MFC PROCEDIMENTOS DE MONITORAMENTO, FUNÇÕES E RESPONSABILIDADES NA GESTÃO DO RISCO OPERACIONAL EM BANCOS

Transcrição

1 MFC PROCEDIMENTOS DE MONITORAMENTO, FUNÇÕES E RESPONSABILIDADES NA GESTÃO DO RISCO OPERACIONAL EM BANCOS Viviane Theiss Mestranda do Programa de Pós-Graduação em Ciências Contábeis Universidade Regional de Blumenau Rua Antônio da Veiga, 140 Sala D 203- Bairro Victor Konder. vtheiss@al.furb.br Daniela Di Domenico Mestranda do Programa de Pós-Graduação em Ciências Contábeis Universidade Regional de Blumenau Rua Antônio da Veiga, 140 Sala D 203- Bairro Victor Konder. danieladidomenico@hotmail.com Francisco Carlos Fernandes Doutor e Professor do Programa de Pós-Graduação em Ciências Contábeis Universidade Regional de Blumenau Rua Antônio da Veiga, 140 Sala D 203- Bairro Victor Konder. franciscofernandes@furb.br Área Temática: Mercados Financeiro, de Crédito e de Capitais PROCEDIMENTOS DE MONITORAMENTO, FUNÇÕES E RESPONSABILIDADES NA GESTÃO DO RISCO OPERACIONAL EM BANCOS RESUMO O controle dos riscos operacionais envolve uma série de procedimentos, o monitoramento das atividades nos processos da organização é uma das formas eficazes de prevenir erros e fraudes, assim como o estabelecimento de funções e responsabilidades de todos os indivíduos dentro de uma organização. O objetivo deste estudo é verificar os aspectos de monitoramento e funções de responsabilidade na gestão de risco operacional, por meio das evidenciações das instituições financeiras regulamentadas pelo Banco Central do Brasil, listadas na BM&FBovespa, no ano de Desta forma, a pesquisa apresenta-se de modo descritivo, com um procedimento documental e uma abordagem qualitativa. Sendo que os dados foram coletados de acordo com as evidenciações registradas nas notas explicativas, relatórios da administração e as descrições de gerenciamento de riscos divulgados nos sítios eletrônicos de cada pesquisada. Os resultados apontam que os aspectos de monitoramento contínuo, monitoramento independente, apresentação dos métodos de avaliação e a documentação utilizada para o processo de acompanhamento do risco operacional é evidencia, contudo, aspectos de evidenciação de relatos deficiência, ainda são pouco informados. Quando verificados aspectos de funções e responsabilidades, todas as questões analisadas apresentam resultados satisfatórios e evidencias de uma relação com o gerenciamento de riscos. Palavras-chave: Risco operacional. Monitoramento. Funções e responsabilidades. 1

2 1. INTRODUÇÃO Nas últimas décadas o sistema financeiro passou por grandes transformações, que ocasionaram impactos econômicos e sociais, o que impulsionou os processos de gestão de risco a incrementar maior controle nas atividades operacionais das instituições financeiras, e umas das formas de controle é por meio da evidenciação. A evidenciação pode ser entendida como um dos requisitos fundamentais para que os seus diversos usuários possam conhecer a situação econômica e financeira das entidades, nos vários setores de atuação. A possibilidade de avaliar os bancos e de poder obter elementos que, de alguma forma, permitam fazer inferências sobre o futuro da entidade, adquire relevância ainda maior, em função da importância da indústria bancária para a economia, fato que se comprova pela forte regulamentação nacional e internacional sobre o setor (PELEIAS, et al. 2007). Os escândalos financeiros tornaram as autoridades reguladoras mais rigorosas, passando a exigir a divulgação de relatórios de gestão de riscos, pois demonstrações claras e precisas são fundamentais para o desenvolvimento da instituição, além de demonstrar transparência e confiança aos usuários. De acordo com Alves e Cherobim (2009), as autoridades reguladoras passarem a dar mais atenção ao risco operacional como um tipo de risco merecedor de tratamento corporativo. É neste caso, que a transparência dos atos de gestão de instituições financeiras melhora a relação dos investidores e a disciplina do mercado. Salgado e Careta (2010) informam que nas instituições financeiras, a gestão de risco operacional é um processo diretamente relacionado ao conhecimento dos processos da instituição. Desta forma, todos os processos críticos devem ter seus riscos operacionais identificados, avaliados, monitorados e controlados, auxiliando na redução do risco de grandes perdas, probabilidade de erros humanos e irregularidades de processos e sistemas. Os problemas que ocorrem nas instituições bancárias poderiam ter sido evitados, por meio de monitoramento continuo eficaz e separação de funções e responsabilidades, diminuindo assim, possíveis fraudes, erros nos processos operacionais, além de transtornos a clientes e prejuízos financeiros para a instituição. O Monitoramento, um dos componentes de gerenciamento de risco corporativo, segundo o COSO (2004a), avalia a presença e funcionamento dos processos da organização ao longo do tempo, que ocorre no curso normal das atividades de gestão. Sendo que, seu alcance dependendo principalmente de contínuos procedimentos de avaliação de riscos, e suas deficiências se ocorrerem, deverá ser relatado para alta administração e ao conselho, com intuito de resolução imediata. Para realização de um monitoramento nos processos operacionais é necessário estabelecer as funções e responsabilidades de cada indivíduo dentro da organização, para a realização de todas as atividades com eficácia, tornando assim os resultados mais satisfatórios. COSO (2004a), cita que a definição clara e precisa das funções e responsabilidades contribuem para a gestão mais eficaz dos riscos corporativos. Com base nesse contexto, o estudo questiona: Quais os aspectos de monitoramento e funções de responsabilidades evidenciados na gestão de risco operacional nas instituições financeiras regulamentadas pelo Banco Central de Brasil, listadas na BM&FBovespa, no ano de 2010?. O objetivo deste estudo é verificar os aspectos de monitoramento e funções de responsabilidade na gestão de risco operacional, por meio das evidenciações das instituições financeiras regulamentadas pelo Banco Central do Brasil, listadas na BM&FBovespa, no ano de

