UM ESTUDO SOBRE A ESTRUTURAÇÃO DE FUNÇÕES DE CONTROLES INTERNOS EM INSTITUIÇÃO FINANCEIRA NO BRASIL

Transcrição

1 PONTIFÍCIA UNIVERSIDADE CATÓLICA DE SÃO PAULO GILBERTO CABELEIRA ALVES UM ESTUDO SOBRE A ESTRUTURAÇÃO DE FUNÇÕES DE CONTROLES INTERNOS EM INSTITUIÇÃO FINANCEIRA NO BRASIL MESTRADO EM CIÊNCIAS CONTÁBEIS E FINANCEIRAS São Paulo 2010

2 1 PONTIFÍCIA UNIVERSIDADE CATÓLICA DE SÃO PAULO PÓS-GRADUAÇÃO EM CIÊNCIAS CONTÁBEIS E FINANCEIRAS GILBERTO CABELEIRA ALVES UM ESTUDO SOBRE A ESTRUTURAÇÃO DE FUNÇÕES DE CONTROLES INTERNOS EM INSTITUIÇÃO FINANCEIRA NO BRASIL Dissertação apresentada à Banca Examinadora da Pontifícia Universidade Católica de São Paulo, como exigência para obtenção do Título de Mestre em Ciências Contábeis e Financeiras, sob a orientação da Profª. Drª. Neusa Maria Bastos Fernandes dos Santos. SÃO PAULO 2010

3 2 BANCA EXAMINADORA

4 3 Dedico esta Dissertação à minha Família.

5 4 AGRADECIMENTOS À Deus, que me protege e me guia. À minha família, em especial à minha esposa Eliza, ao meu filho Rafael e minha mãe Alveni, por todo o amor, apoio e incentivo recebido. À Profª. Drª. Neusa Maria Bastos Fernandes dos Santos, que me orientou neste trabalho, pela sua dedicação, sabedoria e apoio oferecido para a elaboração deste estudo. Aos professores doutores Jairo da Rocha Soares e Carlos Hideo Arima, componentes da Banca Examinadora, pelas valiosas sugestões para enriquecimento desta dissertação. Aos Professores do Programa, pelos ensinamentos e pela honra de tê-los tido como professores. Aos meus amigos, colegas e, em especial, aos profissionais do mercado que deram suas valiosas contribuições como participantes no desenvolvimento deste estudo. À Profª. Juraci Beraldi, pela amizade e apoio na leitura crítica do texto.

6 5 Você deve ser a mudança que você quer ver no mundo. Mahatma Gandhi Líder político e espiritual indiano ( )

7 6 RESUMO Esta dissertação, um estudo de caso, tem por objetivo examinar funções de controle em instituição financeira de grande porte no Brasil e responder a questão central: como e por que integrar as funções de controle em instituições financeiras? O estudo compreende análise dos conceitos, objetivos e abordagens adotadas pelas funções: Controles Internos, Gestão de Riscos Operacionais e SOX Compliance. Identifica-se o conceito de controles internos como sendo o fundamento das três funções de controle em análise. A estrutura de melhores práticas do COSO Internal Control Integrated Framework é utilizada para comparar a atuação das três funções. Entrevistas e questionários são utilizados para coleta de dados primários, e análise documental e observação, para dados secundários. Respostas das áreas participantes indicam que departamentos sujeitos a revisões pelas funções de controle consideram a integração destas funções necessária. Análise dos objetivos destas funções identifica que Gestão de Riscos Operacionais e SOX Compliance possuem objetivos e enfoques diferentes, a primeira objetiva reduzir histórico de perdas, a segunda, qualidade dos reportes financeiros, ambas reportam para diretorias diferentes, possuem métricas de performance distintas e requerem diferentes habilidades de seus profissionais. Comparação das práticas em uso demonstra que estas funções adotam abordagens semelhantes, entretanto, não integradas. São identificados inúmeros exemplos de oportunidades de integração, tais como: implante de processos compartilhados para identificação e categorização de riscos, monitoramento de controles e reporte. A completa integração em área única mostrou-se não adequada, mas é aceito que a forma de atuação destas funções precisa ser revista para que aproveitem oportunidades de integração. Palavras-chave: Funções de Controle Gestão de Riscos Operacionais Controles Internos Lei Sarbanes-Oxley.

8 7 ABSTRACT This dissertation, a case study, has the purpose of examining the control functions in a large financial institution in Brazil and answer the central question: how and why to integrate the control functions in financial institutions? The study comprised the analysis of concepts, mission and approaches in use by Internal Control, Operational Risk Management and SOX Compliance functions. The internal control concept was identified as being the foundation of the three control functions under analysis. The framework of best practices in internal controls, COSO Internal Control Integrated Framework, is used to compare the way in which those functions operate. Interviews and questionnaires are used to collect primary data and documental analysis and observation for secondary data. Answers from the participating areas indicate that the departments reviewed by the control functions consider integration as necessary. By analyzing the purpose of those functions it is identified that Operational Risk Management and SOX Compliance functions have different purposes and focuses, the first aims at reducing the historic of losses and the later focuses on the quality of financial reporting, both functions report to different directors, have different performance measures and require different skill from their professionals. Comparison of the practices in use indicates that those functions adopt similar approaches; however, not integrated. It is identified a number of examples of opportunities for integration, such as: implementing a shared process for identifying and ranking risks, monitoring controls and reporting. The full integration within a single department revealed to be not adequate, but it is accepted that those functions need to be reviewed to take advantage of the integration opportunities. Keywords: Control Functions Operational Risk Management Internal Controls Sarbanes-Oxley Act.

9 8 SUMÁRIO 1. INTRODUÇÃO Problema de Pesquisa Objetivos da Pesquisa Justificativa do Tema escolhido e Demonstração de sua Importância Metodologia Estrutura do Trabalho REFERENCIAL TEÓRICO Governança Corporativa Gestão de Riscos Controles Internos Compliance Gestão de Riscos Operacionais Sarbanes-Oxley Integração nas funções de controles ESTUDO DE CASO Características do Estudo Características da Instituição Pesquisada Breve histórico das Funções de Controle na instituição Abordagem para Coleta e Análise das Evidências RESULTADO (1): NÍVEL DE INTEGRAÇÃO ENTRE AS FUNÇÕES DE CONTROLE Percepção sobre a Cultura Geral de Controle Interação com as funções de controle existentes Interação entre as funções de controle Nível de governança das funções de controle Adequação de recursos para as funções de controle Contribuição das funções de controle para o ambiente geral de controles da instituição Se existiriam tais áreas caso não fossem requerimentos regulatórios ou políticas do Grupo Se o vocabulário utilizado por estas funções de risco podem causar distorções à alta administração sobre os riscos reais a que a instituição está exposta Se os "issues" parecem mais importantes do que realmente o são e podem afetar a percepção da administração quanto a real criticidade do assunto

10 Adequação da estrutura de comitês para tratar questões de controles internos Se falta integração às funções de controle RESULTADO (2): AS FUNÇÕES DE CONTROLE EM FUNCIONAMENTO NA INSTITUIÇÃO Responsabilidade final pelos Controles Internos SOX Compliance Gestão de Riscos Operacionais Controles Internos / Revisores de Processos Diferenças de objetivos entre as funções de controle Habilidades requeridas aos Profissionais das Funções de Controle Avaliação de Performance das Funções de Controle RESULTADO (3): ANÁLISE COMPARATIVA DAS ABORDAGENS EM USO PELAS DIFERENTES FUNÇÕES DE CONTROLE Captura de informações junto às áreas de negócios e gestores de processos Identificação e Avaliação de Riscos Certificação da realizações dos controles Classificação dos riscos Reporte dos resultados das análises Participação de outras funções de controle Benefícios de uma maior integração para as funções de controle Razões para não integração entre funções de controle Impactos das funções de controle nas áreas de negócios e operações Oportunidades Identificadas pela maior integração CONSIDERAÇÕES FINAIS REFERÊNCIAS APÊNDICES

11 10 LISTA DE FIGURAS Figura 1 Cubo do COSO. 27 Figura 2 Três Pilares do Novo Acordo da Basiléia.. 38 Figura 3 Gráfico de Distribuição de Perdas x Probabilidade de Perdas. 42 Figura 4 Figura 5 Modelo de Análise de Riscos ao Processo de Reporte Financeiro SOX... Esquema Geral de Relacionamento entre as diferentes Funções de Controle e suas partes relacionadas

12 11 LISTA DE QUADROS Quadro 1 Requisitos da Resolução CMN nº 2554/ Quadro 2 Principais requisitos da Lei Sarbanes Oxley (para o propósito deste estudo) Quadro 3 Comparativo das Estruturas das Funções de Controle Quadro 4 Percepção sobre a Cultura Geral de Controle Quadro 5 Interação com as Funções de Controle Existentes Quadro 6 Interação entre as Funções de Controle Quadro 7 Nível de governança das funções de controle Quadro 8 Adequação de recursos para as funções de controle Quadro 9 Quadro 10 Quadro 11 Quadro 12 Quadro 13 Contribuição das funções de controle para o ambiente geral de controles da instituição... Se existiriam tais áreas caso não fossem requerimentos regulatórios ou políticas do Grupo... Se o vocabulário utilizado por estas funções de risco podem causar distorções à alta administração sobre os riscos reais a que a instituição está exposta... Se os "issues" parecem mais importantes do que realmente e podem afetar a percepção da administração quanto a real criticidade do assunto... Se a estrutura de comitês existente para tratar de questões de riscos é adequada para capturar e filtrar as questões sobre controles internos Quadro 14 Se falta integração às funções de controle Quadro 15 Quadro 16 Análise das funções de controle por habilidades requeridas e preocupações fundamentais... Contribuição de cada função de controle aos cinco elementos de um sistema de controles internos do COSO Quadro 17 Nível de Integração entre as diferentes funções de controle Quadro 18 Captura de Informações junto às áreas de negócios Quadro 19 Identificação e Avaliação de Riscos... 96

