Escolar Documentos
Profissional Documentos
Cultura Documentos
De forma alinhada com o COSO, a Resolução CMN no 4.968/2021, em seu art. 3o,
expressa que os “sistemas de controles internos devem ter como finalidade o
atingimento dos objetivos de:
Assim, a governança envolve diferentes atores, como sócios, conselhos de administração e fiscal, diretoria, órgãos de
fiscalização e outras partes interessadas, bem como requer uma estrutura que seja adequada à instituição.
O IBGC - Instituto Brasileiro de Governança Corporativa, no Código de
Melhores Práticas de Governança Corporativa – 5o Edição, aponta quatro
princípios para a governança corporativa, assim considerados:
EQUIDADE
isonômico de todos os sócios e demais
partes interessadas (stakeholders), levando
em consideração seus direitos, deveres,
necessidades, interesses e expectativas.
Ou accountability: os agentes de
PRESTAÇÃO
DE CONTAS
governança devem prestar contas de
sua atuação de modo claro, conciso,
compreensível e tempestivo, assumindo
integralmente as consequências de seus
atos e omissões e atuando com diligência e
responsabilidade no âmbito dos seus papéis.
Os agentes de governança devem zelar
RESPONSABILIDADE
Conselho
quanto à qualidade da governança, bem como quanto a eventos
específicos, definidos em lei, regulamentação ou estatuto, como
Comitês de Comitês técnicos, seja por uma boa prática da governança ou por imposição
Consiste em separar formalmente os papéis e as responsabilidades, envolvendo as atividades de execução, aprovação/autorização de transações
e tomada de decisões.
A adequada segregação de funções deve estar presente em toda a estrutura organizacional, sendo de se destacar a sua necessidade prioritária
nos processos críticos onde há potencial de conflito de interesses entre as áreas.
No contexto da segregação de funções, contamos com práticas saudáveis como alçadas de aprovação, controles de acesso,
verificação, conciliação, reconciliação, revisão de desempenho e tratamento das não conformidades, além da própria definição
do organograma organizacional.
Exemplos de conflitos de interesse:
Esses pilares são fundamentais para o planejamento estratégico, contribuindo para alinhar e apoiar as decisões que gerarão valor aos stakeholders.
O planejamento estratégico compreende o desenvolvimento de ações de médio e longo prazos em um contexto competitivo, visando a melhor
composição entre as forças e as fraquezas em relação às oportunidades e ameaças, assim como o estabelecimento dos riscos máximos aceitáveis
a serem assumidos na busca do alcance dos objetivos estratégicos (situações e resultados futuros desejados).
A avaliação das forças e das fraquezas considera a dimensão interna A implementação do planejamento estratégico e o monitoramento
da instituição, considerando a capacitação dos recursos humanos da sua execução requerem processos de gerenciamento sobre o
(cultura, conhecimentos, experiências e habilidades), a adequação desempenho da estratégia e o tratamento dos eventos internos e
e a alocação dos recursos organizacionais (processos, sistemas), externos que influenciam o cumprimento dos objetivos estratégicos.
dos recursos físicos (instalações prediais e tecnológicas, canais de
vendas/atendimento etc.) e das parcerias estratégicas (fornecedores Vemos que esses processos implicam na permanente análise
e terceiros prestadores de serviços). São aspectos que podem ser e revisão da performance da estratégia, na obtenção e no
objeto de ação direta da instituição. compartilhamento de informações entre os agentes da governança
corporativa e na elaboração de relatórios.
Já a avaliação das oportunidades e ameaças considera o
conhecimento e a avaliação sobre o mercado de atuação
(condições vigentes e prospectivas), seus competidores (atuais e Com isso, podemos dizer que um ambiente assim
novos entrantes), inovações e/ou disrupções em relação a novos estabelecido se alinha a um robusto sistema de controles
produtos, serviços e tecnologias. São aspectos não controlados pela internos, também se alinhando à boa prática recomendada
instituição, mas que necessitam do acompanhamento sistemático pelo COSO ERM 2017, contribuindo para assegurar um fluxo
para evitar situações adversas que possam impactar a estratégia, de informações e dados íntegros, confiáveis e tempestivos,
na forma de geração de alertas para as devidas providencias e utilizado para fins de tomada de decisões.
correções que se apresentarem necessárias.
O modelo de linhas e a definição
de atribuições e responsabilidades
O “modelo de linhas” do IIA (The Institute of Internal Auditors),
largamente adotado pelas organizações como boa prática,
propõe a adoção de princípios de gestão dos riscos e dos
controles internos, a definição de papéis e responsabilidades
das estruturas e dos processos e os relacionamentos destes
entre si para assegurar que estejam alinhados aos objetivos
estratégicos, proporcionando criação de valor, apoio à
governança corporativa e atendimento aos interesses
dos stakeholders.
Vale lembrar...
o modelo de linhas era anteriormente conhecido por
“modelo de 3 linhas de defesa”. O IIA promoveu um
amplo debate internacional sobre o modelo e, em
2020, formalizou sua revisão. Nessa oportunidade, foi
retirado do título do modelo a palavra “defesa”.
1 linha
a
2 linha
a
3 linha
a
Deve existir cooperação com as áreas da primeira e segunda linhas, para evitar
sobreposições e lacunas não cobertas e para manter foco nos temas mais
relevantes para a instituição, de forma a promover um ambiente de controles
com razoável segurança para o atingimento dos objetivos estratégicos.
Segundo o IIA, as três linhas apresentam papéis e
responsabilidades, que transcrevemos a seguir:
1 linha
a
• Atingimento dos objetivos de gerenciamento de riscos como: conformidade com leis, regulamentos e
comportamento ético aceitável, controle interno, segurança da informação e tecnologia, sustentabilidade; e
avaliação da qualidade.
• Fornecer análises e reportar sobre a adequação e eficácia do gerenciamento de riscos (incluindo controle interno).
3 linha
a
Essa definição inclui: o risco da variação das taxas de juros e dos preços
de ações, para os instrumentos classificados na carteira de negociação;
e o risco da variação cambial e dos preços de mercadorias (commodities),
para os instrumentos classificados na carteira de negociação ou na
carteira bancária.
• fraudes internas;
• fraudes externas;
• demandas trabalhistas e segurança deficiente do local de trabalho;
• práticas inadequadas relativas a clientes, produtos e serviços;
• danos a ativos físicos próprios ou em uso pela instituição;
• situações que acarretem a interrupção das atividades da instituição;
• em sistemas, processos ou infraestrutura de tecnologia da
informação (TI);
• falhas na execução, no cumprimento de prazos ou no gerenciamento
das atividades da instituição.
O gerenciamento integrado representa uma visão abrangente dos riscos, que se inicia com a efetiva e clara governança com relação aos riscos
da instituição. Essa governança, então, alcança vários níveis da instituição, em suas três linhas.
Uma forma de entendermos esse gerenciamento integrado é considerar que ele representa uma arquitetura composta por: conhecimento
profundo dos riscos da instituição; gerenciamento efetivo dos riscos individuais; utilização efetiva dos testes de estresse tanto para
identificação dos riscos como para o gerenciamento do capital e, também, para o planejamento estratégico; identificação das
interconexões entre os riscos (riscos de fronteira) e gerenciamento dos seus impactos materiais.
Isso tudo deve ser suportado por uma adequada estrutura organizacional que viabilize essa visão integrada, assim como
deve contar com um processo de comunicação interna que incentive essa mesma visão integrada.
Como vemos, o gerenciamento integrado requer uma visão
abrangente (holística) de todos os riscos a que ela está exposta Cabe à Alta Administração, aos colegiados da governança
e como estes se relacionam entre si. Para isso, deve haver um corporativa e aos demais gestores da instituição, zelar pelo
processo estruturado, contínuo e que permeie todos os níveis gerenciamento dos riscos corporativos, no âmbito das suas
hierárquicos e unidades da instituição, com o objetivo de obter responsabilidades e protocolos estabelecidos, bem como incentivar
prevenção e respostas adequadas aos eventos de riscos potenciais a interação das equipes para compreensão dos riscos a que a
indesejados que possam prejudicar o alcance dos objetivos instituição está exposta e aplicar as melhores práticas de controles.
estratégicos, assim como a manutenção dos riscos incorridos
compatíveis com os limites estabelecidos no apetite por riscos.
Como dissemos, no processo de gerenciamento dos
riscos corporativos, o tratamento e a priorização dos
riscos devem considerar a relevância de cada risco no
contexto da estratégia e do apetite por riscos, por
meio de uma visão de portfólio de riscos assumidos,
conjugado com uma abordagem integrada que permita
avaliar também os efeitos adversos das interações
entre os diversos tipos de riscos e as medidas de
mitigação adequadas.
Clique aqui e
veja exemplos
Como dissemos, no processo de gerenciamento dos riscos corporativos,
o tratamento e a priorização dos riscos devem considerar a relevância
de cada risco no contexto da estratégia e do apetite por riscos, por
meio de uma visão de portfólio de riscos assumidos, conjugado com uma
abordagem integrada que permita avaliar também os efeitos adversos
das interações entre os diversos tipos de riscos e as medidas de
mitigação adequadas.
Portanto, fica evidente o papel que o sistema de controles internos cumpre nesse
acompanhamento e monitoramento, por meio de indicadores, evidenciando o
alinhamento dos riscos incorridos aos níveis de exposição de riscos declarados
como aceitáveis para o atingimento dos objetivos estratégicos.
Risco de crédito:
• Índice de inadimplência observada vis à vis os limites estabelecidos na RAS;
• Indicadores de concentração (maiores clientes, setores econômicos, regiões etc.);
• Indicador de relação entre perdas esperadas e perdas efetivas.
Risco de Liquidez:
• Indicadores de liquidez de curto prazo e estrutural.
Risco Operacional:
• Indicador de perdas operacionais em relação ao Patrimônio de Referência;
• Indicador de perdas operacionais em relação ao Resultado operacional;
• Indicadores de evolução dos diversos tipos de eventos operacionais
ocorridos, evidenciando sua relevância.
Melhores práticas no
gerenciamento dos riscos
corporativos: o risco de terceiros
• Risco país: contratação de serviços em jurisdições que apresentam problemas políticos, com o que os serviços foram interrompidos;
• Risco estratégico: dissonância entre os objetivos estratégicos da empresa contratada e da instituição contratante, podendo resultar em
descontinuidade dos serviços pela venda de controle acionário;
• Risco reputacional: atividades ilícitas praticadas por empresa terceirizada ou fornecedor que, por sua vez, impacta negativamente a
reputação da instituição contratante;
• Não conformidade regulatória: atividades executadas por terceiros e fornecedores com descumprimento das legislações e normas
aplicáveis ao setor da instituição contratante;
• Custos de saída: mudança de empresa prestadora de serviços sem planejamento adequado de transição, gerando custos adicionais para
a instituição contratante; e
• Concentração: processo crítico da instituição realizado exclusivamente por uma empresa terceirizada ou dependência de insumos de um
único fornecedor.
