Upload
ledung
View
215
Download
0
Embed Size (px)
Citation preview
UNIVERSIDADE CÂNDIDO MENDES PÓS-GRADUAÇÃO “LATO SENSU”
PROJETO A VEZ DO MESTRE
A IMPORTÂNCIA DA AUDITORIA INTERNA E DA GESTÃO DE RISCOS EM UMA INSTITUIÇÃO BANCÁRIA
Por: Marcus Vinícius Gonzalez de Melo
Orientador: Prof (a) Ana Claudia Morrissy
Rio de Janeiro 2012
DOCU
MENTO
PRO
TEGID
O PEL
A LE
I DE D
IREIT
O AUTO
RAL
1
UNIVERSIDADE CÂNDIDO MENDES PÓS-GRADUAÇÃO “LATO SENSU”
PROJETO A VEZ DO MESTRE
A IMPORTÂNCIA DA AUDITORIA INTERNA E DA GESTÃO DE RISCOS EM UMA INSTITUIÇÃO BANCÁRIA
Apresentação de monografia ao Instituto A
Vez do Mestre – Universidade Cândido
Mendes como requisito parcial para
obtenção do grau de especialista em
Auditoria e Controladoria.
Por: Marcus Vinícius Gonzalez de Melo
3
DEDICATÓRIA
À querida esposa e amiga Andréa
pelo incentivo e apoio de sempre
nos meus projetos de vida e aos
meus pais Ajauri e Lucia pela
minha formação educacional.
4
RESUMO
Esta monografia tem como objetivo identificar os riscos mais relevantes na atividade
bancária e expor o conceito e a importância do controle interno, dos seus sistemas de
informações financeiras, operacionais e gerenciais, além do cumprimento das normas
legais a elas aplicáveis.
5
METODOLOGIA
Esta monografia foi elaborada a partir de um levantamento bibliográfico, por meio de
artigos, publicações na internet, livros, normativos, dentre outros, cuja finalidade é expor
os conceitos, processos e objetivos da auditoria interna e da gestão de riscos em um
ambiente bancário.
A partir desta análise, foram selecionados os pontos básicos para compreensão do tema,
constituindo um entendimento lógico que possibilitasse o alcance do objetivo geral.
6
SUMÁRIO
INTRODUÇÃO ..............................................................................................07
CAPÍTULO I A Evolução Histórica da Auditoria ..............................................................................................09
1.1- O surgimento da auditoria...............................................................................................09 1.2- Evolução da Auditoria no Brasil.....................................................................................10 1.3- Legislação aplicável à Auditoria.....................................................................................11
CAPÍTULO II Auditoria Interna: o conceito, a importância e o alcance e o posicionamento hierárquico .........13
2.1- O Conceito de Auditoria Interna ................................................................................13 2.2 A importância e o alcance da auditoria interna ....................................................14 2.3- O Posicionamento hierárquico da auditoria interna ....................................................18
CAPÍTULO III Definições e importância dos controles internos no ambiente bancário ........................21
3.1- Os componentes do controle interno em uma instituição bancária ........................26 3.1.1 Alçadas e limites ..............................................................................................26
3.1.2 Segregação de tarefas ..............................................................................................26 3.1.3 Acesso físico ..............................................................................................27 3.1.4 Acesso lógico ..............................................................................................27 3.1.5 Autorizações ..............................................................................................27 3.1.6 Conciliação ..............................................................................................28 3.1.7 Delimitação de responsabilidades ....................................................28 3.1.8 Disponibilização e padronização de informações ....................................................28 3.1.9 Execução de plano de contingência ....................................................28 3.1.10 Manutenção de registros ..............................................................................................28 3.1.11 Monitoração ..............................................................................................29 3.1.12 Normatização interna ..............................................................................................29 3.1.13 Validação ..............................................................................................29
CAPÍTULO IV O método COSO (Committee of Sponsoring Organization of the Treadway Commission )........31
4.1 Ambiente de controle ................................................................................32 4.2 Avaliação de riscos ................................................................................32 4.3 Atividades de controle ................................................................................32 4.4 Informação e comunicação ................................................................................33 4.5 Monitoramento ................................................................................34
CAPÍTULO V Ambiente regulatório ................................................................................35
5.1 O Acordo de Basiléia I ................................................................................35 5.2 O Acordo de Basiléia II ................................................................................36
CAPÍTULO VI Gestão de risco em uma instituição bancária ................................................................................37
6.1 Os tipos de riscos ................................................................................37 6.2 Identificação e avaliação de riscos ................................................................................39 6.3 Os riscos e a organização ................................................................................40
CONCLUSÃO ................................................................................41
8
INTRODUÇÃO
O cenário atual do ambiente das organizações vem demandando, cada vez mais, a adoção
de medidas e técnicas de acompanhamento e controle que visam minimizar falhas e evitar problemas
que coloquem em risco a imagem da entidade, diante dos acionistas, dos clientes e do mercado em
geral. Essa nova postura corporativa tem proporcionado a materialização e a aplicação de diversos
mecanismos, objetivando não apenas detectar e mensurar possíveis problemas, assim como o
oferecimento de alternativas de soluções. Entre esses mecanismos, destacam-se as políticas de gestão
de riscos relacionadas à auditoria interna. Enquanto a auditoria externa tem por finalidade emitir
pareceres sobre as demonstrações financeiras, a auditoria interna tem como função principal avaliar o
processo de gestão, no que se refere aos seus diversos aspectos, tais como a governança corporativa,
gestão de riscos e procedimentos de aderência às normas regulatórias, apontando eventuais desvios e
vulnerabilidade as quais a organização esta sujeita.
Diante desse cenário, e ainda, as novas exigências regulatorias que seguem a tendência
mundial de fortalecimento (cada vez mais evidenciado nas estruturas de controle) tem aumentado
consideravelmente por parte das organizações a criação ou o aperfeiçoamento do controle de riscos,
levando, por conseqüência, o aumento do grau de importância das atividades desempenhadas pela
auditoria interna. Nesse sentido, a importância da auditoria interna no processo de gestão tem
aumentado a exigência por um alto grau de especialização do quadro de auditores, o que pressupõe
uma equipe com visão multidisciplinar, atuando de forma coordenada e tendo como finalidade básica
o assessoramento da administração por meio do exame e avaliação, entre outros, os seguintes aspectos:
a) adequação e eficácia dos controles; b) integridade e confiabilidade das informações e registros; c)
integridade e confiabilidade dos sistemas estabelecidos para assegurar a observância das políticas,
metas, planos, procedimentos, leis, normas e regulamentos, assim como da sua efetiva utilização; d)
eficiência, eficácia e economicidade do desempenho e utilização dos recursos, dos procedimentos e
métodos de salvaguardas dos ativos e a comprovação de sua existência, assim como a exatidão dos
ativos e passivos; e) compatibilidade das operações e programas com os objetivos, planos e meios de
9
execução estabelecidos; f) mensuração dos problemas e riscos, assim como o oferecimento de
alternativas de solução. Portanto, a estruturação de uma equipe multidisciplinar e devidamente
capacitada e condição sine qua non para a eficiência e eficácia dos trabalhos, uma vez que as
avaliações dependem da correta decodificação de percepções sobre diferentes assuntos, no que se
refere às pessoas, a logística, aos controles, ao processo de gestão administrativa, entre outros.
10
Capítulo 1- A Evolução Histórica da Auditoria.
1.1- O surgimento da auditoria
Segundo Attie (2011; p.7) “o surgimento da auditoria está ancorado na necessidade de
confirmação por parte dos investidores e proprietários quanto à realidade econômico-financeira
espelhada no patrimônio das empresas investidas e, principalmente, em virtude do aparecimento de
grandes empresas multigeograficamente distribuídas e simultâneo ao desenvolvimento econômico que
propiciou participação acionária na formação do capital de muitas empresas”.
“A contabilidade foi a primeira disciplina desenvolvida para auxiliar e informar o
administrador, sendo ela a formadora de uma especialização denominada auditoria, destinada a ser
usada como uma ferramenta de confirmação da própria contabilidade. Em essência, a causa da
evolução da auditoria, que é decorrente da evolução da contabilidade, foi a do desenvolvimento
econômico dos países, síntese do crescimento das empresas e da expansão das atividades produtoras,
gerando crescente complexidade na administração dos negócios e de práticas financeiras como uma
força motriz para o desenvolvimento da economia de mercado”.
