Manual de Controles Internos e Compliance

Transcrição

Manual de Controles Internos e Compliance
Março de 2004.
Í N D I C E
APRESENTAÇÃO............................................................................................................................. 4
1
INTRODUÇÃO.......................................................................................................................... 5
2
CONTROLE............................................................................................................................... 6
3
OS FOCOS DE CONTROLE ................................................................................................... 7
3.1
Ambiente de Controle .....................................................................................................................7
3.2
Identificação e Avaliação de Riscos ...............................................................................................7
3.3
Atividades de Controle ...................................................................................................................7
3.4
Monitoramento................................................................................................................................8
3.5
Informação e Comunicação............................................................................................................8
4
RISCOS....................................................................................................................................... 9
5
PRINCÍPIOS BÁSICOS NA ADMINISTRAÇÃO DE RISCOS ........................................ 10
6
FUNÇÕES DE CONTROLE NA ORGANIZAÇÃO ........................................................... 12
7
PRINCIPAIS AÇÕES-CHAVE DE CONTROLES INTERNOS E COMPLIANCE....... 13
7.1
AUTO-AVALIAÇÕES .................................................................................................................13
7.1.1
7.2
Control Self Assessment - CSA ................................................................................................................ 13
DEFINIÇÃO DE SISTEMA DE PADRONIZAÇÃO................................................................15
7.2.1
7.2.2
7.2.3
7.2.4
7.2.5
Revisão do Padrão .................................................................................................................................... 18
Controle dos Padrões ................................................................................................................................ 19
Avaliação Quantitativa e Qualitativa da Padronização ............................................................................. 19
Avaliação Quantitativa.............................................................................................................................. 19
Avaliação Qualitativa ............................................................................................................................... 19
7.3
ELABORAÇÃO DE FLUXOGRAMAS DE PROCESSOS......................................................20
7.4
GESTÃO DE RISCOS..................................................................................................................20
7.5
GESTÃO CONTÁBIL..................................................................................................................21
7.6
MATRIZES DE RISCOS E CONTROLES ...............................................................................21
7.6.1
7.6.2
7.7
Informações Mínimas na Matriz de Controles.......................................................................................... 22
Informações Mínimas na Matriz de Riscos............................................................................................... 24
PROCEDIMENTOS DE COMPLIANCE..................................................................................24
7.7.1
7.7.2
Informações Mínimas nos Procedimentos de Compliance ....................................................................... 25
Atribuições................................................................................................................................................ 26
7.8
PLANOS DE AÇÃO .....................................................................................................................27
7.9
PLANO DE CONTINGÊNCIA ...................................................................................................27
7.10
DISSEMINAR A CULTURA DA ÉTICA ..................................................................................28
7.11
IMPLANTAÇÃO DE ÁREA DE CONTROLES INTERNOS E COMPLIANCE.................28
7.11.1
7.11.2
7.11.3
7.11.4
Política ................................................................................................................................................. 28
Comitê de Controles Internos e Compliance........................................................................................ 28
Unidade de Controles Internos............................................................................................................. 29
Agente de Controles Internos............................................................................................................... 30
GLOSSÁRIO DE TERMOS TÉCNICOS ..................................................................................... 31
2
Anexo 1 – METODOLOGIAS DE CONTROLES ....................................................................... 33
Anexo 2 - SÍMBOLOS GRÁFICOS PARA FLUXOGRAMAS .................................................. 36
Anexo 3 - CATEGORIAS DE RISCOS ......................................................................................... 37
Anexo 4 – GESTÃO CONTÁBIL................................................................................................... 41
Anexo 5 – EXEMPLO DE TESTE DE CONFORMIDADE – RES. BACEN Nº 3.121/2003 ... 42
3
APRESENTAÇÃO
A ABRAPP, o Sindapp e o ICSS têm a satisfação de apresentar a suas associadas
material que entendemos poder vir a contribuir significativamente para o processo de
afirmação de competência e profissionalismo na gestão de suas entidades.
A evolução natural desse processo passará, sem dúvida, pela instituição de
relacionamento mais constante e próximo com os órgãos reguladores, sem que se
configure meramente o caráter de fiscalização nesses contatos. Em vez disso, o que se
espera é que todas as entidades envolvidas no Sistema de Previdência Complementar
Fechada, independente de suas atribuições específicas compreendam que suas ações
devem estar direcionadas para o objetivo comum que é, em síntese, proporcionar
melhores condições de vida aos participantes, assistidos e dependentes vinculados às
EFPC, atendendo expectativas de suas patrocinadoras, trazendo também importante
colaboração para o desenvolvimento do país.
O Manual que apresentamos, desenvolvido pela Comissão Técnica Nacional de
Compliance e Controles Internos, tem o objetivo de sintetizar preocupações e sugestões a
respeito do tema, que certamente ganhará relevância nos próximos períodos, ponderada
toda a expectativa de gestão mais transparente e eficaz das EFPC.
4
1
INTRODUÇÃO
O objetivo deste manual é orientar os profissionais das Entidades Fechadas de
Previdência Complementar no que concerne a Controles Internos e Compliance
estabelecendo, didaticamente, conceitos e métodos de controle, que além de atenderem
as exigências legais, devem ser adotados como uma oportunidade de melhora nos
parâmetros de mercado, de padrões éticos de controles, transparência e informações.
O sistema previdenciário brasileiro vem passando por profundas reformas, com a edição
de nova legislação e regras, cujo principal objetivo é minimizar os riscos, buscando
garantir condições de segurança, rentabilidade, solvência e liquidez aos Fundos de
Pensão, para que estes possam atingir seu fundamental princípio, que é o de atender
seus compromissos com os participantes.
Assim, destaca-se a necessidade de desenvolvimento de funções internas que permitam
às entidades o monitoramento dos riscos aos quais estão submetidas, a partir de prévia
definição dos níveis considerados aceitáveis de exposição. Além dessas, mostram-se
importantes também atividades voltadas para a determinação e divulgação de
responsabilidades e objetivos – individual ou departamental –, bem como focadas no zelo
pela conformidade com normas, leis e padrões / procedimentos internos ou externos, tudo
isso com o propósito de se mitigar as diversas vulnerabilidades às quais os Fundos de
Pensão estão sujeitos.
Trata-se de um constante e dinâmico trabalho, no sentido de reforçar a confiabilidade e
estabilidade de cada uma das Entidades Fechadas de Previdência Complementar.
5
2
CONTROLE
O controle está associado à diminuição da incerteza em relação a eventos futuros. Tudo
está sob controle se o grau de dúvida em relação aos procedimentos de todas as
atividades, e suas conseqüências, estão dentro de um limite tolerável. Assim, quanto
melhor o controle, menor o risco.
O controle também pode aumentar a eficácia, atingindo o efeito desejado, como por
exemplo, através da diminuição de custos ou de tempo, daquilo que já é feito com
eficiência (atividades realizadas com processos bem estruturados).
Os controles internos podem ser considerados eficientes e eficazes se a Alta
Administração e Diretoria tiverem uma segurança razoável de que:
-
Os objetivos das operações da Entidade estão sendo alcançados (objetivos das
operações);
As demonstrações financeiras publicadas são preparadas de maneira confiável
(objetivos de relatórios financeiros);
As leis e regulamentos aplicáveis estão sendo cumpridos (objetivo de conformidade).
Se todos mantiverem um alto grau de conhecimento sobre as atividades sob sua
responsabilidade e estiverem atentos ao cumprimento das normas, buscando a agilização
dos processos, atribuindo-lhes a qualidade e a segurança indispensáveis, com certeza
estarão fazendo um bom controle e os objetivos serão atingidos de acordo com os
resultados desejados. É importante, também, verificar a conformidade da estrutura de
controle adotada pela entidade com a sua respectiva missão.
Quando se controla é importante verificar sempre o custo/ benefício do controle para
evitar que o custo deste seja maior do que o benefício conseguido.
Um modelo de controle possui cinco focos diretamente integrados às funções, processos
e atividades executados, conforme detalhado no item 3.
6
3
OS FOCOS DE CONTROLE
Abaixo é apresentada metodologia de controle subdividida em cinco focos principais.
