Manual de Controle Interno e Compliance

Prévia do material em texto

Março de 2004. 
 
 
 
Í N D I C E 
APRESENTAÇÃO.............................................................................................................................4 
1 INTRODUÇÃO..........................................................................................................................5 
2 CONTROLE...............................................................................................................................6 
3 OS FOCOS DE CONTROLE ...................................................................................................7 
3.1 Ambiente de Controle .....................................................................................................................7 
3.2 Identificação e Avaliação de Riscos ...............................................................................................7 
3.3 Atividades de Controle ...................................................................................................................7 
3.4 Monitoramento................................................................................................................................8 
3.5 Informação e Comunicação............................................................................................................8 
4 RISCOS.......................................................................................................................................9 
5 PRINCÍPIOS BÁSICOS NA ADMINISTRAÇÃO DE RISCOS ........................................10 
6 FUNÇÕES DE CONTROLE NA ORGANIZAÇÃO ...........................................................12 
7 PRINCIPAIS AÇÕES-CHAVE DE CONTROLES INTERNOS E COMPLIANCE.......13 
7.1 AUTO-AVALIAÇÕES .................................................................................................................13 
7.1.1 Control Self Assessment - CSA................................................................................................................ 13 
7.2 DEFINIÇÃO DE SISTEMA DE PADRONIZAÇÃO................................................................15 
7.2.1 Revisão do Padrão .................................................................................................................................... 18 
7.2.2 Controle dos Padrões ................................................................................................................................ 19 
7.2.3 Avaliação Quantitativa e Qualitativa da Padronização ............................................................................. 19 
7.2.4 Avaliação Quantitativa.............................................................................................................................. 19 
7.2.5 Avaliação Qualitativa ............................................................................................................................... 19 
7.3 ELABORAÇÃO DE FLUXOGRAMAS DE PROCESSOS......................................................20 
7.4 GESTÃO DE RISCOS..................................................................................................................20 
7.5 GESTÃO CONTÁBIL..................................................................................................................21 
7.6 MATRIZES DE RISCOS E CONTROLES ...............................................................................21 
7.6.1 Informações Mínimas na Matriz de Controles.......................................................................................... 22 
7.6.2 Informações Mínimas na Matriz de Riscos............................................................................................... 24 
7.7 PROCEDIMENTOS DE COMPLIANCE..................................................................................24 
7.7.1 Informações Mínimas nos Procedimentos de Compliance ....................................................................... 25 
7.7.2 Atribuições................................................................................................................................................ 26 
7.8 PLANOS DE AÇÃO .....................................................................................................................27 
7.9 PLANO DE CONTINGÊNCIA ...................................................................................................27 
7.10 DISSEMINAR A CULTURA DA ÉTICA ..................................................................................28 
7.11 IMPLANTAÇÃO DE ÁREA DE CONTROLES INTERNOS E COMPLIANCE.................28 
7.11.1 Política ................................................................................................................................................. 28 
7.11.2 Comitê de Controles Internos e Compliance........................................................................................ 28 
7.11.3 Unidade de Controles Internos............................................................................................................. 29 
7.11.4 Agente de Controles Internos............................................................................................................... 30 
GLOSSÁRIO DE TERMOS TÉCNICOS .....................................................................................31 
 2
 
Anexo 1 – METODOLOGIAS DE CONTROLES .......................................................................33 
Anexo 2 - SÍMBOLOS GRÁFICOS PARA FLUXOGRAMAS ..................................................36 
Anexo 3 - CATEGORIAS DE RISCOS .........................................................................................37 
Anexo 4 – GESTÃO CONTÁBIL...................................................................................................41 
Anexo 5 – EXEMPLO DE TESTE DE CONFORMIDADE – RES. BACEN Nº 3.121/2003 ...42 
 
 
 
 
 
 
 
 3
 
APRESENTAÇÃO 
 
 
A ABRAPP, o Sindapp e o ICSS têm a satisfação de apresentar a suas associadas 
material que entendemos poder vir a contribuir significativamente para o processo de 
afirmação de competência e profissionalismo na gestão de suas entidades. 
 
A evolução natural desse processo passará, sem dúvida, pela instituição de 
relacionamento mais constante e próximo com os órgãos reguladores, sem que se 
configure meramente o caráter de fiscalização nesses contatos. Em vez disso, o que se 
espera é que todas as entidades envolvidas no Sistema de Previdência Complementar 
Fechada, independente de suas atribuições específicas compreendam que suas ações 
devem estar direcionadas para o objetivo comum que é, em síntese, proporcionar 
melhores condições de vida aos participantes, assistidos e dependentes vinculados às 
EFPC, atendendo expectativas de suas patrocinadoras, trazendo também importante 
colaboração para o desenvolvimento do país. 
 
O Manual que apresentamos, desenvolvido pela Comissão Técnica Nacional de 
Compliance e Controles Internos, tem o objetivo de sintetizar preocupações e sugestões a 
respeito do tema, que certamente ganhará relevância nos próximos períodos, ponderada 
toda a expectativa de gestão mais transparente e eficaz das EFPC. 
 
 4
 
1 INTRODUÇÃO 
 
 
O objetivo deste manual é orientar os profissionais das Entidades Fechadas de 
Previdência Complementar no que concerne a Controles Internos e Compliance 
estabelecendo, didaticamente, conceitos e métodos de controle, que além de atenderem 
as exigências legais, devem ser adotados como uma oportunidade de melhora nos 
parâmetros de mercado, de padrões éticos de controles, transparência e informações. 
 
O sistema previdenciário brasileiro vem passando por profundas reformas, com a edição 
de nova legislação e regras, cujo principal objetivo é minimizar os riscos, buscando 
garantir condições de segurança, rentabilidade, solvência e liquidez aos Fundos de 
Pensão, para que estes possam atingir seu fundamental princípio, que é o de atender 
seus compromissoscom os participantes. 
 
Assim, destaca-se a necessidade de desenvolvimento de funções internas que permitam 
às entidades o monitoramento dos riscos aos quais estão submetidas, a partir de prévia 
definição dos níveis considerados aceitáveis de exposição. Além dessas, mostram-se 
importantes também atividades voltadas para a determinação e divulgação de 
responsabilidades e objetivos – individual ou departamental –, bem como focadas no zelo 
pela conformidade com normas, leis e padrões / procedimentos internos ou externos, tudo 
isso com o propósito de se mitigar as diversas vulnerabilidades às quais os Fundos de 
Pensão estão sujeitos. 
 
Trata-se de um constante e dinâmico trabalho, no sentido de reforçar a confiabilidade e 
estabilidade de cada uma das Entidades Fechadas de Previdência Complementar. 
 
 
 5
 
 
2 CONTROLE 
 
 
O controle está associado à diminuição da incerteza em relação a eventos futuros. Tudo 
está sob controle se o grau de dúvida em relação aos procedimentos de todas as 
atividades, e suas conseqüências, estão dentro de um limite tolerável. Assim, quanto 
melhor o controle, menor o risco. 
 
O controle também pode aumentar a eficácia, atingindo o efeito desejado, como por 
exemplo, através da diminuição de custos ou de tempo, daquilo que já é feito com 
eficiência (atividades realizadas com processos bem estruturados). 
 
Os controles internos podem ser considerados eficientes e eficazes se a Alta 
Administração e Diretoria tiverem uma segurança razoável de que: 
 
- 
- 
- 
Os objetivos das operações da Entidade estão sendo alcançados (objetivos das 
operações); 
As demonstrações financeiras publicadas são preparadas de maneira confiável 
(objetivos de relatórios financeiros); 
As leis e regulamentos aplicáveis estão sendo cumpridos (objetivo de conformidade). 
 
Se todos mantiverem um alto grau de conhecimento sobre as atividades sob sua 
responsabilidade e estiverem atentos ao cumprimento das normas, buscando a agilização 
dos processos, atribuindo-lhes a qualidade e a segurança indispensáveis, com certeza 
estarão fazendo um bom controle e os objetivos serão atingidos de acordo com os 
resultados desejados. É importante, também, verificar a conformidade da estrutura de 
controle adotada pela entidade com a sua respectiva missão. 
 
Quando se controla é importante verificar sempre o custo/ benefício do controle para 
evitar que o custo deste seja maior do que o benefício conseguido. 
 
Um modelo de controle possui cinco focos diretamente integrados às funções, processos 
e atividades executados, conforme detalhado no item 3. 
 
 
 6
 
 
 
3 OS FOCOS DE CONTROLE 
 
 
Abaixo é apresentada metodologia de controle subdividida em cinco focos principais. 
 
Nota: 
¾ Ressalta-se que está em discussão novo modelo de controle voltado para a 
identificação e controle de riscos, subdividido em 8 focos principais, conforme 
detalhado no anexo 1 . 
 
 
3.1 Ambiente de Controle 
 
O ambiente de controle influencia a consciência de controle dos funcionários. O controle 
interno reflete o comprometimento de todos. 
 