13 12 Quadro 20 Certificação da realização dos Controles Internos Quadro 21 Classificação dos Riscos Quadro 22 A quem são reportados os resultados das análises Quadro 23 Participação de outras funções de controle Quadro 24 Quadro 25 Benefícios de uma maior integração entre as funções de controle... Porque não são aproveitadas as funções de controle para integração Quadro 26 Impacto das áreas de negócios e operações Quadro 27 Componentes COSO e suas Oportunidades de Integração

14 13 LISTA DE ABREVIATURA E SIGLAS AAA American Accounting Association AICPA American Institute of Certified Public Accountants AMA Advanced Measurement Approach ART. Artigo BACEN Banco Central do Brasil BIA Basic Indicator Approach BIS Bank for International Settlement CAO Chief Accounting Officer CEO Chief Executive Officer CFO Chief Financial Officer CMN Conselho Monetário Nacional COSO Committee on Sponsoring Organization of the Treadway Commission CRO Chief Risk Officer CVM Comissão de Valores Mobiliários EXCO Executive Committee FEBRABAN Federação Brasileira de Bancos FEI Financial Executives Institute GC Governança Corporativa IBGC Instituto Brasileiro de Governança Corporativa IFRS International Financial Reporting Standards IIA Institute of Internal Auditors IMA Institute of Management Accounts IT Information Techonology OECD Organisation for Economic Co-operation and Development SA Standardized Approach SEC U. S. Securities and Exchange Commission SERASA Centralização dos Serviços Bancários S/A SOX Lei Sarbanes-Oxley SPC Serviço Nacional de Proteção ao Crédito

15 14 1. INTRODUÇÃO O tema deste estudo é a estruturação das funções de controle em uma instituição financeira de grande porte. Tema relevante num momento em que se discute a crise financeira, originada nos Estados Unidos da América em 2007, e que culminou na quebra do tradicional banco Lehman Brothers em transações de crédito imobiliário, quando as instituições financeiras precisam revisar suas abordagens para a mitigação de riscos, contexto em que estão inseridas as funções de controle. Acomodar crescentes requisitos regulamentares, cada um com suas particularidades, têm feito proliferar na instituição financeira, objeto de estudo, as funções de controle. O impacto desta proliferação de funções de controle faz suscitar questionamentos sobre a sua real efetividade, e quanto à possibilidade de duplicação de esforços, reportes inconsistentes, lacunas não cobertas por nenhum procedimento e falta de integração Problema de Pesquisa O que se verificou ao longo dos anos na instituição financeira objeto do estudo, com a crescente e dispersa regulamentação sobre controles internos, gestão de riscos operacionais e Lei Sarbanes-Oxley foi a multiplicação de funções de controle: Controles Internos, Compliance, Gestão de Riscos Operacionais e SOX Compliance. Enquanto houve pujança geral da economia global, estas funções de controle puderam perdurar sem que maiores questionamentos fossem realizados acerca de sua efetividade. Mas, a partir do momento em que se instaura uma crise global como a que estamos vivenciando, as funções de controle passam a ser revisitadas, visando compreender como poderiam cumprir com mais eficácia seu papel dentro das instituições. É neste contexto, que o estudo a que se propõe este trabalho assume relevância, pois visa a apresentar uma contribuição a todos os que militam nesta área acerca da forma como estas funções de controle podem ser estruturadas de maneira integrada e com maior eficiência, respondendo à seguinte questão

16 15 problema: Como e por que integrar as funções de controle em instituições financeiras de grande porte no Brasil? 1.2. Objetivos da Pesquisa Este estudo tem por objetivo geral verificar as razões e as formas pelas quais as funções de controle dentro de uma instituição financeira de grande porte devem buscar maior integração, para maior eficiência de seus controles internos, gestão de riscos operacionais e conformidade com a Lei Sarbanes-Oxley. Os objetivos específicos, por sua vez, são: i) Identificar as principais funções de controle dentro de uma instituição financeira, a regulamentação aplicável, suas origens, missão e principais abordagens em uso. ii) Identificar, na abordagem utilizada pelas diversas funções de controle, pontos em comum que poderiam criar oportunidades para maior integração entre as funções de controle. iii) Apresentar uma proposta para estruturação das funções de controle de forma mais integrada e com maior valor agregado. iv) Analisar as razões pelas quais as funções de controle foram estruturadas da forma como o foram na instituição objeto do estudo Justificativa do Tema escolhido e Demonstração de sua Importância Nos últimos anos regulamentações surgidas em tempos distintos resultaram na necessidade de as instituições financeiras estruturarem funções de controle para a sua implementação e acompanhamento. A Resolução do CMN Conselho Monetário Nacional nº 2554/98 exige das instituições financeiras a estruturação de sistemas de controles internos. A Lei Sarbanes-Oxley de 2002 Lei SOX aplicável às instituições que possuam ativos negociados nas bolsas de valores norte-americanas requer a implantação de um

17 16 processo de certificação dos controles internos pelos CEO Chief Executive Officers e CFO Chief Financial Officers das companhias. O Novo Acordo da Basiléia de 2004 e a Resolução do Conselho Monetário Nacional nº 3380/06 requerem que as instituições financeiras estruturem uma função para a Gestão de Riscos Operacionais. Neste trabalho utiliza-se o vocábulo estruturação, tal como definido por Coimbra (2007, p.21): processo de estruturar, fornecer estrutura. Por conseguinte, entende-se estrutura como disposição e ordem dos elementos essenciais que compõem um corpo concreto ou abstrato; organização das partes; reunião de elementos que forma um todo e a sua inter-relação com este todo; e aquilo que dá sustentação (concreta ou abstrata) a alguma coisa. Hoje, funções de controle estão estabelecidas em resposta a estas regulamentações, o que, em momento de expansão da economia e do crédito, quase não foi objeto de questionamento. Contudo, numa época em que as instituições precisam rever seus modelos de gestão, com a crise financeira internacional que se instalou em 2007, estas estruturas de controle também são objeto de questionamento. É neste contexto que o tema de estudo assume relevância a todos os que fazem suas carreiras nestas funções de controle Metodologia Este estudo, que é uma pesquisa do tipo exploratória se fundamenta num estudo de caso após a realização de pesquisa bibliográfica. Trata-se de um estudo de caso realizado numa instituição financeira de grande porte no Brasil, com base na concepção de estudo de caso de Yin (2005, p.61), segundo o qual a proposta é de estudar três funções de controle que operam na instituição financeira selecionada, visando o nível de integração entre estas funções de controle. A metodologia encontra-se detalhada no capítulo três que se refere ao Estudo de Caso.

18 Estrutura do Trabalho Este estudo está estruturado em sete capítulos: 1) Introdução; 2) Referencial Teórico; 3) Estudo de Caso; 4) Resultado: Percepção existente sobre o nível de integração entre as funções de controle; 5) Resultado: Objetivos e forma de atuação das funções de controle na instituição objeto de estudo; 6) Resultado: Análise Comparativa das Abordagens em uso pelas diferentes Funções de Controle e 7) Considerações Finais. O primeiro capítulo apresenta a introdução, o problema de pesquisa, seus objetivos, a justificativa do tema escolhido e demonstração de sua importância, um esboço da metodologia adotada para o estudo e a estrutura do trabalho. O segundo capítulo enfoca o referencial teórico e tem por objetivo apresentar os conceitos fundamentais, identificando as principais funções de controle dentro do contexto de uma instituição financeira, regulamentações aplicáveis, suas origens, missão, clientes e principais abordagens em uso. Este capítulo apresenta quais as principais preocupações em termos organizacionais de cada uma das funções de controle, e uma visão geral sobre como estes conceitos são interligados, culminando com o entendimento de que controles internos é o conceito chave comum a todas as funções de controle. Este entendimento irá fundamentar a utilização do COSO - Internal Control Integrated Framework como base para comparação das diferentes funções de controle. O terceiro capítulo aborda as características do estudo de caso, da instituição objeto do estudo e seus participantes, um breve histórico das funções de controle e abordagem para coleta e análise de dados. O quarto capítulo tem por objetivo apresentar o primeiro resultado que é o da análise das respostas obtidas no questionário II (Apêndice II) que trata da percepção existente entre os gerentes seniores acerca do nível de integração das funções de controle. O quinto capítulo apresenta o segundo resultado que contém uma análise de como operam as funções de controle na instituição objeto do estudo. Desta análise é identificado que as funções de controle possuem diferentes objetivos, linhas de reporte, métricas de performance e requerem habilidades distintas de seus

19 18 profissionais. Entretanto, compartilham abordagens semelhantes para a consecução de seus objetivos, o que permite uma atuação de forma mais integrada. O sexto capítulo apresenta o terceiro resultado, ou seja, uma análise comparativa da forma de operação das funções de controle com vistas à identificação das oportunidades de uma atuação mais integrada das diferentes funções. Toma-se por base para as conclusões as respostas obtidas em entrevistas aos gerentes seniores responsáveis pelas funções de controle e os 5 componentes de um sistema de controles internos do COSO. O sétimo capítulo apresenta as considerações finais, seguido das referências e dos apêndices..