O gerenciamento dos terceirizados e dos fornecedores considerados críticos necessita de governança e abordagem estruturada, com
a delegação clara de responsabilidades (respaldada na política de controles internos). Neste sentido, o Modelo de Linhas contribui com
designações para as áreas da primeira e da segunda linhas quanto às avaliações dos riscos inerentes e dos controles internos.
Resumidamente, estas avaliações ocorrem em dois momentos:
As orientações do Comitê de Basileia para o capital, definidas em 2004 e intituladas de Basileia II, estabeleceram três pilares. Essa estrutura
permanece até hoje, estando consolidada no conjunto de orientações denominado Basileia III, após forte aperfeiçoamento com os impactos
advindos de crise internacional de 2007-2008.
Podemos, mesmo, dizer que em Basileia III as instituições passaram a ter que contar com muito mais capital do que em Basileia II,
sendo que a qualidade do capital agora requerido também foi elevada consideravelmente.
Na estrutura regulatória, o primeiro pilar é caracterizado pelo requerimento mínimo
de capital (o que chamamos de capital regulatório), calculado por meio de modelos
padronizados, havendo também possibilidades de uso de modelos internos.
O PR é formado por duas parcelas: capital de nível I e capital de nível II. O capital de
nível I é composto do capital principal e do capital complementar.
Além de requerer mínimos para o PR, para o nível I e para o capital principal, Basileia
III trouxe o requerimento do “adicional de capital principal” (ACP).
Nessa linha, temos o que a regulamentação denomina “avaliação da adequação de capital”, destinada somente para as instituições classificadas
como S1 e S2. A materialização disso se dá no Processo Interno de Avaliação da Adequação de Capital (ICAAP), para as instituições enquadradas no
S1, e no Processo Interno Simplificado de Avaliação da Adequação de Capital (ICAAPSimp), para as instituições enquadradas no S2.
A forte relação entre capital, riscos e controle pode ser constatada
por meio dos requerimentos regulatórios para essa avaliação da
adequação do capital. Esses requerimentos são os seguintes:
A partir dessa matriz, o regulador estabelece um padrão • As estimativas de correlação, quando utilizadas.
de elementos do processo de gerenciamento, bem como o
referido relatório padronizado. • A inclusão de todos os riscos relevantes.
Ao nos atentarmos para os requerimentos acima, notamos
que em dois momentos os controles se tornam evidentes. • A abrangência, a consistência, a integridade e a confiabilidade dos
dados de entrada, bem como a independência de suas fontes.
Primeiramente, temos a preocupação do regulador com a
relação risco inerente–controle–risco residual. Em seguida • A consistência e confiabilidade das informações que compõem o
temos a necessidade de a instituição evidenciar a sua relatório anual.
capacidade de gerenciar riscos de forma efetiva
e prudente. • A consistência e a coerência entre as informações do relatório anual e
aquelas contidas nos planos de capital e de contingência de capital.
Enfim, os controles configuram elemento necessário
para o gerenciamento de capital em qualquer instituição O processo de validação independente do ICAAP deve ser
financeira. Porém, o regulador estabelece forte documentado e seus resultados submetidos ao comitê de riscos, à
direcionamento para a boa governança em instituições com diretoria e ao conselho de administração, quando existente.
maior tamanho, complexidade e ao perfil de risco.
Controles internos Como já vimos, a função de controles internos permeia toda a instituição e
tem por objetivo dar suporte ao cumprimento dos objetivos estratégicos,
e compliance por intermédio de estruturas e processos que assegurem a eficiência e
a eficácia operacional, a manutenção das exposições de riscos em níveis
considerados aceitáveis, a confiabilidade das informações financeiras e a
conformidade com o código de ética, as regulações e leis aplicáveis.
Uma boa prática para isso é relacionar essas normas internas ao inventário de processos críticos da instituição, devendo o mapeamento desses
processos contemplar a identificação dos riscos de não conformidade e respectivos controles internos. Nessa linha de ação, são aplicados testes de
controle para os riscos de não conformidade, sendo os resultados cotejados com a matriz de riscos e com apontamentos dos órgãos de fiscalização
e recomendações de demais instâncias.
Outro procedimento de controle neste âmbito é caracterizado pela captura e pelo monitoramento de novos normativos
regulamentares e novas leis aplicáveis, assim como o endereçamento interno, para que os gestores dos processos avaliem
os potenciais impactos e a necessidade de implantação de medidas de conformidade e eventuais alterações nas normas internas.
Essas considerações nos levam a constatar que é bastante
amplo e complexo o escopo das atividades de compliance,
atividades essas que, muitas vezes, acabam estando
distribuídas em diferentes áreas
da estrutura organizacional, o que não se apresenta, em
princípio, como inadequado.
O FSB e o Comitê de Basileia atuam no ambiente do G-20 (grupo que reúne as maiores economias mundiais), do qual o nosso país é signatário. Assim
sendo, o Brasil precisa estar em conformidade com as orientações emanadas desses organismos, o que é, inclusive, objeto de avaliações.
Quando consideramos a linha histórica da evolução regulatória internacional, verificamos a tendência de supremacia das
regras prudenciais, preventivas, estabelecendo, cada vez mais, responsabilidades às instituições financeiras.
É certo que essas regulações consideram o tamanho, a
complexidade e a atuação internacional das instituições
reguladas. Mas, mesmo assim, constatamos o
aprofundamento intenso do quadro regulatório, demandando
um cuidado especial por parte das instituições.
Princípio 1: Princípio 2:
O conselho de administração deve ter a responsabilidade A diretoria deve ser responsável por implementar
de aprovar e periodicamente revisar as estratégias estratégias e políticas aprovadas pelo conselho
gerais do negócio e as políticas significativas do banco; de administração; por desenvolver processos que
compreender os principais riscos enfrentados pelo identifiquem, monitorem e controlem os riscos incorridos
banco, estabelecer níveis aceitáveis para esses riscos pelo banco; pela manutenção de uma estrutura
e garantir que a diretoria tome as medidas necessárias organizacional que claramente atribua responsabilidades,
para identificar, medir, monitorar e controlar esses riscos; autoridade e relações de reporte; por assegurar que
aprovar a estrutura organizacional; e assegurar que a as responsabilidades delegadas sejam efetivamente
diretoria monitore a efetividade do sistema de controle realizadas; pelo estabelecimento de políticas adequadas
interno. O conselho de administração é o responsável de controle interno; e pelo monitoramento da adequação
último por assegurar o estabelecimento e a manutenção e efetividade do sistema de controle interno.
de um adequado e efetivo sistema de controle interno.
Supervisão da gestão e cultura de controle
Princípio 3:
Princípio 4: Princípio 5:
Um efetivo sistema de controle interno requer que os As atividades de controle devem ser parte integrante das
riscos materiais que possam afetar adversamente a atividades diárias de um banco. Um efetivo sistema de
realização dos objetivos do banco sejam reconhecidos e controle interno requer que seja criada uma apropriada
continuamente avaliados. Essa avaliação deve abranger estrutura de controle, com atividades de controle
todos os riscos enfrentados pelo banco e pela instituição definidas em todos os níveis do negócio. Isso deve incluir:
bancária consolidada (ou seja, risco de crédito, risco país revisões de nível superior; apropriadas atividades de
e de transferência, risco de mercado, risco de taxa de controle para diferentes departamentos ou divisões;
juro, risco de liquidez, risco operacional, risco legal e risco controles físicos; verificação de conformidade com os
reputacional). Os controles internos podem necessitar de limites de exposição e acompanhamento da situação de
revisão para tratar adequadamente qualquer risco novo não conformidade; sistema de aprovação e autorização;
ou anteriormente não controlado. e um sistema de verificação e reconciliação.
Atividades de controle e segregação de funções Informação e comunicação
Princípio 6: Princípio 7:
Um efetivo sistema de controle interno requer que haja Um efetivo sistema de controle interno requer que
uma adequada e abrangente segregação de funções e existam adequados e abrangentes dados financeiros,
que o pessoal não receba responsabilidades conflitantes. operacionais e de conformidade, bem como
Áreas de potenciais conflitos de interesses devem ser informações externas de mercado sobre eventos
identificadas, minimizadas e sujeitas a monitoramento e condições relevantes para a tomada de decisão.
cuidadoso e independente. As informações devem ser confiáveis, tempestivas,
acessíveis e providas em formato consistente.
Informação e comunicação
Princípio 8: Princípio 9:
Um sistema de controle interno efetivo requer que exista Um sistema de controle interno efetivo requer
um sistema de informações confiável que cubra todas efetivos canais de comunicação que assegurem que
as atividades significativas do banco. Esses sistemas, todo o pessoal compreenda e adira plenamente às
incluindo aqueles que detêm e utilizam dados em formato políticas e procedimentos que afetam suas funções e
eletrônico, devem ser seguros, monitorados de forma responsabilidades, e que outras informações relevantes
independente e apoiados por adequados arranjos sejam disponibilizadas ao pessoal apropriado.
de contingência.
Atividades de monitoramento e correção
de deficiências
A efetividade geral dos controles internos do banco deve Deve existir uma auditoria interna efetiva e abrangente
ser monitorada de forma contínua. O monitoramento dos do sistema de controle interno efetuado por pessoal
principais riscos deve fazer parte das atividades diárias operacionalmente independente, apropriadamente
do banco, bem como avaliações periódicas pelas linhas treinado e competente. A função de auditoria interna,
de negócio e auditoria interna. como parte do monitoramento do sistema de controle
interno, deve reportar diretamente ao conselho de
administração ou ao comitê de auditoria e à diretoria.
Atividades de monitoramento e correção Avaliação dos sistemas de controle interno
de deficiências pelas autoridades supervisoras
As deficiências de controle interno, quando identificadas Os supervisores devem exigir que todos os bancos,
por linha de negócios, auditoria interna ou outros agentes independentemente do tamanho, tenham sistema de
de controle, devem ser comunicadas tempestivamente controles internos que seja consistente com a natureza,
ao apropriado nível de gestão e tratadas prontamente. a complexidade e o risco inerente às atividades
Deficiências materiais de controle interno devem ser contidas no balanço e fora do balanço e que responda a
comunicadas à diretoria e ao conselho de administração. alterações no ambiente e nas condições do banco. Nos
casos em que os supervisores determinem que o sistema
de controle interno de um banco não é adequado ou
efetivo para seu perfil de risco (por exemplo, não abrange
todos os princípios contidos neste documento), devem
tomar as medidas apropriadas.
A longevidade desse documento do
Comitê de Basileia não se dá por acaso. Os
princípios que aqui estamos trazendo são
potentes, abarcando diretamente os níveis
de governança, incluindo a auditoria interna,
de gestão e de comunicação, podendo
ser largamente identificados no ambiente
regulatório nacional e internacional voltado
aos controles internos.
Sistema de controles internos
Já sabemos que o sistema de controles internos é um componente imprescindível para que uma instituição alcance seus objetivos estratégicos e
assegure a sua longevidade.