Nota:
¾ Ressalta-se que está em discussão novo modelo de controle voltado para a
identificação e controle de riscos, subdividido em 8 focos principais, conforme
detalhado no anexo 1 .
3.1
Ambiente de Controle
O ambiente de controle influencia a consciência de controle dos funcionários. O controle
interno reflete o comprometimento de todos.
O ambiente de controle deve ser uma situação permanente e contínua, existente em cada
uma das áreas da empresa, visando constantemente à redução dos riscos e ao aumento
da eficácia dos processos. Isto pode ser conseguido se cada um estiver atento aos
elementos que compõem esse ambiente: integridade, ética e competência dos
funcionários; definição de responsabilidades; padrões de gerenciamento; organização e
alocação de recursos.
3.2
Identificação e Avaliação de Riscos
A aplicação de controles internos requer a identificação e avaliação contínua de riscos,
quer sejam de natureza interna ou externa.
Identificação de riscos é o ato de avaliar constantemente em suas tarefas a probabilidade
de que eles ocorram, medindo também o impacto que eles exercem nos objetivos de seus
negócios ou serviços.
3.3
Atividades de Controle
As atividades de controle são as políticas e procedimentos que ajudam a garantir que as
ações necessárias para atingir os objetivos levam em consideração os riscos identificados
e avaliados.
Atividades de controle ocorrem por meio da organização, em todos os níveis e em todas
as funções, da definição e execução dos processos operacionais e dos controles e
responsabilidades pela sua execução.
7
3.4
Monitoramento
Todos os funcionários são responsáveis pelos controles internos, por meio do adequado
desempenho de suas atribuições e da imediata comunicação de falhas ou deficiências
verificadas no funcionamento dos controles às chefias ou órgãos responsáveis pela
solução do problema, que deverá ser prontamente providenciada.
O monitoramento se dá por meio de acompanhamentos sistemáticos, nos quais se avalia
se os objetivos estão sendo alcançados, se os limites estabelecidos estão sendo
cumpridos e se eventuais falhas estão sendo prontamente identificadas e corrigidas.
3.5
Informação e Comunicação
Um sistema de controle eficiente necessita que os resultados das atividades de controle
realizadas pelos funcionários, bem como as informações originadas da administração e
do corpo gerencial, sejam transmitidas prontamente a todos os interessados.
Uma comunicação efetiva deve ocorrer amplamente por meio da organização. Todos os
funcionários, de todos os níveis, devem ter em mente seu respectivo papel no sistema de
controle e quais são as informações importantes a serem comunicadas.
8
4
RISCOS
Toda instituição corre riscos no desenvolvimento de suas atividades, isso porque ela não
dispõe de todas as informações sobre possíveis eventos futuros que possam interferir na
tomada de decisão.
Basicamente as instituições estão expostas a cinco principais tipos de riscos: risco de
mercado, risco de contraparte, risco de liquidez, risco operacional e risco legal, sendo que
estes se correlacionam e muitas vezes se confundem. Especificamente no caso das
entidades fechadas de previdência social, um dos riscos que se sobressai é o de liquidez.
O risco de mercado pode ser subdividido em risco de taxa de juros, risco de taxa cambial
e risco de liquidez. O risco de contraparte é formado pelo risco de inadimplência, risco de
degradação de garantias e risco de concentração. Por sua vez, os sub-riscos para o risco
operacional podem ser risco de fraude, risco de ações judiciais, risco de imagem, risco de
danos aos ativos, risco na execução de processos (falha humana e tecnológica),
conforme detalhado no anexo 3 – Categorias de Riscos.
Para minimizar o efeito das perdas decorrentes dos riscos, faz-se necessário seu efetivo
gerenciamento, pois, em algumas ocasiões, uma única falha operacional pode
desencadear problemas muito mais sérios, aumentando os riscos relacionados.
Alguns princípios devem ser seguidos para a gestão de riscos, sendo que as pessoas, os
processos e a tecnologia das instituições são pressupostos básicos para um ambiente
adequado.
9
5
PRINCÍPIOS BÁSICOS NA ADMINISTRAÇÃO DE RISCOS
I.
Comprometimento da alta administração na implementação e implantação de uma
estrutura de controles internos.
II.
O risco é a incerteza quanto a resultados futuros.
• Não tema, mas respeite os riscos: assegure-se do equilíbrio entre ganhos e
perdas.
III.
Estrutura clara, distribuição e delegação de responsabilidade, segregação de
função e disciplina são pré-condições básicas: quem faz não confere!
IV.
Medidas rigorosas no caso de não-conformidade / infrações.
• Conheça as regras do jogo: deve-se ter coragem para tomar medidas
desagradáveis (“cultura de conseqüências”).
V.
Informações corretas e precisas, integridade e relevância de dados, sistemas e
informações consolidados em uma base única.
• Não faça nenhum diagnóstico sem informações;
• Procure conhecer o que você não sabe.
VI.
O gerenciamento de risco é um processo de persistência, não um programa
esporádico.
• Prevenção à frente de correção (atuação pró-ativa ao invés de reativa);
• “Melhores práticas” devem ser utilizadas como metas, não como “moda
passageira”;
• Importe-se com a essência, não só com a forma legal;
• Estabeleça iniciativas de longo prazo ao invés das de curto prazo;
• Enfatize a promoção de cultura de risco, em lugar de apenas controlar os
números;
• O gerenciamento de riscos deve privilegiar sempre a organização, sendo o
atendimento aos órgãos supervisores / reguladores apenas conseqüência.
VII.
O gerenciamento de risco é parte ciência, parte inferência.
• Fatos, percepções, expectativas – todos são importantes;
• O gerenciamento de risco é freqüentemente a arte de desenhar conclusões
suficientes de premissas insuficientes.
VIII.
Limitação de modelos.
• Um modelo é sempre uma aproximação de uma realidade mais complexa;
• Os modelos são tão bons quanto as suposições subjacentes: “se entra lixo” –
“sai lixo”;
• Nem todos os riscos são relevantes e / ou quantificáveis;
10
•
Os modelos são sempre uma parte do gerenciamento do risco e devem incluir
bom senso.
IX.
Organizações complexas, reestruturações e projetos podem adicionar riscos.
• A complexidade é a inimiga da velocidade e receptividade: empenhe-se na
simplicidade;
• Quanto mais complexo um tipo de risco é, o mais especializado, concentrado e
controlado seu gerenciamento deve ser.
X.
Organização de conhecimento e aprendizagem.
• Aprenda com os erros;
• Incentive a doação de conhecimentos como parte do processo de avaliação;
• O conhecimento só não basta: é a implementação que leva a resultados;
• Estruture um programa de treinamento para divulgar os controles estabelecidos.
XI.
O controle responsável, o compliance, a cultura de risco são tão importantes
quanto a quantificação mais sofisticada.
• A cultura de risco, em geral, é a responsabilidade final do gerenciamento
superior, ou seja, da alta administração.
XII.
O elemento humano é o fator crítico de sucesso.
• O gerenciamento de risco bem sucedido é, principalmente, o resultado da
capacidade, aptidão e atitude das pessoas envolvidas: as pessoas formam a
cultura, a reputação, a marca de uma organização!
XIII.
O controle deve ter ação tempestiva parametrizada com o risco.
• O controle precisa ser tão dinâmico quanto o risco.
11
6
FUNÇÕES DE CONTROLE NA ORGANIZAÇÃO
Podemos destacar como áreas voltadas para a implementação de ações visando
aumentar a probabilidade de que os objetivos e metas estabelecidas para o negócio
sejam atingidos: Gestão de Riscos e Compliance, Auditoria, Jurídico, Controladoria.
Destacamos a função de Gestão de Riscos e Compliance, tendo em vista a sua pouca
disseminação junto ao segmento de Fundos de Pensão. O seu papel na organização é
assessorar o gerenciamento do negócio no que se refere à interpretação e impacto da
legislação, monitorando as melhores práticas em sua execução, além de prover
treinamento sobre regulamentação aos empregados. Seu foco de atuação é no sentido
de direcionar esforços para os processos avaliados como de maior risco operacional,
atuando como parceiro da área de negócios através do monitoramento constante sobre
atividades e processos e acompanhamento de novos projetos e operações. Seu caráter
preventivo difere da Auditoria interna, que analisa dados históricos em busca de registros
e evidências visando à identificação e quantificação dos problemas.
