manual de controles interno e compliance.pdf

Março de 2004.

Í N D I C E APRESENTAÇÃO.............................................................................................................................4

1 INTRODUÇÃO..........................................................................................................................5

2 CONTROLE...............................................................................................................................6

3 OS FOCOS DE CONTROLE ...................................................................................................7 3.1 Ambiente de Controle .....................................................................................................................7 3.2 Identificação e Avaliação de Riscos ...............................................................................................7 3.3 Atividades de Controle ...................................................................................................................7 3.4 Monitoramento................................................................................................................................8 3.5 Informação e Comunicação............................................................................................................8

4 RISCOS.......................................................................................................................................9

5 PRINCÍPIOS BÁSICOS NA ADMINISTRAÇÃO DE RISCOS ........................................10

6 FUNÇÕES DE CONTROLE NA ORGANIZAÇÃO ...........................................................12

7 PRINCIPAIS AÇÕES-CHAVE DE CONTROLES INTERNOS E COMPLIANCE.......13 7.1 AUTO-AVALIAÇÕES .................................................................................................................13

7.1.1 Control Self Assessment - CSA................................................................................................................ 13 7.2 DEFINIÇÃO DE SISTEMA DE PADRONIZAÇÃO................................................................15

7.2.1 Revisão do Padrão .................................................................................................................................... 18 7.2.2 Controle dos Padrões ................................................................................................................................ 19 7.2.3 Avaliação Quantitativa e Qualitativa da Padronização ............................................................................. 19 7.2.4 Avaliação Quantitativa.............................................................................................................................. 19 7.2.5 Avaliação Qualitativa ............................................................................................................................... 19

7.3 ELABORAÇÃO DE FLUXOGRAMAS DE PROCESSOS......................................................20 7.4 GESTÃO DE RISCOS..................................................................................................................20 7.5 GESTÃO CONTÁBIL..................................................................................................................21 7.6 MATRIZES DE RISCOS E CONTROLES ...............................................................................21

7.6.1 Informações Mínimas na Matriz de Controles.......................................................................................... 22 7.6.2 Informações Mínimas na Matriz de Riscos............................................................................................... 24

7.7 PROCEDIMENTOS DE COMPLIANCE..................................................................................24 7.7.1 Informações Mínimas nos Procedimentos de Compliance ....................................................................... 25 7.7.2 Atribuições................................................................................................................................................ 26

7.8 PLANOS DE AÇÃO .....................................................................................................................27 7.9 PLANO DE CONTINGÊNCIA ...................................................................................................27 7.10 DISSEMINAR A CULTURA DA ÉTICA ..................................................................................28 7.11 IMPLANTAÇÃO DE ÁREA DE CONTROLES INTERNOS E COMPLIANCE.................28

7.11.1 Política ................................................................................................................................................. 28 7.11.2 Comitê de Controles Internos e Compliance........................................................................................ 28 7.11.3 Unidade de Controles Internos............................................................................................................. 29 7.11.4 Agente de Controles Internos............................................................................................................... 30

GLOSSÁRIO DE TERMOS TÉCNICOS .....................................................................................31

2

Anexo 1 – METODOLOGIAS DE CONTROLES .......................................................................33

Anexo 2 - SÍMBOLOS GRÁFICOS PARA FLUXOGRAMAS ..................................................36

Anexo 3 - CATEGORIAS DE RISCOS .........................................................................................37

Anexo 4 – GESTÃO CONTÁBIL...................................................................................................41

Anexo 5 – EXEMPLO DE TESTE DE CONFORMIDADE – RES. BACEN Nº 3.121/2003 ...42

3

APRESENTAÇÃO A ABRAPP, o Sindapp e o ICSS têm a satisfação de apresentar a suas associadas material que entendemos poder vir a contribuir significativamente para o processo de afirmação de competência e profissionalismo na gestão de suas entidades. A evolução natural desse processo passará, sem dúvida, pela instituição de relacionamento mais constante e próximo com os órgãos reguladores, sem que se configure meramente o caráter de fiscalização nesses contatos. Em vez disso, o que se espera é que todas as entidades envolvidas no Sistema de Previdência Complementar Fechada, independente de suas atribuições específicas compreendam que suas ações devem estar direcionadas para o objetivo comum que é, em síntese, proporcionar melhores condições de vida aos participantes, assistidos e dependentes vinculados às EFPC, atendendo expectativas de suas patrocinadoras, trazendo também importante colaboração para o desenvolvimento do país. O Manual que apresentamos, desenvolvido pela Comissão Técnica Nacional de Compliance e Controles Internos, tem o objetivo de sintetizar preocupações e sugestões a respeito do tema, que certamente ganhará relevância nos próximos períodos, ponderada toda a expectativa de gestão mais transparente e eficaz das EFPC.

4

1 INTRODUÇÃO O objetivo deste manual é orientar os profissionais das Entidades Fechadas de Previdência Complementar no que concerne a Controles Internos e Compliance estabelecendo, didaticamente, conceitos e métodos de controle, que além de atenderem as exigências legais, devem ser adotados como uma oportunidade de melhora nos parâmetros de mercado, de padrões éticos de controles, transparência e informações. O sistema previdenciário brasileiro vem passando por profundas reformas, com a edição de nova legislação e regras, cujo principal objetivo é minimizar os riscos, buscando garantir condições de segurança, rentabilidade, solvência e liquidez aos Fundos de Pensão, para que estes possam atingir seu fundamental princípio, que é o de atender seus compromissos com os participantes. Assim, destaca-se a necessidade de desenvolvimento de funções internas que permitam às entidades o monitoramento dos riscos aos quais estão submetidas, a partir de prévia definição dos níveis considerados aceitáveis de exposição. Além dessas, mostram-se importantes também atividades voltadas para a determinação e divulgação de responsabilidades e objetivos – individual ou departamental –, bem como focadas no zelo pela conformidade com normas, leis e padrões / procedimentos internos ou externos, tudo isso com o propósito de se mitigar as diversas vulnerabilidades às quais os Fundos de Pensão estão sujeitos. Trata-se de um constante e dinâmico trabalho, no sentido de reforçar a confiabilidade e estabilidade de cada uma das Entidades Fechadas de Previdência Complementar.

5

2 CONTROLE O controle está associado à diminuição da incerteza em relação a eventos futuros. Tudo está sob controle se o grau de dúvida em relação aos procedimentos de todas as atividades, e suas conseqüências, estão dentro de um limite tolerável. Assim, quanto melhor o controle, menor o risco. O controle também pode aumentar a eficácia, atingindo o efeito desejado, como por exemplo, através da diminuição de custos ou de tempo, daquilo que já é feito com eficiência (atividades realizadas com processos bem estruturados). Os controles internos podem ser considerados eficientes e eficazes se a Alta Administração e Diretoria tiverem uma segurança razoável de que: -

-

-

Os objetivos das operações da Entidade estão sendo alcançados (objetivos das operações); As demonstrações financeiras publicadas são preparadas de maneira confiável (objetivos de relatórios financeiros); As leis e regulamentos aplicáveis estão sendo cumpridos (objetivo de conformidade).

Se todos mantiverem um alto grau de conhecimento sobre as atividades sob sua responsabilidade e estiverem atentos ao cumprimento das normas, buscando a agilização dos processos, atribuindo-lhes a qualidade e a segurança indispensáveis, com certeza estarão fazendo um bom controle e os objetivos serão atingidos de acordo com os resultados desejados. É importante, também, verificar a conformidade da estrutura de controle adotada pela entidade com a sua respectiva missão. Quando se controla é importante verificar sempre o custo/ benefício do controle para evitar que o custo deste seja maior do que o benefício conseguido. Um modelo de controle possui cinco focos diretamente integrados às funções, processos e atividades executados, conforme detalhado no item 3.

6

3 OS FOCOS DE CONTROLE Abaixo é apresentada metodologia de controle subdividida em cinco focos principais.

Nota: Ressalta-se que está em discussão novo modelo de controle voltado para a

identificação e controle de riscos, subdividido em 8 focos principais, conforme detalhado no anexo 1 .

