Prévia do material em texto

ACESSE AQUI ESTE 
MATERIAL DIGITAL!
EDMUNDO DE LIMA LOPES JUNIOR
REGIANE DE OLIVEIRA ANDREOLA RIGON 
ORGANIZADOR
EDMUNDO DE LIMA LOPES JUNIOR
GESTÃO DE 
RISCOS E 
COMPLIANCE
https://www.uniasselvi.com.br/extranet/layout/request/trilha/materiais/trilha/trilha_digital.php?codigo=732753
Coordenador(a) de Conteúdo 
Estelamaris Reif
Projeto Gráfico e Capa
Arthur Cantareli Silva
Editoração
Daiane Victória Maass
Design Educacional
Giovana Vieira Cardoso
Revisão Textual
Elaine Machado
Ilustração
Andre Luis Azevedo da Silva
Eduardo Aparecido Alves
Geison Ferreira da Silva
Fotos
Shutterstock e Envato
Impresso por: 
Bibliotecária: Leila Regina do Nascimento - CRB- 9/1722.
Ficha catalográfica elaborada de acordo com os dados fornecidos pelo(a) autor(a).
Núcleo de Educação a Distância. JUNIOR, Edmundo de Lima Lopes; 
RIGON, Regiane de Oliveira Andreola.
Gestão de Riscos e Compliance / Edmundo de Lima Lopes Junior, 
Regiane de Oliveira Andreola Rigon; organizador: Edmundo de Lima 
Lopes Junior. - Florianópolis, SC: Arqué, 2025.
240 p.
ISBN papel 978-65-279-0848-7
ISBN digital 978-65-279-0847-0
1. Gestão 2. Riscos 3. Compliance 4. EaD. I. Título. 
CDD - 658.3 
EXPEDIENTE
FICHA CATALOGRÁFICA
N964
03507505
https://apigame.unicesumar.edu.br/qrcode/20897
RECURSOS DE IMERSÃO
Utilizado para temas, assuntos ou con-
ceitos avançados, levando ao aprofun-
damento do que está sendo trabalhado 
naquele momento do texto. 
APROFUNDANDO
Uma dose extra de 
conhecimento é sempre 
bem-vinda. Aqui você 
terá indicações de filmes 
que se conectam com o 
tema do conteúdo.
INDICAÇÃO DE FILME
Uma dose extra de 
conhecimento é sempre 
bem-vinda. Aqui você terá 
indicações de livros que 
agregarão muito na sua 
vida profissional.
INDICAÇÃO DE LIVRO
Utilizado para desmistificar pontos 
que possam gerar confusão sobre o 
tema. Após o texto trazer a explicação, 
essa interlocução pode trazer pontos 
adicionais que contribuam para que 
o estudante não fique com dúvidas 
sobre o tema. 
ZOOM NO CONHECIMENTO
Este item corresponde a uma proposta 
de reflexão que pode ser apresentada por 
meio de uma frase, um trecho breve ou 
uma pergunta. 
PENSANDO JUNTOS
Utilizado para aprofundar o 
conhecimento em conteúdos 
relevantes utilizando uma lingua-
gem audiovisual.
EM FOCO
Utilizado para agregar um conteúdo 
externo.
EU INDICO
Professores especialistas e con-
vidados, ampliando as discus-
sões sobre os temas por meio de 
fantásticos podcasts.
PLAY NO CONHECIMENTO
PRODUTOS AUDIOVISUAIS
Os elementos abaixo possuem recursos 
audiovisuais. Recursos de mídia dispo-
níveis no conteúdo digital do ambiente 
virtual de aprendizagem.
4
163U N I D A D E 3
AUDITORIA E MONITORAMENTO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .164
TECNOLOGIA E INOVAÇÃO EM GESTÃO DE RISCO E COMPLIANCE . . . . . . . . . . . .188
CULTURA ORGANIZACIONAL E RESPONSABILIDADE SOCIAL CORPORATIVA . . . . . 216
7U N I D A D E 1
INTRODUÇÃO À GESTÃO DE RISCO E COMPLIANCE . . . . . . . . . . . . . . . . . . . . . . . 8
PRINCÍPIOS DE GOVERNANÇA CORPORATIVA . . . . . . . . . . . . . . . . . . . . . . . . . .34
IDENTIFICAÇÃO E AVALIAÇÃO DE RISCOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . .58
83U N I D A D E 2
ESTRATÉGIAS DE MITIGAÇÃO DE RISCOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . .84
COMPLIANCE E ÉTICA EMPRESARIAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .116
LEGISLAÇÃO E REGULAÇÃO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .136
5
SUMÁRIO
UNIDADE 1
MINHAS METAS
INTRODUÇÃO À GESTÃO 
DE RISCO E COMPLIANCE
Compreender a definição de riscos.
Entender as diversas classificações de risco.
Identificar as consequências da aversão ou aceitação de riscos.
Apreender a definição de Compliance
Explorar a aplicação prática do Compliance no dia a dia de uma organização.
Investigar os aspectos do Sistemas de Gestão de Compliance (SGC).
Conhecer as principais funções de um profissional de Compliance.
T E M A D E A P R E N D I Z A G E M 1
8
INICIE SUA JORNADA
Estudante, neste tema de aprendizagem, você conhecerá o conceito de risco e sua 
classificação. Você já deve ter percebido que o conceito de ‘risco’ é frequentemente 
discutido, mas sua interpretação pode variar bastante entre as pessoas. 
O risco pode ser visto como a possibilidade de acontecimentos de eventos 
que nos afetam de forma negativa. Essa visão negativa é predominante, pois o 
risco representa um grau de incerteza em relação à possibilidade de ocorrên-
cia de um determinado evento, o que, ao acontecer, normalmente, incorre em 
prejuízos. Pode-se dizer que um cenário de risco é um fator existente e você 
terá que conviver com ele. Dito de outra forma, não adianta você não querer 
correr risco, pois ele existe. 
No mundo dos negócios conhecer as regras ‘do jogo’ é importante: mais do 
que isso, é fundamental para o sucesso dos negócios. Logo, é válido perguntar: 
você conhece as principais regras que se aplicam ao seu empreendimento ou 
empresa que trabalha? Essas regras mudam com o passar do tempo? Você se 
mantém atualizado?
Entender o que é Compliance e a importância dele ao mundo atual, assim 
como reconhecer e compreender o nível de maturidade em Compliance de cada 
organização (pública ou privada), constitui um diferencial positivo na bagagem 
de conhecimentos do profissional da área.
As organizações estão sujeitas aos riscos operacionais, financeiros e de re-
putação, sanções aplicadas por órgãos de fiscalização, mudanças normativas, 
pressão por parte das pessoas interessadas na empresa (internas e externas): todas 
essas variáveis fazem (ou devem fazer) com que as empresas vejam e pensem no 
Compliance como um investimento e um diferencial competitivo concreto, e 
não meramente um custo.
Você sabe o que são Stakeholders? Mais importante do que saber quais são as 
partes interessadas na organização é saber identificá-los corretamente e, prin-
cipalmente, os seus principais interesses no negócios. Ouça nosso podcast para 
conhecer melhor os Stakeholders! Recursos de mídia disponíveis no conteúdo 
digital do ambiente virtual de aprendizagem.
PLAY NO CONHECIMENTO
UNIASSELVI
9
TEMA DE APRENDIZAGEM 1
DESENVOLVA SEU POTENCIAL
ENTENDENDO O CONCEITO DE RISCO
Os riscos estão presentes o tempo todo, em praticamente toda atividade hu-
mana. Mas afinal de contas, o que é risco? Para fins organizacionais, podemos 
definir risco como o grau de possibilidade de que um determinado evento 
ocorra e suas consequências.
VAMOS RECORDAR?
Dentre os potenciais riscos a que uma empresa está sujeita, temos os riscos de 
mercado. O risco de mercado está associado às possibilidades de ganhos ou 
perdas em instrumentos financeiros devido às oscilações de fatores de mercado, 
dentre eles os derivativos e Hedge. Você se lembra do que são esses instrumentos 
financeiros? Assista ao vídeo a seguir e saiba mais. Acesse em: https://www.
youtube.com/watch?v=j9szNsV_DzI
1
1
https://www.youtube.com/watch?v=j9szNsV_DzI
https://www.youtube.com/watch?v=j9szNsV_DzI
Aceitar ou não o risco é uma decisão a ser tomada e será aceita de acordo com o 
grau de aversão ao risco de quem deve tomar a decisão. No conceito apresentado, 
falamos do grau de possibilidade de que um evento ocorra. Isso quer dizer que 
o evento pode ocorrer ou não. Não há certeza, e se não há certeza, o contrário é 
verdade, existe uma incerteza quanto ao evento.
Podemos evitar totalmente o risco? A resposta é relativamente simples: é você 
quem decide. Pense no caso de uma oportunidade de viagem de avião. Mesmo 
que pequeno, existe o risco de uma pane no avião ou extravio da bagagem! 
Você pode decidir viajar oucomo a criação de órgãos de controle. Além disso, foram 
criadas diversas instituições que debatem o tema, dentre elas o Instituto Brasileiro 
de Governança Corporativa (IBGC), que criou uma agenda positiva para as lide-
ranças do país, visando disseminar os princípios da boa governança corporativa 
aumentando a confiança das partes interessadas e os valores das empresas.
UNIASSELVI
5
1
TEMA DE APRENDIZAGEM 2
Ajustar a estrutura organizacional da empresa com as boas práticas de gover-
nança permite que os gestores de órgãos deliberativos e de controle alcancem 
os objetivos e os propósitos da organização, por meio de ações éticas e confiá-
veis. Desse modo, a governança corporativa se coloca como uma ferramenta 
que não se limita apenas ao cumprimento de leis e regulamentos, mas também 
proporciona, aos líderes da empresa, tomarem decisões assertivas e terem com-
portamento ético.
Governança Corporativa – fundamentos, desenvolvimento e 
tendências
A obra traz uma seleção de conceitos bem fundamentada, di-
ferenciada quanto aos seus elementos determinantes e apre-
sentada com muita clareza. O texto é apresentado permeado 
por quadros e figuras originais, evidenciando cuidados com a 
sequência e a construção lógica da exposição. O livro mescla 
a análise gerencial das práticas de alta gestão com as evidên-
cias da investigação acadêmica, com resultados de pesquisas 
de campo de consultorias e com proposições de instituições 
de mercado. O resultado é uma obra expositiva, elegante, di-
dática e abrangente.
INDICAÇÃO DE LIVRO
Confira aqui a aula referente a este tema de aprendizagem. Recursos de mídia 
disponíveis no conteúdo digital do ambiente virtual de aprendizagem.
EM FOCO
NOVOS DESAFIOS
Estudante, como vimos, são muitos os desafios vividos pelas organizações brasi-
leiras de todos os setores no que se refere a estabelecer uma governança corpora-
tiva eficaz, pois elas vivem num ambiente de constantes mudanças regulatórias, 
alta concorrência e pressão por resultados satisfatórios. 
5
1
As empresas brasileiras estão evoluindo satisfatoriamente, e esse esforço 
é benéfico para todos, pois fortalece a sua reputação, gerando valor econô-
mico, contribuindo assim para a perpetuidade da empresa e criação de novos 
postos de trabalho.
Os assuntos tratados aqui exigem que o gestor tenha uma visão do todo, ou 
seja, de todos os fatos ou eventos que afetam a empresa, seja internamente ou 
externamente, proporcionando alinhar a tomada de decisão com os propósitos 
e objetivos organizacionais. Desse modo, para que um sistema de gestão corpo-
rativa seja eficaz, deve ter sempre como fundamento as regras de compliance e 
valores da organização. 
A sua jornada para se transformar em um gestor de sucesso deverá ser um 
processo de conhecimento contínuo, desenvolvimento de habilidades essenciais e 
escolha de ações íntegras e éticas. Portanto, o aprofundamento de conhecimentos 
em gestão corporativa contribuirá para os seus crescimentos pessoal e profis-
sional. O maior desafio de um gestor é implantar uma cultura ética verdadeira, 
coerente com a cultura da organização e baseada no exemplo da liderança. 
UNIASSELVI
5
1
1. Diante da incerteza e insegurança, muitas empresas foram obrigadas a reavaliar a forma de 
gerir seus negócios. Estas possuem as boas práticas enraizadas em sua cultura e têm se 
mostrado mais bem preparadas para se adaptar aos momentos turbulentos e mais ágeis 
na sua recuperação. São os momentos de crise que permitem uma reflexão nas atitudes e 
um aprendizado com os fracassos e com os êxitos (ABBC, 2009).
A Governança corporativa está relacionada à forma de gestão de uma empresa. Assim, 
podemos definir governança corporativa como:
a) Monitoramento da administração de uma empresa com vistas à proteção de interessa-
dos, geralmente por razões econômicas e por não participarem de sua administração.
b) Monitoramento de indicadores financeiros da empresa, voltada ao público interno à 
empresa.
c) Monitoramento da administração da empresa pelos órgãos fiscalizadores do governo.
d) Monitoramento da administração da empresa pelo Conselho de Administração.
e) Monitoramento da administração da empresa pelo Conselho Fiscal.
2. Ao longo dos últimos anos, em que o mercado de capitais teve o registro tanto de escân-
dalos corporativos nos países emergentes, conhecidos como BRIC (Brasil, Rússia, Índia e 
China), cada vez mais se confirma a importância da disseminação das boas práticas de go-
vernança corporativa. Essas boas práticas vêm se mostrando como um item essencial, não 
somente de proteção aos acionistas minoritários e de uma melhor divulgação e prestação 
de contas dos administradores ao mercado, mas também como grandes responsáveis pela 
criação de valor nas corporações que as colocam como prioridade (ABBC, 2009).
Com relação à evolução da Governança Corporativa nos últimos anos, analise as afirmativas 
a seguir:
I - Tem sido objeto de estudo desde o final do século XIX, porém foi intensificado em 2015.
II - Tem sido objeto de estudo desde o final do século XIX, porém foi intensificado a partir 
de 2002.
III - Em 2005 foi criado o Instituto Brasileiro de Governança Corporativa (IBGC) que elaborou 
um código com as melhores práticas de governança corporativa.
AUTOATIVIDADE
5
4
É correto o que se afirma em:
a) I, apenas.
b) II, apenas.
c) I e II, apenas.
d) II e III, apenas.
e) I, II e III.
3. Os princípios da governança corporativa aplicam-se a qualquer tipo de organização, inde-
pendentemente de porte, natureza jurídica ou estrutura de capital, formando o alicerce 
sobre o qual se desenvolve a boa governança. Desse modo, além de atuar em conformidade 
com as leis e os regulamentos, os agentes de governança devem orientar sua atuação em 
consonância com os princípios de governança (IBGC, 2023).
Quando uma empresa trata um acionista minoritário de uma forma diferente ao tratamento 
dado aos demais acionistas, está ferindo o seguinte princípio da governança corporativa:
a) Equidade.
b) Transparência.
c) Prestação de contas.
d) Conformidade.
e) Compliance.
AUTOATIVIDADE
5
5
REFERÊNCIAS
ABBC. Associação Brasileira de Bancos. Cartilha de Governança Corporativa. Fortalecendo a 
Política de Governança nas Instituições Financeiras de Pequeno e Médio Porte. 2009. Disponí-
vel em: chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/http://www.portalabbc.org.br/
arquivos/cartilha_governanca_corporativa.pdf. Acesso em: 20 ago. 2024.
ANDRADE, A.; ROSSETTI, J. P. Governança corporativa: fundamentos, desenvolvimentos e ten-
dências. São Paulo: Atlas, 2007.
CAMARGO, A. Regulação internacional da governança corporativa e do compliance. São Pau-
lo: Revista dos Tribunais. 2011.
CENTRUS. Manual de governança corporativa. 2021. Disponível em: https://www.centrus.org.
br/wp-content/uploads/2021/08/MGC-2021.pdf. Acesso em: 19 ago. 2024.
GORGA, É. C. R. Direito societário brasileiro e desenvolvimento do mercado de capitais: uma pers-
pectiva de direito e economia. Tese (Doutorado) – Universidade de São Paulo, São Paulo, 2005.
IBGC. INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Código de melhores práticas 
de governança corporativa. 6. ed. São Paulo: IBGC, 2023. Disponível em: chrome-extension://
efaidnbmnnnibpcajpcglclefindmkaj/https://conhecimento.ibgc.org.br/Lists/Publicacoes/At-
tachments/24640/2023_C%C3%B3digo%20das%20Melhores%20Pr%C3%A1ticas%20de%20Go-
vernan%C3%A7a%20Corporativa_6a%20Edi%C3%A7%C3%A3o.pdf. Acesso em: 19 ago. 2024.
SILVEIRA, A. D-M. da. Governança corporativa no Brasil e no mundo. 3. ed. Vinhedo: Virtuous 
Company, 2021.
5
1
https://www.centrus.org.br/wp-content/uploads/2021/08/MGC-2021.pdf
https://www.centrus.org.br/wp-content/uploads/2021/08/MGC-2021.pdf
1. Alternativa A. A governança corporativa pode ser definida como um sistema de gestão que 
tem por base um conjunto de princípios que orientam os gestores a ter uma boa relação com 
as partes interessadas de uma organização, visando criar valores e resultados financeiros 
satisfatóriospara ambos. Esse sistema tem como base regras, boas práticas e processos 
que são controlados pela empresa.
2. Alternativa B. O conceito de governança corporativa é assunto antigo e objeto de estudo 
desde o século XIX. No entanto, somente a partir de 2002 que ganhou destaque, devido 
aos escândalos no mercado de capitais americano. O Instituto Brasileiro de Governança 
Corporativa (IBGC) foi criado em 1995.
3. Alternativa A. O princípio da equidade refere-se ao senso de justiça e à igualdade no trata-
mento dos acionistas. O princípio da transparência refere-se à transparência das informa-
ções, especialmente as de alta relevância, que causam impacto nos negócios e envolvem 
resultados, oportunidades e riscos. O princípio da Prestação de contas refere-se à prestação 
responsável de contas fundamentada nas melhores práticas contábeis e de auditoria. O 
Princípio da Conformidade refere-se ao cumprimento de normas reguladoras expressas 
nos estatutos sociais, regimentos internos e instituições legais do país. Compliance é uma 
tradução de conformidade, ou seja, tem o mesmo significado.
GABARITO
5
1
MINHAS METAS
IDENTIFICAÇÃO E 
AVALIAÇÃO DE RISCOS
Identificar os tipos de riscos.
Explorar os elementos do compliance.
Mapear os riscos empresariais.
Verificar o Modelo das Três Linhas.
Aprender a mensurar os riscos.
T E M A D E A P R E N D I Z A G E M 3
5
8
INICIE SUA JORNADA
Estudante, imagine um setor de compras de uma empresa. Será que as empresas 
têm o costume de verificar as informações dos fornecedores e dos prestadores 
de serviços que são contratados? Por que seria importante verificar essas in-
formações? Quais seriam as consequências de essa verificação existir ou não 
existir? Outras situações bem comuns são é a questão da contratação (ou não) 
de parentes e a proibição dos colaboradores manterem relacionamento amoroso 
no ambiente corporativo. Por que haveria tais proibições?
A questão envolvida não é simplesmente consentir ou proibir; trata-se de 
analisar, sob a perspectiva de risco e de Gestão do Negócio, quais regras devem 
ser cumpridas visando à manutenção de padrões éticos e de integridade, e, prin-
cipalmente, evitar que as regras de compliance sejam quebradas. 
É importante sempre ter em mente que o Compliance pode ser definido 
como um sistema de Gestão de Riscos e de políticas de conformidade com as 
leis, as normas, e os regulamentos internos e externos a que está submetido um 
determinado negócio ou determinada organização – pública ou privada. 
Não se trata de estar em conformidade plena com todas as regras do ne-
gócio, mas sim de compreender a importância de mapear e avaliar os riscos 
a que estão expostas as organizações para, então, ter melhores condições de 
geri-los de forma adequada.
Você sabe quais são os pilares do ESG? E qual a relação da governança com o 
ESG? Escute o podcast a seguir e descubra como os princípios de governança po-
dem ajudar a implantação de um sistema ESG nas empresas. Recursos de mídia 
disponíveis no conteúdo digital do ambiente virtual de aprendizagem.
