Í N D I C E APRESENTAÇÃO INTRODUÇÃO CONTROLE OS FOCOS DE CONTROLE...7

Transcrição

1 Março de 2004.

2 Í N D I C E APRESENTAÇÃO INTRODUÇÃO CONTROLE OS FOCOS DE CONTROLE Ambiente de Controle Identificação e Avaliação de Riscos Atividades de Controle Monitoramento Informação e Comunicação RISCOS PRINCÍPIOS BÁSICOS NA ADMINISTRAÇÃO DE RISCOS FUNÇÕES DE CONTROLE NA ORGANIZAÇÃO PRINCIPAIS AÇÕES-CHAVE DE CONTROLES INTERNOS E COMPLIANCE AUTO-AVALIAÇÕES Control Self Assessment - CSA DEFINIÇÃO DE SISTEMA DE PADRONIZAÇÃO Revisão do Padrão Controle dos Padrões Avaliação Quantitativa e Qualitativa da Padronização Avaliação Quantitativa Avaliação Qualitativa ELABORAÇÃO DE FLUXOGRAMAS DE PROCESSOS GESTÃO DE RISCOS GESTÃO CONTÁBIL MATRIZES DE RISCOS E CONTROLES Informações Mínimas na Matriz de Controles Informações Mínimas na Matriz de Riscos PROCEDIMENTOS DE COMPLIANCE Informações Mínimas nos Procedimentos de Compliance Atribuições PLANOS DE AÇÃO PLANO DE CONTINGÊNCIA DISSEMINAR A CULTURA DA ÉTICA IMPLANTAÇÃO DE ÁREA DE CONTROLES INTERNOS E COMPLIANCE Política Comitê de Controles Internos e Compliance Unidade de Controles Internos Agente de Controles Internos GLOSSÁRIO DE TERMOS TÉCNICOS

3 Anexo 1 METODOLOGIAS DE CONTROLES...33 Anexo 2 - SÍMBOLOS GRÁFICOS PARA FLUXOGRAMAS...36 Anexo 3 - CATEGORIAS DE RISCOS...37 Anexo 4 GESTÃO CONTÁBIL...41 Anexo 5 EXEMPLO DE TESTE DE CONFORMIDADE RES. BACEN Nº 3.121/

4 APRESENTAÇÃO A ABRAPP, o Sindapp e o ICSS têm a satisfação de apresentar a suas associadas material que entendemos poder vir a contribuir significativamente para o processo de afirmação de competência e profissionalismo na gestão de suas entidades. A evolução natural desse processo passará, sem dúvida, pela instituição de relacionamento mais constante e próximo com os órgãos reguladores, sem que se configure meramente o caráter de fiscalização nesses contatos. Em vez disso, o que se espera é que todas as entidades envolvidas no Sistema de Previdência Complementar Fechada, independente de suas atribuições específicas compreendam que suas ações devem estar direcionadas para o objetivo comum que é, em síntese, proporcionar melhores condições de vida aos participantes, assistidos e dependentes vinculados às EFPC, atendendo expectativas de suas patrocinadoras, trazendo também importante colaboração para o desenvolvimento do país. O Manual que apresentamos, desenvolvido pela Comissão Técnica Nacional de Compliance e Controles Internos, tem o objetivo de sintetizar preocupações e sugestões a respeito do tema, que certamente ganhará relevância nos próximos períodos, ponderada toda a expectativa de gestão mais transparente e eficaz das EFPC. 4

5 1 INTRODUÇÃO O objetivo deste manual é orientar os profissionais das Entidades Fechadas de Previdência Complementar no que concerne a Controles Internos e Compliance estabelecendo, didaticamente, conceitos e métodos de controle, que além de atenderem as exigências legais, devem ser adotados como uma oportunidade de melhora nos parâmetros de mercado, de padrões éticos de controles, transparência e informações. O sistema previdenciário brasileiro vem passando por profundas reformas, com a edição de nova legislação e regras, cujo principal objetivo é minimizar os riscos, buscando garantir condições de segurança, rentabilidade, solvência e liquidez aos Fundos de Pensão, para que estes possam atingir seu fundamental princípio, que é o de atender seus compromissos com os participantes. Assim, destaca-se a necessidade de desenvolvimento de funções internas que permitam às entidades o monitoramento dos riscos aos quais estão submetidas, a partir de prévia definição dos níveis considerados aceitáveis de exposição. Além dessas, mostram-se importantes também atividades voltadas para a determinação e divulgação de responsabilidades e objetivos individual ou departamental, bem como focadas no zelo pela conformidade com normas, leis e padrões / procedimentos internos ou externos, tudo isso com o propósito de se mitigar as diversas vulnerabilidades às quais os Fundos de Pensão estão sujeitos. Trata-se de um constante e dinâmico trabalho, no sentido de reforçar a confiabilidade e estabilidade de cada uma das Entidades Fechadas de Previdência Complementar. 5

