também possibilidades de uso de modelos internos.

O segundo pilar se dedica à revisão interna do capital, revisão primeiramente de

responsabilidade da própria instituição financeira, o que é seguido pela revisão
empreendida pelo órgão supervisor do país.

O terceiro pilar determina a transparência de informações a todos os interessados,

em formato minimamente estabelecido pela regulamentação, com o que se busca
permitir adequada compreensão e comparabilidade das instituições financeiras.

No Pilar 1, o capital é tratado em duas dimensões. A primeira normatiza o cálculo

do Patrimônio de Referência (PR), que representa o capital detido pela instituição
financeira. A segunda dimensão normatiza o capital mínimo requerido, que é
calculado totalmente em função dos riscos.

O PR é formado por duas parcelas: capital de nível I e capital de nível II. O capital de
nível I é composto do capital principal e do capital complementar.

Além de requerer mínimos para o PR, para o nível I e para o capital principal, Basileia
III trouxe o requerimento do “adicional de capital principal” (ACP).

O ACP é composto de três parcelas: ACP de conservação, o ACP contracíclico

(colchão para enfrentar ciclos econômicos adversos) e ACP sistêmico (focado no
requerimento de capital adicional para instituições de maior porte e complexidade).
Todos os requerimentos mínimos são calculados com base
no total de ativos ponderados pelo risco (RWA), sendo o RWA
calculado em função dos riscos de crédito, de mercado e
operacional enfrentados pelas instituições financeiras.

Vale destacar que há tratamento específico, diferenciado,

para o risco de taxa de juros na carteira bancária (IRRBB),
que impacta o requerimento de capital, mas não está incluído
no RWA.

A regulamentação demanda das instituições a

manutenção permanente de capital em volume superior
aos mínimos estabelecidos.

A revisão interna, contida no Pilar 2, é denominada Processo

Interno de Avaliação da Adequação do Capital (ICAAP para a
denominação em inglês).

No Brasil, essa sigla é mais especificamente aplicada às

instituições classificadas nos Segmentos 1 e 2, conforme
regulamentação específica emitida pelo Conselho Monetário
Nacional e pelo Banco Central do Brasil, sendo sua avaliação
objeto de relatório específico. Nada obstante, todas
as instituições são requeridas a contar com adequado
gerenciamento do capital, inclusive com produção de
relatórios internos, sendo que para S1 e S2 há exigência
de relatório anual padronizado (ICAAP para S1 e ICAAP
Simplificado para S2).

As instituições financeiras devem dispor de estrutura de

governança e processos internos efetivos para avaliar os
riscos a que estejam ou possam vir a estar expostas, bem
como devem possuir controles internos igualmente efetivos,
mantendo níveis adequados de capitalização
frente aos riscos.
O gerenciamento de capital deve levar em conta o porte e
a complexidade da instituição, o seu modelo de negócio,
a natureza dos riscos inerentes aos negócios, ambiente
operacional, gerenciamento dos riscos e dos controles internos,
numa base atual e também prospectiva (cenários favoráveis
e adversos estressados), de forma a assegurar que todos os
riscos materiais e seus mitigantes sejam devidamente avaliados,
bem como sejam consideradas as necessidades de capital
presente e futuras.
Afinal, se considerarmos que a estrutura de capital tem
laços com os riscos da instituição, os controles internos se
colocam como parte inerente do seu gerenciamento. Ou seja,
se precisamos tratar dos riscos para o gerenciamento do
capital, os controles necessariamente devem ser colocados
sob atenção. Sendo assim, vemos a necessidade de fluxos de
dados (quantitativos e qualitativos) provenientes dos sistemas
informacionais internos sobre os níveis de exposição dos riscos e
sobre o ambiente de controles internos, os quais também devem
assegurar e validar a confiabilidade e integridade dos dados
(quanto à fonte, ao armazenamento e à metodologia utilizada
de agregação e elaboração de premissas) para a finalidade de
avaliação e adequação do capital.
Na avaliação da adequação do capital, a boa prática recomenda,
de forma articulada e coordenada, a participação de gestores
e especialistas internos, de maneira que diferentes visões
contribuam para a identificação e a mensuração dos riscos
associados à estratégia e das necessidades de capital, tendo
como referências, minimamente, os requerimentos regulatórios
e os padrões internos.
O planejamento de capital deve ser consistente com o
planejamento estratégico da instituição e considerar os
seguintes elementos: horizonte prospectivo de três anos, a
elaboração do orçamento e as principais fontes de captação
(recursos próprios ou de terceiros), o contexto competitivo,
projeções de balanço (ativos e passivos) e demonstração de
resultados (receitas e despesas) e a política de distribuição
de resultados.
Devem ser considerados também os cenários prospectivos
adversos (teste de estresse), as alterações realizadas e as
previstas nas políticas e nos processos internos, especificamente
quanto à gestão dos riscos e dos controles internos, no modelo
de negócios e na estratégia e no apetite por riscos.
Na sequência, deverão ser estabelecidas metas de capital atreladas ao
desempenho da estratégia e implantados indicadores de monitoramento
com objetivo de acompanhar se o capital tem se mantido adequado para
dar suporte às atividades de negócios e para a cobertura das perdas
esperadas de riscos, bem como para absorção de perdas potenciais
decorrentes de mudanças em cenários adversos (teste de estresse) que
possam comprometer os objetivos estratégicos da instituição.

Os resultados desse monitoramento devem compor os relatórios gerenciais

periódicos das atividades de gerenciamento da suficiência de capital (atual
e prospectiva) e fornecer informações e dados para análise contínua de
performance e tendências, para fins de tomada de decisões.

Por último, cabe ao conselho de administração (ou à diretoria, caso não se

conte com a existência do conselho) aprovar as metodologias de avaliação
e adequação de capital, bem como os seus resultados traduzidos no plano
de capital.
Um caso do gerenciamento de capital: o ICAAP
Se o regulador demanda das instituições financeiras em geral um adequado processo de gerenciamento do capital, essa exigência toma formato
mais contundente quando tratamos das maiores e mais complexas instituições financeiras do país, consideradas sistemicamente importantes.

Nessa linha, temos o que a regulamentação denomina “avaliação da adequação de capital”, destinada somente para as instituições classificadas
como S1 e S2. A materialização disso se dá no Processo Interno de Avaliação da Adequação de Capital (ICAAP), para as instituições enquadradas no
S1, e no Processo Interno Simplificado de Avaliação da Adequação de Capital (ICAAPSimp), para as instituições enquadradas no S2.
A forte relação entre capital, riscos e controle pode ser constatada
por meio dos requerimentos regulatórios para essa avaliação da
adequação do capital. Esses requerimentos são os seguintes:

• Avaliar a suficiência do capital mantido em um horizonte de três

anos, considerando: os tipos de riscos e respectivos níveis a que a
instituição está exposta e que a instituição está disposta a assumir;
a capacidade da instituição de gerenciar riscos de forma efetiva e
prudente; os objetivos estratégicos da instituição; e as condições de
competitividade e o ambiente regulatório em que a instituição atua.

• Abranger a avaliação e a mensuração da necessidade de capital

para cobertura dos riscos de crédito, de mercado, de variação
das taxas de juros para os instrumentos classificados na carteira
bancária (IRRBB) e operacional.

• Considerar a avaliação da necessidade de capital para cobertura

dos demais riscos relevantes a que a instituição está exposta,
considerando, no mínimo: risco de estratégia decorrente de
mudanças adversas no ambiente de negócios ou de utilização de
premissas inadequadas na tomada de decisão; risco de reputação,
decorrente de percepção negativa sobre a instituição por parte de
clientes, contrapartes, acionistas, investidores ou supervisores; e os
riscos social, ambiental e climático.

• Avaliar a necessidade de capital em função dos resultados do

programa de testes de estresse.

• Descrever as metodologias e premissas utilizadas na avaliação e

mensuração da necessidade de capital.
• Considerar as projeções de valores de ativos e passivos,
de exposições não contabilizadas no balanço patrimonial e
de receitas e despesas previstas no plano de capital.
• Demonstrar a robustez das estimativas e fundamentação
de correlações ou efeitos de diversificação que resultem
em redução da necessidade de capital.
• Considerar o perfil de risco de liquidez da instituição e a
liquidez dos mercados em que a instituição atua.
A partir dessa matriz, o regulador estabelece um padrão
de elementos do processo de gerenciamento, bem como o
referido relatório padronizado.
Ao nos atentarmos para os requerimentos acima, notamos
que em dois momentos os controles se tornam evidentes.
Primeiramente, temos a preocupação do regulador com a
relação risco inerente–controle–risco residual. Em seguida
temos a necessidade de a instituição evidenciar a sua
capacidade de gerenciar riscos de forma efetiva
e prudente.
Enfim, os controles configuram elemento necessário
para o gerenciamento de capital em qualquer instituição
financeira. Porém, o regulador estabelece forte
direcionamento para a boa governança em instituições com
maior tamanho, complexidade e ao perfil de risco.
A regulação define, ainda, que o processo ICAAP para as instituições
dos segmentos S1 e S2 deve ser submetido a uma avaliação
independente a cada três anos ou a qualquer momento, se houver
mudança relevante nas metodologias aplicadas ou no perfil de risco da
Instituição. Esta avaliação minimamente deverá examinar:
• As metodologias e premissas utilizadas nas estimativas de
necessidade de capital.
• As estimativas de correlação, quando utilizadas.
• A inclusão de todos os riscos relevantes.
• A abrangência, a consistência, a integridade e a confiabilidade dos
dados de entrada, bem como a independência de suas fontes.
• A consistência e confiabilidade das informações que compõem o
relatório anual.
• A consistência e a coerência entre as informações do relatório anual e
aquelas contidas nos planos de capital e de contingência de capital.
O processo de validação independente do ICAAP deve ser
documentado e seus resultados submetidos ao comitê de riscos, à
diretoria e ao conselho de administração, quando existente.
Controles internos Como já vimos, a função de controles internos permeia toda a instituição e
tem por objetivo dar suporte ao cumprimento dos objetivos estratégicos,
e compliance por intermédio de estruturas e processos que assegurem a eficiência e
a eficácia operacional, a manutenção das exposições de riscos em níveis
considerados aceitáveis, a confiabilidade das informações financeiras e a
conformidade com o código de ética, as regulações e leis aplicáveis.

Dessa forma, as atividades da função de compliance estão inseridas no

âmbito do sistema de controles internos da instituição. Porém, dada as
especificidades, os escopos de atuação da área de controles internos
e da área de compliance devem ser distintos, com limites de atuação
definidos para evitar sobreposições.

No caso de instituições financeiras, o Conselho Monetário Nacional

consolidou em normas específicas os requisitos mínimos tanto para
o sistema de controles internos como para compliance, o que foi
documentado nas Resoluções CMN 4968 e 4595, respectivamente.
A diferenciação das atividades de
controles internos e compliance

As atividades desenvolvidas por compliance mantêm uma identidade

própria frente às atividades de controles internos.

As atividades de controles internos objetivam assegurar a existência

e efetividade de um sistema de controles que leve à consecução dos
objetivos estratégicos da instituição. Já as atividades de compliance
visam assegurar que as políticas internas e os processos executados na
instituição estejam em conformidade com os requerimentos regulatórios
e legislações aplicáveis ao negócio, bem como estejam alinhadas aos
direcionadores estratégicos da instituição, em particular os valores
institucionais estabelecidos.
Como o tema deste documento é precipuamente caracterizado pelos
controles internos, aqui apenas destacamos atribuições esperadas da
função de compliance, as quais podem estar localizadas em diferentes
unidades da estrutura organizacional:

• Estabelecer ambiente em que a instituição, como um todo, esteja

atenta à necessidade de captura e monitoramento de novas leis e
regulamentações aplicáveis, com cultura de adequada e tempestiva
resposta interna.

• Criar e manter indicadores do risco de compliance, os quais serão

utilizados para as ações gerenciamento desse risco, no âmbito de toda
a instituição.

• Realizar testes e avaliação periódica sobre a conformidade das

políticas e dos processos internos em relação ao arcabouço legal, à
regulamentação infralegal, ao atendimento às recomendações dos
órgãos reguladores e à conformidade com as normas internas, incluindo
o código de ética e de conduta da instituição.

• Revisar e acompanhar a implantação de planos de ação para correção

das fragilidades e irregularidades apontadas pelas auditorias (interna e
independente).

• Garantir que os princípios do código de ética e conduta estejam sendo

aplicados internamente.

• Promover a cultura e a capacitação dos funcionários e prestadores

de serviços por meio de aplicação de treinamentos e reciclagem de
conhecimentos, em relação aos assuntos de conformidade.

• Operacionalizar o canal de denúncias e divulgá-lo para o

conhecimento de todos os colaboradores, bem como contribuir para
que haja efetiva aplicação das sanções disciplinadoras referentes aos
desvios constatados (política de consequências).
• Garantir o adequado suporte à Alta Administração
quanto ao cumprimento da conformidade em relação às
normas regulamentares e legislações aplicáveis ao negócio,
procedendo ao escalonamento tempestivo de informação
sobre desvios constatados, para ciência e tomada de decisão.

• Acompanhar a efetividade da resposta da instituição,

envolvendo os correspondentes planos de ação, às
recomendações apresentadas por autoridades de fiscalização,
pelas auditorias interna e independente, bem como pela A
lta Administração e outras instâncias internas que
façam apontamentos.

• Manter acompanhamento sobre a conformidade da

instituição frente aos diversos órgãos públicos (a exemplo
do Cadastro Informativo de Créditos não Quitados do Setor
Público Federal – CADIN.

• Elaborar relatório, com periodicidade adequada, com sumário

das atividades e resultados da função de conformidade,
conclusões, recomendações de melhorias e providências
tomadas pela instituição financeira.

Se as atividades de compliance são passíveis de

uma clara identidade, também é preciso notar que
compliance e controles internos são, de fato, áreas
sinérgicas. Essa proximidade fica bem clara quando
tratamos do mapeamento de riscos e de processos.
O mapeamento de riscos implica em considerar, também, o risco de
compliance. Com isso, seria de se esperar que as áreas de controles e
compliance mantivessem algum relacionamento sobre a metodologia
de trabalho e, mesmo, sobre o tratamento dos riscos identificados.

No que se refere ao mapeamento de processos, também é visível a

possibilidade e até mesmo a necessidade de uma proximidade entre
essas duas áreas.

Imaginemos uma situação em que um evento de fragilidade foi

identificado. Afinal, qual a causa desse evento?

Uma forma de considerarmos isso é atentando para o

correspondente processo: o procedimento envolvido está claramente
tratado e formalizado? Trata-se de uma fragilidade de conformidade
ou de inadequação dos pontos de controle constantes da narrativa
do processo?

Como vemos, estas questões remetem à necessidade de um

relacionamento mínimo entre as áreas. Um distanciamento entre
essas duas áreas certamente dificultará a busca de uma visão
integrada e efetiva dos riscos.
Riscos de não conformidade e instrumentos de controle
Um adequado gerenciamento da conformidade requer o estabelecimento de procedimentos de revisão e atualização das políticas e normas internas
em relação às normas regulamentares e legislação aplicáveis vigentes.

Uma boa prática para isso é relacionar essas normas internas ao inventário de processos críticos da instituição, devendo o mapeamento desses
processos contemplar a identificação dos riscos de não conformidade e respectivos controles internos. Nessa linha de ação, são aplicados testes de
controle para os riscos de não conformidade, sendo os resultados cotejados com a matriz de riscos e com apontamentos dos órgãos de fiscalização
e recomendações de demais instâncias.

Outro procedimento de controle neste âmbito é caracterizado pela captura e pelo monitoramento de novos normativos
regulamentares e novas leis aplicáveis, assim como o endereçamento interno, para que os gestores dos processos avaliem
os potenciais impactos e a necessidade de implantação de medidas de conformidade e eventuais alterações nas normas internas.
Essas considerações nos levam a constatar que é bastante
amplo e complexo o escopo das atividades de compliance,
atividades essas que, muitas vezes, acabam estando
distribuídas em diferentes áreas
da estrutura organizacional, o que não se apresenta, em
princípio, como inadequado.

O mais importante é que a instituição tenha condições

de ter um acompanhamento consolidado da dimensão
de conformidade, garantindo uma interação entre as
diversas áreas.

Mais uma vez, temos aqui a lição de que as atividades de

controles internos e compliance são sinérgicas.

Se o risco de compliance demanda ações de controle, esses

controles acabam por criar, necessariamente, laços entre as
duas áreas, cabendo um cuidado tanto quanto à estrutura
organizacional como quanto ao relacionamento entre os
diversos agentes envolvidos.
Fontes de informação: auditoria interna,
compliance, riscos, auditoria independente,
órgãos de fiscalização e entidades
de autorregulação
Uma preciosa fonte de informação para controles internos
e para compliance é caracterizada pelos apontamentos
realizados por todas as instâncias com poder para fazê-
los, como: autoridades de fiscalização, entidades de
autorregulação, auditorias interna e independente, órgãos
da Alta Administração e seus comitês, instâncias da
segunda linha etc.
Vale, aqui, notar que o conceito de segunda linha merece
uma reflexão, ao constatarmos que, muitas vezes,
encontramos a função de supervisão não apenas nas
áreas de riscos, controles e compliance, mas, também,
em áreas como segurança da informação e cibernética,
gerenciamento da continuidade de negócios e controladoria.
Esses apontamentos deveriam ser utilizados como uma
base de informações para a avaliação das fragilidades
identificadas, em uma perspectiva de priorização e
planejamento de ações. Veja-se, inclusive, que essa base
poderia ser considerada no processo de planejamento
estratégico, no que tange às forças ou fraquezas
da instituição.
A prática dessa ação leva à clara necessidade de
uma atuação colaborativa entre as diversas áreas,
principalmente por verificarmos que a resposta a muitas
dessas fragilidades depende não apenas de uma única
área, mas sim de diferentes responsáveis.
Controles internos e auditoria interna
A auditoria interna cumpre um papel importante para que a instituição assegure um adequado e efetivo sistema
de controles internos. Ela é responsável por avaliar e revisar a eficácia do ambiente de controles internos, se as
exposições aos riscos associados às atividades da instituição se encontram em níveis considerados adequados e
se os resultados das operações estão alinhados aos objetivos estratégicos.
Papéis, responsabilidades
e escopo de atuação
As áreas com função de supervisão
(gerenciamento de riscos, controles internos,
compliance etc.) constituem parte da gestão
da instituição, sendo que, no escopo de seus
papéis e suas responsabilidades, asseguram
a adequação de procedimentos, ferramentas,
metodologias e melhores práticas dessa
supervisão, assim como atuam na disseminação
da cultura de riscos, controles e compliance em
todos os níveis hierárquicos da instituição.
O escopo de atuação dessas áreas de supervisão
compreende, também, o mapeamento de riscos e
controles da instituição, o monitoramento sobre os
riscos incorridos em relação ao apetite por riscos,
a coordenação dos testes sobre a efetividade dos
controles internos e a implantação dos planos de
ação para sanar as deficiências apontadas nos
testes e nos trabalhos das auditorias (interna
e independente).
Já a auditoria interna, conforme o Modelo de
Linhas, desenvolve suas atividades com total
independência e isenção; emite pareceres sobre
as deficiências encontradas em seus trabalhos e
recomendações necessárias sobre o sistema de
controles internos; efetua aconselhamentos sobre
aspectos de melhorias dos modelos de gestão de
riscos, controles e conformidade, inclusive sobre as
atividades e processos dessas áreas.
Exemplos de objetivos de trabalhos
de auditoria interna:
• Efetividade e eficiência das políticas e estratégias
para a governança corporativa e para o gerenciamento
dos riscos relevantes da instituição;
• Adequação do capital mantido pela instituição para
fazer face aos riscos a que está exposta;
• Adequação do planejamento de metas e de
necessidade de capital, considerando os objetivos
estratégicos da instituição;
• Adequação da aplicação de normas e procedimentos,
no ambiente de controles internos, tanto contábil, como
operacional e patrimonial;
• Confiabilidade dos sistemas de informações gerenciais;
• Conformidade das políticas e processos em relação
ao arcabouço infralegal e legislações aplicáveis,
considerando também os códigos de ética e conduta;
• Salvaguarda dos ativos.
O ambiente regulatório voltado Podemos dizer que o Sistema Financeiro Nacional (SFN)
é formado por um conjunto de reguladores e instituições

às instituições financeiras financeiras com a missão de viabilizar a intermediação entre

poupadores e tomadores de recursos, na forma de oferta de
produtos e serviços financeiros e mecanismos de pagamentos e
liquidações financeiras.

Com o objetivo de garantir a eficiência da intermediação de

recursos e ao mesmo tempo promover a estabilidade financeira,
as atividades desenvolvidas no âmbito do SFN são regradas por
um sistema de atos normativos, com diferentes autoridades
atuando.

Nesse sentido, temos um conjunto formado pelo Conselho

Monetário Nacional (CMN), pelo Banco Central (BC) e pela
Comissão de Valores Mobiliários (CVM).

Já no âmbito de seguros e previdência complementar,

temos o Conselho Nacional de Seguros Privados (CNSP), a
Superintendência de Seguros Privados (SUSEP), o Conselho
Nacional de Previdência Complementar
(CNPC) e a Superintendência Nacional de
Previdência Complementar (PREVIC).

No âmbito público, ainda acrescentamos o Conselho de Controle

de Atividades Financeiras – Coaf, que zela pela prevenção
à lavagem de dinheiro e pelo combate ao financiamento do
terrorismo.

Ainda contamos com entidades de autorregulação, como a

Associação Brasileira das Entidades dos Mercados Financeiro e
de Capitais - Anbima, a B3 e a Federação Brasileira de Bancos -
FEBRABAN, sobre o que as instituições
financeiras devem dedicar adequada atenção.
Dada a variedade em termos de porte e complexidade das
instituições que compõem o SFN, as regulamentações são
aplicadas distintamente. Mais ainda, no campo da regulação
das instituições financeiras vemos uma crescente atenção
sobre aquelas que apresentam maior complexidade ou
atuação internacional.

Dada essa complexidade do quadro regulatório, mais que

nunca é de se esperar que as instituições financeiras contem
com adequada estrutura interna que viabilize a proteção
contra os riscos de compliance, mantendo adequado sistema
de controle interno para isso.
Diretrizes das principais normas relacionadas à gestão de riscos e ao
ambiente de controles internos
As instituições financeiras sofrem o impacto de um grande e complexo conjunto de normas, normas essas que, além de serem influenciadas pelas
autoridades locais de cada país, devem obedecer a um conjunto de orientações estabelecido por reguladores internacionais multilaterais. Esse é o
caso do Financial Stability Board (FSB) e do Basel Committee on Banking Supervision (Comitê de Basileia). O Comitê de Basileia funciona no contexto
do Bank for International Settlements.

O FSB e o Comitê de Basileia atuam no ambiente do G-20 (grupo que reúne as maiores economias mundiais), do qual o nosso país é signatário. Assim
sendo, o Brasil precisa estar em conformidade com as orientações emanadas desses organismos, o que é, inclusive, objeto de avaliações.

Quando consideramos a linha histórica da evolução regulatória internacional, verificamos a tendência de supremacia das
regras prudenciais, preventivas, estabelecendo, cada vez mais, responsabilidades às instituições financeiras.
É certo que essas regulações consideram o tamanho, a
complexidade e a atuação internacional das instituições
reguladas. Mas, mesmo assim, constatamos o
aprofundamento intenso do quadro regulatório, demandando
um cuidado especial por parte das instituições.

Nesse ambiente regulatório, encontramos uma vasta

quantidade de normas que impactam o sistema de controles
internos das instituições que atuam no mercado financeiro,
estando seus princípios alinhados à missão de cada um dos
órgãos reguladores.

Como o nosso tema central aqui é controles internos, vamos

apenas colocar em destaque os princípios para avaliação de
controles internos, estabelecidos pelo Comitê de Basileia,
em 1998, no documento intitulado “Framework for Internal
Control Systems in Banking Organisations”. Vejamos esses
princípios a seguir, em tradução livre.
Supervisão da gestão e cultura de controle
Princípio 1:
O conselho de administração deve ter a responsabilidade
de aprovar e periodicamente revisar as estratégias
gerais do negócio e as políticas significativas do banco;
compreender os principais riscos enfrentados pelo
banco, estabelecer níveis aceitáveis para esses riscos
e garantir que a diretoria tome as medidas necessárias
para identificar, medir, monitorar e controlar esses riscos;
aprovar a estrutura organizacional; e assegurar que a
diretoria monitore a efetividade do sistema de controle
interno. O conselho de administração é o responsável
último por assegurar o estabelecimento e a manutenção
de um adequado e efetivo sistema de controle interno.
Princípio 2:
A diretoria deve ser responsável por implementar
estratégias e políticas aprovadas pelo conselho
de administração; por desenvolver processos que
identifiquem, monitorem e controlem os riscos incorridos
pelo banco; pela manutenção de uma estrutura
organizacional que claramente atribua responsabilidades,
autoridade e relações de reporte; por assegurar que
as responsabilidades delegadas sejam efetivamente
realizadas; pelo estabelecimento de políticas adequadas
de controle interno; e pelo monitoramento da adequação
e efetividade do sistema de controle interno.
Supervisão da gestão e cultura de controle

Princípio 3:

O conselho de administração e a diretoria são

responsáveis por promover elevados padrões éticos e
de integridade, bem como por estabelecer uma cultura
organizacional que enfatize e demonstre a todos os níveis
do pessoal a importância dos controles internos. Todo o
pessoal de uma instituição bancária deve compreender
o seu papel no processo de controle interno e deve estar
plenamente engajado nesse processo.
Reconhecimento e avaliação de riscos
Princípio 4:
Um efetivo sistema de controle interno requer que os
riscos materiais que possam afetar adversamente a
realização dos objetivos do banco sejam reconhecidos e
continuamente avaliados. Essa avaliação deve abranger
todos os riscos enfrentados pelo banco e pela instituição
bancária consolidada (ou seja, risco de crédito, risco país
e de transferência, risco de mercado, risco de taxa de
juro, risco de liquidez, risco operacional, risco legal e risco
reputacional). Os controles internos podem necessitar de
revisão para tratar adequadamente qualquer risco novo
ou anteriormente não controlado.
Atividades de controle e segregação de funções
Princípio 5:
As atividades de controle devem ser parte integrante das
atividades diárias de um banco. Um efetivo sistema de
controle interno requer que seja criada uma apropriada
estrutura de controle, com atividades de controle
definidas em todos os níveis do negócio. Isso deve incluir:
revisões de nível superior; apropriadas atividades de
controle para diferentes departamentos ou divisões;
controles físicos; verificação de conformidade com os
limites de exposição e acompanhamento da situação de
não conformidade; sistema de aprovação e autorização;
e um sistema de verificação e reconciliação.
Atividades de controle e segregação de funções
Princípio 6:
Um efetivo sistema de controle interno requer que haja
uma adequada e abrangente segregação de funções e
que o pessoal não receba responsabilidades conflitantes.
Áreas de potenciais conflitos de interesses devem ser
identificadas, minimizadas e sujeitas a monitoramento
cuidadoso e independente.
Informação e comunicação
Princípio 7:
Um efetivo sistema de controle interno requer que
existam adequados e abrangentes dados financeiros,
operacionais e de conformidade, bem como
informações externas de mercado sobre eventos
e condições relevantes para a tomada de decisão.
As informações devem ser confiáveis, tempestivas,
acessíveis e providas em formato consistente.
Informação e comunicação
Princípio 8:
Um sistema de controle interno efetivo requer que exista
um sistema de informações confiável que cubra todas
as atividades significativas do banco. Esses sistemas,
incluindo aqueles que detêm e utilizam dados em formato
eletrônico, devem ser seguros, monitorados de forma
independente e apoiados por adequados arranjos
de contingência.
Princípio 9:
Um sistema de controle interno efetivo requer
efetivos canais de comunicação que assegurem que
todo o pessoal compreenda e adira plenamente às
políticas e procedimentos que afetam suas funções e
responsabilidades, e que outras informações relevantes
sejam disponibilizadas ao pessoal apropriado.
Atividades de monitoramento e correção
de deficiências
Princípio 10:
A efetividade geral dos controles internos do banco deve
ser monitorada de forma contínua. O monitoramento dos
principais riscos deve fazer parte das atividades diárias
do banco, bem como avaliações periódicas pelas linhas
de negócio e auditoria interna.
Princípio 11:
Deve existir uma auditoria interna efetiva e abrangente
do sistema de controle interno efetuado por pessoal
operacionalmente independente, apropriadamente
treinado e competente. A função de auditoria interna,
como parte do monitoramento do sistema de controle
interno, deve reportar diretamente ao conselho de
administração ou ao comitê de auditoria e à diretoria.
Atividades de monitoramento e correção
de deficiências
Princípio 12:
As deficiências de controle interno, quando identificadas
por linha de negócios, auditoria interna ou outros agentes
de controle, devem ser comunicadas tempestivamente
ao apropriado nível de gestão e tratadas prontamente.
Deficiências materiais de controle interno devem ser
comunicadas à diretoria e ao conselho de administração.
Avaliação dos sistemas de controle interno
pelas autoridades supervisoras
Princípio 13:
Os supervisores devem exigir que todos os bancos,
independentemente do tamanho, tenham sistema de
controles internos que seja consistente com a natureza,
a complexidade e o risco inerente às atividades
contidas no balanço e fora do balanço e que responda a
alterações no ambiente e nas condições do banco. Nos
casos em que os supervisores determinem que o sistema
de controle interno de um banco não é adequado ou
efetivo para seu perfil de risco (por exemplo, não abrange
todos os princípios contidos neste documento), devem
tomar as medidas apropriadas.
A longevidade desse documento do
Comitê de Basileia não se dá por acaso. Os
princípios que aqui estamos trazendo são
potentes, abarcando diretamente os níveis
de governança, incluindo a auditoria interna,
de gestão e de comunicação, podendo
ser largamente identificados no ambiente
regulatório nacional e internacional voltado
aos controles internos.
Sistema de controles internos
Já sabemos que o sistema de controles internos é um componente imprescindível para que uma instituição alcance seus objetivos estratégicos e
assegure a sua longevidade.