20 19 2. REFERENCIAL TEÓRICO O objetivo deste capítulo é identificar as principais funções de controle dentro do contexto de uma instituição financeira de grande porte, a regulamentação básica aplicável, suas origens, missão, clientes e principais abordagens em uso. No Brasil até 1998 as funções de controle, em geral se resumiam à Controladoria e Auditoria Interna. Em 1998 com a publicação da Resolução CMN nº. 2554/98 as instituições financeiras no Brasil foram requeridas a implementar sistemas de controles internos. Esta Resolução do Conselho Monetário Internacional estava alinhada com os requisitos do Comitê da Basiléia que em Janeiro daquele mesmo ano havia publicado o Framework for Internal Control Systems in Banking Organizations (Estrutura para Sistemas de Controles Internos em Organizações Bancárias) a qual utilizou como base a estrutura de melhores práticas de controles internos do COSO - Committe of Sponsoring Organizations of the Treadway Commission. É possível identificar, de forma evidente na Estrutura para Sistemas de Controles Internos em Organizações Bancárias, um conceito comum de controle interno e os 5 componentes de um sistema de controles internos apresentados no COSO Internal Control Integrated Framework. Em resposta a esta Resolução CMN nº. 2554/98 as instituições estruturaram as primeiras funções de controles internos, geralmente uma função central, Compliance, com o propósito de disseminação da cultura, com membros focais disseminados pelas diversas áreas/departamentos da instituição. A Resolução colocou responsabilidade pela estruturação do sistema de controles internos na administração sênior das instituições financeiras, momento em que foi criada uma primeira camada de controles nas instituições, garantindo independência da Auditoria Interna que deveria avaliar independentemente o sistema de controles internos como um todo. Ainda no ano de 1998, em 03 de Março, foi publicada a Lei nº que tratava dos crimes de lavagem de dinheiro e da prevenção da utilização do sistema financeiro nacional como instrumento para a prática do crime de lavagem de dinheiro. Esta lei deu um importante impulso às áreas de Compliance que naquele tempo começavam a se formar.

21 20 A Lei Sarbanes-Oxley e os avanços no campo da Governança Corporativa, verificados, aquela em 2002, e esta desde o final dos anos 90, fizeram aumentar a robustez de áreas de controles internos, bem como as estruturas de Comitês Seniores, como Conselhos Fiscais de Supervisão e Conselho de Administração. O novo acordo da Basiléia, publicado em 2004, após um período longo em audiência pública, posteriormente revisto em 2006, e em constantes aprimoramentos, trouxe como novidade principal a introdução da gestão de riscos operacionais. Em 2006, o Conselho Monetário Nacional emitiu Resolução nº 3380, através da qual requereu das instituições financeiras brasileiras a estruturação de função destinada a Gestão de Riscos Operacionais. Assim, são considerados marcos regulatórios para as funções de controle de instituições financeiras: Resolução CMN nº. 2554/98 Estabeleceu as regras sobre a implantação e implementação dos sistemas de controles internos das instituições financeiras; Lei Sarbanes-Oxley de 2002 Teve como objetivo restaurar a confiança dos investidores no mercado de capitais norte-americano. Novo Acordo da Basiléia de Junho de 2004 (revisto em 2006) que estabelece requisitos de capital mínimo às instituições financeiras teve como principal novidade o requerimento de capital mínimo para fazer frente a perdas de natureza operacional. Resolução CMN nº. 3380/06 Que dispõe sobre a implementação de estrutura para Gestão de Riscos Operacionais Governança Corporativa Este tópico apresenta o conceito de Governança Corporativa (GC), o requisito da transparência, a relação com o processo de reporte financeiro e controles internos. Governança Corporativa, segundo definido no Código Brasileiro de Melhores Práticas em Governança Corporativa, do Instituto Brasileiro de Governança Corporativa (IBGC, 2004) é o sistema pelo qual as sociedades são dirigidas e

22 21 monitoradas, envolvendo os relacionamentos entre acionista/cotistas, conselho de administração, diretoria, auditoria independente e conselho fiscal. As boas práticas de governança corporativa têm a finalidade de aumentar o valor da sociedade, facilitar seu acesso ao capital e contribuir para a sua perenidade. A Governança Corporativa, conforme menciona Di Micelli (2006), apesar de ser considerado um tema recente, é uma questão antiga cujo entendimento passa pela compreensão do Problema de Agência dos Gestores. O problema do conflito de agência foi retratado no artigo de Jensen e Meckling, de 1976, que tratou sobre a teoria da firma. Segundo a teoria da firma (JENSEN; MECKLING, 1976) é natural haver conflito de interesses entre os administradores e proprietários (conflito de agência), sendo um fato que os administradores tenderão (mesmo inconscientemente) a maximizar seus próprios ganhos em detrimento aos interesses da empresa que são responsáveis. A Governança Corporativa trata do conflito de agência, uma vez que tem por objetivo regular o relacionamento entre a companhia, seus administradores, conselho de administração, acionistas e outras partes relacionadas. Com relação ao papel da contabilidade na Governança Corporativa, afirmam Hendriksen e Van Breda (1999, p.139) que a teoria de agência oferece bases para um papel importante para a contabilidade no fornecimento de informações após a ocorrência de um evento: um papel pós-decisório, isto dá a contabilidade um valor como feedback, além de seu valor preditivo, sendo a informação contábil uma das formas de reduzir a incerteza, dando aos contadores papel importante na divisão de riscos entre administradores e proprietários. É neste contexto que os controles internos relacionados ao processo de porte financeiro, a conformidade com os requisitos da Lei Sarbanes-Oxley, a que estão obrigadas as empresas com títulos negociados nos mercados de capitais norteamericanos é relevante para a Governança Corporativa. Segundo a OECD - Organization for Economic Co-operation and Development (2004) a Governança Corporativa fornece a estrutura através da qual os objetivos de uma companhia são estabelecidos, os meios para que os objetivos sejam atingidos e o monitoramento de performance são determinados. Neste ponto verifica-se que uma Governança Corporativa forte é representativa de um ambiente de controle forte, sendo ambiente de controle, segundo o COSO (1994) uma das bases sobre as quais se sustenta um sistema de controles internos.

23 22 A transparência segundo o Código de Melhores Práticas em Governança Corporativa (IBGC, 2004) é um dos valores fundamentais da Governança Corporativa e o sistema contábil é um elemento importante para a promoção da transparência. Como pode-se verificar o conceito de risco se tornou central para a Governança Corporativa e se tornou vinculado à idéia de controles internos. Estes riscos são gerenciados dentro das estruturas de Governança Corporativa através de mecanismos de responsabilização, tais como reporte financeiro, controles internos e auditoria. O conceito de Governança Corporativa é importante no contexto deste trabalho, para explicar a vinculação de controles internos, reporte financeiro, transparência, governança corporativa e sua importância para os investidores. Permitindo uma visão estratégica do conceito de controles internos. Como veremos a seguir, SOX Compliance diz respeito, em grande extensão, a controles internos sobre o processo de reporte financeiro Gestão de Riscos Este tópico apresenta os principais riscos a que estão sujeitas as instituições financeiras e sua forma de gestão. A essência do negócio bancário pode ser resumida como fazer resultado de captar recursos de depositantes e aplicar estes recursos captados em operações de crédito ou em tesouraria (através da aquisição de ativos financeiros) e viabilizar meios de pagamentos. A diferença entre a taxa de captação e a taxa de aplicação é o spread, que é o ganho de uma instituição em uma operação individual. O somatório dos spreads deve ser suficiente para cobrir os demais custos e despesas da instituição, de forma a gerar um lucro, que seja suficiente para remunerar satisfatoriamente os investidores, considerando o perfil de riscos da instituição. O perfil de risco da instituição é definido pelo tipo de operação que a mesma realiza, quais são suas contrapartes, o ambiente em que está inserida, seus processos, pessoas e sistemas.

24 23 Na realização de suas atividades as instituições financeiras incorrem nas seguintes classes principais de riscos (TILLAART, 2003, p.22; BESSIS, 2002, p.12; JORION, 1998, p.14): Risco de Mercado e de Taxas de Juros É o risco pela variação nos preços dos ativos adquiridos pela instituição; variação em taxas de juros e moedas; Risco de Liquidez É o risco decorrente de descasamentos de prazos e taxas, em captações e aplicações, onde, dependendo da liquidez dos ativos e passivos uma instituição em necessidade poderá necessitar fazer uma venda forçada de ativos, quando o preço destes ativos será menor. Do contrario, se o banco possui boa liquidez poderá planejar melhor venda de seus ativos, quando poderá se beneficiar de melhores preços. Risco de Crédito É o risco de que as contrapartes em transações de crédito não honrem os seus compromissos creditícios junto ao banco. Risco Operacional É o risco de perdas decorrentes de falhas em pessoas, processos e sistemas e ou eventos externos, inclusive risco legal. Riscos Estratégicos Riscos Estratégicos são os riscos decorrentes de escolhas estratégicas e decisões de negócios. Riscos Reputacionais São os riscos que impactam a imagem, a reputação da instituição financeira perante o mercado, reguladores, clientes, etc.. Os riscos de Crédito, Mercado, Taxa de Juros, Liquidez, Câmbio são riscos considerados riscos financeiros. Riscos Operacionais, Legais e Reputacionais, de Tecnologia da Informação, Estratégicos são riscos não financeiros. Segundo Tillaart (2003, p.24) os bancos freqüentemente fazem distinção entre riscos financeiros e não financeiros. Os bancos podem ativamente tomar uma posição em riscos financeiros, mas quando se trata de riscos não financeiros, os mesmos existem mais em razão do efeito de fazer negócios e não de uma escolha ativa. Os riscos financeiros têm tanto potencial positivo como negativo. Os bancos no que diz respeito aos riscos financeiros tomam posição para ganhar dinheiro, mas carregam o risco de perda de dinheiro. Existe uma compensação financeira para o risco tomado. Enquanto que riscos não financeiros têm apenas potencial negativo, o