Conforme Attie, não se tem conhecimento da data de início da atividade de auditoria. Todavia, sabe-se somente que:
Ø Em 1314 foi criado o cargo de auditor do tesouro da Inglaterra; Ø Em 1559 houve a sistematização e estabelecimento da auditoria dos pagamentos a servidores
públicos pela rainha Elizabeth I; Ø Em 1880 criação da Associação dos Contadores Públicos Certificados (Institute of Chartered
Accountants in England and Wales), na Inglaterra; Ø Em 1886 criação da Associação dos Contadores Públicos Certificados (AICPA), nos Estados
Unidos; Ø Em 1894 criação do instituto Holandês de Contadores Públicos; Ø Em 1934 criação do SEC (Security and Exchange Commission), nos Estados Unidos.
“Foi a partir da criação do SEC, em 1934, nos Estados Unidos, que a profissão de auditor assume
importância e cria um novo estímulo, uma vez que as empresas que transacionavam ações na Bolsa de
Valores foram obrigadas a utilizar os serviços de auditoria para dar maior credibilidade a suas
demonstrações contábeis”.
11
1.2- Evolução da Auditoria no Brasil
A evolução da auditoria no Brasil relaciona-se com a instalação de empresas internacionais
de auditoria independente, dado que os seus respectivos investimentos foram neste País implantados e
compulsoriamente tiveram as suas demonstrações contábeis auditadas. Neste sentido, as principais
características que possibilitaram o desenvolvimento da auditoria no Brasil foram: a) filiais e
subsidiárias de empresas estrangeiras; b) financiamento de empresas brasileiras por entidades
internacionais; c) crescimento das empresas brasileiras juntamente com a descentralização e
diversificação de suas atividades econômicas; d) evolução do mercado de capitais; e) criação das
normas de auditoria promulgadas pelo Banco Central do Brasil em 1972; e f) criação da Comissão de
Valores Mobiliários e da Lei das Sociedades por ações, em 1976.
É importante destacar que a Lei das Sociedades por Ações (Lei n. 6404, de 1976)
determinou que as companhias abertas, além de observarem as normas editadas pela Comissão de
Valores Mobiliários, serão obrigatoriamente auditadas por auditores independentes registrados na
mesma comissão. Segundo esta Lei, a companhia é aberta ou fechada conforme os valores mobiliários
de sua emissão estejam ou não admitidos à negociação em bolsa ou no mercado de balcão. Por outro
lado, a definição de companhia aberta é mais ampla que o conceito fiscal de sociedade de capital
aberto, pois toda companhia que faz apelo à poupança pública, cria, ao ingressar no mercado de
capitais, relações que inexistem na companhia fechada e que exigem disciplina própria para proteção
da economia popular e no interesse do funcionamento regular e do desenvolvimento do mercado de
valores mobiliários.
A Lei 6.385, de 7 de dezembro de 1976 criou a Comissão de Valores Mobiliários e
estabeleceu a disciplina e fiscalização para as atividades de auditoria das companhias abertas,
conferindo à Comissão o exame (a seu critério) dos registros contábeis, livros ou documentos dos
auditores independentes. Segundo esta Lei somente as empresas de auditoria contábil ou os auditores
contábeis independentes registrados na Comissão de Valores Mobiliários poderão auditar as
demonstrações contábeis de companhias abertas e de instituições, sociedades ou empresas integrantes
do sistema de distribuição e intermediação de valores mobiliários. Ademais, estabeleceu que as
12
companhias de auditoria contábil ou auditores contábeis independentes responderão, civilmente, pelos
prejuízos que causarem a terceiros em virtude de culpa ou dolo no exercício de suas atribuições.
1.3- Legislação aplicável à Auditoria
A legislação aplicável às Sociedades por Ações conferida pela Lei n. 6.404, de 15 de
dezembro de 1976, foi atualizada pela Lei número 11.638, que foi sancionada em 28 de dezembro de
2007. Contudo, algumas mudanças foram realizadas permitindo a modernização das normas brasileiras
àquelas internacionais denominadas como Normas Internacionais de Relatórios Financeiros (IFRS).
O Conselho Federal de Contabilidade criou, por meio da Resolução 1055/05, o Comitê de
Pronunciamentos Contábeis, que em sua origem no trabalho combinativo e democrático envolveu,
além do Conselho Federal de Contabilidade, outros organismos constituídos e divulgadores de
opinião, como o IBRACON, a Bolsa de Valores dentre outras, cujo conteúdo é prover a normatização
aplicável aos eventos contábeis e financeiros de forma a constituir um conjunto adequado e uniforme
às diversas instituições organizadas. A partir da Deliberação 520, de 15 de maio de 2007, a Comissão
de Valores Mobiliários (CVM) passou a emitir os pronunciamentos em conjunto com o Cômite de
Pronunciamentos Contábeis (CPC).
Em 2001, no exterior, a Comissão Européia determinou a adoção das Normas
Internacionais de Contabilidade (IAS) que tinham sido emitidas pelo Internacional Accounting
Standards Comittee (IASC) como sendo fundamentais para o preparo das demonstrações contábeis
então aplicáveis para as empresas de capital aberto da Comunidade Europeia. A partir deste evento, o
International Accounting Standards Board (IASB), o qual se tornou o organismo responsável, ao
estilo do nosso Comitê de Pronunciamentos Contábeis, pela emissão de normas contábeis para as
empresas de capital aberto da Comunidade Européia.
Já em 2005, as empresas da Comunidade Europeia adotaram as Normas Internacionais de
Relatórios Financeiros (IFRS), e imediatamente grande parte das empresas que transacionavam em
bolsas de valores europeias passam a adotar as referidas normas. Entretanto, a consequência dessas
determinações no Brasil foi rapidamente refletido pela publicação da Comissão de Valores Mobiliários
13
(CVM), da Deliberação 594 (revoga a 489/05) de 15 de setembro de 2009 aplicável às provisões,
passivos e ativos contingentes, dentre outras.
14
Capítulo 2- Auditoria Interna: o conceito, a importância e o alcance e o posicionamento hierárquico.
2.1- O Conceito de Auditoria Interna
A Auditoria Interna tem por finalidade desenvolver um plano de ação que auxilie a
organização a alcançar seus objetivos adotando uma abordagem sistêmica e disciplinada para a
avaliação e melhora da eficácia dos processos de gerenciamento de riscos com o objetivo de adicionar
valor e melhorar as operações e resultados de uma organização. Para o BACEN (2008, p.5), a
auditoria interna é definida como uma atividade de assessoramento à Administração, voltada para a
avaliação e a adequação dos sistemas de controle interno, em relação às atribuições e aos planos,
metas, objetivos e políticas definidos para o Banco Central.
O The Institute of Internal Auditors – IIA, instituto com representatividade global de
auditores internos, sediado nos Estados Unidos da América define que: “Auditoria interna é uma
atividade independente e objetiva que presta serviços de avaliação (assurance) e consultoria e tem
como objetivo adicionar valor e melhorar as operações de uma organização. Desse modo, ela auxilia a
organização a alcançar seus objetivos através de uma abordagem sistemática e disciplinada para a
avaliação e melhoria da eficácia dos processos de gestão de riscos, de controle e governança
corporativa. (AUDIBRA, 2006, p.25).
Por outro lado, a definição do CFC para a auditoria interna na área contábil está descrita na
NBC T12 transcrita a seguir: “A Auditoria Interna compreende os exames, análises, avaliações,
levantamentos e comprovações, metodologicamente estruturados para a avaliação da integridade,
adequação, eficácia, eficiência e economicidade dos processos, dos sistemas de informações e de
controles internos integrados ao ambiente e de gerenciamento de riscos, com vistas a assistir à
administração da entidade no cumprimento de seus objetivos”.
15
2.2. A importância e o alcance da Auditoria Interna.
O objetivo geral da Auditoria Interna é avaliar e prestar auxílio à alta Administração e
desenvolver adequadamente suas atribuições, proporcionando-lhes análises, recomendações e
comentários objetivos, acerca das atividades examinadas. O auditor interno deve, portanto, preocupar-
se com qualquer fase das atividades da empresa na qual possa ser de utilidade à Administração. Para
conseguir o cumprimento deste objetivo geral de serviços à administração, há necessidades de
desempenhar atividades tais como: a) revisar e avaliar a eficácia, suficiência e aplicação dos controles
contábeis, financeiros e operacionais; b) definir a extensão do cumprimento das normas, dos planos e
procedimentos vigentes; c) determinar a extensão dos controles sobre a existência dos ativos da
empresa e da sua proteção contra todo tipo de perda; d) determinar o grau de confiança das
informações e dados contábeis e de outra natureza, preparados dentro da empresa; e) avaliar a
qualidade alcançada na execução de tarefas determinadas para o cumprimento das respectivas
responsabilidades, e f) avaliar os riscos estratégicos e de negócio da organização.