PLAY NO CONHECIMENTO
UNIASSELVI
5
9
TEMA DE APRENDIZAGEM 3
Realizar uma gestão de riscos eficaz signifi-
ca como se fosse um círculo virtuoso 
do sistema, de forma a implantá-lo 
adequadamente, garantir-lhe 
robustez e efetividade e propi-
ciar sua constante evolução. 
Cada parte integrante 
do processo de Gestão de 
Riscos é requisito funda-
mental para o sucesso de 
um sistema de Complian-
ce. Compliance, portanto, 
é um Sistema de Gestão de 
Riscos e Políticas de Confor-
midade, tendo por possíveis ações 
frente aos riscos: identificar, avaliar, 
planejar, implementar, monitorar e revisar.
Dentre os seus diversos pilares, pode-se afirmar que o 
suporte da Alta Administração e o Mapeamento e Avaliação de Riscos são cru-
ciais para o sucesso do sistema.
VAMOS RECORDAR?
A Lei Anticorrupção visa combater as práticas corruptas de empresas em relação 
à Administração Pública e possui alguns princípios que servem de base para o 
compliance de uma empresa. Observe no vídeo a seguir os principais aspectos 
desse importante dispositivo legal. Acesse em: https://www.youtube.com/
watch?v=EVakBZ3v4z0&t=433s
DESENVOLVA SEU POTENCIAL
IDENTIFICAÇÃO E AVALIAÇÃO DE RISCOS
RISCOS
1
1
https://www.youtube.com/watch?v=EVakBZ3v4z0&t=433s
https://www.youtube.com/watch?v=EVakBZ3v4z0&t=433s
No Brasil, os pilares do compliance não estão estabelecidos em uma deter-
minada lei ou norma específica, mas há um certo consenso entre estudiosos 
e operadores da área, em especial, considerando a ABNT NBR ISO 37301 e 
o Artigo 57, do Decreto Federal n° 11.129, de 11 de julho de 2022 – que re-
gulamenta a Lei Federal n° 12.846, de 1° de agosto de 2013, conhecida como 
Lei Anticorrupção ou Lei Empresa Limpa (ABNT, 2021; Brasil, 2022), em que 
há determinados parâmetros de avaliação da efetividade de um sistema de 
Compliance, tais como: comprometimento da alta direção, padrões de con-
duta, código de ética, políticas e procedimentos de integridade, treinamentos, 
ações de comunicações periódicas, gestão de riscos, controles internos, canal 
de denúncia, medidas disciplinares e diligências apropriadas
É importante destacar que o Decreto Federal n° 11.129, que estabelece determina-
dos parâmetros para fins de avaliação sobre a existência de mecanismos e proce-
dimentos internos de integridade, igualmente estabelece, em seu § 1°, Artigo 57, 
que tais parâmetros serão considerados conforme “o porte e as especificidades da 
pessoa jurídica” (Brasil, 2022, on-line).
APROFUNDANDO
UNIASSELVI
1
1
TEMA DE APRENDIZAGEM 3
Partindo do pressuposto de que um Sistema de Gestão de 
Compliance (SGC) é uma estrutura metodizada e com-
plexa, constituída por inúmeros elementos que interagem 
com os demais processos do negócio, conclui-se que é um 
sistema que interage e depende de uma múltipla estrutura.
Tal estrutura inter-relaciona-se e depende de proces-
sos, pessoas, demais sistemas, documentos, informações, 
ações e outras variáveis. A esses elementos, passíveis de 
serem objetiva e documentalmente demonstrados, dá-se 
o nome de pilares: as estruturas que darão suporte a um 
efetivo e robusto sistema de Compliance.
Suporte da alta direção
Como primeiro pilar tem-se o suporte da alta direção, mui-
to conhecido no meio como Tone at The Top ou Tone from 
The Top, entendido como o tom dado no topo ou o exemplo 
que vem de cima. 
Um eficiente e robusto sistema de Compliance conta 
com a incontestável chancela e as ações concretas de apoio 
e financiamento de parte de sua mais alta direção, que de-
monstra e externaliza a sua responsabilidade pela proteção 
da organização, de seus valores e objetivos para o cumpri-
mento de seu propósito. 
A força da efetividade de um sistema de Compliance será di-
tada pelo comprometimento e exemplo de sua alta direção, 
que deverá conter:
• monitoramento e respostas aos riscos;
• integração com provedores de assurance (auditoria interna, 
compliance e controles internos);
• evolução do papel do CRO frente às novas demandas de 
riscos.
1
1
Nessa medida, visualizar o próprio comportamento é necessário para traçar um ali-
nhamento entre o comportamento desejado e o comportamento de fato realizado. 
Nas vidas pessoal e profissional, é fundamental estarmos atentos àqueles que nos 
cercam. O papel da liderança em uma organização na implantação e consolidação 
de um sistema de Compliance requer compromisso. Analise estas frases: ‘o Com-
pliance é um mal necessário’, ‘temos Compliance porque a Direção mandou ter’, 
‘Compliance é só gasto’, ‘é chato, mas precisamos ter Compliance’.
PENSANDO JUNTOS
A ABNT NBR ISO 37301 define alta direção como “pessoa ou grupo de pessoas 
que dirige e controla uma organização no nível mais alto da gestão executiva”. 
Tendo como principal atribuição delegar autoridade e prover recursos na or-
ganização (ABNT, 2021). Na Figura 1, podemos vislumbrar um organograma 
simples de uma empresa.
Figura 1 – Organograma empresarial/ Fonte: o autor.
Descrição da Imagem: é um infográfico contendo linhas e caixa de textos nas cores verde-claro, com escrita 
interna nas cores branca, sendo as caixas de textos interrelacionadas por meio de linhas. 
Na Primeira Linha Consta o cargo de Presidência. Na Segunda Linha os cargos de Diretor de gente e gestão, 
o Diretor de projetos, o Diretor administrativo e financeiro, e o Diretor de marketing. Na Terceira linha consta 
os cargos de Gerente de projetos e o Líder comercial. Na Quarta linha consta os cargos de analistas de gestão, 
comercial, administrativo e financeiro e de marketing. Fim da descrição.
Presidência
Diretor Gente
e Gestão
Diretor
Projetos
Diretor
Adm/Fin
Diretor
Marketing
Gerente
Projetos
Líder
Comercial
Analista
Comercial
Analista
Adm/Fin
Analista
Marketing
Analista
Gestão
UNIASSELVI
1
1
TEMA DE APRENDIZAGEM 3
O Decreto Federal n° 11.129, em seu Artigo 57, estabelece que, para fins de aferi-
ção sobre a existência de mecanismos e procedimentos internos de integridade, 
um programa de integridade será avaliado de acordo com determinados parâme-
tros. Dentre esses parâmetros, temos o “comprometimento da alta direção da pes-
soa jurídica, incluídos os conselhos, evidenciado pelo apoio visível e inequívoco 
ao programa, bem como pela destinação de recursos adequados” (Brasil, 2022).
O que se espera da Alta Administração é que cumpra as regras de Compliance, pois 
é o exemplo que vem de cima que mostrará o caminho a ser percorrido na organiza-
ção, o exemplo a ser espelhado, até porque a comunicação eficaz em torno de um bom 
exemplo serve de inspiração para outras pessoas agirem de forma ética e responsável. 
As ações da Alta Administração podem ocorrer de diversas formas:
DIVULGAÇÃO DAS REGRAS DE COMPLIANCE 
Pode ser por meio de declarações escritas ou mensagens gravadas de áudio e vídeo, 
feitas em formato e divulgação adequados.
PARTICIPAÇÃO EFETIVA EM TREINAMENTOS 
Sempre que possível, a alta direção deve se fazer presente durante os treinamentos de 
Compliance.
AÇÕES PROATIVAS 
Nos esforços de prevenção aos riscos de não conformidade. Com a finalidade de incen-
tivar a mensagem positiva sobre a integridade corporativa. 
RECONHECIMENTO DE COLABORADORES 
Destacar de forma explícita os comportamentos íntegros dos colaboradores.
PARTICIPAR DO PROCESSO DE SELEÇÃO DE NOVAS LIDERANÇAS
Participar de entrevista de candidatos, com a área de Compliance da empresa, como 
parte do processo de seleção e quando da efetiva integração do candidato já aprovado 
e contratado.
1
4
Um requisito essencial para a aferição do efetivo comprometimento da Alta di-
reção da organização é a disponibilização de recursos financeiros, estruturais e 
de pessoal para o setor de Compliance, garantindo-lhe independência, estrutura 
e autoridade como instância interna responsável pela área e fiscalização do cum-
primento das políticas de conformidade. 
Embora o pilar se referira expressamente à alta administração, o exemplo de con-
duta a ser dado para a equipe e demais terceiros envolvidos também deve vir 
da Média Gerência e Superiores Diretos, independentemente do nível hierárquico 
que ocupam na organização. Toda liderança deve aderir às regras e ser um exem-
plo concreto de bom comportamento, em especial, considerando que a comuni-
cação eficaz de bons exemplos dos líderes tem a possibilidade de inspirar cola-
boradores a agirem de forma íntegra e responsável e contribuírem com o alcance 
dos objetivos da organização.
APROFUNDANDO
Podemos ressaltar quatro indicativos claros de comprometimento da Alta direção 
com o programa de Compliance:
1º Existência de definição de um responsável (ou um grupo). 
2º Definição e garantia de estrutura adequada.
3º Concessão de autoridade suficiente para o responsável pelo programa.
4º Estabelecimento de um canal e de uma forma de comunicação com a Alta direção. 
UNIASSELVI
1
5
TEMA DE APRENDIZAGEM 3
A percepção e o reconhecimento de que o exemplo deve partir de cada um e que 
a cultura positiva do Compliance deve ser uma realidade em toda a organização 
passam a transformar a ideia de que o exemplo deve ser dado por todos, em todos 
os níveis hierárquicos e funções da organização.
Quer saber mais sobre gestão de riscos? Assista ao vídeo a seguir e conheça os 
princípios do gerenciamento de riscos de uma empresa! Acesse em: https://www.
youtube.com/watch?v=7XStg7EItY8
EU INDICO
Mapeamento e avaliação de riscos
Como segundo pilar de um Sistema de Gestão de Compliance, apresentam-se o 
Mapeamento e Avaliação de Riscos, que são as ocorrências que podem gerar um 
impacto negativo, ou até mesmo positivo, no alcance de determinado objetivo da 
organização. O risco é inerente a todo negócio ou atividade. O conceito de risco 
envolve um evento potencial, incerto.
1
1
 https://www.youtube.com/watch?v=7XStg7EItY8
 https://www.youtube.com/watch?v=7XStg7EItY8
O Decreto Federal n° 11.129 também confere importância à implementação e 
ao aprimoramento de um programa de integridade baseado no mapeamento e 
na gestão adequada dos riscos que envolvem determinada organização, os quais 
devem ser mapeados, avaliados, serem objeto de planejamento e ação, com mo-
nitoramento e reavaliações periódicas. O decreto prevê o seguinte: 
 “ Artigo 56, parágrafo único. O programa de integridade deve ser 
estruturado, aplicado e atualizado de acordo com as características 
e os riscos atuais das atividades de cada pessoa jurídica, a qual, por 
sua vez, deve garantir o constante aprimoramento e a adaptação do 
referido programa, visando garantir sua efetividade.
Art. 57. Para fins do disposto no inciso VIII do caput do art. 7º da 
Lei nº 12.846, de 2013, o programa de integridade será avaliado 
quanto à sua existência e aplicação, de acordo com os seguintes 
parâmetros:[...]
V - gestão adequada de riscos, incluindo sua análise e reavaliação 
periódica, para a realização de adaptações necessárias ao programa 
de integridade e a alocação eficiente de recursos; [...]
XIII - diligências apropriadas, baseadas em risco, para:
a) contratação e, conforme o caso, supervisão de terceiros, tais como 
fornecedores, prestadores de serviço, agentes intermediários, despa-
chantes, consultores, representantes comerciais e associados;
b) contratação e, conforme o caso, supervisão de pessoas expostas 
politicamente, bem como de seus familiares, estreitos colaboradores 
e pessoas jurídicas de que participem; e
c) realização e supervisão de patrocínios e doações (Brasil, 2022).
Dentre os riscos possíveis, destacam-se os riscos:
Mapeado um risco hoje e devidamente tratado, não significa que esse mesmo 
risco permaneça a existir daqui a seis meses ou um ano.
PENSANDO JUNTOS
UNIASSELVI
1
1
TEMA DE APRENDIZAGEM 3
OPERACIONAIS
Tais como deficiência de estruturas, falhas nos sistemas, alta rotatividade de funcioná-
rios, risco de perdas na produção por falhas na armazenagem adequada, dentre outros. 
DE CONFORMIDADE
Relacionados à adequação às normas internas e externas aplicáveis à organização.
FINANCEIROS
Tais como imposição de sanções pecuniárias (redução dos recursos financeiros), pa-
gamento de indenizações, obrigatoriedade de reposição de produtos e serviços, não 
aprovação de crédito.
REPUTACIONAIS
Tais como publicação de sanção imposta na imprensa, quando decorrente de processo 
administrativo de responsabilização.
A reputação de uma organização pode ser entendida como a percepção pública dela 
pelos demais envolvidos – internos ou externos, como colaboradores, parceiros, 
prestadores de serviços, clientes, investidores, acionistas, dentre outros. Deve-se 
destacar que o risco reputacional tem crescido em relevância para toda e qualquer 
organização, sendo um ativo dos mais importantes para as empresas atualmente. 
Cabe salientar que práticas que causem má reputação da empresa podem 
refletir no seu valor de mercado com a redução dos preços de suas ações.
De certa forma, todos esses riscos têm impacto na saúde financeira da orga-
nização,e com o exponencial crescimento da comunicação por meios digitais, de 
altíssimo e rápido alcance, tem-se que falhas de comunicação ou uma comunica-
ção inadequada podem causar prejuízos irreversíveis para determinado negócio 
ou mesmo impactar seu valor de mercado.
1
8
Modelo das três linhas
O Instituto dos Auditores Internos lançou em 2020 o Modelo das Três Linhas 
do IIA 2020, como um modelo da área de Governança Corporativa para Gestão 
de Riscos, apresentando a seguinte justificativa párea a sua implementação:
 “ [...] as organizações precisam de estruturas e processos eficazes 
para permitir o atingimento dos objetivos, ao mesmo tempo em 
que apoiam uma forte governança e gerenciamento de riscos. 
Como o órgão de governança recebe relatórios da gestão sobre 
atividades, resultados e previsões, o órgão de governança e a ges-
tão confiam na auditoria interna para prestar avaliação objetiva e 
independente e aconselhar sobre todos os assuntos, além de pro-
mover e facilitar a inovação e a melhoria. O órgão de governança é 
responsável, em última instância, pela governança, que é alcança-
da por meio das ações e comportamentos do órgão de governança, 
bem como da gestão e da auditoria interna (The IIA, 2020, p. 1).
Os termos ‘primeira linha’, ‘segunda linha’ e ‘terceira linha’ do modelo original 
são mantidos para a familiaridade. No entanto, as ‘linhas’ não pretendem denotar 
elementos estruturais, mas uma diferenciação útil de papéis. Logicamente, os 
papéis do órgão de governança também constituem uma ‘linha’, mas essa con-
venção não foi adotada para evitar confusão. A numeração (primeira, segunda, 
terceira) não deve ser considerada como significando operações sequenciais. Em 
vez disso, todos os papéis operam simultaneamente.
A seguir, está a nova representação gráfica do Modelo das Três Linhas, em que 
se percebe que, ao visualizar a primeira, a segunda e a terceira linhas, não significa 
que nos referimos à determinada estrutura organizacional ou algo sequenciado, 
tratando-se de termos utilizados para diferenciar atribuições/papéis:
Quer saber mais sobre mapeamento de riscos? Leia o artigo a seguir e aprenda um 
pouco mais sobre o assunto! Acesse em: https://itrabalhistas.com.br/consulto-
ria-trabalhista/mapeamento-de-riscos/
EU INDICO
UNIASSELVI
1
9
https://itrabalhistas.com.br/consultoria-trabalhista/mapeamento-de-riscos/
https://itrabalhistas.com.br/consultoria-trabalhista/mapeamento-de-riscos/
TEMA DE APRENDIZAGEM 3
Figura 2 – Modelo das Três Linhas de Defesa do The IIA / Fonte: The IIA (2020, p. 4).
ÓRGÃO DE GOVERNANÇA
Prestação de contas aos stakeholders pela supervisão organizacional
Papéis do órgão governança: integridade, liderança e transparência
AUD. INTERNA
Papéis da 1ª linha:
Provisão de
produtos/serviços
aos clientes;
gerenciar riscos
Papéis da 2ª linha:
Expertise, apoio,
monitoramento e
questionamento
sobre questões
relacionadas a
riscos
Papéis da 3ª linha:
Avaliação e
assessoria
independentes e
objetivas ao
atingimento dos
objetivos
LEGENDA Prestação de contas,
reporte
Delegar, orientar,
recursos, supervisão
Alinhamento,
comunicação,
coordenação,
colaboração
Avaliação independente
PR
ESTA
D
O
R
ES EXTER
N
O
S D
E AVA
LIA
Ç
Ã
O
GESTÃO
Ações (incluindo gerenciar riscos) para
atingir objetivos organizacionais
Descrição da Imagem: imagem de um infográfico contendo linhas e colunas nas cores azul-escuro e azul-claro, 
com escrita interna nas cores branca e preta, com colunas e linhas interrelacionadas por meio da indicação de 
flechas. 
Primeira linha com a identificação: Órgão de Governança – Prestação de contas aos stakeholders pela supervisão 
organizacional – Papéis do órgão de Governança: integridade, liderança e transparência. Segunda linha com a 
identificação: Gestão – Ações (incluindo gerenciar riscos) para atingir objetivos organizacionais – Papéis da 1ª 
linha: provisão de produtos/serviços aos clientes; gerenciar riscos – Papéis da 2ª linha: expertise, apoio, monito-
ramento e questionamento sobre questões relacionadas a riscos. Terceira linha com a identificação: Auditoria 
Interna — Avaliação independente — Papéis da 3ª linha: avaliação e assessoria independentes e objetivas sobre 
questões relativas ao atingimento dos objetivos. Na lateral, em uma coluna apartada, há a indicação de Presta-
dores externos de avaliação, abaixo está escrito Legenda, uma seta para cima, Prestação de contas, reporte, uma 
seta para baixo, Delegar, orientar, recursos, supervisão, e uma seta dupla para direita e esquerda Alinhamento, 
comunicação, coordenação, colaboração. Fim da descrição.
A atualização e revisão do modelo fizeram uma abordagem baseada em princí-
pios norteadores e estabeleceram as atribuições de cada um de seus principais 
atores, de forma que se possa permitir maior flexibilização no reagrupamento 
ou separação de funções e se afastar da ideia de linhas estruturais fixas, o que 
possibilita que qualquer organização possa utilizar o modelo. 
1
1
Outra conclusão frente à atualização do modelo é o fato de a gestão ter a 
possibilidade de assumir tanto a primeira quanto a segunda linha, sendo que, 
ao atuar na primeira linha, ela se direciona para funções de apoio, produção 
e prestação de serviços; e, ao atuar na segunda linha, direciona-se para o 
gerenciamento de riscos.
A título de conhecimento, especificamente sobre a área pública, e de 
acordo com a estrutura organizacional da Administração Pública Federal, 
considerando que a Controladoria Geral da União (CGU) aponta se basear 
no modelo, conforme sua cartilha Metodologia de Gestão de Riscos, o órgão 
assim identifica suas três linhas:
1ª LINHA DE DEFESA
Controles internos da gestão executados por todos os agentes públicos responsáveis 
pela condução de atividades e tarefas no âmbito dos macroprocessos finalísticos e de 
apoio dos órgãos e das entidades do Poder Executivo Federal.
2ª LINHA DE DEFESA
Supervisão e monitoramento dos controles internos executados por instâncias específi-
cas, como comitês, diretorias ou assessorias específicas para tratar de riscos, controles 
internos, integridade e Compliance.
3ª LINHA DE DEFESA
Constituída pelas Auditorias Internas no âmbito da Administração Pública, uma vez que 
são responsáveis por proceder à avaliação da operacionalização dos controles internos 
da gestão – primeira linha ou camada de defesa – e da supervisão dos controles inter-
nos – segunda linha ou camada de defesa (Brasil, 2021).