O ambiente de controle deve ser uma situação permanente e contínua, existente em cada 
uma das áreas da empresa, visando constantemente à redução dos riscos e ao aumento 
da eficácia dos processos. Isto pode ser conseguido se cada um estiver atento aos 
elementos que compõem esse ambiente: integridade, ética e competência dos 
funcionários; definição de responsabilidades; padrões de gerenciamento; organização e 
alocação de recursos. 
 
 
3.2 Identificação e Avaliação de Riscos 
 
A aplicação de controles internos requer a identificação e avaliação contínua de riscos, 
quer sejam de natureza interna ou externa. 
 
Identificação de riscos é o ato de avaliar constantemente em suas tarefas a probabilidade 
de que eles ocorram, medindo também o impacto que eles exercem nos objetivos de seus 
negócios ou serviços. 
 
 
3.3 Atividades de Controle 
 
As atividades de controle são as políticas e procedimentos que ajudam a garantir que as 
ações necessárias para atingir os objetivos levam em consideração os riscos identificados 
e avaliados. 
 
Atividades de controle ocorrem por meio da organização, em todos os níveis e em todas 
as funções, da definição e execução dos processos operacionais e dos controles e 
responsabilidades pela sua execução. 
 7
 
 
 
3.4 Monitoramento 
 
Todos os funcionários são responsáveis pelos controles internos, por meio do adequado 
desempenho de suas atribuições e da imediata comunicação de falhas ou deficiências 
verificadas no funcionamento dos controles às chefias ou órgãos responsáveis pela 
solução do problema, que deverá ser prontamente providenciada. 
 
O monitoramento se dá por meio de acompanhamentos sistemáticos, nos quais se avalia 
se os objetivos estão sendo alcançados, se os limites estabelecidos estão sendo 
cumpridos e se eventuais falhas estão sendo prontamente identificadas e corrigidas. 
 
 
3.5 Informação e Comunicação 
 
Um sistema de controle eficiente necessita que os resultados das atividades de controle 
realizadas pelos funcionários, bem como as informações originadas da administração e 
do corpo gerencial, sejam transmitidas prontamente a todos os interessados. 
 
Uma comunicação efetiva deve ocorrer amplamente por meio da organização. Todos os 
funcionários, de todos os níveis, devem ter em mente seu respectivo papel no sistema de 
controle e quais são as informações importantes a serem comunicadas. 
 
 
 
 8
 
 
4 RISCOS 
 
 
Toda instituição corre riscos no desenvolvimento de suas atividades, isso porque ela não 
dispõe de todas as informações sobre possíveis eventos futuros que possam interferir na 
tomada de decisão. 
 
Basicamente as instituições estão expostas a cinco principais tipos de riscos: risco de 
mercado, risco de contraparte, risco de liquidez, risco operacional e risco legal, sendo que 
estes se correlacionam e muitas vezes se confundem. Especificamente no caso das 
entidades fechadas de previdência social, um dos riscos que se sobressai é o de liquidez. 
 
O risco de mercado pode ser subdividido em risco de taxa de juros, risco de taxa cambial 
e risco de liquidez. O risco de contraparte é formado pelo risco de inadimplência, risco de 
degradação de garantias e risco de concentração. Por sua vez, os sub-riscos para o risco 
operacional podem ser risco de fraude, risco de ações judiciais, risco de imagem, risco de 
danos aos ativos, risco na execução de processos (falha humana e tecnológica), 
conforme detalhado no anexo 3 – Categorias de Riscos. 
 
Para minimizar o efeito das perdas decorrentes dos riscos, faz-se necessário seu efetivo 
gerenciamento, pois, em algumas ocasiões, uma única falha operacional pode 
desencadear problemas muito mais sérios, aumentando os riscos relacionados. 
 
Alguns princípios devem ser seguidos para a gestão de riscos, sendo que as pessoas, os 
processos e a tecnologia das instituições são pressupostos básicos para um ambiente 
adequado. 
 
 
 
 9
 
 
 
5 PRINCÍPIOS BÁSICOS NA ADMINISTRAÇÃO DE RISCOS 
 
 
 
I. Comprometimento da alta administração na implementação e implantação de uma 
estrutura de controles internos. 
 
II. O risco é a incerteza quanto a resultados futuros. 
• Não tema, mas respeite os riscos: assegure-se do equilíbrio entre ganhos e 
perdas. 
 
III. Estrutura clara, distribuição e delegação de responsabilidade, segregação de 
função e disciplina são pré-condições básicas: quem faz não confere! 
 
IV. Medidas rigorosas no caso de não-conformidade / infrações. 
• Conheça as regras do jogo: deve-se ter coragem para tomar medidas 
desagradáveis (“cultura de conseqüências”). 
 
V. Informações corretas e precisas, integridade e relevância de dados, sistemas e 
informações consolidados emuma base única. 
• Não faça nenhum diagnóstico sem informações; 
• Procure conhecer o que você não sabe. 
 
VI. O gerenciamento de risco é um processo de persistência, não um programa 
esporádico. 
• Prevenção à frente de correção (atuação pró-ativa ao invés de reativa); 
• “Melhores práticas” devem ser utilizadas como metas, não como “moda 
passageira”; 
• Importe-se com a essência, não só com a forma legal; 
• Estabeleça iniciativas de longo prazo ao invés das de curto prazo; 
• Enfatize a promoção de cultura de risco, em lugar de apenas controlar os 
números; 
• O gerenciamento de riscos deve privilegiar sempre a organização, sendo o 
atendimento aos órgãos supervisores / reguladores apenas conseqüência. 
 
VII. O gerenciamento de risco é parte ciência, parte inferência. 
• Fatos, percepções, expectativas – todos são importantes; 
• O gerenciamento de risco é freqüentemente a arte de desenhar conclusões 
suficientes de premissas insuficientes. 
 
VIII. Limitação de modelos. 
• Um modelo é sempre uma aproximação de uma realidade mais complexa; 
• Os modelos são tão bons quanto as suposições subjacentes: “se entra lixo” – 
“sai lixo”; 
• Nem todos os riscos são relevantes e / ou quantificáveis; 
 10
 
• Os modelos são sempre uma parte do gerenciamento do risco e devem incluir 
bom senso. 
 
 
IX. Organizações complexas, reestruturações e projetos podem adicionar riscos. 
• A complexidade é a inimiga da velocidade e receptividade: empenhe-se na 
simplicidade; 
• Quanto mais complexo um tipo de risco é, o mais especializado, concentrado e 
controlado seu gerenciamento deve ser. 
 
X. Organização de conhecimento e aprendizagem. 
• Aprenda com os erros; 
• Incentive a doação de conhecimentos como parte do processo de avaliação; 
• O conhecimento só não basta: é a implementação que leva a resultados; 
• Estruture um programa de treinamento para divulgar os controles estabelecidos. 
 
XI. O controle responsável, o compliance, a cultura de risco são tão importantes 
quanto a quantificação mais sofisticada. 
• A cultura de risco, em geral, é a responsabilidade final do gerenciamento 
superior, ou seja, da alta administração. 
 
XII. O elemento humano é o fator crítico de sucesso. 
• O gerenciamento de risco bem sucedido é, principalmente, o resultado da 
capacidade, aptidão e atitude das pessoas envolvidas: as pessoas formam a 
cultura, a reputação, a marca de uma organização! 
 
XIII. O controle deve ter ação tempestiva parametrizada com o risco. 
• O controle precisa ser tão dinâmico quanto o risco. 
 
 
 11
 
 
6 FUNÇÕES DE CONTROLE NA ORGANIZAÇÃO 
 
 
Podemos destacar como áreas voltadas para a implementação de ações visando 
aumentar a probabilidade de que os objetivos e metas estabelecidas para o negócio 
sejam atingidos: Gestão de Riscos e Compliance, Auditoria, Jurídico, Controladoria. 
 
Destacamos a função de Gestão de Riscos e Compliance, tendo em vista a sua pouca 
disseminação junto ao segmento de Fundos de Pensão. O seu papel na organização é 
assessorar o gerenciamento do negócio no que se refere à interpretação e impacto da 
legislação, monitorando as melhores práticas em sua execução, além de prover 
treinamento sobre regulamentação aos empregados. Seu foco de atuação é no sentido 
de direcionar esforços para os processos avaliados como de maior risco operacional, 
atuando como parceiro da área de negócios através do monitoramento constante sobre 
atividades e processos e acompanhamento de novos projetos e operações. Seu caráter 
preventivo difere da Auditoria interna, que analisa dados históricos em busca de registros 
e evidências visando à identificação e quantificação dos problemas. 
 
A área de Gestão de Riscos e Compliance deve ter total patrocínio da Alta Administração, 
tendo em vista o necessário acesso e suporte às suas atividades, bem como a 
independência na aferição da conformidade dos controles nas demais unidades da 
organização. 
 