6 2 CONTROLE O controle está associado à diminuição da incerteza em relação a eventos futuros. Tudo está sob controle se o grau de dúvida em relação aos procedimentos de todas as atividades, e suas conseqüências, estão dentro de um limite tolerável. Assim, quanto melhor o controle, menor o risco. O controle também pode aumentar a eficácia, atingindo o efeito desejado, como por exemplo, através da diminuição de custos ou de tempo, daquilo que já é feito com eficiência (atividades realizadas com processos bem estruturados). Os controles internos podem ser considerados eficientes e eficazes se a Alta Administração e Diretoria tiverem uma segurança razoável de que: Os objetivos das operações da Entidade estão sendo alcançados (objetivos das operações); As demonstrações financeiras publicadas são preparadas de maneira confiável (objetivos de relatórios financeiros); As leis e regulamentos aplicáveis estão sendo cumpridos (objetivo de conformidade). Se todos mantiverem um alto grau de conhecimento sobre as atividades sob sua responsabilidade e estiverem atentos ao cumprimento das normas, buscando a agilização dos processos, atribuindo-lhes a qualidade e a segurança indispensáveis, com certeza estarão fazendo um bom controle e os objetivos serão atingidos de acordo com os resultados desejados. É importante, também, verificar a conformidade da estrutura de controle adotada pela entidade com a sua respectiva missão. Quando se controla é importante verificar sempre o custo/ benefício do controle para evitar que o custo deste seja maior do que o benefício conseguido. Um modelo de controle possui cinco focos diretamente integrados às funções, processos e atividades executados, conforme detalhado no item 3. 6

7 3 OS FOCOS DE CONTROLE Abaixo é apresentada metodologia de controle subdividida em cinco focos principais. Nota: Ressalta-se que está em discussão novo modelo de controle voltado para a identificação e controle de riscos, subdividido em 8 focos principais, conforme detalhado no anexo Ambiente de Controle O ambiente de controle influencia a consciência de controle dos funcionários. O controle interno reflete o comprometimento de todos. O ambiente de controle deve ser uma situação permanente e contínua, existente em cada uma das áreas da empresa, visando constantemente à redução dos riscos e ao aumento da eficácia dos processos. Isto pode ser conseguido se cada um estiver atento aos elementos que compõem esse ambiente: integridade, ética e competência dos funcionários; definição de responsabilidades; padrões de gerenciamento; organização e alocação de recursos. 3.2 Identificação e Avaliação de Riscos A aplicação de controles internos requer a identificação e avaliação contínua de riscos, quer sejam de natureza interna ou externa. Identificação de riscos é o ato de avaliar constantemente em suas tarefas a probabilidade de que eles ocorram, medindo também o impacto que eles exercem nos objetivos de seus negócios ou serviços. 3.3 Atividades de Controle As atividades de controle são as políticas e procedimentos que ajudam a garantir que as ações necessárias para atingir os objetivos levam em consideração os riscos identificados e avaliados. Atividades de controle ocorrem por meio da organização, em todos os níveis e em todas as funções, da definição e execução dos processos operacionais e dos controles e responsabilidades pela sua execução. 7

8 3.4 Monitoramento Todos os funcionários são responsáveis pelos controles internos, por meio do adequado desempenho de suas atribuições e da imediata comunicação de falhas ou deficiências verificadas no funcionamento dos controles às chefias ou órgãos responsáveis pela solução do problema, que deverá ser prontamente providenciada. O monitoramento se dá por meio de acompanhamentos sistemáticos, nos quais se avalia se os objetivos estão sendo alcançados, se os limites estabelecidos estão sendo cumpridos e se eventuais falhas estão sendo prontamente identificadas e corrigidas. 3.5 Informação e Comunicação Um sistema de controle eficiente necessita que os resultados das atividades de controle realizadas pelos funcionários, bem como as informações originadas da administração e do corpo gerencial, sejam transmitidas prontamente a todos os interessados. Uma comunicação efetiva deve ocorrer amplamente por meio da organização. Todos os funcionários, de todos os níveis, devem ter em mente seu respectivo papel no sistema de controle e quais são as informações importantes a serem comunicadas. 8