Um processo possível de Gestão de Riscos pode ser o estabelecido pelo TCU para 
quaisquer objetos a serem submetidos à gestão, devendo-se seguir estas etapas:
 ■ estabelecimento do contexto;
 ■ identificação dos riscos;
 ■ análise dos riscos;
UNIASSELVI
1
1
TEMA DE APRENDIZAGEM 3
 ■ avaliação dos riscos;
 ■ tratamento dos riscos; 
 ■ comunicação e consulta com partes interessadas;
 ■ monitoramento;
 ■ melhoria contínua (TCU, 2020, p. 21).
Conclui-se que a Gestão de Riscos adequada contribui decisivamente para alcançar 
os objetivos da organização e para sua perenidade. O gestor deve sempre conside-
rar o constante monitoramento e a revisão dos riscos mapeados em um processo 
permanente de amadurecimento do sistema de Gestão de Riscos como um pilar 
do Compliance e o nível de maturidade e apetite de risco de cada negócio.
Mensurando os riscos
O conceito de risco está presente em nossas vidas e, em particular, na vida dos 
gestores, principalmente da área de finanças. Dessa forma, dependendo das de-
cisões tomadas, os resultados podem ser positivos ou negativos para a empresa. 
Para tanto, a empresa deverá realizar as seguintes ações:
 ■ Escolher e adaptar indicadores de compliance de acordo com os objetivos 
da organização.
 ■ Coletar informações e dados por meio de ferramentas de monitoramento, 
relatórios periódicos ou outras fontes de informação.
 ■ Analisar os dados coletados.
 ■ Investir em estratégias de melhoria ou soluções para reduzir ou prevenir 
problemas.
Devemos analisar o risco sob duasperspectivas:
NÍVEL DE RISCO 
Uma forma de estimarmos o nível de risco de um projeto é compará-lo com outro. In-
vestidores, certamente, exigiriam uma taxa de retorno menor na empresa que oferece 
menos risco em relação à que oferece um risco superior.
1
1
Como vimos, podemos considerar o risco como uma incerteza quantificada. 
Essa quantificação nada mais é do que uma métrica, uma medida pela qual os 
gestores avaliam se o grau de risco apresentado por determinada decisão finan-
ceira vale mesmo a pena pelos retornos aguardados.
Então, qual é a métrica que mede o risco? Ba-
sicamente, o principal indicador é a volatilidade. 
Entende-se por volatilidade o número de flutuações 
que podem ocorrer com uma série de números se 
desviando de uma média representativa do conjun-
to. Quanto maior a volatilidade, o nível de risco será 
consequentemente maior. 
Outra variável que impacta o risco significativamente é o prazo. O dinheiro 
tem valor no tempo e uma verdade é que o dinheiro hoje vale mais para um 
investidor do que no futuro. Ele pode perfeitamente utilizar esse dinheiro para 
algum propósito, agora mesmo. O futuro é incerto. Tudo pode acontecer. 
Pense no caso de o investidor decidir emprestar esse recurso, que ele poderia 
utilizar agora, para alguém que faz a promessa de retornar o recurso no futuro com 
juros. O risco está presente, por exemplo, na possibilidade de o empréstimo não 
ser pago. E quanto maior o prazo, maior a incerteza, pois vários percalços podem 
acometer o devedor. Dessa forma, é razoável esperar que os investidores devam 
ser adequadamente recompensados para aceitarem assumir o risco de aplicar o 
dinheiro que tem disponível no presente.
As instituições financeiras costumam utilizar o método do Score para avaliarem 
o nível de risco na concessão dos créditos. Essa metodologia consiste em atribuir 
pontos de acordo com o comportamento financeiro do consumidor. Dessa forma, 
a pontuação indica a reputação de um consumidor no mercado, de forma que 
quanto mais alto o score maior será a probabilidade de o consumidor conseguir 
o crédito ou ter juros menores nas operações de empréstimos e financiamentos.
Quanto maior a 
volatilidade, o 
nível de risco será 
consequentemente 
maior
RISCO DO PRAZO
O tempo pode afetar substancialmente um investimento. Quanto mais tempo um recur-
so fica aplicado num projeto, mais tempo ele fica exposto ao risco. 
UNIASSELVI
1
1
TEMA DE APRENDIZAGEM 3
Assim, aumento de aportes num investimento implica em aumento do risco. Por-
tanto, os investidores certamente desejarão uma recompensa maior por assumir 
esse risco extra. A essa recompensa chamamos de Retorno.
As duas grandezas que sempre serão medidas são o Risco e o Retorno.
É importante que tenhamos claro entendimento de que o dinheiro tem valor no 
tempo e que as entradas desses recursos na empresa, gerados pelo investimen-
to e que se realizarão no futuro, precisam ser consideradas agora, no presente. 
Para se saber o quanto desses recursos entrará na empresa, considerados a valor 
presente, temos que estimar, em primeiro lugar, o grau de risco desse projeto, 
também chamado, nessa situação, de taxa de desconto. E em segundo lugar, uma 
vez que essas entradas de recursos geradas durante um número de anos futuros, 
devemos levar em conta também o valor do dinheiro no tempo.
APROFUNDANDO
1
4
Costuma-se dizer que o risco é uma fun-
ção crescente do prazo. Como afirmam 
Groppelli e Nikbakht (2002), caso o inves-
timento não tenha chance de perda e seja 
realizado por período muito curto, pode 
ser considerado livre de risco. Em contra-
partida, caso um período mais longo de 
tempo seja considerado, um prêmio ou 
compensação deve ser pago aos credores 
por assumirem um prazo mais arriscado.
Fundamentos de Risco
Fundamentos de Risco é um livro que oferece orientações cla-
ras de como elaborar um programa avançado e eficiente de ge-
renciamento de risco nas organizações. Escrita pelos especialis-
tas Michel Crouhy, Dan Galai e Robert M.Mark, que atualizaram e 
otimizaram seu best-seller Risk Management, a obra é pioneira 
por tornar acessíveis as abordagens mais complexas do geren-
ciamento de risco. Por meio de uma forma prática e realista, os 
leitores serão introduzidos a esse mundo e obterão maior afi-
nidade com temas como governança corporativa, avaliação, 
hedging e crédito, dentre outros. Uma proximidade que tornará 
possível a criação de eficientes programas de gestão nas cor-
porações. Por isso, Fundamentos de Risco é um livro que dá aos 
leitores o conhecimento essencial para administrarem os riscos 
em qualquer ambiente corporativo, com que os Estados Unidos 
não se limitem às suas fronteiras, mesmo em tempos de crise.
INDICAÇÃO DE LIVRO
Acesse seu ambiente virtual de aprendizagem e confira a aula referente a este 
tema. Recursos de mídia disponíveis no conteúdo digital do ambiente virtual de 
aprendizagem.
EM FOCO
UNIASSELVI
1
5
TEMA DE APRENDIZAGEM 3
NOVOS DESAFIOS
Estudante, neste tema de aprendizagem, conhecemos os pilares de um sistema de 
Compliance, dentre eles, o comprometimento da Alta direção e o Mapeamento 
e Avaliação de Riscos.
Para o sócio-proprietário de uma empresa o Compliance deve ser visto e 
trabalhado com um setor estratégico do negócio, ou seja, como um investimento, 
sempre tendo por referência o porte de cada organização.
Para a sua vida profissional é fundamental entender a importância da corre-
lação entre os objetivos da organização, as normas de observância para tanto e o 
suporte da alta direção – de forma que esta não determine ou estimule a fixação 
de metas impraticáveis ou que dependam de desvios de conduta.
Caso você pretenda trabalhar no setor de compras de uma empresa, o prin-
cipal é avaliar a importância de realizar uma checagem dos terceiros que terão 
relação com a empresa, de forma a mitigar riscos de não conformidade que pos-
sam causar um impacto reputacional ou operacional.
Por fim, caso seja gestor de uma empresa, deve compreender a importância 
do mapeamento de riscos e da adoção de medidas de planejamento e ação diante 
desses riscos, de forma a extingui-los ou mitigá-los, sempre tendo por norte os 
objetivos da organização.
1
1
1. Cada parte integrante do processo de Gestão de Riscos é requisito fundamental para o 
sucesso de um sistema de Compliance. Compliance, portanto, é um Sistema de Gestão de 
Riscos e Políticas de Conformidade, tendo por possíveis ações frente aos riscos: identificar, 
avaliar, planejar, implementar, monitorar e revisar.
São considerados os principais pilares do compliance os seguintes fatores:
a) Suporte da alta administração e ações proativas.
b) Mapeamento, avaliação e mensuração de riscos.
c) Suporte da alta administração e o mapeamento e avaliação de riscos.
d) Ações proativas e mensuração dos riscos.
e) Mensuração dos riscos e suporte da alta administração.
2. As organizações precisam de estruturas e processos eficazes para permitir o atingimento 
dos objetivos, ao mesmo tempo em que apoiam uma forte governança e gerenciamento 
de riscos. Como o órgão de governança recebe relatórios da gestão sobre atividades, re-
sultados e previsões, o órgão de governança e a gestão confiam na auditoria interna para 
prestar avaliação objetiva e independente e aconselhar sobre todos os assuntos, além de 
promover e facilitar a inovação e a melhoria (The IIA, 2020).
Com base nas informações apresentadas, avalie as asserções a seguir e a relação proposta 
entre elas:
I - Os termos ‘primeira linha’, ‘segunda linha’ e ‘terceira linha’ do modelo original são mantidos 
para familiaridade.
PORQUE
II - A atualização e revisão do modelo fez uma abordagem baseada em princípios nortea-
dores e estabeleceu as atribuições de cada um de seus principais atores.
A respeito dessas asserções, assinale a alternativa correta:
a) As asserções I e II são verdadeiras e a II é uma justificativa correta da I.
b) As asserções I e II são verdadeiras, mas a II não é uma justificativa correta da I.
c)A asserção I é uma proposição verdadeira e a II é uma proposição falsa.
d) A asserção I é uma proposição falsa e a II é uma proposição verdadeira.
e) As asserções I e II são falsas.
AUTOATIVIDADE
1
1
3. Como segundo pilar de um Sistema de Gestão de Compliance, apresenta-se o mapeamento 
e avaliação de riscos, que são as ocorrências que podem gerar impacto negativo ou, até 
mesmo, positivo no alcance de determinado objetivo da organização. O risco é inerente a 
todo negócio ou atividade. O conceito de risco envolve um evento potencial, incerto.
Sobre os tipos de riscos, analise as afirmativas a seguir:
I - A alta rotatividade de funcionários é um risco operacional.
II - A imposição de sanções pecuniárias é um risco de conformidade.
III - A publicação de sanção imposta na imprensa é um risco reputacional.
IV - A falha em sistemas é um risco financeiro.
É correto o que se afirma em:
a) I e III, apenas.
b) II e IV, apenas.
c) III e IV, apenas.
d) I, II e III, apenas.
e) I, II, III e IV.
AUTOATIVIDADE
1
8
REFERÊNCIAS
ABNT. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO 37301: sistemas de gestão 
de compliance: requisitos com orientações para uso. Rio de Janeiro: ABNT, 2021.
BRASIL. Controladoria-Geral da União. Metodologia de gestão de riscos. Brasília: CGU, 2021. 
Disponível em: https://www.gov.br/governodigital/pt-br/privacidade-e-seguranca/outros-do-
cumentos-externos/cgu_metodologia_gestao_riscos.pdf. Acesso em: 8 nov. 2024.
BRASIL. Decreto nº 11 .129, de 11 de julho de 2022. Regulamenta a Lei nº 12.846, de 1º de agos-
to de 2013, que dispõe sobre a responsabilização administrativa e civil de pessoas jurídicas 
pela prática de atos contra a administração pública, nacional ou estrangeira. Brasília, DF: Pre-
sidência da República, 2022. Disponível em: http://www.planalto.gov.br/CCIVIL_03/_Ato2019-
2022/2022/
Decreto/D11129.htm. Acesso em: 11 maio 2023.
GROPPELLI, A. A.; NIKBAKHT, E. Administração financeira. 2. ed. São Paulo: Saraiva, 2002.
TCU. Tribunal de Contas da União. Manual de gestão de riscos do TCU. 2. ed. Brasília: Tribunal de 
Contas da União: Secretaria de Planejamento, Governança e Gestão, 2020. Disponível: https://
portal.tcu.gov.br/planejamento-governanca-e-gestao/gestao-de-riscos/manual-de-gestao-
-de-riscos/. Acesso em: 15 out. 2024.
THE IIA. THE INSTITUTE OF INTERNAL AUDITORS. Modelo das três linhas do IIA 2020: uma 
atualização das três linhas de defesa. Lake Mary: The Institute of Internal Auditors, 2020. Dispo-
nível em: https://iiabrasil.org.br/korbilload/upl/editorHTML/uploadDireto/20200758glob-th-
-editorHTML-00000013-20082020141130.pdf. Acesso em: 11 maio 2023.
1
9
1. Alternativa C. Realizar uma gestão de riscos eficaz significa como se fosse um círculo virtuoso 
do sistema, de forma a implantá-lo adequadamente, garantir-lhe robustez e efetividade e 
propiciar sua constante evolução. Dentre os seus diversos pilares, pode-se afirmar que o 
suporte da alta administração e o mapeamento e avaliação de riscos são cruciais para o 
sucesso do sistema.
2. Alternativa B. A numeração (primeira, segunda, terceira) não deve ser considerada como 
significando operações sequenciais. Em vez disso, todos os papeis operam simultaneamente. 
Os princípios norteadores permitem maior flexibilização no reagrupamento ou separação 
de funções e se afasta da ideia de linhas estruturais fixas, o que possibilita que qualquer 
organização possa utilizar o modelo.
3. Alternativa A. A afirmativa I está correta, o risco operacional é aquele decorrente das deci-
sões de gestão.
A afirmativa II está incorreta, pois imposição de sanções pecuniárias é um risco financeiro.
A afirmativa III está correta, pois a publicação de fatos negativos na imprensa pode causar 
prejuízos na imagem da empresa perante o mercado.
A afirmativa IV está incorreta, pois falha em sistemas é um risco operacional.
GABARITO
8
1
MINHAS ANOTAÇÕES
8
1
UNIDADE 2
MINHAS METAS
ESTRATÉGIAS DE 
MITIGAÇÃO DE RISCOS
Apreender as principais estratégias de Mitigação de Riscos.
Aprender as principais práticas de implementação de Controles Internos.
Conhecer os benefícios na implementação dos Controles Internos.
Explorar as etapas de uma boa Gestão de Continuidade de Negócios.
Investigar o processo de Melhoria Contínua para a gestão de Continuidade de Negócios.
Discernir as Melhores Práticas de Gestão de Continuidade de Negócios.
T E M A D E A P R E N D I Z A G E M 4
8
4
INICIE SUA JORNADA
Estudante, imagine quantos eventos arriscados uma organização enfrenta? 
Apesar da importância indiscutível das estratégias de mitigação de riscos para 
a sobrevivência e o sucesso das organizações, muitas vezes, sua implementação 
enfrenta desafios complexos. Como identificar todos os riscos potenciais em 
um ambiente empresarial cada vez mais globalizado? Além disso, mesmo que os 
riscos sejam mapeados, surge a questão de quais estratégias adotar? 
Outro ponto crítico é a resistência interna nas organizações, em que a cultu-
ra de aversão ao risco pode ser substituída por uma falsa sensação de segurança 
ou negligência. Como equilibrar o investimento em mitigação com a necessi-
dade de inovação e crescimento, sem paralisar a organização por excesso de 
precaução? Essas questões colocam em evidência os dilemas enfrentados pelas 
empresas ao tentarem minimizar riscos sem comprometer sua flexibilidade e 
capacidade de resposta.
Estratégias de mitigação de riscos são fundamentais para a gestão eficaz de 
projetos, operações e organizações. Em um ambiente empresarial cada vez mais 
dinâmico e imprevisível, identificar, avaliar e mitigar os riscos são cruciais para 
garantir a continuidade dos negócios, a preservação de recursos e a obtenção de 
metas e resultados planejados. 
Portanto, mitigar riscos não se resume a uma série de práticas técnicas, mas 
envolve uma mentalidade estratégica que equilibra proteção e inovação, resiliên-
cia e adaptação. Ao adotar essa visão mais ampla, as organizações podem reduzir 
os impactos negativos de riscos iminentes e ainda descobrir oportunidades de 
crescimento e fortalecimento diante da incerteza.
Você sabe quais são os tipos de Controles Internos? E qual a finalidade desses 
controles? Escute o podcast a seguir e aprenda um pouco mais sobre essa impor-
tante prática organizacional. Recursos de mídia disponíveis no conteúdo digital 
do ambiente virtual de aprendizagem.
PLAY NO CONHECIMENTO
UNIASSELVI
8
5
TEMA DE APRENDIZAGEM 4
DESENVOLVA SEU POTENCIAL
ESTRATÉGIAS DE MITIGAÇÃO DE RISCOS
As estratégias de mitigação de riscos são medidas planejadas e implementadas 
para reduzir a probabilidade ou o impacto de riscos em um projeto, negócio 
ou atividade. Existem várias abordagens que podem ser usadas dependendo da 
natureza do risco e do contexto. Existem quatro estratégias comuns de mitigação 
de riscos: prevenção, redução, transferência e aceitação.
VAMOS RECORDAR?
Qual seria o melhor investimento para uma empresa? Quais os riscos de cada tipo 
de investimento? Quais aspectos um gestor deve observar na hora de decidir os 
investimentos da empresa? Assista ao vídeo a seguir, e descubra os tipos de riscos 
em investimento e como lidar com eles! Acesse em: https://www.youtube.com/
watch?v=tUZimmAFvBg 
A mitigação de riscos é um componente essencial para o sucesso de qualquer 
organização ou projeto. A natureza dos negócios é repleta de incertezas, e a ha-
bilidade de identificar, avaliar e mitigar riscos de forma eficaz pode ser a diferença 
entre o fracasso e o sucesso (Vieira; Barreto, 2019).
APROFUNDANDO
Para mitigar riscos, é possível:
 ■ criar um plano de mitigação de riscos exclusivo para o negócio;
 ■ monitorar o progresso e avaliar se é preciso modificar alguma ação;
 ■ implementar medidas preventivas ou corretivas;
 ■ investir em ferramentas que auxiliem no processo.
8
1
https://www.youtube.com/watch?v=tUZimmAFvBg 
https://www.youtube.com/watch?v=tUZimmAFvBg 
As estratégias podem ser usadas de forma isolada ou combinada, dependendo 
da complexidadee do contexto em que o risco se apresenta. A escolha da melhor 
abordagem depende da análise detalhada do risco, das capacidades da organiza-
ção e do apetite ao risco. Vejamos os principais tipos de estratégias de mitigação 
de riscos, de acordo com Vieira e Barreto (2019).
EVITAR O RISCO 
Envolve modificar o plano ou o processo para eliminar completamente o risco. Exemplo: 
cancelar um projeto que envolve muitos riscos ou mudar o escopo para evitar áreas 
arriscadas.
TRANSFERIR O RISCO
Consiste em transferir a responsabilidade e os impactos financeiros de um risco para 
terceiros. Exemplo: contratar um seguro contra perdas financeiras.
MITIGAR O RISCO
Reduzir a probabilidade ou impacto de um risco, implementando medidas de controle 
e de prevenção. Exemplo: implementar medidas de segurança para minimizar riscos de 
ataques de hackers.
ACEITAR O RISCO
Aceitar o risco quando o custo ou esforço para mitigar não justifica o impacto do risco, 
monitorando-o e reagindo quando necessário. Exemplo: decidir não agir contra peque-
nos riscos cujos impactos são mínimos ou facilmente administráveis. 
COMPARTILHAR O RISCO
Dividir o risco com outras partes, por exemplo, firmando parcerias, alianças ou contratos 
com outras organizações que compartilham os potenciais impactos.
UNIASSELVI
8
1
TEMA DE APRENDIZAGEM 4
REDUZIR O RISCO
Introduzir controles para minimizar a chance de ocorrência ou o impacto de um risco. 
Exemplo: usar tecnologias avançadas para evitar falhas. 