 
 12
 
 
7 PRINCIPAIS AÇÕES-CHAVE DE CONTROLES INTERNOS E 
COMPLIANCE 
 
 
7.1 AUTO-AVALIAÇÕES 
 
É um recurso que pode ser utilizado para avaliar questões gerenciais ou estratégicas. 
Consiste na realização de workshops conduzidos por um facilitador, onde participam os 
gestores do processo, e demais áreas envolvidas, que permite avaliar a eficiência dos 
controles para gerenciamento de riscos, buscando melhorar o desempenho por meio de 
revisão de processos e da elaboração de planos de ação. 
 
A seguir é apresentada a metodologia denominada “Control Self Assessment – CSA”. 
 
 
7.1.1 Control Self Assessment - CSA 
 
7.1.1.1 Atividades pré-workshop 
Deve-se selecionar o processo que será objeto de auto-avaliação por Control Self 
Assessment. 
O Facilitador (integrante da equipe de controles internos) e o gestor do processo a ser 
auto-avaliado, em conjunto: 
a. definem e identificam as pessoas-chave que irão participar da auto-
avaliação; 
b. entrevistam Diretores, Gerentes e pessoas-chave no processo para obter 
um completo entendimento do processo e seus pontos críticos; 
c. identificam com as mesmas pessoas os objetivos do processo e os riscos 
associados; 
d. registram os processos, objetivos e riscos a serem auto-avaliados 
(estrutura de riscos); 
e. expedem carta de convocação com pauta e estrutura de riscos definida 
para as pessoas-chave que irão participar do workshop. 
 
7.1.1.2 Atividades do Workshop 
Realiza avaliação da Cultura de Controle dos participantes e definição das prioridades dos 
riscos. 
 13
 
O Facilitador deve estabelecer um tempo padrão para discussão de cada risco, 
garantindo a objetividade das análises. 
Em seu conjunto, os itens a serem trabalhados no workshop são os seguintes: 
− Detalhamento do risco (com base no anexo 3 - Categorias de Riscos) 
− Histórico de ocorrências do risco 
− Fatores de contribuição para a ocorrência do risco 
− Impacto/ probabilidade 
− Controles mitigadores 
− Eficiência/ eficácia dos controles 
− Indicadores de performance 
− Avaliação da gerência 
− Plano de ação 
− Prazo e responsável pela implementação 
Pode-se designar um observador para analisar a adequação metodológica da auto-
avaliação. 
 
7.1.1.3 Relatório e Atividades pós-workshop 
Os resultados da auto-avaliação, incluindo os planos de ação com responsáveis e datas 
de cumprimento, são encaminhados e discutidos com cada um dos participantes do CSA 
e responsáveis. 
O relatório é elaborado pelo facilitador e assinado pelo gestor do processo, responsável 
pela execução da auto-avaliação e dos planos de ação. 
 
7.1.1.4 Banco de Dados 
Os resultados do CSA são registrados em Banco de Dados, e no caso de alterarem algum 
processo já mapeado, deverão ser atualizadas também as matrizes de riscos e controles. 
 
7.1.1.5 Atuação da Auditoria Interna 
Periodicamente a Auditoria Interna deve avaliar a pertinência do método e a qualidade do 
processo de Control Self Assessment, bem como a qualidade dos planos de ação 
estabelecidos e a efetividade da sua implementação. 
 
 
 14
 
7.2 DEFINIÇÃO DE SISTEMA DE PADRONIZAÇÃO 
 
Estabelece os conceitos e critérios de padronização, visando a elaboração de políticas e 
procedimentos que limitem o risco operacional a um patamar definido pela instituição. 
 
Padronizar é um compromisso documentado, utilizado em comum e repetidas vezes pelas 
pessoas relacionadas a uma determinada função. 
 
Os padrões internos deverão ser classificados em: 
o Fundamental (Princípio Empresarial) 
o Estratégico (Políticas) 
o Tático (Regulamentos, Sistemas) 
o Operacional (Processos, Atividades) 
 
A Padronização requer uma organização interfuncional para operacionalizá-la. A seguir 
são descritos os principais responsáveis envolvidos e suas principais atribuições: 
 
 
Da Diretoria 
 
− Definire implementar a Política do Processo de Padronização; 
− Alcançar resultados através da Padronização. 
 
Do Responsável pelo Processo de Padronização – Compliance 
 
− Assegurar a eficiência e zelar pela integridade e segurança do processo; 
− Avaliar a padronização; 
− Compilar e divulgar dados e informações sobre a padronização das 
unidades organizacionais; 
− Coordenar os esforços de melhoramento do sistema de padronização; 
− Promover e coordenar ações de intercâmbio sobre padronização entre as 
unidades organizacionais similares, e entre estas e outras organizações; 
− Assessorar a diretoria quanto a assuntos relativos a padronização; 
− Assessorar os responsáveis na aprovação e melhoria de padrões. 
 
Do Responsável Técnico pelo Padrão 
 
− Analisar a necessidade do padrão em conjunto com o responsável pela 
utilização, quando aplicável; 
− Aprovar o conteúdo técnico do padrão; 
− Promover ações de melhoria no padrão. 
 
Nota: 
¾ Em muitos casos o responsável pelo padrão é também o responsável pela 
utilização. 
 15
 
 
 
Do Responsável pela Utilização do Padrão 
 
− Desenvolver e treinar o seu pessoal no padrão; 
− Avaliar a padronização e seus resultados diretos, na sua área de atuação, 
em conjunto com o responsável pelo padrão, quando aplicável; 
− Encaminhar e acompanhar as propostas de melhoria no padrão. 
 
 
Do Elaborador do Padrão 
 
− Pesquisar existência de padrão similar (melhores práticas); 
− Elaborar o padrão (novos padrões e revisões). 
 
Do Usuário do Padrão 
 
− Utilizar o padrão; 
− Sugerir melhorias no padrão; 
− Participar de revisões e/ou elaboração de padrões, quando aplicável. 
 
 
Objetivando uniformizar a criação, formatação e redação dos padrões, deve-se 
observar às seguintes orientações: 
 
− O registro dos processos e atividades pode ser formalizado por meio de 
fluxogramas, manuais (inclusive com a utilização de fotos e ilustrações), 
cartilhas com instruções específicas, dependendo da necessidade de maior 
ou menor simplificação. Cabe ao responsável pelo padrão, garantir a 
permanente compatibilidade entre o Padrão e o meio de divulgação. 
− A necessidade de padrões decorre da implementação de ações 
estratégicas, quando se definem novos produtos, novos processos, 
revisam-se processos ou quando no gerenciamento da rotina diária 
bloqueiam-se causas relativas a riscos ou outra anomalia qualquer, que 
não esteja permitindo o alcance de metas. 
− Deve-se considerar, ao elaborar padrões, que “poucos são vitais”, 
lembrando-se sempre que os padrões são meio e não fim. 
− Deve-se tomar todo cuidado para não haver proliferação de padrões. Uma 
regra importante é “devemos padronizar para termos poucos padrões”. 
Para tal faz-se necessária a pesquisa de padrões similares. 
− Caso não seja identificado um padrão similar adequado, deve-se preparar 
um esboço do padrão. No caso de processo/atividade já existente, a 
elaboração do esboço do padrão deverá ser realizada pelos executantes 
envolvidos no processo/atividade já que o documento elaborado 
apresentará as metas ou objetivos a serem alcançados, bem como o 
passo-a-passo necessário para atingi-los. Serão reunidas algumas 
 16
 
pessoas que, efetivamente, se destacam na execução do trabalho: as 
chefias imediatas e especialistas no assunto, para então descrever a 
melhor forma de exercê-la (melhores práticas). 
− Para novos processos/atividades, devem-se reunir os especialistas 
internos e/ou externos e as chefias a fim de descrever como os mesmos 
serão realizados. 
− A discussão e a redação final do padrão envolvendo os usuários e 
responsável pelo padrão é uma tarefa fundamental na elaboração do 
mesmo, tendo como objetivo eliminar dúvidas, acrescentar pontos de vista 
e principalmente obter o compromisso dos usuários. 
− A instituição deverá definir um formato comum a todos os padrões, com o 
objetivo de identificar, classificar e codificar os mesmos quanto ao tipo de 
padrão interno e documento externo, responsabilidade pela sua emissão 
(padrão interno) ou controle (documento) externo e função (trabalho 
especializado) a que se refere. 
 
− Para a redação do padrão apresentamos o quadro a seguir com os itens de 
uso obrigatório e opcional: 
 
Uso 
Item 
Capítulos 
Opcional 
Obrigatório 
Forma de Uso 
1 Introdução X Utilizada para dar informações específicas 
ou comentários sobre o conteúdo do 
Padrão e as razões que motivaram a sua 
elaboração. 
2 Objetivo X Utilizado para definir a finalidade do 
Padrão, indicando o assunto tratado e os 
resultados que se pretende atingir com a 
implantação do mesmo. 
3 Campo de 
Aplicação 
 X Utilizado para indicar os limites de 
aplicabilidade do Padrão. 
 17
 
 
Uso 
Item 
Capítulos 
Opcional 
Obrigatório 
Forma de Uso 
4 Referências X Utilizadas para listar os Padrões , os Atos 
Legais, Normas Técnicas, 
Regulamentações ou outro documento de 
referência. 
Nota: 
� O Padrão de nível inferior deverá 
sempre se referir ao de nível superior que 
o condiciona. 
5 Definições X Utilizadas para fornecer as definições 
consideradas indispensáveis à 
compreensão de certos termos utilizados 
no padrão. 
 