3 O trabalho justifica-se com base em pesquisas de alguns autores como Alves e Cherobim (2004), Trapp e Corrar (2005), Amaral, et al. (2009), Farias, Luca e Machado (2009), Beuren e Zonatto (2010). Em que concluem que estabelecer funções e responsabilidades e procedimentos de monitoramento periódicos eficazes nas atividades internas da entidade, poderão evitar conseqüências como, possíveis fraudes, lavagem de dinheiro, erros humanos, prevenir catástrofes, entre outros riscos operacionais característicos das instituições financeiras. Portanto, o presente trabalho pretende contribuir na verificação dos procedimentos de monitoramento na gestão do risco operacional e a separação de funções e responsabilidades incorridas nas instituições financeiras. 2. EVIDENCIAÇÃO DE RISCO OPERACIONAL PELOS BANCOS Evidenciação contribui para que os usuários das informações financeiras possam estabelecer o processo de tomada de decisão com maior precisão, além de permitir maior transparência e qualidade nos serviços prestados. Todo gestor deve estar consciente em relação aos benefícios que podem trazer, uma boa evidenciação, como abordada Peleias, et al. (2007), no qual o grau de evidenciação é de extrema importância, principalmente em empresas que pretendem obter níveis de governança, como é o caso de alguns bancos, principalmente por transmitir uma maior transparência nas informações. Hendriksen e Van Breda (1999), de uma maneira ampla, definem que divulgação quer dizer, veiculação de informação, em que os contadores tendem a utilizar tratando a respeito da informação financeira de uma empresa dentro de um relatório financeiro, geralmente o relatório anual. Em relação à evidenciação contábil, Hendriksem e Van Breda (1999) completam dizendo que, a divulgação em relatórios financeiros deve ser compreensível para os que possuem um conhecimento de negócios entendam a informação, por isso deve ser relevante, oportuna, compreensível, precisa, neutra e fiel. Se a informação contábil apresentar essas características, ela é benéfica para a sociedade. Por isso, é interessante a entidade apresentar as informações suficientes para permitir a comparação dos resultados esperados e serem úteis para o processo decisório. Os estudos de Trapp e Corrar (2005), Beuren e Zonatto (2010), através da metodologia do COSO, verificaram se o monitoramento, funções e responsabilidades, componentes de gerenciamento de risco corporativo, estão especificamente evidenciados, na seção gestão de risco operacional dos relatórios financeiros, das entidades regulamentadas pelo Banco Central do Brasil, que estão listados na BM&FBovespa, no ano de 2010, buscando analisar as avaliações e o gerenciamento do risco operacional em instituições financeiras nacionais. 2.1 GESTÃO DE RISCO OPERACIONAL Para minimizar as perdas ou a redução de lucro, é interessante toda entidade estabelecer uma gestão de risco operacional, pois além de poder reduzir essas incertezas, poderá fornecer informações úteis e oportunidade sobre o negócio, inclusive a possibilidade de aumentar os resultados de uma organização. Para controlar os riscos operacionais, é necessária inicialmente a sua identificação, classificação e caracterização. Desta maneira, o controle dos riscos operacionais envolve um conjunto de procedimentos, desde a eliminação do risco, prevenção, financiamento, entre outros, cabendo a responsabilidade pela gestão, a todos os indivíduos da empresa (FERNANDES; KROENKE; SÖTHE, 2010). Para melhores esclarecimentos a definição de risco operacional, de acordo com Bergamini Júnior (2005) determina que, os riscos operacionais são resultados das fraudes 3

4 praticadas por empregados, processos e sistemas informatizados, que ocorrem em função de desenho organizacional inadequado, falta de planejamento e de monitoração na delegação de poderes, de procedimentos sem conformidade e da obsolescência de produtos e processos. Os escândalos financeiros fizeram com que as autoridades passassem a dar mais atenção à regulamentação das instituições financeiras, a Resolução de 2006 dispõe às autorizadas a funcionar pelo Banco Central do Brasil, na implementação da estrutura de gerenciamento do risco operacional. E define risco operacional como a possibilidade de ocorrência de perda resultante de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, além de eventos externos. E prevê os seguintes itens na estrutura de gerenciamento do risco operacional: a) identificação, avaliação, monitoramento, controle e mitigação do risco operacional; b) documentação e armazenamento de informações referentes às perdas associadas ao risco operacional; c) elaboração, com periodicidade mínima anual, de relatórios que permitam a identificação e correção tempestiva das deficiências de controle e de gerenciamento do risco operacional; d) realização, com periodicidade mínima anual, de testes de avaliação dos sistemas de controle de riscos operacionais implantados; e) elaboração e disseminação da política de gerenciamento de risco operacional ao pessoal da instituição, em seus diversos níveis, estabelecendo papéis e responsabilidades, bem como as dos prestadores de serviços terceirizados; f) existência de plano de contingência contendo as estratégias a serem adotadas para assegurar condições de continuidade das atividades e para limitar graves perdas decorrentes de risco operacional e; g) implantação, manutenção e divulgação de processo estruturado de comunicação e informação. Com isso, a Federação Brasileira de Bancos - FEBRABAN (2006) demonstrou práticas e procedimentos a serem adotados em relação à estrutura de gerenciamento de risco operacional, abordando quatro tópicos a serem considerados: a) Desenvolvimento de um ambiente adequado para a gestão do risco operacional; b) Gestão do risco operacional; c) Transparência; d) Papel dos órgãos supervisores. Deste modo, de acordo com Farias, Luca e Machado (2009), são exigidas das empresas, mecanismos de gestão mais transparentes, levando em conta a utilização diversas formas de controle, dentre as metodologias, o COSO que tem demonstrado ser uma das mais adequadas à gestão eficaz dos controles internos. Assim como aborda, Beuren e Zonatto (2010), o COSO que tem por finalidade promover melhorias nos informes financeiros das organizações, por meio da ética, efetividade do ambiente de controle e da adoção de boas práticas de governança corporativa. O acordo da Basiléia de 1988, criado na Suíça com o objetivo de criar exigências míninas de capital, devem ser respeitados pelos bancos comerciais contra os riscos de crédito, segundo Yanaka e Holland (2009), nas alterações da proposta inicial do Acordo da Basiléia em 2004, introduzidas no novo documento, procura ser mais sensitíveis ao risco, possibilitando aos bancos escolherem entre abordagens padronizadas e modelos internos. Para Hölmstrom (1979) a assimetria de informações entre os indivíduos acontece porque as ações individuais não podem ser observadas, e cita que um remédio natural para o problema é a investir recursos em ações de monitoramento, onde simples precauções como o monitoramento podem trazer melhores resultados. 2.2 MONITORAMENTO Com o mercado em constante modificação e em atualização, as entidades necessitam de adaptações rápidas. O processo de acompanhamento ou monitoramento, com o intuito de apresentar respostas de forma ágil, deverá ser conduzido seriamente pelas empresas, de forma 4