PLANEJAMENTO DE CONTINGÊNCIA
Criar planos alternativos caso o risco se materialize. Exemplo: ter um plano de recupe-
ração de desastres em caso de falhas no sistema de TI. 
DIVERSIFICAÇÃO
Reduzir a exposição ao risco, distribuindo-o por diferentes áreas ou opções. Exemplo: 
investir em diferentes mercados para mitigar os impactos de uma crise econômica. 
MONITORAMENTO E CONTROLE CONTÍNUOS
Envolvem a implementação de processos para monitorar os riscos continuamente e ga-
rantir que as estratégias de mitigação estejam funcionando conforme planejado. Exem-
plo: monitorar regularmente os indicadores de desempenho.
Escolher a estratégia de mitigação de risco adequada depende do contexto específico 
de cada risco, das capacidades da organização e do impacto potencial. Em muitos 
casos, uma combinação de estratégias pode ser a abordagem mais eficaz para garantir 
a resiliência da organização e o sucesso contínuo de suas operações. Ao adotar uma 
visão proativa em relação ao gerenciamento de riscos, as organizações podem não 
apenas proteger seus ativos e operações, mas também criar uma vantagem competi-
tiva em um mundo de negócios cada vez mais incerto (Vieira; Barreto, 2019).
A abordagem proativa ao gerenciamento de riscos pode trazer vários 
benefícios, como:
 ■ reduzir o risco de processos e projetos;
 ■ aumentar os resultados;
 ■ incentivar uma mentalidade proativa na organização;
8
8
 ■ promover uma cultura de segurança;
 ■ melhorar a tomada de decisões;
 ■ fortalecer a reputação da empresa.
Implementação de controles internos
Segundo Baraldi (2005), controles internos são políticas, procedimentos e prá-
ticas implementadas em uma organização para garantir que seus objetivos sejam 
alcançados de maneira eficaz e eficiente e em conformidade às leis e regulamentos 
aplicáveis. Eles têm o objetivo de:
 ■ prevenir, detectar e corrigir erros ou fraudes em processos críticos;
 ■ assegurar a integridade das informações financeiras;
 ■ promover a eficiência operacional e o uso adequado dos recursos;
 ■ garantir a conformidade com leis, regulamentos e políticas internas.
A implementação de controles internos para a mitigação de riscos é essencial 
para garantir que uma organização funcione de maneira eficaz e que os riscos 
sejam gerenciados adequadamente. Os controles internos são importantes para:
 ■ garantir que a empresa esteja alinhada com as políticas internas e com as 
exigências regulatórias externas;
 ■ mitigar erros e fraudes;
 ■ salvaguardar os recursos para evitar perdas, mau uso e dano;
 ■ verificar a exatidão e fidelidade dos dados contábeis;
 ■ desenvolver a eficiência nas operações.
Os controles internos podem incluir: 
 ■ conferências; 
 ■ trâmites de documentos e informações; 
 ■ rotinas de sistemas informatizados; 
 ■ cumprimento das leis e regulamentos aplicáveis; 
 ■ cumprimento das obrigações de accountability.
UNIASSELVI
8
9
TEMA DE APRENDIZAGEM 4
A implementação de controles internos é uma parte essencial do gerenciamento 
de riscos em qualquer organização. Esses controles não só ajudam a identificar 
e mitigar riscos, mas também garantem a integridade, eficiência e conformidade 
dos processos organizacionais. No contexto empresarial, os controles internos são 
mecanismos que buscam proteger os ativos, prevenir fraudes e assegurar a preci-
são das informações financeiras. (Baraldi, 2005).
APROFUNDANDO
A seguir, os principais passos e práticas para implementar controles internos 
eficazes, de acordo com Vieira e Barreto ( 2019):
 ■ 1º Passo – Identificação e Avaliação dos Riscos 
De acordo com Moraes (2010), devemos definir os objetivos do estudo e o nível 
de complexidade do sistema antes de escolher o método de identificação dos 
riscos. Dessa forma, antes de implementar controles, é necessário identificar os 
principais riscos que a organização enfrenta, seja em termos operacionais, finan-
ceiros, de compliance ou tecnológicos. Após identificá-los, avaliar a probabilida-
de de ocorrência e o impacto que eles podem causar. Vejamos alguns exemplos:
9
1
 ■ riscos de fraude financeira;
 ■ riscos de falhas de TI;
 ■ riscos regulatórios.
 ■ 2º Passo – Definir Objetivos de Controle
Com os riscos identificados, a próxima etapa é definir quais são os objetivos 
de controle, ou seja, o que você deseja alcançar com os controles internos. 
Podemos citar como exemplos: assegurar que as transações financeiras sejam 
válidas, precisas e autorizadas; garantir que os dados estejam protegidos contra 
acessos não autorizados.
 ■ 3º passo – Desenvolver Políticas e Procedimentos
Criar políticas e procedimentos documentados que orientem os colaboradores 
sobre como devem agir para garantir o controle interno. Isso inclui estabelecer 
as responsabilidades de cada função, as ações a serem tomadas e os fluxos de 
trabalho. Podemos citar como exemplo:
 ■ políticas de autorização de pagamentos, como estabelecer um limite 
de valor em que o colaborador poderá efetuar pagamentos; sem pedir 
autorização ao seu supervisor imediato;
 ■ procedimentos de auditoria interna, por exemplo, revisão periódica 
dos lançamentos de caixa e conciliação bancária;
 ■ guias de uso de sistemas de TI, por exemplo, lista impressa com os 
códigos de lançamentos das operações de pagamento.
 ■ 4º Passo – Segregação de Funções
Implementar a separação de funções críticas para evitar conflitos de interesse e 
fraudes. A segregação de funções garante que nenhuma pessoa tenha controle 
total sobre todas as fases de uma transação. Como exemplo a empresa pode 
adotar a seguinte regra: o funcionário responsável por criar faturas não deve ser 
o mesmo que aprova ou paga as faturas.
UNIASSELVI
9
1
TEMA DE APRENDIZAGEM 4
 ■ 5º Passo – Controles de Acesso
Garantir que os acessos a sistemas, documentos e recursos sejam restritos apenas 
a pessoas autorizadas. Isso ajuda a prevenir violações de segurança e uso inde-
vido de informações confidenciais. A título de exemplo, a empresa pode adotar 
as seguintes ações: 
 ■ implementar senhas individuais; 
 ■ controles de acesso biométricos; 
 ■ criação de níveis de acesso em um sistema de TI.
 ■ 6º Passo – Controles Automatizados
Utilizar sistemas automatizados que ajudem a controlar e monitorar processos-
chave, diminuindo a chance de erro humano e de falhas. Para realizar esse controle, 
a empresa pode adquirir um sistema de gestão financeira que alerta quando 
transações excedem limites predefinidos ou que bloqueia ações não autorizadas.
 ■ 7º Passo – Monitoramento e AuditoriaContínua
Monitorar continuamente os controles internos e realizar auditorias periódi-
cas para avaliar se os processos estão funcionando corretamente. É importante 
realizar auditorias internas e externas para detectar falhas ou oportunidades de 
melhoria. Para esse monitoramento a empresa pode adotar auditorias trimestrais 
ou semestrais para rever as práticas financeiras e de compliance, além de revisões 
frequentes de logs de acesso a sistemas críticos.
 ■ 8º Passo – Treinamento e Conscientização
O gestor deve assegurar que todos os funcionários estejam cientes dos controles 
internos e das políticas da organização. A empresa deve realizar treinamentos 
regulares para garantir que eles entendam a importância dos controles e saibam 
como implementá-los em suas funções diárias, tais como: treinamentos sobre 
segurança da informação, cursos sobre políticas de compliance ou sessões sobre 
procedimentos internos para novos funcionários.
9
1
 ■ 9º Passo – Controles de Documentação
A empresa deve manter a documentação dos processos de forma precisa e atua-
lizada, bem como o registro das transações. Esses controles são essenciais para 
garantir rastreabilidade e transparência. A empresa pode, por exemplo, manter 
registros claros de todas as etapas de uma transação financeira, desde a solicita-
ção até o pagamento final, assim como de quem aprovou e executou cada ação.
A título de exemplo, a Lei Sarbanes Oxley estabelece penalidades para altera-
ção, destruição ou falsificação de registros com a intenção de obstruir investiga-
ções legais. Também impõe penalidades para contadores que violam os requisitos 
de manutenção de documentos de auditoria.
A Lei Sarbanes-Oxley, também conhecida como Lei SOX, é uma lei criada pelo 
Congresso dos Estados Unidos em 2002 com o objetivo de proteger investidores 
e outros interessados contra erros e fraudes contábeis por parte das empresas e 
serviu de base para o estabelecimentos de leis semelhantes no restante do mun-
do, inclusive no Brasil.
ZOOM NO CONHECIMENTO
 ■ 10º Plano de Continuidade e Recuperação de Desastres
A empresa deve desenvolver um plano de continuidade e recuperação de desas-
tres para garantir que a organização possa se recuperar de eventos imprevistos e 
reduzir a interrupção de operações, tais como um plano de recuperação de dados 
em caso de ataque cibernético ou um desastre natural que afete as operações.
 ■ 11º Passo – Revisão e Melhoria Contínua dos Controles
Os controles internos precisam ser revisados e aprimorados continuamente. Mu-
danças no ambiente externo, regulamentações ou operações internas podem 
exigir ajustes nos controles. Para tanto, a empresa pode revisar os controles após 
uma grande mudança regulatória ou após um incidente que revelou uma falha 
em um controle existente.
UNIASSELVI
9
1
TEMA DE APRENDIZAGEM 4
 ■ 12º Passo – Implementar Indicadores de Desempenho e Acompanhamento
Criar indicadores que permitam medir a eficácia dos controles internos e acom-
panhar os resultados. A implementação de métricas permite identificar áreas que 
necessitam de atenção especial. Vejamos alguns exemplos:
 ■ indicadores como o número de incidentes detectados;
 ■ frequência de auditorias realizadas;
 ■ tempo de resposta a um problema detectado.
Podemos definir como principais benefícios na implementação dos Controles 
Internos os seguintes fatores: 
PREVENÇÃO DE FRAUDES
Minimiza a probabilidade de desvios e manipulações financeiras.
EFICIÊNCIA OPERACIONAL
Os processos se tornam mais claros e otimizados.
CONFORMIDADE
Garante o cumprimento das leis e regulamentos aplicáveis.
SEGURANÇA DE INFORMAÇÕES
Protege dados sensíveis e ativos da organização.
Cabe ressaltar que ao implementar controles internos, é importante adaptá-los 
à realidade da organização, levando em conta o porte, a complexidade das ope-
rações e o ambiente regulatório. Entretanto, não será suficiente para garantir a 
continuidade da empresa, para tanto se faz necessária uma gestão voltada para a 
continuidade do negócio. Veremos como realizar essa gestão no próximo tópico.
9
4
Gestão de continuidade de negócios (GCN)
A gestão de continuidade de negócios (GCN) é um processo estratégico 
que visa garantir que uma organização seja capaz de continuar operando e 
prestando seus serviços críticos, mesmo diante de eventos adversos, como 
desastres naturais, falhas tecnológicas, crises de mercado ou ataques ciber-
néticos (Everest et al., 2008)
Para realizar uma boa gestão de continuidade de negócios, é necessário seguir 
uma abordagem estruturada, que inclui planejamento, testes e ajustes constantes. 
Segundo Everest et al. (2008), os principais benefícios de uma boa gestão de 
continuidade incluem:
MINIMIZAÇÃO DE PERDAS FINANCEIRAS 
Rápida recuperação e continuidade das operações reduzem o impacto financeiro de crises.
PROTEÇÃO DA REPUTAÇÃO 
Uma resposta rápida e eficaz a emergências preserva a confiança de clientes, parceiros 
e investidores.
CONFORMIDADE COM REGULAMENTAÇÕES 
Atender aos requisitos legais e regulatórios, como os exigidos em setores como finanças 
e saúde.
RESILIÊNCIA ORGANIZACIONAL 
Aumenta a capacidade da empresa de se adaptar e prosperar em um ambiente dinâ-
mico e imprevisível.
Uma boa gestão de continuidade de negócios exige comprometimento da liderança, 
recursos adequados e uma mentalidade preventiva que abranja toda a organização.
UNIASSELVI
9
5
TEMA DE APRENDIZAGEM 4
Vejamos as principais etapas para uma boa GCN, de acordo com Everest et al. (2008):
 ■ Análise de Impacto nos Negócios (Business Impact Analysis – BIA)
A Análise de Impacto nos Negócios (BIA) é o ponto de partida para a imple-
mentação de uma estratégia de continuidade. O objetivo é identificar as funções 
e processos críticos que são essenciais para o funcionamento da organização, e 
entender o impacto de uma interrupção nesses processos. A BIA permite prio-
rizar quais áreas necessitam de maior atenção no plano de continuidade. Para 
realizar essa análise a empresa deverá: 
9
1
MAPEAR AS OPERAÇÕES
Identificar os processos críticos que, se interrompidos, causariam um impacto signifi-
cativo nos negócios.
INTERRUPÇÃO NOS PROCESSOS
Avaliar as consequências da interrupção nos processos financeiros, operacionais e re-
putacionais. 
TEMPO DE RECUPERAÇÃO 
Determinar o tempo máximo de inatividade aceitável para cada processo, pois o exces-
so de tempo compromete a produtividade do colaborador.
PROCESSOS CRÍTICOS 
Identificar os recursos, sistemas e fornecedores necessários para manter a operação 
dos processos críticos.
UNIASSELVI
9
1
TEMA DE APRENDIZAGEM 4
 ■ Desenvolvimento do Plano de Continuidade de Negócios (PCN)
Com base nas descobertas da análise de impacto, o próximo passo é desenvolver 
um Plano de Continuidade de Negócios (PCN). O PCN é um documento que 
descreve as estratégias e ações a serem seguidas para garantir a continuidade 
das operações em caso de interrupções. O plano deve incluir procedimentos 
detalhados para diferentes cenários de crise.
Para o desenvolvimento do PCN a empresa deverá realizar as seguintes ações:
• definir claramente as responsabilidades de cada membro da equipe durante 
uma crise;
• definir estratégias de mitigação para cada risco identificado na análise de 
impacto;
• elaborar planos de recuperação para cada processo crítico, incluindo os 
recursos e informações necessárias;
• estabelecer procedimentos de comunicações interna e externa durante crises;
• definir rotinas de backup de dados e recuperação de sistemas de TI; 
• desenvolver um plano de recuperação de desastres (DRP) para lidar com 
falhas tecnológicas. 
9
8
 ■ Avaliação de Riscos
Nessa etapa, a empresa deve avaliar os riscos que podem ameaçar a continuidade 
dos negócios. Isso envolve identificar possíveis ameaças (desastres naturais, ata-
ques cibernéticos, pandemias, falhas tecnológicas etc.) e avaliar a probabilidade 
e o impacto de cada uma.
Para realizar uma avaliação de risco eficaz a empresa deverá seguiros se-
guintes passos:
1º – ANÁLISE DE RISCO COMPLETA 
Identificar as vulnerabilidades mais prováveis e os cenários de crise mais críticos. 
2º – MEDIDAS PREVENTIVAS 
Para cada risco identificado, devem ser determinados as medidas preventivas e os 
controles que podem ser implementados para mitigar seus efeitos.
3º – CLASSIFICAÇÃO DOS RISCOS 
A empresa deve classificar os riscos por nível de gravidade e impacto no negócio.
4º – PLANOS DE RESPOSTA 
A empresa deve desenvolver planos de resposta específicos para os principais cenários 
de risco, como desastres naturais, falhas de TI ou crises de saúde pública.
 ■ Estratégias de Continuidade
Estabelecer estratégias para garantir que os processos críticos continuem funcio-
nando, mesmo com interrupções. As estratégias podem variar dependendo da 
natureza da organização e do tipo de ameaça.
Vejamos as principais estratégias de continuidade:
UNIASSELVI
9
9
TEMA DE APRENDIZAGEM 4
BACKUP DE TI 
Manter cópias de segurança regulares de todos os sistemas e dados essenciais, com 
armazenamento em local seguro, de preferência fora das instalações.
REDUNDÂNCIA 
Utilizar servidores, equipamentos e fornecedores redundantes para minimizar falhas.
TELETRABALHO
Desenvolver políticas para que os funcionários possam trabalhar remotamente em caso 
de problemas na sede da empresa.
LOCAIS ALTERNATIVOS 
Planejar a possibilidade de operar em outro local caso as instalações principais sejam 
comprometidas.
1º ESCOLHA DOS MEMBROS 
Nomear membros de diferentes departamentos (TI, RH, Finanças, Operações) para 
compor a equipe de resposta à crise.
 ■ Estabelecer Equipes de Gestão de Crises
A criação de equipes de resposta é fundamental para garantir que, no caso de 
um incidente, haja uma equipe dedicada e treinada para gerenciar a crise. Essas 
equipes devem ter membros de diferentes áreas da organização e ser responsáveis 
por tomar decisões rápidas e coordenar as ações necessárias. 
Para o estabelecimento de equipes de Gestão de Crises a empresa deverá 
seguir os seguintes passos:
1
1
1
Além disso, a empresa poderá utilizar Técnicas de Negociação para reduzir ou 
eliminar eventuais crises na equipe, tais como:
 ■ estabelecer um ambiente afetivo durante a resolução do conflito;
 ■ conhecer as percepções e os interesses das partes envolvidas;
 ■ buscar uma solução que deve ser boa para ambas as partes;
 ■ construir um poder positivo e compartilhado;
 ■ procurar mostrar as semelhanças ao invés das divergências.
 ■ Formação e Treinamento
Capacitar os funcionários é fundamental para garantir que eles saibam como rea-
gir em situações de crise e estejam familiarizados com o Plano de Continuidade. 
Vejamos algumas ações de formação e treinamento:
2º DEFINIR RESPONSABILIDADES 
Definir claramente os papéis e responsabilidades de cada membro da equipe durante 
uma interrupção.
3º PLANO DE COMUNICAÇÃO 
Estabelecer um plano de comunicação para que todos os colaboradores saibam como 
reportar problemas e a quem recorrer durante um incidente.
• realizar treinamentos regulares para todos os colaboradores, especialmente 
aqueles com papéis críticos no plano de continuidade;
• simular cenários de crise (como um ataque cibernético ou falha elétrica) para 
testar o conhecimento e a capacidade de resposta da equipe;
• treinar a liderança da empresa para gerenciar crises e tomar decisões rápidas 
e eficientes durante emergências.
UNIASSELVI
1
1
1
TEMA DE APRENDIZAGEM 4
 ■ Plano de Comunicação
Definir um plano de comunicação eficaz é essencial para garantir que todas as 
partes interessadas (colaboradores, clientes, fornecedores, autoridades regulató-
rias) sejam informadas adequadamente durante uma crise.
Vejamos algumas estratégias de comunicação que podem ser adotadas pelas 
empresas:
LISTAS DE CONTATO 
Criação de listas com detalhes atualizados de todos os funcionários, fornecedores e 
clientes.
CONTATO COM STAKEHOLDERS
Definição de quem será responsável por se comunicar com a mídia e com os colabora-
dores, clientes, fornecedores, autoridades regulatórias e outros interessados.
TIPOS DE MENSAGENS 
Elaboração de mensagens de comunicação prontas para diferentes tipos de cenários, 
para garantir agilidade e clareza.
1
1
1
Existem vários tipos de comunicação empresarial, com características diversas 
entre eles, não havendo distinção entre melhor ou pior. Dessa forma, a empresa 
deve escolher o modelo que mais se adeque à sua cultura.
Segundo Formighieri (2023), os tipos de comunicação empresarial que a 
empresa pode adotar são:
COMUNICAÇÃO INTERNA 
É direcionada para os colaboradores da empresa de todos os níveis funcionais.
COMUNICAÇÃO EXTERNA 
Direcionada aos principais stakeholders da empresa, ou seja, clientes, investidores, par-
ceiros comerciais, fornecedores etc.
COMUNICAÇÃO DESCENDENTE 
É a comunicação efetuada pelo alta diretoria para os colaboradores dos níveis hierár-
quicos subordinados.
COMUNICAÇÃO ASCENDENTE 
A comunicação parte dos colaboradores, que informam as demandas para a alta dire-
ção e ela toma a decisão.