6 Símbolos e 
Abreviaturas 
X Utilizados para incluir uma lista de 
Símbolos e Abreviaturas, com os seus 
respectivos significados, julgados 
indispensáveis à boa compreensão do 
texto. 
7 Descrição do 
padrão 
 
X 
Utilizado para estabelecer os requisitos 
aplicáveis ao objetivo do Padrão e poderá 
utilizar a numeração de tantos capítulos 
quanto necessários. 
Um Padrão poderá ser documentado 
através de texto, gráfico (fluxograma), 
figura, tabela, quadro, fotografia, vídeo ou 
qualquer forma de representação que 
venha se constituir na melhor maneira de 
comunicação para o usuário do mesmo. 
8 Itens de 
Controle 
X Utilizados para medir numericamente os 
resultados de um trabalho, permitindo que 
os mesmos sejam gerenciados. 
9 Anexos X 
 
Devem ser apresentados como parte 
integrante do padrão. 
 
 
 
7.2.1 Revisão do Padrão 
 
Os padrões deverão ser atualizados sistematicamente, visando uma permanente melhoria 
nos resultados dos trabalhos. As revisões ocorrem por motivo de “Revalidação”, 
“Alteração” ou “Cancelamento”. Adicionalmente, deverá ser estabelecida uma tabela de 
 18
 
temporalidade para cada tipo de padrão definido. Não obstante esta revisão periódica, o 
padrão poderá ser alterado a qualquer momento, quando houver: 
− Possibilidade de mitigar riscos; 
− Oportunidade de melhoria dos resultados; 
− Solicitação, procedente, de qualquer empregado; 
− Mudança na Legislação ou Norma Técnica; 
− Obsolescência. 
 
As revisões deverão, a princípio, ser analisadas criticamente e aprovadas pelos mesmos 
diretores, gerentes, assessores que aprovaram sua emissão. 
 
7.2.2 Controle dos Padrões 
 
Para o controle da emissão, distribuição, recebimento e arquivamento dos padrões 
deverão ser definidos procedimentos e responsabilidades aos usuários e ao coordenador 
do Compliance, a fim de que os padrões sejam registrados corretamente e 
disponibilizados em sua forma atualizada a toda instituição. O ideal é a utilização da 
intranet para tal propósito, o que propicia o fortalecimento do ambiente de controle 
interno. 
 
 
7.2.3 Avaliação Quantitativa e Qualitativa da Padronização 
 
Para completar as atividades de Padronização, é necessário proceder a sua avaliação, ou 
seja, verificar se os padrões estão sendo criados, divulgados, utilizados, controlados e 
revisados periodicamente, conforme a necessidade de cada função e se os resultados 
esperados estão sendo alcançados. 
 
7.2.4 Avaliação Quantitativa 
 
Diz respeito a resultados quantificáveis, os quais devem ser medidos através de itensde 
controle. É desejável conhecimento da situação anterior à implantação do Padrão para, 
posteriormente, ser feita a comparação e se conhecer os ganhos obtidos com a 
implantação do mesmo. 
 
7.2.5 Avaliação Qualitativa 
 
Diz respeito a resultados não quantificáveis relativos a criação, utilização e controle de 
padrões. Formas apropriadas de avaliação devem ser aplicadas, tais como questionários 
aos gerentes e à própria coordenação do Compliance, visando através da atribuição de 
notas identificar causas e elaborar ou revisar o plano de ação para solução de problemas 
apontados nas respostas. Os quesitos avaliados podem referir-se, dentre outros, a: 
 
- Os padrões estão em harmonia com os Atos legais e Normas Técnicas? 
 19
 
- A criação/revisão dos padrões é feita obedecendo à seqüência estabelecida nas 
Normas Internas? 
- Os padrões são elaborados de forma participativa? 
- Os padrões são utilizados como base para o treinamento no trabalho? 
 
 
 
 
7.3 ELABORAÇÃO DE FLUXOGRAMAS DE PROCESSOS 
 
O mapeamento dos processos permite um melhor entendimento das atividades, bem 
como a definição de atribuições e responsabilidades, principalmente quando aspectos 
inter-funcionais estão envolvidos. 
 
As seguintes etapas deverão ser observadas em sua execução: 
 
− Formar Grupo de Trabalho, composto por aqueles envolvidos diretamente 
nas atividades que compõem o processo objeto da descrição; 
− Divulgar as metas de resultado estabelecidas pela diretoria; 
− Uniformizar conceitos entre os participantes (ex: produto, cliente, 
fornecedor); 
− Conhecer a legislação pertinente; 
− Definir início e fim do Processo; 
− Realizar mapeamento utilizando a simbologia, conforme anexo 2, bem 
como destacando todas as áreas envolvidas; 
− Localizar atividades que contribuem para o risco; 
− Identificar causas internas e externas dos riscos; 
− Estabelecer Plano para minimizar os riscos; 
− Obter aprovação da Diretoria; 
− Padronizar processos utilizando o Sistema de Padronização aprovado. 
 
 
 
7.4 GESTÃO DE RISCOS 
 
 
Possibilitar a análise dos riscos, suas grandezas e impactos sob as atividades, permitindo 
a gestão de ocorrências de perdas e desenvolvimento de planos de ação para correção, o 
que deve ser realizado com o auxílio do anexo 3 – Categorias de Riscos. 
 
Com relação ao risco operacional, as falhas operacionais devem ser registradas em base 
de dados única para identificação e análise das principais causas de perdas operacionais, 
permitindo uma atuação objetiva na eliminação dos problemas. 
 
 20
 
Para o efetivo gerenciamento das perdas, torna-se necessário o registro de informações 
mínimas, tais como: 
− Descrição do evento; 
− Identificação do tipo de risco; 
− Valor da perda; 
− Órgãos afetados e responsáveis; 
− Planos de ação. 
 
 
 
7.5 GESTÃO CONTÁBIL 
 
Garantir o correto registro das operações e a integridade das demonstrações contábeis, 
através da realização do monitoramento das conciliações. A gestão contábil deve tanto 
garantir a confiabilidade dos relatórios de desempenho passado, quanto possibilitar a 
utilização destes nas decisões internas e no controle do desempenho operacional. 
 
A Contabilidade deve ser considerada um “Banco de Informações”, e não apenas o 
registro final das movimentações financeiras da Fundação. Os dados devem ser 
consistentes, servindo de fonte de consulta para decisões futuras. Todas as informações 
devem estar registradas em detalhes, ou seja, os registros devem ser analíticos, com 
históricos bem elaborados, no entanto, sem a geração de informações desnecessárias. 
 
Deve-se evitar a redundância de informações, as quais devem fluir a partir de sua 
geração, sem que sejam digitadas mais de uma vez ao longo de seu processamento, 
evitando-se, assim, esforços desnecessários e o risco da criação de números divergentes. 
Portanto, deve haver uma única informação contábil financeira e gerencial (anexo 4), o 
que resultará em posições corretas e consistentes entre si. 
 
 
 
7.6 MATRIZES DE RISCOS E CONTROLES 
 
 
As matrizes de riscos e controles são elaboradas pelos gestores das áreas, e têm o objetivo 
de registrar os processos, etapas e atividades das unidades de negócio, servindo de 
instrumento para a avaliação da eficiência de seus métodos no gerenciamento de riscos que 
possam causar impactos na busca de seus objetivos. 
 
A responsabilidade pela manutenção das matrizes é do gestor. Periodicamente, os 
responsáveis pelos controles internos avaliam a pertinência dos dados registrados nesta 
base. 
 
O registro de dados ocorre por Área, Diretoria, Unidade, Seção etc. As Áreas atualizam suas 
matrizes sempre que há alteração de processos ou quando se realizam auto-avaliações. 
 
 21
 
Para cada processo estão relacionadas uma matriz de riscos e uma matriz de controles. 
 
 
 
7.6.1 Informações Mínimas na Matriz de Controles 
 
 
a. Descrição do Processo: 
Nome da operação, negócio ou trabalho que se realiza por meio de uma sucessão de 
etapas ou estágios. É sempre uma atividade completa, com pelo menos uma etapa 
inicial e uma final. Podem existir processos inter-áreas que têm início em uma área e 
término em outra. Nestes casos, as etapas a serem identificadas devem ser aquelas a 
cargo da Área que estiver preenchendo a planilha. 
 
b. Etapa: 
Estágios referentes aos procedimentos de um determinado processo, que no conjunto 
atingem um determinado objetivo. Por exemplo, num processo de vendas, podem 
existir as seguintes etapas: concorrência pública, aprovação, contratação, 
acompanhamento da venda e recebimento. 
 
c. Descrição dos Controles: 
Registro dos controles existentes em cada etapa para minimizar os riscos 
identificados. 
 
d. Objetivos de Controle: 
Motivo pelo qual o controle existe. Quais objetivos cada controle pretende alcançar. 
 
e. Natureza: 
− Detecção: através da aplicação do controle é possível detectar problemas ocorridos 
durante a operacionalização do processo. 
 