5 contínua, para que ela possa apresentar uma possibilidade de correção ou, em alguns casos, espaço para eventuais mudanças. De acordo com o COSO (2004a), o monitoramento é avaliar a presença e funcionamento dos seus componentes ao longo do tempo, sendo estes um total de oito componentes, constituídos pelo ambiente interno, fixação de objetivos, identificação de eventos, avaliação do risco, respostas a riscos, atividades de controle, informação e comunicação, e inclusive o próprio monitoramento que está sendo efetuado. O acompanhamento ocorre no curso normal das atividades de gestão. Seu alcance dependerá principalmente de uma avaliação de riscos, da eficácia da monitorização e contínuos procedimentos. E suas deficiências de gestão empresarial, caso ocorrerem, deverão ser relatadas para alta administração e ao conselho. Assim, o COSO (2004a), ainda esclarece que o monitoramento pode ser conduzido de duas maneiras: mediante atividades contínuas ou de avaliações independentes. Essa combinação será capaz de assegurar que o gerenciamento de riscos corporativos mantenha a sua eficácia com o passar do tempo. O monitoramento contínuo é incorporado às atividades normais e repetitivas de uma organização, conduzido em tempo real responde a mudanças nas condições e está arraigado na organização. Muitas as atividades que prestam monitoramento originam-se das atividades de gestão que podem incluir análises de variância, comparações das informações oriundas de fontes discrepantes e abordagem a ocorrências imprevistas. São conduzidas pelos gerentes de operação de linha ou de suporte funcional, que dedicam profunda consideração às implicações das informações que recebem (COSO, 2004a). De acordo com Zanette, et al. (2009), a eficácia do gerenciamento de riscos empresarial, depende de atividades de monitoramento constantes, por meio dessas atividades, consegue-se verificar inconsistências dos processos e implicações relevantes que mereçam serem adotadas medidas corretivas. Para Oliveira e Linhares (2006, p. 11), o monitoramento é feito tanto por meio do acompanhamento contínuo das atividades quanto por avaliações pontuais, como é o caso da auto-avaliação, revisões eventuais e auditoria interna. Em geral, as atividades de monitoramento contínuo, de acordo com o COSO (2004a), são conduzidas pelos gerentes de operação, que dedicam profundas considerações às implicações das informações que recebem, levanta questões, acompanha outro pessoal, para determinar se existe necessidade de adotar medidas corretivas. As avaliações independentes, são feitas periodicamente e são diferentes das avaliações continuas, o COSO (2004b) esclarece que em determinados casos, elas são necessárias pela decorrência de mudanças na estratégia, processos fundamentais ou na estrutura da organização. São conduzidas pela administração, na função de auditoria interna, por especialistas externos ou a combinação destes. As avaliações independentes, geralmente ocorrem após a constatação de algum fato, entretanto, os problemas serão identificados com maior rapidez, em atividades contínuas de monitoramento. Essas atividades podem variar em termos de escopo e freqüência, depende da significância, da importância das respostas a risco e dos respectivos controles para a administração dos riscos (COSO 2004a). Contudo, a organização que constata a necessidade de conduzir avaliações independentes, freqüentemente deverá concentrar-se em fortalecer as suas atividades de monitoramento contínuo. Para apoiar o processo de avaliação, os avaliadores identificam metodologias e instrumentos. De acordo com COSO (2004a), algumas organizações comparam ou desenvolvem um processo de comparação de indicadores de desempenho para o seu processo de administração de riscos corporativos, em relação aos de outras organizações. 5

6 As metodologias são utilizadas como um comparativo entre as organizações, verificar quais são as semelhança do modelo em um determinado setor, por exemplo. Assim, poderá propor quais as formas utilizadas para o gerenciamento de risco. São exemplos de metodologias e ferramentas, apresentadas pelo COSO (2004b): a) fluxograma do processo; b) matriz de risco e de controle; c) manuais de referência de risco e controle; d) benchmarking interno, no setor ou por meio de informações de pares; e) técnicas de auditoria apoiada por computador; f) seminários de auto-avaliação de risco e controles; g) questionários e; h) sessões com facilitadores. A documentação é o registro de que a organização efetua o gerenciamento de risco. O COSO (2004a) indica que a quantidade de documentação do gerenciamento de riscos corporativos de uma organização, varia de acordo com o tamanho, a complexidade e os fatores semelhantes. Exemplos de documentação considerada para uma avaliação são encontrados no COSO (2004b). De acordo com Souza (2007), quando a entidade pretende relatar a partes externas sobre a efetividade do gerenciamento de risco, ela deve considerar o desenvolvimento e guarda de documentação que suporte suas afirmações. Segundo a autora, essa documentação pode ser útil em caso de necessidade de confirmação das afirmações feitas. Uma deficiência, para o COSO (2004a), é uma condição do gerenciamento de riscos que merece maior atenção, pode representar uma desvantagem real, percebida ou em potencial. É uma oportunidade de fortalecer o gerenciamento de riscos corporativos para aumentar a probabilidade dos objetivos serem alcançados. O COSO ainda define, que as avaliações realizadas pela administração, auditores internos ou por outras funções, podem identificar necessidade de melhoria. Todas as deficiências do gerenciamento de riscos corporativos, que venham a ser identificados, e que possam afetar a capacidade da organização a desenvolver e programar a sua estratégia e estabelecer a alcançar os objetivos, deve ser relatado ao pessoal para que medidas adequadas sejam adotadas (COSO, 2004b). Peleias, et al. (2007) argumentam que para garantir a transparência da evidenciação, os bancos não deveriam apenas divulgar aspectos positivos, pois isto não contribui para que os conjuntos das informações reflitam deforma adequada a realidade dessas instituições. Em relação ao que deve ser relatado, para Souza (2007, p. 61), não existe uma resposta universal. Pode-se considerar que qualquer deficiência que afete a capacidade da entidade atingir seus objetivos estratégicos tem que ser informada àquelas pessoas em condições de executar as ações necessárias. Questões relativas de comunicação e pessoas, a quem relatar deficiências devem estar explícitas em normas que estabeleçam, ainda, qual informação é necessária em cada nível da organização, de forma a prover respostas efetivas (SOUZA, 2007). Pode-se ressaltar diante do contexto do autor, a importância da definição das funções e responsabilidades com clareza, para a gestão de risco mais eficaz. 2.3 FUNÇÕES E RESPONSABILIDADES Segundo a International Federation of Accountants - IFAC (2001), todos os membros de uma entidade devem identificar e monitorar os principais riscos e oportunidades da entidade e garantir sistemas adequados para o gerenciamento de riscos, isso inclui a reputação da entidade. Por isso, de acordo com o COSO (2004a), a diretoria executiva, a administração, os executivos de risco, os executivos de finanças, os auditores internos e externos, ou qualquer indivíduo dentro de uma organização, podem contribuir para a gestão mais eficaz dos riscos corporativos. 6