A área de Gestão de Riscos e Compliance deve ter total patrocínio da Alta Administração,
tendo em vista o necessário acesso e suporte às suas atividades, bem como a
independência na aferição da conformidade dos controles nas demais unidades da
organização.
12
7
PRINCIPAIS AÇÕES-CHAVE DE CONTROLES INTERNOS E
COMPLIANCE
7.1
AUTO-AVALIAÇÕES
É um recurso que pode ser utilizado para avaliar questões gerenciais ou estratégicas.
Consiste na realização de workshops conduzidos por um facilitador, onde participam os
gestores do processo, e demais áreas envolvidas, que permite avaliar a eficiência dos
controles para gerenciamento de riscos, buscando melhorar o desempenho por meio de
revisão de processos e da elaboração de planos de ação.
A seguir é apresentada a metodologia denominada “Control Self Assessment – CSA”.
7.1.1
7.1.1.1
Control Self Assessment - CSA
Atividades pré-workshop
Deve-se selecionar o processo que será objeto de auto-avaliação por Control Self
Assessment.
O Facilitador (integrante da equipe de controles internos) e o gestor do processo a ser
auto-avaliado, em conjunto:
a. definem e identificam as pessoas-chave que irão participar da autoavaliação;
b. entrevistam Diretores, Gerentes e pessoas-chave no processo para obter
um completo entendimento do processo e seus pontos críticos;
c. identificam com as mesmas pessoas os objetivos do processo e os riscos
associados;
d. registram os processos, objetivos e riscos a serem auto-avaliados
(estrutura de riscos);
e. expedem carta de convocação com pauta e estrutura de riscos definida
para as pessoas-chave que irão participar do workshop.
7.1.1.2
Atividades do Workshop
Realiza avaliação da Cultura de Controle dos participantes e definição das prioridades dos
riscos.
13
O Facilitador deve estabelecer um tempo padrão para discussão de cada risco,
garantindo a objetividade das análises.
Em seu conjunto, os itens a serem trabalhados no workshop são os seguintes:
− Detalhamento do risco (com base no anexo 3 - Categorias de Riscos)
− Histórico de ocorrências do risco
− Fatores de contribuição para a ocorrência do risco
− Impacto/ probabilidade
− Controles mitigadores
− Eficiência/ eficácia dos controles
− Indicadores de performance
− Avaliação da gerência
− Plano de ação
− Prazo e responsável pela implementação
Pode-se designar um observador para analisar a adequação metodológica da autoavaliação.
7.1.1.3
Relatório e Atividades pós-workshop
Os resultados da auto-avaliação, incluindo os planos de ação com responsáveis e datas
de cumprimento, são encaminhados e discutidos com cada um dos participantes do CSA
e responsáveis.
O relatório é elaborado pelo facilitador e assinado pelo gestor do processo, responsável
pela execução da auto-avaliação e dos planos de ação.
7.1.1.4
Banco de Dados
Os resultados do CSA são registrados em Banco de Dados, e no caso de alterarem algum
processo já mapeado, deverão ser atualizadas também as matrizes de riscos e controles.
7.1.1.5
Atuação da Auditoria Interna
Periodicamente a Auditoria Interna deve avaliar a pertinência do método e a qualidade do
processo de Control Self Assessment, bem como a qualidade dos planos de ação
estabelecidos e a efetividade da sua implementação.
14
7.2
DEFINIÇÃO DE SISTEMA DE PADRONIZAÇÃO
Estabelece os conceitos e critérios de padronização, visando a elaboração de políticas e
procedimentos que limitem o risco operacional a um patamar definido pela instituição.
Padronizar é um compromisso documentado, utilizado em comum e repetidas vezes pelas
pessoas relacionadas a uma determinada função.
Os padrões internos deverão ser classificados em:
o
o
o
o
Fundamental (Princípio Empresarial)
Estratégico (Políticas)
Tático (Regulamentos, Sistemas)
Operacional (Processos, Atividades)
A Padronização requer uma organização interfuncional para operacionalizá-la. A seguir
são descritos os principais responsáveis envolvidos e suas principais atribuições:
Da Diretoria
− Definir e implementar a Política do Processo de Padronização;
− Alcançar resultados através da Padronização.
Do Responsável pelo Processo de Padronização – Compliance
− Assegurar a eficiência e zelar pela integridade e segurança do processo;
− Avaliar a padronização;
− Compilar e divulgar dados e informações sobre a padronização das
unidades organizacionais;
− Coordenar os esforços de melhoramento do sistema de padronização;
− Promover e coordenar ações de intercâmbio sobre padronização entre as
unidades organizacionais similares, e entre estas e outras organizações;
− Assessorar a diretoria quanto a assuntos relativos a padronização;
− Assessorar os responsáveis na aprovação e melhoria de padrões.
Do Responsável Técnico pelo Padrão
− Analisar a necessidade do padrão em conjunto com o responsável pela
utilização, quando aplicável;
− Aprovar o conteúdo técnico do padrão;
− Promover ações de melhoria no padrão.
Nota:
¾ Em muitos casos o responsável pelo padrão é também o responsável pela
utilização.
15
Do Responsável pela Utilização do Padrão
− Desenvolver e treinar o seu pessoal no padrão;
− Avaliar a padronização e seus resultados diretos, na sua área de atuação,
em conjunto com o responsável pelo padrão, quando aplicável;
− Encaminhar e acompanhar as propostas de melhoria no padrão.
Do Elaborador do Padrão
− Pesquisar existência de padrão similar (melhores práticas);
− Elaborar o padrão (novos padrões e revisões).
Do Usuário do Padrão
− Utilizar o padrão;
− Sugerir melhorias no padrão;
− Participar de revisões e/ou elaboração de padrões, quando aplicável.
Objetivando uniformizar a criação, formatação e redação dos padrões, deve-se
observar às seguintes orientações:
− O registro dos processos e atividades pode ser formalizado por meio de
fluxogramas, manuais (inclusive com a utilização de fotos e ilustrações),
cartilhas com instruções específicas, dependendo da necessidade de maior
ou menor simplificação. Cabe ao responsável pelo padrão, garantir a
permanente compatibilidade entre o Padrão e o meio de divulgação.
− A necessidade de padrões decorre da implementação de ações
estratégicas, quando se definem novos produtos, novos processos,
revisam-se processos ou quando no gerenciamento da rotina diária
bloqueiam-se causas relativas a riscos ou outra anomalia qualquer, que
não esteja permitindo o alcance de metas.
− Deve-se considerar, ao elaborar padrões, que “poucos são vitais”,
lembrando-se sempre que os padrões são meio e não fim.
− Deve-se tomar todo cuidado para não haver proliferação de padrões. Uma
regra importante é “devemos padronizar para termos poucos padrões”.
Para tal faz-se necessária a pesquisa de padrões similares.
− Caso não seja identificado um padrão similar adequado, deve-se preparar
um esboço do padrão. No caso de processo/atividade já existente, a
elaboração do esboço do padrão deverá ser realizada pelos executantes
envolvidos no processo/atividade já que o documento elaborado
apresentará as metas ou objetivos a serem alcançados, bem como o
passo-a-passo necessário para atingi-los. Serão reunidas algumas
16
pessoas que, efetivamente, se destacam na execução do trabalho: as
chefias imediatas e especialistas no assunto, para então descrever a
melhor forma de exercê-la (melhores práticas).
− Para novos processos/atividades, devem-se reunir os especialistas
internos e/ou externos e as chefias a fim de descrever como os mesmos
serão realizados.
− A discussão e a redação final do padrão envolvendo os usuários e
responsável pelo padrão é uma tarefa fundamental na elaboração do
mesmo, tendo como objetivo eliminar dúvidas, acrescentar pontos de vista
e principalmente obter o compromisso dos usuários.
− A instituição deverá definir um formato comum a todos os padrões, com o
objetivo de identificar, classificar e codificar os mesmos quanto ao tipo de
padrão interno e documento externo, responsabilidade pela sua emissão
(padrão interno) ou controle (documento) externo e função (trabalho
especializado) a que se refere.