COMUNICAÇÃO HORIZONTAL 
É aquela que ocorre com os colaboradores de um mesmo nível hierárquico. 
COMUNICAÇÃO CIRCULAR 
A comunicação se dá pela troca de informações entre os colaboradores independen-
temente do nível hierárquico.
UNIASSELVI
1
1
1
TEMA DE APRENDIZAGEM 4
 ■ Plano de recuperação de desastres (DR)
O plano de recuperação de desastres (DR) é uma parte essencial da continui-
dade de negócios, focando especificamente na recuperação de dados, sistemas 
e infraestrutura de TI após uma falha catastrófica. O DR ajuda a garantir que 
os sistemas críticos possam ser restaurados e que a organização possa retomar 
suas operações tecnológicas o mais rápido possível.
Para implantar o DR a empresa deverá realizar as seguintes etapas:
1ª BACKUP 
Criar backups regulares de todos os dados e sistemas críticos da organização.
2ª RECUPERAÇÃO DE DADOS 
Estabelecer infraestruturas redundantes ou sistemas em nuvem para recuperação rá-
pida em caso de falhas.
3º TEMPO DE RECUPERAÇÃO 
Definir tempos de recuperação (RTO – Recovery Time Objective) e pontos de recupera-
ção (RPO – Recovery Point Objective) para cada sistema crítico.
4ª TESTES 
Realizar testes regulares de recuperação de desastres para garantir que o plano funcio-
ne conforme o esperado.
 ■ Testes e Simulações Regulares
Testar o plano de continuidade regularmente garante que ele seja eficaz e que 
todos os envolvidos saibam o que fazer em caso de crise. Para tanto, a empresa 
deverá executar as seguintes ações:
1
1
4
 ■ Realizar testes e simulações periódicas para avaliar a eficácia do plano. 
Isso pode incluir testes de backup de dados, evacuação de edifícios, 
simulações de ciberataques e outras emergências.
 ■ Avaliar os resultados dos testes e realizar ajustes no plano com base nas 
falhas ou lacunas identificadas.
 ■ Relacionamento com Fornecedores e Terceiros
Muitos processos críticos dependem de fornecedores e terceiros. Diante disso, é 
importante garantir que eles também tenham planos de continuidade em vigor. 
Vejamos algumas ações para estreitar o relacionamento com os fornecedores:
KPIS
Utilizar Indicadores-chave de desempenho (KPIs) para medir o sucesso do plano e 
identificar possíveis lacunas.
REVISÕES
Realizar revisões periódicas do plano de continuidade de negócios para garantir que 
ele esteja atualizado.
• Avaliar os planos de continuidade de fornecedores-chave.
• Estabelecer contratos com cláusulas que garantam a continuidade dos serviços 
em caso de interrupção.
• Manter contato regular com fornecedores para garantir que eles estejam 
preparados para enfrentar crises.
 ■ Monitoramento e Avaliação
Após implementar o plano, é essencial monitorar sua eficácia e realizar avaliações 
regulares, pois a gestão de continuidade de negócios não é um processo estático. 
Para realizar o monitoramento e avaliação, a empresa poderá:
UNIASSELVI
1
1
5
TEMA DE APRENDIZAGEM 4
AUDITORIAS 
Realizar auditoriasinternas e externas para revisar os processos de continuidade.
COMITÊ
Estabelecer um comitê de continuidade de negócios para supervisionar a implementa-
ção do plano e garantir que ele permaneça relevante.
ACOMPANHAMENTO
Acompanhar mudanças nos riscos e vulnerabilidades que possam afetar o plano.
ADAPTAÇÃO
Adaptar o plano conforme a empresa cresce ou à medida que novas tecnologias ou 
ameaças surgem.
MELHORIA CONTÍNUA
Manter uma cultura de melhoria contínua, incentivando sugestões e feedback da equi-
pe sobre o plano de continuidade.
1
1
1
Melhoria contínua e melhores práticas de GCN 
O processo de gestão de continuidade de negócios deve ser dinâmico e ajustado 
constantemente, conforme surgem novas ameaças e mudanças nos processos 
organizacionais. Dessa forma, a empresa deve adotar um processo de melhoria 
contínua e boas práticas de gestão.
Segundo a NBR ISO 9001 (ABNT, 2000), para a melhoria dos processos, a 
empresa deverá:
 ■ Reavaliar o plano de continuidade periodicamente, especialmente após mu-
danças no ambiente de negócios, novas regulamentações ou eventos de crise.
 ■ Incorporar feedback dos testes e simulações ao plano.
 ■ Monitorar os ambientes interno e externo para novas ameaças e riscos.
Com relação ao processo de melhoria contínua, William Edwards Deming desen-
volveu 14 princípios (chamados de Princípios de Deming) que, segundo Rabello 
(2024), “formam um conjunto de diretrizes para transformar a maneira como as 
empresas gerenciam a qualidade e operam seus negócios.” Esses princípios são 
baseados na ideia de que a melhoria contínua e a inovação são essenciais para o 
sucesso a longo prazo de qualquer organização.
Vejamos os 14 Princípios de qualidade de Deming:
1. Criar constância de propósito para melhorar produtos e serviços; 
2. Adotar a nova filosofia; 
3. Cessar a dependência da inspeção em massa; 
4. Acabar com a prática de comprar pelo menor preço; 
5. Melhorar constantemente e para sempre o sistema de produção e serviço; 
6. Instituir treinamento no trabalho; 
7. Instituir liderança; 
8. Eliminar o medo; 
9. Eliminar barreiras entre os departamentos; 
10. Eliminar slogans, exortações e metas numéricas para a força de trabalho; 
11. Eliminar cotas numéricas e metas para a produção; 
12. Remover barreiras que privam as pessoas do orgulho pelo trabalho bem feito; 
13. Instituir um vigoroso programa de educação e autoaperfeiçoamento; 
14. Colocar todos na empresa para trabalhar na transformação.
ZOOM NO CONHECIMENTO
UNIASSELVI
1
1
1
https://www.siteware.com.br/blog/processos/melhoria-continua/
TEMA DE APRENDIZAGEM 4
Vejamos as Melhores Práticas para uma Gestão de Continuidade de Negócios 
Eficaz, de acordo com Everest et al. (2008):
ENVOLVIMENTO DA ALTA ADMINISTRAÇÃO
O apoio e o compromisso da alta direção são fundamentais para o sucesso de qualquer 
estratégia de continuidade de negócios. A liderança deve alocar os recursos necessá-
rios e participar das decisões críticas.
COMUNICAÇÃO CLARA E TRANSPARENTE
Durante uma crise, a comunicação eficaz com funcionários, clientes, parceiros e for-
necedores é essencial. Certifique-se de que todos saibam o que fazer e onde obter 
informações atualizadas.
TREINAMENTO REGULAR DA EQUIPE
Treinar regularmente os funcionários sobre suas responsabilidades em uma crise ga-
rante que eles estejam preparados para agir quando necessário.
DOCUMENTAÇÃO COMPLETA
Mantenha o plano de continuidade documentado e acessível para que todas as partes 
interessadas possam consultá-lo quando necessário.
CULTURA DE RESILIÊNCIA
Fomentar uma cultura de resiliência dentro da organização, em que todos compreen-
dem a importância da continuidade de negócios, é crucial para a implementação eficaz 
de qualquer plano.
A gestão de continuidade de negócios é uma prática essencial para qualquer or-
ganização que deseja garantir sua resiliência em um ambiente de negócios repleto 
de incertezas. Ao adotar uma abordagem proativa e estruturada, com análise de 
riscos, desenvolvimento de um plano de continuidade robusto e implementa-
1
1
8
ção de soluções de recuperação, as empresas podem minimizar os impactos de 
eventos adversos e garantir a continuidade de suas operações.
Gerenciamento de riscos empresariais
O objetivo desse livro é apresentar uma visão integrada de 
gerenciamento de riscos empresariais englobando o geren-
ciamento de riscos (inclusive de fraudes), de oportunidades 
(retornos e metas positivas) e de controles internos, para agre-
gar valor às empresas e consequentemente às organizações. 
O autor apresenta visões, conceitos, técnicas e metodologias 
globais customizadas com o propósito de fornecer soluções 
abrangentes e ferramentas lógicas e práticas. Essa terceira edi-
ção traz um novo capítulo sobre revisão de controles internos e 
SOX, além de atualizações nos textos e nas figuras, facilitando 
o entendimento do tema.
INDICAÇÃO DE LIVRO
Acesse seu ambiente virtual de aprendizagem e confira a aula referente a este 
tema. Recursos de mídia disponíveis no conteúdo digital do ambiente virtual de 
aprendizagem.
EM FOCO
NOVOS DESAFIOS
Estudante, neste tema de aprendizagem, aprendemos a importância de utilizar 
boas práticas de gestão como estratégia de mitigação dos riscos, com o obje-
tivo de atingir o sucesso empresarial. O sucesso empresarial está diretamente 
relacionado às rápidas transformações tecnológicas, econômicas, sociais e am-
bientais que moldam o cenário global. À medida que o mundo se torna mais 
interconectado e dependente de sistemas complexos, as incertezas e os riscos 
aumentam em escala e diversidade. 
UNIASSELVI
1
1
9
TEMA DE APRENDIZAGEM 4
Assim, as abordagens tradicionais de mitigação de riscos precisarão evoluir, 
adotando novas tecnologias, metodologias e formas de pensar para enfrentar os 
desafios emergentes. Em um cenário cada vez mais volátil e imprevisível, a gestão 
de riscos passou a ser uma prioridade não apenas para a proteção de ativos finan-
ceiros, mas também para a manutenção de uma força de trabalho qualificada, 
resiliente e adaptável às mudanças. 
Nesse contexto, para você ter sucesso no mercado de trabalho além dos co-
nhecimentos aqui compartilhados, você deve estar adaptado e preparado para 
as mudanças tecnológicas que virão pela frente.
1
1
1
1. As estratégias de mitigação de riscos podem ser usadas de forma isolada ou combinada, 
dependendo da complexidade e do contexto em que o risco se apresenta. A escolha da 
melhor abordagem depende da análise detalhada do risco, das capacidades da organiza-
ção e do apetite ao risco (Vieira; Barreto, 2019).
Quando uma empresa resolve modificar o plano ou o processo para eliminar completamente 
o risco está utilizando que tipo de estratégia de mitigação de riscos?
a) Evitar o risco.
b) Transferir o risco.
c) Mitigar o risco.
d) Aceitar o risco.
e) Compartilhar o risco.
2. Escolher a estratégia de mitigação de risco adequada depende do contexto específico de 
cada risco, das capacidades da organização e do impacto potencial. Em muitos casos, uma 
combinação de estratégias pode ser a abordagem mais eficaz para garantir a resiliência da 
organização e o sucesso contínuo de suas operações (Vieira; Barreto, 2019).
Sobre os tipos de estratégias de mitigação de riscos, analise as afirmativas a seguir:
I - Usar tecnologias avançadas para evitar falhas é um exemplo de estratégia de redução 
de riscos.
II - Ter um plano de recuperação de desastres em caso de falhas no sistema de TI é um 
exemplo de estratégia de Planejamento de contingência.
III - Investir em diferentes mercados para mitigar os impactos de uma crise econômica é um 
exemplo de estratégia de monitoramento e controle contínuos.
É correto o que se afirma em:
a) I, apenas.
b) III, apenas.
c) I e II, apenas.
d) II e III, apenas.
e) I, II e III.
AUTOATIVIDADE
1
1
1
3. A implementação de controles internos é uma parte essencial do gerenciamento de riscos 
em qualquer organização. Esses controles não só ajudam a identificar e mitigar riscos, mas 
tambémnão. Você abriria mão da viagem de lazer para não 
correr os riscos mencionados? O risco pode ou não ocorrer, ele é uma possibi-
lidade, não uma certeza. Mas se você tomou a decisão de viajar, você assumiu 
o risco, aceitou correr esse risco, ou seja, sua aversão ao risco não foi tão alta a 
ponto de impedir que você viajasse.
PENSANDO JUNTOS
O que é incerteza e o que tem a ver com risco? Nesse ponto, há divergências entre 
alguns autores: Rodrigues (2008) define incerteza como a possibilidade de ocor-
rência de um evento sobre o qual o gestor não dispõe de informações suficientes 
e necessárias para tomar alguma decisão. Duarte Junior (2005) prefere a definição 
de que incertezas são eventos mensuráveis em determinadas situações, e que 
risco, nesse caso, seria apenas a medida numérica dessa incerteza. O aspecto es-
sencial está no fato de ‘risco’ significar, em alguns casos, uma variável passível de 
ser medida, enquanto em outros o termo não aceita esse atributo.
ZOOM NO CONHECIMENTO
A definição de risco associada à incerteza é bastante clara: risco é a incerteza 
quantificada. Tudo que não se possa quantificar ficará no campo da subjetivi-
dade. Portanto, não passível de ser tratado gerencialmente, pois o gestor precisa 
ter dados e fatos para decidir.
UNIASSELVI
1
1
TEMA DE APRENDIZAGEM 1
Para uma melhor gestão empresarial torna-se importante saber, de forma an-
tecipada, as consequências da ocorrência do risco. Um exemplo disso seria 
a possibilidade de ocorrência de um terremoto. Para uma seguradora, por 
exemplo, que oferece cobertura de perdas patrimoniais, uma ocorrência desse 
tipo teria consequências tão catastróficas que poderiam levá-la a dificuldades 
financeiras. O evento em si, dependendo evidentemente da região em que o 
seguro foi contratado, teria que ser considerado de alto risco.
Precisamos entender que não é exatamente correto pensarmos sempre em 
risco associado a algo negativo. Pense, por exemplo, no principal motivo que 
leva as pessoas a apostarem na loteria todas as semanas. Não é a possibilidade 
da ocorrência de um evento negativo, muito pelo contrário: é a possibilidade 
calculada matematicamente. Qual é a consequência do evento não se concreti-
zar? A perda do valor apostado. Qual seria a consequência caso o evento ocorra? 
O prêmio por essa ocorrência seria altamente positivo: ganhar muito dinheiro.
Para os gestores de empresa interessa demais essa noção, pois no mundo 
financeiro, o risco é definido, de acordo com Damodaran (2008, p. 24):
 “ em termos da variabilidade dos retornos observados de um inves-
timento em comparação com o retorno esperado do investimento, 
mesmo quando esses retornos representam resultados positivos.
A grande importância para o gestor de uma empresa não é o fato de en-
tender as consequências do risco, mas sim gerenciá-las.. Isso leva à neces-
sidade da Gestão de Riscos, que não pode ser vista como a função voltada 
para evitar riscos, e sim como a função voltada para a tomada de decisões 
adequadas por meio do conhecimento prévio dos riscos envolvidos, con-
siderados os retornos esperados. 
As apostas que fazemos ao jogar uma moeda e escolher qual seria o resultado 
provável que, nesse caso, somente poderia ser: cara ou coroa. Assim, em um único 
lançamento da moeda, as chances de nós ganharmos a aposta são de exatos 50%. 
Analisando a situação, percebemos que estava envolvido o risco, pois é perfeita-
mente possível medir a possibilidade de ganho: 50%. 
APROFUNDANDO
1
1
Classificação dos riscos
A classificação dos riscos parte de quatro pilares básicos que consideram as ori-
gens das incertezas associadas a cada um deles. Vamos conhecê-los:
RISCOS DE MERCADO
O risco de mercado está associado às possibilidades de ganhos ou perdas em ativos 
devido às oscilações de fatores de mercado, como taxas de juros, taxas de câmbio, 
preços de ações e commodities dentre outros.
RISCOS OPERACIONAIS 
Esse tipo de risco está associado a possíveis perdas decorrentes de falhas em sistemas, 
erros humanos, falhas em controles programados para evitar ocorrências indesejáveis.
RISCOS DE CRÉDITO
Esse tipo de risco está associado à possibilidade do não pagamento de um valor previa-
mente acordado. Esse valor pode ser apenas o capital, somente dos juros ou o capital 
mais juros associados (montante). Poderia incluir também o não pagamento de qual-
quer outra obrigação assumida contratualmente.
RISCOS LEGAIS
Esse tipo de risco está associado à possibilidade de que os contratos assumidos entre 
partes não se realizem. Os motivos podem ser diversos, como uma situação de insol-
vência ou de quebra estrutural. Outras situações que poderiam constituir esse tipo de 
risco seriam, por exemplo, a violação da legislação vigente ou a redação ambígua de 
um contrato, que poderia ensejar contestações judiciais.
Consequências da aversão ou aceitação de riscos
As pessoas podem, dependendo de suas circunstâncias, avaliar um determi-
nado bem, objeto ou qualquer outra coisa pelo princípio do benefício que isso 
pode gerar a elas. Como isso afeta as decisões nas quais as pessoas se envol-
UNIASSELVI
1
1
TEMA DE APRENDIZAGEM 1
vem, principalmente, no nosso caso, as que se relacionam com investimentos? 
Muitas teorias foram propostas, como a teoria da utilidade de Bernoulli, que, 
há mais de 300 anos, disse:
 “ O valor de um item não pode ser baseado em seu preço, mas na 
utilidade que gera. O preço de um item depende apenas do objeto 
propriamente dito, e é igual para todas as pessoas. Contudo, a uti-
lidade depende das circunstâncias da pessoa em particular que faz 
a estimativa (Damoradan, 2008, p. 30).
1
4
Damodaran (2008) elenca as implicações dessa aversão ao risco nas decisões de 
investimento de uma pessoa, observe:
Quadro 1 – Impacto da aversão ao risco na decisão de investimentos das Pessoas Físicas
Fonte: Damoradan (2008, p. 45).
PERSPECTIVA IMPACTO
Alocação 
de ativos
A alocação de ativos depende basicamente do grau de aversão ao 
risco do investidor. Investidores menos propensos ao risco colocam 
uma proporção maior de suas carteiras em ativos de maior risco. 
Exemplo: preferem concentrar os seus investimentos na poupan-
ça, fundos de renda fixa, Tesouro Direto dentre outros, com menos 
riscos do que investimentos de renda variável, como as ações.
Seleção 
de ativos
Dentro de cada classe de ativos, temos de escolher em que investir. 
Uma vez tomada a decisão de distribuir proporções especificas de 
uma carteira entre ações e títulos de renda fixa, o investidor tem de 
decidir em quais ações e títulos investirá. Essa decisão é, muitas vezes, 
tornada menos complexa pela existência de fundos de investimentos 
de diversos tipos, desde especializados por setor e fundos diversifi-
cados de índices, até os fundos de renda fixa. Os investidores menos 
propensos ao risco podem distribuir uma maior parcela de seus inves-
timentos de participação acionária em ações e fundos de maior risco, 
ainda que paguem o preço do menor grau de diversificação.
Avaliação de 
desempenho
Os julgamentos sobre a possibilidade de investimentos passados 
terem proporcionado retornos razoáveis (e, portanto, terem sido 
bons investimentos) dependerá de como o investidor mensura o 
risco e de qual é o balanço em termos de risco e retorno que esse 
investidor exige.
Vamos transportar a mesma condição para as empresas. Esses entes jurídicos, 
para competir e sobreviver no mercado, precisam ter a mesma posição de julga-
mento de investimentos de uma pessoa física comum. Seus gestores, portanto, 
deverão analisar até que ponto as estratégias empresariais admitem a assunção 
de um risco qualquer.
Da mesma forma que fizemos no caso de pessoas físicas, vamos analisar al-
gumas decisões empresariais quanto aos riscos envolvidos:
UNIASSELVI
1
5
TEMA DE APRENDIZAGEM 1
Quadro 2 – Impacto da aversão ao risco na decisão de investimentos das Pessoas Jurídicas
Fonte: Damoradan (2008, p. 45-46).
PERSPECTIVA IMPACTO
Decisões de 
investimento
Poucos investimentosgarantem a integridade, eficiência e conformidade dos processos organizacionais. 
No contexto empresarial, os controles internos são mecanismos que buscam proteger os 
ativos, prevenir fraudes e assegurar a precisão das informações financeiras (Baraldi, 2005).
Quando uma empresa adota a regra de que um funcionário responsável por criar faturas 
não deve ser o mesmo que aprova ou paga as faturas, está realizando qual etapa de imple-
mentação de controles internos?
a) Identificação e Avaliação dos Riscos.
b) Definição de Objetivos de Controle.
c) Desenvolvimento de Políticas e Procedimentos.
d) Segregação de Funções.
e) Controles de Acesso.