Esse sistema pode ser entendido como um conjunto de políticas, processos, funções, atribuições e alçadas, procedimentos e ferramentas e
deve ser estruturado para articular e integrar os demais processos, áreas e pessoas da instituição, de modo a assegurar a eficiência e a eficácia
das operações, a mitigação dos riscos inerentes, o tratamento dos desvios, bem como garantir um fluxo de informações/dados operacionais,
financeiros e de conformidade confiáveis com comunicação em tempo hábil para avaliação contínua das atividades executadas. Deve permitir à
Alta Administração exercer suas responsabilidades com razoável grau de segurança quanto às decisões sobre as melhores alternativas de alocação
de recursos (físicos, tecnologia, financeiros e humanos), com vistas a obter os resultados pretendidos na estratégia.
Segundo o COSO – Controle interno – Estrutura Integrada (aqui denominado COSO ICIF 2013), um
sistema de controles internos é composto por 5 componentes integrados e sustentados por 17
princípios. Esses componentes e princípios devem estar presentes e operar juntos de forma coerente
e integrada, para que o sistema de controles seja considerado efetivo. Transcrevemos, a seguir, esses
componentes e princípios.

Ambiente de controle

I. A organização demonstra ter comprometimento com a integridade e os

valores éticos.

II. A estrutura de governança demonstra independência em relação aos

seus executivos e supervisiona o desenvolvimento e o desempenho do
controle interno.

III. A administração estabelece, com a supervisão da estrutura de

governança, as estruturas, os níveis de subordinação e as autoridades e
responsabilidades adequadas na busca dos objetivos.

IV. A organização demonstra comprometimento para atrair, desenvolver e

reter talentos competentes, em linha com seus objetivos.

V. A organização faz com que as pessoas assumam responsabilidade por

suas funções de controle interno na busca pelos objetivos.
 Avaliação de risco

VI. A organização especifica os objetivos com clareza suficiente, a fim de permitir

a identificação e a avaliação dos riscos associados aos objetivos.

VII.
A organização identifica os riscos à realização de seus objetivos por toda a
entidade e analisa os riscos como uma base para determinar a forma como
devem ser gerenciados.

VIII. A organização considera o potencial para fraude na avaliação dos riscos à

realização dos objetivos.

IX. A organização identifica e avalia as mudanças que poderiam afetar, de forma

significativa, o sistema de controle interno.

Ambiente de controle

A organização seleciona e desenvolve atividades de controle que

X. contribuem para a redução, a níveis aceitáveis, dos riscos à realização
dos objetivos.

A organização seleciona e desenvolve atividades gerais de controle

XI. sobre a tecnologia para apoiar a realização dos objetivos.

XII. A organização estabelece atividades de controle por meio de políticas

que estabelecem o que é esperado e os procedimentos que colocam
em prática
essas políticas.
 Informação e comunicação

XIII. A organização obtém ou gera e utiliza informações significativas e de

qualidade para apoiar o funcionamento do controle interno.

XIV.
A organização transmite internamente as informações necessárias
para apoiar o funcionamento do controle interno, inclusive os objetivos
e responsabilidades pelo controle.

XV.
A organização comunica-se com os públicos externos sobre assuntos
que afetam o funcionamento do controle interno.

Atividades de monitoramento

XVI. A organização seleciona, desenvolve e realiza avaliações contínuas

e/ou independentes para se certificar da presença e do funcionamento
dos componentes do controle interno.

XVII.
A organização avalia e comunica deficiências no controle interno em
tempo hábil aos responsáveis por tomar ações corretivas, inclusive a
estrutura de governança e alta administração, conforme aplicável.
 I M P O R TA N T E

Vale comentar que os componentes e

princípios do COSO ICIF 2013 estão refletidos
também no documento do Comitê de
Basileia, de 1998, intitulado “Framework
for Internal Control Systems in Banking
Organisations”, comentado anteriormente
no item 2.5.1, o que demonstra uma sinergia
entre orientações de reguladores e
diferentes modelos disponíveis para
as organizações.
Ambiente de
controles internos
O ambiente de controle é um componente essencial
de um sistema de controles internos eficiente e
eficaz da instituição. Reflete a importância dada
pela Alta Administração em relação ao nível desejado
da maturidade da cultura de riscos, controles e
conformidade. Está diretamente relacionado com a
integridade e com a ética das pessoas, a compreensão do
propósito da instituição, com as competências técnicas,
desenvolvimento e retenção de talentos e o grau de
comprometimento esperado.

Portanto, cabe aos membros do conselho de

administração e da diretoria ditar o tom dos padrões
éticos, de integridade e conformidade, definir os limites
de autoridade, os incentivos de comprometimento e
de cooperação, os quais deverão ser seguidos por todos
os colaboradores, com o objetivo da maior eficácia
dos processos, redução dos riscos materiais,
tratamento adequado dos desvios e promoção de
melhorias contínuas.
Esses fatores são essenciais para a qualidade
do ambiente de controles internos e devem
ser formalizados e comunicados para toda a
instituição por meio dos códigos de ética e
conduta, políticas, processos e manuais de
procedimentos, provendo, assim, disciplina,
estrutura e clareza para todos os funcionários
sobre as atitudes e comportamentos
esperados (fazer o que é certo, da maneira
correta e no prazo estabelecido, com
responsabilidade, competência técnica
e retidão).

Mas somente o tom desejado, a sua

declaração formal e a sua comunicação não
bastam. Há necessidade de o exemplo vir
de cima, na prática diária na condução dos
negócios e nos padrões de comportamentos,
dentro e fora da instituição. Mesmo
que haja códigos e políticas, a falta de
comprometimento dos membros da Alta
Administração obstaculizará o atingimento do
nível de maturidade e engajamento esperados
dos colaboradores em relação à cultura de
controle ex ante facto da instituição.
Cultura de riscos e de controle: disseminação e treinamento
Um elemento significativo para o ambiente eficaz de controles internos é caracterizado por uma forte cultura de riscos e de controles,
agregando uma visão global dos riscos que a instituição está exposta, a partir do topo.

Neste sentido, cabe à Alta Administração a responsabilidade de enfatizar a importância da cultura consciente dos riscos e dos controles,
consistente com os direcionadores (propósito, missão, visão e valores) e objetivos estratégicos da instituição, bem como assegurar os
mecanismos para disseminar a cultura de riscos e controles a todos os níveis hierárquicos.

A cultura de riscos e de controles influencia a forma como as atividades são estruturadas e executadas, como se estabelecem os objetivos e
se medem e controlam os riscos e, principalmente, como se executam todas essas atividades.
Uma cultura de riscos e controles consolidada permite a cada membro
da instituição a clareza sobre o desempenho das suas atividades de
forma responsável (comprometimento de fazer o que é correto, da
maneira correta, no prazo e com a qualidade esperada), compreender
os riscos inerentes aos processos e os controles necessários para
mantê-los dentro dos níveis considerados aceitáveis; agir dentro
dos limites de sua autoridade e competência, de forma ética e em
conformidade com as políticas estabelecidas, assim como comunicar
ao nível apropriado de gestão quaisquer problemas nas operações e
desvios de conduta ou outras violações que forem percebidas. Nesse
contexto, espera-se que a cultura de riscos e controles incentive o
trabalho em equipe e a cooperação entre as áreas, promovendo o
processo de melhoria contínua.

Com isso, as políticas, os códigos e os

procedimentos com direcionamentos e orientações
claras (conceitos fundamentais em uma linguagem
comum e palatável aos diversos públicos internos),
formalizados e disponibilizados a todos os
colaboradores, fornecem base efetiva para o
entendimento da cultura de riscos e controles
internos da instituição.
Adicionalmente, além da realização rotineira de
treinamentos e de reciclagem de qualificação e
competência técnica para execução das atividades, é de
bom tom que se conte com a implementação de programas
de conscientização e de disseminação de cultura de riscos
e controles para todos os funcionários, inclusive para
os novos colaboradores. Dessa forma, a adoção de uma
política de recursos humanos abrangente que contemple
esses aspectos é imprescindível.

Uma prática que pode contribuir efetivamente para a

cultura de riscos e controles é construir um planejamento
anual de atividades de treinamento e outras ações (ou
seja, uma matriz de ações/eventos), abrangendo de
forma integrada os diversos vetores envolvidos, tanto
por demanda regulatória (riscos, controles, compliance,
temas específicos como prevenção à lavagem de dinheiro
e combate ao financiamento do terrorismo etc.), como por
conta da avaliação interna da instituição.
Níveis de maturidade
A maturidade corporativa pode ser verificada quando todas
as pessoas de uma instituição, em todos os níveis hierárquicos
e competências requeridas, compreendem o seu papel, sua
função e as suas responsabilidades e se importam em realizar
as atividades de forma ética e colaborativa, de acordo
com as políticas e os procedimentos estabelecidos. Nesse
contexto, os proprietários dos riscos e dos controles são
claramente definidos e a segregação de responsabilidades é
exercida efetivamente, sendo que a conscientização permeia
toda a instituição.

Esse ambiente de maturidade pode ser claramente

encontrado em modelos internacionalmente utilizados para o
tratamento de riscos e controles.
Nesse sentido, e conforme mencionado anteriormente,
o COSO ICIF 2013 elenca alguns princípios sobre as
características comportamentais de comprometimento,
ética, integridade e responsabilidade na condução dos
controles e busca pela eficácia operacional, como essenciais
para qualidade do Ambiente de Controles.
Outra referência pode ser feita ao Modelo de Linhas,
já aqui considerado, que recomenda que os papéis e
responsabilidades das estruturas, dos processos e os
relacionamentos destes entre si devem atuar de forma
integrada e alinhadas aos objetivos estratégicos, no formato
de três linhas e com funções distintas.

Com isso, e como boa prática, as organizações devem realizar

uma avaliação contínua das suas estruturas de governança,
da segregação de responsabilidades em todos os níveis
hierárquicos e do nível de comprometimento e capacitação
dos seus colaboradores. Ou seja, o desenvolvimento e a
aplicação de métodos para medir o nível de maturidade
da compreensão dos funcionários sobre o propósito da
instituição, dos papéis e das responsabilidades individuais
e coletivas, para mapear as lacunas e aplicar treinamentos
e programas de engajamento e conscientização,
constituem ações que agem para o objetivo de melhoria e
aperfeiçoamento do ambiente de controles internos.
A gestão por indicadores: KPI, KRI, KCI
Indicadores são métricas e, em um processo de gestão, constituem-se em ferramenta para obter e apresentar, de forma sistemática,
informações relacionadas:
• a tendências gerais e performance dos negócios;
• à avaliação das exposições de riscos;
• à eficácia dos controles internos.

Os resultados apurados pelos indicadores permitem à Alta Administração acompanhar a execução do planejamento estratégico, a avaliação
do desempenho, a evolução e as tendências, de maneira contínua, em relação ao cumprimento das metas e dos níveis de exposições aos
riscos. O conjunto de indicadores utilizados para fins de gestão deve ser orientado para interligar a estratégia, os recursos e os processos,
de tal forma que possibilite à instituição antecipar ameaças potenciais e oportunidades emergentes, a partir de fontes de informações
estruturadas, e subsidiar as tomadas de decisão oportunas e adequadas para a correção de ações planejadas, visando
o cumprimento dos objetivos estratégicos.
Portanto, os indicadores devem ser vinculados e aplicados às metas
de negócios, exposições de riscos relevantes e/ou para os controles
considerados chave de um risco específico relevante e indicar tendências.
Tipologia de indicadores
Uma forma de organizarmos os indicadores é identificá-los nos três tipos
distintos a seguir descritos, os quais devem se complementar para auxiliar
o monitoramento:
• KPI - Indicadores Chave de Desempenho (performance): fornecem
informações sobre o status dos processos de negócios, operações e
dados financeiros que, por sua vez, podem detectar também problemas
operacionais, falhas e perdas potenciais;
• KRI - Indicadores Chave de Risco: são usados para monitorar os
principais fatores de exposição associados aos principais riscos;
• KCI - Indicadores Chave de Controle: têm por objetivo medir a
eficiência/eficácia do ambiente de controles internos, em termos de
alcance e cobertura dos controles (frente aos riscos para os quais
foram construídos) quanto ao seu funcionamento.
Exemplos de indicadores chave:
KPIs: retorno sobre patrimônio, retorno de
investimentos, retorno sobre ativos, despesas
administrativas sobre ativos etc.
KRIs: percentual de atrasos maiores de 60 dias
sobre a carteira de crédito, índice de Basileia,
concentração da carteira de crédito, indicador de
liquidez de curto prazo e de longo prazo, operações
fraudadas sobre o total de operações realizadas,
operações de crédito com falhas na formalização
de garantias sobre o total de operações de crédito
com garantias etc.
KCIs: treinamentos realizados (controles
internos, compliance, PLD etc.) para funcionários
da instituição sobre o total de funcionários,
apontamentos das auditorias (interna e
independente) e dos órgãos de fiscalização
sobre total de apontamentos, planos de ação
implementados sobre total de planos de ação
mapeados etc.
Ambiente de controles internos
Características dos indicadores

É desejável que o indicador atenda às seguintes características:

• Relevância: ser vinculado e aplicado às metas de negócios, exposições

de riscos relevantes e/ou para os controles considerados chave de um
risco específico relevante.

• Mensurável: capaz de fazer medições e com alto grau de acerto.

• Comparabilidade: utilizar padrões de mercado e/ou métricas que já

estão disponíveis (valores comparáveis ao longo do tempo: números,
proporções, duração etc.).

• Simplicidade/oportunidade: ser de fácil coleta, verificação da sua

qualidade e distribuição, ser de fácil compreensão e interpretação.

• Sensibilidade: possuir parâmetros (baixo, moderado e crítico etc.)

adequados e sensíveis o suficiente para detectar alterações de
performance, exposição de riscos e fragilidade de controles.

• Responsabilidade: cada indicador deve ter o seu proprietário responsável

pela supervisão, operação e exposição ao risco subjacente, causa raiz ou
eficiência dos controles.

• Trilha de auditoria: ser verificável e rastreável.

• Cobertura: cobrir a performance das metas definidas no planejamento

estratégico, as principais exposições de risco e os controles chave das
atividades e/ou processos críticos.

• Previsibilidade: ser preditivo em termos de tendências e mudanças no

perfil de negócios e dos riscos.
Quanto às métricas, os indicadores podem ser classificados em dois tipos
Exemplos de fontes para estabelecimento
de categorias:
de indicadores:
• Absolutos: consideram valores ou quantidades em relação a limites definidos;
• O mapeamento de riscos, os questionários/testes de
• Relativos: consideram a relação percentual entre duas variáveis, que podem
autoavaliação e a matriz de riscos fornecem informações
ser volumes e valores.
sobre exposições dos riscos residuais críticos,
representando as perdas esperadas;

Fontes para estabelecimento dos indicadores de riscos, • O exercício de análise de cenários fornece informações
controles e compliance sobre as perdas inesperadas (eventos extremos);

• A base de perdas fornece o resultado dos

Um fenômeno a ser observado consiste no fato de que os indicadores riscos incorridos;
utilizados na atividade de monitoramento dos controles internos são
conectados a diferentes ferramentas de gerenciamento de riscos e de • A declaração de apetite por riscos indica os limites
compliance, e mesmo de performance. máximos de riscos assumidos;

• Os apontamentos das auditorias (interna e

independente) e dos órgãos de fiscalização fornecem
indicadores sobre irregularidades e fragilidades.
Na formulação e no estabelecimento dos indicadores é
importante que haja um alinhamento entre as áreas da
primeira linha e as áreas da segunda linha sobre as métricas a
serem utilizadas (quantidade, proporção etc.), os parâmetros
de medição e os níveis de tolerância e criticidade (baixo,
moderado e crítico), bem como a periodicidade de reporte
dos resultados.

Limites e níveis de tolerância e de criticidade

Os indicadores devem possuir limites e níveis de tolerância
estabelecidos por meio de análises com base nos dados reais
disponíveis, quando possível, e/ou na simulação de cenários.
O desenvolvimento e a implantação de indicadores precisam
considerar a hierarquia das atividades da instituição. Ademais,
a gestão dos indicadores deve considerar estes de forma
conjunta e simultânea.

Como boa prática, os resultados das medições dos

indicadores devem ser cruzados entre si, de forma a
apresentar informações das correlações entre os indicadores
e sobre as tendências de curto, médio e longo prazo, bem
como considerar gatilhos para elevar aos níveis superiores da
instituição a informação tempestiva quanto à aproximação
ou à extrapolação de limites estabelecidos, inclusive para
acionamento de planos de mitigação.
Exemplos de cruzamento de indicadores:

• As medições de um KPI de receitas apontam crescimento

acentuado das vendas e com tendências crescentes, para
o qual não havia previsão no planejamento estratégico. O
alerta gerado, mesmo que positivo para a instituição, deve ser
confrontado com as medições dos KRIs (indicadores de riscos),
para verificar se o referido aumento das vendas está alinhado
com os níveis declarados no apetite por riscos. O raciocínio
também se aplica a situações inversas e de estresse.

• Os resultados dos KCI (indicadores de controles internos)

apontam que os controles estão performando conforme foram
estabelecidos. No entanto, os resultados dos KRIs apontam
que os níveis de exposição aos riscos tendem a crescer. Esta
situação pode denotar que as causas raiz (fatores de riscos)
tenham sido alteradas, eventualmente devido a mudanças de
processos ou na forma de comercialização de produtos etc.
e, portanto, os controles, mesmo funcionado conforme as
especificações, não estariam mitigando totalmente os riscos.
A adoção de indicadores como boa prática no gerenciamento dos riscos corporativos e dos controles internos está em linha com
os componentes do COSO ERM 2017, nos itens referentes a:

• Análise e revisão: Ao analisar sua performance, a organização tem a oportunidade de refletir sobre até que ponto os
componentes do gerenciamento de riscos corporativos estão funcionando bem ao longo do contexto de mudanças relevantes, e
quais correções são necessárias.

• Informação, comunicação e divulgação: O gerenciamento de riscos corporativos demanda um processo contínuo de obtenção e
compartilhamento de informações precisas, provenientes de fontes internas e externas, originadas das mais diversas camadas e
processos de negócios da organização.
Monitoramento, análise e reporte

É competência das áreas da primeira

e da segunda linhas a execução do
monitoramento e as análises dos resultados
da medição dos indicadores. As análises
permitem o gerenciamento proativo das
exposições a riscos e a cobertura dos
controles internos, sendo assim capaz de
antecipar riscos potenciais e emergentes.

Quando os resultados das medições

dos indicadores apresentarem alertas
considerados de gravidade, caberá às
áreas da segunda linha desafiar as áreas da
primeira linha quanto aos esclarecimentos
sobre as circunstâncias que originaram a
materialização dos desvios.

As áreas da primeira linha, por sua vez,

devem analisar e informar se os desvios
revelam tendências ou são decorrentes de
situações pontuais.
Ações de remediação

As áreas da primeira linha devem fornecer

descrição das ações que foram ou serão
realizadas para os indicadores que
apresentaram medições consideradas de
gravidade, para que recuperem o status de
nível “aceitável ou baixo”.

As áreas de segunda linha devem avaliar

a coerência e eficácia das ações de
remediação e alinhar, com as áreas da
primeira linha, as responsabilidades e
cronograma de implantação.

Conforme as avaliações das ocorrências

e tendências, eventualmente pode ser
que haja a necessidade de recalibrar os
parâmetros e limites de tolerância dos
indicadores vis-à-vis o apetite por riscos
da instituição, o que deve ser submetido à
aprovação dos fóruns da governança.
Escalonamento

Conforme as situações de criticidade, as áreas da segunda linha devem escalar tempestivamente, aos fóruns adequados
da governança, as ocorrências de desvios dos indicadores e as tendências de aumento de exposição dos riscos e quais
ações de remediação foram e/ou devem ser implementadas.
A política de controles internos Políticas que tratam dos controles internos, assim como
as demais políticas, são um componente do ambiente de
controles internos. Consistem em normas internas que devem
expressar os objetivos do sistema de controles internos e
seu alinhamento aos direcionadores (missão, visão e valores)
e aos objetivos estratégicos da instituição, bem como
devem ser do conhecimento de todos os níveis hierárquicos.
Portanto, visam assegurar que a execução das atividades de
negócios e das operações esteja em conformidade com as
diretrizes definidas pela Alta Administração.

Segundo o COSO ICIF 2013, políticas e procedimentos de

controles internos constituem instrumento de apoio pelo
qual todos os níveis da instituição compreendem os riscos
envolvidos nas atividades, processos e funções, bem como
as ações de controles (preventivas, detectivas e corretivas)
necessárias para assegurar o alcance os objetivos
estratégicos. Buscam padronização do entendimento comum
sobre os conceitos de controles internos e como estes são
aplicados dentro da instituição (o que é esperado e exigido).

Além de ser uma boa prática, no caso das instituições

financeiras, a regulação trata dos sistemas de controles
internos e da políticas e procedimentos envolvendo
esses controles.
No documento “Framework for Internal Control
Systems in Banking Organisations” do Comitê
de Basileia, sobre o qual já tratamos, o princípio
2 comenta que a diretoria deve ser responsável
pelo estabelecimento de políticas adequadas
de controle interno e pelo monitoramento
da adequação e efetividade do sistema de
controle interno. Já o princípio 9 destaca
que deve ser assegurado aos colaboradores
o acesso e a compreensão das políticas de
controles internos.
Em linha com o Comitê de Basileia, o Conselho
Monetário Nacional, por meio de norma
específica, determina que as instituições
financeiras contem com sistemas de controle
compatíveis com a sua natureza, o seu porte,
a sua complexidade, a sua estrutura, o seu
perfil de risco e o seu modelo de negócio. Os
sistemas de controles internos são ali tratados
quanto a aspectos que envolvem:
• Cultura de controle;
• Identificação e avaliação de riscos;
• Atividades de controle e segregação
de funções;
• Informação e comunicação;
•Monitoramento.
Além disso, os sistemas de controles internos
devem ser objeto de acompanhamento e
reporte.Como vemos, os aspectos acima
mencionados constituem em uma sólida
arquitetura para a construção de uma robusta
estrutura de políticas sobre controles internos.
Adicionalmente, como boa prática, as políticas
que tratem de controles internos devem ser
acompanhadas de manuais de procedimentos
para apoiar os gestores, com orientações
detalhadas para implementar e operar os
controles adequados aos processos e atividades
cotidianas, realização de mapeamentos, testes
de controles etc.
Vale aqui, ainda, registrar que as instituições
financeiras apresentam de formas variadas
a sua arquitetura de políticas de controles
internos. Nesse sentido, enquanto constatamos
instituições que contam com uma específica
política de controles internos, vemos outras
inserindo a consideração do sistema de
controles na política de gerenciamento de
riscos, ou mesmo consolidando em uma só
política os temas dos controles e de compliance.
De todo modo, deve-se considerar que, ao
constituírem um tema tratado de forma
contínua e ampla na instituição, os controles
acabam permeando o conjunto de políticas
e procedimentos.
Conceitos de controles internos
Em uma instituição, os conceitos utilizados nos sistemas de controles internos
devem expressar, para a comunidade interna, os significados de controles “Controle interno é um processo
(conjunto de processos, procedimentos e atividades), com o objetivo de assegurar
conduzido pela estrutura de
o alcance das metas estratégicas, mantendo em níveis aceitáveis os riscos aos
governança, administração e
quais a instituição está exposta.
outros profissionais da entidade,
Ou seja, o estabelecimento de conceitos visa estabelecer uma padronização sobre e desenvolvido para proporcionar
os termos dos riscos e dos controles a serem observados por todos os níveis segurança razoável com respeito à
hierárquicos da instituição, de forma que haja uma interpretação uniforme. realização dos objetivos relacionados a
operações, divulgação e conformidade.”
Conceitos e fundamentos
Um documento utilizado mundialmente para estabelecer os contornos do
sistema de controles internos é dado pelo COSO ICIF 2013. Ali, encontramos
os seguintes enquadramentos:
Essa definição reflete alguns conceitos fundamentais. O controle interno é:

• Conduzido para atingir objetivos em uma ou mais categorias –

operacional, divulgação e conformidade.

• Um processo que consiste em tarefas e atividades contínuas – um Nas próprias palavras do COSO ICIF 2013, essa
meio para um fim, não um fim em si mesmo.

“definição é intencionalmente abrangente.