− Prevenção: através da aplicação do controle é possível prevenir a ocorrência de 
problemas futuros. 
 22
 
 
f. Sistemas Associados: 
Sistemas existentes para o respectivo controle, especificando se os mesmos estão 
desenvolvidos em planilhas eletrônicas, editores de textos ou por processamento 
eletrônico de dados, citando o nome do sistema de apoio. 
 
g. Normas Internas / Externas: 
Registrar as normas internas, legislação ou manuais de procedimentos relacionados 
aos respectivos controles. 
 
h. Tipo de Controle: 
 
− Operacional: é a atividade de controle exercida na execução do processo. 
− Gerencial: é a atividade de controle exercida para viabilizar ou monitorar a 
execução do processo, ou ainda, para administrar as operações em exceção ao 
processo normal. 
 
i. Periodicidade: 
A periodicidade em que o controle é exercido (a cada ocorrência, diário, semanal, 
mensal etc). 
 
j. Eficiência: 
Os controles são realizados e produzem resultados positivos / reais? 
 
k. Eficácia: 
Mede a relação custo/ benefício do controle, ou seja, os benefícios compensam os 
custos do controle e não existem formas mais econômicas de se conseguir o mesmo 
nível de segurança. 
 
l. Responsável: 
 23
 
Colocar o nome da função da pessoa responsável pela execução desta atividade de 
controle. 
 
 
7.6.2 Informações Mínimas na Matriz de Riscos 
 
 
a. Descrição dos Riscos: 
Identificar os possíveis riscos relacionados à respectiva etapa. Para tanto, utilizar as 
classificações de riscos existentes na organização. 
 
b. Tipo de Risco (com base no anexo 3 - Categorias de Riscos): 
 
c. Impacto: 
Nível em que a ocorrência do risco dentro de uma etapa ou atividade poderá afetar os 
objetivos da Área, podendo esta mensuraçãotomar como base valores em dinheiro 
enquadráveis aos graus (Catastrófica, Crítica, Moderada e Baixa). 
 
d. Probabilidade de Ocorrência: 
Expectativa da ocorrência ou não ocorrência do risco no processo ou etapa, levando-
se em consideração os controles existentes e a forma pela qual o processo é 
executado atualmente. Preencher com as opções : incomum, ocasional, comum ou 
freqüente. 
 
 
7.7 PROCEDIMENTOS DE COMPLIANCE 
 
 
Os Procedimentos de Compliance têm o objetivo de avaliar a aderência às normas internas e 
externas. Consistem em questionários elaborados a partir de leis, resoluções, circulares, 
manuais entre outros. 
 
 24
 
Esse instrumento auxilia os funcionários a organizar seus trabalhos e a alcançar resultados 
desejados de acordo com as metas pré-estabelecidas, realizando o monitoramento periódico 
da conformidade de processos e atividades com as normas internas e legislação. Vale 
ressaltar que o foco do Compliance é a gestão dos processos meio e fim da organização, 
avaliados como de maior risco operacional. 
 
Periodicamente, observando-se o cronograma de ocorrência dos eventos, o questionário 
deve ser respondido pelo gestor do processo, que estabelece qual o nível de conformidade 
de sua atividade com o estabelecido nas normas, podendo variar de 0 a 100%. O anexo 5 
fornece um exemplo de teste de conformidade. 
 
 
 
7.7.1 Informações Mínimas nos Procedimentos de Compliance 
 
 
a. Nome do Procedimento 
Indicar qual a norma que será verificada, por exemplo, “processos trabalhistas”. 
 
b. Focos de Controle 
Identificar o foco diretamente ligado à função, processo ou atividade. 
 
c. Questão a ser respondida 
Indicar a questão que deverá ser respondida. 
Exemplo: “Todas as ausências, atrasos e faltas previstos em lei são abonados”. 
 
d. Intensidade da conformidade 
Indicar qual a percentagem de conformidade / aderência à norma. Este percentual 
pode variar de 0 a 100%. 
 
e. Plano de Ação 
Caso a conformidade encontrada seja inferior a 100%, é possível desenvolver planos 
de ação para melhoria do processo. 
 
 25
 
 
7.7.2 Atribuições 
 
 
Caberá ao Coordenador do Compliance durante a realização dos testes: 
 
− Não criticar os resultados. Isto significa, na prática, que se determinada área não 
está bem, cabe somente aos Gerentes a responsabilidade de possíveis 
insucessos; 
 
− Ser mais ouvinte do que questionador. Atentar para a possibilidade de suas 
colocações inibir o diagnosticado. Jamais fazer julgamento. Apenas perguntas para 
melhorar sua compreensão; 
 
− Observar durante o exame interfaces internas e externas da gerência/área/setor 
sob análise; 
 
− Atentar para os diversos fatores de risco inerentes aos processos; 
 
− Examinar através de fatos concretos, evitando abstrações; 
 
− Obter prazos para as melhorias definidas durante a realização do exame; 
 
− Preparar-se adequadamente para o exame de conformidade, realizando 
levantamento de fatos e dados sobre a área diagnosticada e preparando, inclusive, 
questionamentos. 
 
 
Caberá ao Gerente durante o exame: 
 
− Submeter-se aos testes de conformidade com sinceridade, sem esconder o lado 
negativo, ou tentar passar a idéia que não existe problema. 
 
 26
 
− Esforçar-se na execução das sugestões do Coordenador do Compliance, 
considerando sempre o diagnóstico como uma grande ajuda. 
 
− Evitar explicações, dissertações e abstrações, sem utilização de ferramentas de 
análise. Sempre mostrar afirmações apoiadas em dados, relatórios, documentos 
de controle e padrões estabelecidos. 
 
− Mostrar documentos e gráficos utilizados no dia-a-dia. Não elaborar documentos 
especiais para a ocasião do exame. 
 
− Enfatizar o processo (modo de trabalhar, sistemas, padrões) pelos quais os 
resultados são obtidos, não se limitando a mostrá-los. 
 
 
7.8 PLANOS DE AÇÃO 
 
Ação definida por gestores, com indicação de responsáveis e prazo para implementação, 
visando melhorar processos, minimizar riscos ou solucionar problemas identificados nas 
auto-avaliações das Áreas. Podem ser criados a qualquer momento e decorrentes de 
qualquer uma das ações-chave relacionadas anteriormente. 
 
 
7.9 PLANO DE CONTINGÊNCIA 
 
Plano de ação estruturado, com indicação de responsáveis, para ser utilizado como 
alternativa no caso de ocorrência de uma determinada falha operacional, as quais devem 
ser mapeadas e suportadas por procedimentos voltados para assegurar a continuidade do 
negócio, ou seja, a garantia da não interrupção dos processos considerados 
imprescindíveis para o funcionamento da Fundação 
 
É muito importante que não se permita a concentração, em número reduzido de 
funcionários, de conhecimentos sobre os processos de trabalho, sobretudo aqueles 
alinhados à “continuidade do negócio”, devendo-se por em prática, para tal, ferramentas 
como manuais de procedimentos detalhados, rodízio de funcionários, treinamentos 
específicos e roteiro de ações para facilitar a execução dessas tarefas por outros usuários 
previamente selecionados (acessos, senhas etc). 
 
Outra medida importante é a definição de estratégias para “continuidade do negócio” em 
caso de panes no ambiente físico onde se trabalha. O ideal é que se tenha um ambiente 
em paralelo, para ser utilizado em caso de incêndios, greves etc. 
 27
 
 
Em relação aos dados da Fundação, deve-se manter arquivos de Back up, de preferência 
em meio magnético, e duplicados, em localidades fora do prédio onde se encontra 
instalada a Instituição. O que evitará a inviabilização da “continuidade do negócio” em 
caso de problemas físicos. 
 
 
 
7.10 DISSEMINAR A CULTURA DA ÉTICA 
 
Enfatizar em treinamentos e sempre que possível orientar os empregados quanto aos 
princípios éticos e de conduta da organização. 
 
 
 
7.11 IMPLANTAÇÃO DE ÁREA DE CONTROLES INTERNOS E COMPLIANCE 
 
 
7.11.1 Política 
 
− Deve ser clara, objetiva, adaptada ao negócio da Entidade, ao nível de risco 
etc. 
− Definição de responsabilidades 
− Referência contínua ao Código de Ética. 
− Segregação de função 
 
 
 
7.11.2 Comitê de Controles Internos e Compliance 
 
− A coordenação deve ficar em nível de Staff. 
− Quantidade de pessoas dependerá do nível do negócio 
 
 
Atribuições: 
 
− Zelar pelos princípios estabelecidos na Política; 
− Estabelecer novas diretrizes, quando necessário; 
− Avaliar continuamente os trabalhos de Controle Interno; 
− Dirimir controvérsias; 
− Rever os parâmetros de riscos e controles; 
− Estabelecer periodicidade para reuniões e registro em atas; 
 28
 
− Avaliar metodologias de Controle Interno e Compliance. 
 