3.1 Ambiente de Controle O ambiente de controle influencia a consciência de controle dos funcionários. O controle interno reflete o comprometimento de todos. O ambiente de controle deve ser uma situação permanente e contínua, existente em cada uma das áreas da empresa, visando constantemente à redução dos riscos e ao aumento da eficácia dos processos. Isto pode ser conseguido se cada um estiver atento aos elementos que compõem esse ambiente: integridade, ética e competência dos funcionários; definição de responsabilidades; padrões de gerenciamento; organização e alocação de recursos.

3.2 Identificação e Avaliação de Riscos A aplicação de controles internos requer a identificação e avaliação contínua de riscos, quer sejam de natureza interna ou externa. Identificação de riscos é o ato de avaliar constantemente em suas tarefas a probabilidade de que eles ocorram, medindo também o impacto que eles exercem nos objetivos de seus negócios ou serviços.

3.3 Atividades de Controle As atividades de controle são as políticas e procedimentos que ajudam a garantir que as ações necessárias para atingir os objetivos levam em consideração os riscos identificados e avaliados. Atividades de controle ocorrem por meio da organização, em todos os níveis e em todas as funções, da definição e execução dos processos operacionais e dos controles e responsabilidades pela sua execução.

7

3.4 Monitoramento Todos os funcionários são responsáveis pelos controles internos, por meio do adequado desempenho de suas atribuições e da imediata comunicação de falhas ou deficiências verificadas no funcionamento dos controles às chefias ou órgãos responsáveis pela solução do problema, que deverá ser prontamente providenciada. O monitoramento se dá por meio de acompanhamentos sistemáticos, nos quais se avalia se os objetivos estão sendo alcançados, se os limites estabelecidos estão sendo cumpridos e se eventuais falhas estão sendo prontamente identificadas e corrigidas.

3.5 Informação e Comunicação Um sistema de controle eficiente necessita que os resultados das atividades de controle realizadas pelos funcionários, bem como as informações originadas da administração e do corpo gerencial, sejam transmitidas prontamente a todos os interessados. Uma comunicação efetiva deve ocorrer amplamente por meio da organização. Todos os funcionários, de todos os níveis, devem ter em mente seu respectivo papel no sistema de controle e quais são as informações importantes a serem comunicadas.

8

4 RISCOS Toda instituição corre riscos no desenvolvimento de suas atividades, isso porque ela não dispõe de todas as informações sobre possíveis eventos futuros que possam interferir na tomada de decisão. Basicamente as instituições estão expostas a cinco principais tipos de riscos: risco de mercado, risco de contraparte, risco de liquidez, risco operacional e risco legal, sendo que estes se correlacionam e muitas vezes se confundem. Especificamente no caso das entidades fechadas de previdência social, um dos riscos que se sobressai é o de liquidez. O risco de mercado pode ser subdividido em risco de taxa de juros, risco de taxa cambial e risco de liquidez. O risco de contraparte é formado pelo risco de inadimplência, risco de degradação de garantias e risco de concentração. Por sua vez, os sub-riscos para o risco operacional podem ser risco de fraude, risco de ações judiciais, risco de imagem, risco de danos aos ativos, risco na execução de processos (falha humana e tecnológica), conforme detalhado no anexo 3 – Categorias de Riscos. Para minimizar o efeito das perdas decorrentes dos riscos, faz-se necessário seu efetivo gerenciamento, pois, em algumas ocasiões, uma única falha operacional pode desencadear problemas muito mais sérios, aumentando os riscos relacionados. Alguns princípios devem ser seguidos para a gestão de riscos, sendo que as pessoas, os processos e a tecnologia das instituições são pressupostos básicos para um ambiente adequado.

9

5 PRINCÍPIOS BÁSICOS NA ADMINISTRAÇÃO DE RISCOS

I. Comprometimento da alta administração na implementação e implantação de uma estrutura de controles internos.

II. O risco é a incerteza quanto a resultados futuros.

• Não tema, mas respeite os riscos: assegure-se do equilíbrio entre ganhos e perdas.

III. Estrutura clara, distribuição e delegação de responsabilidade, segregação de

função e disciplina são pré-condições básicas: quem faz não confere!

IV. Medidas rigorosas no caso de não-conformidade / infrações. • Conheça as regras do jogo: deve-se ter coragem para tomar medidas

desagradáveis (“cultura de conseqüências”).

V. Informações corretas e precisas, integridade e relevância de dados, sistemas e informações consolidados em uma base única. • Não faça nenhum diagnóstico sem informações; • Procure conhecer o que você não sabe.

VI. O gerenciamento de risco é um processo de persistência, não um programa

esporádico. • Prevenção à frente de correção (atuação pró-ativa ao invés de reativa); • “Melhores práticas” devem ser utilizadas como metas, não como “moda

passageira”; • Importe-se com a essência, não só com a forma legal; • Estabeleça iniciativas de longo prazo ao invés das de curto prazo; • Enfatize a promoção de cultura de risco, em lugar de apenas controlar os

números; • O gerenciamento de riscos deve privilegiar sempre a organização, sendo o

atendimento aos órgãos supervisores / reguladores apenas conseqüência.

VII. O gerenciamento de risco é parte ciência, parte inferência. • Fatos, percepções, expectativas – todos são importantes; • O gerenciamento de risco é freqüentemente a arte de desenhar conclusões

suficientes de premissas insuficientes.

VIII. Limitação de modelos. • Um modelo é sempre uma aproximação de uma realidade mais complexa; • Os modelos são tão bons quanto as suposições subjacentes: “se entra lixo” –

“sai lixo”; • Nem todos os riscos são relevantes e / ou quantificáveis;

10

• Os modelos são sempre uma parte do gerenciamento do risco e devem incluir bom senso.

IX. Organizações complexas, reestruturações e projetos podem adicionar riscos. • A complexidade é a inimiga da velocidade e receptividade: empenhe-se na

simplicidade; • Quanto mais complexo um tipo de risco é, o mais especializado, concentrado e

controlado seu gerenciamento deve ser.

X. Organização de conhecimento e aprendizagem. • Aprenda com os erros; • Incentive a doação de conhecimentos como parte do processo de avaliação; • O conhecimento só não basta: é a implementação que leva a resultados; • Estruture um programa de treinamento para divulgar os controles estabelecidos.

XI. O controle responsável, o compliance, a cultura de risco são tão importantes

quanto a quantificação mais sofisticada. • A cultura de risco, em geral, é a responsabilidade final do gerenciamento

superior, ou seja, da alta administração.

XII. O elemento humano é o fator crítico de sucesso. • O gerenciamento de risco bem sucedido é, principalmente, o resultado da

capacidade, aptidão e atitude das pessoas envolvidas: as pessoas formam a cultura, a reputação, a marca de uma organização!

XIII. O controle deve ter ação tempestiva parametrizada com o risco.

• O controle precisa ser tão dinâmico quanto o risco.

11

6 FUNÇÕES DE CONTROLE NA ORGANIZAÇÃO Podemos destacar como áreas voltadas para a implementação de ações visando aumentar a probabilidade de que os objetivos e metas estabelecidas para o negócio sejam atingidos: Gestão de Riscos e Compliance, Auditoria, Jurídico, Controladoria. Destacamos a função de Gestão de Riscos e Compliance, tendo em vista a sua pouca disseminação junto ao segmento de Fundos de Pensão. O seu papel na organização é assessorar o gerenciamento do negócio no que se refere à interpretação e impacto da legislação, monitorando as melhores práticas em sua execução, além de prover treinamento sobre regulamentação aos empregados. Seu foco de atuação é no sentido de direcionar esforços para os processos avaliados como de maior risco operacional, atuando como parceiro da área de negócios através do monitoramento constante sobre atividades e processos e acompanhamento de novos projetos e operações. Seu caráter preventivo difere da Auditoria interna, que analisa dados históricos em busca de registros e evidências visando à identificação e quantificação dos problemas. A área de Gestão de Riscos e Compliance deve ter total patrocínio da Alta Administração, tendo em vista o necessário acesso e suporte às suas atividades, bem como a independência na aferição da conformidade dos controles nas demais unidades da organização.

