4 – Exemplos de controles internos x riscos operacionais
Por fim, vamos trazer alguns exemplos que serão demonstrados a seguir, sendo importante tratar de duas camadas dos controles internos. A primeira, no contexto mais corporativo (governança do gerenciamento de riscos), onde a alta administração de uma cooperativa financeira deve tratar de gestão de riscos e controles internos dentro do contexto de seu planejamento estratégico. Assim, as avaliações de riscos da cooperativa, a garantia da aplicação de controles adequados e a fixação de limites aceitáveis de exposição são atividades de responsabilidades da alta administração. Para tanto, a alta administração deve patrocinar e assegurar a implantação e implementação de uma estrutura de gerenciamento de riscos apropriada.
Em complemento, a outra camada de controles internos está diretamente relacionada aos processos e atividades desempenhadas pelas gerências e profissionais da cooperativa e na mitigação dos riscos operacionais identificados.
Exemplos de atividades na governança do gerenciamento de riscos
Conselho de Administração
• Aprova e revisa as estratégias de gerenciamento de riscos, políticas e estruturas de gerenciamento dos riscos e do capital, incluindo o apetite e os limites de exposição por tipos de riscos.
Diretor de Riscos (CRO)
• Valida e submete à aprovação do Conselho de Administração o apetite e limites de exposição por tipos de riscos;
• Valida e submete à aprovação do Conselho de Administração as políticas inerentes ao gerenciamento dos riscos e do capital;
• Garante o cumprimento das políticas de gerenciamento de riscos;
• Acompanha o perfil de risco, performance, necessidade de capital e suficiência, exposições versus limites e controle dos riscos.
Área de Gerenciamento do Risco Operacional
• Garante em conjunto com o CRO o cumprimento das políticas de gestão de riscos;
• Assegura a efetividade do processo de gerenciamento de riscos;
• Submete para aprovação do CRO as definições, critérios e procedimentos a serem adotados, bem como metodologias, modelos e ferramentas voltados ao gerenciamento e mensuração do risco;
• Acompanha e avalia as informações sobre o nível de exposições a riscos, consolidado e por dependência;
• Acompanha movimentações e desenvolvimentos do mercado, avaliando implicações e riscos;
• Prepara e reporta relatórios sobre atividades desempenhadas e exceções.
Área de Controles Internos
• Avalia a efetividade e conformidade do Sistema de Controles Internos;
• Certifica a conformidade de procedimentos com as normas, regulamentos e leis aplicáveis;
• Submete ao Conselho de Administração os relatórios semestrais dos controles internos da instituição financeira cooperativa.
Obs: Lista não exaustiva, apenas exemplos.
Alguns exemplos de riscos operacionais e controles internos no nível das atividades
Categoria de risco: fraude interna
Riscos relacionados
• Apropriação indébita de ativos. Furto em tesouraria, caixas, caixas eletrônicos, ou até mesmo de ativo imobilizado;
• Fraudes contábeis. Débitos em razão contábil sem a devida contrapartida ou justificativa;
• Apropriação de recursos disponíveis em conta correntes de cooperados. Débitos lançados por funcionários em conta corrente de cooperados sem a devida justificativa e autorização;
• Conluio entre funcionários e cooperados.
Atividades de controles
• A cooperativa define as alçadas e responsabilidades para os funcionários. A necessidade de uma alçada superior para prosseguir com um determinado processo, mitiga o risco de fraude interna, visto que outro funcionário irá acompanhar e validar o processo;
• Em certos processos são necessários o uso de assinaturas em conjunto. A responsabilidade em conjunto sobre uma determinada transação ou processo, faz com que aumente a percepção sobre o risco presente;
• Abertura de cofres por duas senhas com pessoas distintas;
• Conferência de valores físicos periodicamente. A conferência e validação dos valores físicos por um superior feita de forma periódica faz com que o risco de furto seja reduzido;
• Todos os lançamentos contábeis dos débitos em contas de cooperados efetuados na agência são conferidos diariamente pelo gerente por meio de relatórios.
Categoria de risco: práticas inadequadas relativas a produtos e serviços
Riscos relacionados
• Uso inadequado de informações confidenciais;
• Prática de lavagem de dinheiro;
• Abertura de contas fraudulentas e lançamentos em conta corrente sem prévia autorização do cooperado.