9 4 RISCOS Toda instituição corre riscos no desenvolvimento de suas atividades, isso porque ela não dispõe de todas as informações sobre possíveis eventos futuros que possam interferir na tomada de decisão. Basicamente as instituições estão expostas a cinco principais tipos de riscos: risco de mercado, risco de contraparte, risco de liquidez, risco operacional e risco legal, sendo que estes se correlacionam e muitas vezes se confundem. Especificamente no caso das entidades fechadas de previdência social, um dos riscos que se sobressai é o de liquidez. O risco de mercado pode ser subdividido em risco de taxa de juros, risco de taxa cambial e risco de liquidez. O risco de contraparte é formado pelo risco de inadimplência, risco de degradação de garantias e risco de concentração. Por sua vez, os sub-riscos para o risco operacional podem ser risco de fraude, risco de ações judiciais, risco de imagem, risco de danos aos ativos, risco na execução de processos (falha humana e tecnológica), conforme detalhado no anexo 3 Categorias de Riscos. Para minimizar o efeito das perdas decorrentes dos riscos, faz-se necessário seu efetivo gerenciamento, pois, em algumas ocasiões, uma única falha operacional pode desencadear problemas muito mais sérios, aumentando os riscos relacionados. Alguns princípios devem ser seguidos para a gestão de riscos, sendo que as pessoas, os processos e a tecnologia das instituições são pressupostos básicos para um ambiente adequado. 9

10 5 PRINCÍPIOS BÁSICOS NA ADMINISTRAÇÃO DE RISCOS I. Comprometimento da alta administração na implementação e implantação de uma estrutura de controles internos. II. III. IV. O risco é a incerteza quanto a resultados futuros. Não tema, mas respeite os riscos: assegure-se do equilíbrio entre ganhos e perdas. Estrutura clara, distribuição e delegação de responsabilidade, segregação de função e disciplina são pré-condições básicas: quem faz não confere! Medidas rigorosas no caso de não-conformidade / infrações. Conheça as regras do jogo: deve-se ter coragem para tomar medidas desagradáveis ( cultura de conseqüências ). V. Informações corretas e precisas, integridade e relevância de dados, sistemas e informações consolidados em uma base única. Não faça nenhum diagnóstico sem informações; Procure conhecer o que você não sabe. VI. VII. VIII. O gerenciamento de risco é um processo de persistência, não um programa esporádico. Prevenção à frente de correção (atuação pró-ativa ao invés de reativa); Melhores práticas devem ser utilizadas como metas, não como moda passageira ; Importe-se com a essência, não só com a forma legal; Estabeleça iniciativas de longo prazo ao invés das de curto prazo; Enfatize a promoção de cultura de risco, em lugar de apenas controlar os números; O gerenciamento de riscos deve privilegiar sempre a organização, sendo o atendimento aos órgãos supervisores / reguladores apenas conseqüência. O gerenciamento de risco é parte ciência, parte inferência. Fatos, percepções, expectativas todos são importantes; O gerenciamento de risco é freqüentemente a arte de desenhar conclusões suficientes de premissas insuficientes. Limitação de modelos. Um modelo é sempre uma aproximação de uma realidade mais complexa; Os modelos são tão bons quanto as suposições subjacentes: se entra lixo sai lixo ; Nem todos os riscos são relevantes e / ou quantificáveis; 10