Almeida (2007) argumenta que com a expansão dos negócios houve a necessidade de dar
maior ênfase às normas ou aos procedimentos internos, devido ao fato de que o administrador, ou em
alguns casos o sócio da empresa não poderia supervisionar pessoalmente todas as suas atividades. O
autor ainda destaca que o auditor externo ou independente passava um período de tempo muito curto
nas empresas e canalizava o seu trabalho para a análise das demonstrações contábeis. Por outro lado,
para atender a Administração da empresa seria necessária uma auditoria periódica que atendesse com
maior profundidade as outras áreas não relacionadas com a contabilidade, tais como: o sistema de
controle de qualidade, administração de pessoal, dentre outras. Logo, aparece a figura do auditor
interno, cuja atividade fim é verificar se os procedimentos internos estão sendo cumpridos relatando-
os à Administração, em oposição ao auditor externo que possui a missão de emitir uma opinião sobre
as demonstrações contábeis ao público externo.
É importante destacar que a independência é condição essencial para se obter resultados
positivos nos trabalhos desenvolvidos pela Auditoria Interna e que possui dois aspectos principais: a)
16
A categoria de Auditor Interno dentro da Organização e o apoio que lhe delega a administração são
fatores determinantes do valor e da amplitude dos serviços que a mesma obterá da função de Auditoria
Interna. Por conseguinte, o Gerente da área de Auditoria Interna deverá atuar sob as ordens de um
administrador de grau suficiente dentro da empresa que lhe assegure um amplo campo de ação e
atenção adequada aos resultados de suas investigações e recomendações, e a efetivação das medidas
sugeridas pelo Auditor; b) já que a mais completa objetividade é essencial à função de Auditoria, os
Auditores Internos não devem planejar nem implantar procedimentos, escriturar registros, ou ter
participação em atividades que, normalmente, devem revisar e avaliar.
As empresas impulsionadas em divulgar sua imagem e seus produtos necessitam de algo
mais concreto na questão confiança no mercado, para que isto ocorra não basta que os próprios
executores de suas tarefas sejam os responsáveis por resposta de grande proporção. Neste sentido,
cria-se então a Auditoria Interna como um departamento de análise, avaliação e credibilidade nas
informações a serem divulgadas. Por outro lado, há um conjunto de fatores que sustentam a
necessidade da criação de um departamento de Auditoria Interna, tais como: 1) Ambiente
Empresarial Contemporâneo em Mudanças: A constante mudança no cenário empresarial exigiu
que as empresas buscassem auxílios para o gerenciamento; 2) Grau de Organização: Uma das
funções mais importantes da Auditoria Interna é exatamente avaliar, criar, adaptar e ajustar os
controles internos à realidade da empresa. E esta função contribui para o sucesso da empresa, no
tocante a este grau de organização; 3) Dispersão Geográfica da Empresa: Fato que justifica a criação
de um departamento de Auditoria Interna com intuito de acompanhamento contínuo das atividades,
fazendo valer o cumprimento das normas e procedimentos determinados pela matriz; 4) Aumento da
complexidade organizacional: A implantação do departamento de Auditoria Interna vem a viabilizar
uma análise promovendo melhorias nos circuitos e procedimentos vigentes, promovendo um
acompanhamento nas rotinas indicando melhorias nos processos já existentes e se necessários a
reformulação; 5) Globalização: a dimensão do negócio causou impacto relevante na estrutura
organizacional. Como acompanhar os processos de transmissão de informações que são gerados a cada
segundo, e manter esta estrutura sólida capaz de atender seus clientes sem falhas nos processos. Nesta
17
evolução forma-se uma equipe de auditores que prestam assessoria aos administradores auxiliando-os
na gestão dos negócios; 6) Avanço tecnológico: Junto com este avanço os procedimentos e os
sistemas sofrem alterações, sendo necessário um acompanhamento dos auditores à adequação de
novos processos e a validação destes; 7) Competitividade: A contribuição dos auditores em relação à
competitividade no mercado trouxe às empresas um apoio indispensável com avaliação nos controles
internos e redução nos custos incorridos nos produtos fabricados; 8) Economicidade: cabe a Auditoria
Interna fornecer subsídios para os administradores que sirvam de orientação para a tomada de decisão
e avaliação de riscos em investimentos.
18
CUSTOS TÍPICOS BENEFÍCIOS TÍPICOS
A implantação do controle requer, previamente, a análise do tempo que seria despendido de outra maneira em responsabilidades operacionais.
A contabilidade aperfeiçoada salvaguarda mais eficazmente o patrimônio.
Os sistemas de controle exigem, freqüentemente, documentação que tem um custo associado.
O controle melhorado dos recursos usados na produção.
O processo de autorização, num sistema de controle, envolve várias hierarquias de gestão, exigindo um tempo substancial da gestão de nível superior.
A concordância com as políticas e procedimentos ocorre, com mais probabilidade, com verificações e comparações consolidadas.
Por vezes, os sistemas de controle estão em conflito direto com os objetivos operacionais. Por exemplo, as encomendas por telefone podem ser mais eficientes, mas os requisitos do sistema de controle podem exigir que as encomendas sejam colocadas por escrito quando a importância exceda o limite estabelecido.
A não preocupação com a eficiência através de medidas de eficácia.
Quadro 1 –Resumo dos Benefícios de uma Implantação da Auditoria Interna.
Com a expansão das atividades e dos processos, sentiu-se a necessidade de dar maior
ênfase às normas ou aos procedimentos internos, diante do fato de que, de acordo com o crescimento
das organizações, o administrador, ou proprietário da empresa, não poderia supervisionar
pessoalmente todas as etapas das diversas atividades de seu negócio. Desta forma, para atender a
necessidade da administração das empresas seria necessário um auditor mais permanente, que pudesse
executar sua atividade com maior grau de profundidade, conhecendo melhor as diversas atividades da
empresa que estão relacionadas com a contabilidade (controles internos, administração de estoques,
administração de pessoal e administração dos processos, entre outros).
Attie entende que a importância que a auditoria interna tem em suas atividades de trabalho
serve para a administração como meio de identificação de que todos os procedimentos internos e
políticas definidas pela companhia, os sistemas contábeis e de controles internos estão sendo
efetivamente seguidos, e todas as transações realizadas estão refletidas contabilmente em concordância
com os critérios previamente definidos. Nesse sentido, surgiu a auditoria interna, como uma
ramificação da auditoria externa ou independente. O auditor interno é um funcionário da empresa, e
dentro da organização ele não deve estar subordinado àqueles cujo trabalho examina. O auditor interno
19
também não deve desenvolver atividades que possa vir um dia a examinar, para que não interfira em
sua independência.
Portanto, os resultados do trabalho da Auditoria Interna, além de se constituírem em algo
precioso para a satisfação dos Gestores do alto comando, fornecem recomendações corretivas e
preventivas à exposição da organização face aos riscos empresariais que podem ser de natureza;
sistêmica, operacional, financeira, tecnologia da informação, recursos humanos, mercadológicos e de
fatores externos que podem impactar os resultados e estratégias globais da empresa. Assim,
adicionalmente, o trabalho eficaz da auditoria interna libera os Gestores para a condução e o
gerenciamento dos negócios, permitindo-lhes exercer com segurança o processo decisório sobre as
importantes transações Empresariais.
2.3- O Posicionamento hierárquico da auditoria interna.
Em relação à organização do departamento, um ponto de maior relevância é a autonomia e
independência com que conta o departamento de Auditoria Interna da empresa. Nesse sentido, o nível
ao qual o departamento se reporta pode desde logo indicar o grau de independência e autonomia dos
auditores internos.
De acordo com Mello (2005), a auditoria interna é: “Uma atividade de avaliação independente e de assessoramento da administração, voltada para o exame e avaliação da adequação, eficiência e eficácia dos sistemas de controle, bem como da qualidade do desempenho das áreas em relação às atribuições e aos planos, metas, objetivos e políticas definidos pelas mesmas. A ação da auditoria interna estende-se por todos os serviços, programas, operações e controles existentes na entidade. O posicionamento da Auditoria Interna na organização deve ser suficientemente elevado para permitir-lhe o desempenho de suas responsabilidades com abrangência e independência. Em tese, o departamento de auditoria deve sempre estar vinculado ao nível mais alto da organização”.
Para que esta autonomia e independência possam ser consideradas adequadas, torna-se
necessário que a auditoria interna se reporte ao conselho da Direção ou a Diretoria Máxima da
empresa, de modo a poder realmente escapar das ingerências e pressões, bem como manter a liberdade
de agir sobre todas as áreas da organização, sem restrições. Por outro lado, uma subordinação a grau
menor pode criar situações, impossibilitando a execução de seus trabalhos de forma independente.