Esse sistema pode ser entendido como um conjunto de políticas, processos, funções, atribuições e alçadas, procedimentos e ferramentas e
deve ser estruturado para articular e integrar os demais processos, áreas e pessoas da instituição, de modo a assegurar a eficiência e a eficácia
das operações, a mitigação dos riscos inerentes, o tratamento dos desvios, bem como garantir um fluxo de informações/dados operacionais,
financeiros e de conformidade confiáveis com comunicação em tempo hábil para avaliação contínua das atividades executadas. Deve permitir à
Alta Administração exercer suas responsabilidades com razoável grau de segurança quanto às decisões sobre as melhores alternativas de alocação
de recursos (físicos, tecnologia, financeiros e humanos), com vistas a obter os resultados pretendidos na estratégia.
Segundo o COSO – Controle interno – Estrutura Integrada (aqui denominado COSO ICIF 2013), um
sistema de controles internos é composto por 5 componentes integrados e sustentados por 17
princípios. Esses componentes e princípios devem estar presentes e operar juntos de forma coerente
e integrada, para que o sistema de controles seja considerado efetivo. Transcrevemos, a seguir, esses
componentes e princípios.
Ambiente de controle
VII.
A organização identifica os riscos à realização de seus objetivos por toda a
entidade e analisa os riscos como uma base para determinar a forma como
devem ser gerenciados.
Ambiente de controle
XIV.
A organização transmite internamente as informações necessárias
para apoiar o funcionamento do controle interno, inclusive os objetivos
e responsabilidades pelo controle.
XV.
A organização comunica-se com os públicos externos sobre assuntos
que afetam o funcionamento do controle interno.
Atividades de monitoramento
XVII.
A organização avalia e comunica deficiências no controle interno em
tempo hábil aos responsáveis por tomar ações corretivas, inclusive a
estrutura de governança e alta administração, conforme aplicável.
I M P O R TA N T E
Neste sentido, cabe à Alta Administração a responsabilidade de enfatizar a importância da cultura consciente dos riscos e dos controles,
consistente com os direcionadores (propósito, missão, visão e valores) e objetivos estratégicos da instituição, bem como assegurar os
mecanismos para disseminar a cultura de riscos e controles a todos os níveis hierárquicos.
A cultura de riscos e de controles influencia a forma como as atividades são estruturadas e executadas, como se estabelecem os objetivos e
se medem e controlam os riscos e, principalmente, como se executam todas essas atividades.
Uma cultura de riscos e controles consolidada permite a cada membro
da instituição a clareza sobre o desempenho das suas atividades de
forma responsável (comprometimento de fazer o que é correto, da
maneira correta, no prazo e com a qualidade esperada), compreender
os riscos inerentes aos processos e os controles necessários para
mantê-los dentro dos níveis considerados aceitáveis; agir dentro
dos limites de sua autoridade e competência, de forma ética e em
conformidade com as políticas estabelecidas, assim como comunicar
ao nível apropriado de gestão quaisquer problemas nas operações e
desvios de conduta ou outras violações que forem percebidas. Nesse
contexto, espera-se que a cultura de riscos e controles incentive o
trabalho em equipe e a cooperação entre as áreas, promovendo o
processo de melhoria contínua.
Os resultados apurados pelos indicadores permitem à Alta Administração acompanhar a execução do planejamento estratégico, a avaliação
do desempenho, a evolução e as tendências, de maneira contínua, em relação ao cumprimento das metas e dos níveis de exposições aos
riscos. O conjunto de indicadores utilizados para fins de gestão deve ser orientado para interligar a estratégia, os recursos e os processos,
de tal forma que possibilite à instituição antecipar ameaças potenciais e oportunidades emergentes, a partir de fontes de informações
estruturadas, e subsidiar as tomadas de decisão oportunas e adequadas para a correção de ações planejadas, visando
o cumprimento dos objetivos estratégicos.
Portanto, os indicadores devem ser vinculados e aplicados às metas Exemplos de indicadores chave:
de negócios, exposições de riscos relevantes e/ou para os controles
considerados chave de um risco específico relevante e indicar tendências. KPIs: retorno sobre patrimônio, retorno de
investimentos, retorno sobre ativos, despesas
Tipologia de indicadores administrativas sobre ativos etc.
Uma forma de organizarmos os indicadores é identificá-los nos três tipos KRIs: percentual de atrasos maiores de 60 dias
distintos a seguir descritos, os quais devem se complementar para auxiliar sobre a carteira de crédito, índice de Basileia,
o monitoramento: concentração da carteira de crédito, indicador de
liquidez de curto prazo e de longo prazo, operações
fraudadas sobre o total de operações realizadas,
• KPI - Indicadores Chave de Desempenho (performance): fornecem
operações de crédito com falhas na formalização
informações sobre o status dos processos de negócios, operações e
de garantias sobre o total de operações de crédito
dados financeiros que, por sua vez, podem detectar também problemas
com garantias etc.
operacionais, falhas e perdas potenciais;
KCIs: treinamentos realizados (controles
• KRI - Indicadores Chave de Risco: são usados para monitorar os
internos, compliance, PLD etc.) para funcionários
principais fatores de exposição associados aos principais riscos;
da instituição sobre o total de funcionários,
apontamentos das auditorias (interna e
• KCI - Indicadores Chave de Controle: têm por objetivo medir a
independente) e dos órgãos de fiscalização
eficiência/eficácia do ambiente de controles internos, em termos de
sobre total de apontamentos, planos de ação
alcance e cobertura dos controles (frente aos riscos para os quais
implementados sobre total de planos de ação
foram construídos) quanto ao seu funcionamento.
mapeados etc.
Ambiente de controles internos
Características dos indicadores
Fontes para estabelecimento dos indicadores de riscos, • O exercício de análise de cenários fornece informações
controles e compliance sobre as perdas inesperadas (eventos extremos);
• Análise e revisão: Ao analisar sua performance, a organização tem a oportunidade de refletir sobre até que ponto os
componentes do gerenciamento de riscos corporativos estão funcionando bem ao longo do contexto de mudanças relevantes, e
quais correções são necessárias.
• Informação, comunicação e divulgação: O gerenciamento de riscos corporativos demanda um processo contínuo de obtenção e
compartilhamento de informações precisas, provenientes de fontes internas e externas, originadas das mais diversas camadas e
processos de negócios da organização.
Monitoramento, análise e reporte
Conforme as situações de criticidade, as áreas da segunda linha devem escalar tempestivamente, aos fóruns adequados
da governança, as ocorrências de desvios dos indicadores e as tendências de aumento de exposição dos riscos e quais
ações de remediação foram e/ou devem ser implementadas.
A política de controles internos Políticas que tratam dos controles internos, assim como
as demais políticas, são um componente do ambiente de
controles internos. Consistem em normas internas que devem
expressar os objetivos do sistema de controles internos e
seu alinhamento aos direcionadores (missão, visão e valores)
e aos objetivos estratégicos da instituição, bem como
devem ser do conhecimento de todos os níveis hierárquicos.
Portanto, visam assegurar que a execução das atividades de
negócios e das operações esteja em conformidade com as
diretrizes definidas pela Alta Administração.
• Um processo que consiste em tarefas e atividades contínuas – um Nas próprias palavras do COSO ICIF 2013, essa
meio para um fim, não um fim em si mesmo.
• Os objetivos de controle (individualmente) devem ser específicos, adequados, oportunos, completos (e no seu conjunto abranger todos os
aspectos das atividades e processos) e proporcionar razoável nível de confiança e estar integrados e alinhados aos objetivos globais
da instituição.
• O controle interno deve ser executado de forma sistemática, consistente, eficiente e eficaz para mitigar os riscos associados a atividades,
a fim de assegurar que os resultados esperados de um processo sejam alcançados, em conformidade com o padrão estabelecido.
• As atividades, operações e o tratamento dos eventos relevantes somente poderão ser autorizados e executados pelos responsáveis
designados e que atuem dentro do âmbito de suas competências e limites formalmente estabelecidos nas políticas e nos manuais
de procedimentos.
• A estrutura de um controle interno deve prever a separação (segregação) entre as funções de autorização ou aprovação de operações e a
execução. As responsabilidades de autorização, tratamento e revisão de operações e eventos devem ser designadas a pessoas diferentes.
• As operações e os eventos devem ser registrados no período de competência temporal devido (respeitada a cronologia das ocorrências) e
classificados conforme definições dos normativos internos.
• Os registros das operações/eventos, assim como a execução dos controles internos (evidências) devem possuir documentação
comprobatória e devem ser mantidos atualizados, seguros e organizados por prazo adequado e disponíveis de forma a permitir a
reconstituição, a comprovação e o cumprimento dos normativos internos e das exigibilidades legais e regulatórias.
• O controle interno deve assegurar que toda transação realizada esteja em conformidade com as condições de mercado (preço, taxa,
câmbio, prazo, etc.), no respectivo período ou intervalo de tempo em que as transações ocorreram.
• Toda transação deve ser completa, autorizada, documentada e registrada em algum meio ou log de sistema, constituindo-se na trilha de
auditoria que permita o rastreamento e a reconstituição posterior de toda a sequência da transação.
• O acesso (físico e/ou lógico) aos ativos/recursos e registros deve ser limitado às pessoas autorizadas e formalmente designadas, as quais
por sua vez estão obrigadas a prestar contas da custódia ou utilização dos desses.
• As pessoas envolvidas nas atividades e funções de controles internos devem possuir qualificação adequada e serem atualizadas com
treinamento periódico, bem como é salutar que haja rodízio entre os funcionários designados.
• Todos os processos, funções, rotinas, atribuições e responsabilidades e, da mesma forma, produtos e serviços ofertados aos clientes,
devem formalmente constar em manuais internos de procedimentos, os quais, por sua vez, devem ser periodicamente atualizados.
• O desenvolvimento ou a alteração de sistemas, assim como a aprovação de novos produtos e serviços devem ser documentados e
arquivados e ficarem à disposição a qualquer momento.
Controles: classificação
das tipologias, frequências
e aplicações
Uma forma de tratarmos os controles internos se
dá por meio de sua classificação. A seguir trazemos
algumas possibilidades:
Tipologia
• Controles manuais: documentos rubricados Quanto à sua forma e aplicação, os controles podem
(vistados) de conferência, cópias de ser categorizados como sendo de:
documentos de conciliação manual etc.
• Autorização: o principal objetivo é assegurar que
• Controles sistêmicos (automáticos): as transações estão sendo autorizadas por alçada
registros eletrônicos e logs de execução (trilha competente. Exemplos:
de log) de conferência automática.
• Estabelecimento de limites e alçadas;
• Controles híbridos (semiautomáticos): Aprovação de operações.
exemplo: prints de telas, registros eletrônicos
e log de usuários autorizados.
• Verificação: o principal objetivo é validar a precisão
e a integridade das operações e seus resultados.
Importância do controle Exemplos:
• Validação;
• Controle chave: a ação do controle mitiga o risco
• Inventários de ativos/operações;
completamente por si só ou conjuntamente com
• Análise de diferenças;
outros controles. Neste caso, todos os controles
• Checagem de dados;
envolvidos são considerados chave.
• Recálculos;
• Revisão e análise de performance.
• Controle não chave: o controle não mitiga
adequadamente (sozinho ou conjuntamente com
outros controles).
• Conciliação/reconciliação: o principal objetivo é
a confirmação das operações e seus resultados.