− Para a redação do padrão apresentamos o quadro a seguir com os itens de
uso obrigatório e opcional:
Item
Capítulos
Uso
Opcional
1
Introdução
2
Objetivo
3
Campo de
Aplicação
Forma de Uso
Obrigatório
Utilizada para dar informações específicas
ou comentários sobre o conteúdo do
Padrão e as razões que motivaram a sua
elaboração.
X
X
X
Utilizado para definir a finalidade do
Padrão, indicando o assunto tratado e os
resultados que se pretende atingir com a
implantação do mesmo.
Utilizado para indicar os
aplicabilidade do Padrão.
limites
de
17
Item
Capítulos
Uso
Opcional
4
Referências
Forma de Uso
Obrigatório
X
Utilizadas para listar os Padrões , os Atos
Legais, Normas Técnicas,
Regulamentações ou outro documento de
referência.
Nota:
O Padrão de nível inferior deverá
sempre se referir ao de nível superior que
o condiciona.
5
Definições
X
Utilizadas para fornecer as definições
consideradas
indispensáveis
à
compreensão de certos termos utilizados
no padrão.
6
Símbolos e
Abreviaturas
X
Utilizados para incluir uma lista de
Símbolos e Abreviaturas, com os seus
respectivos
significados,
julgados
indispensáveis à boa compreensão do
texto.
7
Descrição do
padrão
X
Utilizado para estabelecer os requisitos
aplicáveis ao objetivo do Padrão e poderá
utilizar a numeração de tantos capítulos
quanto necessários.
Um Padrão poderá ser documentado
através de texto, gráfico (fluxograma),
figura, tabela, quadro, fotografia, vídeo ou
qualquer forma de representação que
venha se constituir na melhor maneira de
comunicação para o usuário do mesmo.
8
Itens de
Controle
X
Utilizados para medir numericamente os
resultados de um trabalho, permitindo que
os mesmos sejam gerenciados.
9
Anexos
X
Devem ser apresentados como parte
integrante do padrão.
7.2.1
Revisão do Padrão
Os padrões deverão ser atualizados sistematicamente, visando uma permanente melhoria
nos resultados dos trabalhos. As revisões ocorrem por motivo de “Revalidação”,
“Alteração” ou “Cancelamento”. Adicionalmente, deverá ser estabelecida uma tabela de
18
temporalidade para cada tipo de padrão definido. Não obstante esta revisão periódica, o
padrão poderá ser alterado a qualquer momento, quando houver:
− Possibilidade de mitigar riscos;
− Oportunidade de melhoria dos resultados;
− Solicitação, procedente, de qualquer empregado;
− Mudança na Legislação ou Norma Técnica;
− Obsolescência.
As revisões deverão, a princípio, ser analisadas criticamente e aprovadas pelos mesmos
diretores, gerentes, assessores que aprovaram sua emissão.
7.2.2
Controle dos Padrões
Para o controle da emissão, distribuição, recebimento e arquivamento dos padrões
deverão ser definidos procedimentos e responsabilidades aos usuários e ao coordenador
do Compliance, a fim de que os padrões sejam registrados corretamente e
disponibilizados em sua forma atualizada a toda instituição. O ideal é a utilização da
intranet para tal propósito, o que propicia o fortalecimento do ambiente de controle
interno.
7.2.3
Avaliação Quantitativa e Qualitativa da Padronização
Para completar as atividades de Padronização, é necessário proceder a sua avaliação, ou
seja, verificar se os padrões estão sendo criados, divulgados, utilizados, controlados e
revisados periodicamente, conforme a necessidade de cada função e se os resultados
esperados estão sendo alcançados.
7.2.4
Avaliação Quantitativa
Diz respeito a resultados quantificáveis, os quais devem ser medidos através de itens de
controle. É desejável conhecimento da situação anterior à implantação do Padrão para,
posteriormente, ser feita a comparação e se conhecer os ganhos obtidos com a
implantação do mesmo.
7.2.5
Avaliação Qualitativa
Diz respeito a resultados não quantificáveis relativos a criação, utilização e controle de
padrões. Formas apropriadas de avaliação devem ser aplicadas, tais como questionários
aos gerentes e à própria coordenação do Compliance, visando através da atribuição de
notas identificar causas e elaborar ou revisar o plano de ação para solução de problemas
apontados nas respostas. Os quesitos avaliados podem referir-se, dentre outros, a:
-
Os padrões estão em harmonia com os Atos legais e Normas Técnicas?
19
-
7.3
A criação/revisão dos padrões é feita obedecendo à seqüência estabelecida nas
Normas Internas?
Os padrões são elaborados de forma participativa?
Os padrões são utilizados como base para o treinamento no trabalho?
ELABORAÇÃO DE FLUXOGRAMAS DE PROCESSOS
O mapeamento dos processos permite um melhor entendimento das atividades, bem
como a definição de atribuições e responsabilidades, principalmente quando aspectos
inter-funcionais estão envolvidos.
As seguintes etapas deverão ser observadas em sua execução:
− Formar Grupo de Trabalho, composto por aqueles envolvidos diretamente
nas atividades que compõem o processo objeto da descrição;
− Divulgar as metas de resultado estabelecidas pela diretoria;
− Uniformizar conceitos entre os participantes (ex: produto, cliente,
fornecedor);
− Conhecer a legislação pertinente;
− Definir início e fim do Processo;
− Realizar mapeamento utilizando a simbologia, conforme anexo 2, bem
como destacando todas as áreas envolvidas;
− Localizar atividades que contribuem para o risco;
− Identificar causas internas e externas dos riscos;
− Estabelecer Plano para minimizar os riscos;
− Obter aprovação da Diretoria;
− Padronizar processos utilizando o Sistema de Padronização aprovado.
7.4
GESTÃO DE RISCOS
Possibilitar a análise dos riscos, suas grandezas e impactos sob as atividades, permitindo
a gestão de ocorrências de perdas e desenvolvimento de planos de ação para correção, o
que deve ser realizado com o auxílio do anexo 3 – Categorias de Riscos.
Com relação ao risco operacional, as falhas operacionais devem ser registradas em base
de dados única para identificação e análise das principais causas de perdas operacionais,
permitindo uma atuação objetiva na eliminação dos problemas.
20
Para o efetivo gerenciamento das perdas, torna-se necessário o registro de informações
mínimas, tais como:
− Descrição do evento;
− Identificação do tipo de risco;
− Valor da perda;
− Órgãos afetados e responsáveis;
− Planos de ação.
7.5
GESTÃO CONTÁBIL
Garantir o correto registro das operações e a integridade das demonstrações contábeis,
através da realização do monitoramento das conciliações. A gestão contábil deve tanto
garantir a confiabilidade dos relatórios de desempenho passado, quanto possibilitar a
utilização destes nas decisões internas e no controle do desempenho operacional.
A Contabilidade deve ser considerada um “Banco de Informações”, e não apenas o
registro final das movimentações financeiras da Fundação. Os dados devem ser
consistentes, servindo de fonte de consulta para decisões futuras. Todas as informações
devem estar registradas em detalhes, ou seja, os registros devem ser analíticos, com
históricos bem elaborados, no entanto, sem a geração de informações desnecessárias.
Deve-se evitar a redundância de informações, as quais devem fluir a partir de sua
geração, sem que sejam digitadas mais de uma vez ao longo de seu processamento,
evitando-se, assim, esforços desnecessários e o risco da criação de números divergentes.
Portanto, deve haver uma única informação contábil financeira e gerencial (anexo 4), o
que resultará em posições corretas e consistentes entre si.
7.6
MATRIZES DE RISCOS E CONTROLES
As matrizes de riscos e controles são elaboradas pelos gestores das áreas, e têm o objetivo
de registrar os processos, etapas e atividades das unidades de negócio, servindo de
instrumento para a avaliação da eficiência de seus métodos no gerenciamento de riscos que
possam causar impactos na busca de seus objetivos.
A responsabilidade pela manutenção das matrizes é do gestor. Periodicamente, os
responsáveis pelos controles internos avaliam a pertinência dos dados registrados nesta
base.
O registro de dados ocorre por Área, Diretoria, Unidade, Seção etc. As Áreas atualizam suas
matrizes sempre que há alteração de processos ou quando se realizam auto-avaliações.