25 24 ganho máximo para riscos não financeiros é zero. A gestão de riscos financeiros é parte do processo primário de um banco, enquanto gerenciamento de riscos não financeiros não o é. Segundo Tillaart (2003, p.25) os modelos desenvolvidos para mensuração de riscos operacionais, são falhos por que se baseiam em critérios válidos para riscos financeiros sendo aplicados a riscos não financeiros, que possuem características muito distintas. A segregação dos tipos de riscos em financeiros e não financeiros é importante no contexto deste trabalho o qual trata das funções de controle, Controles Internos, Gestão de Riscos Operacionais e SOX Compliance, pois todas estas funções se ocupam de riscos não financeiros. Para cada categoria de riscos, diferentes técnicas e abordagens são utilizadas para a sua gestão. Como estudo feito por Tillaart (2003, p.102), embora os bancos sempre tenham trabalhado com riscos, a gestão de riscos não tinha sido uma função ou papel separado dentro de bancos até os anos 90. Gestão de riscos era implicitamente parte do trabalho diário de todos. Informação sobre riscos não era fornecida separadamente para a Diretoria Executiva. O desenvolvimento de métodos para mensuração de riscos mudou o papel da gestão de riscos. Gerenciamento de riscos se tornou um processo explícito em Bancos, com responsabilidades concretas atribuídas a várias funções. A gestão de riscos financeiros sempre esteve atrelada ao que se entende por gerenciar uma instituição financeira, sendo uma disciplina fundamental nesta atividade, enquanto a gestão de riscos não financeiros, diferentemente, somente ganhou importância a partir dos eventos de quebras de bancos, notadamente do Banco Barings, dos escândalos contábeis que culminaram na Lei Sarbanes-Oxley, e se estruturaram primordialmente em resposta a requerimentos regulatórios. A última tendência observada, principalmente após a crise de 2007, é de centralização das responsabilidades pela gestão de riscos em uma função única chamada CRO - Chief Risk Officer a qual passa a ter cadeira na Diretoria Executiva das instituições.

26 Controles Internos Este tópico apresenta o conceito de controles internos, COSO e os componentes de um sistema de controles internos tal como definidos pelo COSO. As funções de controle têm origem na própria definição de administração. Das funções clássicas da administração tratadas por Fayol, estavam: organizar, formar equipe, dirigir, planejar e controlar. Para Fayol, administrar é prever, organizar, comandar, coordenar e controlar, sendo que controlar é velar para que tudo corra de acordo com as regras estabelecidas e as ordens dadas (FAYOL, 2007, p. 26). Ao contrário do que pode a alguns parecer, administrar pressupõe controlar. O que se pretende no universo empresarial, quanto ao que se refere ao termo controle, sob a ótica da administração é garantir que decisões tomadas realmente ocorram. Em 1992, o COSO - Committee of Sponsoring Organization of the Treadway Commission, uma organização formada por membros do American Institute of Certified Public Accountants - AICPA (Instituto Americano de Contadores Públicos Certificados), American Accounting Association - AAA (Associação de Contadores Americanos), The Institute of Internal Auditors - IIA (Instituto de Auditores Internos), Institute of Management Accounts - IMA (Instituto de Contadores Gerenciais) e Financial Executives Institute FEI (Instituto de Executivos Financeiros), com participação de empresas de auditoria externa e outras grandes empresas de capital aberto, nos Estados Unidos, emitiu documento intitulado Internal Control Integrated Framework (Controles Internos Estrutura Integrada) o qual apresenta definição de controles internos, seus componentes, e uma estrutura de melhores práticas. Uma estrutura amplamente aceita e que serviu de base para que anos depois, em 1998, no exterior o Comitê da Basiléia emitisse o seu Framework for Internal Control Systems in Banking Organizations (Estrutura para Sistemas de Controles Internos em Organizações Bancárias), também embasou o Conselho Monetário Nacional do Brasil na emissão, também em 1998, da Resolução CMN nº. 2554/98. Em Junho de 2002, a Lei Sarbanes-Oxley foi publicada, a qual exige em seu artigo 404, que a administração declare juntamente com as demonstrações financeiras publicadas, que realizou uma avaliação dos controles internos sobre o processo de

27 26 reporte financeiro, informando o framework (estrutura) utilizado como base para esta avaliação. Em 1994, o COSO emitiu uma versão em 2 volumes do seu documento Internal Control Integrated Framework a qual foi utilizada neste estudo. A estrutura (Framework) de melhores práticas de controle do COSO é que tem sido de longe a mais utilizada pelas empresas para fins de atendimento aos requisitos da Lei Sarbanes-Oxley. O COSO Internal Control Integrated Framework (1994) define controles internos como um processo, efetuado pelo conselho de diretores de uma entidade, a administração e outras pessoas, desenhado para fornecer razoável segurança com relação ao atingimento de objetivos nas seguintes categorias: Eficiência e efetividade das operações; Confiabilidade do reporte financeiro; Conformidade com leis e regulamentos aplicáveis. Até a emissão, pelo COSO, do seu Internal Control Integrated Framework, a definição de controles internos prevalecente entre as empresas de Auditoria Externa, que eram as principais usuárias deste conceito, era a definição do American Institute of Certified Public Accountants AICPA: Controle Interno é o plano da organização e todos os métodos e medidas, coordenados, adotados dentro da empresa para salvaguardar seus ativos, verificar a adequação e confiabilidade de seus dados contábeis, promover a eficiência operacional e fomentar o respeito e obediência às políticas administrativas fixadas pela gestão. O novo conceito do COSO acrescenta fornecer razoável segurança para o atingimento de objetivos, o que confere um tom de contribuição para a execução de objetivos, permitindo o vínculo com objetivos estratégicos, ao mesmo tempo em que reconhece as limitações dos controles internos ao informar sobre a razoável segurança que os controles internos podem prover, assim trata-se de um conceito que incorpora importantes avanços quando comparado ao conceito prevalecente anterior.

28 27 Figura 1 Cubo do COSO Fonte: COSO Internal Control Integrated Framework (1994) O cubo do COSO (1994) apresentado na figura 1 mostra as três dimensões de um sistema de controles internos. A primeira dimensão diz respeito aos 5 componentes de um sistema de controles internos. A segunda dimensão retrata os três objetivos de atuação dos controles internos. A terceira dimensão apresenta as unidades e atividades através das quais estão permeados os controles internos. Os cinco componentes de um sistema de controles internos são: Ambiente de Controles (Control Environment); Avaliação de Riscos (Risk Assessment); Atividades de Controles (Control Activities); Informação e Comunicação (Information & Communication); Monitoramento. As três categorias de objetivos de atuação de um sistema de controles internos são: Operações (eficiência e efetividade das operações); Reporte Financeiro; e Compliance.

29 28 Segundo o COSO (1994), o ambiente de controle define o tom de uma organização, influenciando a consciência de controle de seu pessoal. É a fundação para todos os outros componentes de controles internos, fornecendo disciplina e estrutura. Fatores de ambiente de controle incluem integridade, valores éticos e competência das pessoas da entidade; filosofia gerencial e estilo operacional; a forma como a administração atribui autoridade e responsabilidade e desenvolve suas pessoas, e a atenção e direção fornecida pelo conselho de diretores. O trabalho realizado por Santos (2000), por exemplo, demonstra haver correlação entre cultura organizacional e desempenho, o que, no âmbito dos controles internos considerando os conceitos de controles internos e ambiente de controle, traduz-se como correlação entre um forte ambiente de controle (cultura organizacional) e o nível de perdas (desempenho). Deduz-se isto a partir de que um bom desempenho é o desempenho planejado, e desvios aos planos, são os riscos, que os controles internos visam mitigar, sendo o ambiente de controle (tone at the top, cultura de controle) o alicerce sobre o qual se fundamenta todo o sistema de controles internos de uma organização, assim cultura boa leva a desempenho bom. Um processo de avaliação de riscos, segundo o Internal Control Integrated Framework (COSO, 1994, p.33), deve assegurar que uma organização esteja consciente e gerencie os riscos a que está exposta. A organização deve definir como pré-condição para avaliação de riscos, objetivos, integrados com as vendas, produção, marketing, finanças e outras atividades de forma a que a organização opere de forma harmônica. O processo de avaliação de riscos é a identificação e análise dos riscos relevantes para o atingimento dos objetivos, formando uma base para determinar como os riscos devem ser gerenciados. Em razão de que a economia, a indústria, a regulamentação e as condições operacionais irão continuamente mudar, mecanismos são necessários para identificar e gerenciar os riscos associados com as mudanças. Atividades de controle, segundo o Internal Control Integrated Framework (COSO, 1994, p.49), são as políticas e procedimentos que ajudam a assegurar que as diretrizes da administração são implantadas. As atividades de controle asseguram que as ações necessárias são tomadas para endereçar riscos para que os objetivos da entidade sejam atingidos. Atividades de controle ocorrem em toda a organização, em todos os níveis e em todas as funções. Elas incluem um conjunto de atividades