 
 
7.11.3 Unidade de Controles Internos 
 
 
Pode ser tanto uma pessoa como uma área (dependendo do tamanho da Entidade/Risco). 
 
 
Atribuições: 
 
− Gerenciar Grupos de Trabalhos compostos por empregados de diversas 
Unidades Administrativas; 
− Colocar em prática as decisões do Comitê de Controles Internos, bem como 
representá-lo interna e externamente sempre que necessário; 
− Verificar, de modo sistemático, a adoção do cumprimento dos procedimentos 
definidos para as atividades (inclui normatizações externas) dos processos 
existentes na Instituição; 
− Coordenar e criar parâmetros para o processo de self assessment (avaliação 
dos riscos inerentes às atividades pelos próprios gestores); 
− Zelar pelo cumprimento dos objetivos da Entidade (diretrizes estabelecidas em 
planejamentos, limites estabelecidos, procedimentos, leis e regulamentação); 
− Participar da revisão periódica dos controles; 
− Centralizar as informações e responsabilizar-se pela confecção dos relatórios 
periódicos sobre Controles Internos e Compliance; 
− Analisar, diariamente, as normatizações emitidas pelos órgãos normativos,como SPC, CVM, Banco Central, CMN e outros organismos congêneres e 
acionar e conscientizar as unidades responsáveis pelo cumprimento, atuando 
como facilitador do entendimento das mesmas; 
− Participar de grupos de trabalhos de entidades de classe (Abrapp/ ICSS / 
Sindapp etc.) de modo a manter a Entidade atualizada com as melhores 
práticas do mercado; 
− Zelar pelo cumprimento e atualização do Código de Ética da Entidade; 
− Criar e atualizar, continuamente, canais de não-conformidades pelos 
empregados; 
− Acompanhar e monitorar as comunicações e sugestões enviadas pelos 
empregados da Entidade, através do Formulário de Sugestão de Melhorias de 
Controles; 
− Participar, juntamente com outras unidades, de trabalhos com vistas à 
manutenção de segregação de funções e “Chinese Wall”; 
− Colaborar para manter todos os empregados informados de suas 
responsabilidades, missão da empresa e diretrizes estratégicas; 
− Criar bancos de dados, indicadores e modelo para questão do risco 
operacional. 
 
 29
 
 
7.11.4 Agente de Controles Internos 
 
 
Tem a função de controller dentro da área, para tanto, precisa receber treinamento 
adequado, conhecimento das políticas e procedimentos éticos etc. 
É uma espécie de facilitador (interface). 
 
 
 
 30
 
GLOSSÁRIO DE TERMOS TÉCNICOS 
 
Atividade É um conjunto de tarefas, similares e/ou complementares. Uma 
atividade é caracterizada por consumir recursos, para produzir 
produtos ou serviços. 
Continuidade do 
Negócio 
Garantia da continuidade dos processos imprescindíveis para o 
funcionamento normal da Fundação. 
Controles 
Internos e 
Compliance 
Processo executado por pessoas na busca do alcance dos 
cinco objetivos do negócio: 
• Eficiência e eficácia; 
• Exatidão e integridade; 
• Confiabilidade; 
• Efetivo controle dos riscos; 
• Conformidade com leis e regulamentos. 
 
Eficiência e 
Eficácia 
Na eficiência, os controles são executados e possuem 
resultados reais e positivos. A eficácia mede a relação 
custo/benefício, ou seja, os benefícios compensam os custos 
do controle e não existem formas mais econômicas de se 
conseguir o mesmo resultado. 
Indicadores de 
Performance 
Medidores de desempenho definidos pelos gestores para 
avaliar a execução de uma atividade ou processo e seus 
resultados. 
 
Matriz de 
Controles 
Documento onde são registrados os processos, etapas e 
atividades das unidades de negócio, assim como os controles 
existentes e sua eficiência e eficácia, para minimizar os riscos 
identificados nas respectivas matrizes de riscos. São 
elaboradas pelos gestores das Áreas. 
 
Matriz de 
Riscos 
Documento onde são registrados os riscos identificados e a 
avaliação de seus impactos e probabilidade de ocorrência, para 
os processos, etapas e atividades das unidades de negócio. 
São elaboradas pelos gestores das Áreas. 
 
Padrão Compromisso documentado, utilizado em comum e repetidas 
vezes pelas pessoas relacionadas a uma determinada função. 
Processos Conjunto de atividades planejadas e inter-relacionadas, 
realizadas com o objetivo de gerar produtos ou serviços que 
atendam as necessidades de clientes, sejam internos ou 
externos, através da combinação de pessoas, métodos e 
ferramentas. 
 
 31
 
 32
 
Risco Risco é o produto da probabilidade pelo impacto da ocorrência 
de algo que poderia afetar a capacidade da empresa atingir 
seus objetivos de negócio. O risco pode variar de catastrófico 
(alto impacto) ao trivial (baixa probabilidade e baixo impacto) e 
pode ser negativo ou positivo em seus efeitos. 
 
Risco de 
Contraparte 
Risco de um devedor ou tomador deixar de cumprir os termos 
de qualquer contrato com a instituição ou de outra forma deixar 
de cumprir o que foi acordado. 
Risco Legal Risco de perda resultante da inobservância de dispositivos 
legais ou regulamentares, da mudança da legislação ou de 
alterações na jurisprudência aplicáveis às transações da 
instituição. 
Risco de Liquidez Risco de perda resultante da falta de recursos necessários ao 
cumprimento de uma ou mais obrigações em função do 
descasamento de atribuições e aplicações. 
Risco de Mercado Risco de que o valor de um instrumento financeiro ou de uma 
carteira de instrumentos financeiros se altere, em função da 
volatilidade das variáveis existentes no mercado, causada por 
fatores adversos, políticos ou outros. 
Risco 
Operacional 
Risco de perda resultante das falhas de processos internos, de 
pessoas ou de sistemas inadequados, ou ainda da ocorrência 
de eventos externos. 
 
 
 
 
 
 
 
ANEXO 1 – METODOLOGIAS DE CONTROLES 
 
FO
C
O
FO
C
O
G
ESTÃ
O
 D
E R
ISC
O
S
G
ESTÃ
O
 D
E R
ISC
O
S
FO
C
O
FO
C
O
G
ESTÃ
O
 D
E R
ISC
O
S
G
ESTÃ
O
 D
E R
ISC
O
S
MONITORAMENTOMONITORAMENTO
INFORMAÇÃOINFORMAÇÃO
EE
COMUNICAÇÃOCOMUNICAÇÃO
ATIVIDADEATIVIDADE
DE CONTROLEDE CONTROLE
AVALIAÇÃOAVALIAÇÃO
DE RISCODE RISCO
AMBIENTEAMBIENTE
DE CONTROLEDE CONTROLE
MONITORAMENTOMONITORAMENTO
INFORMAÇÃOINFORMAÇÃO
EE
COMUNICAÇÃOCOMUNICAÇÃO
ATIVIDADEATIVIDADE
DE CONTROLEDE CONTROLE
AVALIAÇÃOAVALIAÇÃO
DE RISCODE RISCO
AMBIENTEAMBIENTE
DE CONTROLEDE CONTROLE
Ambiente InternoAmbiente Interno
Estabelecimento de Estabelecimento de 
ObjetivosObjetivos
Ambiente InternoAmbiente Interno
Estabelecimento de Estabelecimento de 
ObjetivosObjetivos
Identificação de Identificação de 
EventosEventos
Avaliação de RiscosAvaliação de Riscos
Resposta aos Resposta aos 
RiscosRiscos
Identificação de Identificação de 
EventosEventos
Avaliação de RiscosAvaliação de Riscos
Resposta aos Resposta aos 
RiscosRiscos
Atividade de Atividade de 
ControleControle
Informação e Informação e 
ComunicaçãoComunicação
MonitorizaçãoMonitorização
F
O
C
O
F
O
C
O
E
S
T
R
U
T
U
R
A
 
D
E
 
C
O
N
T
R
O
L
E
S
E
S
T
R
U
T
U
R
A
 
D
E
 
C
O
N
T
R
O
L
E
S
• Enfatiza a 
importância de 
identificar e de 
controlar riscos 
através da Empresa. 
• A gestão de riscos é
um tópico todo, 
abrangendo o controle 
interno.
• Quando cada órgão 
realizar a gestão de 
seus riscos, a visão é
que estes riscos 
estarão agregados, 
proporcionando uma 
visão consolidada dos 
riscos da Empresa. 
• Numa perspectiva 
mais ampla, a 
estrutura de gestão de 
riscos espera ser uma 
ferramenta estratégica 
para tomada de 
decisão e utilizada 
pelos stakeholders
medirem como bom 
suas equipes da 
gerência estão 
assegurando os riscos 
que enfrentam. 
ATUAL
PROPOSTA EM DISCUSSÃO 
NO COSO*
* Committee of Sponsoring Organizations of theTreadway Commission
 