Exemplos:
• De contas;
• De arquivos;
• Registros.
Na definição da materialidade podem ser considerados aspectos quantitativos como percentuais e valores em relação as receitas,
despesas, ativos e patrimônio líquido, bem como aspectos qualitativos, como capacitação das pessoas na execução dos controles,
políticas e procedimentos atualizados etc.
Comumente, a materialidade é formatada em uma escala métrica e objetiva por faixas de probabilidade de ocorrência das incidências e
por valores financeiros e não financeiros vinculados, a qual deverá ser utilizada para direcionar o julgamento na avaliação dos controles, os
impactos das incidências e distorções nos informes gerenciais utilizados nas decisões e nas demonstrações financeiras.
Como boa prática, a elaboração e a definição da escala de materialidade devem ser realizadas pelas áreas de segunda linha e submetida
à aprovação dos fóruns da governança corporativa, uma vez que será utilizada como referência para reduzir o grau de subjetividade no
julgamento e categorização das deficiências encontradas nos trabalhos de testes de controles.
Embora a auditoria interna possa contar com sua visão própria de materialidade, um alinhamento sobre isso, entre as segunda e terceira
linhas, pode contribuir imensamente para uma efetiva comunicação interna.
Portanto, cada instituição deve definir a sua escala de materialidade que será utilizada para fins de avaliação dos controles internos.
Apenas a título de ilustração, apresentamos a seguir
um exemplo de escala de materialidade:
Muito
Relevante Superior a ...% Superior a R$...
Documentação dos
controles internos
Toda atividade de controle deve ser formalmente documentada para
assegurar aos envolvidos, na condução dos processos, o conhecimento
necessário sobre as suas funções e responsabilidades, garantir o
cumprimento e a execução com segurança, uniformidade, tempestividade
e em conformidade com a política de controles internos da instituição.
Visa assegurar inclusive que as informações e dados sobre as transações,
eventos e seus registros utilizados para fins de tomada de decisão sejam
íntegros e confiáveis.
A literatura aponta que o método CSA foi criado em 1987 pela empresa Gulf (setor petrolífero) e teve ampla divulgação pelo IIA- Instituto
Internacional dos Auditores Internos durante os anos 90, sendo que, em 2002, foi consagrada pela Lei norte americana Sarbanes-Oxley
(mais conhecida como SOX) e passou a ser exigência regulatória para as empresas e instituições financeiras sujeitas a esta legislação, a
qual ainda incluiu a identificação e documentação dos processos e dos controles chaves.
A autoavaliação pode ocorrer por meio de aplicação de questionários ou oficinas de autoavaliação (workshops), onde os gestores são
desafiados a respeito dos conhecimentos sobre os riscos inerentes aos processos que são responsáveis e as ações e procedimentos
de mitigatórios. Com o avanço tecnológico, plataformas estão viabilizando a implementação da autoavaliação em ambiente sistêmico,
facilitando a documentação dos riscos, dos controles e dos planos de ação para mitigação dos riscos. Com esse avanço, a atividade de
autoavaliação passa a poder ocorrer a qualquer momento.
Outra forma de autoavaliação, que derivou do tradicional No processo de certificação de controles temos uma
CSA e utilizada para atender a Lei Sarbanes-Oxley (SOX), abordagem quantitativa, visto que o julgamento sobre a
é o processo de certificação de controles internos. efetividade do controle é baseado em evidências.
Basicamente, os gestores em todos os níveis de uma
instituição deverão certificar se os controles internos sob Os resultados dos testes dos controles são formalizados
as suas responsabilidades funcionam adequadamente por meio de certificações. Cada nível hierárquico deverá
para assegurar a confiabilidade das operações e das confirmar os resultados dos testes realizados. Ou seja, cada
informações financeiras. Os resultados do processo gestor de uma estrutura hierárquica efetua os testes dos
de certificação deverão ser chancelados pelo diretor controles e formaliza os resultados, emite um certificado, que
financeiro e pelo presidente da instituição. é encaminhado ao seu superior imediato. Este por sua vez,
deverá também realizar os testes dos controles sob a sua
Este processo acabou sendo incorporado no Brasil pelas responsabilidade direta. Na sequência, os resultados obtidos
grandes organizações financeiras e não financeiras deverão ser consolidados com os resultados certificados pelos
sujeitas à SOX. O processo também pode ser empregado gestores da sua equipe e emitir outro certificado.
como uma boa prática, não se limitando, apenas, às
informações financeiras. Os testes realizados e os respectivos certificados emitidos são
avaliados pela área de controles internos e, posteriormente,
O processo é tipicamente do tipo “bottom up”, sendo pela auditoria interna, para assegurar a integridade
coordenado pela área de controles internos, sendo e a consistência do processo. Para os resultados que
os gestores responsáveis pela realização dos testes apresentarem incidências consideradas relevantes (materiais)
(por amostragem de evidências de controles) quanto à deverão ser informados os planos de ação para melhoria do
efetividade do funcionamento dos controles internos. ambiente de controles.
Avaliação independente pela
área de controles internos
Uma atividade essencial da área de controles internos consiste
na realização de testes independentes sobre a efetividade dos
controles internos.
No organograma institucional, a área de controles internos deve estar alocada em uma estrutura onde não haja conflito de interesses,
tendo em vista a natureza e propósito das suas atividades de supervisão.
Como existe um forte relacionamento dos objetivos da área de controles internos com os objetivos das áreas de gerenciamento do risco
operacional e de compliance, essa característica poderia ser considerada na alocação dessas áreas no organograma da instituição.
Recursos humanos e tecnológicos
A área de controles internos deve possuir quadro de recursos
humanos com quantidade e capacitação adequadas para
compreender e tratar a complexidade da instituição e seus negócios.
Um formato organizacional que auxilia as atividades da área de controles internos é a designação de pontos focais e facilitadores
nas diversas áreas da instituição (geralmente denominados por “agentes de controles internos”), com os objetivos de possibilitar
fluidez da comunicação e reporte dos eventos de riscos e dos planos de ação de remediação e colaborar na disseminação dos
conceitos de riscos e controles internos.
Em geral, esses agentes são caracterizados por pessoas das próprias áreas e não da área de controles
internos, o que faz com que cuidados sejam considerados, eis que as atividades do agente podem
competir com as atividades da área em que atua. Caso a instituição venha adotar esse modelo, seria
adequado que a missão e o escopo de atuação dos “Agentes de Controles Internos” fossem definidos e
normatizados em manual de procedimentos, aplicável a todas as áreas.
Atividades
Conforme o porte e a complexidade da instituição, as atividades da área de controles internos podem compreender:
• Em sintonia com a área de gerenciamento de riscos, disseminar, para todas as áreas, a cultura de riscos e controles,
principalmente a “preventiva”, por meio de treinamentos, palestras e outras ações;
• Prestar suporte “in loco” para as áreas de primeira linha quanto às melhores práticas de controles;
• Realizar o mapeamento dos processos críticos, identificar e avaliar os riscos e controles existentes, e elaborar matriz de riscos;
• Realizar testes de quality assurance com objetivo de avaliar se as principais deliberações nos comitês de aprovação de
produtos e serviços foram implantadas pelos gestores das áreas envolvidas;
• Avaliar e monitorar o ambiente de gestão de riscos e de controles internos junto às empresas terceirizadas e aos
fornecedores relevantes;
• Realizar testes e avaliações sobre a efetividade do sistema de controles internos, inclusive com base em indicadores
continuamente monitorados;
De modo geral, o inventário de processos é elaborado e atualizado recorrentemente pela área que coordena as estruturas
organizacionais e os desenhos funcionais, a racionalização e a normatização dos processos. Essa área, assim, gerencia a
arquitetura de processos da instituição. Mas veja que existem casos em que essa atividade é realizada por controles internos.
Conceito de processo
Vários autores buscam formular o conceito de processo,
associando a aspectos específicos, inclusive a atividade produtiva,
o que podemos ver a seguir:
• Conjunto de atividades inter-relacionadas que transforma insumos
(entradas) em produtos (saídas) (Norma NBR ISO 9000: 2008).
• Grupo organizado de atividades relacionadas que, juntas, criam
um resultado de valor para o cliente (Michael Hammer).
• Ordenação específica das atividades de trabalho, no tempo e no
espaço, com um começo, um fim e imputs e outputs claramente
identificados (Thomas Davenport).
• Sequências de atividades que são necessárias para realizar as
transações e prestar o serviço (Rohit Ramaswamy, com foco
em serviços).
• Sequência de passos, tarefas ou atividades que convertem
entradas de fornecedores em uma saída e adiciona valor às
entradas (Dainne Galloway).
Se consideramos uma visão mais genérica de processo, podemos
nos remeter à origem da palavra, que vem do latim procedere, que
significa método, sistema, maneira de agir ou conjunto de medidas
tomadas para atingir algum objetivo.
Os processos podem ser classificados em grupos. Uma forma bastante utilizada é classificar os processos em:
São aqueles diretamente relacionados à São independentes aos processos São voltados ao gerenciamento,
atividade fim da instituição. Seguem uma de negócios. Têm por objetivo garantir garantindo uma visão de presente e
sequência lógica de etapas sucessivas o funcionamento dos processos futuro dos negócios.
e na sua cadeia de valor envolve mais de de negócios.
uma área. Exemplos: planejamento estratégico,
Exemplos: recursos humanos, gerenciamento de riscos, controles
Exemplos: criação e marketing de tecnologia da informação, jurídico, internos, compliance.
produtos e serviços, oferta e negociação manutenção patrimonial.
comercial, avaliação de crédito,
formalização das operações e liberação
de recursos, recuperação de créditos.
As classificações aqui comentadas são exemplificativas, mas consistentes com a arquitetura desenhada no BPM CBOK (Guia para o Gerenciamento
de Processos de Negócios – Corpo Comum de Conhecimento), que categoriza os processos como sendo: primários, de suporte e de gerenciamento,
valendo lembrar que os processos primários e de suporte/apoio são classicamente vinculados ao modelo de cadeia de valor de Michael Porter.
Cada instituição pode desenvolver critérios próprios para classificação e denominação dos seus processos.
Ademais, a evolução das organizações pode levar a revisões sobre a classificação, sendo fundamental que se tenha em consideração a definição
de cada categoria de processo.
Definição dos processos
críticos da instituição e
áreas envolvidas
Com base no inventário, é possível estabelecer uma
hierarquia dos processos considerados críticos.
• A declaração do apetite por riscos da instituição, considerada a partir dos riscos com exposição de maior relevância (do maior para o menor) e
dos processos por onde esses riscos permeiam;
• Produtos e serviços ofertados a clientes que mais contribuem para a geração de receitas. Ou seja, a cadeia de valor dos processos para a
geração de resultados;
• Base de perdas: perdas relevantes ocorridas não previstas nos modelos de previsão de riscos;
• Resultados da medição dos indicadores de riscos e de controles que tenham apresentado tendência de crescimento de exposição a riscos;
• Resultados dos questionários de autoavaliação de riscos e controles e da certificação de controles, em decorrência da evidenciação de
fragilidades;
• Apontamentos das auditorias interna e independente e dos órgãos de fiscalização sobre as
fragilidades/deficiências de controles.