Atividades de controles
• A cada abertura de conta faz-se uma consulta a sistemas de segurança pública e disponíveis, o qual se avalia a probabilidade de fraude nos documentos de identificação com o objetivo diminuir o risco de abertura de contas fraudulentas;
• As movimentações dos cooperados são avaliadas, necessitando de pareceres gerenciais quando ocorrido variações significativas, os quais são repassados ao departamento de PLD/FT responsável. Outro controle adotado para acompanhamento das movimentações bancárias é o registro do CPF e/ou CNPJ para depósitos e retiradas em espécie quando de valores relevantes. Estes procedimentos de controle são adotados para reduzir o risco de lavagem de dinheiro;
• Diariamente devem ser emitidos normativos publicados na intranet corporativa referentes a novos produtos e serviços ao cliente, alterações, roteiros de procedimentos de execução e outros;
• Eventualmente os colaboradores recebem ligações dos departamentos de qualidade para avaliar a qualidade das informações prestadas aos cooperados, para que não haja distorções de informações prestadas;
• Eventualmente a cooperativa recebe visitas de cooperados misterioso, onde o mesmo identifica falhas operacionais, seja em informações prestadas, tempo de fila, exposição de materiais e outros. Tratar tias informações e as reportá-las para posteriormente para análise e correção é mandatório.
Categoria de risco: falhas em tecnologia da informação
Riscos relacionados
• Acesso às contas correntes por terceiros não autorizados;
• Roubo de informações com perda monetária.
Atividades de controles
• Adoção de uma política de segurança da informação;
• Acesso às contas via internet/app ocorrem mediante certificação digital e assinatura eletrônica;
• Existem canais alternativos de atendimento que adotam dispositivos de segurança de uso pessoal. Ex. token, cartão chave de segurança, senhas numéricas e alfanuméricas, biometria, QR code e outras.
• A cooperativa executa ações diretas de controle quanto às falhas em sistemas de TI;
• Atividades de detecção de vulnerabilidades de hardware e software;
• Cópias de segurança;
• Redundância de sistemas, firewall;
• Critérios técnicos para decisão pela estrutura de nuvem;
• Implantação de uma área de segurança da informação.
Categoria de risco: falhas na execução, cumprimento de prazos e gerenciamento de atividades
Riscos relacionados
• Formalização incorreta de contratos, os quais podem trazer problemas futuro;
• Liberação de contratos sem autorização adequada.
Atividades de controles
• A cooperativa adota o princípio de segregação e hierarquia de funções. A segregação de funções proíbe o empregado de, exercendo certa atividade, executar outra atividade ao mesmo tempo que implique em risco operacional para o negócio;
• As transações são autorizadas através de cartão funcional, senha e vistos. A necessidade de validação das operações por um superior reduz as falhas na execução das atividades;
• Alertas, via correio eletrônico e e-mails, são encaminhados diariamente à administração da agência atentando quanto aos prazos e processos a serem acompanhados;
• A conferência e formalização de todo contrato liberado na cooperativa é de responsabilidade do gerente, onde o mesmo deve realizar as devidas conferências;
• A área de controles internos e auditoria interna monitoram os processos da cooperativa via sistema e quando necessário realizam procedimentos presenciais.
Referências
Resoluções CMN nº 2554/98, nº 4.557/17 e nº 4.606/17.
COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMISSION. Controle Interno – Estrutura Integrada 2013.
Soares e Oliveira, Anais dos resumos dos trabalhos científicos (107C) – Gestão de Riscos Operacionais e Controles Internos.
Alexandre Euzébio Silva – Contador e especialista em auditoria, controles internos, gestão de riscos e conformidade no segmento de cooperativas de crédito e autor do livro “Auditoria das Demonstrações Contábeis em Cooperativas de Crédito”.
A alta administração tem a responsabilidade da implantação e implementação dos controles internos, sempre considerando o porte e complexidade das operações. Também deve contar com o apoio das auditorias contratadas e acompanhar de perto o resultado dos trabalhos. A revisão periódica dos processos também deve ser levada em conta.