Entretanto, seria necessário lembrar que o mero posicionamento hierárquico, diretamente sob a direção
20
maior da empresa, não é em si, apenas, uma adequada resposta à existência de independência e
autonomia através do suporte da direção.
A extensão em que esse suporte de fato existe somente pode ser apurada da discussão
franca com a direção de modo a verificar em que grau a direção considera sua auditoria interna
realmente autorizada a examinar vertical e horizontalmente a ações empresariais.
A Auditoria Interna, colocada dessa forma, em nível recomendável para efeito do bom
controle Interno, ficaria situada da seguinte forma em uma estrutura organizacional:
No entanto, o organograma apresentado não é a única forma em que um departamento de
auditoria interna pode se apresentar na estrutura. Poderia ainda haver uma ramificação do
departamento de auditoria interna em cada diretoria, em função do tamanho e da dimensão de cada
departamento. Também devemos considerar empresas e sociedades que formam uma holding. Nesse
caso, apenas a administração da empresa investidora ou controladora possui departamento de auditoria
interna nas sociedades controladas e coligadas.
Tanto a auditoria externa quanto a interna utilizam os mesmos procedimentos de auditoria,
quando cabíveis, baseados no ponto de controle interno identificado e de acordo com o grau de
extensão das atividades aplicadas. A auditoria externa muitas vezes utiliza os trabalhos da auditoria
interna para emitir sua conclusão sobre a opinião, de acordo com os trabalhos desenvolvidos.
Resumidamente, veja as principais diferenças entre auditoria externa e interna no quadro a seguir.
21
Quadro 2
Apesar de a auditoria externa e a auditoria interna aplicarem procedimentos semelhantes em
suas atividades, elas são diferentes e se identificam de acordo com a extensão de seus trabalhos e pela
independência da auditoria quando externa para formar opinião sem interferência da empresa.
22
Capítulo 3- Definições e importância dos controles internos no ambiente bancário
Um controle interno pode ser definido como um instrumento de medida, de avaliação ou de
regulamentação dos desempenhos operacionais adotados pelas instituições financeiras em todas as
suas áreas de atuação, com especial atenção àquelas funções que possam expor a instituição a maiores
riscos e, em conseqüência, gerar maiores perdas1.
Martin (2006) ao definir o conceito de Controle Interno, expõe alguns pontos chaves que
devem ser considerados. Primeiramente, o Controle Interno deve ser entendido como um processo,
pois é constituído de diversas atividades que são executadas repetitivamente. Esse processo existe
como um meio para atingir um fim, que são os objetivos da organização. Logo, o Controle Interno não
é e também não pode ser um fim em si mesmo. Em segundo lugar, o Controle Interno é uma atribuição
de todas as pessoas, de todos os níveis da organização, visto que no dia-a-dia de suas atividades, todos
colaboradores têm alguma tarefa / atividade de controle. Neste caso, Martin (2006) versa que o
controle interno é um dos processos básicos de gestão e é realizado para que todos os demais
processos, atividades, operações e transações permaneçam sempre focados nos objetivos, evitando que
haja desvios em relação a esse foco, os quais, quando detectados, devem ser prontamente corrigidos.
Para Martin, o Controle Interno também pode ser considerado conforme a sua finalidade,
podendo ser preventivo ou de resultado (também chamado de detectores). Os controles preventivos
atuam antes da ocorrência do fato, sendo proativos e visando prevenir ou impedir a ocorrência de
eventos de risco, como exemplo: a criação de normativos internos e a análise de crédito de um cliente
antes da concessão de um empréstimo.
Os controles detectores, por outro lado, atuam após a ocorrência do fato, analisando os
eventos que levaram a perdas ou prejuízos. Neste caso, o objetivo não é evitar as perdas, mas
simplesmente analisá-las em termos do motivo que levou à sua ocorrência, as responsabilidades
envolvidas e etc. Tais controles colocam a descoberto falhas no sistema de controles preventivos, os
quais, se existiam, deveriam ter funcionado para prevenir tais perdas. Como exemplo, podemos citar
as reconciliações contábeis e a criação de avaliações de desempenho.
1 Artigo Técnico: Resenha BM&F – nº 143
23
O Comitê de Procedimento de Auditoria do Instituto Americano de Contadores Públicos
Certificados, AICPA, Estados Unidos afirma:
“O controle interno compreende o plano de organização e o conjunto coordenado dos métodos e medidas, adotados pela empresa, para proteger seu patrimônio, verificar a exatidão e a fidedignidade de seus dados contábeis, promover a eficiência operacional e encorajar a adesão à política traçada pela administração”.
Segundo Almeida (2009) os controles internos representam em uma organização o
conjunto de procedimentos, métodos ou rotinas, cujos objetivos são proteger os ativos, produzir dados
contábeis confiáveis e ajudar a administração na condução ordenada dos negócios da empresa.
De acordo com a Instrução Normativa n.º. 16, de 20.12.91, têm-se como princípios de
controles Internos:
a) relação custo / benefício;
b) qualificação adequada, treinamento e rodízio de funcionários;
c) delegação de poderes e determinação de responsabilidades;
d) segregação de funções;
e) instruções devidamente formalizadas;
f) controles sobre as transações;
g) aderência às diretrizes e normas legais.
Segundo a NBC T 11, item 11.4.3.12: O conhecimento do sistema contábil e de controles
internos é fundamental para o Planejamento da Auditoria e necessário para determinar a natureza, a
extensão e a oportunidade dos procedimentos de auditoria, devendo o auditor:
a) ter conhecimento do sistema de contabilidade adotado pela entidade e de sua integração com os
sistemas de controles internos;
b) avaliar o grau de confiabilidade das informações geradas pelo sistema contábil, sua tempestividade
e sua utilização pela administração; e
c) avaliar o grau de confiabilidade dos controles internos adotados pela entidade, mediante a aplicação
de provas de procedimentos de controle, dentro da abrangência definida na NBC T 11.9.
Um sistema de controles internos é um processo que deve ser coordenado pela alta
administração e operado continuamente por todos os níveis hierárquicos. A alta hierarquia e a diretoria
24
para gestão de riscos corporativos são as principais responsáveis pela manutenção de uma cultura de
gestão de riscos adequada, que facilite o entendimento do papel de cada funcionário no processo,
contando com os seguintes objetivos:
– eficiência e eficácia das operações;
– conformidade com leis aplicáveis e regulamentações;
– segurança e integridade dos ativos e dos sistemas de informação
Com o propósito de que haja eficiente acompanhamento dos controles no tocante à
adequação e à aderência, fundamentado na experiência das pessoas que vivenciam os riscos e a
dinâmica de cada área, é interessante adotar um processo de auto-avaliação, a ser aplicado
periodicamente na instituição financeira. Nesse processo, os gestores das áreas são solicitados a
identificar riscos em suas atividades e avaliar se os controles internos praticados estão devidamente
adequados, formalizados e postos em prática, para manter seus riscos potenciais dentro de níveis
“aceitáveis”. Para facilitar a realização, uniformizando a linguagem na instituição, é conveniente
utilizar uma lista que contenha definições e exemplos dos controles internos. O conjunto dessas
informações levará a uma visão consolidada do nível de adequação da relação entre riscos e controles
internos2.
O sistema de controles internos tem papel-chave na gestão dos riscos operacionais, pois
ajuda as instituições a conhecer melhor seus pontos vulneráveis, contribuindo na prevenção e na
detecção de eventos indesejáveis, que possam levar a perdas operacionais inesperadas3.
Desta forma, o Controle Interno existe como meio para alcançar um fim específico, ou seja,
a existência de um sistema de controle só se torna possível a partir do momento em que há objetivos a
serem alcançados.
Uma vez estabelecido os objetivos específicos, o Sistema de Controle deverá ser
implantado, considerando a funções básicas do Controle Interno que, na visão de Rezende & Favero
(2004), são:
2 Artigo Técnico: Resenha BM&F – nº 143 3 Artigo Técnico: Resenha BM&F – nº 143
25
a) a salvaguarda dos interesses da empresa, protegendo os ativos tangíveis e intangíveis de prejuízos
decorrentes de fraudes ou erros involuntários;
b) precisão e a confiabilidade dos informes e relatórios contábeis, financeiros e operacionais, de forma
a assegurar a validade e integridade dos dados utilizados pela gerência na tomada de decisões;
c) o estímulo à eficiência operacional dentro das normas estabelecidas, abrangendo aspectos
relacionados às práticas de treinamento, controle de qualidade, planejamento de produção, política de
vendas, auditoria interna e etc.;
d) aderência às políticas existentes, garantindo o cumprimento não só das leis, normas e regulamentos
externos emanados das autoridades bancárias, mas também das diretrizes, normas e regulamentos
internos.