30 29 tão diversas como aprovações, autorizações, verificações, reconciliações, revisões de performance operacional, segurança de ativos e segregação de funções. Segundo o Internal Control Integrated Framework (COSO, 1994, p.59), no que diz respeito à Informação e Comunicação, informações pertinentes devem ser identificadas, capturadas e comunicadas em um formato e momento que permita às pessoas realizarem as suas responsabilidades. Sistemas de informação produzem relatórios, contendo informação relacionada às operações, finanças e conformidade com leis e regulamentos que tornam possível administrar um negócio. Estas informações não tratam apenas de dados gerados internamente, mas também informação sobre eventos externos, atividades e condições necessárias para a tomada de decisão informada e reporte externo. Comunicação efetiva deve ocorrer em senso amplo, fluindo de cima para baixo, em torno e de baixo para cima nas organizações. Todos os colaboradores devem receber uma mensagem clara da alta administração de que responsabilidade por controle é algo a ser levado a sério. Os colaboradores devem entender o seu próprio papel no sistema de controles internos e a forma como suas atividades individuais estão relacionadas à atividade de outros. Eles devem ter um meio de comunicar informação significante para seus superiores. Deve haver também comunicação efetiva com partes externas, tais como clientes, fornecedores, reguladores e acionistas. Segundo o Internal Control Integrated Framework (COSO, 1994, p.69), os sistemas de controles internos precisam ser monitorados um processo que avalie a qualidade da performance do sistema ao longo do tempo. Isto é conseguido através de atividades de monitoramento contínuo, avaliações independentes ou um combinação de ambos. Monitoramento contínuo ocorre no curso normal das operações, inclui gerenciamento regular e atividades de supervisão, e outras ações tomadas na realização das atividades. O escopo e frequência de avaliações independentes irão depender primariamente de uma avaliação de riscos e da efetividade dos procedimentos de monitoramento contínuo. Deficiências de controle devem ser escaladas, e problemas sérios devem ser reportados a diretoria e conselho de administração. São requisitos da Resolução CMN nº 2554/98:

31 30 Art Descrição Determina a implantação de controles internos voltados para: - Atividades desenvolvidas; 1º - Informações Financeiras, Operacionais e Gerenciais; - Cumprimento de normas legais e regulamentares; 1º Controles internos devem ser efetivos e consistentes com a natureza, complexidade e risco das operações. 2º Responsabilidades da diretoria da instituição: - Definição de atividades de controle para todos os níveis de negócios da instituição. - Estabelecer objetivos e procedimentos; - Verificação sistemática da adoção e cumprimento dos procedimentos acima. Disposições sobre controles internos devem ser acessíveis a todos os funcionários, de forma a esclarecer função e responsabilidades atribuídas aos diversos níveis da organização: - Definição de responsabilidades; - Segregação de atividades e meios de monitoramento de áreas identificadas como de potencial conflito; - Identificação e avaliação de fatores internos e externos que possam afetar a realização dos objetivos da instituição; 2º - Canais de comunicação aos funcionários garantindo-lhes acessos a informações relevantes para suas tarefas e responsabilidades; - Avaliação contínua dos riscos associados às atividades da organização; - Acompanhamento sistemático das atividades; - Existência de testes periódicos de segurança para os sistemas de informações; 1º Controles internos devem ser periodicamente revistos. 2º Auditoria interna como parte do sistema de controles internos. 3º Atividades devem ser objeto de relatórios no mínimo semestrais. Incumbe a diretoria a promoção de elevados padrões éticos e de integridade e de uma cultura organizacional que 4º demonstre e enfatize a importância dos controles internos e o papel de cada um no processo. 5º Definição das estruturas internas e procedimentos. Resolução CMN 2554/98 Quadro 1 Requisitos da Resolução CMN nº 2554/98 Fonte: A Própria Resolução É possível clara identificação da influência da definição de controles internos do COSO Internal Control Integrated Framework e de seus 5 elementos de controle na Resolução CMN nº. 2554/98. Na ocasião da implementação das regras da Res. CMN nº. 2554/98 as instituições se organizaram para assegurar que todas as políticas e procedimentos estivessem publicados e disseminados aos seus funcionários, uma estrutura de focais disseminadas em todas as áreas-chave periodicamente certificassem conformidade com as novas regras, geralmente sob coordenação da Função de Compliance dos Bancos que à época começava a ser estruturada. Esta função de Compliance emitia os relatórios semestrais para a Administração Senior, sobre o status geral dos controles internos. Na priorização de ações, as funções de controles internos consideram análise de freqüência e severidade de impacto de riscos identificados. A prática comum,

32 31 anterior à institucionalização da gestão de riscos operacionais era os riscos serem classificados de acordo com seu impacto e probabilidade. Posteriormente, com a institucionalização da gestão de riscos operacionais as mensurações de riscos passaram a considerar frequência e severidade. Esta mudança, aparentemente pequena, tem grande impacto sobre a gestão de riscos operacionais, e quem não faz esta distinção sofre críticas duras pelos gestores de riscos operacionais (KHAN et AL, 2006). A distinção é importante por que ao multiplicar um evento de alto impacto por uma baixa probabilidade, faz parecer que o risco como um todo é baixo, e logo o assunto é considerado como não prioritário. Entretanto, a Gestão de Riscos Operacionais ao desenhar uma distribuição de freqüência, dispondo os riscos em função de sua freqüência e severidade, faz transparecer de forma mais contundente a importância dos riscos de alto impacto e baixa freqüência (como o caso do atentado às torres gêmeas em 2001 severidade alta, freqüência baixa), outrora considerados como não prioritários pelos gestores de controles internos. Sendo a modelagem destes riscos (eventos extremos), para fins de cálculo de capital mínimo um dos maiores desafios dos Gestores de Riscos Operacionais (TILLAART, 2003, p.88). Veremos neste estudo, que a falta de integração entre as funções de controles internos, SOX Compliance e Gestão de Riscos Operacionais também se verifica na forma como estas funções se comunicam e reportam sobre os riscos, e um dos aspectos é o exemplo apresentado. A dinâmica dos anos recentes fez aumentar a demanda por executivos capazes de entenderem o mundo, promoverem inovações e permitirem capacidade de adaptação constante a novos requisitos. Neste contexto, a ênfase da administração mudou fazendo tornar-se menos relevante as questões relativas a controle, que passaram a ser relegadas a um segundo plano. A nova tônica era a ênfase na maximização das oportunidades, a resolução dos problemas passou a ser vista como mera restauração da normalidade e controle como algo que inibe a flexibilidade necessária nos novos tempos. Entretanto, na mesma medida em que os executivos se afastaram do conceito de controles internos, a regulamentação sobre controle se tornou mais abrangente. Em paralelo, verificou-se um número de instituições que quebraram em decorrência de falhas de controle, fazendo reforçar a necessidade de regulamentação sobre controle. A crise dos financiamentos habitacionais sub-prime de 2007, por exemplo, trouxe uma discussão acirrada sobre controle acerca da remuneração dos

33 32 executivos. Em 2001, a quebra de empresas de renome nos Estados Unidos fez nascer a Lei Sarbanes-Oxley, que tratou sobre controle relacionado à Governança Corporativa e ao processo de reporte financeiro. O Basel Committee on banking supervision (o Comitê da Basiléia sobre supervisão bancária) em 1998 emitiu documento intitulado Enhancing Bank Transparency através do qual enfatiza a importância dos controles internos como forma de assegurar confiabilidade das informações. No que diz respeito à responsabilidade da administração sobre os controles internos o Código de Melhores Práticas de Governança Corporativa do IBGC (2004) define: O principal executivo é responsável pela criação de sistemas de controle internos que organizem e monitorem um fluxo de informações corretas, reais e completas sobre a sociedade, como as de natureza financeira, operacional, de obediência às leis e outras que apresentem fatores de risco importantes. A efetividade de tais sistemas deve ser revista no mínimo anualmente. Este tópico assume importância especial, no contexto deste estudo, uma vez que o COSO - Internal Control Integrated Framework, apresentado de forma sumária neste tópico, é utilizado neste trabalho como base para comparação das diferentes funções de controle, quando as atividades realizadas por cada função de controle são analisadas em termos de sua contribuição para os cinco componentes de um sistema de controles internos definido pelo COSO. É importante salientar que o conceito de Controles Internos é amplo, sendo mais fácil exemplificar o que não é controle interno do que defini-lo, havendo opiniões díspares acerca de seu real significado. Utilizaremos neste trabalho o conceito de controles internos definido pelo COSO, uma vez que é o conceito mais utilizado neste momento para fins de SOX Compliance. Não é objetivo deste estudo um aprofundamento maior no conceito de controles internos. As correntes atuais de administração e gestão de pessoas rechaçam a idéia de controle. A filosofia de comando e controle é considerada ultrapassada, modernamente está em moda a gestão por competências, o empoderamento (empowerment), considerados atualmente modelos estratégicos, vitais na era do conhecimento.