12

7 PRINCIPAIS AÇÕES-CHAVE DE CONTROLES INTERNOS E COMPLIANCE

7.1 AUTO-AVALIAÇÕES É um recurso que pode ser utilizado para avaliar questões gerenciais ou estratégicas. Consiste na realização de workshops conduzidos por um facilitador, onde participam os gestores do processo, e demais áreas envolvidas, que permite avaliar a eficiência dos controles para gerenciamento de riscos, buscando melhorar o desempenho por meio de revisão de processos e da elaboração de planos de ação. A seguir é apresentada a metodologia denominada “Control Self Assessment – CSA”.

7.1.1 Control Self Assessment - CSA 7.1.1.1 Atividades pré-workshop Deve-se selecionar o processo que será objeto de auto-avaliação por Control Self Assessment.

O Facilitador (integrante da equipe de controles internos) e o gestor do processo a ser auto-avaliado, em conjunto:

a. definem e identificam as pessoas-chave que irão participar da auto-avaliação;

b. entrevistam Diretores, Gerentes e pessoas-chave no processo para obter um completo entendimento do processo e seus pontos críticos;

c. identificam com as mesmas pessoas os objetivos do processo e os riscos associados;

d. registram os processos, objetivos e riscos a serem auto-avaliados (estrutura de riscos);

e. expedem carta de convocação com pauta e estrutura de riscos definida para as pessoas-chave que irão participar do workshop.

7.1.1.2 Atividades do Workshop Realiza avaliação da Cultura de Controle dos participantes e definição das prioridades dos riscos.

13

O Facilitador deve estabelecer um tempo padrão para discussão de cada risco, garantindo a objetividade das análises.

Em seu conjunto, os itens a serem trabalhados no workshop são os seguintes:

− Detalhamento do risco (com base no anexo 3 - Categorias de Riscos)

− Histórico de ocorrências do risco

− Fatores de contribuição para a ocorrência do risco

− Impacto/ probabilidade

− Controles mitigadores

− Eficiência/ eficácia dos controles

− Indicadores de performance

− Avaliação da gerência

− Plano de ação

− Prazo e responsável pela implementação

Pode-se designar um observador para analisar a adequação metodológica da auto-avaliação.

7.1.1.3 Relatório e Atividades pós-workshop Os resultados da auto-avaliação, incluindo os planos de ação com responsáveis e datas de cumprimento, são encaminhados e discutidos com cada um dos participantes do CSA e responsáveis.

O relatório é elaborado pelo facilitador e assinado pelo gestor do processo, responsável pela execução da auto-avaliação e dos planos de ação.

7.1.1.4 Banco de Dados Os resultados do CSA são registrados em Banco de Dados, e no caso de alterarem algum processo já mapeado, deverão ser atualizadas também as matrizes de riscos e controles.

7.1.1.5 Atuação da Auditoria Interna Periodicamente a Auditoria Interna deve avaliar a pertinência do método e a qualidade do processo de Control Self Assessment, bem como a qualidade dos planos de ação estabelecidos e a efetividade da sua implementação.

14

7.2 DEFINIÇÃO DE SISTEMA DE PADRONIZAÇÃO Estabelece os conceitos e critérios de padronização, visando a elaboração de políticas e procedimentos que limitem o risco operacional a um patamar definido pela instituição. Padronizar é um compromisso documentado, utilizado em comum e repetidas vezes pelas pessoas relacionadas a uma determinada função. Os padrões internos deverão ser classificados em:

o Fundamental (Princípio Empresarial) o Estratégico (Políticas) o Tático (Regulamentos, Sistemas) o Operacional (Processos, Atividades)

A Padronização requer uma organização interfuncional para operacionalizá-la. A seguir são descritos os principais responsáveis envolvidos e suas principais atribuições:

Da Diretoria

− Definir e implementar a Política do Processo de Padronização; − Alcançar resultados através da Padronização.

Do Responsável pelo Processo de Padronização – Compliance

− Assegurar a eficiência e zelar pela integridade e segurança do processo; − Avaliar a padronização; − Compilar e divulgar dados e informações sobre a padronização das

unidades organizacionais; − Coordenar os esforços de melhoramento do sistema de padronização; − Promover e coordenar ações de intercâmbio sobre padronização entre as

unidades organizacionais similares, e entre estas e outras organizações; − Assessorar a diretoria quanto a assuntos relativos a padronização; − Assessorar os responsáveis na aprovação e melhoria de padrões.

Do Responsável Técnico pelo Padrão

− Analisar a necessidade do padrão em conjunto com o responsável pela utilização, quando aplicável;

− Aprovar o conteúdo técnico do padrão; − Promover ações de melhoria no padrão.

Nota:

Em muitos casos o responsável pelo padrão é também o responsável pela utilização.

15

Do Responsável pela Utilização do Padrão

− Desenvolver e treinar o seu pessoal no padrão; − Avaliar a padronização e seus resultados diretos, na sua área de atuação,

em conjunto com o responsável pelo padrão, quando aplicável; − Encaminhar e acompanhar as propostas de melhoria no padrão.

Do Elaborador do Padrão

− Pesquisar existência de padrão similar (melhores práticas); − Elaborar o padrão (novos padrões e revisões).

Do Usuário do Padrão − Utilizar o padrão; − Sugerir melhorias no padrão; − Participar de revisões e/ou elaboração de padrões, quando aplicável.

Objetivando uniformizar a criação, formatação e redação dos padrões, deve-se observar às seguintes orientações:

− O registro dos processos e atividades pode ser formalizado por meio de

fluxogramas, manuais (inclusive com a utilização de fotos e ilustrações), cartilhas com instruções específicas, dependendo da necessidade de maior ou menor simplificação. Cabe ao responsável pelo padrão, garantir a permanente compatibilidade entre o Padrão e o meio de divulgação.

− A necessidade de padrões decorre da implementação de ações estratégicas, quando se definem novos produtos, novos processos, revisam-se processos ou quando no gerenciamento da rotina diária bloqueiam-se causas relativas a riscos ou outra anomalia qualquer, que não esteja permitindo o alcance de metas.

− Deve-se considerar, ao elaborar padrões, que “poucos são vitais”, lembrando-se sempre que os padrões são meio e não fim.

− Deve-se tomar todo cuidado para não haver proliferação de padrões. Uma regra importante é “devemos padronizar para termos poucos padrões”. Para tal faz-se necessária a pesquisa de padrões similares.

− Caso não seja identificado um padrão similar adequado, deve-se preparar um esboço do padrão. No caso de processo/atividade já existente, a elaboração do esboço do padrão deverá ser realizada pelos executantes envolvidos no processo/atividade já que o documento elaborado apresentará as metas ou objetivos a serem alcançados, bem como o passo-a-passo necessário para atingi-los. Serão reunidas algumas

16

pessoas que, efetivamente, se destacam na execução do trabalho: as chefias imediatas e especialistas no assunto, para então descrever a melhor forma de exercê-la (melhores práticas).

− Para novos processos/atividades, devem-se reunir os especialistas internos e/ou externos e as chefias a fim de descrever como os mesmos serão realizados.

− A discussão e a redação final do padrão envolvendo os usuários e responsável pelo padrão é uma tarefa fundamental na elaboração do mesmo, tendo como objetivo eliminar dúvidas, acrescentar pontos de vista e principalmente obter o compromisso dos usuários.

− A instituição deverá definir um formato comum a todos os padrões, com o objetivo de identificar, classificar e codificar os mesmos quanto ao tipo de padrão interno e documento externo, responsabilidade pela sua emissão (padrão interno) ou controle (documento) externo e função (trabalho especializado) a que se refere.

− Para a redação do padrão apresentamos o quadro a seguir com os itens de

uso obrigatório e opcional:

Uso Item

Capítulos

Opcional Obrigatório

Forma de Uso

1 Introdução X Utilizada para dar informações específicas ou comentários sobre o conteúdo do Padrão e as razões que motivaram a sua elaboração.