• Realizado por pessoas – não se trata simplesmente de um manual de Ela captura conceitos importantes que são
políticas e procedimentos, sistemas e formulários, mas diz respeito a
fundamentais para a forma como as organizações
pessoas e às ações que elas tomam em cada nível da organização para
realizar o controle interno.
desenvolvem, implementam e conduzem o
controle interno, proporcionando uma base para
• Capaz de proporcionar segurança razoável - mas não absoluta, para a aplicação a todas as organizações que operam em
estrutura de governança e alta administração de uma entidade. diferentes estruturas de entidades, indústrias e
regiões geográficas”.
• Adaptável à estrutura da entidade – flexível na aplicação para toda
a entidade ou para uma subsidiária, divisão, unidade operacional ou
processo de negócio em particular.
Objetivos

Ainda seguindo a estrutura de conceitos proporcionado pelo COSO ICIF 2013,

o controle interno se destina a categorias de objetivos, o que permite às
organizações se concentrarem em diferentes aspectos do controle interno.
Esses objetivos são os seguintes:

Operacional: Divulgação: Conformidade:

Esses objetivos relacionam-se à Esses objetivos relacionam-se a Esses objetivos relacionam-se ao

eficácia e à eficiência das operações
da entidade, inclusive as metas de
desempenho financeiro e operacional
e a salvaguarda de perdas de ativos.
divulgações financeiras e não financeiras, cumprimento de leis e regulamentações
internas e externas, podendo abranger às quais a entidade está sujeita.
os requisitos de confiabilidade,
oportunidade, transparência ou outros
termos estabelecidos pelas autoridades
normativas, órgãos normatizadores
reconhecidos, ou às políticas da entidade.
Indo além do COSO ICIF 2013, temos outros fundamentos de controles internos comumente comentados nas literaturas especializadas, a
exemplo dos seguintes:

• Os objetivos de controle (individualmente) devem ser específicos, adequados, oportunos, completos (e no seu conjunto abranger todos os
aspectos das atividades e processos) e proporcionar razoável nível de confiança e estar integrados e alinhados aos objetivos globais
da instituição.

• O controle interno deve ser executado de forma sistemática, consistente, eficiente e eficaz para mitigar os riscos associados a atividades,
a fim de assegurar que os resultados esperados de um processo sejam alcançados, em conformidade com o padrão estabelecido.

• As atividades, operações e o tratamento dos eventos relevantes somente poderão ser autorizados e executados pelos responsáveis
designados e que atuem dentro do âmbito de suas competências e limites formalmente estabelecidos nas políticas e nos manuais
de procedimentos.

• A estrutura de um controle interno deve prever a separação (segregação) entre as funções de autorização ou aprovação de operações e a
execução. As responsabilidades de autorização, tratamento e revisão de operações e eventos devem ser designadas a pessoas diferentes.

• As operações e os eventos devem ser registrados no período de competência temporal devido (respeitada a cronologia das ocorrências) e
classificados conforme definições dos normativos internos.

• Os registros das operações/eventos, assim como a execução dos controles internos (evidências) devem possuir documentação
comprobatória e devem ser mantidos atualizados, seguros e organizados por prazo adequado e disponíveis de forma a permitir a
reconstituição, a comprovação e o cumprimento dos normativos internos e das exigibilidades legais e regulatórias.
• O controle interno deve assegurar que toda transação realizada esteja em conformidade com as condições de mercado (preço, taxa,
câmbio, prazo, etc.), no respectivo período ou intervalo de tempo em que as transações ocorreram.

• Toda transação deve ser completa, autorizada, documentada e registrada em algum meio ou log de sistema, constituindo-se na trilha de
auditoria que permita o rastreamento e a reconstituição posterior de toda a sequência da transação.

• O acesso (físico e/ou lógico) aos ativos/recursos e registros deve ser limitado às pessoas autorizadas e formalmente designadas, as quais
por sua vez estão obrigadas a prestar contas da custódia ou utilização dos desses.

• As pessoas envolvidas nas atividades e funções de controles internos devem possuir qualificação adequada e serem atualizadas com
treinamento periódico, bem como é salutar que haja rodízio entre os funcionários designados.

• Todos os processos, funções, rotinas, atribuições e responsabilidades e, da mesma forma, produtos e serviços ofertados aos clientes,
devem formalmente constar em manuais internos de procedimentos, os quais, por sua vez, devem ser periodicamente atualizados.

• O desenvolvimento ou a alteração de sistemas, assim como a aprovação de novos produtos e serviços devem ser documentados e
arquivados e ficarem à disposição a qualquer momento.
Controles: classificação
das tipologias, frequências
e aplicações
Uma forma de tratarmos os controles internos se
dá por meio de sua classificação. A seguir trazemos
algumas possibilidades:

Tipologia

• Controles preventivos: são aqueles controles

internos cujas ações têm um enfoque “a priori”
(ex ante facto) e atuam como barreiras sobre
as causas dos riscos, para evitar desperdícios e
irregularidades (não intencionais e intencionais, tais
como omissões e fraudes) durante os fluxos dos
processos e realizações das transações.

• Controles detectivos e corretivos: são controles

cujas ações têm um enfoque a “posteriori” (ex post
facto) e atuam sobre os efeitos materializados
(detectar erros e fraudes que já tenham ocorrido)
a tempo de minimizar os impactos e providenciar
as devidas correções e reparações.
São controles complementares aos
controles preventivos e reforçam o sistema
de controles internos.
• Controles diretivos: trata-se de um conjunto de documentos
direcionadores das ações e comportamentos desejados para o
ambiente de controles internos. São constituídos pelas políticas,
manuais de procedimentos e códigos de ética e conduta.

Exemplos de controles por tipologia:

• Controles preventivos: autorizações, segregação de

funções, normatização interna, alçadas, aprovação/
rejeição de crédito, aprovação de pagamentos, alçadas
automáticas dentro dos sistemas; utilização de crachá
para entrada na portaria ou em áreas restritas, senhas
e autorizações de acessos a sistema, aprovação de
lançamentos manuais, conferência de contratos e
documentos antes do pagamento etc.

• Controles detectivos e corretivos: revisão de acessos

a sistemas, aprovação de reconciliações, revisão de
inadimplências de contratos aprovados recentemente,
autoavaliação e revisão de primeiro nível, checagem
periódica de relatórios de exceção, revisão de logs de
acesso etc.
Frequência dos controles

A execução dos controles é consequência direta da periodicidade dos processos,

para os quais foram especificados. Assim sendo, a frequência do controle pode
ser classificada como: diária; semanal; quinzenal; mensal; trimestral; semestral;
anual; e a cada transação/ação (casos em que o controle seja de frequência As evidências da execução dos
esporádica ou por solicitação). controles desta natureza são de
caráter documental/física.
Natureza dos controles e tipo de evidências
• Controles manuais: são as ações de controles executadas por manuseio/
intervenções realizadas por pessoas diretamente envolvidas nos processos. As evidências de controles
desta natureza são de caráter
• Controles sistêmicos (automáticos): são as ações de controle configuradas magnética/digital.
em sistemas/plataformas sistêmicas e aplicativos, executadas com autonomia
parametrizada (sem intervenção/julgamento humano).
As evidências de controle
• Controles híbridos (semiautomáticos): são ações de controle parcialmente geradas nestes casos podem
operados por intervenção humana com os sistemas. São identificados pelo uso ser físicas e eletrônicas.
de aplicações sistêmicas e que necessitam de intervenção de pessoas para a
sua consecução.
 Exemplos de controles por natureza: Categorização

• Controles manuais: documentos rubricados Quanto à sua forma e aplicação, os controles podem
(vistados) de conferência, cópias de ser categorizados como sendo de:
documentos de conciliação manual etc.
• Autorização: o principal objetivo é assegurar que
• Controles sistêmicos (automáticos): as transações estão sendo autorizadas por alçada
registros eletrônicos e logs de execução (trilha competente. Exemplos:
de log) de conferência automática.
• Estabelecimento de limites e alçadas;
• Controles híbridos (semiautomáticos): Aprovação de operações.
exemplo: prints de telas, registros eletrônicos
e log de usuários autorizados.
• Verificação: o principal objetivo é validar a precisão
e a integridade das operações e seus resultados.
Importância do controle Exemplos:
• Validação;
• Controle chave: a ação do controle mitiga o risco
• Inventários de ativos/operações;
completamente por si só ou conjuntamente com
• Análise de diferenças;
outros controles. Neste caso, todos os controles
• Checagem de dados;
envolvidos são considerados chave.
• Recálculos;
• Revisão e análise de performance.
• Controle não chave: o controle não mitiga
adequadamente (sozinho ou conjuntamente com
outros controles).
• Conciliação/reconciliação: o principal objetivo é
a confirmação das operações e seus resultados.
Exemplos:
• De contas;
• De arquivos;
• Registros.

• Segurança e tratamento da informação: tem

por objetivo assegurar a proteção aos dados e
ativos relevantes, bem como a gestão de acessos
limitados/autorizados. Exemplos:
• Estabelecimento de níveis de acesso às
aplicações/sistemas e instalações físicas;
• Mecanismos de proteção e otimização
da informação.
Controles compensatórios
Os controles compensatórios são classicamente considerados como aqueles
que têm por finalidade (como o próprio nome sugere) compensar as falhas dos
controles primários avaliados como ineficazes. Todavia, não substituem as
atividades de controles endereçadas originariamente nos processos.

Portanto, são adotados temporariamente (caráter de transitoriedade) até que

sejam implantados efetivamente os planos de ação corretivos das deficiências
de controles. Então, essa conceituação faz todo sentido para os riscos de
exposição considerados elevados.

No entanto, o conceito de controle compensatório não se limita a este tipo

de transitoriedade para a cobertura de riscos relevantes, podendo ser mais
abrangente. Envolve também uma avaliação de custo-benefício.

Por exemplo: para os riscos inerentes de níveis de exposição considerados

baixos (impactos de baixa materialidade), a adoção de atividades de
controles (verificação e validação) e segregação de funções pode
implicar em custos não compatíveis, portanto, encarecendo o processo.

Para esses casos, a instituição pode preferir adotar outros mecanismos de

controles que não estão diretamente relacionadas à execução do processo,
e que atuam de forma paralela e complementar, a exemplo de análise de
desempenho, revisão independente das atividades, inventários físicos etc.

Quando nessa condição, o controle é denominado também de compensatório.

Categorização das deficiências de
controle (imaterial ou significativa)
A identificação das deficiências nos controles internos é resultante
da realização dos monitoramentos e dos testes de efetividade. Essas
deficiências podem indicar a existência de falhas no desenho, na
implementação ou na eficácia operacional de uma atividade de controle.

Uma forma de se robustecer o tratamento das deficiências é atribuindo

minimamente conceitos, categorias e classificações que permitam não
somente uma adequada comunicação, mas também o gerenciamento das
ações prioritárias e necessárias dentro da instituição.
Para isso, a instituição terá que estabelecer definições internas que
viabilizem a construção de um pertinente dicionário de conceitos, categorias
e classificação de deficiências, levando em conta aspectos como:
• Conceito de deficiência;
• Deficiência de desenho do controle;
• Deficiência de implementação do controle;
• Deficiência de eficácia operacional do controle;
• Classificação por materialidade (por exemplo, por meio de uma matriz
de impacto e probabilidade), considerando: potencial impacto financeiro,
reputação, inconformidades legais e regulatórias, comprometimento dos
objetivos estratégicos etc.
Materialidade

Especificamente quanto à materialidade, alguns comentários podem ser úteis.

Na definição da materialidade podem ser considerados aspectos quantitativos como percentuais e valores em relação as receitas,
despesas, ativos e patrimônio líquido, bem como aspectos qualitativos, como capacitação das pessoas na execução dos controles,
políticas e procedimentos atualizados etc.

Comumente, a materialidade é formatada em uma escala métrica e objetiva por faixas de probabilidade de ocorrência das incidências e
por valores financeiros e não financeiros vinculados, a qual deverá ser utilizada para direcionar o julgamento na avaliação dos controles, os
impactos das incidências e distorções nos informes gerenciais utilizados nas decisões e nas demonstrações financeiras.

Como boa prática, a elaboração e a definição da escala de materialidade devem ser realizadas pelas áreas de segunda linha e submetida
à aprovação dos fóruns da governança corporativa, uma vez que será utilizada como referência para reduzir o grau de subjetividade no
julgamento e categorização das deficiências encontradas nos trabalhos de testes de controles.

Embora a auditoria interna possa contar com sua visão própria de materialidade, um alinhamento sobre isso, entre as segunda e terceira
linhas, pode contribuir imensamente para uma efetiva comunicação interna.

Portanto, cada instituição deve definir a sua escala de materialidade que será utilizada para fins de avaliação dos controles internos.
Apenas a título de ilustração, apresentamos a seguir
um exemplo de escala de materialidade:

Incidência Probabilidade de Ocorrência Perdas Financeiras

Remota Inferior a ...% Inferior a R$...

Superior a R$... e inferior

Imaterial Superior a ...% e Inferior a ...%
a R$...

Superior a R$... e inferior

Leve Superior a ...% e Inferior a ...%
a R$...

Superior a R$... e inferior

Relevante Superior a ...% e Inferior a ...%
a R$...

Muito
Relevante Superior a ...% Superior a R$...
Documentação dos
controles internos
Toda atividade de controle deve ser formalmente documentada para
assegurar aos envolvidos, na condução dos processos, o conhecimento
necessário sobre as suas funções e responsabilidades, garantir o
cumprimento e a execução com segurança, uniformidade, tempestividade
e em conformidade com a política de controles internos da instituição.
Visa assegurar inclusive que as informações e dados sobre as transações,
eventos e seus registros utilizados para fins de tomada de decisão sejam
íntegros e confiáveis.

A documentação dos controles é ponto de partida para avaliação do

sistema de controles internos, seja pela segunda linha, seja pela auditoria
interna, seja ainda pela auditoria independente.

A Alta Administração é responsável pela definição da estrutura, dos

objetivos, das diretrizes de autorização e aprovação, do planejamento,
da implementação, da manutenção e da supervisão do funcionamento
adequado e pela documentação do sistema de controles internos da
instituição. Essas atribuições devem estar formalmente estabelecidas
na(s) política(s) de controles internos, que, por sua vez, deve(m) ser
objeto de comunicação a todos os gestores e funcionários da Instituição.
A documentação do sistema de controles considera, entre outros, os
manuais de procedimentos dos processos executados pelas diversas
áreas, os quais devem estar alinhados com as diretrizes estabelecidas
na(s) política(s) de controles. Os manuais descrevem como os diversos
processos são executados, as atribuições e responsabilidades das
diversas áreas envolvidas, as ações de controle mitigantes, numa
linguagem clara e acessível para a compreensão dos colaboradores
envolvidos na execução, de modo também permitir que um leigo
compreenda as atividades executadas.

Adicionalmente, cada controle individual deve ser formalmente

documentado: descrição detalhada sobre o seu objetivo (mitigar
causa dos riscos), especificação (desenho) sobre como e quando deve
funcionar (se manual, automático ou semiautomático), qual evidência
gerada, assim como qual o perfil/competência requerida do funcionário
envolvido na sua execução e alçada competente de validação
e aprovação.

Como muitas vezes essas informações sobre os riscos e seus controles

não são explicitadas nos manuais, surge a necessidade de se contar
com mecanismos para sua adequada documentação. Uma forma de se
tratar disso é o mapeamento de riscos e controles nos processos.
O mapeamento de riscos proporciona uma visão consolidada e
padronizada dos riscos inerentes e dos respectivos controles
internos mitigantes, as tipologias do controle (preventivo, detectivo/
corretivo), a frequência do funcionamento, a sua natureza (manual,
automático ou semiautomático), a sua importância (chave ou não
chave) e o responsável pelo controle interno.

Um ponto importante para consideração no que tange à

documentação dos controles internos é que esta deve ser
reavaliada e atualizada de forma sistemática, de modo a refletir
mudanças operacionais, de negócios, estratégicas ou decorrentes
de alterações regulatórias.
Autoavaliação dos controles Uma prática bastante utilizada no mundo dos controles internos e do
gerenciamento do risco operacional consiste na autoavaliação de riscos e
pelos gestores controles pelo gestores dos processos existentes na instituição.

Com isso, busca-se o mapeamento de riscos inerentes aos processos,

com a consequente identificação dos controles correspondentes, sendo
que planos de ação são estabelecidos, caso os controles não sejam
suficientes para alcançar o nível dos riscos residuais almejados, em
função do apetite por riscos existente na instituição.

As referências a esse modelo de abordagem geralmente são dadas como

Control Self Assessment (CSA), sendo que também são encontradas
referências pela denominação de Risk & Control Self Assessment (RCSA).

Em geral, vemos as duas terminologias - CSA e RCSA - sendo utilizadas

para expressar um ambiente de autoavaliação que identifica riscos
e correspondentes controles, passando ou não por workshop com a
participação do gestor do processo, de pontos focais de outras áreas e
de representantes da segunda linha, e incluindo os planos de ação para a
mitigação dos riscos inerentes ao nível desejado de risco residual.
Tendo em vista que as práticas de autoavaliação são definidas por cada instituição financeira, inclusive em função da evolução tecnológica
que permite plataformas de mapeamento de riscos e controles, atribuindo as duas citadas denominações sem rigorosa diferenciação, não
iremos, aqui, estabelecer definições próprias para diferenciar essas mesmas denominações, que serão tratadas de forma equivalentes.

A literatura aponta que o método CSA foi criado em 1987 pela empresa Gulf (setor petrolífero) e teve ampla divulgação pelo IIA- Instituto
Internacional dos Auditores Internos durante os anos 90, sendo que, em 2002, foi consagrada pela Lei norte americana Sarbanes-Oxley
(mais conhecida como SOX) e passou a ser exigência regulatória para as empresas e instituições financeiras sujeitas a esta legislação, a
qual ainda incluiu a identificação e documentação dos processos e dos controles chaves.

Comentemos a abordagem da autoavaliação

A autoavaliação pode ocorrer por meio de aplicação de questionários ou oficinas de autoavaliação (workshops), onde os gestores são
desafiados a respeito dos conhecimentos sobre os riscos inerentes aos processos que são responsáveis e as ações e procedimentos
de mitigatórios. Com o avanço tecnológico, plataformas estão viabilizando a implementação da autoavaliação em ambiente sistêmico,
facilitando a documentação dos riscos, dos controles e dos planos de ação para mitigação dos riscos. Com esse avanço, a atividade de
autoavaliação passa a poder ocorrer a qualquer momento.

Como resultado da autoavaliação, os gestores responsáveis identificam os controles que funcionam

conforme foram desenhados, os controles cujos desempenhos são precários e necessitam de
melhorias ou a implantação de novos controles.
A coordenação do processo de autoavaliação em geral é
depositada à área de gerenciamento do risco operacional ou
à área de controles internos, atuando como facilitadora do
processo e orientando os gestores sobre como a atividade deve
ser realizada. Na elaboração dos questionários e das pautas de
reuniões de workshops, bem como na preparação do ambiente
sistêmico, pode-se utilizar como referência os cinco elementos
e os dezessete princípios do COSO ICIF 2013 ou outras boas
práticas de gerenciamento de controles internos que se
acredita serem adequadas.

Tendo em vista a expertise da área de controles internos, pode

ser considerada uma boa prática ser a mesma responsável
por acompanhar os planos de ação para implementação de
controles inexistentes ou insuficientes, frente aos riscos
identificados.

A área coordenadora consolida, analisa e emite parecer sobre

os resultados do processo de autoavaliação da eficácia dos
controles (na visão dos gestores) e os pontos que merecem
atenção e priorização em função das exposições de riscos, e
submete aos fóruns da governança corporativa para ciência e
tomada de decisão.

A boa prática recomenda que o processo de autoavaliação

de controles internos seja realizado ao menos uma vez por
ano, tendo em vista as eventuais mudanças operacionais e/ou
negócios que podem impactar o sistema de controles internos.
Certificação de controles internos
Outra forma de autoavaliação, que derivou do tradicional
CSA e utilizada para atender a Lei Sarbanes-Oxley (SOX),
é o processo de certificação de controles internos.
Basicamente, os gestores em todos os níveis de uma
instituição deverão certificar se os controles internos sob
as suas responsabilidades funcionam adequadamente
para assegurar a confiabilidade das operações e das
informações financeiras. Os resultados do processo
de certificação deverão ser chancelados pelo diretor
financeiro e pelo presidente da instituição.
Este processo acabou sendo incorporado no Brasil pelas
grandes organizações financeiras e não financeiras
sujeitas à SOX. O processo também pode ser empregado
como uma boa prática, não se limitando, apenas, às
informações financeiras.
O processo é tipicamente do tipo “bottom up”, sendo
coordenado pela área de controles internos, sendo
os gestores responsáveis pela realização dos testes
(por amostragem de evidências de controles) quanto à
efetividade do funcionamento dos controles internos.
No processo de certificação de controles temos uma
abordagem quantitativa, visto que o julgamento sobre a
efetividade do controle é baseado em evidências.
Os resultados dos testes dos controles são formalizados
por meio de certificações. Cada nível hierárquico deverá
confirmar os resultados dos testes realizados. Ou seja, cada
gestor de uma estrutura hierárquica efetua os testes dos
controles e formaliza os resultados, emite um certificado, que
é encaminhado ao seu superior imediato. Este por sua vez,
deverá também realizar os testes dos controles sob a sua
responsabilidade direta. Na sequência, os resultados obtidos
deverão ser consolidados com os resultados certificados pelos
gestores da sua equipe e emitir outro certificado.
Os testes realizados e os respectivos certificados emitidos são
avaliados pela área de controles internos e, posteriormente,
pela auditoria interna, para assegurar a integridade
e a consistência do processo. Para os resultados que
apresentarem incidências consideradas relevantes (materiais)
deverão ser informados os planos de ação para melhoria do
ambiente de controles.
Avaliação independente pela
área de controles internos
Uma atividade essencial da área de controles internos consiste
na realização de testes independentes sobre a efetividade dos
controles internos.

Os testes realizados pela equipe de controles internos, em tese,

deverão corroborar os resultados obtidos pelas outras ferramentas
de avaliação e monitoramento dos controles, dos processos de
autoavaliação e certificação de controles.

Na definição do escopo e priorização dos testes a serem realizados

podem ser considerados os seguintes aspectos:

• As evidências de eventos com perdas materiais;

• Apontamentos das auditorias interna e independente, de órgãos de
regulação e fiscalização e demais instâncias internas e externas;
• Incidências relevantes decorrentes dos resultados dos processos
de autoavaliação e certificação de controles;
• Análise amostral das incidências leves e/ou remotas decorrente dos
resultados de autoavaliação e certificação de controles;
• Resultados das medições dos indicadores (KRIs e KCIs) que
ultrapassaram os limites estabelecidos;
• Análise amostral das medições dos indicadores (KRIs e KCIs) que
apresentaram resultados dentro dos limites estabelecidos;
• Análise amostral do desempenho dos controles apontados como
suficientes/fortes nos mapeamentos de processos.
Para as situações de discrepâncias encontradas nos
testes independentes realizados pela área de controles
internos versus os resultados das outras ferramentas de
avaliação e monitoramento e processos de autoavaliação
de controles, o gestor responsável deverá se posicionar e
apresentar as devidas justificativas, bem como correções
que forem pertinentes.

Os resultados altamente divergentes deverão ser

comunicados para as alçadas competentes avaliarem as
ações de remediação.
Periodicidade dos testes de controles
O planejamento da aplicação de testes de controles e sua periodicidade
devem levar em conta os seguintes fatores:
• Abrangência dos controles a serem testados: a avaliação dos controles
deve considerar o alcance dos testes de controles para as exposições
de riscos consideradas significativas e controles que já apresentaram
incidências relevantes, nos âmbitos operacional e de negócios,
comunicação, conformidade e estratégico.
• Política de controles internos: a avaliação deve atender os prazos
estabelecidos na própria política de controles.
• Regulatório: pode ocorrer que reguladores definam prazos para
elaboração e entrega de relatórios sobre os resultados de testes
de controles realizados. Também a periodicidade dos processos de
autoavaliação e de certificação de controles pode estar relacionada com
o atendimento de requerimentos regulatórios.
• Capacidade de execução pela equipe de Controles Internos: neste
item, deve-se considerar os testes de forma ampla, incluindo os testes
realizados por outras áreas; por exemplo: segurança da informação e
continuidade de negócios.

Como boa prática, o planejamento da periodicidade dos

testes de controles e dos processos de autoavaliação e de
certificação de controles deve ser alinhado com as demais
áreas de supervisão (gerenciamento de riscos e compliance)
e também com a auditoria interna, para evitar sobreposições
de agendas e impactos nas demais áreas da instituição, bem
como buscar sinergias dos trabalhos.
Revisão e atualização
O sistema de controles internos não é imutável. Pode ficar obsoleto e
perder a sua efetividade para alcançar os objetivos estratégicos. Assim,
ele deve ser revisado e atualizado constantemente.

Essa atividade deve contar com um olhar crítico, de modo a considerar

tanto o ambiente interno como o ambiente externo à instituição.

Cabe à Alta Administração garantir que ocorra essa revisão e atualização

em periodicidade adequada.

Considerando aspectos regulatórios existentes, uma boa prática é que

ocorra no mínimo uma vez por ano, ou a qualquer momento, quando
necessária, a avaliação sobre a eficácia do gerenciamento dos riscos e
do sistema de controles internos quanto à sua capacidade em responder
às mudanças nos ambientes interno e externo (volatilidade do contexto
competitivo), com implicações nos modelos operacionais e de negócios e,
consequentemente, na performance esperada, mudanças de exposições
aos riscos e a necessidade de implementar as correções necessárias.
O ambiente interno também sofre mudanças conforme
a dinâmica dos negócios, e os controles internos devem
ser revisados face aos riscos emergentes decorrentes da
adoção de novas tecnologias para processar e ofertar
produtos e serviços, ou devido a alterações nos processos
e terceirização, gerando a necessidade de readequação
dos controles.

Da mesma forma, políticas e procedimentos também devem

ser revisados e atualizados, assim como as ferramentas de
avaliação e monitoramento, tais como os indicadores (KRIs
e KCIs), mapeamento de processos etc., incorporando as
alterações dos ambientes interno e externo.

É fundamental que o planejamento das atividades da área

de controles internos incorpore as revisões e atualizações
sobre o sistema de controles.

Um exemplo desse destaque é que um

planejamento desatualizado dos testes de
efetividade dos controles pode levar a atividades
cuja relevância pode ter se perdido de forma
significativa, em função das alterações nos
ambientes interno e externo.
A área dedicada aos Objetivos
controles internos A área de controles internos tem como objetivos assessorar a Alta
Administração sobre a efetividade dos controles internos, promover uma
visão integrada e corporativa do sistema de controles internos, passando
por atividades de mapeamento de processos e de riscos, realização
de testes de efetividade dos controles existentes, coordenação de
processos de autoavaliação, certificação de controles e disseminação da
cultura de riscos e de controles.

Como a estrutura organizacional pode se diferenciar nas organizações,

algumas dessas atividades típicas de controle interno podem ser
realizadas por áreas diversas. Isso é comum principalmente quando
tratamos do mapeamento de processos e de riscos.

A área colabora estreitamente com a área de gerenciamento dos riscos

e com a atividade de compliance, cabendo lembrar que não se confunde
com essas áreas e muito menos com as atividades da auditoria interna.
Estrutura
Pelo Modelo de Linhas, a área de controles internos desempenha as atividades de supervisão, portanto, como na segunda linha.

No organograma institucional, a área de controles internos deve estar alocada em uma estrutura onde não haja conflito de interesses,
tendo em vista a natureza e propósito das suas atividades de supervisão.

Como existe um forte relacionamento dos objetivos da área de controles internos com os objetivos das áreas de gerenciamento do risco
operacional e de compliance, essa característica poderia ser considerada na alocação dessas áreas no organograma da instituição.
Recursos humanos e tecnológicos
A área de controles internos deve possuir quadro de recursos
humanos com quantidade e capacitação adequadas para
compreender e tratar a complexidade da instituição e seus negócios.