Revisão e atualização
O mapeamento de processos é válido para o momento em que foi realizado. Ou seja, espelha uma foto. Porém, dada a
dinâmica dos negócios, do ambiente competitivo, das inovações tecnológicas e operacionais, os processos podem sofrer
alterações ou, mesmo, podem surgir novos processos. Portanto, o mapeamento necessita ser revisado e atualizado com
periodicidade adequada.
Este é um desafio que as organizações se defrontam constantemente. As boas práticas recomendam algumas ações:
• Estabelecimento de acordo operacional (SLA) com a área que centraliza o inventário de processos da instituição, no
sentido de que haja uma comunicação sobre as alterações de processos ou implantação de novos processos, bem como
alterações na estrutura organizacional que implique em novos responsáveis;
• A participação dessa área nos comitês de avaliação de lançamento de novos produtos e serviços e a revisão dos já
existentes possibilita avaliar também se haverá impactos nos processos mapeados;
• Atribuir responsabilidade aos gestores para comunicarem de forma tempestiva as alterações que foram implantadas nos
processos;
• Se não for possível estabelecer uma periodicidade padrão de revisão e atualização dos processos mapeados (por
exemplo, anualmente), poder-se-ia manter atualizado o mapeamento de riscos por meio da autoavaliação realizada pelo
gestor. Nos tempos atuais, essa ação se vê bastante facilitada com a utilização de plataformas tecnológicas no tipo GRC
(governança, riscos e compliance).
Ações como as acima citadas mereceriam ser consideradas, no que for possível, em políticas, cabendo estarem
devidamente formalizadas nos manuais próprios.
O mapeamento de riscos
O mapeamento dos riscos caracteriza a identificação dos riscos
existentes na instituição, em especial os riscos operacionais. E
a sua consideração no ambiente de mapeamento de processos
contribui para uma maior maturidade organizacional, uma vez que a
documentação dos processos será mais efetiva, ao considerar os
riscos e os controles conjuntamente com as atividades mapeadas.
Para melhor compreendermos o tema do mapeamento de riscos, vejamos o que devemos entender por risco inerente e residual.
Risco inerente e residual e suas aplicações
Risco inerente é a denominação para todo risco que uma instituição incorre (está exposta), e que permeia todos os seus processos e atividades,
sem considerar as ações de mitigação dos controles para alterar as probabilidades de ocorrência e impacto.
Os riscos inerentes precisam ser conhecidos e gerenciados de forma sistemática e organizada. Um risco inerente pode se materializar (evento de
risco) por meio das suas causas raiz (fatores de riscos), tanto internas quanto externas às organizações.
Conhecer as causas raiz dos riscos inerentes (como e quando ocorrem, sua frequência e seu impacto potencial) é fundamental para identificar as
medidas de controles internos adequadas.
O risco residual, por sua vez, é a denominação para o resultado
das avaliações e das ações de controle sobre as causas dos riscos
inerentes. A mensuração dos riscos residuais permite avaliar se as
exposição a riscos estão dentro dos níveis que a instituição está
disposta a aceitar, em função do seu planejamento estratégico. Com
isso, as situações de risco acima do esperado merecerão a necessária
análise e decisão sobre as medidas de tratamento (reduzir, transferir/
compartilhar ou eliminar).
• A área de crédito gera relatórios contendo todas as informações necessárias para o acompanhamento
da carteira, as quais são arquivadas em diretório da rede interna.
• Com base nos relatórios gerados, a diretoria/gerência/coordenadores de crédito monitoram o
Como desempenho dos indicadores.
• Os índices ficam armazenados no scorecard do departamento (rede de crédito) e são discutidos em
reuniões de staff com a diretoria do Banco.
Quando • Mensalmente.
• Se aplicável, a área de crédito toma as ações necessárias para melhoria do tempo de resposta, atentando-se, ao
Ações Corretivas mesmo tempo, para não comprometer a qualidade da decisão sobre o crédito.
Mensuração dos riscos residuais Antes de falarmos sobre a mensuração de riscos, é importante
comentar a respeito da boa prática de utilizar métricas para tal
propósito. As métricas têm por objetivo a padronização e a redução da
subjetividade durante as avaliações de riscos e dos controles internos.
Escala de Probabilidade
Frequência observada/
Frequência Descrição Peso
esperada
O evento de risco por ocorrer
Baixa ao menos uma vez por ano
> 20% 1
Descrição
Faixa de Faixa de Perda
Níveis de impactos nos objetivos estratégicos, operacionais ou de Peso
Impacto Esperada - R$ mil
conformidade
• Significativo - compromete fortemente o atingimento dos objetivos, com dificuldades para reversão.
Alto • Impacto na reputação e com exposição nas mídias por um curto período de tempo. > 1.000 e < 4.000 3
• Penalidades de caráter pecuniário (multas ou outras sanções) pelos órgãos reguladores.
Médio • Há procedimentos de controle, mas não mitigam todas as causas dos riscos devido a deficiências no
desenho ou no funcionamento. Médio
0,6
NCC - 40% • Existem alguns controles não formalizados.
Auxilia a gestão na tomada de decisões sobre as prioridades de tratamento para minimizar as exposições a riscos consideradas inaceitáveis, bem
como quanto à otimização e alocação dos recursos disponíveis em termos de melhorias de controles, inclusive para as situações de excesso de
controles aplicados a riscos de baixo potencial de materialização.
Nos benefícios da construção da matriz podemos incluir: a indicação dos principais riscos associados e dos controles estabelecidos; um
diagnóstico de criticidade dos riscos para o negócio (a partir da classificação obtida das métricas/escalas de probabilidade de ocorrência versus
impacto e a capacidade de mitigação dos controles); e recomendações para as ações necessárias visando reduzir os riscos
a um nível aceitável, em face dos limites estabelecidos no apetite aos riscos da instituição.
Tratamento dos riscos
Uma vez definidas as prioridades dos riscos a serem tratados, a instituição deve avaliar as respostas mais adequadas levando em conta os limites
estabelecidos no apetite por riscos e, também, os custos e benefícios das alternativas de medidas mitigantes.
As duas abordagens consagradas que tratam do gerenciamento de controles internos e do gerenciamento de riscos, o COSO e a ISO 31000,
sugerem como boas práticas as seguintes repostas de tratamento aos riscos:
Abordagem COSO.
• Evitar: Descontinuar as atividades que geram os riscos (descontinuação de produtos, geografia, divisão etc.).
• Reduzir: Adotar medidas para reduzir a probabilidade ou o impacto dos riscos, ou, até mesmo, ambos.
• Compartilhar: Reduzir a probabilidade ou o impacto dos riscos, por meio da transferência ou do compartilhamento de uma porção do risco (seguro,
hedging, terceirização de uma atividade etc.).
• Aceitar: Não adotar qualquer medida para afetar a probabilidade ou o grau de impacto dos riscos.
Abordagem ISO 31000
• Evitar o risco ao decidir não iniciar ou continuar com a atividade que dá origem ao risco.
• Tomar ou aumentar o risco a fim de alcançar uma oportunidade.
• Remover a fonte de risco.
• Mudar a probabilidade.
• Alterar as consequências.
• Partilhar o risco com outras partes.
• Reter o risco por meio de decisão informada.
Com base nas indicações das melhores práticas do COSO e da ISO 31000, podemos
estabelecer as seguintes situações:
• Para os riscos de baixa exposição, a providência poderia ser aceitar/reter, pois não há
necessidade de alteração dos controles internos existentes.
• Para os riscos de exposição muito alto, alto e médio, avaliar a possibilidade de melhoria
dos controles existentes, mediante ações para reduzir/mudar a probabilidade/alterar as
consequências (impactos).
• Vale ainda considerar a possibilidade de compartilhar/partilhar os riscos, mediante
ações de terceirização ou contratação de seguro.
• Quanto a descontinuar a exposição ao risco, deve-se levar em conta se esta ação
implicaria na revisão e/ou descontinuação de processos e produtos e se isso é aceitável
do ponto de vista da estratégia.
• Por último, na hipótese não muito comum de uma oportunidade de negócio, a avaliação
consistirá em ações para “tomar/aumentar” a exposição de risco, em função do retorno
esperado e alinhado aos objetivos estratégicos.
Riscos emergentes no contexto da O contexto competitivo dos negócios tem
apresentado uma velocidade de mudanças
segurança cibernética e aplicações acentuadas nos últimos tempos, com a crescente
oferta de produtos e serviços por canais digitais,
práticas no ambiente de Cloud, DevSecOps armazenamento de dados em nuvens, terceirização
de processos e, até em alguns casos, mudanças
disruptivas nos modelos de negócios.
Por este modelo, cada área atua dentro do seu escopo e missão, mas de forma integrada com as outras duas áreas, atentando-se para os
seguintes aspectos:
Cabe assegurar o versionamento, a Com a sua expertise, participa e Cumpre assegurar o ambiente de
integridade dos dados, realização colabora, desde o início do ciclo de produção, bem como a execução
de testes de qualidade e outras desenvolvimento e implantação das da segurança por meio de
ações ligadas aos códigos fonte e as soluções digitais, na identificação ferramentas, firewalls, controles de
configurações das soluções digitais. das fragilidades e dos requisitos acessos, backups, contingências,
de controles (criptografias, disponibilidade dos sistemas e outros
autenticações, travas, bloqueios processos de TI, em linha com a área
contra intrusões etc.) necessários para de Segurança.
mitigar os riscos e realização de testes
de efetividade dos controles, antes de
serem colocadas em produção.
Antes, no modelo empregado na maioria da organizações, a área de segurança era chamada para avaliar a solução/
funcionalidade apenas no final do ciclo de desenvolvimento. A metodologia DevSecOps propõe uma mudança de
paradigma ao compartilhar a responsabilidade da segurança dos aplicativos e da infraestrutura de TI entre as áreas de
Desenvolvimento, Segurança e Operações de TI, em vez da responsabilidade exclusiva de um silo de segurança.
Mas, para que a metodologia DevSecOps tenha êxito, é necessário que haja um nível de maturidade das três áreas mencionadas e a quebra de silos,
assim como a compreensão, pelas áreas de negócios, sobre a importância da segurança como uma vantagem competitiva e satisfação do cliente.
No caso das instituições financeiras, a regulação exige uma série de ações mitigatórias frente aos riscos cibernéticos, tais como:
• Implantação de uma política de segurança cibernética, com diretrizes sobre os objetivos de segurança cibernética (conteúdo mínimo),
procedimentos mínimos: autenticação, criptografia, prevenção e detecção de intrusão, prevenção de vazamento de informações, registro e análise
da causa e do impacto dos incidentes e da disseminação de cultura de segurança cibernética;
Portanto, é necessária assertividade na identificação e mensuração dos riscos para a definição do nível de tolerância aceitável, se
devem ser modificados por algum tratamento, o qual por sua vez implicará no investimento adequado para um sistema de controles
internos equilibrado e robusto, frente aos riscos que a Instituição está exposta.