21
Para cada processo estão relacionadas uma matriz de riscos e uma matriz de controles.
7.6.1
Informações Mínimas na Matriz de Controles
a. Descrição do Processo:
Nome da operação, negócio ou trabalho que se realiza por meio de uma sucessão de
etapas ou estágios. É sempre uma atividade completa, com pelo menos uma etapa
inicial e uma final. Podem existir processos inter-áreas que têm início em uma área e
término em outra. Nestes casos, as etapas a serem identificadas devem ser aquelas a
cargo da Área que estiver preenchendo a planilha.
b. Etapa:
Estágios referentes aos procedimentos de um determinado processo, que no conjunto
atingem um determinado objetivo. Por exemplo, num processo de vendas, podem
existir as seguintes etapas: concorrência pública, aprovação, contratação,
acompanhamento da venda e recebimento.
c. Descrição dos Controles:
Registro dos controles existentes em cada etapa para minimizar os riscos
identificados.
d. Objetivos de Controle:
Motivo pelo qual o controle existe. Quais objetivos cada controle pretende alcançar.
e. Natureza:
− Detecção: através da aplicação do controle é possível detectar problemas ocorridos
durante a operacionalização do processo.
− Prevenção: através da aplicação do controle é possível prevenir a ocorrência de
problemas futuros.
22
f. Sistemas Associados:
Sistemas existentes para o respectivo controle, especificando se os mesmos estão
desenvolvidos em planilhas eletrônicas, editores de textos ou por processamento
eletrônico de dados, citando o nome do sistema de apoio.
g. Normas Internas / Externas:
Registrar as normas internas, legislação ou manuais de procedimentos relacionados
aos respectivos controles.
h. Tipo de Controle:
− Operacional: é a atividade de controle exercida na execução do processo.
− Gerencial: é a atividade de controle exercida para viabilizar ou monitorar a
execução do processo, ou ainda, para administrar as operações em exceção ao
processo normal.
i. Periodicidade:
A periodicidade em que o controle é exercido (a cada ocorrência, diário, semanal,
mensal etc).
j. Eficiência:
Os controles são realizados e produzem resultados positivos / reais?
k. Eficácia:
Mede a relação custo/ benefício do controle, ou seja, os benefícios compensam os
custos do controle e não existem formas mais econômicas de se conseguir o mesmo
nível de segurança.
l. Responsável:
23
Colocar o nome da função da pessoa responsável pela execução desta atividade de
controle.
7.6.2
Informações Mínimas na Matriz de Riscos
a. Descrição dos Riscos:
Identificar os possíveis riscos relacionados à respectiva etapa. Para tanto, utilizar as
classificações de riscos existentes na organização.
b. Tipo de Risco (com base no anexo 3 - Categorias de Riscos):
c. Impacto:
Nível em que a ocorrência do risco dentro de uma etapa ou atividade poderá afetar os
objetivos da Área, podendo esta mensuração tomar como base valores em dinheiro
enquadráveis aos graus (Catastrófica, Crítica, Moderada e Baixa).
d. Probabilidade de Ocorrência:
Expectativa da ocorrência ou não ocorrência do risco no processo ou etapa, levandose em consideração os controles existentes e a forma pela qual o processo é
executado atualmente. Preencher com as opções : incomum, ocasional, comum ou
freqüente.
7.7
PROCEDIMENTOS DE COMPLIANCE
Os Procedimentos de Compliance têm o objetivo de avaliar a aderência às normas internas e
externas. Consistem em questionários elaborados a partir de leis, resoluções, circulares,
manuais entre outros.
24
Esse instrumento auxilia os funcionários a organizar seus trabalhos e a alcançar resultados
desejados de acordo com as metas pré-estabelecidas, realizando o monitoramento periódico
da conformidade de processos e atividades com as normas internas e legislação. Vale
ressaltar que o foco do Compliance é a gestão dos processos meio e fim da organização,
avaliados como de maior risco operacional.
Periodicamente, observando-se o cronograma de ocorrência dos eventos, o questionário
deve ser respondido pelo gestor do processo, que estabelece qual o nível de conformidade
de sua atividade com o estabelecido nas normas, podendo variar de 0 a 100%. O anexo 5
fornece um exemplo de teste de conformidade.
7.7.1
Informações Mínimas nos Procedimentos de Compliance
a. Nome do Procedimento
Indicar qual a norma que será verificada, por exemplo, “processos trabalhistas”.
b. Focos de Controle
Identificar o foco diretamente ligado à função, processo ou atividade.
c. Questão a ser respondida
Indicar a questão que deverá ser respondida.
Exemplo: “Todas as ausências, atrasos e faltas previstos em lei são abonados”.
d. Intensidade da conformidade
Indicar qual a percentagem de conformidade / aderência à norma. Este percentual
pode variar de 0 a 100%.
e. Plano de Ação
Caso a conformidade encontrada seja inferior a 100%, é possível desenvolver planos
de ação para melhoria do processo.
25
7.7.2
Atribuições
Caberá ao Coordenador do Compliance durante a realização dos testes:
− Não criticar os resultados. Isto significa, na prática, que se determinada área não
está bem, cabe somente aos Gerentes a responsabilidade de possíveis
insucessos;
− Ser mais ouvinte do que questionador. Atentar para a possibilidade de suas
colocações inibir o diagnosticado. Jamais fazer julgamento. Apenas perguntas para
melhorar sua compreensão;
− Observar durante o exame interfaces internas e externas da gerência/área/setor
sob análise;
− Atentar para os diversos fatores de risco inerentes aos processos;
− Examinar através de fatos concretos, evitando abstrações;
− Obter prazos para as melhorias definidas durante a realização do exame;
− Preparar-se adequadamente para o exame de conformidade, realizando
levantamento de fatos e dados sobre a área diagnosticada e preparando, inclusive,
questionamentos.
Caberá ao Gerente durante o exame:
− Submeter-se aos testes de conformidade com sinceridade, sem esconder o lado
negativo, ou tentar passar a idéia que não existe problema.
26
− Esforçar-se na execução das sugestões do Coordenador do Compliance,
considerando sempre o diagnóstico como uma grande ajuda.
− Evitar explicações, dissertações e abstrações, sem utilização de ferramentas de
análise. Sempre mostrar afirmações apoiadas em dados, relatórios, documentos
de controle e padrões estabelecidos.
− Mostrar documentos e gráficos utilizados no dia-a-dia. Não elaborar documentos
especiais para a ocasião do exame.
− Enfatizar o processo (modo de trabalhar, sistemas, padrões) pelos quais os
resultados são obtidos, não se limitando a mostrá-los.
7.8
PLANOS DE AÇÃO
Ação definida por gestores, com indicação de responsáveis e prazo para implementação,
visando melhorar processos, minimizar riscos ou solucionar problemas identificados nas
auto-avaliações das Áreas. Podem ser criados a qualquer momento e decorrentes de
qualquer uma das ações-chave relacionadas anteriormente.
7.9
PLANO DE CONTINGÊNCIA
Plano de ação estruturado, com indicação de responsáveis, para ser utilizado como
alternativa no caso de ocorrência de uma determinada falha operacional, as quais devem
ser mapeadas e suportadas por procedimentos voltados para assegurar a continuidade do
negócio, ou seja, a garantia da não interrupção dos processos considerados
imprescindíveis para o funcionamento da Fundação
É muito importante que não se permita a concentração, em número reduzido de
funcionários, de conhecimentos sobre os processos de trabalho, sobretudo aqueles
alinhados à “continuidade do negócio”, devendo-se por em prática, para tal, ferramentas
como manuais de procedimentos detalhados, rodízio de funcionários, treinamentos
específicos e roteiro de ações para facilitar a execução dessas tarefas por outros usuários
previamente selecionados (acessos, senhas etc).
Outra medida importante é a definição de estratégias para “continuidade do negócio” em
caso de panes no ambiente físico onde se trabalha. O ideal é que se tenha um ambiente
em paralelo, para ser utilizado em caso de incêndios, greves etc.
27
Em relação aos dados da Fundação, deve-se manter arquivos de Back up, de preferência
em meio magnético, e duplicados, em localidades fora do prédio onde se encontra
instalada a Instituição. O que evitará a inviabilização da “continuidade do negócio” em
caso de problemas físicos.