As atividades devem ser suportadas por ferramentas e sistemas

acessíveis e em formato adequado que assegurem informações
confiáveis e tempestivas.

Portanto, a área precisa ter acesso às informações e comunicação

com as demais áreas da instituição, de forma efetiva e tempestiva.

Contudo, um desafio não raro nas organizações (seja qual for o

porte e complexidade) consiste em ter o quadro de profissionais
insuficiente para cobrir todas as atividades da instituição e, ao
mesmo tempo, a realização das suas atividades essenciais: testes de
controles, mapeamento de processos, riscos e controles, implementar
indicadores e outras ferramentas de monitoramento etc.
Em circunstâncias como essa, as atividades da área de controles internos mais que nunca requerem um planejamento com a
definição de prioridades para as avaliações com base em evidências dos incidentes de perdas materiais, os apontamentos
das auditorias interna e externa, os resultados com incidências relevantes dos processos de autoavaliação e certificação de
controles e os resultados das medições dos indicadores (KRIs e KCIs).

Um formato organizacional que auxilia as atividades da área de controles internos é a designação de pontos focais e facilitadores
nas diversas áreas da instituição (geralmente denominados por “agentes de controles internos”), com os objetivos de possibilitar
fluidez da comunicação e reporte dos eventos de riscos e dos planos de ação de remediação e colaborar na disseminação dos
conceitos de riscos e controles internos.

Em geral, esses agentes são caracterizados por pessoas das próprias áreas e não da área de controles
internos, o que faz com que cuidados sejam considerados, eis que as atividades do agente podem
competir com as atividades da área em que atua. Caso a instituição venha adotar esse modelo, seria
adequado que a missão e o escopo de atuação dos “Agentes de Controles Internos” fossem definidos e
normatizados em manual de procedimentos, aplicável a todas as áreas.
Atividades
Conforme o porte e a complexidade da instituição, as atividades da área de controles internos podem compreender:

• Operacionalizar a(s) política(s) de controles e suas diretrizes;

• Prover metodologias, ferramental e sistemas para a gestão corporativa dos controles;

• Em sintonia com a área de gerenciamento de riscos, disseminar, para todas as áreas, a cultura de riscos e controles,
principalmente a “preventiva”, por meio de treinamentos, palestras e outras ações;

• Prestar suporte “in loco” para as áreas de primeira linha quanto às melhores práticas de controles;

• Realizar o mapeamento dos processos críticos, identificar e avaliar os riscos e controles existentes, e elaborar matriz de riscos;

• Avaliar os riscos e os controles necessários para aprovação de novos produtos e serviços;

• Realizar testes de quality assurance com objetivo de avaliar se as principais deliberações nos comitês de aprovação de
produtos e serviços foram implantadas pelos gestores das áreas envolvidas;

• Avaliar e monitorar o ambiente de gestão de riscos e de controles internos junto às empresas terceirizadas e aos
fornecedores relevantes;

• Realizar testes e avaliações sobre a efetividade do sistema de controles internos, inclusive com base em indicadores
continuamente monitorados;

• Implementar metodologia para a elaboração da autoavaliação de riscos e controles;

• Coordenar os processos de autoavaliação e certificação de controles internos (modelo SOX);

• Monitorar os planos de remediação referentes às
recomendações/apontamentos das auditorias interna e
independente, de órgãos de regulação e fiscalização e
demais instâncias internas e externas;

• Acompanhar a implantação de planos de ação

identificados pelas ferramentas de controles (autoavaliação
de riscos e controles, mapeamentos de riscos e controles,
perdas relevantes etc.);

• Elaborar relatórios gerenciais para a Alta Administração

sobre o desempenho do sistema de controles internos, bem
como os relatórios regulatórios;

• Participar, quando convocada, das reuniões dos fóruns da

governança corporativa para relatar e prestar contas sobre
os trabalhos de avaliações e/ou eventos materiais referentes
ao sistema de controles internos.
O mapeamento de processos
O mapeamento de processos constitui uma atividade crítica para a busca de uma boa governança das instituições financeiras,
ao formalizar os procedimentos necessários à consecução dos objetivos estratégicos com eficiência, eficácia e em conformidade
com as regulamentações externas e internas aplicáveis.
Nesse contexto, uma das contribuições diretas do
mapeamento se dá com a identificação dos riscos
potenciais inerentes às atividades executadas, bem como
com a avaliação qualitativa do ambiente de controles
internos para mitigar esses riscos e para mensurar o
nível de exposição residual dos riscos (após as ações de
mitigação dos controles). Portanto, o mapeamento permite
uma análise e avaliação, com maior granularidade, das
exposições a riscos e da qualidade dos controles internos.
A responsabilidade pela instituição da atividade de
mapeamento dos processos nas instituições financeiras
pode ser uma incumbência da área de controles internos,
valendo lembrar que outras áreas da segunda linha também
podem organizar os mapeamentos. Há, mesmo, casos em
que essa atividade é liderada por uma área vinculada ao
gerenciamento da estrutura organizacional da instituição.
Uma boa prática de mercado é que os processos sejam
geridos em uma arquitetura que faça sentido tanto para os
objetivos estratégicos como para a dimensão operacional e
gerencial da instituição, portanto, considerando a definição
da cadeia de valor.
Seja qual for a área responsável pela instituição do
mapeamento de processos, a boa prática recomenda que haja
um alinhamento entre as áreas de segunda linha, no sentido de
buscar sinergias e alinhamento dos trabalhos, inclusive junto
ao gestor do processo objeto do mapeamento.
A condição preliminar para planejar o mapeamento de
processos é a definição das prioridades. Ou seja, por onde
começar e o que considerar em termos de relevância/
materialidade para o direcionamento assertivo dos trabalhos,
tendo em vista a limitação de recursos e/ou ferramentas e até
de prazos.
Um ponto de partida é o inventário de processos críticos da
instituição, ou seja, dos processos essenciais para a condução
e alcance dos objetivos estratégicos. É razoável levar em
conta, também, na definição das prioridades, outras fontes de
informações provenientes das ferramentas de gerenciamento
de riscos, conformidade e segurança da informação (base
de perdas, medição dos indicadores KRIs e KCIs, resultados
dos questionários de autoavaliação de riscos e controles,
etc.), assim como os apontamentos das auditorias interna
e independente e dos órgãos de fiscalização sobre as
fragilidades/deficiências de controles.
Inventário de processos
O inventário de processos é uma ferramenta de gestão que permite à Alta Administração conhecer todos os processos
da instituição, como estão desenhados, os objetivos de cada um, os fluxos de atividades, as áreas envolvidas e as
responsabilidades. O conjunto de processos deve estar alinhado com os propósitos da instituição.

De modo geral, o inventário de processos é elaborado e atualizado recorrentemente pela área que coordena as estruturas
organizacionais e os desenhos funcionais, a racionalização e a normatização dos processos. Essa área, assim, gerencia a
arquitetura de processos da instituição. Mas veja que existem casos em que essa atividade é realizada por controles internos.
Conceito de processo
Vários autores buscam formular o conceito de processo,
associando a aspectos específicos, inclusive a atividade produtiva,
o que podemos ver a seguir:
• Conjunto de atividades inter-relacionadas que transforma insumos
(entradas) em produtos (saídas) (Norma NBR ISO 9000: 2008).
• Grupo organizado de atividades relacionadas que, juntas, criam
um resultado de valor para o cliente (Michael Hammer).
• Ordenação específica das atividades de trabalho, no tempo e no
espaço, com um começo, um fim e imputs e outputs claramente
identificados (Thomas Davenport).
• Sequências de atividades que são necessárias para realizar as
transações e prestar o serviço (Rohit Ramaswamy, com foco
em serviços).
• Sequência de passos, tarefas ou atividades que convertem
entradas de fornecedores em uma saída e adiciona valor às
entradas (Dainne Galloway).
Se consideramos uma visão mais genérica de processo, podemos
nos remeter à origem da palavra, que vem do latim procedere, que
significa método, sistema, maneira de agir ou conjunto de medidas
tomadas para atingir algum objetivo.

Com isso, nessa visão abrangente, nas organizações,

um processo pode ser conceituado como uma
sucessão de etapas, estágios, fases ou atividades
para alcançar um objetivo, um resultado determinado.
Classificação do processos
Os processos podem ser classificados em grupos. Uma forma bastante utilizada é classificar os processos em:
Processos finalísticos
São aqueles diretamente relacionados à
atividade fim da instituição. Seguem uma
sequência lógica de etapas sucessivas
e na sua cadeia de valor envolve mais de
uma área.
Exemplos: criação e marketing de
produtos e serviços, oferta e negociação
comercial, avaliação de crédito,
formalização das operações e liberação
de recursos, recuperação de créditos.
Processos de suporte
São independentes aos processos
de negócios. Têm por objetivo garantir
o funcionamento dos processos
de negócios.
Exemplos: recursos humanos,
tecnologia da informação, jurídico,
manutenção patrimonial.
Processos de gerenciamento
São voltados ao gerenciamento,
garantindo uma visão de presente e
futuro dos negócios.
Exemplos: planejamento estratégico,
gerenciamento de riscos, controles
internos, compliance.
As classificações aqui comentadas são exemplificativas, mas consistentes com a arquitetura desenhada no BPM CBOK (Guia para o Gerenciamento
de Processos de Negócios – Corpo Comum de Conhecimento), que categoriza os processos como sendo: primários, de suporte e de gerenciamento,
valendo lembrar que os processos primários e de suporte/apoio são classicamente vinculados ao modelo de cadeia de valor de Michael Porter.

Cada instituição pode desenvolver critérios próprios para classificação e denominação dos seus processos.
Ademais, a evolução das organizações pode levar a revisões sobre a classificação, sendo fundamental que se tenha em consideração a definição
de cada categoria de processo.
Definição dos processos
críticos da instituição e
áreas envolvidas
Com base no inventário, é possível estabelecer uma
hierarquia dos processos considerados críticos.

Mas afinal, o que é um processo crítico?

A literatura traz algumas definições:

Os processos críticos são aqueles “core” do negócio e,

portanto, com impacto direto:
• No alcance dos objetivos estratégicos;
• Na satisfação dos clientes;
• Nos resultados financeiros da empresa;
• Nos stakeholders (partes interessadas).

Os processos críticos são essenciais para o funcionamento

da instituição.
A criticidade está diretamente ligada ao efeito que estes
processos causam sobre os fatores direcionadores do
sucesso da instituição.
Critérios de priorização para o mapeamento dos processos críticos
No conjunto dos processos considerados críticos, os critérios de priorização para fins de mapeamento podem levar em conta alguns fatores (não se
limitando a eles), como:

• A declaração do apetite por riscos da instituição, considerada a partir dos riscos com exposição de maior relevância (do maior para o menor) e
dos processos por onde esses riscos permeiam;
• Produtos e serviços ofertados a clientes que mais contribuem para a geração de receitas. Ou seja, a cadeia de valor dos processos para a
geração de resultados;
• Base de perdas: perdas relevantes ocorridas não previstas nos modelos de previsão de riscos;
• Resultados da medição dos indicadores de riscos e de controles que tenham apresentado tendência de crescimento de exposição a riscos;
• Resultados dos questionários de autoavaliação de riscos e controles e da certificação de controles, em decorrência da evidenciação de
fragilidades;
• Apontamentos das auditorias interna e independente e dos órgãos de fiscalização sobre as
fragilidades/deficiências de controles.
Revisão e atualização
O mapeamento de processos é válido para o momento em que foi realizado. Ou seja, espelha uma foto. Porém, dada a
dinâmica dos negócios, do ambiente competitivo, das inovações tecnológicas e operacionais, os processos podem sofrer
alterações ou, mesmo, podem surgir novos processos. Portanto, o mapeamento necessita ser revisado e atualizado com
periodicidade adequada.

Este é um desafio que as organizações se defrontam constantemente. As boas práticas recomendam algumas ações:
• Estabelecimento de acordo operacional (SLA) com a área que centraliza o inventário de processos da instituição, no
sentido de que haja uma comunicação sobre as alterações de processos ou implantação de novos processos, bem como
alterações na estrutura organizacional que implique em novos responsáveis;
• A participação dessa área nos comitês de avaliação de lançamento de novos produtos e serviços e a revisão dos já
existentes possibilita avaliar também se haverá impactos nos processos mapeados;
• Atribuir responsabilidade aos gestores para comunicarem de forma tempestiva as alterações que foram implantadas nos
processos;
• Se não for possível estabelecer uma periodicidade padrão de revisão e atualização dos processos mapeados (por
exemplo, anualmente), poder-se-ia manter atualizado o mapeamento de riscos por meio da autoavaliação realizada pelo
gestor. Nos tempos atuais, essa ação se vê bastante facilitada com a utilização de plataformas tecnológicas no tipo GRC
(governança, riscos e compliance).

Ações como as acima citadas mereceriam ser consideradas, no que for possível, em políticas, cabendo estarem
devidamente formalizadas nos manuais próprios.
O mapeamento de riscos
O mapeamento dos riscos caracteriza a identificação dos riscos
existentes na instituição, em especial os riscos operacionais. E
a sua consideração no ambiente de mapeamento de processos
contribui para uma maior maturidade organizacional, uma vez que a
documentação dos processos será mais efetiva, ao considerar os
riscos e os controles conjuntamente com as atividades mapeadas.

Tem por objetivo a identificação dos riscos que permeiam os

processos. A qualidade do mapeamento dos riscos é fundamental
para assegurar a gestão assertiva de proteção e o direcionamento
das decisões estratégicas.

O mapeamento de riscos pressupõe que haja a definição da

abordagem metodológica para identificar os riscos inerentes aos
processos e a padronização das métricas de avaliação (escalas
de frequências e impactos dos riscos inerentes e de cobertura
de controles para a mensuração dos riscos residuais), descrição
dos controles quanto ao funcionamento, os objetivos de controles
(exemplo: assegurar que os dados são completos, exatos e válidos),
tipologia (preventivo ou detectivo corretivo), natureza (manual,
automático ou híbrido), frequência (diário, semanal, mensal, a cada
operação, etc.), categoria (autorização, verificação, conciliação,
etc.), tipo de evidência (documental, digital ou magnética),
importância (controle chave ou não chave), etc., bem como os planos
de ação e a implantação de indicadores decorrentes das exposições
de riscos residuais consideradas acima dos níveis de tolerância e a
elaboração da matriz de riscos e controles.
A seguir é apresentado quadro indicativo de uma metodologia para o mapeamento de riscos e controles.

Para melhor compreendermos o tema do mapeamento de riscos, vejamos o que devemos entender por risco inerente e residual.
Risco inerente e residual e suas aplicações
Risco inerente é a denominação para todo risco que uma instituição incorre (está exposta), e que permeia todos os seus processos e atividades,
sem considerar as ações de mitigação dos controles para alterar as probabilidades de ocorrência e impacto.

Os riscos inerentes precisam ser conhecidos e gerenciados de forma sistemática e organizada. Um risco inerente pode se materializar (evento de
risco) por meio das suas causas raiz (fatores de riscos), tanto internas quanto externas às organizações.

Conhecer as causas raiz dos riscos inerentes (como e quando ocorrem, sua frequência e seu impacto potencial) é fundamental para identificar as
medidas de controles internos adequadas.
O risco residual, por sua vez, é a denominação para o resultado
das avaliações e das ações de controle sobre as causas dos riscos
inerentes. A mensuração dos riscos residuais permite avaliar se as
exposição a riscos estão dentro dos níveis que a instituição está
disposta a aceitar, em função do seu planejamento estratégico. Com
isso, as situações de risco acima do esperado merecerão a necessária
análise e decisão sobre as medidas de tratamento (reduzir, transferir/
compartilhar ou eliminar).

Isso posto, chamamos a atenção para um ponto. Se estamos tratando

de mapeamento de riscos, envolvendo tanto inerentes como residuais,
torna-se dificultado um procedimento de autoavaliação apenas
voltado a riscos ou apenas voltado a controles. Se é o gestor o ator
principal como responsável primário pelos riscos e controles e ele é
convidado a responder a autoavaliação, faz todo sentido que não
existam duas avaliações separadas, mas apenas uma, tratando de
riscos, controles e eventuais planos de ação.
Workshop com gestores das Uma vez definidas as priorizações de mapeamento
dos processos críticos, a tarefa seguinte consiste em
áreas envolvidas identificar as áreas envolvidas na cadeia de valor dos
processos a serem mapeados. Ou seja, identificar as
áreas responsáveis pelas etapas (subprocessos) de
execução do processo.

Uma prática saudável para que isso aconteça é

caracterizada pela preparação e realização de workshops
(reuniões de trabalho) com os gestores e pontos focais
(colaboradores que conhecem e participam na execução
das atividades e dos controles internos), sendo positiva
a participação das áreas de segunda linha, como
gerenciamento de riscos, controles internos e compliance.

Muitas vezes o workshop objetiva conjuntamente o

mapeamento dos processos e o mapeamento dos riscos,
o que, como já dissemos, revela um nível superior de
maturidade organizacional.

Os workshops podem tanto ser utilizados para preparar

e sensibilizar os envolvidos como para alcançar
conhecimento e ordenamento das atividades contidas em
um processo/subprocesso.
A partir desse trabalho, busca-se produzir as entregas
relevantes, que são: fluxograma e narrativa do processo,
identificação dos riscos inerentes e correspondentes pontos
de controle, bem como os planos de ação necessários para
trazer os riscos inerentes aos níveis aceitos de apetite
por riscos.

Dito isso, podemos dizer que, dentre os objetivos dos

workshops, encontramos os seguintes:
• Explicar para os gestores e pontos focais o propósito e a
importância do mapeamento dos processos para instituição,
quanto ao alinhamento destes aos objetivos estratégicos.

• Aplicar treinamento sobre metodologias e técnicas a serem

utilizadas durante as reuniões de trabalho do mapeamento.
Neste caso, deve-se atentar para o nível heterogêneo de
conhecimento do público interno sobre riscos e controles, de
forma a calibrar a abordagem mais adequada do treinamento.

• Identificar os riscos inerentes, avaliar os controles internos

e a mensuração dos riscos residuais, assim como apontar as
melhorias de controles ou, inclusive, a sua supressão (relação
custo/benefício).

• Estabelecer cronograma de entregas, revisões e a elaboração

dos relatórios de conclusão para cada mapeamento realizado,
inclusive para a formalização dos planos de ação para melhoria
dos controles internos que requeiram tal medida.
Uso de narrativas e fluxogramas
para identificação de riscos
inerentes e causas raiz
O fluxograma e a narrativa são as duas formas clássicas de
se compreender um processo. Se essas ferramentas forem
aplicadas adequadamente, colaborarão de forma efetiva
para a identificação dos riscos inerentes e suas causas raiz.

Como quem melhor conhece as atividades dos processos,

os riscos associados e os controles mitigantes são
os gestores e seus pontos focais, é necessário que a
consideração dos fluxogramas e das narrativas seja feita
com a participação deles.

Uma boa prática consiste em incorporar os apontamentos

das auditorias interna e independente e das autoridades de
fiscalização, incluindo também o resultado dos exercícios
de autoavaliação e a certificação de controles internos e
perdas relevantes ocorridas. Nada obstante, é preciso levar
em conta que isso depende de uma boa estruturação de
esforços entre as diversas áreas de segunda linha, para
consolidação das informações coligidas e utilização no
específico processo sob consideração.
A seguir, apresentamos exemplo de mapeamento de riscos e controles em um processo de análise e concessão de crédito:
a) Riscos inerentes relativos ao processo de concessão de crédito:

• Perda de controle do recebimento de propostas para decisão de crédito - Risco Operacional;

• Perda do negócio por demora na decisão - Risco de Imagem; Risco Operacional;
• Perda financeira por inadimplência - Risco de Crédito;
• Perda financeira por fraude - Risco Operacional;
• Comprometimento da eficiência e geração de retrabalho e/ou reanálises de proposta – Risco Operacional;
• As informações/documentos necessários para a análise/decisão estão incorretos ou incompletos possibilitando erro
na decisão – Risco de Crédito; Risco Operacional;
• As informações no sistema não são completas e/ou corretas possibilitando erro na decisão - Risco Operacional; Risco
de Crédito;
• Os dados referentes à garantia não estão corretos; garantia superavaliada - Risco Operacional;
• Não compliance com políticas/manuais internos ou regulamentação externa - Risco de Compliance;
• Não compliance com política de produtos (planos parametrizados no sistema) - Risco Compliance;
• Decisões de crédito fora das alçadas corretas - Risco de Compliance;
• Parametrização/alteração de alçadas, e outros sem aprovação pelo nível correto possibilitando decisão errada e/ou
fraude - Risco Operacional;
• Concessão de crédito para lavadores de dinheiro - Risco de Compliance; Risco de Imagem;
• Comprometimento dos índices de eficiência.
b) Objetivos de controles – os controles do processo de concessão de crédito devem garantir que:

• Todas as propostas devem ser únicas e rastreáveis;

• Todas as propostas devem ser analisadas tempestivamente;
• A documentação e as informações exigidas devem ser completas, válidas e inseridas no sistema e conferidas para que seja efetuada a
análise e decisão de crédito;
• Somente serão analisadas as propostas com termo de autorização assinado e com os campos obrigatórios preenchidos (manual
ou digital);
• Apenas as propostas de clientes que apresentem condições de pagamento serão aprovadas;
• As propostas aprovadas devem estar em conformidade com a política e manual de crédito da instituição;
• Somente deverão ser aprovadas as propostas para os produtos que tenham sido parametrizados no sistema de crédito;
• As decisões para aprovação de crédito devem ser autorizadas por alçadas definidas e parametrizadas no sistema de crédito;
• As alçadas parametrizadas devem estar atualizadas e aprovadas por instância de alçada competente superior;
• As propostas aprovadas por decisão automática devem estar em conformidade com os parâmetros cadastrados no sistema de crédito;
• As propostas aprovadas por dispensa de reanálise devem estar de acordo com os parâmetros cadastrados no sistema de crédito;
• As avaliações de garantias devem ser procedidas conforme previsto no Manual de Crédito da Instituição;
• O conjunto de documentos comprobatórios e os procedimentos aplicados para análise e concessão de crédito devem ser apensados no
sistema de crédito;
• As propostas aprovadas devem estar em conformidade com os requerimentos regulatórios aplicáveis (incluindo o procedimento de PLDFT,
níveis de concentração, etc.);
• O gerenciamento das atividades de análise e concessão de crédito e o monitoramento dos resultados devem ser realizados de
forma eficiente.
c) Exemplos de controles para mitigar os riscos do processo de concessão de crédito:

• Autonumeração da proposta e fila na esteira;

• Campos automáticos e bloqueio de aprovação para proponentes com hits/suspeitas de PLDFT, PRSA e processos jurídicos relevantes;
• Conferência de documentos/informações;
• Conferência de proposta de acordo com políticas e manuais de crédito;
• Revisão das análises de crédito se alçada for diretor ou acima;
• Parametrização automática/alçadas;
• Revisão/aprovação/alteração de alçadas;
• Aprovação ou recusa do crédito;
• Validação parâmetros para dispensa de reanálise;
• Auditoria de eficiência da decisão de crédito;
• Monitoramento primeiro atraso (1st payment default);
• Monitoramento/revisão do tempo de decisão de crédito e outros indicadores de performance.
d) Roteiro para descrição dos controles:

Quem • Diretoria de Crédito/Gerente de Crédito/Coordenadores de Crédito.

• Realiza monitoramento de todas as propostas recebidas, desde o momento da inclusão da proposta

O que até a data da decisão de crédito. Realiza acompanhamento de vários indicadores de performance.

• Todas as propostas devem ser tempestivamente analisadas.

Objetivo de controle • O gerenciamento das atividades e monitoramento dos resultados devem ser realizado de forma eficiente.

• Perda do negócio por demora na decisão (Risco Operacional/Risco de Imagem).

Riscos • Comprometimento dos índices de eficiência.
• Outros...

• A área de crédito gera relatórios contendo todas as informações necessárias para o acompanhamento
da carteira, as quais são arquivadas em diretório da rede interna.
• Com base nos relatórios gerados, a diretoria/gerência/coordenadores de crédito monitoram o
Como desempenho dos indicadores.
• Os índices ficam armazenados no scorecard do departamento (rede de crédito) e são discutidos em
reuniões de staff com a diretoria do Banco.

Quando • Mensalmente.

• Se aplicável, a área de crédito toma as ações necessárias para melhoria do tempo de resposta, atentando-se, ao
Ações Corretivas mesmo tempo, para não comprometer a qualidade da decisão sobre o crédito.
Mensuração dos riscos residuais Antes de falarmos sobre a mensuração de riscos, é importante
comentar a respeito da boa prática de utilizar métricas para tal
propósito. As métricas têm por objetivo a padronização e a redução da
subjetividade durante as avaliações de riscos e dos controles internos.

As métricas comumente utilizadas para as avaliações dos riscos e dos

controles internos são as escalas de probabilidade, de impactos e de
cobertura de controles.

Para a construção das escalas de probabilidade e de impactos

deve-se considerar as peculiaridades da instituição e utilizar dados
quantitativos (exemplo: históricos de perdas) e qualitativos (exemplo:
as consequências de não compliance e reputacional provocadas
por um evento de risco), as opiniões dos gestores da primeira linha
e dos especialistas da segunda linha, para a definição de faixas
de enquadramento e atribuições de pesos para classificação por
relevância. Ou seja, na elaboração das escalas para classificar os riscos
devem ser considerados o porte e a complexidade de cada instituição.
A seguir, apresentamos alguns exemplos das escalas de probabilidade e impacto:

Escala de Probabilidade

Frequência observada/
Frequência Descrição Peso
esperada
O evento de risco por ocorrer
Baixa ao menos uma vez por ano
> 20% 1

O evento de risco por ocorrer

Média ao menos uma vez por mês
> 20% e < 50% 2

O evento de risco por ocorrer

Alta ao menos uma vez por semana
> 50% e < 90% 3

O evento de risco por

Muito Alta ocorrer diariamente
> 90% 4
 Escala de Impactos

Descrição
Faixa de Faixa de Perda
Níveis de impactos nos objetivos estratégicos, operacionais ou de Peso
Impacto Esperada - R$ mil
conformidade

• Pequeno Impacto - de pouca relevância no atingimento dos objetivos.

Baixo • Impacto na imagem não extrapola o ambiente interno.
< 500 1

• Moderado Impacto - compromete razoavelmente os objetivos, porém é reversível.

Médio • Impacto na reputação ultrapassa o ambiente interno e se estende aos stakeholders. > 500 e < 1.000 2
• Descumprimento de procedimentos internos, regulação e legislação aplicáveis.

• Significativo - compromete fortemente o atingimento dos objetivos, com dificuldades para reversão.
Alto • Impacto na reputação e com exposição nas mídias por um curto período de tempo. > 1.000 e < 4.000 3
• Penalidades de caráter pecuniário (multas ou outras sanções) pelos órgãos reguladores.

• Catastrófico - compromete quase ou totalmente o atingimento dos objetivos.