2 Objetivo X Utilizado para definir a finalidade do Padrão, indicando o assunto tratado e os resultados que se pretende atingir com a implantação do mesmo.

3 Campo de Aplicação

X Utilizado para indicar os limites de aplicabilidade do Padrão.

17

Uso Item

Capítulos

Opcional Obrigatório

Forma de Uso

4 Referências X Utilizadas para listar os Padrões , os Atos Legais, Normas Técnicas, Regulamentações ou outro documento de referência.

Nota:

O Padrão de nível inferior deverá sempre se referir ao de nível superior que o condiciona.

5 Definições X Utilizadas para fornecer as definições consideradas indispensáveis à compreensão de certos termos utilizados no padrão.

6 Símbolos e Abreviaturas

X Utilizados para incluir uma lista de Símbolos e Abreviaturas, com os seus respectivos significados, julgados indispensáveis à boa compreensão do texto.

7 Descrição do padrão

X

Utilizado para estabelecer os requisitos aplicáveis ao objetivo do Padrão e poderá utilizar a numeração de tantos capítulos quanto necessários. Um Padrão poderá ser documentado através de texto, gráfico (fluxograma), figura, tabela, quadro, fotografia, vídeo ou qualquer forma de representação que venha se constituir na melhor maneira de comunicação para o usuário do mesmo.

8 Itens de Controle

X Utilizados para medir numericamente os resultados de um trabalho, permitindo que os mesmos sejam gerenciados.

9 Anexos X

Devem ser apresentados como parte integrante do padrão.

7.2.1 Revisão do Padrão Os padrões deverão ser atualizados sistematicamente, visando uma permanente melhoria nos resultados dos trabalhos. As revisões ocorrem por motivo de “Revalidação”, “Alteração” ou “Cancelamento”. Adicionalmente, deverá ser estabelecida uma tabela de

18

temporalidade para cada tipo de padrão definido. Não obstante esta revisão periódica, o padrão poderá ser alterado a qualquer momento, quando houver:

− Possibilidade de mitigar riscos; − Oportunidade de melhoria dos resultados; − Solicitação, procedente, de qualquer empregado; − Mudança na Legislação ou Norma Técnica; − Obsolescência.

As revisões deverão, a princípio, ser analisadas criticamente e aprovadas pelos mesmos diretores, gerentes, assessores que aprovaram sua emissão.

7.2.2 Controle dos Padrões Para o controle da emissão, distribuição, recebimento e arquivamento dos padrões deverão ser definidos procedimentos e responsabilidades aos usuários e ao coordenador do Compliance, a fim de que os padrões sejam registrados corretamente e disponibilizados em sua forma atualizada a toda instituição. O ideal é a utilização da intranet para tal propósito, o que propicia o fortalecimento do ambiente de controle interno.

7.2.3 Avaliação Quantitativa e Qualitativa da Padronização

Para completar as atividades de Padronização, é necessário proceder a sua avaliação, ou seja, verificar se os padrões estão sendo criados, divulgados, utilizados, controlados e revisados periodicamente, conforme a necessidade de cada função e se os resultados esperados estão sendo alcançados.

7.2.4 Avaliação Quantitativa

Diz respeito a resultados quantificáveis, os quais devem ser medidos através de itens de controle. É desejável conhecimento da situação anterior à implantação do Padrão para, posteriormente, ser feita a comparação e se conhecer os ganhos obtidos com a implantação do mesmo.

7.2.5 Avaliação Qualitativa

Diz respeito a resultados não quantificáveis relativos a criação, utilização e controle de padrões. Formas apropriadas de avaliação devem ser aplicadas, tais como questionários aos gerentes e à própria coordenação do Compliance, visando através da atribuição de notas identificar causas e elaborar ou revisar o plano de ação para solução de problemas apontados nas respostas. Os quesitos avaliados podem referir-se, dentre outros, a: - Os padrões estão em harmonia com os Atos legais e Normas Técnicas?

19

- A criação/revisão dos padrões é feita obedecendo à seqüência estabelecida nas Normas Internas?

- Os padrões são elaborados de forma participativa? - Os padrões são utilizados como base para o treinamento no trabalho?

7.3 ELABORAÇÃO DE FLUXOGRAMAS DE PROCESSOS O mapeamento dos processos permite um melhor entendimento das atividades, bem como a definição de atribuições e responsabilidades, principalmente quando aspectos inter-funcionais estão envolvidos. As seguintes etapas deverão ser observadas em sua execução:

− Formar Grupo de Trabalho, composto por aqueles envolvidos diretamente nas atividades que compõem o processo objeto da descrição;

− Divulgar as metas de resultado estabelecidas pela diretoria; − Uniformizar conceitos entre os participantes (ex: produto, cliente,

fornecedor); − Conhecer a legislação pertinente; − Definir início e fim do Processo; − Realizar mapeamento utilizando a simbologia, conforme anexo 2, bem

como destacando todas as áreas envolvidas; − Localizar atividades que contribuem para o risco; − Identificar causas internas e externas dos riscos; − Estabelecer Plano para minimizar os riscos; − Obter aprovação da Diretoria; − Padronizar processos utilizando o Sistema de Padronização aprovado.

7.4 GESTÃO DE RISCOS Possibilitar a análise dos riscos, suas grandezas e impactos sob as atividades, permitindo a gestão de ocorrências de perdas e desenvolvimento de planos de ação para correção, o que deve ser realizado com o auxílio do anexo 3 – Categorias de Riscos. Com relação ao risco operacional, as falhas operacionais devem ser registradas em base de dados única para identificação e análise das principais causas de perdas operacionais, permitindo uma atuação objetiva na eliminação dos problemas.

20

Para o efetivo gerenciamento das perdas, torna-se necessário o registro de informações mínimas, tais como:

− Descrição do evento; − Identificação do tipo de risco; − Valor da perda; − Órgãos afetados e responsáveis; − Planos de ação.

7.5 GESTÃO CONTÁBIL Garantir o correto registro das operações e a integridade das demonstrações contábeis, através da realização do monitoramento das conciliações. A gestão contábil deve tanto garantir a confiabilidade dos relatórios de desempenho passado, quanto possibilitar a utilização destes nas decisões internas e no controle do desempenho operacional. A Contabilidade deve ser considerada um “Banco de Informações”, e não apenas o registro final das movimentações financeiras da Fundação. Os dados devem ser consistentes, servindo de fonte de consulta para decisões futuras. Todas as informações devem estar registradas em detalhes, ou seja, os registros devem ser analíticos, com históricos bem elaborados, no entanto, sem a geração de informações desnecessárias. Deve-se evitar a redundância de informações, as quais devem fluir a partir de sua geração, sem que sejam digitadas mais de uma vez ao longo de seu processamento, evitando-se, assim, esforços desnecessários e o risco da criação de números divergentes. Portanto, deve haver uma única informação contábil financeira e gerencial (anexo 4), o que resultará em posições corretas e consistentes entre si.

7.6 MATRIZES DE RISCOS E CONTROLES As matrizes de riscos e controles são elaboradas pelos gestores das áreas, e têm o objetivo de registrar os processos, etapas e atividades das unidades de negócio, servindo de instrumento para a avaliação da eficiência de seus métodos no gerenciamento de riscos que possam causar impactos na busca de seus objetivos. A responsabilidade pela manutenção das matrizes é do gestor. Periodicamente, os responsáveis pelos controles internos avaliam a pertinência dos dados registrados nesta base. O registro de dados ocorre por Área, Diretoria, Unidade, Seção etc. As Áreas atualizam suas matrizes sempre que há alteração de processos ou quando se realizam auto-avaliações.

21

Para cada processo estão relacionadas uma matriz de riscos e uma matriz de controles.