Para o estabelecimento dos controles internos, as organizações se
deparam com alguns desafios e aspectos que devem ser considerados:
Se esse procedimento envolver as áreas de risco operacional, de controles internos e de compliance, contaremos com uma maior maturidade
organizacional em relação aos processos e às responsabilidades individuais quanto aos riscos e aos controles.
Com isso, a autoavaliação tornou-se uma das mais utilizadas ferramentas para o estabelecimento de controles.
Exemplo de questionário de autoavaliação
Isso contribui para a análise dos efeitos adversos decorrentes da interação entre os riscos e permite avaliar tendências e conhecer o
comportamento dos riscos ao longo do tempo, para fins de modelagem, e colabora para a elaboração de cenários com a finalidade dos testes
de estresse.
Neste sentido, a base de dados deveria contemplar também os eventos de riscos de não conformidade.
Não é sem razão que vemos várias plataformas sendo fornecidas por provedores de soluções, na linha do chamado GRC - governança corporativa,
gerenciamento de riscos e compliance. Essas ferramentas promovem a consolidação de dados e informações em um mesmo ambiente,
principalmente de eventos de riscos não financeiros, gerando valor para a administração da instituição em diferentes frentes, como gerenciamento
do risco operacional, controles internos, compliance, auditoria interna etc.
e órgãos de fiscalização e
sobre a adequação e a eficácia da governança corporativa,
do gerenciamento dos riscos e do sistema de controles
de autorregulação internos, bem como assessorar e propor melhorias ao
modelo de gestão. O reporte do resultado dos seus
trabalhos é dirigido à Alta Administração.
Cada ferramenta tem um propósito individual específico, mas os seus resultados devem estar alinhados (em termos de probabilidade e impactos)
entre si, e quando comparados devem proporcionar uma visão holística para a Alta Administração sobre as exposições de riscos e a robustez do
sistema de controles internos.
Apresentamos, a seguir, alguns exemplos de avaliação cruzada:
Já dissemos que o gerenciamento dos riscos operacionais contribui para os controles internos. Nesse sentido, as perdas e
eventos capturados, e que formam a base de dados da instituição, devem ser comparados com os resultados das outras
ferramentas (mapeamento e matriz de riscos, medição dos indicadores KRIs e KCIs, cenários, autoavaliação e certificação de
controles) de formar a assegurar alinhamento e coerência, tanto em frequência quanto severidade das ocorrências.
Como um exemplo de consideração nessa comparação, podemos dizer que não deveriam existir, na base, eventos de perdas
financeiras e não financeiras significativas vinculadas a processos com controles avaliados como fortes ou satisfatórios.
Os riscos residuais classificados com exposição alta ou média, em função da avaliação dos controles serem fracos e/ou que
necessitam de melhorias, devem ser comparados com as medições dos KRIs e KCIs correspondentes (quando existentes).
Por sua vez, os resultados das medições dos indicadores devem estar refletidos nas ocorrências capturadas na base, tanto em
frequência quanto em severidade, de forma a assegurar que as fontes de dados (eventos e perdas) utilizados nos indicadores
sejam íntegras.
Apontamentos das auditorias (interna e independente) e de órgãos de fiscalização
Os apontamentos das auditorias e outras recomendações externas e internas devem ser utilizadas na revisão dos resultados
apurados durante o mapeamento de processos e da aplicação do CSA, de forma a assegurar que as recomendações não
estejam vinculadas a um ambiente de controle avaliado como forte/satisfatório. Situações de exceção deveriam ser objeto de
forte justificativa.
Os resultados dos processos de autoavaliação e certificação de controles (incluindo SOX) devem ser comparados com
os resultados do mapeamento de processos/matriz de riscos e perdas capturadas na base de perdas, para assegurar o
alinhamento em relação às avaliações dos controles e às exposições ao risco residual.
Cenários
Os impactos (financeiros e não financeiros) dos riscos identificados no exercício de elaboração de cenários devem ser
comparados com os resultados do mapeamento de processos/matriz de riscos, autoavaliação e certificação de controles.
Na avaliação dos piores cenários plausíveis, espera-se que impactos decorrentes dos controles ineficazes sejam maiores, em
relação aos demais impactos apurados por outras ferramentas, pois caso contrário, o exercício de elaboração de cenários
foi conservador.
Já os controles avaliados como fortes na análise de cenários não deveriam apresentar resultados divergentes em relação às
outras ferramentas.
As discrepâncias de resultados encontradas no
procedimento de cross checking devem ser objeto
de avaliação pela segunda linha, quanto à validade
das metodologias aplicadas nas ferramentas, bem
como devem desafiar os gestores responsáveis
pelos processos, no sentido de apresentarem as
devidas justificativas e proporem ações corretivas
de controles para os desvios identificados.
Acompanhamento
Dissemos no item 2.1.6 (controles e o modelo de linhas), as áreas da segunda linha efetuam o
monitoramento das atividades de gerenciamento dos riscos, controles internos e conformidade (em
relação às políticas internas e regulações aplicáveis) realizadas pelas áreas da primeira linha.
Essa é uma atividade de suma importância para assegurar que as diretrizes definidas pela Alta
Administração sobre exposições aceitáveis de riscos, controles internos e compliance foram
compreendidas e implantadas por todas as áreas da instituição e a execução está a contento, em
todos os níveis hierárquicos.
Ferramentas e metodologias
Para cumprir as atividades de monitoramento, as
metodologias que suportam as ferramentas de
monitoramento usuais são o COSO ICIF e a ISO 31000,
tratados com mais detalhes no item 14 (metodologias
voltadas aos controles internos). A metodologia do
COSO ICIF 2013, no componente 5 e nos dois princípios
vinculados, prevê:
Imaterial Superior a %...e inferior a %... das operações processadas Superior a R$... e inferior a R$... Efetivo
Leve Superior a %... e inferior a %... das operações processadas Superior a R$... e inferior a R$... Parcialmente Efetivo
Relevante Superior a %... e inferior a %... das operações processadas Superior a R$... e inferior a R$... Não Efetivo
Muito Relevante Superior a %... das operações processadas Superior a R$... Não Efetivo
Nota: esta escala de classificação das
incidências e cobertura de controles é
apenas um exemplo. Cada instituição
pode estabelecer as métricas (faixas de
classificação de incidências) que julgar mais
adequada ao seu porte e complexidade.
Walkthrough
Uma outra forma de se avaliar a efetividade dos
controles é caracterizada pela aplicação do teste
denominado walkthrough.
Representados pelas funções de monitoramento e de supervisão quanto à performance, aos níveis de exposição aos riscos e à
eficácia do sistema de controles internos por meio de procedimentos e ferramentas (indicadores, mapeamento de processos etc.).
Municiam os controles corporativos indiretos sobre os resultados do monitoramento para fins de avaliação final e tomada de decisões.
Comparativamente ao modelo de linhas, seriam atividades exercidas que podem ser exercidas de forma combinada ou separada pelas áreas
da primeira e da segunda linha e possuem uma característica detectiva.
Os controles transacionais buscam tratar do risco e dos controles no nível individual da transação e podem se dividir em duas categorias :
São representados pelas políticas, manuais de São aqueles que atuam diretamente na execução
procedimentos aplicados ao nível operacional dos processos e atividades relacionadas
das operações. Possuem características aos produtos e serviços para assegurar o
instrutiva e preventiva. cumprimento dos objetivos e das conformidades.
Possuem características preventivas
e/ou detectivas.
Em comparação ao modelo de linhas, os controles transacionais (diretos e indiretos) estão mais identificados com a competência das áreas da
primeira linha.
Testes de controles
implementados em sistemas.
Exemplos e aplicações
Conforme a regulação aplicável às instituições
financeiras, a avaliação dos controles internos no âmbito
de TI deve abranger desde a governança e políticas
aplicáveis em tecnologia, a infraestrutura tecnológica,
sistemas e aplicativos desenvolvidos ou contratados até
os recursos computacionais contratados para serviços
relevantes de processamento, armazenamento de dados
e computação em nuvem.
Controles de aplicativos
• Ambiente de desenvolvimento
Objetivo de Controle:
Objetivo de controle
Processamento íntegro e válido
Estabelecer que a entrada de dados seja executada de Objetivo de controle: manter a integridade e validade dos
maneira apropriada por pessoal autorizado e qualificado. dados durante o processamento. As transações errôneas
A correção e o reenvio de dados que foram erroneamente detectadas são marcadas para tratamento e não
inseridos devem ser executados sem comprometer o nível interrompe o processamento das transações válidas.
de autorização da transação original. Quando apropriado
para a reconstrução, os documentos originais devem ser c) Saídas
guardados por período adequado.
Prevenção e detecção de erros, omissões e irregularidade Revisão das saídas, reconciliação e manuseio de erros
a tempo para que sejam corrigidos. Objetivo de controle: assegurar a verificação, detecção e
correção da exatidão das saídas autorizadas e entregues
• Ambiente de produção para os destinatários corretos e protegidas durante a
transmissão.
Avaliar os objetivos de controles quanto ao desenho e o
seu funcionamento (por meio de amostras), considerando
a execução dos controles nas três fases
Autenticação e integridade das transações
do processamento:
Objetivo de controle: manter a autenticidade e
a) Entradas integridade durante a transmissão mediante verificação
Veracidade, Autorização, Totalidade e Autenticidade do endereçamento adequado, autenticidade da origem e
Objetivo de controle: assegurar que os dados sejam integridade do conteúdo antes de transmitir os dados das
exatos, completos, válidos e autorizados. Os dados transações entre os aplicativos e as funções de negócios/
aprovados são convertidos e automaticamente inseridos operacionais (internas ou externas à organização).
na aplicação de maneira precisa, completa e tempestiva.
Testes aplicáveis sobre modelos
analíticos e de inteligência artificial
• Controle de entradas de dados: objetivo assegurar a integridade funcional (desempenho) e não funcionais (segurança e proteção de dados),
conforme especificado pelo modelo. Os dados de entrada são cruciais para a performance do modelo;
• Controle de saídas de dados: objetivo assegurar que os resultados produzidos sejam compatíveis com os resultados especificados pelo modelo.
Os eventuais desvios são apontados e averiguados e se estão dentro da faixa de tolerância definida (aprendizado de máquina);
• Controles gerais de TI: a infraestrutura de TI onde estão alojadas as soluções de IA devem contar com os controles previstos nos ambiente de
desenvolvimento e homologação (gestão de mudanças) e de produção (segurança operacional e cibernética).
Testes de controles
• Controle de Entradas
Desenho: avaliar se o controle foi especificado para permitir apenas a entrada dos dados considerados para atender o propósito do modelo,
respeitando as faixas de tolerância permitidas.
Funcionamento: avaliar por meio de amostragem se as regras funcionais de entradas de dados são efetivas, conforme previsto pelo modelo.
• Controle de Saídas
Desenho: avaliar se o controle foi especificado para checar os resultados gerados e realizar crítica para os desvios encontrados e dentro da faixa
de tolerância prevista.
Funcionamento: avaliar por meio de amostragens se os resultados gerados estão dentro das especificações do modelo e se foi realizada crítica
para eventuais desvios encontrados e dentro da faixa de tolerância prevista.