Muito Alto • Impacto na reputação com exposição relevante nas mídias. > 4.000 4
• Redução expressiva de receitas.
Na elaboração da escala de cobertura de controles, também cabe a contribuição dos gestores da primeira linha
e de especialistas da segunda linha, com o objetivo de padronização dos atributos de eficácia de cobertura (desenho
e execução dos controles) para fins de julgamento e enquadramento dos níveis de cobertura de controles. Na escala de controles são
apresentadas faixas de cobertura e de deficiências de cobertura, pois os controles não são infalíveis.
Os controles devem assegurar razoável de cobertura de mitigação frente aos riscos para os quais foram construídos. A seguir, apresentamos
um exemplo:
Fator de Deficiência
Nível de Cobertura
Cobertura de Controle
de Controle Descrição dos Atributos
FDCC
NCC
Fraco • Procedimentos de controle existentes são poucos, e parte deles não estão formalizados, demonstraram não
serem efetivos quanto ao desenho e/ou funcionamento. Fraco
0,8
NCC - 20% • Controles aplicados são executados com base no conhecimento dos colaborardes envolvidos no processo.

Médio • Há procedimentos de controle, mas não mitigam todas as causas dos riscos devido a deficiências no
desenho ou no funcionamento. Médio
0,6
NCC - 40% • Existem alguns controles não formalizados.

Satisfatório • Há controles suficientes e formalizados.

Satisfatório
• Os Controles estabelecidos funcionam adequadamente, embora haja possibilidades de melhorias quanto ao 0,3
NCC - 70% desenho e/ou funcionamento.

Forte • Há controles suficientes e formalizados.

Forte
0,1
• Controles são efetivos quanto ao desenho e funcionamento para mitigar os riscos.
NCC - 90%
(Escalas apresentadas a título de exemplos. Cada instituição pode
elaborar as escalas com outros atributos e com as quantidades de
faixas diferentes de enquadramentos).
Como boa prática, a adoção dessas métricas deve ser
aprovada pela Alta Administração, pois serão utilizadas
para as classificações dos riscos e dos controles internos
da instituição.

Mensuração dos riscos inerente e residual

Uma vez definidas as escalas que serão utilizadas para as

avaliações dos riscos e dos controles, a mensuração dos
riscos é decorrente dos enquadramentos na aplicação das
referidas escalas.
O primeiro passo consiste na mensuração do Impacto
Potencial do Risco Inerente (IPRI), o qual é resultante da
multiplicação entre os pesos da probabilidade e do impacto.

Impacto Potencial do Risco Inerente (IPRI) =

Probabilidade (peso) x Impacto (peso)

O segundo passo consiste na avaliação dos controles

existentes para mitigar o Impacto Potencial do Risco
Inerente (IPRI), mediante aplicação da Escala de Cobertura
de Controles para identificar os níveis de deficiências de
controles. Na sequência, mensura-se o Risco Residual, o qual
é o resultado da multiplicação do Impacto Potencial do Risco
Inerente (IPRI) pelo Fator de Deficiência de Cobertura dos
Controles Internos (FDCC).

Risco Residual = Impacto Potencial do Risco Inerente Potencial

(IPRI) x Fator de Deficiência de Cobertura de Controle (FDCC)
Matriz de riscos e suas aplicações
A Matriz de Riscos (ou Matriz de Probabilidade e Impacto ou Matriz de Calor) é uma ferramenta que consolida os resultados das avaliações dos
riscos. Devido ao seu conceito e sua construção serem simples, de fácil interpretação/explicação e comunicação visual, é largamente adotada
pelas organizações.

Auxilia a gestão na tomada de decisões sobre as prioridades de tratamento para minimizar as exposições a riscos consideradas inaceitáveis, bem
como quanto à otimização e alocação dos recursos disponíveis em termos de melhorias de controles, inclusive para as situações de excesso de
controles aplicados a riscos de baixo potencial de materialização.

Nos benefícios da construção da matriz podemos incluir: a indicação dos principais riscos associados e dos controles estabelecidos; um
diagnóstico de criticidade dos riscos para o negócio (a partir da classificação obtida das métricas/escalas de probabilidade de ocorrência versus
impacto e a capacidade de mitigação dos controles); e recomendações para as ações necessárias visando reduzir os riscos
a um nível aceitável, em face dos limites estabelecidos no apetite aos riscos da instituição.
Tratamento dos riscos
Uma vez definidas as prioridades dos riscos a serem tratados, a instituição deve avaliar as respostas mais adequadas levando em conta os limites
estabelecidos no apetite por riscos e, também, os custos e benefícios das alternativas de medidas mitigantes.
As duas abordagens consagradas que tratam do gerenciamento de controles internos e do gerenciamento de riscos, o COSO e a ISO 31000,
sugerem como boas práticas as seguintes repostas de tratamento aos riscos:
Abordagem COSO.
• Evitar: Descontinuar as atividades que geram os riscos (descontinuação de produtos, geografia, divisão etc.).
• Reduzir: Adotar medidas para reduzir a probabilidade ou o impacto dos riscos, ou, até mesmo, ambos.
• Compartilhar: Reduzir a probabilidade ou o impacto dos riscos, por meio da transferência ou do compartilhamento de uma porção do risco (seguro,
hedging, terceirização de uma atividade etc.).
• Aceitar: Não adotar qualquer medida para afetar a probabilidade ou o grau de impacto dos riscos.
Abordagem ISO 31000
• Evitar o risco ao decidir não iniciar ou continuar com a atividade que dá origem ao risco.
• Tomar ou aumentar o risco a fim de alcançar uma oportunidade.
• Remover a fonte de risco.
• Mudar a probabilidade.
• Alterar as consequências.
• Partilhar o risco com outras partes.
• Reter o risco por meio de decisão informada.

Com base nas indicações das melhores práticas do COSO e da ISO 31000, podemos
estabelecer as seguintes situações:
• Para os riscos de baixa exposição, a providência poderia ser aceitar/reter, pois não há
necessidade de alteração dos controles internos existentes.
• Para os riscos de exposição muito alto, alto e médio, avaliar a possibilidade de melhoria
dos controles existentes, mediante ações para reduzir/mudar a probabilidade/alterar as
consequências (impactos).
• Vale ainda considerar a possibilidade de compartilhar/partilhar os riscos, mediante
ações de terceirização ou contratação de seguro.
• Quanto a descontinuar a exposição ao risco, deve-se levar em conta se esta ação
implicaria na revisão e/ou descontinuação de processos e produtos e se isso é aceitável
do ponto de vista da estratégia.
• Por último, na hipótese não muito comum de uma oportunidade de negócio, a avaliação
consistirá em ações para “tomar/aumentar” a exposição de risco, em função do retorno
esperado e alinhado aos objetivos estratégicos.
Riscos emergentes no contexto da
segurança cibernética e aplicações
práticas no ambiente de Cloud, DevSecOps
O contexto competitivo dos negócios tem
apresentado uma velocidade de mudanças
acentuadas nos últimos tempos, com a crescente
oferta de produtos e serviços por canais digitais,
armazenamento de dados em nuvens, terceirização
de processos e, até em alguns casos, mudanças
disruptivas nos modelos de negócios.
Este ambiente digital trouxe muitas oportunidades
de negócios, bem como novos riscos (ou riscos
emergentes), os quais precisam ser conhecidos,
mensurados e controlados dentro de níveis
de tolerância estabelecidos, em linha com os
objetivos estratégicos.
De um lado, temos a dinâmica de negócios para
lançamentos de novos produtos e serviços digitais,
com elevados padrões de entregas para a satisfação
dos clientes e, do outro lado e ao mesmo tempo,
temos que assegurar a segurança adequada frente
ao aumento da superfície para ataques cibernéticos.
Controlar o que está em constante evolução e
movimento é o grande desafio para as organizações,
em termos de exposição aos riscos cibernéticos.
Portanto, é necessária a adoção de métodos e
estruturas ágeis e integradas para acompanhar a
velocidade e escala cada vez mais frequentes
das mudanças.
No âmbito de TI, surgiu a metodologia DevSecOps, utilizada para desenvolver soluções (softwares e aplicativos) com maior rapidez e assegurar
razoável segurança e conformidade. Trata-se de uma abordagem que reúne um conjunto de boas práticas de TI, mais uma proposta de integração
e agilidade entre áreas de Desenvolvimento (Dev), Infraestrutura e Operações (Ops) e de Segurança (Sec), para a implantação de novas soluções e
funcionalidades digitais.

Por este modelo, cada área atua dentro do seu escopo e missão, mas de forma integrada com as outras duas áreas, atentando-se para os
seguintes aspectos:

À área de Desenvolvimento (Dev) A área de Segurança (SEC) À área de Operações de TI (Ops)

Cabe assegurar o versionamento, a
integridade dos dados, realização
de testes de qualidade e outras
ações ligadas aos códigos fonte e as
configurações das soluções digitais.
Com a sua expertise, participa e
colabora, desde o início do ciclo de
desenvolvimento e implantação das
soluções digitais, na identificação
das fragilidades e dos requisitos
de controles (criptografias,
autenticações, travas, bloqueios
contra intrusões etc.) necessários para
mitigar os riscos e realização de testes
de efetividade dos controles, antes de
serem colocadas em produção.
Cumpre assegurar o ambiente de
produção, bem como a execução
da segurança por meio de
ferramentas, firewalls, controles de
acessos, backups, contingências,
disponibilidade dos sistemas e outros
processos de TI, em linha com a área
de Segurança.
Antes, no modelo empregado na maioria da organizações, a área de segurança era chamada para avaliar a solução/
funcionalidade apenas no final do ciclo de desenvolvimento. A metodologia DevSecOps propõe uma mudança de
paradigma ao compartilhar a responsabilidade da segurança dos aplicativos e da infraestrutura de TI entre as áreas de
Desenvolvimento, Segurança e Operações de TI, em vez da responsabilidade exclusiva de um silo de segurança.

Mas, para que a metodologia DevSecOps tenha êxito, é necessário que haja um nível de maturidade das três áreas mencionadas e a quebra de silos,
assim como a compreensão, pelas áreas de negócios, sobre a importância da segurança como uma vantagem competitiva e satisfação do cliente.

No caso das instituições financeiras, a regulação exige uma série de ações mitigatórias frente aos riscos cibernéticos, tais como:
• Implantação de uma política de segurança cibernética, com diretrizes sobre os objetivos de segurança cibernética (conteúdo mínimo),
procedimentos mínimos: autenticação, criptografia, prevenção e detecção de intrusão, prevenção de vazamento de informações, registro e análise
da causa e do impacto dos incidentes e da disseminação de cultura de segurança cibernética;

• Revisão, no mínimo anualmente, da política de segurança cibernética e do plano de resposta a incidentes;

• Documentação dos critérios que configurem uma situação de crise e a comunicação tempestiva ao Banco Central sobre as ocorrências de
incidentes relevantes e das interrupções dos serviços relevantes, bem como o plano de resposta a incidentes implantado e o tempo de reinício
das atividades;
• Estabelecimento de procedimentos de controle de avaliação e compliance para a contratação de serviços de computação em nuvem;
• Estabelecimento de procedimentos de controle para reduzir o nível de exposição a incidentes, os quais minimamente devem conter mecanismos de
autenticação, criptografia, prevenção e a detecção de intrusão, prevenção de vazamento de informações;
• Realização periódica de testes e varreduras em sistemas e aplicativos para detecção de vulnerabilidades, proteção contra softwares maliciosos,
rastreabilidade, controles de acesso e de segmentação da rede de computadores e a manutenção de cópias de segurança dos dados e
das informações;
• Os procedimentos de controles devem ser aplicados, inclusive, no desenvolvimento de novos sistemas e/ou na adoção de novas tecnologias
empregadas nas atividades, produtos e serviços da instituição;
• Registrar as ocorrências relevantes em base de dados, com as análises da causa e impacto, medidas mitigatórias implantadas, bem como as
informações recebidas de empresas prestadoras de serviços a terceiros.
Elaboração de cenários
A construção e análise de cenários é uma
ferramenta associada ao planejamento
estratégico, mas também tem sido largamente
utilizada para o gerenciamento de riscos no sentido
de antecipação e resiliência.
A partir da grande crise internacional de 2008, os
cenários tornaram-se uma ferramenta fundamental
para a busca de segurança de capital e de liquidez
no longo prazo das instituições financeiras, ao
serem utilizados nos testes de estresse.
No âmbito dos riscos, a análise de cenários
abrange os eventos potenciais que apresentam
baixa probabilidade de ocorrência, mas com
elevado impacto financeiro e não financeiro para
a instituição, e a sua capacidade de resposta
em termos de controles internos. Portanto,
representam eventos de risco potencial extremo/
inesperado (chamados eventos de cauda), que
podem impactar os limites definidos no apetite por
riscos e o alcance dos objetivos estratégicos.
Os estudos de cenários visam preparar a
instituição para situações extremadas de riscos,
de maneira a auxiliar a Alta Administração sobre as
melhores alternativas mitigantes para a tomada de
decisões, inclusive no caso de se confirmarem os
eventos considerados nos cenários.
A elaboração de cenários pressupõe a participação
dos gestores responsáveis pelos processos envolvidos
direta e indiretamente nos contextos de negócio e
operacional, bem como a participação das demais
áreas de segunda linha (riscos, controles e compliance)
como facilitadoras e, se for pertinente, opiniões de
especialistas convidados.
A necessidade dessa visão ampliada dos testes de
estresse torna-se mais clara quando consideramos
que os cenários adversos devem ser objeto de análise
quanto à capacidade da instituição oferecer respostas
adequadas, mesmo que no futuro, e isso certamente
acaba tendo que levar em conta o ambiente de
controles internos.
O objetivo aqui é a contribuição de visões diferentes na
construção de cenários plausíveis, a mensuração dos
impactos e dos desdobramentos/consequências junto
a clientes, stakeholders e reguladores, bem como sobre
as ações mitigantes a serem implantadas de controles e
indicadores preditivos de monitoramento, que apontem
tendências e acionamentos de gatilhos de alerta e
prevenção, planos de contingência e comitês de crises.
A regulamentação prudencial nacional do
gerenciamento de riscos reafirma essa linha de
compreensão. Além das regras gerais de testes de
estresse, a regulamentação requer das instituições
financeiras maiores e mais complexas (S1 e S2) a
realização periódica de análises de cenários com
o objetivo de estimar a exposição da instituição
a eventos de risco operacional raros e de alta
severidade, sendo que os resultados das análises
devem ser considerados na revisão da estrutura de
gerenciamento de riscos e na alocação de capital.
Enfim, é desejável que a área de segunda linha de
controles internos mantenha proximidade mínima
com os exercícios de testes de estresse, de modo
que possa tanto contribuir para os exercícios como
possa incorporar novos elementos de análise nas
atividades sob sua responsabilidade.
O estabelecimento de controles
A estrutura de controles internos de uma Instituição deve ser compatível com o grau de apetite aos riscos definido pela sua Alta
Administração, em linha com os objetivos estratégicos.

Portanto, é necessária assertividade na identificação e mensuração dos riscos para a definição do nível de tolerância aceitável, se
devem ser modificados por algum tratamento, o qual por sua vez implicará no investimento adequado para um sistema de controles
internos equilibrado e robusto, frente aos riscos que a Instituição está exposta.
Para o estabelecimento dos controles internos, as organizações se
deparam com alguns desafios e aspectos que devem ser considerados:

• Deve-se contar com clara definição dos papéis e das responsabilidades

dos atores distribuídos em todos os níveis hierárquicos, com segregação
de funções e alçadas, sendo para os controles primários designados os
gestores das áreas da primeira linha (negócios, operações etc.) e para os
controles de supervisão designados os gestores das áreas da segunda
linha (controles internos, riscos, compliance etc.);

• A relevância (classificação) de cada risco, já considerada na matriz de

riscos, e os tratamentos definidos para mitigá-los devem assegurar que
estes sejam efetivamente implantados e as exposições de riscos fiquem
dentro dos limites estabelecidos no apetite por riscos da instituição;

• Os custos de implantação e execução dos controles não devem ser

maiores que os benefícios deles esperados. Ou seja, os controles devem
fornecer razoável segurança de que os objetivos serão alcançados, mas
não deveriam encarecer (onerar) em demasia os processos, tornando-os
dispendiosos. Os controles não são mais importantes que os objetivos,
para cuja consecução eles devem contribuir;

• Como boa prática, os controles a serem estabelecidos devem ser

aderentes aos cinco componentes de controles (ambiente de controle,
avaliação de risco, atividade de controle, informação e comunicação, e
atividade de monitoramento) e aos dezessete princípios associados e
distribuídos a cada um deles, previsto no COSO ICIF.
Decorrentes das fragilidades Após se contar com processos mapeados, com as avaliações
dos riscos inerentes e dos controles internos e a mensuração

identificadas no mapeamento do riscos residuais, assim como com a inserção dos

resultados e classificação na matriz de riscos, o próximo
de processos passo consiste na definição dos tratamentos (respostas aos
riscos) para as situações de exposição de riscos residuais
consideradas excessivas.

Conforme salientado no item 7.6, o tratamento tem por objetivo

diminuir a exposição desses riscos a níveis aceitáveis, dentro
dos limites estabelecidos no apetite por riscos da instituição.

Vale destacar também que essa é uma oportunidade para

os gestores avaliarem os excessos de controles para os
riscos considerados de baixa exposição, devido aos custos
envolvidos na mitigação vis-à-vis os impactos esperados.

Os tratamentos, depois de aprovados no primeiro nível da

alçada dos gestores responsáveis pelos processos, tornar-
se-ão planos de ação, os quais devem ser monitorados até a
implantação das melhorias de controles previstas.

Para as situações que envolvam investimentos em

desenvolvimento de soluções de TI ou soma de recursos
relevante para melhoria de controles, ou mesmo terceirização
ou contratação de apólice de seguros, os tratamentos
deverão ser submetidos às alçadas superiores para ciência e
tomada de decisão. Vale lembrar que os custos dos controles
a serem implantados não devem ser maiores que os benefícios
proporcionados por eles.
Decorrentes da autoavaliação de riscos e controles
A autoavaliação de riscos e controles pelos gestores dos processos, tratada no item 4.8 (envolvendo a abordagem conhecida como CSA ou RCSA),
constitui uma oportunidade bastante adequada para o estabelecimento de controles.
É no ambiente da autoavaliação que os gestores promovem reflexão sobre os processos sob sua gestão e identificam riscos e controles. Ao
considerarem o nível de risco almejado (residual), avaliam se controles existentes são suficientes ou não, o que pode levar a um plano de ação.

Se esse procedimento envolver as áreas de risco operacional, de controles internos e de compliance, contaremos com uma maior maturidade
organizacional em relação aos processos e às responsabilidades individuais quanto aos riscos e aos controles.

Com isso, a autoavaliação tornou-se uma das mais utilizadas ferramentas para o estabelecimento de controles.
Exemplo de questionário de autoavaliação

1. Houve, desde a última atualização da documentação, alguma

alteração significativa no processo de sua área? Qual?

2. A alteração mencionada na questão anterior trouxe novos riscos?

Quais? Os controles foram revisados e/ou implementados
novos controles?

3. Houve alguma alteração no funcionamento ou exclusão de algum

controle? Qual? Por que?

4. Os controles atuais mitigam os riscos inerentes aos processos?

5. Houve registro de falha significativa em algum controle? Qual?

6. Houve alguma alteração sistêmica que pudesse afetar os

processos ou controles?

7. Existe alguma atividade que traga conflito de interesses, incluindo

acesso ao(s) sistema(s)?

8. A matriz de segregação de funções continua coerente com a

realidade do departamento?

9. As planilhas em excel, access ou outras utilizadas que levam

números materiais e são utilizadas para o balancete possuem
os controles mínimos exigidos, tais como: controles de acessos,
revisão periódica de fórmulas, proteção de células, backup etc.?
Relacionar os controles.
10. Há controles que garantam que as informações dos relatórios
gerenciais estão corretas? Quais?

11. Existe alguma interface com outras unidades (externas) que

possam trazer riscos adicionais ao processo (exemplos: folha de
pagamento, tesouraria)? Relacionar os controles.

12. Estão previstas para este ano alterações importantes no

processo da sua área? Já foram efetuadas as análises de riscos?

13. Todos as questões anteriores (exceto 12) foram levadas em

consideração na sua revisão?

14. Todos os funcionários da sua área conhecem toda documentação

relacionada aos processos executados, tais como: políticas,
manuais de procedimentos/narrativas, fluxogramas, matriz de
riscos e de controles? Caso negativo, indicar as datas previstas
para os treinamentos.

15. Nos últimos doze meses houve rotatividade significativa de

funcionários na sua área?
Decorrentes da base de O gerenciamento dos riscos operacionais colabora muito para
os controles internos, cumprindo um papel especial a base de
eventos e perdas perdas dos riscos operacionais, inclusive tendo em vista as
exigências regulatórias para as instituições financeiras dos
segmentos S1, S2 e S3.

Entretanto, é adequado para fins de gerenciamento dos riscos

e controles que a base possua um escopo mais abrangente
e registre todos os eventos e perdas dos demais riscos
corporativos, principalmente os chamados riscos
não financeiros.

A adoção de um único repositório multiuso para registrar

e quantificar os eventos de riscos é uma boa prática para
o gerenciamento integrado dos riscos corporativos e
controles internos.

Essa prática viabiliza maior transparência e compreensão das

atividades, informação sobre acessos autorizados e menores
custos de manutenção, devido ao compartilhamento de
serviços de suporte e tecnologia.
A base única de dados, formatada para atender as diferentes visões de gestão de riscos, controle e compliance,
proporciona o conhecimento estruturado e sistematizado de todos os eventos de riscos já identificados, possibilita a
categorização dos riscos e suas causas raiz, bem como organiza as informações sobre as providências corretivas e preventivas realizadas em
termos de controles internos implantados.

Isso contribui para a análise dos efeitos adversos decorrentes da interação entre os riscos e permite avaliar tendências e conhecer o
comportamento dos riscos ao longo do tempo, para fins de modelagem, e colabora para a elaboração de cenários com a finalidade dos testes
de estresse.

Neste sentido, a base de dados deveria contemplar também os eventos de riscos de não conformidade.
Não é sem razão que vemos várias plataformas sendo fornecidas por provedores de soluções, na linha do chamado GRC - governança corporativa,
gerenciamento de riscos e compliance. Essas ferramentas promovem a consolidação de dados e informações em um mesmo ambiente,
principalmente de eventos de riscos não financeiros, gerando valor para a administração da instituição em diferentes frentes, como gerenciamento
do risco operacional, controles internos, compliance, auditoria interna etc.

Portanto, a base de dados tem a função de:

• Auxiliar o monitoramento da exposições aos riscos;

• Permitir a padronização das informações e análises dentro de critérios uniformizados;
• Identificar os principais focos de riscos incorridos, os impactos financeiros, grau de cobertura de mitigação dos controles internos e avaliar a
eficácia das ações e dos controles estabelecidos;
• Gerar alertas com relação às tendências e melhorias que devem ser realizadas nos processos e controles, com o objetivo de redução das perdas
financeiras e eventos não financeiros;
• Atuar como fonte confiável de dados históricos de riscos para o uso de cenários em testes de estresse e para fins de modelagem dos riscos e do
cálculo de parcela de capital regulamentar.
A base de dados, para ser considerada fonte confiável, deve
atender alguns atributos:

• Completude: A base deve conter a totalidade dos eventos de

riscos, com as respectivas identificações contábeis;

• Homogeneidade: Os dados registrados devem possuir o

mesmo padrão de estrutura de informação;

• Integridade: Os dados contidos na base devem se espelhar na

natureza dos eventos e os registros contábeis;

• Rastreabilidade: Os dados registrados devem possuir trilha

de auditoria que permita verificar o evento desde sua origem
(ocorrência, local, sistemas envolvidos etc.) até
a contabilização;

• Consistência: Os dados capturados e registrados não devem

ser duplicados, alterados e/ou modificados e devem ser
conciliados com a contabilidade;

• Verificabilidade: Os dados contidos na base devem possuir

documentação comprobatória;

• Profundidade: A base deve conter dados registrados de

exercícios contábeis anteriores.
Decorrentes de indicadores de
riscos, controles e compliance
As ações de controle também podem advir de alertas gerados
por indicadores.

Em geral, temos dois grandes blocos de indicadores úteis

para as atividades de controle interno.

Um deles é composto pelos próprios indicadores de risco.

Um exemplo pode ser considerado quando comportamentos
específicos do risco de crédito revelem situações que
mereçam atenção quanto aos controles pertinentes
(qualidade do cadastro, controle de garantias etc.). Um
outro exemplo pode ser dado com indicadores de riscos
operacionais, que apontam para fragilidades potenciais em
diferentes pontos da instituição.
O outro bloco recai sobre os indicadores de compliance. Exemplos podem assim ser dados:
• Descumprimentos (prazos e conteúdo) para os atendimentos previstos pela regulação;
• Aplicação de sanções por parte dos reguladores e órgãos de fiscalização;
• Notificações e ofícios recebidos dos reguladores e não atendidos; Esses vários indicadores de
• Níveis de obsolescência e/ou atrasos de revisão das políticas e procedimentos internos compliance podem revelar fragilidades
em relação aos requerimentos regulatórios e legislação vigentes; de pontos de controle quanto aos
• Regularização dos apontamentos das auditorias (interna e independente); riscos identificados nos diferentes
• Fragilidades identificadas nos resultados de testes de conformidade; processos existentes na instituição,
• Treinamentos aplicados aos funcionários e terceiros sobre temas de conformidade, como que ações poderão ser traçadas
incluindo código de ética e conduta; e implementadas.
• Acionamentos do canal de denúncias sobre desvios comportamentais em relação ao
código de ética e conduta e às políticas internas;
• Reclamações dos clientes.
Decorrentes de apontamentos das
auditorias (interna e independente)
e órgãos de fiscalização e
de autorregulação
Comentamos, no item 2.4.1, que a auditoria interna, na
qualidade de terceira linha, atua de forma independente
e objetiva e tem a incumbência da revisão e da avaliação
sobre a adequação e a eficácia da governança corporativa,
do gerenciamento dos riscos e do sistema de controles
internos, bem como assessorar e propor melhorias ao
modelo de gestão. O reporte do resultado dos seus
trabalhos é dirigido à Alta Administração.
Por sua vez, a auditoria independente analisa e emite
pareceres sobre a robustez dos controles internos que
asseguram a integridade e consistência das demonstrações
financeira, sobre a qualidade da governança corporativa e a
correta aplicação dos requerimentos regulatórios. Reporta
os resultados dos trabalhos para a Alta Administração e
aos stakeholders (acionistas, investidores etc.)
As autoridades de fiscalização também realizam trabalhos
de inspeção sobre a aplicação dos requerimentos
regulatórios quanto à efetividade do gerenciamento
dos riscos e do sistema de controles internos. Em seus
trabalhos, as autoridades de supervisão podem solicitar
relatórios de trabalho das auditorias, assim como
informações pontuais sobre diferentes temas.
Portanto, vemo-nos ante à necessidade de uma efetiva
compreensão sobre a avaliação que essas autoridades e
auditorias têm sobre a instituição financeira.
Da mesma maneira, as entidades de autorregulação procedem
avaliações das organizações filiadas, quanto à conformidade aos
códigos de autorregulação, que abrangem o gerenciamento dos riscos e
do sistema de controles internos.
Em linha com o comentário no item 2.3.3 (fontes de informações), os
apontamentos realizados por autoridades de fiscalização, entidades de
autorregulação e auditorias interna e independente devem ser utilizados
para direcionar os esforços de melhoria contínua da gestão dos riscos e
do sistema de controles internos.
Tratamento dos apontamentos
À segunda linha, mais especialmente às áreas de controles internos
e/ou compliance, cabe o monitoramento da implantação das
soluções para as fragilidades de controles internos identificadas nos
apontamentos das auditorias, reguladores e autorregulação.
A regularização dos apontamentos é de responsabilidade das áreas
da primeira linha, mas as áreas de segunda linha envolvidas no
monitoramento devem prestar assistência aos gestores, quanto
à compreensão das medidas mitigatórias a serem implantadas e,
posteriormente, realizar testes.
Mas pode ser uma grande perda se a instituição financeira utilizar
os apontamentos única e exclusivamente pela ótica da solução
individual. Afinal, os apontamentos podem ser de valia para a gestão
da instituição.
Uma forma de vermos isso é considerando que os apontamentos
devem ser levados em conta nas frentes de trabalho de mapeamento
de riscos, questionários/testes de autoavaliação, matriz de riscos,
avaliação e testes de controles etc.
Ademais, no procedimento de cross checking deve-se verificar se há
inconsistências dos resultados da avalição dos controles. Ou seja,
controles avaliados como satisfatórios nos mapeamentos ou nos
testes de autoavaliação de controles devem ser confrontados em
relação à existência de apontamentos pendentes da implantação
das soluções.
Como os apontamentos emanam de diferentes fontes, uma boa
prática consiste na criação e manutenção de uma base de dados
única sobre os apontamentos recebidos, sejam externos ou internos,
para acompanhamento e geração de indicadores, permitindo um
gerenciamento efetivo dos riscos e dos controles.
Essa base única gera informações e indicadores totalmente úteis ao
gerenciamento dos riscos, à busca da efetividade do sistema
de controles, bem como à manutenção de um adequado ambiente
de conformidade.
Decorrentes do cross checking com outras ferramentas
de monitoramento
O procedimento de cross checking (avaliação cruzada) tem por finalidade avaliar o nível de integração, alinhamento, coerência e consistência entre
as ferramentas de gestão de riscos e de controles internos.