34 Compliance Este tópico apresenta o significado de Compliance, suas origens, área responsável, principais preocupações. Compliance conforme apresentado no Dicionário Merriam-Webster s (2010) é o ato ou processo de atender a um desejo, demanda, proposta ou regime ou coação, ou conformidade em completar um requerimento oficial. Ou conforme menciona Manzi (2008, p.15): O termo compliance origina-se do verbo em inglês to comply, que significa cumprir, executar, satisfazer, realizar algo imposto. Compliance é o ato de cumprir, de estar em conformidade e executar regulamentos internos e externos, impostos às atividades da instituição, buscando mitigar o risco atrelado à reputação e ao regulatório/legal. Com relação ao termo risco de compliance, o documento Compliance and the Compliance Function in Banks, emitido pelo BIS - Bank for International Settlement (2005) define como o risco de sanções legais ou regulatórias, perda financeira material, ou perda de reputação que um banco pode sofrer como um resultado de sua falha em estar em conformidade com leis, regulamentos, regras, e padrões relacionados à organização autorregulatória, e códigos de conduta aplicáveis as suas atividades bancárias (em conjunto compliance, leis, regras e padrões). As leis, regras e padrões de compliance geralmente cobrem problemas tais como observância a padrões apropriados de conduta de mercado, gerenciamento de conflitos de interesse, tratamento justo aos clientes e assegurar que os aconselhamentos a clientes sejam adequados às suas necessidades. As regras de compliance tipicamente incluem áreas específicas tais como a prevenção à lavagem de dinheiro e financiamento ao terrorismo, e podem se estender à legislação tributária que são relevantes para a estruturação de produtos bancários ou aconselhamento a clientes. Um banco que sabidamente participa em transações a serem utilizadas por clientes para evitar requerimentos regulatórios ou de reporte financeiro, evadir obrigações tributárias, ou facilitar conduta ilegal estará se expondo a riscos significativos de compliance.

35 34 A função de compliance existe com os objetivos primordiais de evitar danos à reputação ou sanções regulatórias às instituições; ambos os riscos podem comprometer seriamente a capacidade de uma instituição continuar operando. A função de compliance a exemplo da função de Auditoria e outras funções de controle está sujeita a requisitos de independência, uma vez que o cumprimento de requisitos regulatórios não pode estar subordinado a outras funções conflitantes ou subordinado a linhas de negócios. Dentre as categorias de objetivos dos controles internos, definidas no conceito de controles internos do COSO, ao lado de eficiência e efetividade das operações, confiabilidade do reporte financeiro, está a conformidade com leis e regulamentação aplicável. A origem das funções de compliance, embora tenha sua ênfase no Brasil a partir de 2000, está atrelada à própria regulamentação bancária. Ou seja, na medida em que a regulamentação bancária ganha corpo ao longo dos anos, a complexidade regulatória faz nascer a necessidade de as instituições financeiras manterem funções permanentes para assegurar-se de que a regulamentação esteja sendo cumprida. O rigor da regulamentação pode fazer com que o descumprimento de requisitos regulatórios específicos possa ser fonte de risco significativo para instituições financeiras. Segundo Drucker (1993, p.384), a primeira responsabilidade que a administração deve à empresa com relação à opinião pública, políticas e leis, é de considerar tais demandas feitas pela sociedade sobre a empresa (ou que provavelmente serão feitas no futuro próximo) considerando que podem afetar a realização de seus objetivos. É trabalho de administração encontrar uma forma de converter estas demandas de ameaças ou restrições sobre a liberdade de ação da empresa em oportunidades para crescimento, ou no mínimo satisfazer estas demandas como o menor dano para a empresa. As instituições financeiras no Brasil operam em ambiente fortemente regulamentado. Sem que exista uma função de monitoramento centralizado, como se propõe uma função de Compliance, é fácil visualizar riscos se materializando em toda a instituição com impactos que podem assumir importância significativa à capacidade da instituição continuar operando.

36 35 Na prática estar em compliance é uma responsabilidade de todos os que trabalham em instituições financeiras. O posicionamento da função de compliance dentro do organograma de uma instituição financeira pode variar, e, conforme varia, pode adotar diferentes abordagens. A função de compliance em certas instituições pode ter preocupação estritamente em atendimento às regulamentações e evitar multas, com foco, por exemplo, em prevenção à lavagem de dinheiro (Lei 9613/98), definição de estruturas de controles internos (Resolução CMN nº 2554/98), acompanhamento de multas pagas, enquanto outras instituições podem incorporar além das preocupações regulatórias e de evitar multar, o risco de reputação, neste caso atuando para, por exemplo, disseminar o código de ética e conduta, definição de políticas de chinese wall, recebimento e doação de presentes de clientes, contribuição a partidos políticos, corrupção, aprovação de novos produtos, análise de contratos, prevenção à lavagem de dinheiro, evitar a venda casada, ou venda de produtos não adequados a clientes não suficientemente informados sobre a natureza das operações, etc. Manzi (2008, p.61) avalia a função de compliance em comparação com a auditoria interna, concluindo que a função de compliance certifica o cumprimento de normas e processos de forma rotineira e permanente, enquanto a auditoria interna o faz de forma aleatória e temporal por meio de amostragem. Cumpre esclarecer que em algumas organizações bancárias, em geral as de tamanho pequeno ou médio, as funções de Compliance, acumulam responsabilidade por riscos reputacionais, controles internos em geral, e até mesmo conformidade com a Lei Sarbanes-Oxley. Na maioria das instituições internacionais de grande porte a função de Compliance se ocupa exclusivamente com aspectos relacionados a riscos reputacionais. Enquanto que, no Brasil, é comum a função de Compliance assumir responsabilidade por questões relacionadas a Controles Internos, e cumprimento de normas como a Resolução CMN nº. 2554/87 que trata de controles internos, o que é fomentado pelos órgãos reguladores, no sentido de se criar uma área específica para monitorar e reportar de forma independente sobre controles internos. Este estudo foca instituições financeiras de grande porte, e, como veremos adiante, irá analisar o fato de que as funções de controle possuem diferentes origens, diferentes objetivos, requerem profissionais com diferentes perfis de habilidades e, dependendo de fatores culturais e da forma como estruturadas, irão resultar na

37 36 estruturação de funções de controle que ora buscam centralizar diversas responsabilidades ora buscam a descentralização destas responsabilidades. Havendo vantagens e desvantagens em cada uma das abordagens, sendo mais típico de instituições que buscam apenas atender regulamentação, a centralização. A centralização é, em geral, de implementação mais rápida, permite atender a regulamentação de forma mais rápida, ao mesmo tempo em que acaba contribuindo para diminuir a velocidade da disseminação da cultura Gestão de Riscos Operacionais Este tópico tem por objetivo apresentar o conceito de Riscos Operacionais, suas origens, formas de mensuração e gerenciamento. O avanço da globalização, com as transações de fusões e aquisições, aumento do nível de dependência de sistemas (globais) e trânsito mundial de dados através de redes internas e externas, o processamento centralizado de transações em países de baixo custo de mão-de-obra e o processo através do qual as empresas/clientes estão menos dependentes das tradicionais fontes de financiamento onde as instituições financeiras passam a prestar serviços de consultoria, fatores climáticos e doenças, além de outros fatores como, a necessidade de os bancos serem ágeis e flexíveis na criação de produtos desenhados para atender a demanda específica de clientes específicos geralmente controlados de forma não automatizada, fraudes eletrônicas (perpetradas através de hacking, clonagem de cartões, etc.), e até mesmo a forma como as pressões exercidas sobre a gestão das instituições fazem com que a performance seja medida por avanços em fatores de curto prazo em detrimento a medidas de longo prazo (lembrando que uma cultura de controle em geral é construída em médio/longo prazo), o encurtamento das carreiras e a dinâmica em que as pessoas não mais exercem suas funções por longos períodos de tempo têm feito com que cresça a importância relativa da gestão do risco operacional em relação aos outros tipos de riscos num ambiente de margens/spreads decrescentes. O advento do novo acordo da Basiléia, datado de 2004, que ficou conhecido como Basiléia II, aplicável a praticamente todas as instituições financeiras (pelo menos àquelas situadas em países cujos governos decidiram estar em conformidade

38 37 com as deliberações do Comitê da Basiléia), trouxe como principais inovações: i) a definição oficial de risco operacional, ii) o estabelecimento de requerimento de capital regulamentar mínimo destinado a proteger uma instituição financeira contra riscos desta natureza, bem como, iii) as metodologias aceitáveis para a sua medição. Risco Operacional tal como definido pelo Comitê da Basiléia é o risco de perda resultante de processos, pessoas e sistemas internos inadequados ou falhos e de eventos externos. Esta definição inclui o risco legal, mas exclui os riscos estratégicos e de reputação. A implementação pelas Instituições Financeiras das medidas de adequação ao Novo Acordo da Basiléia concorreu com a Lei Sarbanes-Oxley e atualmente concorre com o processo de harmonização contábil com as regras do IFRS - International Financial Reporting Standards. O Banco Central do Brasil (BACEN) emitiu Comunicado nº ainda no ano de 2004 estabelecendo cronograma de implementação das modificações decorrentes do novo acordo da Basiléia, fixando o ano de 2011, como ano limite de sua implementação. Em 2006, o Banco Central do Brasil emitiu edital de audiência pública, onde colocou em análise pública uma minuta de regulamentação a respeito da gestão de riscos operacionais. Após um período em audiência pública, foi emitida a Resolução CMN nº. 3380/06, a qual estabeleceu uma série de requisitos qualitativos para a gestão de riscos operacionais. Em 2007, o Banco Central do Brasil emitiu Comunicado nº estendendo o prazo para 2012 para início do processo de autorização para uso de modelos internos de apuração de requerimentos de capital para risco operacional. O novo Comunicado deixa aberto o prazo final, uma vez que somente define a data de início. Outro Comunicado do Banco Central do Brasil de nº , de 2009, define 2013 para início dos trabalhos de homologação das estruturas de gestão de riscos operacionais, no modelo avançado. Em 2008, o Banco Central do Brasil emitiu a Circular 3.383, a qual estabelece os procedimentos para o cálculo da parcela do Patrimônio de Referência Exigido referente ao risco operacional, a mencionada Circular não tratou da abordagem avançada (ou interna). Atualmente as instituições financeiras no Brasil e entidades de classe representativas das mesmas encontram-se em fase de implementação de projetos e estudos de impactos sobre a adequação a estas novas exigências, momento em