7.6.1 Informações Mínimas na Matriz de Controles

a. Descrição do Processo:

Nome da operação, negócio ou trabalho que se realiza por meio de uma sucessão de etapas ou estágios. É sempre uma atividade completa, com pelo menos uma etapa inicial e uma final. Podem existir processos inter-áreas que têm início em uma área e término em outra. Nestes casos, as etapas a serem identificadas devem ser aquelas a cargo da Área que estiver preenchendo a planilha.

b. Etapa:

Estágios referentes aos procedimentos de um determinado processo, que no conjunto atingem um determinado objetivo. Por exemplo, num processo de vendas, podem existir as seguintes etapas: concorrência pública, aprovação, contratação, acompanhamento da venda e recebimento.

c. Descrição dos Controles:

Registro dos controles existentes em cada etapa para minimizar os riscos identificados.

d. Objetivos de Controle:

Motivo pelo qual o controle existe. Quais objetivos cada controle pretende alcançar.

e. Natureza:

− Detecção: através da aplicação do controle é possível detectar problemas ocorridos durante a operacionalização do processo.

− Prevenção: através da aplicação do controle é possível prevenir a ocorrência de problemas futuros.

22

f. Sistemas Associados:

Sistemas existentes para o respectivo controle, especificando se os mesmos estão desenvolvidos em planilhas eletrônicas, editores de textos ou por processamento eletrônico de dados, citando o nome do sistema de apoio.

g. Normas Internas / Externas:

Registrar as normas internas, legislação ou manuais de procedimentos relacionados aos respectivos controles.

h. Tipo de Controle:

− Operacional: é a atividade de controle exercida na execução do processo.

− Gerencial: é a atividade de controle exercida para viabilizar ou monitorar a execução do processo, ou ainda, para administrar as operações em exceção ao processo normal.

i. Periodicidade:

A periodicidade em que o controle é exercido (a cada ocorrência, diário, semanal, mensal etc).

j. Eficiência:

Os controles são realizados e produzem resultados positivos / reais?

k. Eficácia:

Mede a relação custo/ benefício do controle, ou seja, os benefícios compensam os custos do controle e não existem formas mais econômicas de se conseguir o mesmo nível de segurança.

l. Responsável:

23

Colocar o nome da função da pessoa responsável pela execução desta atividade de controle.

7.6.2 Informações Mínimas na Matriz de Riscos

a. Descrição dos Riscos:

Identificar os possíveis riscos relacionados à respectiva etapa. Para tanto, utilizar as classificações de riscos existentes na organização.

b. Tipo de Risco (com base no anexo 3 - Categorias de Riscos):

c. Impacto:

Nível em que a ocorrência do risco dentro de uma etapa ou atividade poderá afetar os objetivos da Área, podendo esta mensuração tomar como base valores em dinheiro enquadráveis aos graus (Catastrófica, Crítica, Moderada e Baixa).

d. Probabilidade de Ocorrência:

Expectativa da ocorrência ou não ocorrência do risco no processo ou etapa, levando-se em consideração os controles existentes e a forma pela qual o processo é executado atualmente. Preencher com as opções : incomum, ocasional, comum ou freqüente.

7.7 PROCEDIMENTOS DE COMPLIANCE Os Procedimentos de Compliance têm o objetivo de avaliar a aderência às normas internas e externas. Consistem em questionários elaborados a partir de leis, resoluções, circulares, manuais entre outros.

24

Esse instrumento auxilia os funcionários a organizar seus trabalhos e a alcançar resultados desejados de acordo com as metas pré-estabelecidas, realizando o monitoramento periódico da conformidade de processos e atividades com as normas internas e legislação. Vale ressaltar que o foco do Compliance é a gestão dos processos meio e fim da organização, avaliados como de maior risco operacional. Periodicamente, observando-se o cronograma de ocorrência dos eventos, o questionário deve ser respondido pelo gestor do processo, que estabelece qual o nível de conformidade de sua atividade com o estabelecido nas normas, podendo variar de 0 a 100%. O anexo 5 fornece um exemplo de teste de conformidade.

7.7.1 Informações Mínimas nos Procedimentos de Compliance

a. Nome do Procedimento

Indicar qual a norma que será verificada, por exemplo, “processos trabalhistas”.

b. Focos de Controle

Identificar o foco diretamente ligado à função, processo ou atividade.

c. Questão a ser respondida

Indicar a questão que deverá ser respondida.

Exemplo: “Todas as ausências, atrasos e faltas previstos em lei são abonados”.

d. Intensidade da conformidade

Indicar qual a percentagem de conformidade / aderência à norma. Este percentual pode variar de 0 a 100%.

e. Plano de Ação

Caso a conformidade encontrada seja inferior a 100%, é possível desenvolver planos de ação para melhoria do processo.

25

7.7.2 Atribuições Caberá ao Coordenador do Compliance durante a realização dos testes:

− Não criticar os resultados. Isto significa, na prática, que se determinada área não está bem, cabe somente aos Gerentes a responsabilidade de possíveis insucessos;

− Ser mais ouvinte do que questionador. Atentar para a possibilidade de suas colocações inibir o diagnosticado. Jamais fazer julgamento. Apenas perguntas para melhorar sua compreensão;

− Observar durante o exame interfaces internas e externas da gerência/área/setor sob análise;

− Atentar para os diversos fatores de risco inerentes aos processos;

− Examinar através de fatos concretos, evitando abstrações;

− Obter prazos para as melhorias definidas durante a realização do exame;

− Preparar-se adequadamente para o exame de conformidade, realizando levantamento de fatos e dados sobre a área diagnosticada e preparando, inclusive, questionamentos.

Caberá ao Gerente durante o exame:

− Submeter-se aos testes de conformidade com sinceridade, sem esconder o lado negativo, ou tentar passar a idéia que não existe problema.

26

− Esforçar-se na execução das sugestões do Coordenador do Compliance, considerando sempre o diagnóstico como uma grande ajuda.

− Evitar explicações, dissertações e abstrações, sem utilização de ferramentas de análise. Sempre mostrar afirmações apoiadas em dados, relatórios, documentos de controle e padrões estabelecidos.

− Mostrar documentos e gráficos utilizados no dia-a-dia. Não elaborar documentos especiais para a ocasião do exame.

− Enfatizar o processo (modo de trabalhar, sistemas, padrões) pelos quais os resultados são obtidos, não se limitando a mostrá-los.

7.8 PLANOS DE AÇÃO Ação definida por gestores, com indicação de responsáveis e prazo para implementação, visando melhorar processos, minimizar riscos ou solucionar problemas identificados nas auto-avaliações das Áreas. Podem ser criados a qualquer momento e decorrentes de qualquer uma das ações-chave relacionadas anteriormente.

7.9 PLANO DE CONTINGÊNCIA Plano de ação estruturado, com indicação de responsáveis, para ser utilizado como alternativa no caso de ocorrência de uma determinada falha operacional, as quais devem ser mapeadas e suportadas por procedimentos voltados para assegurar a continuidade do negócio, ou seja, a garantia da não interrupção dos processos considerados imprescindíveis para o funcionamento da Fundação É muito importante que não se permita a concentração, em número reduzido de funcionários, de conhecimentos sobre os processos de trabalho, sobretudo aqueles alinhados à “continuidade do negócio”, devendo-se por em prática, para tal, ferramentas como manuais de procedimentos detalhados, rodízio de funcionários, treinamentos específicos e roteiro de ações para facilitar a execução dessas tarefas por outros usuários previamente selecionados (acessos, senhas etc). Outra medida importante é a definição de estratégias para “continuidade do negócio” em caso de panes no ambiente físico onde se trabalha. O ideal é que se tenha um ambiente em paralelo, para ser utilizado em caso de incêndios, greves etc.

27

Em relação aos dados da Fundação, deve-se manter arquivos de Back up, de preferência em meio magnético, e duplicados, em localidades fora do prédio onde se encontra instalada a Instituição. O que evitará a inviabilização da “continuidade do negócio” em caso de problemas físicos.

7.10 DISSEMINAR A CULTURA DA ÉTICA Enfatizar em treinamentos e sempre que possível orientar os empregados quanto aos princípios éticos e de conduta da organização.

7.11 IMPLANTAÇÃO DE ÁREA DE CONTROLES INTERNOS E COMPLIANCE

7.11.1 Política

− Deve ser clara, objetiva, adaptada ao negócio da Entidade, ao nível de risco etc.