11 Os modelos são sempre uma parte do gerenciamento do risco e devem incluir bom senso. IX. Organizações complexas, reestruturações e projetos podem adicionar riscos. A complexidade é a inimiga da velocidade e receptividade: empenhe-se na simplicidade; Quanto mais complexo um tipo de risco é, o mais especializado, concentrado e controlado seu gerenciamento deve ser. X. Organização de conhecimento e aprendizagem. Aprenda com os erros; Incentive a doação de conhecimentos como parte do processo de avaliação; O conhecimento só não basta: é a implementação que leva a resultados; Estruture um programa de treinamento para divulgar os controles estabelecidos. XI. XII. XIII. O controle responsável, o compliance, a cultura de risco são tão importantes quanto a quantificação mais sofisticada. A cultura de risco, em geral, é a responsabilidade final do gerenciamento superior, ou seja, da alta administração. O elemento humano é o fator crítico de sucesso. O gerenciamento de risco bem sucedido é, principalmente, o resultado da capacidade, aptidão e atitude das pessoas envolvidas: as pessoas formam a cultura, a reputação, a marca de uma organização! O controle deve ter ação tempestiva parametrizada com o risco. O controle precisa ser tão dinâmico quanto o risco. 11

12 6 FUNÇÕES DE CONTROLE NA ORGANIZAÇÃO Podemos destacar como áreas voltadas para a implementação de ações visando aumentar a probabilidade de que os objetivos e metas estabelecidas para o negócio sejam atingidos: Gestão de Riscos e Compliance, Auditoria, Jurídico, Controladoria. Destacamos a função de Gestão de Riscos e Compliance, tendo em vista a sua pouca disseminação junto ao segmento de Fundos de Pensão. O seu papel na organização é assessorar o gerenciamento do negócio no que se refere à interpretação e impacto da legislação, monitorando as melhores práticas em sua execução, além de prover treinamento sobre regulamentação aos empregados. Seu foco de atuação é no sentido de direcionar esforços para os processos avaliados como de maior risco operacional, atuando como parceiro da área de negócios através do monitoramento constante sobre atividades e processos e acompanhamento de novos projetos e operações. Seu caráter preventivo difere da Auditoria interna, que analisa dados históricos em busca de registros e evidências visando à identificação e quantificação dos problemas. A área de Gestão de Riscos e Compliance deve ter total patrocínio da Alta Administração, tendo em vista o necessário acesso e suporte às suas atividades, bem como a independência na aferição da conformidade dos controles nas demais unidades da organização. 12

13 7 PRINCIPAIS AÇÕES-CHAVE DE CONTROLES INTERNOS E COMPLIANCE 7.1 AUTO-AVALIAÇÕES É um recurso que pode ser utilizado para avaliar questões gerenciais ou estratégicas. Consiste na realização de workshops conduzidos por um facilitador, onde participam os gestores do processo, e demais áreas envolvidas, que permite avaliar a eficiência dos controles para gerenciamento de riscos, buscando melhorar o desempenho por meio de revisão de processos e da elaboração de planos de ação. A seguir é apresentada a metodologia denominada Control Self Assessment CSA Control Self Assessment - CSA Atividades pré-workshop Deve-se selecionar o processo que será objeto de auto-avaliação por Control Self Assessment. O Facilitador (integrante da equipe de controles internos) e o gestor do processo a ser auto-avaliado, em conjunto: a. definem e identificam as pessoas-chave que irão participar da autoavaliação; b. entrevistam Diretores, Gerentes e pessoas-chave no processo para obter um completo entendimento do processo e seus pontos críticos; c. identificam com as mesmas pessoas os objetivos do processo e os riscos associados; d. registram os processos, objetivos e riscos a serem auto-avaliados (estrutura de riscos); e. expedem carta de convocação com pauta e estrutura de riscos definida para as pessoas-chave que irão participar do workshop Atividades do Workshop Realiza avaliação da Cultura de Controle dos participantes e definição das prioridades dos riscos. 13

14 O Facilitador deve estabelecer um tempo padrão para discussão de cada risco, garantindo a objetividade das análises. Em seu conjunto, os itens a serem trabalhados no workshop são os seguintes: Detalhamento do risco (com base no anexo 3 - Categorias de Riscos) Histórico de ocorrências do risco Fatores de contribuição para a ocorrência do risco Impacto/ probabilidade Controles mitigadores Eficiência/ eficácia dos controles Indicadores de performance Avaliação da gerência Plano de ação Prazo e responsável pela implementação Pode-se designar um observador para analisar a adequação metodológica da autoavaliação Relatório e Atividades pós-workshop Os resultados da auto-avaliação, incluindo os planos de ação com responsáveis e datas de cumprimento, são encaminhados e discutidos com cada um dos participantes do CSA e responsáveis. O relatório é elaborado pelo facilitador e assinado pelo gestor do processo, responsável pela execução da auto-avaliação e dos planos de ação Banco de Dados Os resultados do CSA são registrados em Banco de Dados, e no caso de alterarem algum processo já mapeado, deverão ser atualizadas também as matrizes de riscos e controles Atuação da Auditoria Interna Periodicamente a Auditoria Interna deve avaliar a pertinência do método e a qualidade do processo de Control Self Assessment, bem como a qualidade dos planos de ação estabelecidos e a efetividade da sua implementação. 14