7.10
DISSEMINAR A CULTURA DA ÉTICA
Enfatizar em treinamentos e sempre que possível orientar os empregados quanto aos
princípios éticos e de conduta da organização.
7.11
7.11.1
IMPLANTAÇÃO DE ÁREA DE CONTROLES INTERNOS E COMPLIANCE
Política
− Deve ser clara, objetiva, adaptada ao negócio da Entidade, ao nível de risco
etc.
− Definição de responsabilidades
− Referência contínua ao Código de Ética.
− Segregação de função
7.11.2
Comitê de Controles Internos e Compliance
− A coordenação deve ficar em nível de Staff.
− Quantidade de pessoas dependerá do nível do negócio
Atribuições:
−
−
−
−
−
−
Zelar pelos princípios estabelecidos na Política;
Estabelecer novas diretrizes, quando necessário;
Avaliar continuamente os trabalhos de Controle Interno;
Dirimir controvérsias;
Rever os parâmetros de riscos e controles;
Estabelecer periodicidade para reuniões e registro em atas;
28
− Avaliar metodologias de Controle Interno e Compliance.
7.11.3
Unidade de Controles Internos
Pode ser tanto uma pessoa como uma área (dependendo do tamanho da Entidade/Risco).
Atribuições:
− Gerenciar Grupos de Trabalhos compostos por empregados de diversas
Unidades Administrativas;
− Colocar em prática as decisões do Comitê de Controles Internos, bem como
representá-lo interna e externamente sempre que necessário;
− Verificar, de modo sistemático, a adoção do cumprimento dos procedimentos
definidos para as atividades (inclui normatizações externas) dos processos
existentes na Instituição;
− Coordenar e criar parâmetros para o processo de self assessment (avaliação
dos riscos inerentes às atividades pelos próprios gestores);
− Zelar pelo cumprimento dos objetivos da Entidade (diretrizes estabelecidas em
planejamentos, limites estabelecidos, procedimentos, leis e regulamentação);
− Participar da revisão periódica dos controles;
− Centralizar as informações e responsabilizar-se pela confecção dos relatórios
periódicos sobre Controles Internos e Compliance;
− Analisar, diariamente, as normatizações emitidas pelos órgãos normativos,
como SPC, CVM, Banco Central, CMN e outros organismos congêneres e
acionar e conscientizar as unidades responsáveis pelo cumprimento, atuando
como facilitador do entendimento das mesmas;
− Participar de grupos de trabalhos de entidades de classe (Abrapp/ ICSS /
Sindapp etc.) de modo a manter a Entidade atualizada com as melhores
práticas do mercado;
− Zelar pelo cumprimento e atualização do Código de Ética da Entidade;
− Criar e atualizar, continuamente, canais de não-conformidades pelos
empregados;
− Acompanhar e monitorar as comunicações e sugestões enviadas pelos
empregados da Entidade, através do Formulário de Sugestão de Melhorias de
Controles;
− Participar, juntamente com outras unidades, de trabalhos com vistas à
manutenção de segregação de funções e “Chinese Wall”;
− Colaborar para manter todos os empregados informados de suas
responsabilidades, missão da empresa e diretrizes estratégicas;
− Criar bancos de dados, indicadores e modelo para questão do risco
operacional.
29
7.11.4
Agente de Controles Internos
Tem a função de controller dentro da área, para tanto, precisa receber treinamento
adequado, conhecimento das políticas e procedimentos éticos etc.
É uma espécie de facilitador (interface).
30
GLOSSÁRIO DE TERMOS TÉCNICOS
Atividade
Continuidade do
Negócio
Controles
Internos e
Compliance
Eficiência e
Eficácia
Indicadores de
Performance
É um conjunto de tarefas, similares e/ou complementares. Uma
atividade é caracterizada por consumir recursos, para produzir
produtos ou serviços.
Garantia da continuidade dos processos imprescindíveis para o
funcionamento normal da Fundação.
Processo executado por pessoas na busca do alcance dos
cinco objetivos do negócio:
• Eficiência e eficácia;
• Exatidão e integridade;
• Confiabilidade;
• Efetivo controle dos riscos;
• Conformidade com leis e regulamentos.
Na eficiência, os controles são executados e possuem
resultados reais e positivos. A eficácia mede a relação
custo/benefício, ou seja, os benefícios compensam os custos
do controle e não existem formas mais econômicas de se
conseguir o mesmo resultado.
Medidores de desempenho definidos pelos gestores para
avaliar a execução de uma atividade ou processo e seus
resultados.
Matriz de
Controles
Documento onde são registrados os processos, etapas e
atividades das unidades de negócio, assim como os controles
existentes e sua eficiência e eficácia, para minimizar os riscos
identificados nas respectivas matrizes de riscos. São
elaboradas pelos gestores das Áreas.
Matriz de
Riscos
Documento onde são registrados os riscos identificados e a
avaliação de seus impactos e probabilidade de ocorrência, para
os processos, etapas e atividades das unidades de negócio.
São elaboradas pelos gestores das Áreas.
Padrão
Compromisso documentado, utilizado em comum e repetidas
vezes pelas pessoas relacionadas a uma determinada função.
Conjunto de atividades planejadas e inter-relacionadas,
realizadas com o objetivo de gerar produtos ou serviços que
atendam as necessidades de clientes, sejam internos ou
externos, através da combinação de pessoas, métodos e
ferramentas.
Processos
31
Risco
Risco é o produto da probabilidade pelo impacto da ocorrência
de algo que poderia afetar a capacidade da empresa atingir
seus objetivos de negócio. O risco pode variar de catastrófico
(alto impacto) ao trivial (baixa probabilidade e baixo impacto) e
pode ser negativo ou positivo em seus efeitos.
Risco de um devedor ou tomador deixar de cumprir os termos
de qualquer contrato com a instituição ou de outra forma deixar
de cumprir o que foi acordado.
Risco de perda resultante da inobservância de dispositivos
Risco Legal
legais ou regulamentares, da mudança da legislação ou de
alterações na jurisprudência aplicáveis às transações da
instituição.
Risco de Liquidez Risco de perda resultante da falta de recursos necessários ao
cumprimento de uma ou mais obrigações em função do
descasamento de atribuições e aplicações.
Risco de Mercado Risco de que o valor de um instrumento financeiro ou de uma
carteira de instrumentos financeiros se altere, em função da
volatilidade das variáveis existentes no mercado, causada por
fatores adversos, políticos ou outros.
Risco de perda resultante das falhas de processos internos, de
Risco
pessoas ou de sistemas inadequados, ou ainda da ocorrência
Operacional
de eventos externos.
Risco de
Contraparte
32
ANEXO 1 – METODOLOGIAS DE CONTROLES
PROPOSTA EM DISCUSSÃO
NO COSO*
AVALIAÇÃO
DE RISCO
Estabelecimento de
Objetivos
Identificação de
Eventos
Avaliação de Riscos
ATIVIDADE
DE CONTROLE
Resposta aos
Riscos
INFORMAÇÃO
E
COMUNICAÇÃO
MONITORAMENTO
Atividade de
Controle
Informação e
Comunicação
Monitorização
* Committee of Sponsoring Organizations of theTreadway Commission
• Enfatiza a
importância de
identificar e de
controlar riscos
através da Empresa.
• A gestão de riscos é
um tópico todo,
abrangendo o controle
interno.
FOCO
ESTRUTURA DE CONTROLES
AMBIENTE
DE CONTROLE
Ambiente Interno
GESTÃO DE RISCOS
FOCO
ATUAL
• Quando cada órgão
realizar a gestão de
seus riscos, a visão é
que estes riscos
estarão agregados,
proporcionando uma
visão consolidada dos
riscos da Empresa.
• Numa perspectiva
mais ampla, a
estrutura de gestão de
riscos espera ser uma
ferramenta estratégica
para tomada de
decisão e utilizada
pelos stakeholders
medirem como bom
suas equipes da
gerência estão
assegurando os riscos
que enfrentam.
Componentes Propostos:
Ambiente Interno
Compreende elementos que são a base do negócio, processo e do gerenciamento dos riscos, incluindo
a estrutura organizacional, os recursos humanos e físicos, a cultura e valores da companhia (valores
éticos, integridade), as competências e habilidades.