− Definição de responsabilidades − Referência contínua ao Código de Ética. − Segregação de função

7.11.2 Comitê de Controles Internos e Compliance

− A coordenação deve ficar em nível de Staff. − Quantidade de pessoas dependerá do nível do negócio

Atribuições:

− Zelar pelos princípios estabelecidos na Política; − Estabelecer novas diretrizes, quando necessário; − Avaliar continuamente os trabalhos de Controle Interno; − Dirimir controvérsias; − Rever os parâmetros de riscos e controles; − Estabelecer periodicidade para reuniões e registro em atas;

28

− Avaliar metodologias de Controle Interno e Compliance.

7.11.3 Unidade de Controles Internos Pode ser tanto uma pessoa como uma área (dependendo do tamanho da Entidade/Risco).

Atribuições:

− Gerenciar Grupos de Trabalhos compostos por empregados de diversas

Unidades Administrativas; − Colocar em prática as decisões do Comitê de Controles Internos, bem como

representá-lo interna e externamente sempre que necessário; − Verificar, de modo sistemático, a adoção do cumprimento dos procedimentos

definidos para as atividades (inclui normatizações externas) dos processos existentes na Instituição;

− Coordenar e criar parâmetros para o processo de self assessment (avaliação dos riscos inerentes às atividades pelos próprios gestores);

− Zelar pelo cumprimento dos objetivos da Entidade (diretrizes estabelecidas em planejamentos, limites estabelecidos, procedimentos, leis e regulamentação);

− Participar da revisão periódica dos controles; − Centralizar as informações e responsabilizar-se pela confecção dos relatórios

periódicos sobre Controles Internos e Compliance; − Analisar, diariamente, as normatizações emitidas pelos órgãos normativos,

como SPC, CVM, Banco Central, CMN e outros organismos congêneres e acionar e conscientizar as unidades responsáveis pelo cumprimento, atuando como facilitador do entendimento das mesmas;

− Participar de grupos de trabalhos de entidades de classe (Abrapp/ ICSS / Sindapp etc.) de modo a manter a Entidade atualizada com as melhores práticas do mercado;

− Zelar pelo cumprimento e atualização do Código de Ética da Entidade; − Criar e atualizar, continuamente, canais de não-conformidades pelos

empregados; − Acompanhar e monitorar as comunicações e sugestões enviadas pelos

empregados da Entidade, através do Formulário de Sugestão de Melhorias de Controles;

− Participar, juntamente com outras unidades, de trabalhos com vistas à manutenção de segregação de funções e “Chinese Wall”;

− Colaborar para manter todos os empregados informados de suas responsabilidades, missão da empresa e diretrizes estratégicas;

− Criar bancos de dados, indicadores e modelo para questão do risco operacional.

29

7.11.4 Agente de Controles Internos Tem a função de controller dentro da área, para tanto, precisa receber treinamento adequado, conhecimento das políticas e procedimentos éticos etc. É uma espécie de facilitador (interface).

30

GLOSSÁRIO DE TERMOS TÉCNICOS Atividade É um conjunto de tarefas, similares e/ou complementares. Uma

atividade é caracterizada por consumir recursos, para produzir produtos ou serviços.

Continuidade do Negócio

Garantia da continuidade dos processos imprescindíveis para o funcionamento normal da Fundação.

Controles Internos e Compliance

Processo executado por pessoas na busca do alcance dos cinco objetivos do negócio: • Eficiência e eficácia; • Exatidão e integridade; • Confiabilidade; • Efetivo controle dos riscos; • Conformidade com leis e regulamentos.

Eficiência e Eficácia

Na eficiência, os controles são executados e possuem resultados reais e positivos. A eficácia mede a relação custo/benefício, ou seja, os benefícios compensam os custos do controle e não existem formas mais econômicas de se conseguir o mesmo resultado.

Indicadores de Performance

Medidores de desempenho definidos pelos gestores para avaliar a execução de uma atividade ou processo e seus resultados.

Matriz de Controles

Documento onde são registrados os processos, etapas e atividades das unidades de negócio, assim como os controles existentes e sua eficiência e eficácia, para minimizar os riscos identificados nas respectivas matrizes de riscos. São elaboradas pelos gestores das Áreas.

Matriz de Riscos

Documento onde são registrados os riscos identificados e a avaliação de seus impactos e probabilidade de ocorrência, para os processos, etapas e atividades das unidades de negócio. São elaboradas pelos gestores das Áreas.

Padrão Compromisso documentado, utilizado em comum e repetidas vezes pelas pessoas relacionadas a uma determinada função.

Processos Conjunto de atividades planejadas e inter-relacionadas, realizadas com o objetivo de gerar produtos ou serviços que atendam as necessidades de clientes, sejam internos ou externos, através da combinação de pessoas, métodos e ferramentas.

31

32

Risco Risco é o produto da probabilidade pelo impacto da ocorrência

de algo que poderia afetar a capacidade da empresa atingir seus objetivos de negócio. O risco pode variar de catastrófico (alto impacto) ao trivial (baixa probabilidade e baixo impacto) e pode ser negativo ou positivo em seus efeitos.

Risco de Contraparte

Risco de um devedor ou tomador deixar de cumprir os termos de qualquer contrato com a instituição ou de outra forma deixar de cumprir o que foi acordado.

Risco Legal Risco de perda resultante da inobservância de dispositivos legais ou regulamentares, da mudança da legislação ou de alterações na jurisprudência aplicáveis às transações da instituição.

Risco de Liquidez Risco de perda resultante da falta de recursos necessários ao cumprimento de uma ou mais obrigações em função do descasamento de atribuições e aplicações.

Risco de Mercado Risco de que o valor de um instrumento financeiro ou de uma carteira de instrumentos financeiros se altere, em função da volatilidade das variáveis existentes no mercado, causada por fatores adversos, políticos ou outros.

Risco Operacional

Risco de perda resultante das falhas de processos internos, de pessoas ou de sistemas inadequados, ou ainda da ocorrência de eventos externos.

ANEXO 1 – METODOLOGIAS DE CONTROLES

FOC

OFO

CO

GESTÃ

O D

E RISC

OS

GESTÃ

O D

E RISC

OS

FOC

OFO

CO

GESTÃ

O D

E RISC

OS

GESTÃ

O D

E RISC

OS

MONITORAMENTOMONITORAMENTO

INFORMAÇÃOINFORMAÇÃOEE

COMUNICAÇÃOCOMUNICAÇÃO

ATIVIDADEATIVIDADEDE CONTROLEDE CONTROLE

AVALIAÇÃOAVALIAÇÃODE RISCODE RISCO

AMBIENTEAMBIENTEDE CONTROLEDE CONTROLE

MONITORAMENTOMONITORAMENTO

INFORMAÇÃOINFORMAÇÃOEE

COMUNICAÇÃOCOMUNICAÇÃO

ATIVIDADEATIVIDADEDE CONTROLEDE CONTROLE

AVALIAÇÃOAVALIAÇÃODE RISCODE RISCO

AMBIENTEAMBIENTEDE CONTROLEDE CONTROLE

Ambiente InternoAmbiente Interno

Estabelecimento de Estabelecimento de ObjetivosObjetivos



Identificação de Identificação de EventosEventos

Avaliação de RiscosAvaliação de Riscos

Resposta aos Resposta aos RiscosRiscos




Atividade de Atividade de ControleControle

Informação e Informação e ComunicaçãoComunicação

MonitorizaçãoMonitorização

FOC

OFO

CO

ESTR

UTU

RA

DE

CO

NTR

OLE

SES

TRU

TUR

A D

E C

ON

TRO

LES

• Enfatiza a importância de identificar e de controlar riscos através da Empresa.

• A gestão de riscos éum tópico todo, abrangendo o controle interno.

• Quando cada órgão realizar a gestão de seus riscos, a visão éque estes riscos estarão agregados, proporcionando uma visão consolidada dos riscos da Empresa.

• Numa perspectiva mais ampla, a estrutura de gestão de riscos espera ser uma ferramenta estratégica para tomada de decisão e utilizada pelos stakeholdersmedirem como bom suas equipes da gerência estão assegurando os riscos que enfrentam.