7 A alta administração e o nível gerencial são os responsáveis pelo estabelecimento de uma cultura apropriada e por monitorar a eficácia do processo, com o intuito de que todos devem participar, para que haja aprimoramento contínuo (SALGADO E CARETA, 2010). Todos os funcionários possuem funções importantes e com elas produzem informações úteis para o gerenciamento de risco. Para Coimbra (2005, p. 5), a estratégia empresarial, apesar de ter sua elaboração na alta administração, deve ser conhecida por todos os funcionários da organização, os quais devem atuar de forma participativa na sua implantação. Para Bogoni (2008, p. 48), o gerenciamento do risco é parte integrante das funções gerenciais de planejamento e controle que, por sua vez, é capaz de fornecer informações que auxiliam aos gestores nas tomadas de decisões. Desta forma, a seguir serão detalhadas as principais agentes de uma organização, assim como suas funções e responsabilidades, perante a gestão de risco. O código do IBGC (2010, p. 29) confirma o papel do conselho de administração, ser o elo entre a propriedade e a gestão para orientar e supervisionar a relação desta ultima com as demais partes interessadas. Conforme descrito acima, se faz necessário que o conselho de administração esteja interligado com os demais setores da empresa, para assim, fazer jus ao papel delimitado pelos sócios e prestar contas com eficácia e eficiência aos mesmos. O conselho de administração é necessário conhecer o ambiente e as atividades da organização, para poder supervisionar com eficácia o gerenciamento dos riscos corporativos. O conselho de administração faz parte do ambiente, deve ter a composição necessária para que o gerenciamento seja eficaz, mas pode também, delimitar comitês para cumprir determinadas responsabilidades de conselheiros (COSO, 2004a). Cada organização é estruturada de acordo com suas características e necessidades, e nessa estrutura encontra-se o diretor responsável pela empresa, do funcionário da linha de produção, até o mais alto escalão, cada um com suas respectivas responsabilidades. A respeito disso, o COSO (2004a, p. 85) define, [...] a diretoria executiva é diretamente responsável por todas as atividades de uma organização, inclusive do gerenciamento de riscos corporativos. Segundo o COSO, os demais diretores nos diferentes níveis também terão diferentes responsabilidades no gerenciamento de riscos corporativo, e estas, podem variar de acordo com as características da organização. O presidente acima de qualquer departamento é o depositário final da responsabilidade da gestão de riscos, ele deve entre suas principais função, fornecer liderança e direcionamento a diretoria executiva, pois é com eles que o presidente elabora o planejamento estratégico e os objetivos da organização. Para Campbell (2005, p. 3), os lideres de uma organização são responsáveis por estabelecer uma cultura organizacional. É a cultura que encoraja condições de integridade, ética e conformidade com a lei. Cabe saber, se este fato acontece nas instituições regulamentadas pelo Banco Central do Brasil. Algumas organizações acreditam que uma coordenação centralizada pode além de contribuir, facilitar o gerenciamento de riscos corporativos, delimitando uma nova função. O que acontece é que em algumas organizações, é denominado um executivo chefe de riscos ou gerente de riscos responsável pela função, nomeado pelo presidente, devendo possuir recursos que auxiliem na gestão de riscos, nas unidades, nos departamentos, nas funções e até mesmo nas atividades (COSO, 2004a). Desta forma, companhias atribuíram essa função de gerenciar os riscos a um funcionário graduado como, por exemplo, diretor executivo financeiro ou assessor jurídico, já outras dizem que essa função deve requerer a atribuição de recursos independentes. As companhias também concluem que quando bem esclarecida sua função de suporte, a função é 7

8 muito bem sucedida, pois apóia e facilita as gerencias de linha de negócios (COSO, 2004a). Portanto, o gerenciador de riscos possui a responsabilidade de monitorar o processo e dar assistência aos demais gerentes, bem como servir de comunicador para toda a estrutura da organização. A auditoria faz parte dos processos de controles pré-estabelecidos nas empresas, contribui para verificar se as atividades estão em conformidade com as leis, e com as normas e regimentos das instituições. A Comissão de Valores Mobiliários CVM lançou a Instrução nº 381/03, que traz o Comitê de Auditoria como o órgão avaliador das principais atividades de auditoria interna, auditoria externa e controles internos, tendo suas atribuições previstas na Resolução do Banco Central do Brasil. A Resolução nº , estabelece regras para as auditorias independentes e para os Comitês de Auditoria financeira, determinem responsabilidades e prazos para o funcionamento dos comitês. Deste modo, o Comitê de Auditoria se tornou um instrumento relevante para assessorar a alta administração, além de sua grande importância dentro das organizações, servem como elo de comunicação entre as principais partes, entre elas, auditoria independente, acionistas e o Conselho de Administração. As auditorias podem ser realizadas por auditores internos e também com auditores independentes. A auditoria interna é realizada por funcionários da própria empresa, já para a auditoria independente é necessário a terceirização de uma empresa especializada. Para Bio (1996, p. 134), o principal objetivo da auditoria interna é assessorar a administração no desempenho eficiente de suas funções, fornecendo-lhe análises, avaliações, recomendações e comentários sobre as atividades auditadas. Os auditores internos desempenham função essencial ao avaliar a eficácia do gerenciamento de riscos corporativos e ao recomendar melhorias, essa tarefa compreende na avaliação da confiabilidade das informações, a eficácia e a eficiência das operações e o cumprimento de leis e normas aplicáveis. As normas estipulam que o alcance da auditoria deve incluir o gerenciamento de riscos e os sistemas de controle (COSO, 2004a). Em contrapartida, a auditoria externa apoiada pelas disposições da Lei /07, traz à obrigatoriedade nas empresas de mercado aberto a auditoria independente. Na visão singular os auditores externos, possibilitam opiniões objetivas e independentes, que podem contribuir com os objetivos de comunicação externa, como outras metas. Por exemplo, em uma auditoria de demonstrações financeiras, o auditor expressa suas idéias em conformidade com os princípios contábeis, contribuindo para o fornecimento de informações úteis para que a administração possa cumprir com suas responsabilidades relativas à gestão de riscos (COSO, 2004a). 3. METODOLOGIA Para este estudo, quanto as objetivos trata-se de um estudo descritivo, pois descreve aspectos ou comportamentos de uma determinada população analisada. Em relação ao procedimento empregado, trata-se de uma pesquisa documental, pela coleta de dados nas demonstrações contábeis e informações disponíveis nos sítios eletrônicos de cada instituição, no qual visa analisar o comportamento de um determinado setor da economia, com aspectos da situação patrimonial econômica e financeira. E a abordagem do problema é representada pelo método qualitativo, no qual, concebe-se análise mais profunda em relação ao fenômeno que está sendo estudado (RAUPP, 2004). A pesquisa limitou-se a verificar as características apresentadas pelo modelo do COSO (2004a) e COSO (2004b), como uma forma de transparência sobre as informações divulgadas 8