A Alta Administração também faz parte do Ambiente Interno, pois além de influenciar os demais
elementos, estabelece a filosofia de gerenciamento de riscos, estabelecendo o apetite ao risco e a
cultura de riscos e controles.
Estabelecimento de
Objetivos
Com a missão e visão definidas, os objetivos estratégicos são estabelecidos, com a definição de
estratégias para o atingimento dos objetivos, também sendo definido os objetivos relacionados
(Operacional; Reporte; e Controles Internos e Compliance).
Os Objetivos devem ser estabelecidos antes do gerenciamento identificar eventos com potencial para
afetar as metas, visando assegurar o alinhamento entre a missão e visão com o apetite e tolerância ao
risco.
Identificação de
Eventos
Todo negócio possui riscos inerentes. Os eventos, internos e/ou externos, com potencial para impactar
a companhia devem ser identificados. Dentro destes, devem ser identificados os que representam
oportunidades e/ou riscos. A instituição deve homogeneizar a linguagem destes eventos através de um
dicionário comum e considerar os eventos com uma visão de portfólio.
Eventos potenciais com impacto negativo representam riscos, os quais necessitam de avaliação,
resposta e gerenciamento contínuo.
Há eventos com impacto positivo que compensam alguns riscos e, portanto devem ser considerados,
também, no gerenciamento de riscos.
Eventos potenciais com impacto positivo representam
gerenciamento da estratégia e a definição dos objetivos.
Avaliação de Riscos
oportunidades
e
devem
incorporar
o
Os riscos identificados devem ser avaliados a fim de verificar os impactos associados com os objetivos
e devem ser analisados para definição da maneira como devem ser gerenciados.
Esta avaliação é feita em duas perspectivas: severidade versus probabilidade. A combinação destes
fornece o grau do risco.
34
Resposta aos
Riscos
Os administradores devem alinhar os graus de riscos dos eventos identificados com o apetite e
tolerância ao risco, dentro do contexto da estratégia e objetivos estabelecidos. Desta forma, as
possíveis respostas são:
• Evitar o risco;
• Aceitar o risco;
• Mitigar o risco;
• Compartilhar o risco.
As decisões de resposta aos riscos devem manter seu grau dentro da tolerância da companhia com a
elaboração e implementação de planos de ação efetivos e tempestivos aos riscos avaliados.
Após a definição das respostas, os riscos residuais devem ser reavaliados.
Atividade de
Controle
A atividade de controle é uma ferramenta para atingir os objetivos estabelecidos. Geralmente envolve
duas atividades: políticas e procedimentos, os quais são estabelecidos e executados para garantir que
as respostas aos riscos selecionados sejam efetivas.
Informação e
Comunicação
As informações pertinentes ao negócio devem ser identificadas, avaliadas e comunicadas visando
atender o processo de tomada de decisão. Todos os níveis da companhia devem ter acesso às
informações para pleno exercício de suas atividades.
O desafio dos administradores é transformar uma grande quantidade de dados em informação útil e
estruturada. Para isto, utilizam-se dos sistemas aplicativos e toda infra-estrutura tecnológica.
A informação é a base da comunicação, a qual deve garantir em todos os níveis da organização a
transferência de informações integras, tempestivas e com qualidade.
O gerenciamento de riscos e o atingimento dos objetivos devem ser monitorados de duas maneiras:
Monitorização
• Avaliações contínuas.
• Avaliações periódicas.
Avaliações contínuas atuam em bases atuais e reagem dinamicamente às mudanças.
As avaliações periódicas trabalham com informações históricas e avaliam as tendências e mudanças
verificadas em um determinado período.
O reporte das deficiências identificadas aos tomadores de decisão a fim de solucionar eventuais
problemas também é fator crítico de sucesso deste componente.
35
ANEXO 2 - SÍMBOLOS GRÁFICOS PARA FLUXOGRAMAS
Símbolo
Significado
Início/Fim
Ação, Trabalho, Operação
Decisão/Verificação
Conector de Fluxo
Arquivo
Relatório/Documento
Linha de Fluxo
Conector de Página
ANEXO 3 - CATEGORIAS DE RISCOS
Risco
Risco é todo fator, interno ou externo, que pode adversamente afetar o sucesso das operações de uma organização, de
seus objetivos de informação e de Compliance.
Risco de Imagem
O Risco de Imagem representa o risco de haver danos na reputação da instituição junto a clientes, concorrentes, órgãos
reguladores, parceiros comerciais etc.
Todos os Riscos de Mercado, Contraparte, Liquidez, Operacional e Legal trazem potencialmente Risco de Imagem.
1 - Risco de Mercado - Definição
É o risco de que o valor de um instrumento financeiro ou de uma carteira de instrumentos financeiros se altere, em
função da volatilidade das variáveis existentes no mercado (taxa de juros, taxa de câmbio, ações, commodities etc.),
causada por fatores adversos, políticos ou outros.
Tipo
Definição
Exemplos
1.1 - Risco de Taxa de Juros
Risco de perda associado a variações adversas nas taxas
de juros.
Variação nos preços de NTNs, BBCs, Eurobonds,
rentabilidade de Brady Bonds etc.
1.2 - Risco de Taxa Cambial e
Paridade
Risco de perda associado a oscilações das taxas de câmbio Variação nos preços de NTN-Ds, NVC-Fs, de ativos
e/ou das paridades entre moedas estrangeiras.
internacionais negociados em moeda estrangeira etc.
Descasamento em uma carteira indexada a alguma moeda
estrangeira.
Flutuação de câmbio.
1.3 - Risco de Commodities
Risco de perda decorrente da desvalorização de mercado de Variação nos preços de carteiras constituídas por café, ouro,
carteira de commodities.
boi, soja, cacau, minérios, petróleo, frutas, etc.
1.4 - Risco de Ações
Risco de perda decorrente da variação no mercado de
carteira de ações.
Variação nos preços de carteiras constituídas por ações
como Petrobras PN, Vale PN, Eletrobrás PNB, ADRs da
Usiminas PN etc.
1.5 – Risco de Liquidez
Risco de perda devido à incapacidade de se desfazer
rapidamente de uma posição ou obter funding devido às
condições adversas do mercado.
Carteiras compostas por Eurobonds brasileiros, títulos ou
ações de 2ª e 3ª linha; situação em que não é possível
"rolar" dívidas nos mercados financeiros.
1.6 – Risco de Derivativos
Risco de perda devido ao uso de derivativos, seja para
especulação, seja para hedge.
Variações no valor das posições de contratos de swaps, a
termo, futuros etc.
37
2 - Risco de Contraparte - Definição
É o risco de perda resultante da incerteza quanto ao recebimento de um valor contratado devido pelo tomador de um
empréstimo, contraparte de um contrato ou emissor de um título.
Tipo
Definição
Exemplos
2.1 - Risco de Inadimplência
Risco de perda pela incapacidade ou não- disposição de
pagamento do tomador de um empréstimo, contraparte de
um contrato ou emissor de um título.
Não-pagamento de contrato de leasing, empréstimos
pessoais, cartão de crédito, financiamentos de bens etc.
Não- pagamento de títulos de renda fixa pelo emissor nacionais ou internacionais.
2.2 - Risco de Degradação/
Inexistência de Garantias
Risco de perda pela degradação da qualidade das garantias Empréstimos/financiamentos cujas garantias não existem ou
oferecidas por um tomador de um empréstimo, contraparte que fiquem ilíquidas (imóveis).
de uma transação ou emissor de um título.
Depreciação no valor das garantias depositadas em bolsas
de derivativos.
2.3 - Risco de Compensação
Risco de perda por inadimplência do financiado de uma
Repurchase transactions - operações de recompra que não
transação, potencializada quando o contrato não contempla contemplem o netting dos direitos/obrigações.
acordo de liquidação por compensação de direitos e
obrigações (netting agreement). Risco de impossibilidade de
compensação.
2.4 - Risco de Concentração
Risco de perda decorrente da não diversificação de
Grandes volumes de crédito concentrados em alguns
operações de crédito em determinados segmentos, clientes, setores da economia, alguns clientes ou regiões
áreas etc.
geográficas.