AUTOATIVIDADE
1
1
1
REFERÊNCIAS
ABNT. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO 9001: Sistemas de gestão 
da qualidade – Requisitos. São Paulo: ABNT, 2000.
BARALDI, P. Gerenciamento de riscos empresariais: a gestão de oportunidades, a avaliação de 
riscos e a criação de controles internos nas decisões empresariais. 2. ed. Rio de Janeiro: Elsevier, 
2005.
EVEREST, D. et al.. Gestão de continuidade de negócios. [S. l.]: The IIA Brasil, 2008. Dis-
ponível em: https://iiabrasil.org.br/korbilload/upl/ippf/downloads/livro-1-gesto-d-i-
ppf-00000001-12122018093750.pdf. Acesso em: 5 set. 2024.
FORMIGHIERI, G. Comunicação empresarial: o que é, tipos e qual sua importância. Keeps, 2023. 
Disponível em: https://keeps.com.br/comunicacao-empresarial-o-que-e-tipos-e-qual-sua-im-
portancia/. Acesso em: 28 out. 2024.
MORAES, G. Sistema de gestão de riscos: Princípios e diretrizes. 1. ed. Rio de Janeiro: Gerencia-
mento Verde Editora e Livraria Virtual, 2010. 
RABELLO, G. Os 14 princípios de Deming: o que são? Como funcionam? Siteware, 2024. Disponí-
vel em: https://www.siteware.com.br/blog/metodologias/principios-de-deming/. Acesso em: 
24 out. 2024.
VIEIRA, J. B.; BARRETO, R. T. de S. Governança, gestão de risco e integridade. Brasília: Enap, 
2019.
1
1
1
https://iiabrasil.org.br/korbilload/upl/ippf/downloads/livro-1-gesto-d-ippf-00000001-12122018093750.pdf
https://iiabrasil.org.br/korbilload/upl/ippf/downloads/livro-1-gesto-d-ippf-00000001-12122018093750.pdf
1. Alternativa A. Evitar o risco – envolve modificar o plano ou o processo para eliminar com-
pletamente o risco.
Transferir o risco – consiste em transferir a responsabilidade e os impactos financeiros de 
um risco para terceiros.
Mitigar o risco – reduzir a probabilidade ou impacto de um risco, implementando medidas 
de controle e de prevenção.
Aceitar o risco – aceitar o risco quando o custo ou esforço para mitigar não justifica o impacto 
do risco, monitorando-o e reagindo quando necessário.
Compartilhar o risco – dividir o risco com outras partes, por exemplo, firmando parcerias, 
alianças ou contratos com outras organizações que compartilham os potenciais impactos.
2. Alternativa C. A afirmativa I está correta, pois reduzir o risco significa introduzir controles para 
minimizar a chance de ocorrência ou o impacto de um risco.
A afirmativa II está correta, pois planejamento de contingência significa criar planos alterna-
tivos caso o risco se materialize.
A afirmativa III está incorreta, pois trata-se da estratégia de diversificação, que significa reduzir 
a exposição ao risco, distribuindo-o por diferentes áreas ou opções.
3. Alternativa D. A Identificação e Avaliação dos Riscos consiste em identificar os principais 
riscos que a organização enfrenta, seja em termos operacionais, financeiros, de compliance 
ou tecnológicos.
A Definição de Objetivos de Controle consiste em definir o que a empresa deseja alcançar 
com os controles internos.
O Desenvolvimento de Políticas e Procedimentos consiste em criar políticas e procedimen-
tos documentados que orientem os colaboradores sobre como devem agir para garantir o 
controle interno.
A segregação de funções garante que nenhuma pessoa tenha controle total sobre todas as 
fases de uma transação.
GABARITO
1
1
4
MINHAS ANOTAÇÕES
1
1
5
MINHAS METAS
COMPLIANCE E ÉTICA 
EMPRESARIAL
Demonstrar a importância de um programa de compliance.
Perceber a importância da identificação dos riscos para o estabelecimento das regras de 
compliance.
Entender como funciona um código de ética e conduta.
Identificar as vantagens na implantação de um código de conduta.
Apresentar os pilares do Compliance.
Conhecer a implantação de Controles Internos.
Acompanhar o Treinamento e Comunicação em Compliance.
T E M A D E A P R E N D I Z A G E M 5
1
1
1
INICIE SUA JORNADA
Estudante, imagine você ser sócio proprietário de uma empresa e ter que respon-
der aos seguintes questionamentos: qual providência adotaria se tivesse ciência 
de um caso de assédio sexual ou moral? Os funcionários, independentemente 
do cargo, podem receber qualquer tipo de presente de fornecedores e demais 
envolvidos no negócio? Quais rotinas poderiam ser estabelecidas em sua empresa 
para melhorar o ambiente e torná-lo mais íntegro e transparente? Qual a forma 
mais adequada e eficiente de receber treinamento sobre Compliance?
Sempre é importante ter em mente que o Compliance pode ser definido como 
um sistema de gestão de riscos e de políticas de conformidade às leis, normas, 
padrões éticos e de integridade, regulamentos internos e externos a que está sub-
metido determinado negócio ou determinada organização (pública ou privada).
Não se trata apenas de estar em conformidade plena com todas as regras 
do negócio: as mandatórias (aquelas estabelecidas por leis e demais normas 
externas à organização, tal como a legislação para obtenção de licença para 
a venda de determinado produto) e as voluntárias (aquelas voluntariamente 
estabelecidas e/ou aceitas pela organização, tal como uma regra interna para 
casos de contratação de parentes).
Trata-se de analisar, sob a perspectiva de risco e de gestão do negócio, quais 
regras serão (devem ser) cumpridas primeiro e assim sucessivamente, até porque 
nem sempre é viável cumprir 100% das regras concomitantemente.
Você sabe quais são os impactos no caso de assédio no ambiente de trabalho? 
Ouça o podcast a seguir e aprenda como prevenir e evitar o assédio no ambiente 
de trabalho. Recursos de mídia disponíveis no conteúdo digital do ambiente vir-
tual de aprendizagem.
PLAY NO CONHECIMENTO
UNIASSELVI
1
1
1
TEMA DE APRENDIZAGEM 5
DESENVOLVA SEU POTENCIAL
COMPLIANCE E ÉTICA EMPRESARIAL
Segundo Serpa (2016, p. 31-33):
 “ Após a avaliação dos riscos e identificação das regras aplicáveis e 
suas operações, é preciso que se comece a documentar o Programa 
de Compliance por meio da criação de políticas de compliance. Essa 
documentação servirá como a formalização inicial daquilo que é a 
postura da empresa em relação aos diversos assuntos relacionados 
a suas práticas de negócios e será a bússola que guiará seus funcio-
nários para o caminho escolhido pela empresa.
Investir em Compliance é certeza de retorno positivo para a organização, des-
de que feito conforme a sua natureza, necessidades e objetivos, considerando o 
mercado regulatório no qual está inserida. Um sistema de integridade focado na 
gestão de riscos e no fortalecimento da cultura de Compliance, na organização, 
agrega valor a ela e pode trazer benefícios econômicos, de operação e de reputação.
VAMOS RECORDAR?
Você se lembra do sistema de gestão de riscos? E qual a importância dele para 
uma organização? Assista ao vídeo a seguir e aprenda um pouco mais a gestão 
de riscos. Acesse em: https://www.youtube.com/watch?v=FT_Kh3BQIfE&t=216s
Compliance, de forma simplificada, é estar em conformidade com as regras vigen-
tes para o seu negócio, externas (tais como leis, decretos, portarias) ou internas 
(tais como um código de conduta, política de brindes e hospitalidades, contrato 
de trabalho).
APROFUNDANDO
1
1
8
https://www.youtube.com/watch?v=FT_Kh3BQIfE&t=216s
https://www.youtube.com/watch?v=FT_Kh3BQIfE&t=216s
A Lei 12.846/2013, chamada Lei Anticorrupção, também conhecida como Lei 
da Empresa Limpa, resultou do compromisso específico assumido pelo paísao firmar e internalizar a mencionada Convenção da OCDE sobre o suborno 
de funcionários estrangeiros. Além disso, incorporou, em 2013, a noção de 
Compliance ao quadro normativo pátrio, traduzindo-o como ‘Integridade’, 
ou, mais precisamente, ‘mecanismos e procedimentos internos de integrida-
de, auditoria e incentivo à denúncia e aplicação efetiva de códigos de ética e 
de conduta’ ou, mais simplesmente, como ‘programa de integridade’.
Franco (2020) informa que o legislador brasileiro preferiu optar pelo modelo de 
incentivo ao Compliance, para as empresas privadas em geral ao invés de adotar, o 
modelo impositivo (este reservado apenas, em âmbito nacional, para as empresas 
estatais e, em alguns Estados, para as empresas que com eles venham a contratar).
Serpa (2016) enumera alguns aspectos básicos e comuns a todos os tipos de 
empresas que são extremamente relevantes para um Programa de Compliance:
1) Um documento do tipo ‘Código de Conduta’ é imprescindível para servir como o 
ponto de partida e introduzir, de forma simples e direta, para os diversos assuntos 
componentes do Programa de Compliance;
2) Cada uma das políticas e procedimentos deverá, obrigatoriamente, ser ligada a 
um tema já constante no código de conduta;
3) Todas as políticas e procedimentos deverão estar disponibilizados em repositório 
centralizado e descentralizado – físico ou eletrônico, e deverão estar prontamente 
disponíveis quando necessárias;
4) A linguagem utilizada nas políticas e procedimentos deverá ser clara, acessível 
e de fácil entendimento para todos os funcionários da empresa.
Ao falar em um sistema, deve-se entender por áreas e departamentos inter-re-
lacionados ou interativos de uma organização. O Compliance, portanto, é um 
Sistema de Gestão de Riscos e Políticas de Conformidade, tendo por possíveis 
ações frente aos riscos: identificar, avaliar, planejar, implementar, monitorar e 
revisar; e, dentre seus diversos pilares destacam-se três: código de conduta; con-
troles internos e treinamento e comunicação.
UNIASSELVI
1
1
9
TEMA DE APRENDIZAGEM 5
CÓDIGO DE ÉTICA E CONDUTA
Segundo Máynez (1990 apud Nalini, 2020, p. 39), o objeto da ética é a moralidade 
positiva, ou seja, o conjunto de regras de comportamento e formas de vida através 
das quais tende o homem a realizar o valor do bem.
Código de ética e conduta é o documento no qual a organização deve expres-
sar os seus princípios, relativos à visão sobre ética e integridade e tem, portanto, 
uma relação direta com o compliance, configurando-se como principal docu-
mento do programa de integridade de uma empresa.
O código de ética e conduta é um documento que orienta as regras e o padrão 
de comportamento que deve ser seguido por todas as pessoas que se relacionam 
com a empresa, a começar pelos colaboradores, independentemente do nível.
Veja como utilizar incentivos para estimular um programa de compliance, clicando 
no link a seguir: https://360compliance.com.br/como-utilizar-incentivos-para-
-incentivar-seu-programa-de-compliance/ 
EU INDICO
1
1
1
https://360compliance.com.br/como-utilizar-incentivos-para-incentivar-seu-programa-de-compliance/
https://360compliance.com.br/como-utilizar-incentivos-para-incentivar-seu-programa-de-compliance/
O código de ética e conduta será uma referência para 
todos os funcionários e, por isso, deve ser escrito com 
uma linguagem acessível para todos. Ele precisa ser 
conciso e, ao mesmo tempo, abrangente. Deve refletir 
a cultura da empresa, a sua natureza e os seus riscos.
O código de conduta é um documento primordial para adequação do negócio, 
principalmente para minimizar riscos e possíveis prejuízos (financeiros, operacionais 
ou de reputação), devendo ter por objetivo, além de regulamentar as ações das 
partes, auxiliar e facilitar a tomada de decisões e propiciar segurança para elas.
O código de ética 
e conduta será 
uma referência 
para todos os 
funcionários
Como um elemento integrante de um sistema de integridade, o código de condu-
ta trata das condutas praticadas na organização (pública ou privada, com ou sem 
fins lucrativos) ou mesmo fora dela e que possam refletir, positiva ou negativamen-
te, na organização (seja por colaboradores, lideranças ou outras partes envolvidas, 
como fornecedores e prestadores de serviço).
APROFUNDANDO
O código de conduta, que deve ser baseado nos valores adotados pela organização, 
deve ser um guia prático, acessível, objetivo, esclarecedor e norteador, indicador 
dos caminhos que devem ser seguidos sobre as condutas e procedimentos que 
os colaboradores e demais interessados devem cumprir, além de também prever 
os procedimentos de incentivo ao cumprimento de tais normas, de apuração de 
denúncias e demais comunicações, e de penalização pelo descumprimento delas.
Segundo Gomes (2022 apud Soares, 2022, p. 234), o Código de Conduta:
 “ É um documento que não deve ser simplesmente copiado sob o 
risco de conter itens desnecessários ou mesmo faltar pontos impor-
tantes que viriam a mitigar os riscos de compliance daquela opera-
ção. Deve endereçar as atividades da companhia de forma única e, 
portanto, tem que ser feito pela própria empresa.
UNIASSELVI
1
1
1
TEMA DE APRENDIZAGEM 5
O Código de Conduta também tem a vantagem de deixar claras e uniformes 
quais são as regras a serem seguidas pelas partes, gerando segurança e facili-
tando a tomada de decisões, bem como evitando desgaste frente a situações 
previsíveis e que poderiam ser evitadas – reduzindo a possibilidade de ocor-
rência de um impacto prejudicial à organização (como uma perda financeira 
ou de reputação), sendo uma norma interna que é estabelecida e utilizada em 
caráter complementar às normas externas (tal como a legislação trabalhista). 
Em outras palavras, um código de conduta ou qualquer outra política/regula-
mentação de Compliance não exclui o dever de observância de normas exter-
nas aplicáveis à organização e também não deve contrapô-las.
Outra vantagem a ser referida a respeito da elaboração e implantação de um código 
de conduta refere-se ao fato de que este serve para minimizar riscos e possíveis 
prejuízos, tais como:
a) ações judiciais (trabalhistas, indenizatórias, dentre outras);
b) exposição prejudicial nas redes sociais;
c) imposição de penalidades administrativas.
1
1
1
Estabelecido o código de conduta, não significa que este seja imutável. Pelo con-
trário, é importante o seu constante aperfeiçoamento, até para demonstrar que a 
organização está atenta às alterações nos contextos social e corporativo. Portanto, 
sua revisão periódica é necessária e fundamental, sempre tendo o cuidado de dar 
ciência aos interessados para fins de aplicabilidade.
A implantação de um código de conduta também pode ser entendida como um 
elemento que proporciona uma vantagem competitiva, seja para a celebração de 
novos negócios, seja para a manutenção de negócios existentes, seja para gerar 
confiança no parceiro comercial, ou mesmo para contribuir no alcance de selos 
e certificações que podem, inclusive, propiciar vantagens no acesso a linhas de 
crédito e outros benefícios.
APROFUNDANDO
Conheça os objetivos de um código de conduta ao fazer a leitura do artigo indica-
do no link a seguir: https://blog.bgcbrasil.com.br/codigo-de-etica-empresarial
EU INDICO
Controles internos
Após avaliar a probabilidade/frequência de ocorrência versus o impacto/gravida-
de do risco e conforme os objetivos e especificidades da organização, é necessário 
identificar e implantar medidas de Controles Internos para o tratamento dos 
riscos, para trabalhar com a antecipação frente a eles, com adoção de medidas 
preventivas, detectivas e reativas.
Gestão de riscos nada mais é do que balancear riscos com controles. A qualida-
de da gestão de riscos está intimamente ligada à capacidade de definir controles 
adequados para os riscos críticos existentes de forma proporcional.
APROFUNDANDO
UNIASSELVI
1
1
1
https://blog.bgcbrasil.com.br/codigo-de-etica-empresarial
TEMA DE APRENDIZAGEM 5É fundamental ter a percepção e constatação de que cada organização é um 
organismo em constante mutação, com alterações ocorrendo no seu dia a dia, 
por mais que aparente ser uma organização ‘estática’, que ‘nunca muda’. Dessa 
forma, é importante que a instância responsável pelo Compliance e pelos con-
troles internos acompanhe essas alterações e mantenha-se sempre atualizada 
frente aos riscos existentes na organização, com periódica revisão, também, 
dos controles estabelecidos.
Segundo Carvalho et al. (2021), alguns pontos precisam ser observados antes 
da implantação dos controles:
TAMANHO DO CONTROLE
Quanto maior o controle, menor será a performance esperada. Dessa forma, o gestor 
deve fazer uma avaliação criteriosa antes de implantar os controles.
CUSTOS
Os recursos disponíveis para qualquer gestor sempre serão finitos. Assim, o gestor 
deve considerar no orçamento os custos de se desenharem, implementarem e man-
terem controles.
TIPO DE RISCO
Dependendo a que risco o controle está ligado, o gestor pode decidir por torná-lo mais 
robusto para fazer face a um risco de maior severidade.
Feitos o mapeamento e avaliação dos riscos é importante ser conhecido o apetite 
de risco da organização, que pode ser entendido como o nível e tipo de risco 
que a organização está disposta a assumir, sempre tendo por norte seus valores 
e objetivos a serem alcançados. Funciona como uma espécie de ferramenta para 
gerenciamento proativo do risco, estabelecendo-se o nível de risco que uma em-
presa ou qualquer outra organização está disposta a assumir e tolerar enquanto 
visa atingir seus objetivos.
Dentre as hipóteses para tratamento dos riscos, podemos citar:
1
1
4
ACEITAÇÃO DO RISCO
A organização pode aceitar ou decidir não agir frente ao risco mapeado, seja porque 
avaliou que investir recursos para estabelecer controles internos é mais custoso do que 
eventuais consequências pela ocorrência do risco, seja porque pode ser mais vantajoso 
aceitar o risco, dentre outras hipóteses do dia a dia da organização.
EVITAR O RISCO
A organização decide deixar de executar determinada ação que possa levar à ocorrên-
cia do risco mapeado.
REDUÇÃO DO RISCO
A organização implanta ferramentas de controle para fins de reduzir a ocorrência e/ou 
impacto do risco mapeado.
TRANSFERÊNCIA DO RISCO A TERCEIRO
A organização decide, por exemplo, pela contratação de um seguro frente a um risco 
mapeado.
Cumpridas as etapas da identificação de riscos, definição dos responsáveis 
pela área de Compliance e implantação de código de conduta e demais políti-
cas, é necessário que sejam dados ciência e treinamentos adequados às partes 
envolvidas, a fim de que conheçam e compreendam as políticas implantadas 
e/ou em aperfeiçoamento.
Treinamento e comunicação
Não basta ter um código de conduta e demais políticas extremamente bem 
elaboradas se a comunicação e o treinamento não forem viabilizados, adequa-
damente a cada público envolvido e que garantam que as partes aprendam e 
entendam o conteúdo ali existente.
UNIASSELVI
1
1
5
TEMA DE APRENDIZAGEM 5
De acordo com a ABNT NBR ISO 37.301, a organização deve prover para o 
pessoal pertinente treinamento em bases regulares, desde o início da contratação 
e a intervalos planejados determinados pela organização.
Segundo a ABNT (2021), o treinamento deve ser:
a) apropriado aos papéis do pessoal e aos riscos de compliance aos quais as 
pessoas estão expostas;
b) avaliado quanto à sua eficácia;
c) analisado criticamente regularmente.
Considerando os riscos de compliance identificados, a organização deve assegu-
rar que procedimentos estejam implementados para contemplar a conscientiza-
ção e o treinamento para terceiras partes que atuam em seu nome e que possam 
causar um risco de compliance para a organização. Os registros de treinamento 
devem ser retidos como informação documentada (ABNT, 2021). É muito im-
portante que ocorra o registro documentado dos treinamentos e comunicações, 
até para eventual certificação ou auditoria futura.