9 Funções e responsabilidades Monitoramento aos investidores, por meio dos relatórios divulgados pelos bancos, sendo as notas explicativas ou o relatório da administração. A população deste estudo, constitui-se todo o setor financeiro listada na BM&FBovespa do ano de 2010, totalizando um montante de 37 entidades. Em uma análise posterior, foram separadas as instituições financeiras que estão regulamentadas pelo Banco Central do Brasil, caracterizando uma amostra final de 16 entidades, conforme o Quadro 1: Banco ABC Brasil S.A. Banco da Amazônia S.A. Banestes S.A. Banco do Estado do Espírito Santo Banco Bradesco S.A. Banco do Brasil S.A. Banco Cruzeiro do Sul S.A. Banco Daycoval S.A. Banco Indusval S.A. Quadro 1 - Amostra analisada Fonte: Dados da pesquisa. BANCOS Itaú Unibanco S.A. Banco Mercantil do Brasil S.A. Banco do Nordeste de Brasil S.A. Banco Panamericano S.A. Paraná Banco S.A. Banco Pine S.A. Banco Santander (Brasil) S.A. Banco Sofisa S.A. Será utilizado, como suporte para está pesquisa, um Check list dos fatores importantes, relacionados a monitoramento e funções e responsabilidades, conforme está apresentado no Quadro 2: Itens de evidenciação 1 As instituições financeiras realizam monitoramento contínuo. 2 O monitoramento independente faz parte da gestão de risco. 3 As instituições apresentam os métodos de avaliação de risco operacional. 4 Estão evidenciadas as documentações de monitoramento utilizadas pelas instituições. 5 As entidades evidenciam relatos de deficiência. 6 O Conselho de Administração exerce papel importante no gerenciamento de risco corporativo. 7 As instituições financeiras apresentam funcionários responsáveis apenas pela gestão de risco. 8 A instituição apresenta auditores internos. 9 A instituição apresenta auditores externos. A instituição evidencia que a diretoria executiva é responsável por todas as atividades do 10 gerenciamento de riscos corporativos. Quadro 2 Check list Fonte: Dados da pesquisa. 4. ANÁLISE DOS RESULTADOS A seguir serão relatadas as informações obtidas com esta pesquisa, além de serem as respostas das perguntas referentes ao monitoramento, funções e responsabilidades, conforme apresentado na metodologia pelo Check list. Foi utilizado o seguinte procedimento, quando uma das variáveis ou itens de evidenciação corresponde com o informado pela entidade, utilizou-se uma variável dicotômica, representada pelo valor 1, caso contrário, se a empresa não atendesse tal requisito, o valor caracterizado seria zero. Desta forma, foi possível examinar uma pontuação de acertos, por meio das evidenciações em notas explicativas, relatórios da administração e os relatórios disponíveis no sítio eletrônico de cada empresa pesquisada, verificando se estas divulgam suas práticas de monitoramento e de funções e responsabilidades. 9

10 Funções e responsabilidades Monitoramento Com a pontuação estabelecida, o Quadro 3, informa a pontuação e porcentagem de acerto e desacertos ocorridos. Itens de evidenciação Sim % Não % 1 As instituições financeiras realizam monitoramento contínuo % 0 0% 2 O monitoramento independente faz parte da gestão de risco % 2 13% As instituições apresentam os métodos de avaliação de risco 3 operacional % 5 31% Estão evidenciadas as documentações de monitoramento utilizadas 4 pelas instituições. 9 56% 7 44% 5 As entidades evidenciam relatos de deficiência. 6 37% 10 63% O Conselho de Administração exerce papel importante no 6 gerenciamento de risco corporativo % 2 13% As instituições financeiras apresentam funcionários responsáveis 7 apenas pela gestão de risco % 0 0% 8 A instituição apresenta auditores internos % 4 25% 9 A instituição apresenta auditores externos % 0 0% A instituição evidencia que a diretoria executiva é responsável por 10 todas as atividades do gerenciamento de riscos corporativos % 3 19% Quadro 3 - Pontuação positiva e negativa de acordo com cada questão do Check List Fonte: Dados da pesquisa O Quadro 3 demonstra que, das 16 entidades pesquisadas, a questão de monitoramento contínuo é caracterizada para todas as entidades, o monitoramento independente, entre 14 entidades, representando 88% de acerto. Assim como, a evidenciação dos métodos de avaliação para o risco operacional, pontuando um montante de 11 instituições e 69% dos acertos. Em se tratando da evidenciação da documentação utilizada no monitoramento, 9 entidades apresentam informações, porcentagem relevante se comparadas as evidenciação dos relatos de deficiência, representada somente por 6 entidades. Nas questões de funções e responsabilidades, a pontuação é mais benéfica, a começar com o Conselho de Administração, exercendo papel importante no gerenciamento de risco corporativo, caracterizado por 14 entidades. Melhor ainda, as questões de que há funcionários responsáveis na gestão de risco e a representação dos auditores externos perante todas as instituições pesquisadas. Fato também representado por 12 entidades que apresentam auditores internos, no qual representa 75% dos acertos, a menor pontuação desta categoria. Finalmente a evidencia, de que a diretoria executiva é responsável por todas as atividades do gerenciamento de riscos corporativos, sendo caracterizada pelo montante de 13 entidades pesquisadas. Para melhor compreensão de acordo com os acertos, foi estabelecida uma análise de estatística descritiva entre questões de monitoramento e funções e responsabilidade, conforme esta exposta na Tabela 1: Questões Média Mediana Moda Mínimo Máximo Desvio Padrão Monitoramento 11,4 11,00-6,00 16,00 3,96 Funções e responsabilidades 14,2 14,00 16,00 12,00 16,00 1,79 Tabela 1 - Estatística descritiva entre as questões de monitoramento e funções e responsabilidades Fonte: Dados da pesquisa De acordo com a Tabela 1, a média da pontuação de divulgação por entidade pesquisada, em relação às questões de monitoramento é de 11,4 pontos e funções e responsabilidades 14,2. Correspondendo uma mediana de 11 e 14 pontos respectivamente. A 10