Tratamento das deficiências e
oportunidades de melhoria apuradas
O tratamento de uma deficiência vinculada a um controle visa a sua
melhoria ou a sua modificação para reduzir a exposição ao risco, para o
qual foi construído.
Há planos de ação que podem ser decorrentes de avaliações das áreas de primeira linha que, de forma proativa, indicam melhorias dos controles
existentes ou ações de mitigações para riscos emergentes e/ou potenciais.
É uma incumbência das áreas de primeira linha a implantação dos planos de ações mitigantes, referentes aos processos dos quais são
responsáveis.
Cabe às áreas de segunda linha realizar os desafios, mediante avaliação sobre a coerência, a admissibilidade e a consistência dos planos de ação,
em relação às fragilidades identificadas e às melhorias propostas, bem como sobre os custos e benefícios esperados em termos
de redução de exposições aos riscos. Neste último, cabe aos gestores responsáveis pela primeira linha apresentarem as
justificativas do plano de ação, com as análises de viabilidade de implantação e benefícios esperados e buscar aprovação
de orçamentos.
Planos de contingência
Os planos de contingência são ações e respostas estruturadas
para minimizar os impactos decorrentes de situações de
fragilidade relevantes e inesperadas, reais ou potenciais, situações
essas que materializam eventos de riscos considerados de elevado
impacto, tais como a interrupção das atividades da Instituição.
O COSO ICFI 2013 destaca que as informações (tanto internas quanto externas) são necessárias para
que se cumpra as responsabilidades de controles internos, a fim de apoiar a tomada de decisões e a
realização dos objetivos estratégicos.
“Informação e comunicação
Princípio 7:
Um efetivo sistema de controle interno requer que existam
adequados e abrangentes dados financeiros, operacionais e de
conformidade, bem como informações externas de mercado
sobre eventos e condições relevantes para a tomada de decisão.
As informações devem ser confiáveis, tempestivas, acessíveis e
providas em formato consistente.
Princípio 8:
Comunicação interna
Para garantir uma comunicação oportuna, considerando o porte a complexidade da instituição, algumas soluções baseadas em TI têm sido
desenvolvidas para integrar os fluxos de informações em tempo real, de forma a permitir o conhecimento tempestivo dos eventos relevantes e o
reporte destes para fins de tomada de decisão pela Alta Administração.
Comunicação externa
Além dos relatórios internos para fins de gestão, a instituição deve emitir relatórios para atender as partes interessadas, destacando-se
acionistas, investidores, usuários e órgãos de regulação e de supervisão. Por sua vez, as partes interessadas almejam obter informações
econômico-financeiras e não financeiras atualizadas, de forma coordenada e coerente, em linguagem clara.
Um destaque sobre isso é que os organismos multilaterais que estabelecem princípios para a regulação cada vez mais vêm aprofundando o
entendimento de que as instituições financeiras devem expor, em geral de forma minimamente padronizada, informações essenciais para uma
adequada compreensão sobre diferentes temas, como situação econômico-financeira, governança, atividades, riscos, capital etc.
Isso acarreta a necessidade de um robusto sistema de informações e controles que permitam a conformidade com as demandas regulatórias.
Também deve ser destacado que cada regulador tem suas próprias demandas e, embora possamos ter relatórios obrigatórios semelhantes,
precisamos dedicar especial atenção, pois os objetivos podem ser diversos, gerando até mesmo a necessidade da produção de relatórios
distintos (para distintos reguladores), porém abordando uma mesma temática.
Vale destacar que os relatórios, conforme o segmento, são disponibilizados também para avaliação de investidores do mercado de capitais.
Assim sendo, a manutenção de um cronograma e uma agenda de produção e apresentação de relatórios constitui elemento fundamental para
a instituição dos dados, das informações, bem como dos relatórios que serão objeto de produção. Tal ação pode implicar na manutenção de
uma matriz de documentos/relatórios/relatos, periodicidade/prazo/data, responsáveis pela produção, destinatários e forma de comunicação
(interna, internet etc.).
As metodologias consagradas para fins do gerenciamento dos riscos, controles internos e conformidade são: o COSO ICFI, o COSO ERM e a
ISO 31000.
O modelo COSO. Princípios básicos. Aplicações práticas em situações
do cotidiano. A contribuição da SOX
Breve histórico da evolução do COSO
Os modelos COSO foram desenvolvidos para auxiliar as organizações de vários setores econômicos, sobre as melhores práticas de gerenciamento
dos riscos e dos controles internos. O COSO ganhou maior notoriedade quando foi adotado como referência na Lei norte-americana Sarbanes –
Oxley (SOX), a qual reforça a obrigatoriedade de um sistema de controles internos que assegure a integridade e confiabilidade das operações, seus
registros e as informações que compõem as demonstrações financeiras e a conformidade com os requerimentos regulatórios.
Devido à SOX, os procedimentos adotados pelas auditorias (interna e independente) em seus trabalhos de avaliação
dos controles internos, utilizam os conceitos do COSO.
COSO ICIF – Estrutura integrada - 2013
Segundo o COSO ICIF 2013, o controle interno é definido como um processo conduzido pela Alta Administração, fóruns da governança
corporativa e outros profissionais da entidade, e desenvolvido para proporcionar segurança razoável com respeito à realização dos objetivos
relacionados à eficácia e à eficiência das operações, divulgação e confiabilidade das demonstrações financeiras e conformidade com as leis e
regulamentos cabíveis.
Esta definição reflete alguns conceitos fundamentais. O controle interno é:
• Conduzido para atingir objetivos em uma ou mais categorias – operacional, divulgação e conformidade;
• Um processo que consiste em tarefas e atividades contínuas – um meio para um fim, não um fim em si mesmo;
• Realizado por pessoas – não se trata simplesmente de um manual de políticas e procedimentos, sistemas e formulários, mas diz respeito a
pessoas e às ações que elas tomam em cada nível da organização para realizar o controle interno;
• Capaz de proporcionar segurança razoável - mas não absoluta, para a estrutura de governança e Alta Administração de uma entidade;
• Adaptável à estrutura da entidade – flexível na aplicação para toda a entidade ou para uma subsidiária, divisão, unidade
operacional ou processo de negócio em particular.
O COSO ICIF 2013 considera que um sistema de controles COSO ERM 2017 – Gestão dos riscos integrada
internos é composto por 5 componentes (ambiente de
com a estratégia e a performance
controle, avaliação de risco, atividades de controles,
informação e comunicação, atividades de monitoramento)
Segundo o COSO ERM 2017, o gerenciamento dos riscos
integrados e sustentados por 17 princípios. Esses
componentes e princípios devem estar presentes e operar deve interagir com o planejamento estratégico, auxiliando
juntos de forma coerente e integrada, para que o sistema na identificação e avaliação dos riscos potenciais, bem
de controles seja considerado efetivo. Esses componentes e como considerar as respostas adequadas em termos de
princípios foram descritos com detalhes no item 3 (sistema tratamento (transferir, compartilhar, aceitar e diminuir/
de controles internos). mitigar), para fazer frente a esses riscos, mantendo-os
A operacionalização dos 5 componentes e os 17 princípios em níveis de exposição considerados aceitáveis (apetite),
propostos pelo COSO ICIF 2013 deve estar refletida nas almejando alcançar os objetivos estratégicos.
estruturas da governança corporativa, nas políticas e Uma consequência é que o sistema de controles deve ser
manuais de procedimentos, nos códigos de ética/conduta, calibrado de modo a assegurar que os riscos permaneçam
nos sistemas de alçadas, nas estruturas e diversos tipos dentro das expectativas de exposições aceitáveis,
controles internos e, principalmente, nas atitudes delineadas na estratégia, em todos os níveis hierárquicos e
dos gestores.
processos da instituição.
Os resultados das ferramentas de avaliação dos controles
O COSO ERM 2017 também enfatiza que a própria estratégia
internos e de monitoramento devem corroborar o nível
deve ser constantemente avaliada e revisada quanto à
de aderência das práticas de controles existentes e sua
conformidade, em relação aos componentes e princípios sua execução e desempenho, em função do ambiente
do COSO ICIF 2013. Da mesma forma, os resultados das competitivo, complexo e volátil. Portanto, torna-se relevante
avaliações das auditorias (interna e independente) e das o monitoramento, tanto da performance da estratégia
inspeções dos órgãos de fiscalização são oportunidades quanto do impacto dos riscos incorridos em relação ao
para avaliar o nível de maturidade do modelo aplicado apetite por riscos.
na instituição.
A esse monitoramento se acopla a necessidade de um
fluxo de comunicação para a estrutura de governança,
contando com a elaboração de relatórios que apresentem
informações confiáveis (internas e externas), dados íntegros e
estruturados, transparentes e tempestivos (com destaque para
o escalonamento no caso de alterações significativas ou de
impacto financeiro).
1. Governança e Cultura:
A governança dá o tom da organização, reforçando a importância e instituindo responsabilidades de supervisão sobre o gerenciamento de riscos
corporativos. A cultura diz respeito aos valores éticos, a comportamentos esperados e ao entendimento do risco em toda a entidade.
I. Exerce a supervisão do risco por intermédio do Conselho: O Conselho de Administração supervisiona a estratégia e cumpre responsabilidades de
governança para ajudar a administração a atingir a estratégia e os objetivos de negócios.
II. Estabelece estruturas operacionais: A organização estabelece estruturas operacionais para atingir a estratégia e os objetivos de negócios.
III. Define a cultura desejada: A organização define os comportamentos esperados que caracterizam a cultura desejada pela entidade.
IV. Demonstra compromisso com os valores fundamentais: A organização demonstra compromisso com os valores fundamentais da entidade.
V. Atrai, desenvolve e retém pessoas capazes: A organização tem compromisso de formar capital humano de acordo com a estratégia e os
objetivos de negócios.
2. Estratégia e definição de objetivos:
Gerenciamento de riscos corporativos, estratégia e definição de objetivos atuam juntos no processo de planejamento estratégico. O apetite a risco
é estabelecido e alinhado com a estratégia; os objetivos de negócios colocam a estratégia em prática e, ao mesmo tempo, servem como base para
identificar, avaliar e responder aos riscos.
VI. Analisa o contexto de negócios: A organização leva em conta os possíveis efeitos do contexto de negócios sobre o perfil de riscos.
VII. Define o apetite a risco: A organização define o apetite a risco no contexto da criação, da preservação e da realização de valor.
VIII. Avalia estratégias alternativas: A organização avalia estratégias alternativas e seu possível impacto no perfil de riscos.
IX. Formula objetivos de negócios: A organização considera o risco enquanto estabelece os objetivos de negócios nos diversos níveis,
que se alinham e suportam a estratégia.
3. Performance:
Os riscos que podem impactar a realização da estratégia e dos objetivos de negócios precisam ser identificados e avaliados. Os riscos são
priorizados com base no grau de severidade, no contexto do apetite a risco. A organização determina as respostas aos riscos e, por fim, alcança
uma visão consolidada do portfólio e do montante total dos riscos assumidos. Os resultados desse processo são comunicados aos principais
stakeholders envolvidos com a supervisão dos riscos.