Componentes Propostos:
 34 
Ambiente InternoAmbiente Interno
Estabelecimento de Estabelecimento de 
ObjetivosObjetivos
Identificação de Identificação de 
EventosEventos
Avaliação de RiscosAvaliação de Riscos
Compreende elementos que são a base do negócio, processo e do gerenciamento dos riscos, incluindo 
a estrutura organizacional, os recursos humanos e físicos, a cultura e valores da companhia (valores 
éticos, integridade), as competências e habilidades.
A Alta Administração também faz parte do Ambiente Interno, pois além de influenciar os demais 
elementos, estabelece a filosofia de gerenciamento de riscos, estabelecendo o apetite ao risco e a 
cultura de riscos e controles.
Com a missão e visão definidas, os objetivos estratégicos são estabelecidos, com a definição de 
estratégias para o atingimento dos objetivos, também sendo definido os objetivos relacionados 
(Operacional; Reporte; e Controles Internos e Compliance).
Os Objetivos devem ser estabelecidos antesdo gerenciamento identificar eventos com potencial para 
afetar as metas, visando assegurar o alinhamento entre a missão e visão com o apetite e tolerância ao 
risco.
Todo negócio possui riscos inerentes. Os eventos, internos e/ou externos, com potencial para impactar
a companhia devem ser identificados. Dentro destes, devem ser identificados os que representam 
oportunidades e/ou riscos. A instituição deve homogeneizar a linguagem destes eventos através de um 
dicionário comum e considerar os eventos com uma visão de portfólio.
Eventos potenciais com impacto negativo representam riscos, os quais necessitam de avaliação, 
resposta e gerenciamento contínuo.
Há eventos com impacto positivo que compensam alguns riscos e, portanto devem ser considerados, 
também, no gerenciamento de riscos. 
Eventos potenciais com impacto positivo representam oportunidades e devem incorporar o 
gerenciamento da estratégia e a definição dos objetivos.
Os riscos identificados devem ser avaliados a fim de verificar os impactos associados com os objetivos 
e devem ser analisados para definição da maneira como devem ser gerenciados.
Esta avaliação é feita em duas perspectivas: severidade versus probabilidade. A combinação destes 
fornece o grau do risco.
 
 
 
 35 
 
Resposta aos Resposta aos 
RiscosRiscos
Atividade de Atividade de 
ControleControle
Informação e Informação e 
ComunicaçãoComunicação
MonitorizaçãoMonitorização
Os administradores devem alinhar os graus de riscos dos eventos identificados com o apetite e 
tolerância ao risco, dentro do contexto da estratégia e objetivos estabelecidos. Desta forma, as 
possíveis respostas são:
• Evitar o risco;
• Aceitar o risco;
• Mitigar o risco;
• Compartilhar o risco.
As decisões de resposta aos riscos devem manter seu grau dentro da tolerância da companhia com a 
elaboração e implementação de planos de ação efetivos e tempestivos aos riscos avaliados.
Após a definição das respostas, os riscos residuais devem ser reavaliados.
A atividade de controle é uma ferramenta para atingir os objetivos estabelecidos. Geralmente envolve 
duas atividades: políticas e procedimentos, os quais são estabelecidos e executados para garantir que 
as respostas aos riscos selecionados sejam efetivas.
As informações pertinentes ao negócio devem ser identificadas, avaliadas e comunicadas visando 
atender o processo de tomada de decisão. Todos os níveis da companhia devem ter acesso às 
informações para pleno exercício de suas atividades.
O desafio dos administradores é transformar uma grande quantidade de dados em informação útil e 
estruturada. Para isto, utilizam-se dos sistemas aplicativos e toda infra-estrutura tecnológica.
A informação é a base da comunicação, a qual deve garantir em todos os níveis da organização a 
transferência de informações integras, tempestivas e com qualidade.
O gerenciamento de riscos e o atingimento dos objetivos devem ser monitorados de duas maneiras: 
• Avaliações contínuas.
• Avaliações periódicas.
Avaliações contínuas atuam em bases atuais e reagem dinamicamente às mudanças.
As avaliações periódicas trabalham com informações históricas e avaliam as tendências e mudanças 
verificadas em um determinado período.
O reporte das deficiências identificadas aos tomadores de decisão a fim de solucionar eventuais 
problemas também é fator crítico de sucesso deste componente.
 
 
 
ANEXO 2 - SÍMBOLOS GRÁFICOS PARA FLUXOGRAMAS 
 
 
Símbolo Significado 
 
 
 
 
 
Início/Fim 
 
 
 
 
 
 
 
Ação, Trabalho, Operação 
 
 
 
 
 
 
 
Decisão/Verificação 
 
 
 
 
 
 
 
Conector de Fluxo 
 
 
 
 
 
 
 
Arquivo 
 
 
 
 
 
 
 
Relatório/Documento 
 
 
 
 
Linha de Fluxo 
 
 
 
 
 
 
Conector de Página 
 
 
 
ANEXO 3 - CATEGORIAS DE RISCOS 
 
Risco 
Risco é todo fator, interno ou externo, que pode adversamente afetar o sucesso das operações de uma organização, de 
seus objetivos de informação e de Compliance. 
 
Risco de Imagem 
O Risco de Imagem representa o risco de haver danos na reputação da instituição junto a clientes, concorrentes, órgãos 
reguladores, parceiros comerciais etc. 
Todos os Riscos de Mercado, Contraparte, Liquidez, Operacional e Legal trazem potencialmente Risco de Imagem. 
 
1 - Risco de Mercado - Definição 
É o risco de que o valor de um instrumento financeiro ou de uma carteira de instrumentos financeiros se altere, em 
função da volatilidade das variáveis existentes no mercado (taxa de juros, taxa de câmbio, ações, commodities etc.), 
causada por fatores adversos, políticos ou outros. 
Tipo Definição Exemplos 
1.1 - Risco de Taxa de Juros Risco de perda associado a variações adversas nas taxas 
de juros. 
Variação nos preços de NTNs, BBCs, Eurobonds, 
rentabilidade de Brady Bonds etc. 
1.2 - Risco de Taxa Cambial e 
Paridade 
Risco de perda associado a oscilações das taxas de câmbio 
e/ou das paridades entre moedas estrangeiras. 
Variação nos preços de NTN-Ds, NVC-Fs, de ativos 
internacionais negociados em moeda estrangeira etc. 
Descasamento em uma carteira indexada a alguma moeda 
estrangeira. 
Flutuação de câmbio. 
1.3 - Risco de Commodities Risco de perda decorrente da desvalorização de mercado de 
carteira de commodities. 
Variação nos preços de carteiras constituídas por café, ouro, 
boi, soja, cacau, minérios, petróleo, frutas, etc. 
1.4 - Risco de Ações Risco de perda decorrente da variação no mercado de 
carteira de ações. 
Variação nos preços de carteiras constituídas por ações 
como Petrobras PN, Vale PN, Eletrobrás PNB, ADRs da 
Usiminas PN etc. 
1.5 – Risco de Liquidez Risco de perda devido à incapacidade de se desfazer 
rapidamente de uma posição ou obter funding devido às 
condições adversas do mercado. 
Carteiras compostas por Eurobonds brasileiros, títulos ou 
ações de 2ª e 3ª linha; situação em que não é possível 
"rolar" dívidas nos mercados financeiros. 
1.6 – Risco de Derivativos Risco de perda devido ao uso de derivativos, seja para 
especulação, seja para hedge. 
Variações no valor das posições de contratos de swaps, a 
termo, futuros etc. 
 37
 
2 - Risco de Contraparte - Definição 
É o risco de perda resultante da incerteza quanto ao recebimento de um valor contratado devido pelo tomador de um 
empréstimo, contraparte de um contrato ou emissor de um título. 
 
Tipo Definição Exemplos 
2.1 - Risco de Inadimplência Risco de perda pela incapacidade ou não- disposição de 
pagamento do tomador de um empréstimo, contraparte de 
um contrato ou emissor de um título. 
Não-pagamento de contrato de leasing, empréstimos 
pessoais, cartão de crédito, financiamentos de bens etc. 
Não- pagamento de títulos de renda fixa pelo emissor - 
nacionais ou internacionais. 
2.2 - Risco de Degradação/ 
Inexistência de Garantias 
Risco de perda pela degradação da qualidade das garantias 
oferecidas por um tomador de um empréstimo, contraparte 
de uma transação ou emissor de um título. 
Empréstimos/financiamentos cujas garantias não existem ou 
que fiquem ilíquidas (imóveis). 
Depreciação no valor das garantias depositadas em bolsas 
de derivativos. 
2.3 - Risco de Compensação Risco de perda por inadimplência do financiado de uma 
transação, potencializada quando o contrato não contempla 
acordo de liquidação por compensação de direitos e 
obrigações (netting agreement). Risco de impossibilidade de 
compensação. 
Repurchase transactions - operações de recompra que não 
contemplem o netting dos direitos/obrigações. 
2.4 - Risco de Concentração Risco de perda decorrente da não diversificação de 
operações de crédito em determinados segmentos, clientes, 
áreas etc. 
Grandes volumes de crédito concentrados em alguns 
setores da economia, alguns clientes ou regiõesgeográficas. 
Possuir grande parte dos passivos de um devedor. 
2.5 – Risco Corporativo Risco de perda decorrente da desvalorização da empresa 
participada. 
Adoção de modelo atuarial inadequado; 
Ruptura operacional no segmento de mercado da empresa 
participada. 
2.6 – Risco de Participações Risco de perda decorrente da desvalorização do imóvel ou 
do investimento. 
Adoção de metodologia de precificação inadequada; 
Ruptura operacional da empresa participada. 
 