11 moda, caracterizado pela pontuação que ocorreu nas entidades com maior freqüência, somente foi possível estabelecer, para as questões de funções e responsabilidades, numa freqüência de 16 pontos, isso significa que mais de uma vez, todas as entidades prestaram todas as informações sugeridas. Na pontuação entre mínimos e máximos, ficam em torno de 6 e 16, para monitoramento e 12 e 15 para funções e responsabilidades, comprovando que a segunda alternativa com maior evidencia de informações e comprovado pelo desvio padrão, que qualifica a dispersão entre as questões, apresentando um melhor efeito, as questões de funções e responsabilidades, que apresentou um menor desvio. Se analisadas todas as questões por entidade é possível verificar diferentes aspectos por questão, conforme se demonstram a seguir. 4.1 QUESTÕES DE MONITORAMENTO Todas as instituições analisadas informam realizar monitoramento contínuo, destacamse o Banco ABC Brasil, Bradesco, Banco do Brasil, Cruzeiro do Sul, Daycoval, Indusval, Itaú Unibanco, Mercantil do Brasil, Nordeste do Brasil, Panamericano, Pine, Santander e Sofisa. Outras instituições como, Banco Amazônia, Banestes e Paraná, além de informar, apresentam a maneira como elaboram o processo: Banco Amazônia: Essa atividade consiste em acompanhar a implantação efetiva dos planos de ação elaborados para mitigar riscos que se encontram em níveis inaceitáveis; realizar testes de verificação de controles; acompanhar o histórico de perdas e acompanhar o comportamento dos indicadores chaves de risco que alertem sobre possível materialização do risco. O monitoramento independente faz parte da gestão de risco de acordo com as informações divulgadas, das instituições, Banco ABC Brasil, Banco Amazônia, Banestes, Banco do Brasil, Indusval, Itaú Unibanco, Nordeste do Brasil, Paraná e Santander. O Banco Itaú Unibanco S.A destaca, As estruturas responsáveis pela gestão dos riscos são mantidas independentes e segregadas das áreas operacionais. Assim como o Banco Paraná que, [...] quando necessário implementa planos de ação para mitigar os riscos identificados e aprimorar os controles, mecanismo que resulta em menor exposição a riscos. A maneira de como é realizado o monitoramento independente é informando pelas seguintes instituições, Banco Bradesco, Cruzeiro do Sul, Daycoval, Mercantil do Brasil e Sofisa: Banco Bradesco: O Bradesco mantém processo contínuo que analisa criticamente os Modelos Internos, garantindo a qualidade e as respostas adequadas aos seus objetivos. Para responder por esse processo há uma área especializada, independente em relação às áreas que desenvolvem ou utilizam os Modelos, com reportes de suas atividades e dos resultados aos gestores, Auditoria Interna e ao Comitê de Gestão Integrada de Riscos e Alocação de Capital, observando as melhores práticas e as orientações e diretrizes contidas no Novo Acordo de Capitais Basileia II e aos requisitos do Banco Central do Brasil. Entretanto, é possível destacar que não foram encontradas evidencias de monitoramento independente, nos Bancos Panamericano e Pine. Com o intuito de verificar, se as pesquisadas informam de alguma forma, os métodos de avaliação dos riscos operacionais. É possível destacar as instituições, Banco ABC Brasil, Mercantil do Brasil, Nordeste do Brasil e Sofisa. O Banco Nordeste do Brasil destaca, A sistematização da gestão de risco fundamenta-se no uso de metodologias definidas e documentadas, passíveis de serem testadas 11

12 quanto à consistência, confiabilidade e transparência dos resultados. Assim como o Banco Mercantil do Brasil, no qual informa que os métodos de avaliação do risco operacional são segmentados em duas abordagens, o enfoque qualitativo e enfoque quantitativo. A qualitativa é composta por metodologias, ferramentas de controle, ações de mitigação e relatórios gerenciais. Na abordagem quantitativa, utilizados modelos de mensuração a fim de definir o capital para suportar as perdas esperadas e não esperadas advindas do risco operacional. Das instituições que descrevem os métodos utilizados nas avaliações dos riscos operacionais, enfatiza-se o Banco da Amazônia, Banestes, Bradesco, Banco do Brasil, Itaú Unibanco, Pine e Santander. Banestes: O processo de avaliação determina o nível de risco, fornecendo a base para as decisões sobre o seu tratamento. Os riscos identificados são avaliados por meio de metodologia cujo objetivo é dimensionar, individualmente, com base nos controles existentes. A avaliação é realizada pelo gestor proprietário do risco, com o apoio e orientação da Gerência de Risco Operacional. Cabe destacar, que o Banco Santander, ao informar detalhadamente as principais ferramentas metodológicas utilizadas como, a) Matriz de Riscos Operacionais e Tecnológicos; b) Matriz Resumida de Riscos Operacionais e Tecnológicos para Novos Produtos; c) Questionários de Auto-avaliação; d) Base de Dados Interna Histórica dos Eventos de Perdas por Riscos Operacionais; e) Elaboração e Acompanhamento de Previsões e Limites de Perdas por Riscos Operacionais; f) Análise e Tratamento das Falhas e Ocorrências Relevantes e de seus Planos de Ação e; g) Indicadores Chave de Risco Operacional. Porém, as entidades como, Cruzeiro do Sul, Daycoval, Indusval, Panamericano e Paraná, as informações não encontradas. Das entidades que evidenciam a documentação de monitoramento, enfatizam-se as instituições que informam as documentações utilizadas, como o Banco Banestes, Bradesco, Banco do Brasil, Itaú Unibanco e Sofisa. O Banco Sofisa adverte, por exemplo, que em seus testes devem ser documentados, providos, inclusive, da descrição, inclusive, a metodologia do teste e seu objetivo, a quantidade de transações examinadas, em relação ao tamanho estimado da população (quantidade de operações no período), o critério de amostragem e da fonte para a seleção da amostra e os resultados do teste. Os Bancos, Cruzeiro do Sul, Mercantil do Brasil, Nordeste, Pine e Santander, somente informam utilizar estes tipos de instrumento de monitoramento, como por exemplo, o Banco Mercantil do Brasil, A gestão é realizada de forma contínua e se apóia em políticas, ferramentas, estratégias e metodologias adequadamente documentadas, garantindo a assunção, o gerenciamento e a mensuração dos riscos, e em concordância com os objetivos, normas e níveis de exposição estabelecidos. Outros Bancos como Banco ABC Brasil, Banco da Amazônia, Daycoval, Indusval, Panamericano, e Paraná, não foram encontradas evidencias. Das entidades que evidenciam seus relatos de deficiência, é possível destacar, somente fatos que podem proporcionar possíveis perdas, que para este estudo foram aceitas, como evidencia o Banco Amazônia, incluindo eventos como, [...] fraude interna, fraude externa, demandas trabalhistas e segurança do ambiente de trabalho, práticas inadequadas relativas a clientes, produtos e serviços, danos aos ativos físicos, interrupção das atividades, execução, cumprimento de prazos [...]. E o banco Sofisa, que se destaca a possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos - incluindo-se no rol dos eventos de risco operacional: Fraudes internas; fraudes externas; demandas trabalhistas e segurança deficiente do local de trabalho; práticas inadequadas relativas a clientes, produtos e serviços; danos a ativos físicos próprios ou em uso pela instituição; aqueles que acarretem a 12