39 38 que a nova regulamentação passa a ser analisada com maior rigor, e os desafios, tanto conceituais, como técnicos e metodológicos, começam a emergir causando incertezas sobre o melhor curso de ação a ser tomado. A gestão de riscos operacionais não é uma ciência, as técnicas de mensuração estão em desenvolvimento e se constituem em grande desafio para todos aqueles envolvidos. A rigor o risco operacional com as técnicas disponíveis ainda não pode ser medido com exatidão e depende de uma cultura bem estabelecida de controles internos e transparência, métricas qualitativas podem ser utilizadas como suporte auxiliar. Tillaart (2003) questiona que as abordagens quantitativas foram desenvolvidas tomando por base premissas que funcionam para os riscos financeiros (risco de crédito, mercado e liquidez), entretanto, tais premissas não funcionam para riscos não financeiros (como o Risco Operacional). A instituição objeto do estudo, conforme apresentado no tópico 5.5., está em fase de desenvolvimento de uma abordagem para mensuração avançada de capital para fazer frente às perdas operacionais e está se defrontando com dificuldades que confirmam os entendimentos de Tillaart (2003). Figura 2 Três Pilares do Novo Acordo da Basiléia Fonte: Novo Acordo de Capital da Basiléia (2006)

40 39 A implementação do novo acordo da Basiléia é prevista que ocorra simultaneamente através de três frentes, chamadas pilares: Pilar I Diz respeito à quantificação do capital mínimo necessário; Pilar II Diz respeito à supervisão bancária; Pilar III Diz respeito à disciplina de mercado. O novo acordo da Basiléia prevê três abordagens para cálculo de capital mínimo para fazer frente perdas de natureza operacional, as quais evoluem em termos de sofisticação e sensibilidade ao risco de uma abordagem bastante simplificada, o Método do Indicador Básico (BIA Basic Indicator Approach), passando pelo Método Padronizado (Standardized Approach) até chegar ao Método de Mensuração Avançado (AMA Advanced Measurement Approach). A abordagem avançada (AMA - Advanced Measurement Approach) pressupõe a utilização de modelos quantitativos internos para apuração do capital mínimo para fazer frente a perdas de natureza operacional e tem como principais requisitos: Requerimentos de gestão qualitativa de riscos operacionais devem estar implementados; Requerimentos Quantitativos (para cálculo de capital mínimo): o Base de dados de perdas e incidentes internos de 3-5 anos. o Base de dados de perdas externas. o Análise de Cenários. o Fatores que refletem o ambiente comercial e os sistemas de controle interno. Considerando que as outras abordagens de cálculo (BIA - Basic Indicator Approach e SA - Standardized Approach) não são sensíveis aos fatos reais (as perdas reais e avaliações de risco específicas da instituição, portanto, aos riscos) e, em verdade, refletem requisitos de alocação de capital arbitrados pelos órgãos reguladores, é esperado que as instituições que adotarem a abordagem avançada (AMA) suportadas por dados reais e um modelo validado pelos reguladores irão alocar menos capital para fazer frente a perdas operacionais, desta forma terão uma vantagem competitiva em relação aos seus concorrentes, em razão de i) projetarem uma imagem de deterem menos risco ao mercado traduzindo-se em

41 40 taxas de captação mais competitivas e ii) poderem alocar menos capital do que seus concorrentes. Estudos têm sido realizados no Brasil sobre o tema Gestão de Riscos Operacionais, destaca-se dentre outros estudos, um documento emitido em 2006, pelo Grupo de Trabalho de Melhores Práticas da Federação Brasileira de Bancos - FEBRABAN, intitulado Melhores Práticas na Gestão do Risco Operacional, o qual tomou por base outro documento importante emitido em 2003 pelo Basel Committee on Banking Supervision (Comitê da Basiléia), intitulado Sound Practices for the Management and Supervision of Operational Risk. Entre trabalhos acadêmicos recentes sobre a Gestão de Riscos Operacionais no Brasil destaca-se o trabalho realizado por Coimbra (2007), um estudo de caso, que teve como foco a forma como as instituições financeiras estruturam suas funções de Gestão de Riscos Operacionais, o qual apresenta suas considerações finais demonstrando como fatores condicionantes da estrutura organizacional da Área de Gestão de Riscos Operacionais, a Estratégia, o Ambiente Externo, Tecnologia, Fator Humano e Tamanho. Com relação à formalização da estrutura de gestão, o autor também encontrou no caso analisado elementos que confirmam a literatura disponível quanto à forma de estruturação da gestão de riscos operacionais, as quais prevêem: i) a subordinação da gestão de riscos operacionais ao Diretor do Departamento de Gestão de Risco e Compliance (equivalente ao Chief Risk Officer); ii) políticas que descrevem as atribuições de gestão de risco operacional permeadas nas demais unidades organizacionais; iii) atribuições da área de Gestão de Riscos Operacionais que seriam: coleta de dados; medição e análise de riscos operacionais; relação com demais áreas e órgãos externos; desenvolvimento de políticas, práticas e tecnologias; disseminar as melhores práticas; assegurar consistência; iv) necessidade de Comitê; v) comunicação com a alta administração; vi) descentralização de atividades aos gestores das áreas de negócios; vii) pessoal com perfil analítico e quantitativo. As análises realizadas no tópico 5.5 deste estudo confirmam os entendimentos de Coimbra (2007). Outro estudo recente foi realizado por Camazano (2007), o qual teve por objetivo de pesquisa responder questão sobre a existência de convergência entre o marco regulatório do Comitê da Basiléia para o gerenciamento do risco operacional versus as exigências impostas pelo Sarbanes-Oxley Act e confirmar se a Lei Sarbanes-Oxley se caracteriza como uma contribuição ao gerenciamento do risco

42 41 operacional nas instituições financeiras brasileiras que estão sujeitas à sua observância. Os resultados da pesquisa de Camazano (2007) permitiram identificar a existência de convergência entre os referenciais estudados. A análise pormenorizada do marco regulatório do Comitê da Basiléia, em confronto com as exigências trazidas pelo Sarbanes-Oxley, revelou que ambos possuem a mesma base conceitual de propósitos, qual seja, controlar os fatores do risco operacional mantendo-os em níveis aceitáveis e compatíveis com o perfil de riscos da organização. Uma distinção não feita por Camazano (2007) é quanto ao foco da Lei Sarbanes-Oxley, que é primordialmente o processo de reporte financeiro, enquanto o foco da Gestão de Riscos Operacionais é redução de perdas e conseqüente redução do capital a ser alocado para fazer frente aos riscos operacionais. Embora não sejam conflitantes estes requisitos, o tipo de habilidade requerida dos profissionais, conforme veremos, e suas linhas de reporte são diferentes. Esta distinção é fundamental na estruturação de áreas para monitoramento do cumprimento destes requisitos as funções de controle. Trapp (2005) apresentou artigo intitulado Avaliação e Gerenciamento do Risco Operacional no Brasil: Análise de Caso de uma Instituição Financeira de Grande Porte, onde apresenta um modelo para análise do nível de maturidade de uma instituição em relação à implementação de uma estrutura para Gestão de Riscos Operacionais. Estudos internacionais na área de Gestão de Riscos Operacionais são inúmeros, destaca-se como importantes para o propósito deste estudo, que versará sobre as origens, usuários e principais práticas adotadas, e comparação entre as diferentes funções de controle, os trabalhos de Marshall (2002), Cruz (2002), Tillaart (2003), Chorafas (2004). Quanto ao desenvolvimento da Gestão de Riscos Operacionais, Tillaart (2003:53) conclui que o desenvolvimento dos métodos para mensuração de risco operacional está atrasado em relação ao desenvolvimento das medições para risco de crédito e risco de mercado. Isto é em parte devido ao fato de que os outros riscos são parte fundamental na gestão de instituições financeiras, e desta forma tiveram uma maior prioridade, e em parte em razão das dificuldades intrínsecas na quantificação de risco operacional.