15 7.2 DEFINIÇÃO DE SISTEMA DE PADRONIZAÇÃO Estabelece os conceitos e critérios de padronização, visando a elaboração de políticas e procedimentos que limitem o risco operacional a um patamar definido pela instituição. Padronizar é um compromisso documentado, utilizado em comum e repetidas vezes pelas pessoas relacionadas a uma determinada função. Os padrões internos deverão ser classificados em: o Fundamental (Princípio Empresarial) o Estratégico (Políticas) o Tático (Regulamentos, Sistemas) o Operacional (Processos, Atividades) A Padronização requer uma organização interfuncional para operacionalizá-la. A seguir são descritos os principais responsáveis envolvidos e suas principais atribuições: Da Diretoria Definir e implementar a Política do Processo de Padronização; Alcançar resultados através da Padronização. Do Responsável pelo Processo de Padronização Compliance Assegurar a eficiência e zelar pela integridade e segurança do processo; Avaliar a padronização; Compilar e divulgar dados e informações sobre a padronização das unidades organizacionais; Coordenar os esforços de melhoramento do sistema de padronização; Promover e coordenar ações de intercâmbio sobre padronização entre as unidades organizacionais similares, e entre estas e outras organizações; Assessorar a diretoria quanto a assuntos relativos a padronização; Assessorar os responsáveis na aprovação e melhoria de padrões. Do Responsável Técnico pelo Padrão Analisar a necessidade do padrão em conjunto com o responsável pela utilização, quando aplicável; Aprovar o conteúdo técnico do padrão; Promover ações de melhoria no padrão. Nota: Em muitos casos o responsável pelo padrão é também o responsável pela utilização. 15

16 Do Responsável pela Utilização do Padrão Desenvolver e treinar o seu pessoal no padrão; Avaliar a padronização e seus resultados diretos, na sua área de atuação, em conjunto com o responsável pelo padrão, quando aplicável; Encaminhar e acompanhar as propostas de melhoria no padrão. Do Elaborador do Padrão Pesquisar existência de padrão similar (melhores práticas); Elaborar o padrão (novos padrões e revisões). Do Usuário do Padrão Utilizar o padrão; Sugerir melhorias no padrão; Participar de revisões e/ou elaboração de padrões, quando aplicável. Objetivando uniformizar a criação, formatação e redação dos padrões, deve-se observar às seguintes orientações: O registro dos processos e atividades pode ser formalizado por meio de fluxogramas, manuais (inclusive com a utilização de fotos e ilustrações), cartilhas com instruções específicas, dependendo da necessidade de maior ou menor simplificação. Cabe ao responsável pelo padrão, garantir a permanente compatibilidade entre o Padrão e o meio de divulgação. A necessidade de padrões decorre da implementação de ações estratégicas, quando se definem novos produtos, novos processos, revisam-se processos ou quando no gerenciamento da rotina diária bloqueiam-se causas relativas a riscos ou outra anomalia qualquer, que não esteja permitindo o alcance de metas. Deve-se considerar, ao elaborar padrões, que poucos são vitais, lembrando-se sempre que os padrões são meio e não fim. Deve-se tomar todo cuidado para não haver proliferação de padrões. Uma regra importante é devemos padronizar para termos poucos padrões. Para tal faz-se necessária a pesquisa de padrões similares. Caso não seja identificado um padrão similar adequado, deve-se preparar um esboço do padrão. No caso de processo/atividade já existente, a elaboração do esboço do padrão deverá ser realizada pelos executantes envolvidos no processo/atividade já que o documento elaborado apresentará as metas ou objetivos a serem alcançados, bem como o passo-a-passo necessário para atingi-los. Serão reunidas algumas 16