13 interrupção das atividades da instituição; falhas em sistemas de tecnologia da informação; falhas na execução, cumprimento de prazos e gerenciamento das atividades da instituição. Outras instituições como, Banco Bradesco, Banco do Brasil, Itaú Unibanco e Santander, também divulgam. Entretanto, o restante das instituições pesquisadas não apresentam ou não descrevem de forma clara seus relatos de deficiência, ficando evidente que as informações somente são publicadas, com o intuito de informar dados positivos. 4.2 QUESTÕES DE FUNÇÕES DE RESPONSABILIDADES A maioria das instituições informam que o Conselho de Administração, é o responsável pela definição do apetite de risco. Dentre os Bancos, declara-se o Banco ABC Brasil, Banestes, Bradesco, Banco do Brasil, Cruzeiro do Sul, Daycoval, Indusval, Itaú Unibanco, Nordeste, Paraná, Pine, Santander e Sofisa. O Banco Paraná declara, o Conselho de Administração está plenamente engajado no processo, definiu e aprovou a política de gerenciamento de risco e disponibilizou adequados recursos humanos e materiais. É responsável pelas informações e promoveu ampla divulgação aos clientes e colaboradores [...]. O Banco Pine revela, O Conselho de administração é o órgão responsável pela identificação e controle de riscos, porém, existem outros órgãos independentes que são responsáveis pela administração e monitoramento dos riscos. Assim como o Banco Sofisa, que afirma, A participação da Alta Administração no processo de gestão do risco operacional é também no que se refere a monitoramento do risco operacional, por meio de suas unidades de gestão colegiada. Instituições como o Banco da Amazônia, ainda informam às funções que o Conselho de administração exerce, de modo que aprova e revisa a estrutura de gerenciamento de risco operacional (RO), assegurar que a unidade responsável pela gestão consolidada do RO seja operacionalmente independente, que a estrutura de gestão de RO esteja sujeita a uma efetiva auditoria interna, estabelece linhas de responsabilidade de gestão e controle do RO, fomenta a cultura de alta prioridade na gestão efetiva do RO e nas melhores práticas de controles e aprecia e manifesta-se formalmente sobre os relatórios de RO determinando providências para mitigação dos riscos identificados. Todavia, em instituições como o Banco Mercantil do Brasil e Panemericano, não foram encontradas informações específicas. Em se tratando de verificar se as entidades pesquisadas apresentam funcionários responsáveis pela gestão de risco, todas a entidades informam investir em treinamento, implementação de políticas, processos, com funcionários aptos, por meio de Comitês de Gestão de Risco, no qual são apoiados e aprovados pelo Conselho de Administração. Instituições que apresentam essas informações enfatizam-se o Banco da Amazônia, Banestes, Bradesco, Banco do Brasil, Cruzeiro do Sul, Daycoval, Indusval, Itaú Unibanco, Nordeste do Brasil, Panamericano, Paraná, Pine, Santander e Sofisa. Destaca as instituições que evidencia quem são seus funcionários responsáveis, como por exemplo, o Banco Mercantil do Brasil, ao divulgar que, O gerenciamento de risco operacional é realizado de forma compartilhada com os gestores das áreas, consideradas especialistas dos processos, desempenhando um importante papel na integração com a gerencia de gestão de riscos. Da mesma forma que o Banco ABC Brasil, no qual a gestão de riscos operacionais está organizada em três linhas de defesa: 1) os gestores das diversas áreas; 2) a Área de Gestão de Riscos e o Comitê de Risco Operacional e 3) As auditorias internas e externas. 13

14 Entre as entidades pesquisadas, grande parte apresenta auditoria interna como a do Banco do Brasil em que, A Auditoria Interna é responsável pela verificação do gerenciamento de risco operacional e do funcionamento de sua estrutura. Em Bancos como Cruzeiro do Sul, Indusval, Mercantil do Brasil, Paraná, não formam encontradas informações sutis que apresentassem auditoria interna. Com o mesmo enfoque da situação anterior, foi interessante investigar se todas as instituições realmente apresentam auditores externos, determinado pela Lei /07 a sua obrigatoriedade. Todas as informantes evidenciam auditoria externa, exemplos demonstrados como: Banco Daycoval: O Comitê de Auditoria, [...], é responsável pela qualidade e integridade das demonstrações financeiras do Banco, pelo cumprimento das exigências legais e regulamentares, pela atuação, independência e qualidade dos trabalhos dos auditores externos, pela atuação e qualidade da auditoria interna e pela qualidade e eficiência dos sistemas de controles internos e de administração de riscos do Banco. Em se tratando da responsabilidade da diretoria executiva sobre o gerenciamento de riscos corporativos, é possível verificar que, as instituições, Banco ABC Brasil, Banco da Amazônia, Banestes, Bradesco, Banco do Brasil, Cruzeiro do Sul, Indusval, Itaú Unibanco, Mercantil do Brasil, Nordeste do Brasil, Paraná Santander e Sofisa, alegam dados de que a diretoria executiva é responsável pelas atividades de riscos corporativos. O Banco Itaú Unibanco descreve que a diretoria, Responsável por implementar a estrutura de gerenciamento do risco operacional aprovada pelo Conselho de Administração, incluindo as políticas, processos e procedimentos, mantendo uma forte cultura de controle nas atividades regulares da organização. O Banco Sofisa expõe, Diretoria, analisa periodicamente opções tecnológicas e relatórios de monitoramento e gestão de risco operacional, sugerindo, inclusive, a criação de outros instrumentos de controle. Contudo, bancos como, Daycoval, Panamericano e Pine não foram encontrados informações. De acordo com os dados apresentados, todas as instituições apresentaram pontuações, todavia, os bancos que se destacam pontuando todas as questões do check list, são Banco Sofisa, Banco Santander, Itaú Unibanco, Banco do Brasil e Banco Bradesco, sendo que o restante apresentou pontuação acima de 6 questões. Entretanto, a instituição que menos pontuou é o Banco Panamericano, com somente 4 questões corretas, motivo possível, pela sua crise no período pesquisado. 5. CONCLUSÃO Como o objetivo deste estudo é verificar os aspectos de monitoramento e funções de responsabilidade na gestão de risco operacional, por meio das evidenciações das instituições financeiras regulamentadas pelo Banco Central do Brasil, listadas na BM&FBovespa, no ano de É possível concluir que as instituições analisadas realizam monitoramento e apresentam separação de funções e responsabilidade, pois estas identificam, avaliam, controlam e mitigam os riscos por meio de ferramentas específicas, prevenindo fraudes e situações caracterizadas na legislação, inibindo assim negócios ilícitos, além de treinarem seus funcionários ou criarem comitês específicos para tratarem do risco operacional. Aspectos de monitoramento contínuo são estabelecidos por meio de sistemas tecnológicos, procurando manter-se atualizadas e especializadas, garantindo a continuidade dos seus negócios, evitando e mitigando perdas. Assim como o monitoramento independente, por meio de diretorias específicas de gestão de risco e controle ou por comitês ligados a 14