Como é possível observar, o Controle Interno pode ser considerado sob os aspectos
contábeis e administrativos. Em relação aos aspectos contábeis, os controles internos estão
direcionados ao desenvolvimento de procedimentos que dêem proteção aos ativos e à geração de
informações fidedignas pela contabilidade. Em relação aos aspectos administrativos, os controles
internos promovem a vigilância gerencial, bem como o respeito e obediência às políticas
administrativas (Rezende & Favero, 2004).
Para Oliveira e Linhares (2006, p.3) um dos aspectos importantes no uso dos controles
internos pelas organizações é o de prover os acionistas com razoável segurança de que a condução dos
negócios está adequadamente controlada.
É patente a importância do controle interno a partir do momento em que se torna
impossível conceber uma empresa que não disponha de controles que possam garantir a continuidade
do fluxo de operações e informações proposto. Neste sentido, é de vital importância a confiabilidade
dos resultados gerados por esse fluxo que transforma simples dados em informações a partir das quais
os empresários, utilizando-se de sua experiência administrativa, tomam decisões com vistas no
objetivo comum da empresa.
É de suma importância enfatizar a relação existente entre o controle interno e a auditoria
interna, haja vista que o controle interno possui a função preventiva da organização, com os objetivos
26
elaborados e executados pela alta administração. Ao passo que a auditoria faz parte deste sistema,
auxiliando no cumprimento e detectando fragilidades nos processos.
De uma maneira cada vez mais crescente é evidenciada a importância aos métodos
científicos de administração, ainda que desconhecida uma acepção clara de controle interno, aliás, às
vezes imagina-se ser o controle interno sinônimo de auditoria interna. Na verdade, isto é um equívoco,
uma vez que a auditoria interna equivale a um trabalho organizado de revisão e apreciação dos
controles internos, normalmente executado por um departamento especializado, ao passo que o
controle interno se refere a procedimentos de organização adotados como planos permanentes da
empresa (Attie, p. 188).
Considerando as mudanças e as variáveis incontroláveis do ambiente em que a organização
está inserida, Martin (2006) aborda que “o Controle Interno deve proporcionar uma garantia razoável –
embora nunca absoluta – de que a organização terá sucesso no alcance de seus objetivos. Isto ocorre
porque além de qualquer organização estar sujeita a eventos imprevisíveis e consequentemente
incontroláveis, o conceito de garantia razoável reconhece que o custo da estrutura de controle
organizacional não pode exceder os benefícios esperados com a sua implantação”.
Um dos maiores problemas na implantação do Sistema de Controle Interno é justamente
encontrar o ponto de equilíbrio nessa relação de custo e benefício. Se por um lado o excesso de
controle pode encarecer e tornar mais lenta a realização de uma operação; por outro, um sistema de
controle pouco elaborado pode contribuir para falhas ou fraudes extremamente onerosas para a
organização. Desta forma, ao se estabelecer o Sistema de Controle Interno, é importante identificar o
ambiente em que a organização está inserida e os riscos a que a mesma está exposta.
27
3.1- Os componentes do controle interno em instituição bancária:
3.1.1 Alçadas e Limites
Envolvem a delimitação do âmbito de atuação ou influência de um gestor, via sistema
aplicativo ou de forma manual, quanto a sua condição de vir e aprovar valores ou assumir posições em
nome da instituição, conferida por hierarquia ou por comitês, como por exemplo: a) estabelecimento
de alçadas para que um operador de mercado assuma posições para cada horizonte de investimento; b)
definições de limites para liberação de transações e também sistema para emissão de documento de
ordem de crédito (DOC) e outros; c) limites de risco de mercado (value at risk, stress testing, etc.)
impostos à tesouraria; d) limites de risco de crédito (márgens de garantia para derivativos, scoring /
rating mínimo requerido, limites de cheque especial, etc.) estabelecidos na área comercial.4
3.1.2 Segregação de tarefas
É sabido que a segregação de tarefas baseia-se, normalmente, nos interesses antagônicos
dos indivíduos. Segundo Martin (2006), em um banco o ideal é segregar todas as funções de autorizar,
custodiar, registrar, contabilizar e executar.
O controle interno busca realizar uma análise detalhada da estrutura funcional da
instituição para verificar se há uma adequada segregação de funções. Por outro lado, nos casos em que
a segregação não for possível, a empresa deve considerar que estes são pontos relevantes de
concentração de riscos e, portanto, deve ser implantado algum mecanismo de revisão periódica
independente das operações desses pontos como objetivo de assegurar que todas as normas e
procedimentos do banco estejam sendo seguidos.
Para Martin (2006), no caso de bancos, nos quais nem sempre é possível uma perfeita
segregação de tarefas para todas as transações, é particularmente importante envolver terceiros no
processo de controle interno.
4 Artigo Técnico: Controles internos e gestão de riscos operacionais em instituições financeiras brasileiras: classificação, definições e exemplos; Resenha BM&F – Nº. 143; pág. 43.
28
3.1.3 Acesso físico
Consiste no controle da entrada / saída de funcionários, clientes e / ou equipamentos em
determinadas áreas de uma instituição. Exemplos: a) permissão de acesso via cartão magnético ou
prévia identificação a áreas do banco consideradas de especial sensibilidade (área de numerário,
tesouraria etc.); b) redefinição periódica do acesso físico de funcionários a unidades, em face de
movimentação interna para outras áreas; c) permissão para movimentação de computadores entre
diferentes áreas da instituição.
3.1.4 Acesso lógico
Busca o controle de acesso / alcance de funcionários e / ou clientes a arquivos eletrônicos e
sistemas computacionais, bem como a disponibilização de instruções e treinamento para esses sistemas
aos usuários autorizados. Exemplos: a) estabelecimento de senhas, de modo a impedir o acesso
generalizado de funcionários a sistemas computacionais; b) restrição do acesso de terceiros
(concorrentes, clientes etc.) a relatórios, sistemas e informações confidenciais.
3.1.5 Autorizações
Buscam permitir o encaminhamento de uma operação / transação após conferência,
evidenciada por log no sistema ou assinatura / visto em documentação de suporte. Exemplos: a)
liberação de documentos para cadastro de conta corrente; b) autorização para que um novo produto
seja vendido na rede de agências; c) assinaturas de gestores em autorizações para movimentação
interna de pessoas.
3.1.6 Conciliação
Consiste no confronto de informações de origens distintas, com o objetivo de detectar
inconsistências. Exemplos: a) conferência de informações de relatórios gerenciais, emitidos por
sistema aplicativo, com os registros de controle da unidade; b) conciliação de posicionamento ao final
de um dia por front office e back office; c) comparação dos preços de ativos / passivos nos diferentes
livros das posições proprietárias, de forma a melhor gerenciar riscos de mercado e crédito.
29
3.1.7- Delimitação de responsabilidades
Determina uma definição clara e formal das responsabilidades e da autoridade sobre os
procedimentos criados para certas atividades, focando a limitação de ação acerca dos mesmos, sem
envolver valores (cuja delimitação é tratada no controle interno de alçadas). Exemplos: a) pagamento
de cheques é ação exclusiva da função “caixa”, independentemente de eventual necessidade de alçada
(em função do valor) ou de autorização (evidenciada por intermédio de um visto); b) assinatura de
contratos ou cheques que necessitam de procuração ou delegação de diretores executivos.
3.1.8 Disponibilização e padronização de informações
Visam ao estabelecimento de sistemas de comunicação efetivos entre áreas, de maneira a
assegurar que as informações cheguem a seu destino, contemplando, inclusive, aspectos como
integridade, confiabilidade e disponibilidade. Exemplos: a) definição de política de acesso a
informações, visando preservar a confidencialidade necessária; b) confecção e divulgação interna, em
base regular, de relatórios com dados relativos a perdas de unidades de negócio; c) divulgação de atas
de comitês, fluxos de processos, definição de responsabilidades, status dos planos de ação definidos
pelos controles internos e relatórios de auditoria; d) descrição de fluxos operacionais, funções e
procedimentos.
3.1.9 Execução de plano de contingência
Busca formalizar e testar ações que permitam dar continuidade às operações de unidades
que não possam ser interrompidas, independentemente da adversidade da situação. Exemplos: a)
definição de procedimentos em casos de greve, queda de energia, falhas no sistema telefônico e outros;
b) procedimentos de contingência durante paradas programadas de sistemas computacionais
corporativos.