A comunicação empresarial, também chamada de comunicação corporativa ou 
integrada, pode ser definida como todo e qualquer processo de comunicação 
que ocorre entre a empresa e seu público, seja ele externo (clientes, por exemplo) 
ou interno (seus colaboradores). Para saber mais, acesse: https://keeps.com.br/
comunicacao-empresarial-o-que-e-tipos-e-qual-sua-importancia/#Tipos_de_
Comunicacao_Empresarial 
EU INDICO
O estabelecimento e aprimoramento de 
uma cultura positiva de Compliance pas-
sam necessariamente pela comunicação 
clara e eficaz sobre a área na organização, 
bem como pelo treinamento assertivo e 
periódico das partes interessadas, especial-
mente os colaboradores.
1
1
1
https://keeps.com.br/comunicacao-empresarial-o-que-e-tipos-e-qual-sua-importancia/#Tipos_de_Comunicacao_Empresarial 
https://keeps.com.br/comunicacao-empresarial-o-que-e-tipos-e-qual-sua-importancia/#Tipos_de_Comunicacao_Empresarial 
https://keeps.com.br/comunicacao-empresarial-o-que-e-tipos-e-qual-sua-importancia/#Tipos_de_Comunicacao_Empresarial 
Dar ciência, treinar e comunicar eficientemente garantem parte da robustez de um 
programa de integridade e lhe dão credibilidade, gerando consciência nas pessoas 
sobre o respeito ao sistema de Compliance implantado ou em implantação.
Todos na organização devem passar por treinamentos, dos mais altos níveis 
até os colaboradores de menor nível hierárquico, sempre adequando-se os treina-
mentos conforme o público envolvido, de maneira que o método, linguagem e os 
demais aspectos envolvidos sejam adequados às especificidades de cada público 
a ser atingido, sob pena de se detectar um treinamento unicamente pró-forma, 
dando- se um ‘check’ na obrigação sem o necessário alcance de seu objetivo maior.
Gomes (2022 apud Soares, 2022) dispõe que os programas de integridade e 
sistemas de compliance passaram a ter um papel fundamental para as empresas 
que desejam a sustentabilidade e perenidade no mercado. As organizações, ao op-
tarem por seguir o caminho da integridade, se engajam com os seus funcionários 
e a sociedade, não apenas a fazer negócios limpos, mas passam adicionalmente 
a avaliar riscos de geração de passivos intangíveis, dando mais segurança aos 
investidores e transparência aos clientes, fornecedores, colaboradores e demais 
partes interessadas. Empresas éticas geram valor aos investidores, à sociedade e 
em última instância constroem um país melhor.
Um programa de Compliance bem-sucedido tem suporte na existência de uma 
cultura de Compliance na organização baseada no agir consciente e respeitador 
dos stakeholders, que compreenderam completamente o significado de integrida-
de e gestão de riscos, e aplicam tais valores em suas atividades.
APROFUNDANDO
UNIASSELVI
1
1
1
TEMA DE APRENDIZAGEM 5
NOVOS DESAFIOS
Estudante, como vimos, não há limite para a quantidade de itens de um programa 
de integridade ou de um Sistema de Gestão de Compliance. Contudo, atualmen-
te, e considerando o histórico da área, já há elementos e parâmetros suficientes 
para que todo negócio, toda empresa, toda organização possam construir polí-
ticas de conformidade para observância e desenvolvimento de seus objetivos.
Nesse sentido, é importante que você tenha compreendido que o estabeleci-
mento de regras internas é vantajoso para todas as organizações e partes envolvi-
das, desde que feito de acordo com as especificidades da organização; que o esta-
belecimento prévio de formas de controle visa evitar males futuros, em especial, 
danos à organização; e que para o desenvolvimento de uma cultura positiva de 
Compliance o tema treinamento e comunicação é peça-chave e imprescindível 
para a eficácia do programa.
Guia prático de Compliance . 
Com uma visão bastante prática e completa, essa obra repre-
senta um manual para o profissional ou o estudante, compar-
tilhando a vivência de renomados autores que apresentam 
subsídios teóricos para a aplicação dos princípios, processos 
e ferramentas de complianceno dia a dia das organizações. 
Buscando tratar de assuntos relevantes, como investigações 
internas, comunicação e treinamentos, canais de denúncia, 
comprometimento da alta administração, uso de tecnologia, 
gestão de riscos, dentre outros.
INDICAÇÃO DE LIVRO
Acesse seu ambiente virtual de aprendizagem e confira a aula referente a este 
tema. Recursos de mídia disponíveis no conteúdo digital do ambiente virtual de 
aprendizagem.
EM FOCO
1
1
8
Importante também perceber a importância de que as práticas de integri-
dade caminhem para além da mera existência de registros formais, pois isso 
não necessariamente assegura que sejam refletidas as reais situações financeira 
e operacional do negócio.
Primordial que você entenda a necessidade de existência de controles in-
ternos estabelecidos de acordo com as normas vigentes e conforme as especifi-
cidades da organização e seus objetivos, para possibilitar que sejam antevistas 
eventuais não conformidades da área contábil e financeira e o descompasso entre 
o que está registrado e a realidade.
UNIASSELVI
1
1
9
1. Há diversas outras políticas que compõem um programa de compliance e a adoção de cada 
uma delas depende da realidade de cada empresa, como o ramo de atuação, tamanho, 
estrutura societária, processos de tomada de decisão, processos operacionais, usos de 
terceiros, grau de envolvimento e negociação com órgãos públicos, grau de regulamen-
tação e de dependência de licenças e permissões etc., bem como dos riscos identificados 
(Serpa, 2016).
Com base no exposto, assinale a alternativa correta:
a) A Lei Federal n° 12.846, de 1º de agosto de 2013 (conhecida como Lei Empresa Limpa 
ou Lei Anticorrupção) estabelece exaustivamente quais são as políticas específicas a 
serem implementadas nas empresas, a fim de evitar a ocorrência de atos de corrupção.
b) O Decreto Federal n° 11.129, de 11 de julho de 2022 (que regulamenta a chamada Lei 
Empresa Limpa ou Lei Anticorrupção) estabelece como parâmetros, dentre outros, para 
fins de avaliação da robustez de um programa de integridade, a existência de padrões 
de conduta, código de ética e políticas de integridade aplicáveis a todos os empregados 
e administradores, bem como a terceiros, quando necessário.
c) Decreto Federal n° 11.129, de 11 de julho de 2022 (que regulamenta a chamada Lei Em-
presa Limpa ou Lei Anticorrupção) estabelece que toda empresa, independentemente 
da participação em licitações, deve ter uma política de brindes e hospitalidades, assim 
como anticorrupção e antissuborno.
d) O Decreto Federal n° 11.129, de 11 de julho de 2022 (que regulamenta a chamada Lei 
Empresa Limpa ou Lei Anticorrupção) estabelece como parâmetros, dentre outros, para 
fins de avaliação da robustez de um programa de integridade, a existência de registros 
contábeis que reflitam de forma completa e precisa as transações da pessoa jurídica e 
das pessoas naturais que integram o quadro societário, assim como dos cônjuges dessas 
pessoas naturais.
e) Os treinamentos de Compliance a serem realizados em cada organização devem ocorrer, 
no mínimo, a cada dois anos, conforme prevê a Lei Anticorrupção.
2. A atividade educacional, assim como diversas atividades institucionais ou empresariais, 
contém o risco natural do empreendimento, como não obter autorização para ministrar um 
curso, vagas ociosas, alunos inadimplentes, entre outros. Esse fato, no entanto, não impede 
que as instituições educacionais privadas desenvolvam seu negócio, utilizando para isso a 
gestão de risco (Covac; Silva, 2019).
AUTOATIVIDADE
1
1
1
Com base no exposto, assinale a alternativa correta:
a) Todo e qualquer risco mapeado em uma organização deve ser tratado e eliminado, para 
evitar qualquer dano.
b) Independentemente do ramo de atuação da empresa, os controles internos são prees-
tabelecidos de maneira uniforme para todas as empresas.
c) Estabelecido o apetite de risco da organização, é possível tratar um risco estabelecen-
do-se um controle sobre este, a fim de evitar sua ocorrência e danos daí decorrentes.
d) O Decreto Federal n° 11.129, de 11 de julho de 2022 (que regulamenta a chamada Lei 
Empresa Limpa ou Lei Anticorrupção) estabelece taxativamente os controles internos a 
serem estabelecidos em cada organização.
e) Não é permitido, legalmente, que uma empresa, após mapeado um risco de não con-
formidade relacionado à corrupção, mantenha-o internamente ao invés de eliminá-lo.
3. Na área de Compliance é altamente recomendável o conhecimento da norma ABNT NBR 
ISO 37.301, norma certificadora internacional, publicada no Brasil em 3 de junho de 2021 
que trata dos requisitos de um Sistema de Gestão de Compliance; assim como estabelece 
ações que convêm e podem ser praticadas pela organização (ABNT, 2021). 
Com base nas informações apresentadas, avalie as asserções a seguir e a relação proposta 
entre elas:
I - O treinamento em Compliance deve ser apropriado aos papéis do pessoal e aos riscos 
de Compliance aos quais as pessoas estão expostas.
PORQUE
II - Políticas de Compliance são as leis federais vigentes no Brasil que tratam dos sistemas 
de gestão de Compliance.
A respeito dessas asserções, assinale a alternativa correta:
a) As asserções I e II são verdadeiras, e a II é uma justificativa correta da I.
b) As asserções I e II são verdadeiras, mas a II não é uma justificativa correta da I.
c) A asserção I é uma proposição verdadeira e a II é uma proposição falsa.
d) A asserção I é uma proposição falsa e a II é uma proposição verdadeira.
e) As asserções I e II são falsas.
AUTOATIVIDADE
1
1
1
REFERÊNCIAS
ABNT. NBR ISO 37301: sistemas de gestão de compliance: requisitos com orientações para uso. 
Rio de Janeiro: ABNT, 2021.
BRASIL. Decreto Federal n° 11 .129, de 11 de julho de 2022. Regulamenta a Lei nº 12.846, de 1º 
de agosto de 2013, que dispõe sobre a responsabilização administrativa e civil de pessoas jurí-
dicas pela prática de atos contra a administração pública, nacional ou estrangeira. Brasília, DF: 
Casa Civil, 2022. Disponível em: http://www.planalto.gov.br/CCIVIL_03/_Ato2019-2022/2022/ 
Decreto/D11129.htm. Acesso em: 13 set. 2022.
CARVALHO, A. C. et al. Manual de Compliance. Rio de Janeiro: Forense, 2021.
COVAC, J. R.; SILVA, D. C. Programa de integridade no setor educacional: manual de Complian-
ce. São Paulo: Cultura, 2019. p. 65.
FRANCO, I. (org.). Guia prático de compliance. Rio de Janeiro: Forense, 2020.
NALINI, J. Ética geral e profissional. São Paulo: Editora Revista dos Tribunais. 2020. Disponível 
em: https://www.jusbrasil.com.br/doutrina/secao/1-conceito-de-etica-etica-geral-e-profissio-
nal/1197015327?utm_source=bing&utm_medium=cpc&utm_campaign=doutrina_dsa&utm_ter-
m=jusbrasil.com.br%2Fdoutrina%2Fsecao%2F&utm_content=capitulos&campaign=true&msclki-
d=8414b2f200e3186c0cafd5cd35843d21#ftn.DTR.2019.42610-n39. Acesso em: 21 nov. 2024.
SERPA, A. C. Compliance descomplicado: um guia simples e direto sobre Programas de Com-
pliance. Carolina do Sul: Createspace Independent Publishing Platform, 2016.
SOARES, F. L. (org.). GRC Governança, risco e compliance. Temas contemporâneos: aspectos 
teóricos e práticos. Rio de Janeiro: Lumen Juris, 2022.
1
1
1
http://www.planalto.gov.br/CCIVIL_03/_Ato2019-2022/2022/
https://www.jusbrasil.com.br/doutrina/secao/1-conceito-de-etica-etica-geral-e-profissional/1197015327?utm_source=bing&utm_medium=cpc&utm_campaign=doutrina_dsa&utm_term=jusbrasil.com.br%2Fdoutrina%2Fsecao%2F&utm_content=capitulos&campaign=true&msclkid=8414b2f200e3186c0cafd5cd35843d21#ftn.DTR.2019.42610-n39
https://www.jusbrasil.com.br/doutrina/secao/1-conceito-de-etica-etica-geral-e-profissional/1197015327?utm_source=bing&utm_medium=cpc&utm_campaign=doutrina_dsa&utm_term=jusbrasil.com.br%2Fdoutrina%2Fsecao%2F&utm_content=capitulos&campaign=true&msclkid=8414b2f200e3186c0cafd5cd35843d21#ftn.DTR.2019.42610-n39
https://www.jusbrasil.com.br/doutrina/secao/1-conceito-de-etica-etica-geral-e-profissional/1197015327?utm_source=bing&utm_medium=cpc&utm_campaign=doutrina_dsa&utm_term=jusbrasil.com.br%2Fdoutrina%2Fsecao%2F&utm_content=capitulos&campaign=true&msclkid=8414b2f200e3186c0cafd5cd35843d21#ftn.DTR.2019.42610-n39https://www.jusbrasil.com.br/doutrina/secao/1-conceito-de-etica-etica-geral-e-profissional/1197015327?utm_source=bing&utm_medium=cpc&utm_campaign=doutrina_dsa&utm_term=jusbrasil.com.br%2Fdoutrina%2Fsecao%2F&utm_content=capitulos&campaign=true&msclkid=8414b2f200e3186c0cafd5cd35843d21#ftn.DTR.2019.42610-n39
1. Alternativa B. A alternativa a) está incorreta porque a Lei 12.846, de 1° de agosto de 2013 não 
faz previsão de políticas a serem implementadas nas empresas para fins de evitar atos de 
corrupção.
A alternativa b) está correta, pois de fato, é o que prevê o Artigo 57, II e III, do Decreto Fede-
ral n° 11.129, de 11 de julho de 2022, como consta, inclusive, transcrito no texto da unidade.
A alternativa c) está incorreta porque o Decreto Federal n° 11.129, de 11 de julho de 2022 não 
faz tal previsão.
A alternativa d) está incorreta porque o Decreto Federal n° 11.129, de 11 de julho de 2022 não 
faz previsão de existência de registros contábeis sobre transações de pessoas naturais e de 
seus cônjuges para fins de avaliação de um programa de integridade.
A alternativa e) está incorreta porque a Lei Anticorrupção não faz previsão de periodicidade 
para os treinamentos anticorrupção, sendo matéria tratada no Decreto Federal n° 11.129, de 
11 de julho de 2022, devendo ser ‘periódicos’, sem especificar prazos.
2. Alternativa C. A alternativa a) está incorreta porque não é todo e qualquer risco que deve 
ser eliminado, visto que há possibilidade de tratá-lo de outra forma (ex.: aceitando-o e con-
trolando-o).
A alternativa b) está incorreta porque os controles internos devem ser estabelecidos de acordo 
com as especificidades de cada organização, tais como: ramo de atuação, porte, objetivos.
A alternativa c) está correta, pois após estabelecido o apetite de risco da empresa ou qualquer 
outra organização (ou seja, até que ponto a organização está disposta a correr determinado 
risco), é possível estabelecer determinado controle sobre tal risco a fim de mitigá-lo.
A alternativa d) está incorreta porque o Decreto Federal n° 11.129/2022 não estabelece, por 
qualquer forma, quais são os controles internos a serem estabelecidos em cada organização.
A alternativa e) está incorreta porque não há previsão legal a respeito.
3. Alternativa C. A Asserção I é verdadeira, pois, de fato, o treinamento em Compliance deve ser 
apropriado aos papéis do pessoal e aos riscos de Compliance aos quais as pessoas estão 
expostas, devendo ser analisado criticamente regularmente, tendo por parâmetro a Norma 
ABNT NBR ISO 37.301, citada no texto introdutório da questão. A assertiva II é falsa porque 
políticas de Compliance não são leis federais vigentes no Brasil, mas, simplesmente, políticas 
internas de uma organização.
GABARITO
1
1
1
MINHAS ANOTAÇÕES
1
1
4
MINHAS ANOTAÇÕES
1
1
5
MINHAS METAS
LEGISLAÇÃO E REGULAÇÃO
Estudar as principais leis e regulamentações relacionadas à gestão de risco e compliance. 
Explicar a diferença entre Compliance regulatório e normativo. 
Demonstrar a importância e as áreas do compliance regulatório e normativo. 
Identificar os desafios e melhores práticas do compliance regulatório e normativo. 
Explorar a atuação de órgãos reguladores e fiscalizadores em compliance.
Averiguar os principais órgãos reguladores e fiscalizadores em compliance.
Conhecer os desafios da fiscalização de compliance.
T E M A D E A P R E N D I Z A G E M 6
1
1
1
INICIE SUA JORNADA
Estudante, a gestão de risco e o compliance são temas centrais para o funciona-
mento saudável das organizações, especialmente em um ambiente empresarial cada 
vez mais regulamentado e competitivo. As principais leis e regulamentações rela-
cionadas a esses campos têm o objetivo de garantir que as empresas identifiquem, 
avaliem e mitiguem riscos operacionais, financeiros e reputacionais, além de asse-
gurar que suas operações estejam em conformidade com padrões éticos e legais. 
No Brasil e no mundo, diversas normas surgiram como resposta a escândalos 
financeiros e práticas corporativas inadequadas, estabelecendo diretrizes rigoro-
sas para evitar fraudes, lavagem de dinheiro, corrupção e outros riscos que podem 
comprometer a integridade e a sustentabilidade dos negócios. Dentre as principais 
legislações estão a Lei Sarbanes-Oxley (SOX), que foi uma resposta aos escândalos 
de empresas como Enron nos Estados Unidos; e a Lei Anticorrupção brasileira, que 
visa combater práticas corruptas nos setores público e privado. A compreensão dessas 
normas é essencial para que as empresas se mantenham competitivas e protegidas em 
um cenário global que valoriza cada vez mais a transparência e a ética corporativa.
O compliance regulatório e normativo é um dos pilares fundamentais para 
o funcionamento ético e eficiente das organizações, garantindo que elas operem 
em conformidade com as leis, regulamentos e normas aplicáveis ao seu setor 
de atuação. Em um cenário global marcado por uma crescente complexidade 
regulatória, o compliance é essencial para mitigar riscos legais e reputacionais, 
proteger a empresa de penalidades e fortalecer sua credibilidade no mercado. 
Imagine você, como as empresas podem assegurar que seus colaboradores este-
jam realizando procedimentos éticos no trato com os principais stakeholders? 
Como evitar fraudes, ou desvio de mercadorias, ou dinheiro da empresa? Como 
evitar práticas que podem manchar a imagem da empresa perante o mercado? 
A adoção de um programa de compliance robusto não apenas previne ris-
cos, mas também agrega valor à organização, fortalecendo suas relações com 
stakeholders e promovendo práticas de governança eficazes.
A precaução contra práticas não éticas na gestão corporativa não cabe apenas 
às empresas. Também é de interesse do Governo evitar que tais práticas ocorram. 
Imagine um investidor estrangeiro diante de diversas notícias de fraudes contá-
beis em empresas brasileiras? Será que esse investidor aplicaria os seus recursos 
em empresas brasileiras nesse tipo de cenário?
UNIASSELVI
1
1
1
TEMA DE APRENDIZAGEM 6
A atuação de órgãos reguladores e fiscalizadores de compliance é fundamen-
tal para assegurar que empresas e instituições operem de forma ética e dentro 
dos padrões legais exigidos. 
Esses órgãos têm a responsabilidade de monitorar e verificar se as organi-
zações cumprem as normas e regulamentos aplicáveis, garantindo que práticas 
irregulares, como fraudes, corrupção e lavagem de dinheiro, sejam prevenidas 
e combatidas. Assim, a atuação eficaz dos órgãos reguladores é essencial para 
construir um ambiente de negócios seguro, transparente e confiável, além de 
assegurar a responsabilização de empresas e indivíduos em caso de descum-
primento das normas.
Você sabe para que servem as Auditorias Independentes? E por que as demons-
trações Financeiras das empresas precisam ser auditadas? Escute o podcast a 
seguir e aprenda um pouco mais sobre a importância das auditorias indepen-
dentes. Recursos de mídia disponíveis no conteúdo digital do ambiente virtual 
de aprendizagem.
PLAY NO CONHECIMENTO
VAMOS RECORDAR?