43 42 Tillaart (2003, p.15) conclui sua pesquisa sobre como os bancos desenvolvem conceitos de mensuração para risco operacional dizendo que uma demanda externa deu início ao desenvolvimento dos métodos de mensuração de risco operacional. O regulador bancário sugeriu um encargo explícito de capital para risco operacional, o qual forçou os bancos a quantificar este tipo de risco. Segundo Tillaart (2003, p.15) para serem capazes de fazer isto, os bancos tentaram utilizar os métodos existentes, já aplicados para risco de crédito e risco de mercado. Estas tentativas, de acordo com o autor, provavelmente irão falhar devido aos problemas conceituais identificados. A principal causa disto é o caráter específico do risco operacional. Ele é idiossincrático (específico a cada instituição) e pode ser bastante influenciado. Ao responder a questão, como os métodos de mensuração de risco operacional têm sido desenvolvido?, deve ser concluído que um processo similar é aplicável, como foi feito com o risco de mercado e o risco de crédito no passado. Independente disto, Tillaart é de opinião que a indústria bancária deveria ter escolhido outra direção. Uma medida de risco operacional nunca será suficientemente acurada para ser utilizada como medida de performance. Desta forma, espera-se que o processo de mensuração de risco operacional deva ser interrompido em algum estágio. Os estatísticos serão forçados a deixar o assunto para controllers gerenciais, mas também os controllers gerenciais deverão ser advertidos sobre os obstáculos. A Medição de performance para risco operacional é diferente de medição de performance para risco de crédito ou risco de mercado. Figura 3 Gráfico de Distribuição de Perdas x Probabilidade de Perdas Fonte: FRS-Global Risk & Regulatory Compliance (2006)

44 43 A figura 3, bastante comum em estudos sobre perdas operacionais, demonstra uma curva que descreve o comportamento geral médio das perdas operacionais. O eixo horizontal demonstra o montante das perdas, enquanto o eixo vertical demonstra a probabilidade de ocorrência da perda operacional. A curva é dividida em três. Na primeira parte, estão localizadas as perdas de pequeno valor e grande probabilidade de ocorrência, as quais são chamadas perdas esperadas (expected losses) as quais já estão embutidas nos preços dos produtos (precificadas). No segundo segmento da curva, estão as perdas de valores intermediários cuja freqüência não é grande o suficiente para se poder esperar que voltem a acontecer com certeza, tratam-se das perdas não esperadas contra as quais as instituições devem manter capital econômico baseado em risco. O último segmento retrata os eventos extremos, as perdas catastróficas, cujo custo de alocação de capital pode ser considerado como não sendo economicamente viável. A grande inovação do novo acordo da Basiléia está relacionada à forma de cálculo do capital para fazer frentes às perdas operacionais. No estágio atual em que no Brasil grande maioria das instituições adota modelos de cálculo de capital que não são sensíveis aos riscos, o trabalho necessário ainda é de reforço de controles internos, condição básica para adoção de modelos mais avançados de quantificação de capital mínimo para fazer frente a perdas operacionais. As evidências deste estudo, conforme veremos adiante, indicam que a Gestão de Riscos Operacionais, quando atingir sua maturidade, será uma gestão de capital, baseada em estatísticas de perdas, e terá uma abordagem bastante diferente da abordagem adotada para fins de SOX Compliance ou Controles Internos. Entretanto, SOX Compliance e Gestão de Controles Internos serão sempre pré-requisitos para que modelos avançados de Gestão de Riscos Operacionais possam operar satisfatoriamente. Como se vê mais adiante neste estudo de caso, na instituição objeto do estudo, a função de Gestão de Riscos Operacionais atua para diminuição dos volumes de perdas, tendo como métrica para medição de performance o percentual de redução de perdas e atua focada na implementação de ações para diminuição de perdas, enquanto as funções de SOX Compliance e Controles Internos possuem abordagens mais qualitativas.

45 Sarbanes-Oxley Este tópico tem por objetivo apresentar a Lei Sarbanes-Oxley e seus principais objetivos. A Lei Sarbanes-Oxley, uma lei dos Estados Unidos, é aplicável no Brasil somente às empresas que possuam títulos ou valores mobiliários negociados nos mercados de capitais norte-americanos. No Brasil a Lei Sarbanes-Oxley tem influenciado as práticas de Governança Corporativa e recentemente influenciou a CVM - Comissão de Valores Mobiliários, a qual, através de Instrução CVM nº. 480/09 passou a exigir, de forma similar ao requerido pela Lei Sarbanes-Oxley, uma certificação pela administração, sobre a efetividade dos controles relacionados ao processo de reporte financeiro. A função de SOX Compliance é objeto deste estudo de caso único que tem por foco uma instituição financeira de grande porte que cujas conclusões poderão ser úteis na estruturação destas funções de controle em outras grandes instituições financeiras de grande porte no Brasil, as quais em sua maioria, embora empresas brasileiras, estão sujeitas aos requisitos da Lei Sarbanes-Oxley uma vez que acessam os mercados de capitais norte-americanos. Escândalos de manipulação de informações contábeis emergiram em grande quantidade no final da década de 90 e início do novo milênio nos Estados Unidos. Segundo pesquisa realizada pela KPMG, entre Janeiro de 1997 a Junho de 2002 aproximadamente um décimo das empresas abertas nos Estados Unidos republicaram as suas Demonstrações Financeiras pelo menos uma vez (em 1997: 92 republicações; 2001: 225 republicações; 2002:250 republicações). Escândalos envolveram companhias tradicionais norte-americanas e tiveram profundo impacto sobre a confiança dos investidores, a ponto de requerer uma ação drástica do Legislativo Norte-Americano. A Lei Sarbanes-Oxley é conhecida como a norma mais importante para o mercado de capitais norte-americano desde os anos 30. Entretanto, existem controvérsias quanto ao sucesso desta lei, a qual tem sido questionada em relação ao efeito sobre a competitividade do mercado de capitais norte-americano e seu alto custo de manutenção. A lei como afirmou Borgerth (2007) teve como objetivo restaurar o equilíbrio dos mercados por meio de mecanismos que assegurem a responsabilidade da alta

46 45 administração de uma empresa sobre a confiabilidade das informações financeiras por ela fornecida ao mercado. Dentre os principais requisitos da Lei Sarbanes-Oxley, escolhidos em relação ao propósito deste estudo, tem-se: Art Descrição Disclosure Certificate (certificado de divulgação) a ser assinado pelo CFO-Chief Financial Officer (Diretor Financeiro) e pelo CEO-Chief Executive Officer (Executivo Principal). Este certificado cobre: a revisão das informações financeiras; sua acurácia; apresentação justa das informações financeiras; controles internos relacionados às informações divulgadas; controles internos contábeis. Relatório Anual da Administração sobre Controles Internos. Uma avaliação da administração sobre a efetividade dos controles internos sobre o processo de reporte financeiro. Requer que o CFO e o CEO certifiquem as informações periódicas encaminhadas à SEC que incluam demonstrações financeiras. Quadro 2 Principais requisitos da Lei Sarbanes Oxley (para o propósito deste estudo) Fonte: Elaborado pelo Autor. Os requisitos da Lei Sarbanes-Oxley, conforme demonstrados acima, em geral dizem respeito à estruturação de políticas gerais de governança corporativa. Entretanto, apresenta requisitos específicos no que diz respeito aos controles internos sobre o processo de reporte financeiro (art. 404). Com a nova lei, por exemplo, a partir dos requisitos do seu artigo 404, pelo qual os administradores devem certificar que revisaram e testaram os controles internos relacionados aos processos de reporte financeiro, não é mais possível a um administrador alegar desconhecer o estado geral dos controles internos sobre este processo. A Lei Sarbanes-Oxley trouxe de volta à discussão pela administração sênior das organizações a necessidade de controles internos sobre o processo de reporte financeiro e regras específicas de governança corporativa.

47 46 A Lei, diferentemente do que se pode imaginar, não impacta somente as companhias listadas nas bolsas de valores norte-americanas, havendo muitas empresas que decidiram adotar os preceitos da Lei Sarbanes-Oxley em consideração ao fato de que seus principais parceiros comerciais estão sujeitos a estas regras. Muitos reguladores locais expandiram seus requisitos para garantir alinhamento com estas práticas, como iniciativa para coibir a incidência de fraudes contábeis como as que se verificaram nos Estados Unidos. Lembrando, que escândalos contábeis também ocorreram em outros países, não somente nos Estados Unidos. No Brasil pesquisa realizada por Camazano (2007), conforme já anteriormente mencionado, no tópico sobre Riscos Operacionais, demonstrou haver muitos pontos de convergência entre os requisitos para conformidade à Lei Sarbanes-Oxley e do novo acordo da Basiléia no que diz respeito à Gestão de Riscos Operacionais. Borgerth (2007) em seu livro intitulado SOX Entendendo a Lei Sarbanes- Oxley conclui quanto à efetividade da Lei Sarbanes-Oxley para o aprimoramento da confiabilidade da informação que, embora ainda haja muito que fazer para que as empresas alcancem um nível de transparência que garanta a confiabilidade da informação, a Lei Sarbanes-Oxley constitui uma ferramenta poderosa dentro do que o ambiente legislativo é capaz de garantir. E, faz uma ressalva, de que por mais abrangente e ameaçadora que seja a Lei Sarbanes-Oxley, a mesma por si só não é o bastante para coibir a ocorrência de fraudes. Abordagem para certificação dos controles internos sobre o processo de reporte financeiro: Abordagem geralmente utilizada para a certificação dos controles internos sobre o processo de reporte financeiro, tal como apresentado na figura abaixo, envolve a identificação das rubricas contábeis que oferecem riscos de erros materiais ao processo de reporte financeiro, identificação dos processos e subprocessos que geram os saldos contábeis, análise dos riscos e do desenho e efetividade operacional dos controles, considerando as assertivas financeiras.

48 47 Figura 4 Modelo de Análise de Riscos ao Processo de Reporte Financeiro - SOX Fonte: KPMG (2007). As assertivas financeiras são: Integridade (Completeness); Existência (Existence); Acurácia (Acuracy); Avaliação (Valuation); Propriedade (Ownership) e Apresentação (Presentation). Integridade diz respeito ao fato de que toda a transação contábil realizada deve ser objeto de registro contábil. Existência diz respeito ao fato de que toda transação registrada contabilmente deve corresponder a uma transação real, existente. Acurácia diz respeito ao fato de que todo o registro deve ser feito de forma acurada, no que diz respeito ao valor, prazo, taxa, contraparte, na rubrica-contábil correta, etc. Avaliação diz respeito a que a transação registrada deve estar avaliada de forma correta. Propriedade diz respeito ao fato de que a transação registrada deve representar direitos e obrigações válidos para a entidade que está realizando o registro.