Cada ferramenta tem um propósito individual específico, mas os seus resultados devem estar alinhados (em termos de probabilidade e impactos)
entre si, e quando comparados devem proporcionar uma visão holística para a Alta Administração sobre as exposições de riscos e a robustez do
sistema de controles internos.
Apresentamos, a seguir, alguns exemplos de avaliação cruzada:

Base de eventos e perdas

Já dissemos que o gerenciamento dos riscos operacionais contribui para os controles internos. Nesse sentido, as perdas e
eventos capturados, e que formam a base de dados da instituição, devem ser comparados com os resultados das outras
ferramentas (mapeamento e matriz de riscos, medição dos indicadores KRIs e KCIs, cenários, autoavaliação e certificação de
controles) de formar a assegurar alinhamento e coerência, tanto em frequência quanto severidade das ocorrências.
Como um exemplo de consideração nessa comparação, podemos dizer que não deveriam existir, na base, eventos de perdas
financeiras e não financeiras significativas vinculadas a processos com controles avaliados como fortes ou satisfatórios.

Indicadores (KRIs e KCIs)

Os riscos residuais classificados com exposição alta ou média, em função da avaliação dos controles serem fracos e/ou que
necessitam de melhorias, devem ser comparados com as medições dos KRIs e KCIs correspondentes (quando existentes).
Por sua vez, os resultados das medições dos indicadores devem estar refletidos nas ocorrências capturadas na base, tanto em
frequência quanto em severidade, de forma a assegurar que as fontes de dados (eventos e perdas) utilizados nos indicadores
sejam íntegras.
Apontamentos das auditorias (interna e independente) e de órgãos de fiscalização

Os apontamentos das auditorias e outras recomendações externas e internas devem ser utilizadas na revisão dos resultados
apurados durante o mapeamento de processos e da aplicação do CSA, de forma a assegurar que as recomendações não
estejam vinculadas a um ambiente de controle avaliado como forte/satisfatório. Situações de exceção deveriam ser objeto de
forte justificativa.

Autoavaliação de controles e certificação de controles

Os resultados dos processos de autoavaliação e certificação de controles (incluindo SOX) devem ser comparados com
os resultados do mapeamento de processos/matriz de riscos e perdas capturadas na base de perdas, para assegurar o
alinhamento em relação às avaliações dos controles e às exposições ao risco residual.

Cenários

Os impactos (financeiros e não financeiros) dos riscos identificados no exercício de elaboração de cenários devem ser
comparados com os resultados do mapeamento de processos/matriz de riscos, autoavaliação e certificação de controles.
Na avaliação dos piores cenários plausíveis, espera-se que impactos decorrentes dos controles ineficazes sejam maiores, em
relação aos demais impactos apurados por outras ferramentas, pois caso contrário, o exercício de elaboração de cenários
foi conservador.
Já os controles avaliados como fortes na análise de cenários não deveriam apresentar resultados divergentes em relação às
outras ferramentas.
As discrepâncias de resultados encontradas no
procedimento de cross checking devem ser objeto
de avaliação pela segunda linha, quanto à validade
das metodologias aplicadas nas ferramentas, bem
como devem desafiar os gestores responsáveis
pelos processos, no sentido de apresentarem as
devidas justificativas e proporem ações corretivas
de controles para os desvios identificados.
Acompanhamento
Dissemos no item 2.1.6 (controles e o modelo de linhas), as áreas da segunda linha efetuam o
monitoramento das atividades de gerenciamento dos riscos, controles internos e conformidade (em
relação às políticas internas e regulações aplicáveis) realizadas pelas áreas da primeira linha.

Essa é uma atividade de suma importância para assegurar que as diretrizes definidas pela Alta
Administração sobre exposições aceitáveis de riscos, controles internos e compliance foram
compreendidas e implantadas por todas as áreas da instituição e a execução está a contento, em
todos os níveis hierárquicos.
 Ferramentas e metodologias
Para cumprir as atividades de monitoramento, as
metodologias que suportam as ferramentas de
monitoramento usuais são o COSO ICIF e a ISO 31000,
tratados com mais detalhes no item 14 (metodologias
voltadas aos controles internos). A metodologia do
COSO ICIF 2013, no componente 5 e nos dois princípios
vinculados, prevê:

• Componente 5: Atividades de monitoramento

XVIII. A organização seleciona, desenvolve e realiza avaliações
contínuas e/ou independentes para se certificar da
presença e do funcionamento dos componentes do
controle interno.

XIX. A organização avalia e comunica deficiências no controle

interno em tempo hábil aos responsáveis por tomar ações
corretivas, inclusive a estrutura de governança e Alta
Administração, conforme aplicável.
No contexto da ISO 31000, é preciso ter presente que os controles são parte intrínseca do gerenciamento dos riscos.
Aquela metodologia, no item 6 – Estrutura de Gerenciamento de Riscos – item 6.5.1 Tratamento dos Riscos, assim se manifesta em relação ao
tratamento do risco:

“O objetivo do tratamento de risco é selecionar e implementar opções para

tratar com o risco. O tratamento do risco envolve um processo interativo
voltado a:

• formular e selecionar opções de tratamento de risco;

• planejar e implementar o tratamento de riscos;
• avaliar a efetividade desse tratamento;
• decidir se o risco remanescente é aceitável;
• se não for aceitável, continuar o tratamento.”
Como vemos, a ISO 31000 define claramente um processo de melhoria contínua, com o que o acompanhamento dos riscos e, obviamente, dos
controles deve ser objeto de atenção. Isso vem explicitado no item 6.6 - Monitoramento e revisão, da mesma metodologia:

“O objetivo do monitoramento e revisão é garantir e melhorar a qualidade e

a efetividade do desenho, da implementação e dos resultados do processo.
Monitoramento contínuo e revisão periódica do processo de gerenciamento
de riscos e seus resultados devem ser parte planejada do processo de
gerenciamento de riscos, com responsabilidades claramente definidas.
O monitoramento e a revisão devem ocorrer em todas as etapas do
processo. Monitoramento e revisão incluem planejamento, coleta e análise de
informações, registro de resultados e fornecimento de feedback.
Os resultados do monitoramento e da revisão devem ser incorporados em todas
as atividades de gerenciamento, medição e reporte de performance
da organização.”
Por oportuno, notamos a presença contínua, na metodologia, do
conceito P-D-C-A (Plan-Do-Check-Act).
No item 7.6 do presente documento (tratamento dos riscos),
comentamos a natureza dos tratamentos dos riscos previstos pela ISO
31000 e a vinculação destes à melhoria dos controles internos.
Alinhada a essas orientações internacionais, no Brasil, a Resolução
CMN 4.968 exige que as instituições financeiras devem realizar
monitoramento contínuo eficácia dos sistemas de controles internos
e dos principais riscos associados às atividades da instituição, bem
como realizar avaliações periódicas e acompanhamento sistemático
quanto ao alinhamento das atividades aos objetivos estratégicos,
cumprimento dos limites legais e regulamentares e do adequado
tratamento das deficiências de controles.
Ferramentas
Para que o monitoramento seja eficaz, é necessário estabelecer
e normatizar o fluxo de comunicação entre as áreas da primeira
linha com as áreas da segunda linha, para que ocorram os reportes
dos indicadores e dos incidentes e anomalias (nos formatos e
padrões estabelecidos).
Dentre as ferramentas usuais de monitoramento, destacamos:
• Indicadores: medições dos indicadores (KRIs, KCIs e KPIs). Como
salientado no item 3.4, os indicadores são importantes para
acompanhamento dos níveis de exposição dos riscos e da robustez do
sistema de controles internos.
• Procedimento de cross checking: consiste nas análises do
cruzamento entre os resultados proporcionados pelas outras
ferramentas, de forma auferir a qualidade e consistência das
avaliações de exposição de riscos e dos controles internos, bem como
direcionar os esforços para correção das fragilidades.
• Painel de planos de ação: ferramenta utilizada para acompanhamento
contínuo da implantação dos planos de ação, decorrentes das
avaliações das ferramentas e procedimentos de avaliação de riscos
e controles internos, assim como os apontamentos das auditorias
(interna e externa) e de órgãos de fiscalização, e as correção das
deficiências identificadas nos testes de controles, autoavaliações e
certificação de controles.
Testes de efetividade de controles
Quando tratamos de testes de efetividade de controles, podemos
considerar três abordagens:

• A primeira abordagem (já tratada no item 4.6) consiste na

autoavaliação dos controles pelos gestores das áreas, especificamente
o processo de certificação de controles internos.
• A segunda abordagem é aquela executada pela área de controles
internos, com a definição de critérios e escopo definidos em seu
planejamento anual.
• A terceira abordagem é aquela executada pela auditoria interna, a qual
segue planejamento anual e critérios próprios e independentes.
Espera-se que, no mínimo, os resultados dos testes de efetividade
realizados pelas três abordagens sejam minimamente alinhados.
Divergências devem ser consideradas pelas áreas responsáveis pela
realização dos testes.

Vejamos as etapas adequadas para a aplicação da segunda abordagem,

ou seja, os testes realizados pela área de controles internos.
Planejamento anual de testes dos
controles internos
A etapa de planejamento consiste na definição dos
critérios de avaliação dos controles e a abrangência da
sua aplicação, assim como a priorização dos controles
a serem testados. Para tanto, os critérios utilizados
podem considerar:
• As informações das ferramentas de gerenciamento
de riscos e controles (mapeamento de riscos, matriz
de riscos, indicadores base de perdas, resultados das
autoavaliações de controles), apontamentos de auditorias
(interna e independente) e dos órgãos de fiscalização,
assim como atender demandas da Alta Administração;
• A seleção dos controles-chave com base na criticidade
dos riscos e na importância dos processos e dos sistemas
suporte para a consecução dos objetivos estratégicos;
• A atenção aos procedimentos, de modo a dar segurança
de que os controles internos estão em adequado
funcionamento, pelos responsáveis;
• A atenção ao objetivo de levantar evidência quanto à
suficiência, exatidão e validade dos dados;
•A interação e os limites do teste com a função
de compliance.
Exemplos de controles-chave no âmbito da certificação de
controles internos – SOX, para aplicação de testes:
• Revisão e aprovação de conciliação de baixas;
• Revisão e aprovação de conciliações contábeis;
• Aprovação de constituição e reversão de reservas/provisões;
• Autorização para contratação de hedge;
• Aprovação de apreçamento (pricing);
• Aprovação de venda de bens retomados;
• Parametrizações automáticas de alçadas;
• Validação e aprovação de impostos;
• Conferência de contratos, aditivos e documentações;
• Aprovação de negociações de cobrança;
• Revisão de portfólio e de demonstrações financeiras;
• Conferência de cálculo da folha de pagamento;
• Autorização de pagamento de funding para financiamento;
• Aprovação de alterações em sistemas (TI);
• Autorização de acesso a sistemas, acesso físico a data
center, sistema operacional e banco de dados;
• Controle de gestão de incidentes;
• Restore de backups.
Operacionalização dos testes

A operacionalização dos testes considera a aplicação de um

checklist de atividades a serem executadas, tais como:

• levantamento prévio da documentação dos processos e

dos controles;
• estudo dos sistemas de suporte às operações;
• agendamento de entrevistas com os gestores responsáveis e
pontos focais para apresentação do método de teste a
ser aplicado.

Após a realização dos testes, procede-se à elaboração de

relatório prévio seguido de diálogo com o gestor responsável para
apresentar as incidências detectadas e avaliar quais serão as
ações de remediação que deverão ser implantadas.

Na sequência, é elaborado relatório conclusivo com as indicação

das fragilidades encontradas e os respectivos planos de ação
corretivos, os quais passarão a ser monitorados até a sua
definitiva implantação.
Avaliação do ambiente de No âmbito dos testes de efetividade de controles, a avaliação
do ambiente de controles internos considera se as estruturas
controles internos da governança corporativa, as atribuições e alçadas, o código
de ética/conduta e a conformidade com os requerimentos
regulatórios estão refletidos nas políticas, manuais de
procedimentos e ferramentas pertinentes aos processos e áreas
responsáveis, bem como considera o nível de disseminação dessa
estrutura para os colaboradores que atuam diretamente na
execução das atividades e dos controles.

Também nesse contexto deve-se examinar se há conflitos

de interesses nas atribuições e responsabilidades das áreas
envolvidas na execução dos processos.

Como o interesse não se dá em relação a apenas um ponto

específico no tempo, verifica-se ainda a recorrência das
atualizações das políticas e dos manuais de procedimentos,
a disponibilização desses documentos para o acesso dos
funcionários para conhecimento/consultas, assim como o
treinamento das pessoas envolvidas.
Definição do escopo de testes
Com base nos critérios definidos durante a etapa do planejamento
dos trabalhos, a definição do escopo dos testes de efetividade pode
envolver (mas não se limita) a avaliação quanto a:
• Controles que foram implantados para mitigar os riscos residuais
identificados com elevada exposição;
• Controles que foram implantados para sanar apontamentos da
auditorias (interna e externa) e dos órgãos de fiscalização;
não previstos;
• Controles cujos processos apresentaram materialização de eventos
de riscos não previstos;
• Controles dos processos transacionais considerados críticos
(finalísticos e de suporte) para o êxito dos objetivos estratégicos;
• Controles dos processos gerenciais de monitoramento dos
riscos corporativos;
• Controles no âmbito de TI (ambientes de desenvolvimento,
homologação e produção);
• Controles de segurança cibernética e da informação;
• Controles da gestão de fornecedores e prestadores de
serviços (terceirização).
Definição de amostragem
e aplicação de testes
Amostragem
Na aplicação dos testes de controles, as amostras podem ser
definidas como probabilísticas e não probabilísticas.
As amostras probabilísticas seguem inferências estatísticas. Um
modelo estatístico bastante utilizado para delimitação de amostras
para os testes de controles é a amostragem aleatória simples –
população finita. Consiste na definição da população e do período
temporal a ser avaliado e, dentro desses limites, realiza-se uma
extração aleatória simples de um número de elementos e com base
no grau de confiança razoável esperado. Essa abordagem é utilizada
para as situações que apresentam probabilidade de ocorrência de
eventos potenciais com elevada frequência.

As amostras não probabilísticas seguem aspectos julgamentais

(ou seja, com subjetividade) do avaliador. Em geral, é utilizada nas
avaliações onde a população é finita, porém para as situações que
apresentem probabilidade de ocorrência de eventos potenciais com
baixa frequência.

As escalas de probabilidade/frequência e de impactos, comentadas

no item 7.4 (mensuração dos riscos residuais), podem auxiliar como
referências para a definição da abordagem mais apropriada a ser
utilizada para cada caso: probabilista ou não probabilística.
O critério utilizado para seleção de amostragem deve ser claro e
documentado de forma suficiente a possibilitar que qualquer pessoa
utilizando o mesmo critério chegará ao mesmo resultado...
“sem viés”.
Aplicação de testes
A aplicação dos testes de efetividade dos controles ocorre
em duas etapas:
• Primeira etapa: avaliação da especificação (desenho)
Avaliação da forma como o controle está estruturado/
especificado (adequação da categoria, tipologia, natureza
e frequência do controle), e se o controle existente
é efetivo ou não para mitigar o risco para qual foi
desenvolvido. Ou seja, avalia-se se o objetivo do controle
está, mesmo, direcionado para diminuir (em termos de
frequência e impacto) a exposição ao risco.
• Segunda etapa: avaliação do funcionamento
Avaliação do funcionamento (ou seja, uma vez especificado
e implantado), verificando-se se o controle consegue
mitigar o risco ao qual está relacionado. Portanto, verifica-
se se é efetivo ou não do ponto de vista funcional. Aqui, o
teste consiste na verificação das evidências do controle
pela quantidade de amostras definidas para avaliação.

Regras básicas para consideração da efetividade

dos controles:

• Se um controle não é efetivo quanto à sua especificação,

não poderá ser considerado efetivo quanto ao
seu funcionamento;
• Se um controle é efetivo quanto à sua especificação,
não necessariamente será efetivo quanto ao
seu funcionamento;
• O controle será plenamente efetivo quando a sua
especificação e o seu funcionamento mitigarem o risco
(objetivo do controle), dentro dos limites de
razoabilidade definidos pela instituição.
Para os resultados dos testes de funcionamento dos controles, com base nas amostras, uma boa prática é o estabelecimento de uma escala de
classificação das incidências e materialidade encontradas, e da efetividade de cobertura de controles, de forma a permitir uma análise objetiva
quanto à razoabilidade dos resultados, como o exemplo abaixo:

Incidências Perdas Financeiras Avaliação do

Frequência das incidências observadas
observadas Materialidade Controle

Remota Inferior a %...das operações processadas Inferior a R$... Efetivo

Imaterial Superior a %...e inferior a %... das operações processadas Superior a R$... e inferior a R$... Efetivo

Leve Superior a %... e inferior a %... das operações processadas Superior a R$... e inferior a R$... Parcialmente Efetivo

Relevante Superior a %... e inferior a %... das operações processadas Superior a R$... e inferior a R$... Não Efetivo

Muito Relevante Superior a %... das operações processadas Superior a R$... Não Efetivo
 Nota: esta escala de classificação das
incidências e cobertura de controles é
apenas um exemplo. Cada instituição
pode estabelecer as métricas (faixas de
classificação de incidências) que julgar mais
adequada ao seu porte e complexidade.

Walkthrough
Uma outra forma de se avaliar a efetividade dos
controles é caracterizada pela aplicação do teste
denominado walkthrough.

Esse teste objetiva avaliar o fluxo operacional de um

específico caso de transação. Aqui, cabe verificar
se a narrativa corresponde ao fluxo e aos controles
correspondentes. A revisão se dá por meio da execução
passo a passo dos procedimentos.

Este tipo de teste verifica se, na cadeia de valor de um

processo, os procedimentos de controles normatizados
foram executados conforme previstos, bem como se foram
aprovados pelas alçadas competentes.

Ou seja, são avaliados se os desenhos dos controles e a

execução dos desses são efetivos.
Exemplo de avaliação por meio de Walkthrough
Verificação de conjunto de operações de crédito e se as
assertivas (objetivos) de controles previstos nos manuais de
procedimentos foram aplicadas e se foram suficientes:
• Todas as propostas foram registradas no sistema
de crédito?
As propostas estavam devidamente preenchidas
e os termos assinados e validados na origem (pontos
de atendimento)?
• Todas as propostas foram analisadas no
periódico correto?
• A documentação e as informações exigidas estavam
completas, válidas e foram inseridas no sistema e
conferidas para análise e decisão de crédito?
• As propostas aprovadas possuem análises de capacidade
de pagamento pelos tomadores de crédito?
• As propostas aprovadas estão em conformidade com a
política e manual de crédito da instituição?
• Os produtos e instrumentos de crédito foram
parametrizados no sistema de crédito?
• As alçadas de aprovação das operações de crédito estão
parametrizadas no sistema e crédito?
• As alçadas parametrizadas estão atualizadas e foram
aprovadas por instância competente superior?
• As propostas aprovadas por decisão automática estão
em conformidade com os parâmetros cadastrados no
sistema de crédito?
• As propostas aprovadas por dispensa de reanálise estão
de acordo com os parâmetros cadastrados no sistema
de crédito?
• As garantias foram devidamente formalizadas e são
válidas, conforme previsto no manual de procedimentos?
• O conjunto de documentos e procedimentos
comprobatórios das análises de crédito estão apensados
no sistema de crédito?
• Foram aplicados os requerimentos regulatórios
aplicáveis (incluindo o procedimento de PLD/CFT, níveis de
concentração etc.)?
• As propostas aprovadas e registradas no sistema de
crédito foram contabilizadas no periódico correto?
• O gerenciamento das atividades de análise e concessão
de crédito e o monitoramento dos resultados da carteira
são realizados de forma eficiente e conforme a política
de crédito?
Técnicas de aplicação de testes de controles
As técnicas usuais para aplicação de testes são:

• Entrevistas: avaliação, junto ao gestor responsável,

do seu conhecimento sobre o desenho dos controles
e seu funcionamento;
• Observação direta: compreensão da forma como o controle
é executado e avaliação da capacitação necessária das
pessoas responsáveis;
• Exame dos registros: verificação da adequação dos
registros nos sistemas gerencial e contábil em relação aos
procedimentos internos normatizados;
• Exame de documentação comprobatória: verificação da
veracidade e validade das informações e dos registros nos
sistemas gerencial e contábil;
• Inspeção física: verificação “in loco” que permite a
formação de opinião quanto à existência física e/ou das
condições de um objeto ou item examinado;
• Conferência e recálculos: verificação e validação da
adequação da valorização de operações quanto a sua exatidão;
• Reexecução do controle: verificação (com base em
amostragem) da conformidade e efetividade de um controle;

• Confirmação de terceiros: obtenção de informação junto a

um terceiro para confirmar um fato ou valor.
Tipos de evidência
Já descrevemos no item 4.3 (classificação, tipologias, frequências e
aplicações dos controles), que as evidências do controles dependem da
forma como estes são concebidos e implementados, ou seja:

• Controles manuais: ações de controles executadas por manuseio/

intervenções realizadas por pessoas diretamente envolvidas nos
processos.
As evidências da execução dos controles desta natureza são de caráter
documental/física, sendo por exemplo: documentos rubricados (vistados)
de conferência, cópias de documentos de conciliação manual etc.

• Controles sistêmicos (automáticos): ações de controle configuradas

em sistemas/plataformas sistêmicas e aplicativos, executadas com
autonomia parametrizada (sem intervenção/julgamento humano).
As evidências de controles desta natureza são de caráter magnética/
digital, por exemplo: registros eletrônicos e logs de execução (trilha de
log) de conferência automática.
• Controles híbridos (semiautomáticos): são ações de controle
parcialmente operados por intervenção humana com os sistemas. São
identificados pelo uso de aplicações sistêmicas e que necessitam de
intervenção de pessoas para a sua consecução. Vale notar que o profundo avanço tecnológico
As evidências de controle geradas nestes casos podem ser físicas e acarreta mudanças materiais quanto aos
eletrônicas, por exemplo: prints de telas, registros eletrônicos e log de procedimentos dos testes de controle, cabendo
usuários autorizados. ao avaliador o cuidado necessário para
compreender o papel do controle sistêmico.
A partir da compreensão sobre a forma de manifestação do controle
objeto do teste, deve-se buscar um conjunto mínimo de evidências
adequadas para o objetivo do teste.
Controles corporativos diretos, indiretos e controles transacionais:
diferenças e similaridades
Na literatura sobre controles encontramos uma
multiplicidade de abordagens. Nesse ambiente,
vislumbramos uma possibilidade de classificação dos
controles em duas tipologias:
• Controles corporativos ou controles a nível de
entidade - “Entity Level Control” (ELC);
• Controles transacionais ou controles de processos
específicos “Transation-Level Control” (TLC).
Os Controles corporativos tratam os riscos e controles em nível corporativo, agregado,
dividindo-se em duas categorias:
a) Controles corporativos indiretos
Representados pelas estruturas e mecanismos de governança corporativa e têm a
incumbência de aprovação e gestão dos objetivos estratégicos e operacionais, dos limites
estabelecidos no apetite a riscos e da eficácia do sistema de controles internos. Ocorre
nos fóruns de deliberação e decisão tais como: conselho de administração, diretoria e por
comitês de assessoramento.
b) Controles corporativos diretos

Representados pelas funções de monitoramento e de supervisão quanto à performance, aos níveis de exposição aos riscos e à
eficácia do sistema de controles internos por meio de procedimentos e ferramentas (indicadores, mapeamento de processos etc.).
Municiam os controles corporativos indiretos sobre os resultados do monitoramento para fins de avaliação final e tomada de decisões.
Comparativamente ao modelo de linhas, seriam atividades exercidas que podem ser exercidas de forma combinada ou separada pelas áreas
da primeira e da segunda linha e possuem uma característica detectiva.

Os controles transacionais buscam tratar do risco e dos controles no nível individual da transação e podem se dividir em duas categorias :

a) Controles transacionais indiretos b) Controles transacionais diretos

São representados pelas políticas, manuais de
procedimentos aplicados ao nível operacional
das operações. Possuem características
instrutiva e preventiva.
São aqueles que atuam diretamente na execução
dos processos e atividades relacionadas
aos produtos e serviços para assegurar o
cumprimento dos objetivos e das conformidades.
Possuem características preventivas
e/ou detectivas.

Em comparação ao modelo de linhas, os controles transacionais (diretos e indiretos) estão mais identificados com a competência das áreas da
primeira linha.
Testes de controles
implementados em sistemas.
Exemplos e aplicações
Conforme a regulação aplicável às instituições
financeiras, a avaliação dos controles internos no âmbito
de TI deve abranger desde a governança e políticas
aplicáveis em tecnologia, a infraestrutura tecnológica,
sistemas e aplicativos desenvolvidos ou contratados até
os recursos computacionais contratados para serviços
relevantes de processamento, armazenamento de dados
e computação em nuvem.