17 pessoas que, efetivamente, se destacam na execução do trabalho: as chefias imediatas e especialistas no assunto, para então descrever a melhor forma de exercê-la (melhores práticas). Para novos processos/atividades, devem-se reunir os especialistas internos e/ou externos e as chefias a fim de descrever como os mesmos serão realizados. A discussão e a redação final do padrão envolvendo os usuários e responsável pelo padrão é uma tarefa fundamental na elaboração do mesmo, tendo como objetivo eliminar dúvidas, acrescentar pontos de vista e principalmente obter o compromisso dos usuários. A instituição deverá definir um formato comum a todos os padrões, com o objetivo de identificar, classificar e codificar os mesmos quanto ao tipo de padrão interno e documento externo, responsabilidade pela sua emissão (padrão interno) ou controle (documento) externo e função (trabalho especializado) a que se refere. Para a redação do padrão apresentamos o quadro a seguir com os itens de uso obrigatório e opcional: Item Capítulos Uso Forma de Uso Opcional Obrigatório 1 Introdução X Utilizada para dar informações específicas ou comentários sobre o conteúdo do Padrão e as razões que motivaram a sua elaboração. 2 Objetivo X Utilizado para definir a finalidade do Padrão, indicando o assunto tratado e os resultados que se pretende atingir com a implantação do mesmo. 3 Campo de Aplicação X Utilizado para indicar os limites de aplicabilidade do Padrão. 17

18 Item Capítulos Uso Forma de Uso Opcional Obrigatório 4 Referências X Utilizadas para listar os Padrões, os Atos Legais, Normas Técnicas, Regulamentações ou outro documento de referência. Nota: O Padrão de nível inferior deverá sempre se referir ao de nível superior que o condiciona. 5 Definições X Utilizadas para fornecer as definições consideradas indispensáveis à compreensão de certos termos utilizados no padrão. 6 Símbolos e Abreviaturas 7 Descrição do padrão X Utilizados para incluir uma lista de Símbolos e Abreviaturas, com os seus respectivos significados, julgados indispensáveis à boa compreensão do texto. X Utilizado para estabelecer os requisitos aplicáveis ao objetivo do Padrão e poderá utilizar a numeração de tantos capítulos quanto necessários. Um Padrão poderá ser documentado através de texto, gráfico (fluxograma), figura, tabela, quadro, fotografia, vídeo ou qualquer forma de representação que venha se constituir na melhor maneira de comunicação para o usuário do mesmo. 8 Itens de Controle X Utilizados para medir numericamente os resultados de um trabalho, permitindo que os mesmos sejam gerenciados. 9 Anexos X Devem ser apresentados como parte integrante do padrão Revisão do Padrão Os padrões deverão ser atualizados sistematicamente, visando uma permanente melhoria nos resultados dos trabalhos. As revisões ocorrem por motivo de Revalidação, Alteração ou Cancelamento. Adicionalmente, deverá ser estabelecida uma tabela de 18

19 temporalidade para cada tipo de padrão definido. Não obstante esta revisão periódica, o padrão poderá ser alterado a qualquer momento, quando houver: Possibilidade de mitigar riscos; Oportunidade de melhoria dos resultados; Solicitação, procedente, de qualquer empregado; Mudança na Legislação ou Norma Técnica; Obsolescência. As revisões deverão, a princípio, ser analisadas criticamente e aprovadas pelos mesmos diretores, gerentes, assessores que aprovaram sua emissão Controle dos Padrões Para o controle da emissão, distribuição, recebimento e arquivamento dos padrões deverão ser definidos procedimentos e responsabilidades aos usuários e ao coordenador do Compliance, a fim de que os padrões sejam registrados corretamente e disponibilizados em sua forma atualizada a toda instituição. O ideal é a utilização da intranet para tal propósito, o que propicia o fortalecimento do ambiente de controle interno Avaliação Quantitativa e Qualitativa da Padronização Para completar as atividades de Padronização, é necessário proceder a sua avaliação, ou seja, verificar se os padrões estão sendo criados, divulgados, utilizados, controlados e revisados periodicamente, conforme a necessidade de cada função e se os resultados esperados estão sendo alcançados Avaliação Quantitativa Diz respeito a resultados quantificáveis, os quais devem ser medidos através de itens de controle. É desejável conhecimento da situação anterior à implantação do Padrão para, posteriormente, ser feita a comparação e se conhecer os ganhos obtidos com a implantação do mesmo Avaliação Qualitativa Diz respeito a resultados não quantificáveis relativos a criação, utilização e controle de padrões. Formas apropriadas de avaliação devem ser aplicadas, tais como questionários aos gerentes e à própria coordenação do Compliance, visando através da atribuição de notas identificar causas e elaborar ou revisar o plano de ação para solução de problemas apontados nas respostas. Os quesitos avaliados podem referir-se, dentre outros, a: - Os padrões estão em harmonia com os Atos legais e Normas Técnicas? 19