3.1.10 Manutenção de registros Consiste em fazer a manutenção atualizada, segura e organizada de registros. Exemplos: a)
guarda de dados de operações e / ou transações, permitindo formação de banco de dados com histórico
das áreas, projetos, documentação de suporte; b) organização do arquivo e back-up dos sistemas; c)
registro de sugestões / reclamações realizadas pelos clientes em agência, central de atendimento e
30
outros; d) arquivo de dados exigido por órgão regulamentador (microfilmes de cheques, comprovante
de despesas para fisco, relatórios de auditoria); e) evidência de atividades de controle, exercidas por
meio de vistos / assinaturas em documentos, log em sistemas etc.
3.1.11 Monitoração
É a observação de uma atividade ou processo, para avaliação de sua adequação e/ou
desempenho, em relação às metas, aos objetivos traçados e aos benchmarks, assim como
acompanhamento contínuo do mercado financeiro, de forma a antecipar mudanças que possam causar
impacto negativo para a instituição. Exemplos: a) monitoração do comportamento de usuários de
cartões de crédito (lugares inusitados, produtos diferentes etc.); b) monitoração e questionamento de
flutuações abruptas nos resultados de agências, produtos, carteiras próprias e de terceiros; c)
monitoração de valores realizados e orçados em unidades, com o objetivo de identificar dificuldades /
problemas; d) acompanhamento da concorrência, visando o lançamento de novos produtos.
3.1.12 Normatização interna
Compreende o estabelecimento formal de normas internas, para a execução das atividades
inerentes à unidade. Exemplos: a) definição de normas / regras para viabilizar a efetiva implantação
dos controles internos necessários ao gerenciamento de riscos identificados; b) definição de
procedimentos para contemplar análise de risco no desenvolvimento de novos produtos; c) existência
de normas certificadoras (como ISO 9000).
Martin (2006) afirma que “as normas são documentos escritos utilizados para estabelecer
políticas, fixar atribuições e delegações de poder, delimitar riscos, determinar procedimentos de
trabalho, conceder autorizações, exigir análises, revisões e reconciliações, etc. São instrumentos da
hierarquia da administração de um banco, que servem para indicar e ordenar claramente uma diretriz,
um comando aos que estão sujeitos a ela”.
3.1.13 Validação
Consiste em examinar minuciosamente procedimentos relacionados a uma atividade, com o
intuito de validar informações (internas e externas), obtidas por funcionários ou de clientes, na
documentação de operações financeiras ou em eventual modificação desses procedimentos. Exemplos:
31
a) conferência de documentação entregue por clientes nas áreas de crédito, auditoria interna, contratos
e outros; b) checagem de informações armazenadas em bancos de dados; c) conferência para liberação
de operações financeiras; d) validação de normas e procedimentos internos das áreas; e) validação de
novos produtos em comitês5.
5 Artigo Técnico: Controles internos e gestão de riscos operacionais em instituições financeiras brasileiras: classificação, definições e exemplos; Resenha BM&F – Nº. 143; pág. 44.
32
Capítulo 4- O método COSO
Em 1992, este Comitê das Organizações Patrocinadoras (Committee of Sponsoring
Organization of the Treadway Commission – COSO) desenvolveu um método para avaliação dos
controles internos que se tornou referência mundial para as organizações que se preocupam com a
eficiência de sua estrutura de controle.
Ademais, Reding et al (2007, p.5-8) menciona que o COSO tem como propósito assegurar
a consecução dos seguintes objetivos:
a) Eficácia e eficiência das operações;
b) Confiabilidade e integridade das informações financeiras e gerenciais;
c) Aderência às leis e regulamentos aplicáveis.
Para os integrantes do COSO [AICPA; AAA; FEI; IIA; IMA], o ponto de partida de sua
importância é a definição de controle interno, entendendo-o como um processo, desenvolvido para
garantir, com razoável certeza, que sejam atingidos os objetivos da empresa.
De acordo com Vieira (2007), o COSO define controles internos como um processo
realizado pelo conselho de administração, pela administração e pelos funcionários de uma entidade
que visa dar garantia razoável quanto ao cumprimento dos objetivos da organização, abrangendo as
categorias de eficácia e eficiência das operações; confiabilidade dos relatórios financeiros e
cumprimento das leis e regulamento aplicáveis.
De acordo com o estudo do COSO, publicado em 1992, o processo de controle interno
consiste de cinco componentes inter-relacionados. Tais componentes dependem da maneira como a
governança deseja que a organização bancária seja controlada e como os executivos principais devem
administrá-la. Neste sentido os componentes são os seguintes:
33
Figura 1. Cubo COSO. Representação esquemática das três dimensões dos componentes de uma estrutura de controle.
4.1 Ambiente de Controle.
É o Conselho de Administração, em seu trabalho de governança corporativa e como
representante dos acionistas, que estabelece as diretrizes em relação aos riscos, determinando como os
controles devem ser estabelecidos, limitados, implantados e cumpridos na organização. Nos bancos o
que os controles esperam é poder influenciar o comportamento das pessoas estabelecendo um
ambiente interno de qualidade, segurança e motivação para que elas se sintam incentivadas a aplicar
no seu trabalho todos os recursos de que dispõem (competências, valores éticos, integridade, espírito
de colaboração) para que em conjunto façam com que o banco atinja seus objetivos.
O ambiente de controle é efetivo quando a administração provê suporte às atividades de
controle e os funcionários sabem quais são suas responsabilidades, os limites de sua autoridade e têm a
consciência, competência e o comprometimento de fazerem o que é correto de maneira correta.
4.2 Avaliação de Riscos
O estabelecimento de um sistema de controles internos efetivo num banco requer que sejam
identificados e continuamente avaliados os riscos que são relevantes e que podem impedir ou afetar
negativamente o cumprimento dos objetivos da organização. Essa avaliação deve compreender todos
os riscos que cercam o banco, que são, por exemplo: os riscos de mercado, os riscos de liquidez, os
riscos de crédito, os riscos operacionais, etc.
4.3 Atividades de Controle
34
A atividades de controle devem ser consideradas como parte integrante das atividades
diárias dos bancos. Um sistema de controles internos efetivo deve se apoiar em uma estrutura
organizacional adequada, na qual as atividades de controle estão estabelecidas para cada processo de
operação / gestão do banco e para nível de hierarquia. O primeiro fundamento do controle interno é a
determinação pelo Conselho de Administração dos objetivos e metas, das políticas geais de controle e
a fixação dos limites de risco para o banco como um todo. O segundo fundamento, que é da
responsabilidade da Diretoria Executiva, é o desdobramento ou decomposição dos objetivos, metas e
limites de risco para cada unidade da organização e para cada gestor de recursos, os quais serão
aplicados no controle da administração da área específica de suas atividades.
A partir da estruturação de objetivos e responsabilidades efetuados pela Governança e
pelos executivos do banco, cabe aos órgãos de controle: a) verificar o cumprimento dos objetivos da
gestão e as respectivas atividades de controle para cada processo, divisão ou departamento, bem como
a aderência aos níveis de alçada para aplicação de recursos e ao sistema de aprovações ou autorizações
estabelecido; b) fazer o acompanhamento de “compliance” em relação às leis e regulamentos, internos
e externos, bem como procedimentos de verificação passo a passo dos casos de “noncompliance”; c)
realizar controles físicos (inventário) sobre os ativos de propriedade do banco, bem como a verificação
do seu estado de conservação e liquidez (no caso dos títulos e valores); d) verificações e reconciliações
em todo o sistema de pagamentos e / ou recebimentos, incluindo os recursos de terceiros
administrados pelo banco.
4.4 Informação e comunicação
A comunicação é o fluxo de informações dentro de uma organização e que este fluxo
ocorre em todas as direções, ou seja, dos níveis hierárquicos superiores aos níveis hierárquicos
inferiores e a comunicação horizontal, entre níveis hierárquicos equivalentes.
O processo de comunicação pode ser formal ou informal. O primeiro acontece por
intermédio dos sistemas internos de comunicação, que podem variar de complexos sistemas
computacionais a simples reuniões de equipes de trabalho e são importantes para obtenção das
informações necessárias ao acompanhamento dos objetivos operacionais, de conformidade e de
35
informação. Por outro lado, o segundo processo decorrente de encontros com os fornecedores, os
clientes, autoridades e empregados é a chave para a obtenção das informações necessárias à
identificação de riscos e oportunidades.
Um sistema efetivo de administração e de controle interno de um banco requer a coleta,
registro e a comunicação de um vasto conjunto de dados financeiros, operacionais e de compliance
além de dados obtidos externamente a respeito do mercado, da legislação e das condições econômicas.
Tais dados são absolutamente necessários para a tomada interna das decisões e também para proceder
ao controle de qualidade dessas decisões.