Possuir grande parte dos passivos de um devedor.
2.5 – Risco Corporativo
Risco de perda decorrente da desvalorização da empresa
participada.
Adoção de modelo atuarial inadequado;
Ruptura operacional no segmento de mercado da empresa
participada.
2.6 – Risco de Participações
Risco de perda decorrente da desvalorização do imóvel ou
do investimento.
Adoção de metodologia de precificação inadequada;
Ruptura operacional da empresa participada.
3 - Risco do Passivo - Definição
É o risco de insuficiência de ativos para fazer face às obrigações junto aos participantes, ou seja, é o risco de que o
crescimento do passivo seja superior ao ativo.
Tipo
Definição
Exemplos
3.1 – Risco do Passivo Atuarial
Risco de perda pelo descasamento entre obrigações a
médio e longo prazo e os ativos da organização, devido à
adoção de premissas atuariais que não se confirmem ou
que se revelem agressivas e pouco aderentes à massa de
participantes, ou do desempenho de modelo de gestão ou
metodologias adotadas.
Utilização de modelo atuarial inadequado;
Erros nas estimativas de inflação.
38
4 - Risco Operacional - Definição
É o risco de perda resultante de processos internos, pessoas e sistemas inadequados ou falhos, ou de eventos externos.
Tipo
Definição
Exemplos
4.1 - Fraude Interna
Risco de perda por atos realizados com a intenção de
Extrapolação de alçadas.
fraudar, de subtrair propriedade alheia ou de infringir regras,
leis ou políticas internas, envolvendo pelo menos um
Conflito de interesses.
funcionário da empresa.
Acesso não autorizado às informações e recursos
tecnológicos.
Divulgação indevida ou não autorizada de informações da
empresa.
Apropriação indébita.
4.2 - Fraude Externa
Risco de perda por atos realizados por pessoas que não
pertencem à organização com a intenção de fraudar, de
apropriar-se indevidamente de propriedade alheia ou de
infringir leis.
Estelionato.
Roubo.
Assalto.
Falsidade ideológica.
4.3 - Relações Trabalhistas,
Ambiente de Trabalho e
Discriminação
Risco de perda por práticas incompatíveis com leis/acordos
versando sobre as relações trabalhistas, a saúde e a
segurança no ambiente de trabalho, de pagamentos de
reclamações por danos pessoais, eventos envolvendo
qualquer tipo de discriminação. incapacitação do
empregado e falta de definição de responsabilidades e
atribuições.
Compensações pecuniárias, benefícios e desligamentos.
Greve.
Apontamento e controle inadequado de férias, horas extras,
atrasos, faltas, registro de ponto.
Eventos envolvendo a saúde dos empregados e as regras de
segurança.
Assédio sexual.
Assédio moral.
Protecionismo.
4.4 - Produtos, Clientes e Práticas de Risco de perda por falhas não intencionais ou por
negligência no cumprimento de uma obrigação profissional
Negócios
para clientes específicos (incluindo exigências fiduciárias e
de conformidade), ou da natureza/desenho de um produto.
Descumprimento pela Instituição de obrigações
contratuais/legais.
Quebra de privacidade.
Abuso de confiança.
Atitudes desonestas ou desleais.
Violação de direitos de terceiros. Exemplo: quebra de direitos
autorais; uso de software sem a licença do fabricante.
Avaliação inadequada de clientes.
Contestação sobre a performance de operações sugeridas.
4.5 - Danos aos Ativos Físicos
Risco de perda ou danos em ativos físicos em virtude de
desastre natural ou outros eventos de grande relevância.
Perdas resultantes de desastres naturais.
Perdas humanas causadas por fontes externas (seqüestro,
terrorismo, vandalismo, guerra etc.).
Tipo
Definição
4.6 - Interrupção de Atividades e
Risco de perdas associadas à interrupção de atividades ou
Falhas de Tecnologia de Informação falhas/ineficiência da infra-estrutura tecnológica.
Exemplos
Indisponibilidade de dados por interrupção da comunicação,
energia elétrica ou falta de plano de backup.
Interrupção de serviços em função de contaminação por vírus
39
eletrônico.
Obsolescência ou sobrecarga de equipamentos/softwares ou
de comunicações.
4.7 - Gerenciamento e Execução de
Processos
Risco de perda por problemas no processamento e
gerenciamento de processos, ou nas relações com
parceiros comerciais, vendedores e fornecedores.
Perdas ou inconsistência de dados em transferências entre
sistemas (interfaces).
Erros na implementação de produtos/regras de negócio em
sistemas.
Inexistência de garantias formais (notas
promissórias/contratos devidamente preenchidos, assinados
e conferidos).
Documentos legais incompletos ou ausentes.
Quebra de responsabilidades.
5 - Risco Legal - Definição
É o risco de perda resultante da inobservância de dispositivos legais ou regulamentares, da mudança da legislação ou
de alterações na jurisprudência aplicáveis às transações da organização.
Tipo
Definição
Exemplos
5.1 – Risco de Legislação
Risco de perda decorrente de sanções por reguladores e
indezações por danos a terceiros, em razão de violação da
legislação ou regulamentos vigentes.
Multas por não cumprimento de exigibilidades;
Risco de perda devido à criação, modificação ou à
inadequada interpretação da incidência de tributos.
Criação de impostos novos sobre ativos / produtos.
5.2 – Risco Tributário
Indenizações pagas por não cumprimento da legislação.
Recolhimento de novas contribuições sobre receitas.
40
ANEXO 4 – GESTÃO CONTÁBIL
CONTABILIDADE
FINANCEIRA
Externa: Acionistas, credores,
autoridades tributárias.
CONTABILIDADE
GERENCIAL
Interna: Funcionários,
administradores, executivos
Propósito
Reportar o desempenho passado
às partes externas; contratos com
proprietários e credores.
Informar decisões internas
tomadas pelos funcionários e
gerentes; feedback e controle
sobre desempenho operacional;
contratos com proprietários e
credores.
Data
Histórica, atrasada.
Atual, orientada para o futuro.
Restrições
Regulamentada: dirigida por
regras e princípios fundamentais
da contabilidade e por autoridades
governamentais.
Desregulamentada: sistemas e
informações determinadas pela
administração para satisfazer
necessidades estratégicas e
operacionais.
Tipo de Informação
Somente para mensuração
financeira.
Mensuração física e operacional
dos processos, tecnologia,
fornecedores e competidores.
Natureza da Informação
Objetiva; auditável; confiável;
consistente; precisa.
Mais subjetiva e referenciada em
critérios internos; válida;
relevante; acurada.
Escopo
Muito agregada; reporta toda a
empresa.
Desagregada; informa as decisões
e ações locais.
Clientela
41
ANEXO 5 – EXEMPLO DE TESTE DE CONFORMIDADE – RES. BACEN Nº
3.121/2003
1. A política de Investimentos atende ao preconizado no art.7º § 1º itens I a VII?
2. As análises (cenários, memórias de cálculo, dentre outros) que fundamentaram a elaboração da
Política estão documentadas para futuros questionamentos (Conselho de Curadores, Conselho
Fiscal)?
3. Os prazos de envio a SPC do conteúdo da Política, bem como a aprovação do Conselho Fiscal dos
custos com administração e acompanhamento foram cumpridos?
4. As aplicações de renda fixa, renda variável, imóveis e empréstimos estão enquadradas dentro dos
limites estabelecidos para os segmentos de aplicação? Existe uma
área responsável por este
monitoramento e qual sua periodicidade?
5. Caso haja desenquadramento, existe plano de ação estabelecido?
6. O contrato com o agente custodiante está devidamente formalizado? As condições estabelecidas para
a liquidação das operações (prazos, fluxo de informações, alçadas de aprovação) estão sendo
cumpridas por ambas as partes? A segregação de funções entre o agente custodiante e os gestores
de fundos de investimento é observada?
7. Existem ferramentas de análise de risco de crédito? Como estão documentadas (pareceres,
relatórios)?
8. Há metodologia definida para seleção e rodízio de gestores de recursos? Identificar a ocorrência de
concentração operacional.
9. Todos os títulos possuem o código ISIN? Caso contrário, a SPC foi devidamente notificada?
42