De modo geral, os serviços e soluções de TI devem estar

alinhados aos objetivos estratégicos da organização.
A entidade ISACA (Information Systems Audit and Control
Association), referência utilizada para governança e procedimentos
em TI, sugere duas categorias de controles no âmbito da
Tecnologia da Informação:
Controles gerais de TI
É o conjunto de controles constituídos pela estrutura de
governança, políticas e procedimentos aplicáveis a infraestrutura,
aos sistemas e aplicativos de uma organização. Os controles gerais
de TI envolvem os ambientes de desenvolvimento, homologação e
produção; são eles:
• Controles aplicados no desenvolvimento de sistemas;
• Controles aplicados no gerenciamento de mudanças;
• Controles de segurança da informação e cibernética;
• Controles aplicados nas operações em ambiente de produção;
• Controles de acessos físicos e lógicos.
A confiabilidade dos controles existentes nos sistemas e aplicativos
decorre da eficácia desses controles gerais de TI.
Por exemplo: durante o desenvolvimento de sistemas, devem ser
aplicados controles por meio da realização de testes e validações,
os quais, se não executados corretamente (acidental ou não),
comprometem a integridade e a confiabilidade do sistema e/ou
aplicativo ser implantado.
A responsabilidade pelos “controles gerais de TI” é exclusiva da área
de Tecnologia da organização.
Controles de aplicativos (ou aplicação)
São os controles automáticos inseridos nos sistemas e aplicativos
utilizados para dar suporte aos processos finalísticos e gerenciais
da organização. São controles projetados para prevenir e detectar
erros e irregularidades durante o processamento das informações
em sistemas e aplicativos. Exemplos de controles automáticos:
totalidade, veracidade, validade, autorização e segregação
de funções.
As responsabilidades pelos controles de aplicativos são
compartilhadas e seguem dois momentos:

• As áreas de negócios requerentes são responsáveis por definir os

requisitos funcionais e de controles e pela utilização dos serviços
automatizados em ambiente de produção. Ou seja, a responsabilidade
pela definição, o uso operacional das soluções e dos controles
automáticos é das áreas de negócios requerentes.

• A área de TI é responsável por automatizar e implementar os

requisitos funcionais e dos controles aprovados pelas áreas de
negócios requerentes, assim como por estabelecer controles para
manter a integridade dos controles de aplicativos (controles gerais de
TI) em ambiente de produção.
Tanto os controles gerais quanto os controles de aplicativos são inter-
relacionados e ambos são necessários para assegurar um ambiente
de processamento adequado e íntegro das informações.
Avaliação de controles em TI
Consideremos agora as práticas de avaliação dos controles em TI.
Controles gerais
Em nível de Entity Leve Control (ELC), a avaliação consiste em verificar se
governança, políticas, processos e procedimentos utilizados no âmbito de TI
estão aderentes aos objetivos estratégicos da organização.
Em nível operacional, a avaliação consiste em verificar a eficácia dos
objetivos de controles especificados (desenho) e a funcionalidade para
mitigar os riscos de TI, para os quais foram desenvolvidos. Aqui podemos
identificar, como exemplos, os riscos de:
• Indisponibilidade: incapacidade do sistema e/ou aplicativo
processar os serviços especificados quando necessário;
• Falta de Confiabilidade: o sistema e/ou aplicativo não processa
os serviços conforme especificados;
• Insegurança operacional: o sistema e/ou aplicativo apresenta
falhas durante o processamento;
• Vulnerabilidade: sistema e/ou aplicativo não possui proteção
eficaz contra invasão acidental ou deliberada;
• Obsolescência dos sistemas e controles operacionais e de
segurança em TI;
• Descontinuidade das operações em TI por ausência ou
obsolescência de planos de contingências.
Uma boa prática é a checagem dos incidentes ocorridos e a
materialidade dos impactos (em determinado período) no ambiente de
produção vis à vis os níveis de tolerâncias previstos e aprovados para a
exposição aos riscos de TI.

Controles de aplicativos

Aqui, o primeiro passo consiste em verificar se os controles gerais de TI

previstos para as etapas de desenvolvimento, homologação e colocação
produção foram executados na implantação do sistema ou aplicativo,
objeto da avaliação. Nesse sentido, podem ser consideradas as
seguintes ações:

• Ambiente de desenvolvimento

Objetivo de Controle:

• Assegurar que os documentos fonte utilizados para o desenvolvimento

e homologação da solução sejam preparados por pessoal autorizado
e qualificado seguindo os procedimentos estabelecidos, levando em
consideração uma adequada segregação
de funções relacionadas com a criação e aprovação desses documentos.
• Prevenção e detecção de erros, omissões e irregularidade a tempo para
que sejam corrigidos.
• Ambiente de homologação
Objetivo de controle
Estabelecer que a entrada de dados seja executada de
maneira apropriada por pessoal autorizado e qualificado.
A correção e o reenvio de dados que foram erroneamente
inseridos devem ser executados sem comprometer o nível
de autorização da transação original. Quando apropriado
para a reconstrução, os documentos originais devem ser
guardados por período adequado.
Prevenção e detecção de erros, omissões e irregularidade
a tempo para que sejam corrigidos.
• Ambiente de produção
Avaliar os objetivos de controles quanto ao desenho e o
seu funcionamento (por meio de amostras), considerando
a execução dos controles nas três fases
do processamento:
a) Entradas
Veracidade, Autorização, Totalidade e Autenticidade
Objetivo de controle: assegurar que os dados sejam
exatos, completos, válidos e autorizados. Os dados
aprovados são convertidos e automaticamente inseridos
na aplicação de maneira precisa, completa e tempestiva.
b) Processamento
Processamento íntegro e válido
Objetivo de controle: manter a integridade e validade dos
dados durante o processamento. As transações errôneas
detectadas são marcadas para tratamento e não
interrompe o processamento das transações válidas.
c) Saídas
Revisão das saídas, reconciliação e manuseio de erros
Objetivo de controle: assegurar a verificação, detecção e
correção da exatidão das saídas autorizadas e entregues
para os destinatários corretos e protegidas durante a
transmissão.
Autenticação e integridade das transações
Objetivo de controle: manter a autenticidade e
integridade durante a transmissão mediante verificação
do endereçamento adequado, autenticidade da origem e
integridade do conteúdo antes de transmitir os dados das
transações entre os aplicativos e as funções de negócios/
operacionais (internas ou externas à organização).
Testes aplicáveis sobre modelos
analíticos e de inteligência artificial

Primeiramente, é importante diferenciar os modelos analíticos

e de inteligência artificial em relação às soluções de sistemas
tradicionais (softwares).

Os softwares tradicionais são determinísticos, ou seja, são pré-

programados para fornecerem saídas específicas com base em
determinados conjuntos de entradas, portanto, são relativamente
previsíveis. Durante o desenvolvimento assim como já em produção,
os testes são realizados com base em regras definidas para prever o
resultado exato e o status resultante do sistema e pode compará-lo
com o resultado real.

Já a inteligência artificial/aprendizado de máquina (IA/ML) não é

determinística, ou seja, o algoritmo pode se comportar de maneira
diferente para diferentes execuções. Portanto, devido a sua
complexidade, os modelos de inteligência artificial são propensos
a desvios.

O desafio consiste não apenas em monitorar as saídas/entregas,

mas também as entradas que podem sofrer mudanças com o tempo
e alterar os resultados finais, o que não significa que esteja errado.
Ou seja, o que é considerado correto hoje pode ser diferente do
resultado de amanhã, e este também pode estar certo. Isto é possível
porque os dados cognitivos utilizados nas entradas são mutáveis e
os algoritmos podem ser calibrados para incorporar as mudanças de
padrões (recursos de aprendizado de máquina), dentro de uma faixa
de tolerância previamente definida.
Implantação
A implantação de uma solução baseada em Inteligência
Artificial (IA) passa pelas mesmas etapas e testes previstos
para os sistemas tradicionais. Ou seja: desenvolvimento,
homologação e produção.
Destacamos a seguir, temas e etapas que cientistas de dados
e programadores consideram durante o desenvolvimento e a
implantação das soluções de IA:
• Entendimento do propósito da solução ou modelo a ser
desenvolvido;
• Definição dos requisitos funcionais e não funcionais
(segurança e proteção de dados);
• Elaboração de protótipo da solução;
• Definição dos dados cognitivos a serem coletados;
• Definição dos critérios técnicos de aceitação para evitar viés indesejado;
• Verificação da conformidade dos dados cognitivos em relação as normas
regulamentares e legais;
• Efetivação da coleta dos dados cognitivos para os testes preliminares na
fase desenvolvimento;
• Realização de treinamento dos dados cognitivos com as regras definidas
no modelo;
• Calibragem dos algoritmos e da faixa de tolerância para incorporar alterações
de padrões dos dados (aprendizado de máquina);
• Projeção de cenários para novos testes com os critérios definidos;
• Aferição dos resultados dos testes em relação aos resultados esperados
do modelo;
• Calibragem do modelo e colocação em produção.
Controles

Os controles principais para o modelos analíticos e IA podem ser assim identificados:

• Controle de entradas de dados: objetivo assegurar a integridade funcional (desempenho) e não funcionais (segurança e proteção de dados),
conforme especificado pelo modelo. Os dados de entrada são cruciais para a performance do modelo;
• Controle de saídas de dados: objetivo assegurar que os resultados produzidos sejam compatíveis com os resultados especificados pelo modelo.
Os eventuais desvios são apontados e averiguados e se estão dentro da faixa de tolerância definida (aprendizado de máquina);
• Controles gerais de TI: a infraestrutura de TI onde estão alojadas as soluções de IA devem contar com os controles previstos nos ambiente de
desenvolvimento e homologação (gestão de mudanças) e de produção (segurança operacional e cibernética).

Testes de controles

Os testes para modelos analíticos e Inteligência artificial (IA) devem considerar:

• Controle de Entradas
Desenho: avaliar se o controle foi especificado para permitir apenas a entrada dos dados considerados para atender o propósito do modelo,
respeitando as faixas de tolerância permitidas.
Funcionamento: avaliar por meio de amostragem se as regras funcionais de entradas de dados são efetivas, conforme previsto pelo modelo.
• Controle de Saídas
Desenho: avaliar se o controle foi especificado para checar os resultados gerados e realizar crítica para os desvios encontrados e dentro da faixa
de tolerância prevista.
Funcionamento: avaliar por meio de amostragens se os resultados gerados estão dentro das especificações do modelo e se foi realizada crítica
para eventuais desvios encontrados e dentro da faixa de tolerância prevista.
Tratamento das deficiências e
oportunidades de melhoria apuradas
O tratamento de uma deficiência vinculada a um controle visa a sua
melhoria ou a sua modificação para reduzir a exposição ao risco, para o
qual foi construído.

Há situações que possam requerer a implantação de novo controle

para reforçar a cobertura atual frente às eventuais alterações de
causa raiz, cujo controle existente não foi especificado para cobrir, de
forma a manter ou reduzir a exposição ao risco.

Podem ocorrer, também, oportunidades de melhorias de controles

decorrentes da automatização de processos e/ou da implantação de
novos processos, que podem consequentemente gerar outros riscos
emergentes ou potenciais.
Recomendações: uso e propósito

Já dissemos que as recomendações das auditorias (interna e

independente) e dos órgãos de fiscalização constituem contribuições
inestimáveis para a melhoria do sistema de controles internos. Afinal, são
visões independentes sobre situações de fragilidades existentes e/ou
potenciais, não detectadas pelos mecanismos e ferramentas de gestão
de riscos, controles e conformidade, e que podem afetar adversamente
o alcance dos objetivos estratégicos da instituição financeira.
Áreas da primeira linha, responsáveis pelos processos e controles de
escopo dos apontamentos, devem analisar as recomendações e os
potenciais riscos e causas raiz que possam afetar seus próprios objetivos
e elaborar planos de mitigação, assim como comunicar para as áreas da
segunda linha as providências a serem implantadas.

Cabe às áreas da segunda linha analisar todas as informações

disponíveis referentes às recomendações e desafiar as áreas da primeira
linha, quanto à eficácia das soluções mitigantes propostas.
Planos de ação
Os planos de ação têm por finalidade sanar as fragilidades de controles identificadas nas ferramentas de gestão da segunda linha: mapeamentos
de riscos e controles, elaboração da matriz de riscos, medições dos indicadores, questionários de autoavaliação, elaboração de cenários, base
de perdas, exercício de certificação de controles e testes de controles. Conforme comentado anteriormente, os planos de ação podem estar
vinculados aos atendimentos das recomendações das auditorias (interna e independente) e de órgãos de fiscalização.

Há planos de ação que podem ser decorrentes de avaliações das áreas de primeira linha que, de forma proativa, indicam melhorias dos controles
existentes ou ações de mitigações para riscos emergentes e/ou potenciais.

É uma incumbência das áreas de primeira linha a implantação dos planos de ações mitigantes, referentes aos processos dos quais são
responsáveis.

Cabe às áreas de segunda linha realizar os desafios, mediante avaliação sobre a coerência, a admissibilidade e a consistência dos planos de ação,
em relação às fragilidades identificadas e às melhorias propostas, bem como sobre os custos e benefícios esperados em termos
de redução de exposições aos riscos. Neste último, cabe aos gestores responsáveis pela primeira linha apresentarem as
justificativas do plano de ação, com as análises de viabilidade de implantação e benefícios esperados e buscar aprovação
de orçamentos.
Planos de contingência
Os planos de contingência são ações e respostas estruturadas
para minimizar os impactos decorrentes de situações de
fragilidade relevantes e inesperadas, reais ou potenciais, situações
essas que materializam eventos de riscos considerados de elevado
impacto, tais como a interrupção das atividades da Instituição.

Os planos de contingências vinculados aos processos críticos

(negócios, operações, TI etc.) da instituição estão no âmbito
da gestão de continuidade de negócios, a qual possui métodos
próprios para assegurar as respostas mais adequadas para tratar
eventuais interrupções. Os planos de contingência são avaliados
pela Alta Administração.

Entretanto, cabe mencionar que existem outros planos de

contingências mais localizados para tratar de fragilidades
potenciais específicas que fogem do escopo da gestão da
continuidade de negócios. Um exemplo disso se dá no plano de
contingência para capital e liquidez.
Acompanhamento da implantação
e efetividade dos planos de ação
e de contingência
Uma vez definidos e aprovados os planos de ação e de contingências,
cabe às áreas da segunda linha monitorar a sua implantação.
É necessário estabelecer também uma priorização do monitoramento
em função dos impactos potenciais, ações de contorno provisórias e
das exposições aos riscos consideradas acima do estabelecido pela
Alta Administração.
O acompanhamento deve considerar, também, se os prazos de
implantação serão cumpridos. Eventuais atrasos deverão ser
justificados pelos gestores das áreas responsáveis.
Após a implantação dos planos de ação, as áreas de segunda linha
deverão avaliar a efetividade dos novos controles e das melhorias, por
meio de testes de controles, medição dos indicadores (KRIs e KCIs) e se
houve materialização de riscos capturados na base de perdas acima
do previsto.
Tanto na fase pré quanto pós-implantação, as áreas da segunda linha
deverão realizar reportes para a Alta Administração sobre a evolução
das medidas mitigantes e a sua eficácia.
Conforme mencionado no item 9.1 (ferramentas e metodologias),
uma boa prática para o monitoramento é a utilização da ferramenta
“Painel de Planos de Ação” para consolidar os resultados dos
acompanhamentos e proporcionar extrações de informações para
compor os relatórios e dashboards.
Para os planos de contingência relacionados à continuidade dos
negócios, cabe mencionar que a área da segunda linha responsável
pela gestão da continuidade de negócios efetua o monitoramento da
implantação e coordena os testes de acionamentos dos planos.
O ambiente de informação e comunicação
Adequada informação e comunicação constitui parte das boas práticas de gestão dos riscos, controles
internos e conformidade de uma instituição financeira.

O COSO ICFI 2013 destaca que as informações (tanto internas quanto externas) são necessárias para
que se cumpra as responsabilidades de controles internos, a fim de apoiar a tomada de decisões e a
realização dos objetivos estratégicos.

Já a comunicação deve consistir em um processo contínuo, interativo e compartilhado, pelo qual as

informações são transmitidas, bem como deve fluir por toda a instituição.
Transcrevemos abaixo o componente e os princípios do COSO ICFI 2013 para informação e comunicação:

“Componente 4: Informação e Comunicação

XIII. A organização obtém ou gera e utiliza informações significativas

e de qualidade para apoiar o funcionamento do controle interno.
XIV. A organização transmite internamente as informações
necessárias para apoiar o funcionamento do controle interno,
inclusive os objetivos e responsabilidades pelo controle.
XV. A organização comunica-se com os públicos externos sobre
assuntos que afetam o funcionamento do controle interno.”
No documento do Comitê de Basiléia - BIS, de 1998, intitulado “Framework for Internal Control Systems in Banking Organisations”,
comentado anteriormente no item 2.5.1, também encontramos a menção à importância da informação e da comunicação como
elementos do sistema de controles internos, conforme transcrevemos a seguir:

“Informação e comunicação

Princípio 7:
Um efetivo sistema de controle interno requer que existam
adequados e abrangentes dados financeiros, operacionais e de
conformidade, bem como informações externas de mercado
sobre eventos e condições relevantes para a tomada de decisão.
As informações devem ser confiáveis, tempestivas, acessíveis e
providas em formato consistente.
Princípio 8:

Um sistema de controle interno efetivo

requer que exista sistema de informações
confiável que cubra todas as atividades
significativas do banco. Esses sistemas,
incluindo aqueles que detêm e utilizam
dados em formato eletrônico, devem
ser seguros, monitorados de forma
independente e apoiados por adequados
arranjos de contingência.
Princípio 9:

Um sistema de controle interno efetivo

requer efetivos canais de comunicação
que assegurem que todo o pessoal
compreenda e adira plenamente às
políticas e procedimentos que afetam
suas funções e responsabilidades e que
outras informações relevantes sejam
disponibilizadas ao pessoal apropriado.”
O modelo de linhas do IIA – Instituto Internacional dos Auditores Internos salienta que a informação e a comunicação são elementos
para criação e proteção de valor da Instituição. Isso é explicitado no princípio 6 daquele modelo:

“Princípio 6: Criando e protegendo valor:

Todos os papéis que trabalham juntos contribuem
coletivamente para a criação e proteção de valor
quando estão alinhados entre si e com os interesses
priorizados dos stakeholders. O alinhamento
das atividades é feito através da comunicação,
cooperação e colaboração. Isso garante a
confiabilidade, coerência e transparência das
informações necessárias para a tomada de decisões
baseada em riscos.”
Enfim, tanto a criação e manutenção de informações
pertinentes e necessárias, como sua adequada comunicação
interna e externa, constituem elementos que materializam
uma dinâmica que reconhece e valoriza os papéis de cada um,
respeita os stakeholders e agrega valor à instituição.
Como esta não é uma prática trivial, deve-se contar com
uma clara disposição institucional para buscar e viabilizar um
adequado sistema de informação
e comunicação.
Cultura de comunicação

A cultura de comunicação é um reflexo da qualidade do

ambiente de controles internos da instituição e do nível de
maturidade da cultura de riscos e de controles internos;
estes dois temas foram abordados em maiores detalhes nos
itens 3.1 e 3.2.

No ambiente de controles, a Alta Administração define o tom,

por meio de políticas, manuais de procedimentos e código
de ética e conduta, sobre as atitudes e comportamentos
esperados dos funcionários (fazer o que é certo, da maneira
correta e no prazo estabelecido, com responsabilidade,
competência técnica e retidão).

Por sua vez, a cultura de riscos e controles permite a todos os

funcionários a compreensão dos riscos e seus mitigantes e o
nível de exposição que a instituição considera aceitável, agir
de forma colaborativa, ética, dentro dos limites de alçadas
estabelecidos e em conformidade com as políticas vigentes,
assim como comunicar aos níveis hierárquicos superiores os
eventuais problemas operacionais e de controles, desvios de
conduta e outras violações que forem percebidas.

Dessa forma, podemos dizer que existe uma correspondência

entre a cultura de comunicação com os outros dois
elementos de controles comentados acima, ou seja, a
qualidade do ambiente de controles internos e o nível de
maturidade da cultura de riscos e de controles internos.
Comunicação interna
e externa
Conforme já salientamos, o sistema de controles internos
deve assegurar um fluxo contínuo e íntegro de informações
para fins de tomada de decisão. Os dados (performance
financeira e de negócios, realizados x previstos, níveis
de exposição a riscos e de conformidade etc.) colhidos
nos sistemas informacionais são traduzidos em relatórios
gerenciais internos produzidos pelas diferentes áreas,
para atender às necessidades das diversas instâncias de
avaliação e decisão quanto ao cumprimento dos objetivos
estratégicos. Assim sendo, a Instituição deve contar com
sistema de informacional e estrutura de comunicação
robustos.

Comunicação interna

A existência de estruturas de comunicação e reporte

adequadas, que forneçam uma visão geral dos fluxos de
informações entre as áreas, viabiliza para uma gestão
eficaz dos riscos, controles e compliance.

Essas estruturas e seus fluxos devem assegurar uma

comunicação oportuna, direcionada, coerente e de
qualidade para auxiliar no processo de tomada de decisões.
As estruturas e fluxos de comunicação devem refletir o papéis e responsabilidades entre as áreas da primeira linha e da
segunda linha. A primeira linha é responsável por coletar e reunir dados previstos para atender as ferramentas de riscos,
controles e compliance, bem como assegurar a integridade e sua consistência. A segunda linha é responsável por verificar a qualidade e
consistência dos dados recebidos, assim como analisar e elaborar os relatórios de gestão referentes aos dados consolidados das exposições de
riscos, relatos sobre performance dos controles internos, perdas incorridas, planos de ação, conformidade etc. para serem encaminhados aos
fóruns da governança corporativa.

Para garantir uma comunicação oportuna, considerando o porte a complexidade da instituição, algumas soluções baseadas em TI têm sido
desenvolvidas para integrar os fluxos de informações em tempo real, de forma a permitir o conhecimento tempestivo dos eventos relevantes e o
reporte destes para fins de tomada de decisão pela Alta Administração.

Comunicação externa
Além dos relatórios internos para fins de gestão, a instituição deve emitir relatórios para atender as partes interessadas, destacando-se
acionistas, investidores, usuários e órgãos de regulação e de supervisão. Por sua vez, as partes interessadas almejam obter informações
econômico-financeiras e não financeiras atualizadas, de forma coordenada e coerente, em linguagem clara.

Um destaque sobre isso é que os organismos multilaterais que estabelecem princípios para a regulação cada vez mais vêm aprofundando o
entendimento de que as instituições financeiras devem expor, em geral de forma minimamente padronizada, informações essenciais para uma
adequada compreensão sobre diferentes temas, como situação econômico-financeira, governança, atividades, riscos, capital etc.
Isso acarreta a necessidade de um robusto sistema de informações e controles que permitam a conformidade com as demandas regulatórias.
Também deve ser destacado que cada regulador tem suas próprias demandas e, embora possamos ter relatórios obrigatórios semelhantes,
precisamos dedicar especial atenção, pois os objetivos podem ser diversos, gerando até mesmo a necessidade da produção de relatórios
distintos (para distintos reguladores), porém abordando uma mesma temática.
Vale destacar que os relatórios, conforme o segmento, são disponibilizados também para avaliação de investidores do mercado de capitais.
Assim sendo, a manutenção de um cronograma e uma agenda de produção e apresentação de relatórios constitui elemento fundamental para
a instituição dos dados, das informações, bem como dos relatórios que serão objeto de produção. Tal ação pode implicar na manutenção de
uma matriz de documentos/relatórios/relatos, periodicidade/prazo/data, responsáveis pela produção, destinatários e forma de comunicação
(interna, internet etc.).

Portanto, como uma boa prática, a comunicação

externa requer um acompanhamento minucioso por
uma estrutura interna responsável pela coordenação
da consolidação dos relatórios internos, os quais
serão a base para os relatórios regulamentares.
Deve-se avaliar as padronizações requeridas e
realizar análises de consistência e qualidade, para
em seguida levar à aprovação da Alta Administração
da instituição, antes de serem divulgados.
Melhoria contínua
A melhoria contínua tem por finalidade identificar e implementar oportunidades para um determinado processo se tornar mais eficaz e eficiente,
agregando valor ao usuário/cliente final.
No sentido mais amplo, é um desafio permanente ao status quo, visto que o contexto competitivo que as instituições atuam muda com frequência,
requerendo uma postura proativa e de antecipação para readequar as suas estratégias.
Quando nos referimos ao sistema de controles internos, a melhoria contínua revela um processo proporcionado pelas atividades de monitoramento,
que detectam alterações e tendências de aumento das exposições aos riscos, sejam por fatores internos ou externos, assim como indicam as
necessidades de revisão e atualização das respostas, em termos de melhorias nos controles internos existentes ou de implantação de novos
controles. As atividades de monitoramento são realizadas pelas áreas da primeira linha e da segunda linha.
Com isso, a melhoria contínua contribui para o sistema de controles internos, para os trabalhos de avaliação realizados pela auditoria interna, para
a auditoria independente e para os órgãos reguladores.
Atividades de monitoramento: revisão/atualização dos procedimentos
de controles internos
No item 4.8 (revisão e atualização) vimos que o sistema de controles
internos não é imutável. Pode ficar obsoleto e perder a sua efetividade para
alcançar os objetivos estratégicos. Assim, ele deve ser revisado e atualizado
constantemente. Essa atividade deve contar com um olhar crítico, de modo a
considerar tanto o ambiente interno como o ambiente externo à instituição.
As atividades de monitoramento são contínuas e realizadas por meio de
procedimentos e ferramentas de gestão de riscos, controles internos e
compliance, nos diferentes níveis hierárquicos. Contribuem com informações
oportunas sobre as mudanças nas exposições de riscos ocorridas no
ambiente interno e os reflexos do ambiente externo como, por exemplo:
lançamento de novos produtos e serviços, canais digitais, novos processos,
terceirização etc., bem como as necessidades de ajustes e correções
nos controles. Portanto, revisão e atualização dos controles internos são
atividades permanentes e contam com o auxílio das atividades e ferramentas
de monitoramento.
As ferramentas utilizadas para fins de monitoramento foram descritas no
item 9 (acompanhamento).
Reporte de conclusões e recomendações
No item 2.5.2 (relatórios de governança e de controles internos), dissemos
que o sistema de controles internos deve assegurar um fluxo contínuo
e íntegro de informações para fins de tomada de decisão. Os dados
(performance financeira e de negócios, realizados x previstos, níveis
de exposição a riscos e de conformidade etc.) colhidos nos sistemas
informacionais são traduzidos em relatórios gerenciais internos produzidos
pelas diferentes áreas, para atender às necessidades das diversas
instâncias de avaliação e decisão quanto ao cumprimento dos
objetivos estratégicos.

Em geral, os relatórios sobre as atividades de monitoramento abordam:

• As tendências dos riscos medidos pelos indicadores (KRIs e KCIs) e
outras ferramentas (mapeamento de riscos, matriz de riscos, cenários,
autoavaliações de controles, testes e certificações de controles etc.);
• As principais questões, ocorrências/perdas que foram enfrentadas
durante no período e lições aprendidas;
• As fragilidades mais críticas no âmbito de controles internos;
• Mudanças regulatórias relevantes;
• Status dos planos de ação (implantados, atrasados, em andamento e a
implantar) e responsáveis.

As conclusões e recomendações devem destacar as fragilidades

identificadas de maior gravidade decorrente de aumento de exposição
aos riscos e que requerem urgência de respostas em termos de controles,
assim como o prévio alinhamento com os gestores da primeira linha
responsáveis pelas implantações e aprovações de orçamentos.
Devem ser consideradas, também, as situações de riscos potenciais e/ou
emergentes, para os quais serão necessários investimentos em melhoria
dos controles existentes ou a implantação de novos controles.
Metodologias voltadas aos controles internos
A efetividade do gerenciamento dos riscos e do sistema de controles internos passa antes pelos modelos conceituais utilizados para
organizar e estruturar políticas, procedimentos, ferramentas, e fluxos de informações, assim como para a definição dos níveis de
atribuições e responsabilidades na hierarquia da instituição.