Por outro lado, o controle interno deve verificar, também, a qualidade da comunicação
interna do banco, uma vez que sem uma boa comunicação, se perde grande parte do valor da
informação. As comunicações devem ser sempre confiáveis, tempestivas, acessíveis e consistentes,
quer sejam internas entre as pessoas e os diferentes níveis da organização, quer sejam externas. Os
controles internos devem verificar especialmente a qualidade das comunicações externas para os
participantes mais relevantes do banco, os acionistas, os clientes e as autoridades bancárias.
4.5 Monitoramento
O monitoramento é a contínua verificação da validade e da eficiência de cada categoria do
controle interno e também de todo o processo, em relação aos objetivos da organização bancária.
Como as atividades de controle são diferentes em função de cada objetivo, de cada área e de cada nível
da organização em que são praticadas, o monitoramento deve partir de uma perfeita compreensão do
significado de cada objetivo e das atribuições de cada área em relação a tal objetivo.
36
Capítulo 5- O Ambiente regulatório
No ano de 1974, os responsáveis pela supervisão bancária dos paises do G10 criaram o
Comitê de Regulamentação Bancária e Práticas de Supervisão, sediado no Banco de Compensações
Internacionais (BIS), localizado em Basiléia, na Suíça.
Segundo Martin (2006); com o advento da globalização, tornou-se necessário um
entendimento geral sobre como deveria ser exercida a supervisão bancária em cada país; de forma a
fortalecer, estabilizar e proteger o sistema bancário internacional. Para isso, foi criado o Comitê de
Supervisão Bancária da Basiléia que é formado por representantes de bancos centrais e autoridades
reguladoras dos países do G-10 e de outros países convidados. Tal Comitê não tem autoridade para
exigir que suas recomendações e exigências se tornem obrigatórias em cada país. No entanto, mais de
100 países, incluindo o Brasil, já adotaram as normas do Acordo de Basiléia e as institucionalizaram
nacionalmente através de leis e regulamentos. Inicialmente, sua missão era a de definir um acordo
sobre como deveria ser medido o capital de uma instituição financeira e qual deveria ser o capital
mínimo que lhe deveria ser exigido de forma a evitar perdas inesperadas e até mesmo uma possível
falência.
5.1 O acordo de Basiléia I
Esse primeiro acordo, chamado de Basiléia I, foi publicado em 1988, tendo a sua vigência
iniciada em 1992. Sua grande contribuição foi a de reconhecer que os riscos bancários devem ser
continuamente fiscalizados pelos governos para evitar o risco sistêmico que eles geram.
Com o advento de Basiléia I ficou evidente a preocupação dos reguladores com dois riscos
aos quais as instituições financeiras estavam expostas: o risco de crédito e o risco de mercado.
Em anos recentes, as mudanças no ambiente financeiro mundial, como exemplo a
integração entre os mercados por meio do processo de globalização, o surgimento de novas transações
e produtos, o aumento da sofisticação tecnológica e as novas regulamentações tornaram as atividades e
os processos financeiros e seus riscos cada vez mais complexos. Em conseqüência, surgiu a
preocupação dos banqueiros e outros financistas com um terceiro risco: o risco operacional.
37
Entretanto, as críticas ao Primeiro Acordo da Basiléia levaram à sua evolução, gerando o
Adendo de 1996, quando não só os riscos de crédito, mas também os riscos de mercado passaram a ser
considerados na definição do capital mínimo. De acordo com Xavier (2003), igualmente importante
foi o fato do Comitê abrir a possibilidade das instituições financeiras utilizarem suas metodologias
internas para mensuração e gerenciamento dos riscos a que estão expostas, desde que com anuência e
revisão da autoridade supervisora.
5.2 o acordo de Basiléia II
Após um processo abrangente de consultas – foi promulgado em 2004, tendo como
objetivo fazer com que as mensurações de capital sejam mais qualificadas e tenham mais sensibilidade
ao risco real das exposições, além de detalhar e quantificar um número maior de categorias de risco.
De acordo com Ferreira & Santos (2003), a nova proposta foi estruturada em três pilares:
a) Requerimento mínimo de capital: O capital mínimo deve ser suficiente para cobrir os riscos de
mercado, crédito e operação. b) Supervisão da adequação de capital das instituições: Os bancos
supervisionados devem possuir um método para calcular as suas necessidades de capital em função
dos riscos de suas atividades e operar sempre acima do patamar mínimo exigido. c) Prática de efetiva
disciplina de mercado: Ênfase à importância da transparência a respeito dos riscos, nas demonstrações
financeiras de cada banco.
Para Martin (2006), o Basiléia II, em comparação com o Basiléia I, apresentou maior
flexibilidade para que os bancos façam suas medições de risco, observando-se ainda um incentivo na
forma de redução do capital mínimo exigido para os bancos que fizerem uso de métodos mais
avançados de mensuração.
Na prática, o Basiléia II interfere nos bancos de maneira que a instituição que não possuir
controles internos eficientes e uma metodologia de avaliação de riscos implantada será obrigada a
manter uma quantidade maior de recursos próprios em sua estrutura patrimonial. Por outro lado, a
instituição bancária que investir nesses itens terá que reter um menor volume de recursos. É uma
espécie de seguro compulsório contra o risco (Ferreira & Santos, 2003).
38
Capítulo 6- Gestão de risco em uma instituição bancária
6.1- Os tipos de riscos
Conforme Zeno (2007), para que se tenha uma correta compreensão do que seja risco faz-
se necessário apresentar alguns pontos que devem ser considerados. Primeiramente, o risco sempre
esteve presente nas atividades do ser humano uma vez que cada tomada de decisão envolve um
processo de escolha entre várias alternativas de risco e suas respectivas recompensas. Em segundo
lugar, deve-se perceber que o risco envolve fatos recorrentes ou repetitivos, ou seja, apesar de sua
natureza incerta quanto ao resultado futuro, é possível estimá-lo com base em probabilidades. Por fim,
apesar do ser humano apresentar uma forte aversão a perdas, o risco não deve ser percebido como algo
necessariamente ruim ou negativo. Ao contrário, o risco está associado a um retorno e ambos são
diretamente proporcionais. Quanto maior o risco, maior o retorno. Cabe a cada um decidir ograu de
risco que está disposto a correr.
Segundo o entendimento de Zeno, “o risco corporativo deve ser entendido como a chance
de acontecer algo que cause impacto nos objetivos das corporações. Os riscos corporativos podem
gerar diversas formas de perdas para as empresas, como furtos, fraudes, erros humanos, penalidades
regulatórias e legais, danos à marca, imagem e reputação e até perdas de oportunidade pela não
tomada de ações”.
Na visão das instituições financeiras, risco pode ser tudo aquilo que cause impacto ao
capital, podendo ser originário de eventos esperados ou não.
As operações bancárias envolvem riscos com vistas à obtenção de lucros. Ainda que os
riscos no setor bancário historicamente estejam concentrados em operações bancárias tradicionais, as
empresas de serviço bancário têm evoluído em resposta a um mercado mais voltado para a tecnologia
e para as mudanças na legislação. Estas mudanças têm permitido aos bancos expandir produtos e
superar a diversidade geográfica. Por outro lado, aumentam a complexidade e o significado dos riscos
das operações bancárias. Logo, os bancos vêm amadurecendo no sentido de conhecer os tipos de riscos
a que estão expostos e, como condição básica para esse conhecimento, deve-se possuir um sistema de
gerenciamento de riscos que se dê na seguinte ordem:
39
1) Identificando riscos utilizando definições habituais, as categorias de risco, como essas são
definidas, são, portanto, fundamento das atividades de supervisão;
2) Mensurando riscos fazendo uso de métodos usuais de avaliação – riscos não podem ser sempre
quantificados monetariamente, por exemplo: diversas deficiências de controle interno podem
indicar risco excessivo nas transações;
3) Avaliando o gerenciamento de risco para determinar se os sistemas do banco identificam e
avaliam riscos adequadamente e se existem controles para níveis de risco.
Análises originárias da forma acima exposta levaram o Comitê de Supervisão Bancária da
Basiléia, consoante descrições contidas no documento: Core Principles for Effective Banking
Supervision (1997), a encontrar e definir os principais riscos das instituições financeiras.