15 gestão de controles internos e operacionais, um fato importante para a prevenção e verificação de possíveis riscos que poderão ocorrer. Os métodos de avaliação do risco operacional, assim como a documentação utilizada para a realização do monitoramento são aspectos que de um modo geral, são simplesmente informados da sua efetivação, sendo poucas as evidencias de quais instrumentos são esses, utilizados em situações específicas de monitoramento. Assim como os relatos de deficiência, ainda menos divulgadas. Se retratarmos os itens de evidenciação de funções e responsabilidades, os fatos apresentam estar mais bem evidenciados, no qual podemos destacar que o Conselho de Administração, responsável pela definição do apetite de risco, pela aceitação das estratégias de negócios, manutenção de padrões elevados de governança e as políticas corporativas de gestão de risco operacional. Da mesma forma, a introdução de funcionários responsáveis e da apresentação de auditores internos e externos, como também a atuação da diretoria executiva, sendo estes responsáveis por seus departamentos e deveres, e apoiados por políticas de gerenciamento de risco, aprovados pelo Conselho de administração. De um modo geral, todas as instituições apresentaram pontuações, todavia, os bancos que se destacam pontuando todas as questões do check list, são Banco Sofisa, Banco Santander, Itaú Unibanco, Banco do Brasil e Banco Bradesco, sendo que o restante apresentou pontuação acima de 6 questões, com exceção do Banco Panamericano. Como sugestão para estudos futuros, pesquisar as entidades de outros setores, aspectos de monitoramento e separação de funções e responsabilidade, como o de telefonia e de energia, que apresentam regulamentações específicas referente a esses aspectos, analisando a forma como estas evidenciam a gestão de risco operacional. Outra possibilidade é fazer uma comparação entre entidades com níveis distintos de governança corporativa, analisando se existem diferenças na forma de evidenciação. REFERENCIAS ALVES, C. A. M.; CHEROBIM, A. P. M. S. Contribuição para o estudo da gestão de riscos: evidenciação do risco operacional em quatro instituições financeiras brasileiras. Disponível em: < Acesso em: 03 abr ALVES, C. A. M.; CHEROBIM, A. P M. S. Análise do nível de divulgação do risco operacional segundo recomendações do comitê da Basiléia: estudo em bancos do país e do exterior. RAM Revista de administração Mackenzie, v. 10, nº. 2 Mar./abr AMARAL, I. C; NEVES, M. C. R; FREITAS, A. F; BRAGA, M. J. Gerenciamento dos riscos operacionais: os métodos utilizados por uma cooperativa de crédito. Revista de Contabilidade e Organizações FEARP/USP, v. 3, n. 7, p , Set./Dez BERGAMINI JUNIOR, S. Controles Internos como Instrumento de Governança Corporativa, Revista do BNDES, Rio de Janeiro, v.12, no. 24, p , dez BEUREN, I. M; ZONATTO, V. C. S. Evidenciação das características básicas recomendadas pelo COSO (2004) para a gestão de risco em ambientes de controle no relatório da administração de empresas brasileiras com ADRs. XIII Semead. Set. de

16 BIO, S. R. Sistemas de informação: um enfoque gerencial. São Paulo: Atlas, BRASIL. Resolução do Conselho Monetário Nacional no 3.380, de 29 de junho de Dispõe sobre a implementação da estrutura de gerenciamento do risco operacional. Disponível em: < Acesso em: 2 maio CAMPBELL, S. COSO: benefit or bale? Intheblack, Austrália, v. 75, n. 8, p , Sep., COSO Committee os Sponsoring Organizations of the Treadway Commission. Enterprise Risk Management Integrated Framework - Executive Summary. Jersey City, NJ: AICPA, September 2004a. COSO Committee os Sponsoring Organizations of the Treadway Commission. Enterprise Risk Management Integrated Framework Aplication Technikes. Jersey City, NJ: AICPA, September 2004b. FARIAS, R. P.; LUCA, M. M. M.; MACHADO, M. M. M. A metodologia COSO como ferramenta de gerenciamento dos controles internos. Contabilidade, Gestão e Governança Brasília. v. 12, nº. 3, p Set./Dez FEBRABAN - FEDERAÇÃO BRASILEIRA DE BANCOS. Melhores práticas na gestão do risco operacional. São Paulo, Mar. de Disponível em: < e/sitefebraban/gtmp_documento_finalago2006.pdf>. Acesso em: 05 Mai. De FERNANDES, F. C.; KROENKE, A.; SÖTHE, A. Uma visão atual do processo de controle e gerenciamento de riscos operacionais nos 10 maiores bancos brasileiros. RIC Revista de Informação Contábil. Vol. 4, nº 2, p. 1-20, abr-jun/2010. HENDRIKSEN, E. S; VAN BREDA, M. F. Teoria da contabilidade. Tradução: Antonio Zonatto Sanvicente. São Paulo: Atlas, IBGC - INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Código das melhores práticas de governança corporativa. 1ª reimpressão da 4.ed. / Instituto Brasileiro de Governança Corporativa. São Paulo, SP : IBGC, p. 73. IFAC. International Federation of Accountants. Governance in the Public Sector: A Governing Body Perspective. International Public Sector Study13. Aug <acesso em 09 de Março de 2011>. HÖLMSTROM, B. Moral Hazard and Observability. The Bell Journal of Economics,Vol. 10, nº 1, Spring, 1979, pp OLIVEIRA, M.; C.; LINHARES, J. S. A implantação de controle interno adequado às exigências da Lei Sarbanes-Oxley em pequenas empresas brasileiras: um estudo de caso. In: CONGRESSO USP DE CONTROLADORIA E CONTABILIDADE, 6., 2006, São Paulo. Anais... São Paulo: USP,

17 PELEIAS, I. R; SILVA, A. J. M; GUIMARÃES, I. C; MACHADO, L. S; SEGRETI, J. B. Demonstrações contábeis de bancos brasileiros: análise da evidenciação oferecida à luz do gerenciamento de risco. BASE Revista de Administração e Contabilidade da Unisinos. Jan/abr RAUPP, F. M.; BEUREN, I. M. Como elaborar trabalhos monográficos em contabilidade: Metodologia da pesquisa aplicável às ciências sociais. São Paulo: Atlas, 2004, p SALGADO, M. H; CARETA, C. B. Análise da gestão de riscos operacionais: caso de uma instituição financeira. VI Congresso Nacional de Excelência em gestão. Naterói, RJ. Ago SOUZA, C. Gestão de riscos e controles internos em Instituições de Ensino Superior do Estado de Santa Catarina. 149 f. Dissertação (Mestrado em Ciências Contábeis) Programa de Pós-Graduação em Ciências Contábeis da Universidade Regional de Blumenau, Blumenau, TRAPP, A. C. G; CORRAR, L. J. Avaliação e gerenciamento do risco operacional no Brasil: Análise de caso de uma instituição financeira de grande porte. R. Cont. Fin. USP, São Paulo, n. 37, p , Jan./Abr YANAKA, G.; HOLLAND, M. Basileia II e exigência de capital para risco de crédito dos bancos no Brasil. Escola de Economia de São Paulo. Textos para discussão 188, mai ZANETTE, M. A.; NASCIMENTO, C.; PFITSCHER, E. D.; ALBERTON, L. Gestão da informação, comunicação e monitoramento com base nos preceitos da metodologia COSO: Estudo multicaso. Revista del Instituto Internacional de Costos, nº 5, jul/dez