20 - A criação/revisão dos padrões é feita obedecendo à seqüência estabelecida nas Normas Internas? - Os padrões são elaborados de forma participativa? - Os padrões são utilizados como base para o treinamento no trabalho? 7.3 ELABORAÇÃO DE FLUXOGRAMAS DE PROCESSOS O mapeamento dos processos permite um melhor entendimento das atividades, bem como a definição de atribuições e responsabilidades, principalmente quando aspectos inter-funcionais estão envolvidos. As seguintes etapas deverão ser observadas em sua execução: Formar Grupo de Trabalho, composto por aqueles envolvidos diretamente nas atividades que compõem o processo objeto da descrição; Divulgar as metas de resultado estabelecidas pela diretoria; Uniformizar conceitos entre os participantes (ex: produto, cliente, fornecedor); Conhecer a legislação pertinente; Definir início e fim do Processo; Realizar mapeamento utilizando a simbologia, conforme anexo 2, bem como destacando todas as áreas envolvidas; Localizar atividades que contribuem para o risco; Identificar causas internas e externas dos riscos; Estabelecer Plano para minimizar os riscos; Obter aprovação da Diretoria; Padronizar processos utilizando o Sistema de Padronização aprovado. 7.4 GESTÃO DE RISCOS Possibilitar a análise dos riscos, suas grandezas e impactos sob as atividades, permitindo a gestão de ocorrências de perdas e desenvolvimento de planos de ação para correção, o que deve ser realizado com o auxílio do anexo 3 Categorias de Riscos. Com relação ao risco operacional, as falhas operacionais devem ser registradas em base de dados única para identificação e análise das principais causas de perdas operacionais, permitindo uma atuação objetiva na eliminação dos problemas. 20

21 Para o efetivo gerenciamento das perdas, torna-se necessário o registro de informações mínimas, tais como: Descrição do evento; Identificação do tipo de risco; Valor da perda; Órgãos afetados e responsáveis; Planos de ação. 7.5 GESTÃO CONTÁBIL Garantir o correto registro das operações e a integridade das demonstrações contábeis, através da realização do monitoramento das conciliações. A gestão contábil deve tanto garantir a confiabilidade dos relatórios de desempenho passado, quanto possibilitar a utilização destes nas decisões internas e no controle do desempenho operacional. A Contabilidade deve ser considerada um Banco de Informações, e não apenas o registro final das movimentações financeiras da Fundação. Os dados devem ser consistentes, servindo de fonte de consulta para decisões futuras. Todas as informações devem estar registradas em detalhes, ou seja, os registros devem ser analíticos, com históricos bem elaborados, no entanto, sem a geração de informações desnecessárias. Deve-se evitar a redundância de informações, as quais devem fluir a partir de sua geração, sem que sejam digitadas mais de uma vez ao longo de seu processamento, evitando-se, assim, esforços desnecessários e o risco da criação de números divergentes. Portanto, deve haver uma única informação contábil financeira e gerencial (anexo 4), o que resultará em posições corretas e consistentes entre si. 7.6 MATRIZES DE RISCOS E CONTROLES As matrizes de riscos e controles são elaboradas pelos gestores das áreas, e têm o objetivo de registrar os processos, etapas e atividades das unidades de negócio, servindo de instrumento para a avaliação da eficiência de seus métodos no gerenciamento de riscos que possam causar impactos na busca de seus objetivos. A responsabilidade pela manutenção das matrizes é do gestor. Periodicamente, os responsáveis pelos controles internos avaliam a pertinência dos dados registrados nesta base. O registro de dados ocorre por Área, Diretoria, Unidade, Seção etc. As Áreas atualizam suas matrizes sempre que há alteração de processos ou quando se realizam auto-avaliações. 21