X. Identifica o risco: A organização identifica os riscos que impactam a execução da estratégia e os objetivos de negócios.
XII. Prioriza os riscos: A organização prioriza os riscos como base para a seleção das respostas a eles.
XIII. Implementa respostas aos riscos: A organização identifica e seleciona respostas aos riscos.
XVI. Adota uma visão de portfólio: A organização adota e avalia uma visão consolidada do portfólio de riscos.
4. Análise e revisão:
Ao analisar sua performance, a organização tem a oportunidade de refletir sobre até que ponto os componentes do gerenciamento de riscos
corporativos estão funcionando bem ao longo no contexto de mudanças relevantes, e quais correções são necessárias.
XV. Avalia mudanças importantes: A organização identifica e avalia mudanças capazes de afetar de forma relevante a estratégia e os objetivos
de negócios.
XVI. Analisa riscos e performance: A organização analisa a performance da entidade e considera o risco como parte desse processo.
XVII. Busca o aprimoramento no gerenciamento de riscos corporativos: A organização busca o aprimoramento contínuo do gerenciamento de
riscos corporativos.
XVIII. Alavanca sistemas de informação: A organização maximiza a utilização dos sistemas de informação e tecnologias existentes na entidade para
impulsionar o gerenciamento de riscos corporativos.
XIX. Comunica informações sobre riscos: A organização utiliza canais de comunicação para suportar o gerenciamento de riscos corporativos.
XX. Divulga informações de riscos, cultura e performance: A organização elabora e divulga informações sobre riscos, cultura e performance
abrangendo todos os níveis e a entidade como um todo.
O modelo ISO 31000. Principais definições e aplicações práticas
dos conceitos
A ISO 31000 parte da premissa de que a gestão de risco estabelece e sustenta valor.
Afirma que a gestão de riscos faz parte de todas as atividades associadas a uma organização e inclui a interação com as partes interessadas, bem
como considera o contexto externo e interno, incluindo o comportamento humano e os fatores culturais.
O gerenciamento de riscos deve ser interativo e auxiliar as organizações na definição da estratégia, no alcance de objetivos e na tomada de
decisões informadas.
A ISO 31000 propõe que o gerenciamento de riscos seja realizado com base em princípios, estrutura e processos, que
resumidamente transcrevemos a seguir:
• Princípios
O objetivo da gestão de risco é a criação e proteção de valor. Melhora o desempenho, incentiva a inovação e apoia a realização dos objetivos.
O gerenciamento de risco eficaz requer que seja:
Integrado: a gestão de riscos é parte integrante de todas as atividades organizacionais.
Personalizado: a estrutura e o processo de gerenciamento de riscos são customizados e proporcionais ao contexto externo e interno da
organização relacionado aos seus objetivos.
Inclusivo: o envolvimento adequado e oportuno das partes interessadas permite que seus conhecimentos, visões e percepções sejam considerados.
Isso resulta em maior conscientização e gerenciamento de risco informado.
Dinâmico: os riscos podem surgir, mudar ou desaparecer à medida que o contexto externo e interno de uma organização muda. A gestão de risco
antecipa, detecta, reconhece e responde a essas mudanças e eventos de forma adequada e oportuna.
Melhor informação disponível: as entradas para a gestão de riscos são baseadas em informações históricas e atuais, bem como em expectativas
futuras. A gestão de risco leva em consideração explicitamente quaisquer e incertezas associadas a tais informações e expectativas. As
informações devem ser oportunas, claras e disponíveis para as partes interessadas relevantes.
Fatores humanos e culturais: o comportamento e a cultura humanos influenciam significativamente todos os aspectos da gestão de risco em cada
nível e estágio.
Melhoria contínua: a gestão de riscos é continuamente aprimorada por meio de aprendizado e experiência.
• Estrutura
O objetivo da estrutura de gerenciamento de riscos é ajudar a organização a integrar o gerenciamento de riscos em atividades e funções
significativas. A eficácia da gestão de riscos dependerá de sua integração na governança da organização, incluindo a tomada de decisões.
Isso requer o apoio das partes interessadas, principalmente da alta administração.
O desenvolvimento da estrutura abrange integrar, projetar, implementar, avaliar e melhorar o gerenciamento de riscos em toda a organização.
A organização deve avaliar suas práticas e processos de gerenciamento de riscos existentes, avaliar quaisquer lacunas e abordar essas
lacunas dentro da estrutura. Os componentes da estrutura e a maneira como eles trabalham juntos devem ser personalizados de acordo com
as necessidades da organização.
• Processo
O processo de gestão de risco envolve a aplicação sistemática de políticas, procedimentos e práticas às atividades de comunicação e
consultoria, estabelecendo o contexto e avaliando, tratando, monitorando, revisando, registrando e reportando o risco.
O processo de gestão de risco deve ser parte integrante da gestão e tomada de decisão e integrado na estrutura, operações e processos da
organização. Pode ser aplicado nos níveis estratégico, operacional, de programa ou de projeto.
Pode haver muitas aplicações do processo de gerenciamento de riscos dentro de uma organização, customizadas para atingir objetivos e se
adequar ao contexto externo e interno em que são aplicadas.
A natureza dinâmica e variável do comportamento e da cultura humana deve ser considerada em todo o processo de gestão de risco.
Embora o processo de gerenciamento de riscos seja frequentemente apresentado como sequencial, na prática ele é interativo.
Controles internos
Como vemos, a regulação trata tanto da dimensão preventiva como da capacidade e efetividade da resposta aos eventos que comprometem
a continuidade.
O planejamento das atividades de CGN requer conhecimento dos processos críticos e das áreas que compõem a correspondente cadeia de valor.
Para tanto, é a utilizada a metodologia business impact analysis (BIA), que consiste na identificação e no mapeamento dos processos e das áreas
consideradas essenciais para manter o funcionamento da instituição, em decorrência de um evento grave, bem como na mensuração do tempo de
recuperação dos processos, após o evento, o que será comparado com o tempo considerado aceitável pela instituição.
A metodologia BIA proporciona avaliação quanto à criticidade em termos do tempo de recuperação e dos impactos financeiros e não financeiros
associados aos eventos. O levantamento das informações é realizado junto aos gestores das áreas das primeira e segunda linha (incluindo TI), para
definição dos níveis de criticidade, mediante construção de cenários de contingência plausíveis.
As análises de criticidade em cenários de contingência consideram os seguintes aspectos que (individual ou em conjunto) podem ser
impactados e desencadear
outros impactados:
• Instalações;
• Pessoal;
• Tecnologia;
• Suprimentos/fornecedores.
Após a realização do mapeamento e da análise dos riscos e impactos, são identificadas as situações que mereçam atenção especial e, junto
com os gestores, são definidos o escopo da avaliação e os planos de continuidade de negócios - PCNs (ou planos de contingência/planos de
contingência operacional), os quais devem considerar, entre outros, os seguintes aspectos:
• A necessidade de um site alternativo;
• Dimensionamento do quadro de pessoal para manter um percentual (a ser definido) das operações, durante a contingência;
• Logística de deslocamentos de pessoal crítico, inclusive para o site alternativo;
• Infraestrutura de TI, linhas de comunicação e aplicativos críticos, inclusive os que necessitam ser replicados no site alternativo,
considerando o tempo estimado da contingência e quadro de pessoal usuário;
• Dados e informações necessários para a execução dos processos;
• Fornecedores considerados críticos para a execução dos processos.
Definição das métricas de criticidade das contingências
Conceitualmente, os eventos considerados nas perdas esperadas não deveriam fazer parte do escopo de avaliação de criticidade de
classificação da continuidade de negócios. Ou seja, os perdas esperadas correspondem a riscos residuais identificados e monitorados
pelas diversas ferramentas de gestão de riscos, controles internos e compliance.
Nada obstante, é possível que se identifique a recorrência de incidentes que levem ao comprometimento da continuidade, mesmo que
parcial, localizadas (região, produto etc.). Em situações dessa natureza podem contribuir e atuar as área de risco operacional, GCN,
controles internos, juntamente com os gestores envolvidos, de modo a identificar os fatores de risco (causas) e buscar solução efetiva.
Enfim, a instituição deve estabelecer a sua própria métrica de criticidade dos impactos financeiros e não financeiros dos eventos, de
forma a adequadamente definir a priorização das respostas (PCNs) e dos níveis de acionamentos conforme a gravidade da situação. É
natural aqui encontrarmos aqueles eventos de baixa probabilidade de ocorrência e de alto impacto.
Exemplos:
Gestão de contingências
A ativação dos PCNs e sua operacionalização devem ser objeto de procedimentos formalizados, abrangendo desde a ocorrência do incidente
até a recuperação dos processos críticos.
Exemplos:
Para as eventuais situações que se enquadrem na escala de criticidade (financeira e não financeira) de continuidade de negócios, são gerados
alertas e acionamentos dos PCNs pelas áreas responsáveis, assim como são direcionados também para a área da segunda linha que coordena a
comunicação da contingência para conhecimento da Alta Administração e fóruns da governança corporativa.
Cabe à área de controles internos considerar as informações e os indicadores relacionados aos eventos objeto de GCN para tempestivamente
buscar, junto com os gestores das áreas impactadas, a implantação das necessárias ações corretivas e de melhoria quanto aos controles inerentes
aos processos afetados.
Considerações finais
Finalizando a nossa jornada sobre controles internos, fazemos aqui
alguns destaques sobre o quanto vimos:
• Melhores práticas
A busca de melhores práticas deve constituir preocupação contínua
da instituição. E temos, em destaque, exemplos como o Modelo das
Três linhas e as metodologias COSO ICIF, COSO ERM e ISO 31000
como referências para harmonizar e equilibrar as responsabilidades
na condução das atividades de controles internos pelos níveis
hierárquicos da instituição.
Além disso, cabe lembrar a contribuição de práticas como
segregação de funções, estabelecimento de sistema de alçadas e
atribuições de responsabilidades nos diversos níveis da estrutura.
• A área de controles internos
Habitualmente, cabe a uma área específica o papel de supervisão das ações
de controles internos que são conduzidas pelas demais áreas, bem como
prestar assessoramento sobre as melhores práticas de controles. Essa área
deve contar com estrutura, política, processos, procedimentos e ferramentas
adequadas para assegurar o bom desempenho do sistema de controles
internos, bem como atuar de forma colaborativa com as áreas responsáveis
por gerenciamentos de riscos, compliance e capital, e não se confunde com as
atividades da auditoria interna.
Por ter uma atuação transversal, a função de controles internos deve espelhar
o porte, a complexidade e o perfil de riscos da instituição.
• Principais atribuições
São várias as atribuições possíveis para a função de controles internos. Nesse
contexto, e dentre as possibilidades, podemos lembrar as seguintes atividades:
Monitoramento
A atenção contínua sobre o sistema de controles internos permite identificar,
tempestivamente, pontos para ação e melhoria.
Aqui, sobressaem atividades como: avaliação contínua da eficácia da
cobertura dos controles internos e dos níveis de exposição aos riscos, análises
de tendências, antecipação de respostas aos riscos potenciais e emergentes.