 
3 - Risco do Passivo - Definição 
É o risco de insuficiência de ativos para fazer face às obrigações junto aos participantes, ou seja, é o risco de que o 
crescimento do passivo seja superior ao ativo. 
Tipo Definição Exemplos 
3.1 – Risco do Passivo Atuarial Risco de perda pelo descasamento entre obrigações a 
médio e longo prazo e os ativos da organização, devido à 
adoção de premissas atuariais que não se confirmem ou 
que se revelem agressivas e pouco aderentes à massa de 
participantes, ou do desempenho de modelo de gestão ou 
metodologias adotadas. 
Utilização de modelo atuarial inadequado; 
Erros nas estimativas de inflação. 
 
 
 38
 
4 - Risco Operacional - Definição 
É o risco de perda resultante de processos internos, pessoas e sistemas inadequados ou falhos, ou de eventos externos. 
 
Tipo Definição Exemplos 
4.1 - Fraude Interna Risco de perda por atos realizados com a intenção de 
fraudar, de subtrair propriedade alheia ou de infringir regras, 
leis ou políticas internas, envolvendo pelo menos um 
funcionário da empresa. 
Extrapolação de alçadas. 
Conflito de interesses. 
Acesso não autorizado às informações e recursos 
tecnológicos. 
Divulgação indevida ou não autorizada de informações da 
empresa. 
Apropriação indébita. 
4.2 - Fraude Externa Risco de perda por atos realizados por pessoas que não 
pertencem à organização com a intenção de fraudar, de 
apropriar-se indevidamente de propriedade alheia ou de 
infringir leis. 
Estelionato. 
Roubo. 
Assalto. 
Falsidade ideológica. 
4.3 - Relações Trabalhistas, 
Ambiente de Trabalho e 
Discriminação 
Risco de perda por práticas incompatíveis com leis/acordos 
versando sobre as relações trabalhistas, a saúde e a 
segurança no ambiente de trabalho, de pagamentos de 
reclamações por danos pessoais, eventos envolvendo 
qualquer tipo de discriminação. incapacitação do 
empregado e falta de definição de responsabilidades e 
atribuições. 
Compensações pecuniárias, benefícios e desligamentos. 
Greve. 
Apontamento e controle inadequado de férias, horas extras, 
atrasos, faltas, registro de ponto. 
Eventos envolvendo a saúde dos empregados e as regras de 
segurança. 
Assédio sexual. 
Assédio moral. 
Protecionismo. 
4.4 - Produtos, Clientes e Práticas de 
Negócios 
Risco de perda por falhas não intencionais ou por 
negligência no cumprimento de uma obrigação profissional 
para clientes específicos (incluindo exigências fiduciárias e 
de conformidade), ou da natureza/desenho de um produto. 
Descumprimento pela Instituição de obrigações 
contratuais/legais. 
Quebra de privacidade. 
Abuso de confiança. 
Atitudes desonestas ou desleais. 
Violação de direitos de terceiros. Exemplo: quebra de direitos 
autorais; uso de software sem a licença do fabricante. 
Avaliação inadequada de clientes. 
Contestação sobre a performance de operações sugeridas. 
4.5 - Danos aos Ativos Físicos Risco de perda ou danos em ativos físicos em virtude de 
desastre natural ou outros eventos de grande relevância. 
Perdas resultantes de desastres naturais. 
Perdas humanas causadas por fontes externas (seqüestro, 
terrorismo, vandalismo, guerra etc.). 
Tipo Definição Exemplos 
4.6 - Interrupção de Atividades e 
Falhas de Tecnologia de Informação 
Risco de perdas associadas à interrupção de atividades ou 
falhas/ineficiência da infra-estrutura tecnológica. 
Indisponibilidade de dados por interrupção da comunicação, 
energia elétrica ou falta de plano de backup. 
Interrupção de serviços em função de contaminação por vírus 
 39
 
eletrônico. 
Obsolescência ou sobrecarga de equipamentos/softwares ou 
de comunicações. 
4.7 - Gerenciamento e Execução de 
Processos 
Risco de perda por problemas no processamento e 
gerenciamento de processos, ou nas relações com 
parceiros comerciais, vendedores e fornecedores. 
Perdas ou inconsistência de dados em transferências entre 
sistemas (interfaces). 
Erros na implementação de produtos/regras de negócio em 
sistemas. 
Inexistência de garantias formais (notas 
promissórias/contratos devidamente preenchidos, assinados 
e conferidos). 
Documentos legais incompletos ou ausentes. 
Quebra de responsabilidades. 
 
 5 - Risco Legal - Definição 
É o risco de perda resultante da inobservância de dispositivos legais ou regulamentares, da mudança da legislação ou 
de alterações na jurisprudência aplicáveis às transações da organização. 
Tipo Definição Exemplos 
5.1 – Risco de Legislação Risco de perda decorrente de sanções por reguladores e 
indezações por danos a terceiros, em razão de violação da 
legislação ou regulamentos vigentes. 
Multas por não cumprimento de exigibilidades; 
Indenizações pagas por não cumprimento da legislação. 
5.2 – Risco Tributário Risco de perda devido à criação, modificação ou à 
inadequada interpretação da incidência de tributos. 
Criação de impostos novos sobre ativos / produtos. 
Recolhimento de novas contribuições sobre receitas. 
 
 40
 
 
ANEXO 4 – GESTÃO CONTÁBIL 
 
 
 CONTABILIDADE 
FINANCEIRA 
CONTABILIDADE 
GERENCIAL 
Clientela Externa: Acionistas, credores, 
autoridades tributárias. 
 
Interna: Funcionários, 
administradores, executivos 
Propósito Reportar o desempenho passado 
às partes externas; contratos com 
proprietários e credores. 
 
Informar decisões internas 
tomadas pelos funcionários e 
gerentes; feedback e controle 
sobre desempenho operacional; 
contratos com proprietários e 
credores. 
 
Data Histórica, atrasada. Atual, orientada para o futuro. 
 
Restrições Regulamentada: dirigida por 
regras e princípios fundamentais 
da contabilidade e por autoridades 
governamentais. 
Desregulamentada: sistemas e 
informações determinadas pela 
administração para satisfazer 
necessidades estratégicas e 
operacionais. 
 
Tipo de Informação Somente para mensuração 
financeira. 
Mensuração física e operacional 
dos processos, tecnologia, 
fornecedores e competidores. 
 
Natureza da Informação Objetiva; auditável; confiável; 
consistente; precisa. 
Mais subjetiva e referenciada em 
critérios internos; válida; 
relevante; acurada. 
 
Escopo Muito agregada; reporta toda a 
empresa. 
Desagregada; informa as decisões 
e ações locais. 
 
 
 41
 
ANEXO 5 – EXEMPLO DE TESTE DE CONFORMIDADE – RES. BACEN Nº 
3.121/2003 
 
 
 
1. A política de Investimentos atende ao preconizado no art.7º § 1º itens I a VII? 
2. As análises (cenários, memórias de cálculo, dentre outros) que fundamentaram a elaboração da 
Política estão documentadas para futuros questionamentos (Conselho de Curadores, Conselho 
Fiscal)? 
3. Os prazos de envio a SPC do conteúdo da Política, bem como a aprovação do Conselho Fiscal dos 
custos com administração e acompanhamento foram cumpridos? 
4. As aplicações de renda fixa, renda variável, imóveis e empréstimos estão enquadradas dentro dos 
limites estabelecidos para os segmentos de aplicação? Existe uma área responsável por este 
monitoramento e qual sua periodicidade? 
5. Caso haja desenquadramento, existe plano de ação estabelecido? 
6. O contrato com o agente custodiante está devidamente formalizado? As condições estabelecidas para 
a liquidação das operações (prazos, fluxo de informações, alçadas de aprovação)estão sendo 
cumpridas por ambas as partes? A segregação de funções entre o agente custodiante e os gestores 
de fundos de investimento é observada? 
7. Existem ferramentas de análise de risco de crédito? Como estão documentadas (pareceres, 
relatórios)? 
8. Há metodologia definida para seleção e rodízio de gestores de recursos? Identificar a ocorrência de 
concentração operacional. 
9. Todos os títulos possuem o código ISIN? Caso contrário, a SPC foi devidamente notificada? 
 
 
 42