ATUAL

PROPOSTA EM DISCUSSÃO NO COSO*

* Committee of Sponsoring Organizations of theTreadway Commission

34





Compreende elementos que são a base do negócio, processo e do gerenciamento dos riscos, incluindo a estrutura organizacional, os recursos humanos e físicos, a cultura e valores da companhia (valores éticos, integridade), as competências e habilidades.

A Alta Administração também faz parte do Ambiente Interno, pois além de influenciar os demais elementos, estabelece a filosofia de gerenciamento de riscos, estabelecendo o apetite ao risco e a cultura de riscos e controles.

Com a missão e visão definidas, os objetivos estratégicos são estabelecidos, com a definição de estratégias para o atingimento dos objetivos, também sendo definido os objetivos relacionados (Operacional; Reporte; e Controles Internos e Compliance).

Os Objetivos devem ser estabelecidos antes do gerenciamento identificar eventos com potencial para afetar as metas, visando assegurar o alinhamento entre a missão e visão com o apetite e tolerância ao risco.

Todo negócio possui riscos inerentes. Os eventos, internos e/ou externos, com potencial para impactara companhia devem ser identificados. Dentro destes, devem ser identificados os que representam oportunidades e/ou riscos. A instituição deve homogeneizar a linguagem destes eventos através de um dicionário comum e considerar os eventos com uma visão de portfólio.

Eventos potenciais com impacto negativo representam riscos, os quais necessitam de avaliação, resposta e gerenciamento contínuo.

Há eventos com impacto positivo que compensam alguns riscos e, portanto devem ser considerados, também, no gerenciamento de riscos.

Eventos potenciais com impacto positivo representam oportunidades e devem incorporar o gerenciamento da estratégia e a definição dos objetivos.

Os riscos identificados devem ser avaliados a fim de verificar os impactos associados com os objetivos e devem ser analisados para definição da maneira como devem ser gerenciados.Esta avaliação é feita em duas perspectivas: severidade versus probabilidade. A combinação destes fornece o grau do risco.

Componentes Propostos:

35


Atividade de Atividade de ControleControle

Informação e Informação e ComunicaçãoComunicação

MonitorizaçãoMonitorização

Os administradores devem alinhar os graus de riscos dos eventos identificados com o apetite e tolerância ao risco, dentro do contexto da estratégia e objetivos estabelecidos. Desta forma, as possíveis respostas são:

• Evitar o risco;

• Aceitar o risco;

• Mitigar o risco;

• Compartilhar o risco.

As decisões de resposta aos riscos devem manter seu grau dentro da tolerância da companhia com a elaboração e implementação de planos de ação efetivos e tempestivos aos riscos avaliados.

Após a definição das respostas, os riscos residuais devem ser reavaliados.

A atividade de controle é uma ferramenta para atingir os objetivos estabelecidos. Geralmente envolve duas atividades: políticas e procedimentos, os quais são estabelecidos e executados para garantir que as respostas aos riscos selecionados sejam efetivas.

As informações pertinentes ao negócio devem ser identificadas, avaliadas e comunicadas visando atender o processo de tomada de decisão. Todos os níveis da companhia devem ter acesso às informações para pleno exercício de suas atividades.

O desafio dos administradores é transformar uma grande quantidade de dados em informação útil e estruturada. Para isto, utilizam-se dos sistemas aplicativos e toda infra-estrutura tecnológica.

A informação é a base da comunicação, a qual deve garantir em todos os níveis da organização a transferência de informações integras, tempestivas e com qualidade.

O gerenciamento de riscos e o atingimento dos objetivos devem ser monitorados de duas maneiras:

• Avaliações contínuas.

• Avaliações periódicas.

Avaliações contínuas atuam em bases atuais e reagem dinamicamente às mudanças.

As avaliações periódicas trabalham com informações históricas e avaliam as tendências e mudanças verificadas em um determinado período.

O reporte das deficiências identificadas aos tomadores de decisão a fim de solucionar eventuais problemas também é fator crítico de sucesso deste componente.

ANEXO 2 - SÍMBOLOS GRÁFICOS PARA FLUXOGRAMAS

Símbolo Significado

Início/Fim

Ação, Trabalho, Operação

Decisão/Verificação

Conector de Fluxo

Arquivo

Relatório/Documento

Linha de Fluxo

Conector de Página

ANEXO 3 - CATEGORIAS DE RISCOS

Risco

Risco é todo fator, interno ou externo, que pode adversamente afetar o sucesso das operações de uma organização, de seus objetivos de informação e de Compliance.

Risco de Imagem

O Risco de Imagem representa o risco de haver danos na reputação da instituição junto a clientes, concorrentes, órgãos reguladores, parceiros comerciais etc.

Todos os Riscos de Mercado, Contraparte, Liquidez, Operacional e Legal trazem potencialmente Risco de Imagem.

1 - Risco de Mercado - Definição

É o risco de que o valor de um instrumento financeiro ou de uma carteira de instrumentos financeiros se altere, em função da volatilidade das variáveis existentes no mercado (taxa de juros, taxa de câmbio, ações, commodities etc.), causada por fatores adversos, políticos ou outros.

Tipo Definição Exemplos

1.1 - Risco de Taxa de Juros Risco de perda associado a variações adversas nas taxas de juros.

Variação nos preços de NTNs, BBCs, Eurobonds, rentabilidade de Brady Bonds etc.

1.2 - Risco de Taxa Cambial e Paridade

Risco de perda associado a oscilações das taxas de câmbio e/ou das paridades entre moedas estrangeiras.

Variação nos preços de NTN-Ds, NVC-Fs, de ativos internacionais negociados em moeda estrangeira etc.

Descasamento em uma carteira indexada a alguma moeda estrangeira.

Flutuação de câmbio.

1.3 - Risco de Commodities Risco de perda decorrente da desvalorização de mercado de carteira de commodities.

Variação nos preços de carteiras constituídas por café, ouro, boi, soja, cacau, minérios, petróleo, frutas, etc.

1.4 - Risco de Ações Risco de perda decorrente da variação no mercado de carteira de ações.

Variação nos preços de carteiras constituídas por ações como Petrobras PN, Vale PN, Eletrobrás PNB, ADRs da Usiminas PN etc.

1.5 – Risco de Liquidez Risco de perda devido à incapacidade de se desfazer rapidamente de uma posição ou obter funding devido às condições adversas do mercado.

Carteiras compostas por Eurobonds brasileiros, títulos ou ações de 2ª e 3ª linha; situação em que não é possível "rolar" dívidas nos mercados financeiros.

1.6 – Risco de Derivativos Risco de perda devido ao uso de derivativos, seja para especulação, seja para hedge.

Variações no valor das posições de contratos de swaps, a termo, futuros etc.

37

2 - Risco de Contraparte - Definição

É o risco de perda resultante da incerteza quanto ao recebimento de um valor contratado devido pelo tomador de um empréstimo, contraparte de um contrato ou emissor de um título.


2.1 - Risco de Inadimplência Risco de perda pela incapacidade ou não- disposição de pagamento do tomador de um empréstimo, contraparte de um contrato ou emissor de um título.

Não-pagamento de contrato de leasing, empréstimos pessoais, cartão de crédito, financiamentos de bens etc. Não- pagamento de títulos de renda fixa pelo emissor - nacionais ou internacionais.

2.2 - Risco de Degradação/ Inexistência de Garantias

Risco de perda pela degradação da qualidade das garantias oferecidas por um tomador de um empréstimo, contraparte de uma transação ou emissor de um título.

Empréstimos/financiamentos cujas garantias não existem ou que fiquem ilíquidas (imóveis).

Depreciação no valor das garantias depositadas em bolsas de derivativos.

2.3 - Risco de Compensação Risco de perda por inadimplência do financiado de uma transação, potencializada quando o contrato não contempla acordo de liquidação por compensação de direitos e obrigações (netting agreement). Risco de impossibilidade de compensação.

Repurchase transactions - operações de recompra que não contemplem o netting dos direitos/obrigações.