De acordo com Zeno, via de regra, os riscos mais comuns enfrentados pelas empresas são
os seguintes:
1) Risco de crédito: são perdas oriundas de obrigações não honradas ou por meio da
diminuição da capacidade do tomador de recursos de honrar seus compromissos, resultando
em inadimplência;
2) Risco operacional: possibilidade de perdas potenciais de uma empresa no momento em que
seus sistemas e controles internos não são capazes de conter falhas humanas ou de
equipamentos;
3) Risco de mercado: quando ocorrem perdas decorrentes de mudanças repentinas nos fatores
de mercado, tais como taxas de juros e de câmbio, preços de ações e “commodities”;
4) Risco legal: são perdas decorrentes de violação de legislação, de contratos claros ou mal
documentados, criação de novos tributos, etc.
É importante mencionar que independentemente da maneira como os riscos são
classificados, o importante é reconhecer que é da essência da atividade bancária tomar riscos.
“Portanto, o processo de gestão de riscos não se constitui em eliminá-los, mas sim em controlá-los.
Esse controle só será eficiente se a identificação e a avaliação dos riscos forem muito bem feitas”
(Ferreira & Santos, 2003).
40
Segundo o relatório de “Riscos Globais 2013” divulgado pelo Fórum Econômico Mundial
podem ser distinguidos três tipos de riscos:
1) Riscos operacionais, tais como falhas em processos e erros humanos;
2) Riscos estratégicos, que são assumidos voluntariamente após serem avaliados e comparados
com as recompensas potenciais;
3) Riscos externos, que estão além da capacidade de influenciar ou controlar.
No caso das empresas, pode-se dizer que os dois primeiros tipos de riscos podem ser
administrados por meio dos novos métodos e diretrizes de Gestão de Riscos, com foco,
principalmente, na cultura organizacional e no cumprimento (compliance) dos requisitos legais,
regulamentares e institucionais.
6.2- Identificação e avaliação de riscos No ambiente bancário, Martin (2006) afirma que o processo de identificação dos riscos é
realizado a partir da influência de fatores externos e internos que podem ocasionar eventos de risco.
Dentre os fatores externos, estão os fatores sistêmicos globais, tais como: crises financeiras, guerras,
alterações imprevistas de preços em commodities etc.; como também os fatores sistêmicos nacionais
que englobam os aspectos políticos, econômicos e sócio-demográficos de um país. Por outro lado, os
fatores internos abordam aspectos do próprio setor bancário, como as autoridades bancárias, as
demandas pelos serviços bancários, a atuação da concorrência, a tecnologia utilizada, os equipamentos
de apoio à atividade bancária, os processos de trabalho utilizados, as pessoas da organização e o risco
de não-conciliação entre as operações de captação e aplicação.
Assim, tão logo identificados, os riscos devem ser priorizados em função do seu potencial
de perdas para o banco. Em outras palavras, isto significa dizer que os riscos devem ser mensurados
por meio de determinadas técnicas ou critérios quantitativos que permitam compará-los entre si
levando em consideração as diferentes dimensões de forma a fundamentar políticas consistentes e
objetivas para sua gestão e controle.
41
Segundo Martin (2006), há dois conceitos sobre avaliação de risco: o conceito de risco
intrínseco e o conceito de risco residual. O risco intrínseco de uma atividade bancária retrata o
montante de riscos aos quais a mesma está exposta, se não efetuar nenhuma ação visando reduzir o seu
impacto ou a possibilidade de sua ocorrência. Já o risco residual significa o montante dos riscos que
permanecem latentes numa atividade bancária, após o esgotamento de todas as medidas para sua
gestão e controle. Todavia, cada evento de risco deve ser avaliado em termos de suas possíveis
conseqüências para a empresa, o que significa analisar o seu impacto em termos de perdas para a
organização bancária e a possibilidade de sua ocorrência se não forem tomadas medidas de controle
adequadas.
Para Martin (2006), tanto o impacto quanto a possibilidade de ocorrência devem ser
medidos, preferencialmente, por métodos quantitativos para que seja facilmente percebido o grau de
relevância de cada risco.
6.3- Os riscos e a organização
Para nortear os executivos e também os controles internos, Martin (2006) afirma que a
governança de um banco deve determinar o grau de aceitação de riscos que a organização estará
disposta a enfrentar. O nível de aceitação de riscos implica, por exemplo, na fixação de diretrizes e
limites máximos para a realização de determinadas operações ou para adoção de métodos de trabalho.
Logo, aos executivos cabe trabalhar dentro de tais diretrizes e limites, desenvolvendo procedimentos e
mecanismos para gerir os riscos inerentes às operações sob sua responsabilidade. O controle interno
possui a incumbência de verificar se a gestão de riscos está sendo executada de maneira eficaz e
eficiente, além de observar se o grau de aceitação de riscos estabelecido para o banco está sendo
executado nas diversas áreas de sua atuação e também em termos do banco como um todo.
Ademais, é importante considerar que não há ambientes de negócio que possam ser
considerados isentos de risco e os controles internos não existem para criar tais ambientes. Como já
dito anteriormente, a função dos controles internos é a de assegurar, com um grau razoável de
probabilidade, que os objetivos de um banco sejam alcançados, através de uma administração
competente dos recursos aplicados em suas operações e produtos e dos riscos que lhes são associados.
42
CONCLUSÃO
Há até bem pouco tempo, a palavra risco era tida apenas como um componente
imponderável dos negócios com o qual as empresas eram obrigadas a lidar no seu dia-a-dia. Premiadas
por diversos fatores que resultaram em sérios prejuízos, falências e problemas de liquidez, as
organizações financeiras e em especial, as bancárias, foram levadas a destinar mais atenção e um
volume bem maior de recursos para a proteção dos seus ativos.
Assim, as autoridades monetárias de diversos países cuidaram de normatizar internamente
a criação e implantação de controles internos nos bancos que atuam em seu país, tendo por base a
metodologia COSO, que fundamentou a mesma normatização no âmbito internacional e que em
síntese significa conhecer a empresa e seu respectivo ambiente, seus objetivos e os riscos à que a
mesma está exposta.
Assim, o sistema de controle interno dessas instituições passa a atuar de forma mais focada
nos pontos que poderiam sujeitar a organização a maiores riscos e torna-se um instrumento
indispensável para o seu sucesso, uma vez que sua principal função é a de cuidar para que os objetivos
organizacionais sejam alcançados de forma eficiente e eficaz.
43
BIBLIOGRAFIA
ATTIE, William. Auditoria: conceitos e aplicações. 6a. ed. – São Paulo:
Atlas, 2011.
DIAS, Sergio Vidal dos Santos. Auditoria de processos organizacionais:
teoria, finalidade, metodologia de trabalho e resultados esperados. 3ª. ed.
– São Paulo: Atlas, 2011.
MARTIN, N. C. Os Controles Internos no Contexto Bancário. São Paulo:
FIPECAFI, 2006. 177p. Apostila.
REZENDE, S. M; FAVERO, H. L. A importância dos controles internos
dentro das organizações. Revista de Administração Nobel, São Paulo, v.3, p.
33-44, jan./jun. 2004.
VIEIRA, S. A. Governança Corporativa em instituições financeiras:
análise comparativa entre as normas nacionais e internacionais. 2007.
100p.
ZENO, J. M. C. Risco Legal: uma introdução ao seu gerenciamento no
atual cenário corporativo. 2007. 76p.
Manual de auditoria do sistema CFC / CRCs - Conselho Federal de
Contabilidade. – Brasília: CFC, 2007. Disponível em: http://portalcfc.org.br/.
Controles Internos e Gestão de Riscos operacionais em instituições
financeiras brasileiras: classificação, definições e exemplos. Artigo técnico.
Resenha BM&F – nº. 143 p. 40-44.
BACEN – Banco Central do Brasil. Auditoria e Controles. Disponível em
http://www.bcb.gov.br/htms/sobre/controles.pdf. Acesso em 13/03/2012.
44
BACEN – Banco Central do Brasil. Resolução nº. 2878, de 26/07/2001.
BACEN – Banco Central do Brasil. Resolução nº. 3380, de 29/06/2006.
Resolução do CFC nº. 986/03. Disponível em:
http://www.portaldeauditoria.com.br/legislacao/normas/auditoria.htm. Acesso em 15/03/2012.
GONÇALVES, Orivaldo. Sistemas de Controles Internos em Bancos. Artigo:
Disclosure das Transações Financeiras, fev. 2005. p. 2-5.
MELLO, Agostinho de Oliveira. Auditoria Interna. Disponível em: http://www.auditoriainterna.com.br. Acesso em 5/08/2012.
ALMEIDA, Marcelo Cavalcanti. Auditoria: um curso moderno e completo. 6ª
ed. – São Paulo: Atlas, 2007.
NBC T11 – Normas de Auditoria independente das demonstrações contábeis.
Disponível em http://www.ccontabeis.com.br/pos_grad/auditoria/conteudos/enio_NBC_11.doc