As metodologias consagradas para fins do gerenciamento dos riscos, controles internos e conformidade são: o COSO ICFI, o COSO ERM e a
ISO 31000.
O modelo COSO. Princípios básicos. Aplicações práticas em situações
do cotidiano. A contribuição da SOX
Breve histórico da evolução do COSO

1992 2004 2013 2017

Em 1992, o Committee of
Sponsoring Organizations of
the Treadway Commission
(COSO®) publicou estudo
sobre controle interno que
foi aceito globalmente
como sendo uma estrutura
adequada para ser aplicada
nas organizações, de forma
a conduzir o processo
de controles internos de
maneira eficiente e eficaz.
Ficou conhecido como COSO
Internal Control – Integrated
Framework ou COSO ICIF.
Em 2004 foi publicado o
COSO - Enterprise Risk
Management (ou COSO
ERM) incorporando a
avaliação e melhoria
da gestão de riscos
das organizações, em
complemento à gestão
dos controles.
Em 2013, houve uma
atualização do COSO ICIF
com a revisão das estruturas
de controles e a incorporação
dos 17 princípios associados
aos 5 componentes de
controles: ambiente de
controle, avaliação de
risco, atividade de controle,
informação/comunicação e
atividade de monitoramento.
Vamos aqui designar esse
documento por COSO
ICIF 2013.
Em 2017, houve uma
atualização do COSO ERM,
que destaca a gestão dos
riscos tanto na definição
da estratégia, quanto na
condução do desempenho da
sua execução. Aqui, vamos
designar essa versão como
COSO ERM 2017.

Os modelos COSO foram desenvolvidos para auxiliar as organizações de vários setores econômicos, sobre as melhores práticas de gerenciamento
dos riscos e dos controles internos. O COSO ganhou maior notoriedade quando foi adotado como referência na Lei norte-americana Sarbanes –
Oxley (SOX), a qual reforça a obrigatoriedade de um sistema de controles internos que assegure a integridade e confiabilidade das operações, seus
registros e as informações que compõem as demonstrações financeiras e a conformidade com os requerimentos regulatórios.

Devido à SOX, os procedimentos adotados pelas auditorias (interna e independente) em seus trabalhos de avaliação
dos controles internos, utilizam os conceitos do COSO.
COSO ICIF – Estrutura integrada - 2013
Segundo o COSO ICIF 2013, o controle interno é definido como um processo conduzido pela Alta Administração, fóruns da governança
corporativa e outros profissionais da entidade, e desenvolvido para proporcionar segurança razoável com respeito à realização dos objetivos
relacionados à eficácia e à eficiência das operações, divulgação e confiabilidade das demonstrações financeiras e conformidade com as leis e
regulamentos cabíveis.
Esta definição reflete alguns conceitos fundamentais. O controle interno é:

• Conduzido para atingir objetivos em uma ou mais categorias – operacional, divulgação e conformidade;
• Um processo que consiste em tarefas e atividades contínuas – um meio para um fim, não um fim em si mesmo;
• Realizado por pessoas – não se trata simplesmente de um manual de políticas e procedimentos, sistemas e formulários, mas diz respeito a
pessoas e às ações que elas tomam em cada nível da organização para realizar o controle interno;
• Capaz de proporcionar segurança razoável - mas não absoluta, para a estrutura de governança e Alta Administração de uma entidade;
• Adaptável à estrutura da entidade – flexível na aplicação para toda a entidade ou para uma subsidiária, divisão, unidade
operacional ou processo de negócio em particular.
O COSO ICIF 2013 considera que um sistema de controles
internos é composto por 5 componentes (ambiente de
controle, avaliação de risco, atividades de controles,
informação e comunicação, atividades de monitoramento)
integrados e sustentados por 17 princípios. Esses
componentes e princípios devem estar presentes e operar
juntos de forma coerente e integrada, para que o sistema
de controles seja considerado efetivo. Esses componentes e
princípios foram descritos com detalhes no item 3 (sistema
de controles internos).
A operacionalização dos 5 componentes e os 17 princípios
propostos pelo COSO ICIF 2013 deve estar refletida nas
estruturas da governança corporativa, nas políticas e
manuais de procedimentos, nos códigos de ética/conduta,
nos sistemas de alçadas, nas estruturas e diversos tipos
controles internos e, principalmente, nas atitudes
dos gestores.
Os resultados das ferramentas de avaliação dos controles
internos e de monitoramento devem corroborar o nível
de aderência das práticas de controles existentes e sua
conformidade, em relação aos componentes e princípios
do COSO ICIF 2013. Da mesma forma, os resultados das
avaliações das auditorias (interna e independente) e das
inspeções dos órgãos de fiscalização são oportunidades
para avaliar o nível de maturidade do modelo aplicado
na instituição.
COSO ERM 2017 – Gestão dos riscos integrada
com a estratégia e a performance
Segundo o COSO ERM 2017, o gerenciamento dos riscos
deve interagir com o planejamento estratégico, auxiliando
na identificação e avaliação dos riscos potenciais, bem
como considerar as respostas adequadas em termos de
tratamento (transferir, compartilhar, aceitar e diminuir/
mitigar), para fazer frente a esses riscos, mantendo-os
em níveis de exposição considerados aceitáveis (apetite),
almejando alcançar os objetivos estratégicos.
Uma consequência é que o sistema de controles deve ser
calibrado de modo a assegurar que os riscos permaneçam
dentro das expectativas de exposições aceitáveis,
delineadas na estratégia, em todos os níveis hierárquicos e
processos da instituição.
O COSO ERM 2017 também enfatiza que a própria estratégia
deve ser constantemente avaliada e revisada quanto à
sua execução e desempenho, em função do ambiente
competitivo, complexo e volátil. Portanto, torna-se relevante
o monitoramento, tanto da performance da estratégia
quanto do impacto dos riscos incorridos em relação ao
apetite por riscos.
A esse monitoramento se acopla a necessidade de um
fluxo de comunicação para a estrutura de governança,
contando com a elaboração de relatórios que apresentem
informações confiáveis (internas e externas), dados íntegros e
estruturados, transparentes e tempestivos (com destaque para
o escalonamento no caso de alterações significativas ou de
impacto financeiro).

É por meio dessa comunicação que os níveis de governança

promovem a sua ação de gerenciamento do desempenho frente
à estratégia e de gerenciamento da exposição a riscos diante
do contexto de negócios, avaliando as opções de melhorias,
alocação de recursos e oportunidades. Com isso, viabilizam-
se decisões para antecipar e responder às mudanças e criar
vantagem competitiva.

Por conseguinte, o monitoramento da performance da

estratégia e dos riscos, bem como o fluxo de comunicação
somente poderão ser eficientes e eficazes mediante um
sistema de controles internos
bem estruturado.
O COSO ERM é formado por um conjunto de vinte princípios organizados em cinco componentes inter-relacionados, os quais
transcrevemos a seguir:

1. Governança e Cultura:
A governança dá o tom da organização, reforçando a importância e instituindo responsabilidades de supervisão sobre o gerenciamento de riscos
corporativos. A cultura diz respeito aos valores éticos, a comportamentos esperados e ao entendimento do risco em toda a entidade.

I. Exerce a supervisão do risco por intermédio do Conselho: O Conselho de Administração supervisiona a estratégia e cumpre responsabilidades de
governança para ajudar a administração a atingir a estratégia e os objetivos de negócios.

II. Estabelece estruturas operacionais: A organização estabelece estruturas operacionais para atingir a estratégia e os objetivos de negócios.

III. Define a cultura desejada: A organização define os comportamentos esperados que caracterizam a cultura desejada pela entidade.

IV. Demonstra compromisso com os valores fundamentais: A organização demonstra compromisso com os valores fundamentais da entidade.

V. Atrai, desenvolve e retém pessoas capazes: A organização tem compromisso de formar capital humano de acordo com a estratégia e os
objetivos de negócios.
2. Estratégia e definição de objetivos:
Gerenciamento de riscos corporativos, estratégia e definição de objetivos atuam juntos no processo de planejamento estratégico. O apetite a risco
é estabelecido e alinhado com a estratégia; os objetivos de negócios colocam a estratégia em prática e, ao mesmo tempo, servem como base para
identificar, avaliar e responder aos riscos.

VI. Analisa o contexto de negócios: A organização leva em conta os possíveis efeitos do contexto de negócios sobre o perfil de riscos.

VII. Define o apetite a risco: A organização define o apetite a risco no contexto da criação, da preservação e da realização de valor.

VIII. Avalia estratégias alternativas: A organização avalia estratégias alternativas e seu possível impacto no perfil de riscos.

IX. Formula objetivos de negócios: A organização considera o risco enquanto estabelece os objetivos de negócios nos diversos níveis,
que se alinham e suportam a estratégia.

3. Performance:
Os riscos que podem impactar a realização da estratégia e dos objetivos de negócios precisam ser identificados e avaliados. Os riscos são
priorizados com base no grau de severidade, no contexto do apetite a risco. A organização determina as respostas aos riscos e, por fim, alcança
uma visão consolidada do portfólio e do montante total dos riscos assumidos. Os resultados desse processo são comunicados aos principais
stakeholders envolvidos com a supervisão dos riscos.

X. Identifica o risco: A organização identifica os riscos que impactam a execução da estratégia e os objetivos de negócios.

XI. Avalia a severidade do risco: A organização avalia a severidade do risco.

XII. Prioriza os riscos: A organização prioriza os riscos como base para a seleção das respostas a eles.

XIII. Implementa respostas aos riscos: A organização identifica e seleciona respostas aos riscos.

XVI. Adota uma visão de portfólio: A organização adota e avalia uma visão consolidada do portfólio de riscos.
4. Análise e revisão:
Ao analisar sua performance, a organização tem a oportunidade de refletir sobre até que ponto os componentes do gerenciamento de riscos
corporativos estão funcionando bem ao longo no contexto de mudanças relevantes, e quais correções são necessárias.

XV. Avalia mudanças importantes: A organização identifica e avalia mudanças capazes de afetar de forma relevante a estratégia e os objetivos
de negócios.

XVI. Analisa riscos e performance: A organização analisa a performance da entidade e considera o risco como parte desse processo.

XVII. Busca o aprimoramento no gerenciamento de riscos corporativos: A organização busca o aprimoramento contínuo do gerenciamento de
riscos corporativos.

5. Informação, comunicação e divulgação

O gerenciamento de riscos corporativos demanda um processo contínuo de obtenção e compartilhamento de informações precisas, provenientes
de fontes internas e externas, originadas das mais diversas camadas e processos de negócios da organização.

XVIII. Alavanca sistemas de informação: A organização maximiza a utilização dos sistemas de informação e tecnologias existentes na entidade para
impulsionar o gerenciamento de riscos corporativos.

XIX. Comunica informações sobre riscos: A organização utiliza canais de comunicação para suportar o gerenciamento de riscos corporativos.

XX. Divulga informações de riscos, cultura e performance: A organização elabora e divulga informações sobre riscos, cultura e performance
abrangendo todos os níveis e a entidade como um todo.
O modelo ISO 31000. Principais definições e aplicações práticas
dos conceitos
A ISO 31000 parte da premissa de que a gestão de risco estabelece e sustenta valor.

Afirma que a gestão de riscos faz parte de todas as atividades associadas a uma organização e inclui a interação com as partes interessadas, bem
como considera o contexto externo e interno, incluindo o comportamento humano e os fatores culturais.

O gerenciamento de riscos deve ser interativo e auxiliar as organizações na definição da estratégia, no alcance de objetivos e na tomada de
decisões informadas.
A ISO 31000 propõe que o gerenciamento de riscos seja realizado com base em princípios, estrutura e processos, que
resumidamente transcrevemos a seguir:

• Princípios

O objetivo da gestão de risco é a criação e proteção de valor. Melhora o desempenho, incentiva a inovação e apoia a realização dos objetivos.
O gerenciamento de risco eficaz requer que seja:
Integrado: a gestão de riscos é parte integrante de todas as atividades organizacionais.
Personalizado: a estrutura e o processo de gerenciamento de riscos são customizados e proporcionais ao contexto externo e interno da
organização relacionado aos seus objetivos.
Inclusivo: o envolvimento adequado e oportuno das partes interessadas permite que seus conhecimentos, visões e percepções sejam considerados.
Isso resulta em maior conscientização e gerenciamento de risco informado.
Dinâmico: os riscos podem surgir, mudar ou desaparecer à medida que o contexto externo e interno de uma organização muda. A gestão de risco
antecipa, detecta, reconhece e responde a essas mudanças e eventos de forma adequada e oportuna.

Melhor informação disponível: as entradas para a gestão de riscos são baseadas em informações históricas e atuais, bem como em expectativas
futuras. A gestão de risco leva em consideração explicitamente quaisquer e incertezas associadas a tais informações e expectativas. As
informações devem ser oportunas, claras e disponíveis para as partes interessadas relevantes.

Fatores humanos e culturais: o comportamento e a cultura humanos influenciam significativamente todos os aspectos da gestão de risco em cada
nível e estágio.

Melhoria contínua: a gestão de riscos é continuamente aprimorada por meio de aprendizado e experiência.
• Estrutura

O objetivo da estrutura de gerenciamento de riscos é ajudar a organização a integrar o gerenciamento de riscos em atividades e funções
significativas. A eficácia da gestão de riscos dependerá de sua integração na governança da organização, incluindo a tomada de decisões.
Isso requer o apoio das partes interessadas, principalmente da alta administração.

O desenvolvimento da estrutura abrange integrar, projetar, implementar, avaliar e melhorar o gerenciamento de riscos em toda a organização.
A organização deve avaliar suas práticas e processos de gerenciamento de riscos existentes, avaliar quaisquer lacunas e abordar essas
lacunas dentro da estrutura. Os componentes da estrutura e a maneira como eles trabalham juntos devem ser personalizados de acordo com
as necessidades da organização.

• Processo

O processo de gestão de risco envolve a aplicação sistemática de políticas, procedimentos e práticas às atividades de comunicação e
consultoria, estabelecendo o contexto e avaliando, tratando, monitorando, revisando, registrando e reportando o risco.
O processo de gestão de risco deve ser parte integrante da gestão e tomada de decisão e integrado na estrutura, operações e processos da
organização. Pode ser aplicado nos níveis estratégico, operacional, de programa ou de projeto.
Pode haver muitas aplicações do processo de gerenciamento de riscos dentro de uma organização, customizadas para atingir objetivos e se
adequar ao contexto externo e interno em que são aplicadas.
A natureza dinâmica e variável do comportamento e da cultura humana deve ser considerada em todo o processo de gestão de risco.
Embora o processo de gerenciamento de riscos seja frequentemente apresentado como sequencial, na prática ele é interativo.
Controles internos

Na metodologia ISO 3100, os controles internos são considerados

instrumentos modificadores dos riscos e fazem parte da etapa da análise
e avaliação do risco, no processo de gerenciamento de riscos.

A análise de risco envolve uma consideração detalhada de incertezas,

fontes de risco, consequências, probabilidade, eventos, cenários,
controles e sua eficácia. Um evento pode ter múltiplas causas e
consequências e pode afetar múltiplos objetivos.

O Guia ISO 31010 – Gestão de Riscos - Técnicas para o processo de

avaliação de riscos (complemento da ISO 31000), fornece amplas
orientações sobre técnicas a serem utilizadas no “modo como a incerteza
é considerada e ajudar a entender o risco”.

Nesse documento os controles são considerados em relação à sua

eficácia, sendo também apresentadas técnicas para sua análise.
Benchmarking Uma outra forma de boas práticas do mercado é o benchmarking,
que se caracteriza como um processo de comparação, para
avaliação de uma específica prática.

O benchmarking pode ser utilizado tanto de forma coletiva

como individualmente.

Quando realizado coletivamente, compreende um processo de

cooperação entre grupo de organizações sobre as boas práticas
de gestão de riscos, controles internos e compliance. Avalia-
se metodologias aplicadas, ferramentas, métricas, eventos,
performance etc. Geralmente, uma entidade representativa do
setor coordena e media os parâmetros consensuados entre os
participantes e que serviram de comparações para finalidade
do benchmarking. Neste processo, os dados e informações são
compartilhados, porém, de forma anônima.

Quando realizado individualmente, a instituição empreende

o processo de comparação de forma isolada com uma outra
instituição, com o que cabe a ambas decidir o grau de abertura
de informações.

A prática do benchmarking pode viabilizar uma rápida avaliação da

prática analisada, contribuindo para a identificação de pontos de
melhoria e decisão.
Continuidade de negócios
A Gestão da Continuidade de Negócios (GCN)
consiste em processo que objetiva assegurar que
as atividades finalísticas da instituição não sejam
interrompidas em face da ocorrência de eventos
que representem ameaça, assim como visa garantir
a aplicação de respostas adequadas e planejadas
para minimizar os seus impactos nos objetivos
estratégicos e, também, junto aos clientes
e stakeholders.

Exemplos de eventos com impacto na continuidade

dos negócios são dados por: indisponibilidade
prolongada de TI, ataques cibernéticos, desastres
naturais, ameaças geopolíticas etc.

Para as instituições financeiras, a regulação

determina que as políticas aprovadas que tratam de
GCN devem estabelecer processo para análise de
impacto nos negócios que inclua:
• Identificação, classificação e documentação dos processos críticos de negócio;
• Avaliação dos potenciais efeitos da interrupção dos processos críticos;
• Estratégias para assegurar a continuidade das atividades da instituição e limitar perdas decorrentes da interrupção dos processos críticos de
negócio;
• Planos de continuidade de negócios que estabeleçam procedimentos e prazos estimados para reinício e recuperação das atividades em caso de
interrupção dos processos críticos de negócio, bem como as ações de comunicação necessárias;
• Testes e revisões dos planos de continuidade de negócios com periodicidade adequada;
• Os planos de continuidade de negócios devem considerar os serviços prestados por terceiros, quando relevantes;
• Os relatórios gerenciais sobre os resultados dos testes e das revisões dos planos de continuidade de negócios.

Como vemos, a regulação trata tanto da dimensão preventiva como da capacidade e efetividade da resposta aos eventos que comprometem
a continuidade.

Descrição da metodologia e atividades de continuidade de negócios (sumário)

O planejamento das atividades de CGN requer conhecimento dos processos críticos e das áreas que compõem a correspondente cadeia de valor.
Para tanto, é a utilizada a metodologia business impact analysis (BIA), que consiste na identificação e no mapeamento dos processos e das áreas
consideradas essenciais para manter o funcionamento da instituição, em decorrência de um evento grave, bem como na mensuração do tempo de
recuperação dos processos, após o evento, o que será comparado com o tempo considerado aceitável pela instituição.

A metodologia BIA proporciona avaliação quanto à criticidade em termos do tempo de recuperação e dos impactos financeiros e não financeiros
associados aos eventos. O levantamento das informações é realizado junto aos gestores das áreas das primeira e segunda linha (incluindo TI), para
definição dos níveis de criticidade, mediante construção de cenários de contingência plausíveis.
As análises de criticidade em cenários de contingência consideram os seguintes aspectos que (individual ou em conjunto) podem ser
impactados e desencadear
outros impactados:
• Instalações;
• Pessoal;
• Tecnologia;
• Suprimentos/fornecedores.

Após a realização do mapeamento e da análise dos riscos e impactos, são identificadas as situações que mereçam atenção especial e, junto
com os gestores, são definidos o escopo da avaliação e os planos de continuidade de negócios - PCNs (ou planos de contingência/planos de
contingência operacional), os quais devem considerar, entre outros, os seguintes aspectos:
• A necessidade de um site alternativo;
• Dimensionamento do quadro de pessoal para manter um percentual (a ser definido) das operações, durante a contingência;
• Logística de deslocamentos de pessoal crítico, inclusive para o site alternativo;
• Infraestrutura de TI, linhas de comunicação e aplicativos críticos, inclusive os que necessitam ser replicados no site alternativo,
considerando o tempo estimado da contingência e quadro de pessoal usuário;
• Dados e informações necessários para a execução dos processos;
• Fornecedores considerados críticos para a execução dos processos.
Definição das métricas de criticidade das contingências
Conceitualmente, os eventos considerados nas perdas esperadas não deveriam fazer parte do escopo de avaliação de criticidade de
classificação da continuidade de negócios. Ou seja, os perdas esperadas correspondem a riscos residuais identificados e monitorados
pelas diversas ferramentas de gestão de riscos, controles internos e compliance.
Nada obstante, é possível que se identifique a recorrência de incidentes que levem ao comprometimento da continuidade, mesmo que
parcial, localizadas (região, produto etc.). Em situações dessa natureza podem contribuir e atuar as área de risco operacional, GCN,
controles internos, juntamente com os gestores envolvidos, de modo a identificar os fatores de risco (causas) e buscar solução efetiva.
Enfim, a instituição deve estabelecer a sua própria métrica de criticidade dos impactos financeiros e não financeiros dos eventos, de
forma a adequadamente definir a priorização das respostas (PCNs) e dos níveis de acionamentos conforme a gravidade da situação. É
natural aqui encontrarmos aqueles eventos de baixa probabilidade de ocorrência e de alto impacto.

Exemplos:

• Incidente e/ou emergência: eventos que não fazem parte da

operação padrão de um processo e que podem causar uma
interrupção ou a redução na qualidade do serviço e/ou produto.

• Crises: decorrentes de eventos que podem trazer danos à

reputação da instituição, tais como: relacionamento com clientes,
acionistas, órgãos reguladores e demais stakeholders.
Planos de Continuidade de Negócios (PCNs)
Os PCNs, conforme a situação de criticidade e o orçamento necessário para as implantações, precisam ser aprovados pela
Alta Administração.
Definidos e implantados os PCNs, estes são divulgados às pessoas consideras chave para fins de acionamentos em caso de contingência e,
também, aos demais colaboradores das áreas.
Os PCNs devem passar por testes periódicos para consolidar o conhecimento das pessoas responsáveis envolvidas, assim como para verificar
se não estão obsoletos. Eventuais falhas de acionamentos ou obsolescências durante os testes, devem ser comunicadas e as devidas
atualizações e correções devem ser providenciadas.

Gestão de contingências
A ativação dos PCNs e sua operacionalização devem ser objeto de procedimentos formalizados, abrangendo desde a ocorrência do incidente
até a recuperação dos processos críticos.

Exemplos:

• Atendimento a Emergências e Ativação do Plano de Continuidade:

Identificação e notificação de incidentes e emergências;
Avaliação de incidentes e emergências;
Ativação do Plano de Continuidade de Negócios.
• Procedimento de comunicação, acionamento e ativação dos PCNs.
Interface com o sistema de controles internos
A interface da continuidade de negócios com o sistema de controles internos ocorre por meio das atividades de monitoramento sobre os níveis de
exposição dos riscos, realizadas pelas áreas de primeira e segunda linhas.

Para as eventuais situações que se enquadrem na escala de criticidade (financeira e não financeira) de continuidade de negócios, são gerados
alertas e acionamentos dos PCNs pelas áreas responsáveis, assim como são direcionados também para a área da segunda linha que coordena a
comunicação da contingência para conhecimento da Alta Administração e fóruns da governança corporativa.

Cabe à área de controles internos considerar as informações e os indicadores relacionados aos eventos objeto de GCN para tempestivamente
buscar, junto com os gestores das áreas impactadas, a implantação das necessárias ações corretivas e de melhoria quanto aos controles inerentes
aos processos afetados.
Considerações finais
Finalizando a nossa jornada sobre controles internos, fazemos aqui
alguns destaques sobre o quanto vimos:

• Papel dos controles internos

Os controles internos permeiam todos os processos da instituição.
Pode-se, mesmo, afirmar que um adequado sistema de controles
internos contribui para a governança corporativa assegurar que
toda a instituição está alinhada aos princípios e aos valores da
organização, aos objetivos estratégicos e aos limites definidos de
exposição aos riscos.

• Melhores práticas
A busca de melhores práticas deve constituir preocupação contínua
da instituição. E temos, em destaque, exemplos como o Modelo das
Três linhas e as metodologias COSO ICIF, COSO ERM e ISO 31000
como referências para harmonizar e equilibrar as responsabilidades
na condução das atividades de controles internos pelos níveis
hierárquicos da instituição.
Além disso, cabe lembrar a contribuição de práticas como
segregação de funções, estabelecimento de sistema de alçadas e
atribuições de responsabilidades nos diversos níveis da estrutura.
• A área de controles internos
Habitualmente, cabe a uma área específica o papel de supervisão das ações
de controles internos que são conduzidas pelas demais áreas, bem como
prestar assessoramento sobre as melhores práticas de controles. Essa área
deve contar com estrutura, política, processos, procedimentos e ferramentas
adequadas para assegurar o bom desempenho do sistema de controles
internos, bem como atuar de forma colaborativa com as áreas responsáveis
por gerenciamentos de riscos, compliance e capital, e não se confunde com as
atividades da auditoria interna.
Por ter uma atuação transversal, a função de controles internos deve espelhar
o porte, a complexidade e o perfil de riscos da instituição.

• Principais atribuições
São várias as atribuições possíveis para a função de controles internos. Nesse
contexto, e dentre as possibilidades, podemos lembrar as seguintes atividades:

Monitoramento
A atenção contínua sobre o sistema de controles internos permite identificar,
tempestivamente, pontos para ação e melhoria.
Aqui, sobressaem atividades como: avaliação contínua da eficácia da
cobertura dos controles internos e dos níveis de exposição aos riscos, análises
de tendências, antecipação de respostas aos riscos potenciais e emergentes.

Para isso, contamos com um adequado fluxo de comunicação com as áreas da

primeira linha, por meio de reportes das medições de indicadores (KRIs, KCIs e
KPIs) e de incidentes ocorridos para compor a base de eventos e perdas.
Aqui, duas preciosas práticas precisam ser destacadas. Uma diz respeito ao
cruzamento (cross checking) dos dados reportados com os resultados de
outras ferramentas (mapeamentos de riscos, matriz de riscos, questionários
de autoavaliação e testes de controles). A segunda é representada pelo
acompanhamento da implantação de planos de ação para melhoria dos
controles, inclusive para atendimento de apontamentos
e recomendações recebidos pela instituição financeira.
 Testes de efetividade de controles nos processos
A avaliação da efetividade dos controles quanto ao seu desenho
e seu funcionamento permite, ao longo do tempo, garantir a
consistência e a suficiência da especificação dos controles em
relação aos riscos inerentes.
Mapeamento de processos
O mapeamento de processos pode ser uma incumbência da área
de controles internos e, caso uma outra área seja responsável, é
importante que haja um alinhamento dos trabalhos.
Mapeamento de riscos e controles
Para fins do mapeamento dos riscos, a área de controles
internos deve contar com metodologia e métricas padronizadas
para identificar os riscos inerentes, avaliar a cobertura dos
controles internos e mensurar os riscos residuais, bem como
elaborar a matriz de riscos. A execução dessa atividade passa
necessariamente por um alinhamento com as áreas de riscos e de
compliance.
Ações de cultura de controle
A ação de promoção da cultura de riscos e controle,
de forma coordenada com outras áreas da instituição,
contribui para a evolução da maturidade organizacional.
Reporte
adequado e tempestivo reporte contribui para um
saudável sistema interno de comunicação, cabendo
atentar que a ação de controle está presente em toda
a instituição financeira, como que a área de controles
internos deve contar com procedimento para capturar e
consolidar as informações pertinentes.
Planejamento para o ano seguinte
A ação de planejamento permite uma adequada
organização das atividades da área de controles internos,
com alinhamento às principais características da
instituição financeira.
No planejamento, para fins de priorização dos trabalhos,
uma boa prática consiste na utilização do inventário
de processos críticos, assim como dos apontamentos
(auditorias internas e independentes e órgãos de
fiscalização) e as ocorrências de incidentes materiais.