2.4 - Risco de Concentração Risco de perda decorrente da não diversificação de operações de crédito em determinados segmentos, clientes, áreas etc.

Grandes volumes de crédito concentrados em alguns setores da economia, alguns clientes ou regiões geográficas.

Possuir grande parte dos passivos de um devedor.

2.5 – Risco Corporativo Risco de perda decorrente da desvalorização da empresa participada.

Adoção de modelo atuarial inadequado;

Ruptura operacional no segmento de mercado da empresa participada.

2.6 – Risco de Participações Risco de perda decorrente da desvalorização do imóvel ou do investimento.

Adoção de metodologia de precificação inadequada;

Ruptura operacional da empresa participada.

3 - Risco do Passivo - Definição

É o risco de insuficiência de ativos para fazer face às obrigações junto aos participantes, ou seja, é o risco de que o crescimento do passivo seja superior ao ativo.


3.1 – Risco do Passivo Atuarial Risco de perda pelo descasamento entre obrigações a médio e longo prazo e os ativos da organização, devido à adoção de premissas atuariais que não se confirmem ou que se revelem agressivas e pouco aderentes à massa de participantes, ou do desempenho de modelo de gestão ou metodologias adotadas.

Utilização de modelo atuarial inadequado;

Erros nas estimativas de inflação.

38

4 - Risco Operacional - Definição

É o risco de perda resultante de processos internos, pessoas e sistemas inadequados ou falhos, ou de eventos externos.


4.1 - Fraude Interna Risco de perda por atos realizados com a intenção de fraudar, de subtrair propriedade alheia ou de infringir regras, leis ou políticas internas, envolvendo pelo menos um funcionário da empresa.

Extrapolação de alçadas.

Conflito de interesses.

Acesso não autorizado às informações e recursos tecnológicos.

Divulgação indevida ou não autorizada de informações da empresa.

Apropriação indébita.

4.2 - Fraude Externa Risco de perda por atos realizados por pessoas que não pertencem à organização com a intenção de fraudar, de apropriar-se indevidamente de propriedade alheia ou de infringir leis.

Estelionato.

Roubo.

Assalto.

Falsidade ideológica.

4.3 - Relações Trabalhistas, Ambiente de Trabalho e Discriminação

Risco de perda por práticas incompatíveis com leis/acordos versando sobre as relações trabalhistas, a saúde e a segurança no ambiente de trabalho, de pagamentos de reclamações por danos pessoais, eventos envolvendo qualquer tipo de discriminação. incapacitação do empregado e falta de definição de responsabilidades e atribuições.

Compensações pecuniárias, benefícios e desligamentos.

Greve.

Apontamento e controle inadequado de férias, horas extras, atrasos, faltas, registro de ponto.

Eventos envolvendo a saúde dos empregados e as regras de segurança.

Assédio sexual.

Assédio moral.

Protecionismo.

4.4 - Produtos, Clientes e Práticas de Negócios

Risco de perda por falhas não intencionais ou por negligência no cumprimento de uma obrigação profissional para clientes específicos (incluindo exigências fiduciárias e de conformidade), ou da natureza/desenho de um produto.

Descumprimento pela Instituição de obrigações contratuais/legais.

Quebra de privacidade.

Abuso de confiança.

Atitudes desonestas ou desleais.

Violação de direitos de terceiros. Exemplo: quebra de direitos autorais; uso de software sem a licença do fabricante.

Avaliação inadequada de clientes.

Contestação sobre a performance de operações sugeridas.

4.5 - Danos aos Ativos Físicos Risco de perda ou danos em ativos físicos em virtude de desastre natural ou outros eventos de grande relevância.

Perdas resultantes de desastres naturais.

Perdas humanas causadas por fontes externas (seqüestro, terrorismo, vandalismo, guerra etc.).


4.6 - Interrupção de Atividades e Falhas de Tecnologia de Informação

Risco de perdas associadas à interrupção de atividades ou falhas/ineficiência da infra-estrutura tecnológica.

Indisponibilidade de dados por interrupção da comunicação, energia elétrica ou falta de plano de backup.

Interrupção de serviços em função de contaminação por vírus

39

eletrônico.

Obsolescência ou sobrecarga de equipamentos/softwares ou de comunicações.

4.7 - Gerenciamento e Execução de Processos

Risco de perda por problemas no processamento e gerenciamento de processos, ou nas relações com parceiros comerciais, vendedores e fornecedores.

Perdas ou inconsistência de dados em transferências entre sistemas (interfaces).

Erros na implementação de produtos/regras de negócio em sistemas.

Inexistência de garantias formais (notas promissórias/contratos devidamente preenchidos, assinados e conferidos).

Documentos legais incompletos ou ausentes.

Quebra de responsabilidades.

5 - Risco Legal - Definição

É o risco de perda resultante da inobservância de dispositivos legais ou regulamentares, da mudança da legislação ou de alterações na jurisprudência aplicáveis às transações da organização.


5.1 – Risco de Legislação Risco de perda decorrente de sanções por reguladores e indezações por danos a terceiros, em razão de violação da legislação ou regulamentos vigentes.

Multas por não cumprimento de exigibilidades;

Indenizações pagas por não cumprimento da legislação.

5.2 – Risco Tributário Risco de perda devido à criação, modificação ou à inadequada interpretação da incidência de tributos.

Criação de impostos novos sobre ativos / produtos.

Recolhimento de novas contribuições sobre receitas.

40

ANEXO 4 – GESTÃO CONTÁBIL CONTABILIDADE

FINANCEIRA CONTABILIDADE

GERENCIAL Clientela Externa: Acionistas, credores,

autoridades tributárias.

Interna: Funcionários, administradores, executivos

Propósito Reportar o desempenho passado às partes externas; contratos com proprietários e credores.

Informar decisões internas tomadas pelos funcionários e gerentes; feedback e controle sobre desempenho operacional; contratos com proprietários e credores.

Data Histórica, atrasada. Atual, orientada para o futuro.

Restrições Regulamentada: dirigida por regras e princípios fundamentais da contabilidade e por autoridades governamentais.

Desregulamentada: sistemas e informações determinadas pela administração para satisfazer necessidades estratégicas e operacionais.

Tipo de Informação Somente para mensuração financeira.

Mensuração física e operacional dos processos, tecnologia, fornecedores e competidores.

Natureza da Informação Objetiva; auditável; confiável; consistente; precisa.

Mais subjetiva e referenciada em critérios internos; válida; relevante; acurada.

Escopo Muito agregada; reporta toda a empresa.

Desagregada; informa as decisões e ações locais.

41

ANEXO 5 – EXEMPLO DE TESTE DE CONFORMIDADE – RES. BACEN Nº 3.121/2003

1. A política de Investimentos atende ao preconizado no art.7º § 1º itens I a VII?

2. As análises (cenários, memórias de cálculo, dentre outros) que fundamentaram a elaboração da

Política estão documentadas para futuros questionamentos (Conselho de Curadores, Conselho

Fiscal)?

3. Os prazos de envio a SPC do conteúdo da Política, bem como a aprovação do Conselho Fiscal dos

custos com administração e acompanhamento foram cumpridos?

4. As aplicações de renda fixa, renda variável, imóveis e empréstimos estão enquadradas dentro dos

limites estabelecidos para os segmentos de aplicação? Existe uma área responsável por este

monitoramento e qual sua periodicidade?

5. Caso haja desenquadramento, existe plano de ação estabelecido?

6. O contrato com o agente custodiante está devidamente formalizado? As condições estabelecidas para

a liquidação das operações (prazos, fluxo de informações, alçadas de aprovação) estão sendo

cumpridas por ambas as partes? A segregação de funções entre o agente custodiante e os gestores

de fundos de investimento é observada?

7. Existem ferramentas de análise de risco de crédito? Como estão documentadas (pareceres,

relatórios)?

8. Há metodologia definida para seleção e rodízio de gestores de recursos? Identificar a ocorrência de

concentração operacional.

9. Todos os títulos possuem o código ISIN? Caso contrário, a SPC foi devidamente notificada?

42

manual de controles interno e compliance.pdf

Documents