Você se lembra dos tipos de Riscos? E sabe a importância de identificá-los? Assista 
ao vídeo a seguir e aprenda um pouco mais sobre os tipos de riscos e como 
identificá-los: https://www.youtube.com/watch?v=j9BSTn6gbcY&t=121s 
DESENVOLVA SEU POTENCIAL
PRINCIPAIS LEIS E REGULAMENTAÇÕES RELACIONADAS À 
GESTÃO DE RISCO E COMPLIANCE 
Nos últimos anos, a gestão de risco e compliance tem se tornado uma área 
essencial para empresas e organizações que buscam garantir sua conformida-
1
1
8
https://www.youtube.com/watch?v=j9BSTn6gbcY&t=121s 
de com as legislações vigentes e mitigar riscos associados à sua operação. O 
cenário regulatório, em constante evolução, impõe normas que visam proteger 
o mercado, os consumidores e o próprio ambiente corporativo, estimulando 
práticas éticas e transparentes. Vejamos as principais leis e regulamentações 
relacionadas à gestão de risco e compliance, essenciais para as organizações 
que desejamoperar de forma legal e sustentável.
Lei Sarbanes-Oxley (SOX) – Estados Unidos
A Lei Sarbanes-Oxley, também conhecida como SOX, foi promulgada em 2002 
nos Estados Unidos em resposta a uma série de escândalos financeiros corpo-
rativos, como os casos da Enron e da WorldCom. Segundo Borgerth (2007), 
a SOX tem como principal objetivo garantir a precisão e a confiabilidade das 
demonstrações financeiras, fortalecendo a governança corporativa. 
As principais exigências da SOX, de acordo com Borgerth (2007), são:
AUDITORIA
Empresas devem ser submetidas a auditorias independentes, e seus gestores são pes-
soalmente responsáveis pela exatidão das informações financeiras.
CONTROLES INTERNOS
É obrigatória a implementação de controles internos rigorosos para evitar fraudes e 
garantir a conformidade contábil.
DIVULGAÇÃO DE RISCOS
As empresas devem ser transparentes quanto aos riscos financeiros e operacionais que 
possam impactar seus resultados.
A seção 404 da Lei Sarbanes-Oxley (SOX) exige que as empresas avaliem anual-
mente os procedimentos e controles internos para a emissão de relatórios finan-
ceiros, estabelecendo as seguintes diretrizes:
UNIASSELVI
1
1
9
TEMA DE APRENDIZAGEM 6
 ■ A diretoria é responsável por estabelecer e manter os controles e proce-
dimentos internos.
 ■ A diretoria deve avaliar a eficácia dos controles e procedimentos internos 
em um relatório de controle interno.
 ■ As empresas de contabilidade pública devem atestar e relatar a avaliação 
anual da diretoria.
 ■ As empresas devem publicar informações sobre a estrutura de controle 
interno e o escopo dos relatórios financeiros.
 ■ O auditor externo deve dar a sua opinião sobre as demonstrações finan-
ceiras e a eficácia dos controles.
Embora seja uma lei americana, a SOX afeta empresas de outros países que pos-
suem ações listadas nas bolsas de valores dos Estados Unidos, tornando-a uma 
referência mundial em governança e gestão de riscos financeiros.
Lei anticorrupção (Lei 11.841/1111) – Brasil
A Lei Anticorrupção, sancionada no Brasil em 2013, é um marco no combate à 
corrupção no país, estabelecendo a responsabilidade objetiva de empresas por 
atos de corrupção praticados por seus colaboradores, independentemente de 
comprovação de dolo ou culpa dos gestores. 
1
4
1
A Lei Anticorrupção também foi inspirada em normas internacionais, como o 
Foreign Corrupt Practices Act (FCPA), dos EUA, sendo crucial para reforçar a 
cultura de integridade e mitigação de riscos legais nas empresas brasileiras.
Regulamento geral de proteção de dados (GDPR) – União 
Europeia
De acordo com a Jusbrasil (2019), o Regulamento Geral de Proteção de Dados 
(GDPR), em vigor desde 2018, transformou a forma como as empresas ao redor 
do mundo lidam com dados pessoais. Criado pela União Europeia, o GDPR 
estabelece diretrizes rigorosas sobre a coleta, armazenamento, processamento e 
compartilhamento de dados pessoais. 
Vejamos os principais requisitos da GDPR (Jusbrasil, 2019):
RESPONSABILIZAÇÕES CIVIL E ADMINISTRATIVA
A empresa pode ser responsabilizada por atos de corrupção cometidos por funcioná-
rios ou terceiros que ajam em seu nome, mesmo que os gestores não tenham conhe-
cimento das práticas ilícitas.
MULTAS
As penalidades podem incluir multas pesadas, de até 20% do faturamento bruto da 
empresa, além de reparação de danos causados ao erário.
PROGRAMAS DE COMPLIANCE
A lei incentiva a adoção de programas de integridade e compliance, oferecendo redu-
ções de penalidades para empresas que comprovem a existência e a eficácia dessas 
medidas preventivas.
Vejamos as principais disposições da referida lei (Brasil, 2022):
UNIASSELVI
1
4
1
TEMA DE APRENDIZAGEM 6
Embora seja uma regulamentação europeia, o GDPR afeta empresas globais que 
tratam dados de cidadãos da União Europeia, tornando-se um exemplo para a 
criação de outras legislações de proteção de dados em todo o mundo.
Lei Geral de Proteção de Dados (LGPD) – Brasil
Inspirada no GDPR, a Lei Geral de Proteção de Dados 
(LGPD), promulgada em 2018, é a principal regulamentação 
brasileira sobre proteção de dados pessoais. A LGPD tem 
o objetivo de garantir a privacidade e a segurança 
dos dados dos cidadãos, estabelecendo regras 
claras para o tratamento de informações pessoais 
nos ambientes digital e físico (Brasil, 2018).
Vejamos os principais destaques da LGPD, de 
acordo com a Lei 13.709/2018:
CONSENTIMENTO
Empresas devem obter consentimento explícito dos titulares de dados para coletar e 
processar suas informações.
DIREITOS DOS TITULARES
Os indivíduos têm o direito de acessar, corrigir, transferir ou solicitar a exclusão de seus 
dados pessoais.
NOTIFICAÇÃO DE VIOLAÇÃO
As empresas são obrigadas a notificar autoridades competentes e os titulares em caso 
de vazamento ou violação de dados.
PROTEÇÃO POR DESIGN
As organizações devem incorporar práticas de segurança desde a concepção de novos 
sistemas e processos que envolvam o tratamento de dados pessoais.
1
4
1
A LGPD trouxe mais segurança jurídica para o tratamento de dados no Brasil 
e impôs às empresas a necessidade de estru-
turarem suas políticas de compliance 
digital e proteção de informações.
Normas ISO – Gestão de 
riscos e compliance
A International Organization 
for Standardization (ISO) de-
senvolveu uma série de nor-
mas que são referência mundial 
na gestão de riscos e compliance. 
A QMS (2023) destaca as Normas 
ISO mais importantes.
FINALIDADE E TRANSPARÊNCIA
As empresas devem informar de maneira clara a finalidade para a qual os dados estão 
sendo coletados.
DIREITOS DOS TITULARES
Assim como no GDPR, os titulares têm o direito de solicitar o acesso, correção, portabi-
lidade e exclusão de seus dados pessoais.
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD)
A LGPD criou a ANPD, responsável por fiscalizar o cumprimento da lei e aplicar sanções 
administrativas.
SANÇÕES
A LGPD prevê sanções administrativas que incluem advertências, multas de até 2% do 
faturamento anual da empresa e bloqueio de dados pessoais até a regularização.
UNIASSELVI
1
4
1
TEMA DE APRENDIZAGEM 6
Essas normas são amplamente adotadas por empresas que buscam padronizar 
suas práticas de compliance e gestão de risco, além de obter certificações reco-
nhecidas internacionalmente.
ISO 31000
Trata especificamente da gestão de riscos, oferecendo diretrizes para identificar, avaliar 
e mitigar riscos nas organizações, para garantir a sustentabilidade e o sucesso empre-
sarial. A ISO 31000 recomenda que o Processo de Gestão de Riscos (PGR) seja integrado 
na estrutura, operações e processos da organização.
ISO 37001
É a norma voltada para o combate à corrupção. Ela fornece requisitos e orientações 
para a implementação de um sistema de gestão antissuborno, sendo amplamente ado-
tada por empresas globais.
ISO 37701
Relacionada à gestão de compliance, essa norma oferece orientações sobre como criar, 
desenvolver, implementar, avaliar, manter e melhorar um sistema eficaz de gestão de 
compliance.
COMPLIANCE REGULATÓRIO E NORMATIVO
Em um ambiente corporativo cada vez mais complexo e regulado, Compliance 
Regulatório e Normativo surge como um pilar essencial para garantir que em-
presas e organizações atuem de forma ética e legal. 
O Compliance regulatório, também chamado de externo, foca no cumpri-
mento de leis e regulamentações impostas por governos e órgãos reguladores, 
ou seja, são diretrizes que as empresas devem seguir obrigatoriamente para 
permanecer operando. Podemos citar, como exemplo, a obrigatoriedade de se 
obter alvará de licença de funcionamento.
O compliance normativo, também chamado de interno, abrange a con-
formidade com normas e padrões internos ou de setores específicos. Dessa 
1
4
4
forma, objetiva auxiliar as empresas a evitarem conflitos internos e manterem 
processos operacionais eficazes. Podemos citar, como exemplo, a adoção de 
políticas de como os colaboradores devem utilizar as mídias sociais.
Juntos, esses dois aspectos de compliance têm os objetivos deprevenir riscos 
legais e reputacionais, proteger a integridade da empresa e garantir as operações 
ética e sustentável do negócio.
O termo compliance vem do verbo inglês to comply, que significa ‘cumprir’ ou ‘es-
tar em conformidade’. No contexto corporativo, compliance refere-se ao conjunto 
de políticas, procedimentos e controles que uma organização adota para garantir 
que suas operações estejam em conformidade com as leis, regulamentos e nor-
mas aplicáveis (Carvalho et al., 2023).
APROFUNDANDO
O cenário de negócios atual é moldado por um conjunto vasto e crescente de 
regulamentações e normas que visam proteger consumidores, investidores e a 
sociedade em geral. 
Segundo Carvalho et al. (2023), a não conformidade com as regras pode acarretar 
consequências graves para uma organização, como:
• multas e penalidades financeiras;
• processos judiciais e sanções administrativas;
• perda de reputação e confiança dos consumidores e investidores;
• suspensão de operações ou licenças.
O não cumprimento das regras de compliance gera uma consequência imediata que 
é a aplicação de sanções legais (multas) e administrativas. A reputação e imagem da 
empresa devem ser vistas como um dos ativos mais valiosos. Dessa forma, a empresa 
deve evitar o envolvimento em escândalos que podem causar prejuízos irreparáveis 
à imagem da empresa. Além disso, pode resultar na 
perda de confiança dos principais stakeholders. 
O compliance eficaz vai além de apenas evitar mul-
tas. Ele também cria uma cultura organizacional baseada 
O compliance eficaz 
vai além de apenas 
evitar multas
UNIASSELVI
1
4
5
TEMA DE APRENDIZAGEM 6
na ética, transparência e responsabi-
lidade. Empresas que implementam 
um robusto programa de complian-
ce tendem a ser mais resilientes, a 
atrair talentos e a criar confiança em 
suas relações com o mercado.
De acordo com Carvalho et al. 
(2023), o compliance regulatório e 
normativo varia de acordo com o 
setor de atuação da empresa e as 
jurisdições em que ela opera. No 
PROTEÇÃO DE DADOS
Com a crescente digitalização e o uso massivo de informações pessoais, regulamentos 
como o Regulamento Geral de Proteção de Dados (GDPR), da União Europeia; e a Lei 
Geral de Proteção de Dados (LGPD), no Brasil, tornam-se essenciais para a conformi-
dade empresarial. Essas leis exigem que as empresas adotem medidas para garantir 
a privacidade e a segurança dos dados pessoais que coletam e processam, além de 
preverem penalidades severas em caso de violação.
LEGISLAÇÃO ANTICORRUPÇÃO
No âmbito global, leis anticorrupção, como o Foreign Corrupt Practices Act (FCPA), dos 
EUA; e a Lei Anticorrupção no Brasil (Lei 12.846/2013), visam combater práticas ilícitas 
como o suborno e a corrupção. Essas leis exigem que as empresas implementem polí-
ticas de compliance robustas, com sistemas de controle internos que garantam a pre-
venção e o combate a atos de corrupção, tanto no âmbito nacional quanto internacional.
MEIO AMBIENTE
Leis ambientais e normas regulatórias como a ISO 14001 são fundamentais para empre-
sas de setores que impactam diretamente o meio ambiente, como indústria, mineração e 
energia. A conformidade regulatória nessa área envolve o cumprimento de regras sobre 
licenciamento ambiental, descarte de resíduos, emissão de poluentes, dentre outras.
entanto, existem áreas comuns que costumam exigir atenção especial:
1
4
1
Carvalho et al. (2023) dispõem que, 
apesar de sua importância, a imple-
mentação eficaz de um programa de 
compliance regulatório e normativo 
apresenta desafios, como:
COMPLEXIDADE REGULATÓRIA
A multiplicidade de leis e regulamentos, muitas vezes sobrepostos e divergentes entre 
diferentes jurisdições, torna o monitoramento e a aplicação do compliance processos 
complexos. Empresas que operam em várias regiões ou países precisam lidar com mar-
cos regulatórios distintos, aumentando a dificuldade de manter conformidade global.
CUSTO DE IMPLEMENTAÇÃO
Estabelecer um programa de compliance robusto pode ser financeiramente oneroso, 
especialmente para pequenas e médias empresas. Isso inclui investimentos em tecno-
logia para monitorar o cumprimento das normas, contratação de profissionais especia-
lizados e custos relacionados a auditorias e treinamentos.
MERCADO FINANCEIRO 
O setor financeiro está entre os mais regulados, devido à sua importância sistêmica 
para a economia. Regulamentações como as impostas pela Securities and Exchange 
Commission (SEC) nos EUA, pela Comissão de Valores Mobiliários (CVM) no Brasil, ou 
pelo Banco Central, garantem a integridade do mercado financeiro. Leis como a Lei 
Sarbanes-Oxley (SOX) também são fundamentais, exigindo controles internos rígidos e 
auditorias para assegurar a confiabilidade das demonstrações financeiras.
SAÚDE E SEGURANÇA NO TRABALHO
Regulamentos relacionados à saúde e segurança ocupacional, como as Normas Regu-
lamentadoras (NRs) do Ministério do Trabalho no Brasil, estabelecem obrigações para 
empregadores garantirem condições seguras para os trabalhadores. A não conformida-
de pode resultar em penalidades severas e interrupções nas operações.
UNIASSELVI
1
4
1
TEMA DE APRENDIZAGEM 6
MUDANÇAS CONSTANTES NA LEGISLAÇÃO
O cenário regulatório está em constante mudança, com novas leis e atualizações fre-
quentes. Acompanhar essas mudanças e adaptar rapidamente as operações para estar 
em conformidade exigem monitoramento contínuo e flexibilidade operacional.
CULTURA ORGANIZACIONAL
Muitas vezes, o compliance é visto como uma imposição externa, o que pode gerar 
resistência interna. Criar uma cultura de conformidade que envolva todos os níveis 
da organização é um dos maiores desafios para a efetividade de um programa de 
compliance.
Para superar esses desafios e garantir a conformidade, segundo Carvalho et al. 
(2023), algumas das melhores práticas incluem:
MAPEAMENTO DE RISCOS
O primeiro passo é realizar um mapeamento abrangente dos riscos regulatórios e nor-
mativos que a empresa enfrenta. Isso ajuda a identificar áreas críticas que exigem maior 
atenção e alocar recursos eficientemente.
TREINAMENTO E CONSCIENTIZAÇÃO
Promover a educação continuada dos colaboradores sobre a importância do complian-
ce é essencial. Programas de treinamento devem ser realizados periodicamente para 
garantir que todos os funcionários entendam suas responsabilidades e estejam cientes 
das políticas internas e das normas regulatórias.
AUDITORIA E MONITORAMENTO CONTÍNUO
O acompanhamento constante dos processos internos e a realização de auditorias re-
gulares são fundamentais para verificar a conformidade. Isso inclui o uso de ferramen-
tas tecnológicas que automatizem a análise de dados e o monitoramento das opera-
ções, reduzindo o risco de falhas.
1
4
8
O compliance regulatório e normativo é uma necessidade estratégica para qual-
quer organização que visa operar de forma ética, sustentável e em conformidade 
com as leis. Além de proteger contra riscos legais e financeiros, ele promove uma 
cultura de integridade que fortalece a reputação da empresa perante seus clientes, 
investidores e a sociedade.
ATUAÇÃO DOS ÓRGÃOS REGULADORES E FISCALIZADORES 
DE COMPLIANCE
O papel dos órgãos reguladores e fiscalizadores de compliance é fundamental 
para garantir que empresas, instituições financeiras e organizações atuem de 
forma ética e estejam em conformidade com as normas, leis e regulamentos que 
regem suas atividades. Esses órgãos são responsáveis por monitorar, regular e, 
quando necessário, aplicar sanções para corrigir comportamentos inadequados 
no ambiente corporativo.
A fiscalização de compliance é essencial para 
proteger o mercado, os consumidores, os investi-
dores e a sociedade em geral. Quando empresas 
não cumprem as normas, podem surgir problemas 
graves como fraudes financeiras, danos ambientais, 
abusos trabalhistas e práticas corruptas, que prejudicam o ambiente de negó-
cios, afetam a confiança do público e causam prejuízos financeiros.
Os órgãos reguladores e fiscalizadores têm o papel de garantirque as empre-
sas sigam as regras, atuando como guardiões da integridade no mercado. Além 
de aplicarem sanções e penalidades em casos de não conformidade, esses órgãos 
também desempenham um papel educativo, orientando as organizações sobre 
boas práticas e normas a serem seguidas (Assi, 2013).
IMPLEMENTAÇÃO DE POLÍTICAS CLARAS
As políticas de compliance devem ser documentadas e acessíveis a todos os funcio-
nários, com definições claras sobre as condutas permitidas e proibidas, bem como as 
consequências do não cumprimento. Isso inclui a criação de Códigos de Conduta e 
Canais de Denúncia para identificar irregularidades.
A fiscalização 
de compliance 
é essencial para 
proteger o mercado
UNIASSELVI
1
4
9
TEMA DE APRENDIZAGEM 6
Dependendo do setor de atuação, diferentes órgãos reguladores e fiscaliza-
dores têm jurisdição para garantir o cumprimento de leis e regulamentos espe-
cíficos. Examinaremos os principais órgãos que atuam em áreas críticas para a 
gestão de compliance, de acordo com Assi (2013):
 ■ Comissão de Valores Mobiliários (CVM) – Brasil: a Comissão de Valores 
Mobiliários (CVM) é o órgão responsável pela regulamentação, fiscali-
zação e desenvolvimento do mercado de capitais no Brasil. A CVM atua 
principalmente no setor financeiro, fiscalizando empresas listadas em 
bolsa, instituições financeiras, fundos de investimento e outras entidades 
que negociam valores mobiliários.
As principais atribuições da CVM são:
• garantir que as empresas cumpram as normas relativas à divulgação de 
informações financeiras;
• prevenir e combater práticas de insider trading (uso de informações privilegiadas) 
e fraudes no mercado;
• aplicar penalidades a empresas e indivíduos que violem as regras do mercado 
de capitais;
• monitorar o cumprimento das obrigações de transparência, governança 
corporativa e auditoria.
A CVM é fundamental para assegurar a integridade e a confiança dos investi-
dores no mercado financeiro brasileiro, garantindo que as empresas atuem de 
forma ética e responsável.
 ■ Banco Central do Brasil (Bacen): o Banco Central do Brasil (Bacen) 
é o principal regulador e fiscalizador do sistema financeiro nacional. O 
Bacen monitora instituições bancárias, financeiras e de pagamento, vi-
sando assegurar a estabilidade financeira e o cumprimento das normas 
que regem o setor.
As principais responsabilidades do Bacen são:
1
5
1
O Bacen também desempenha um papel importante na implementação de pro-
gramas de compliance regulatório no setor financeiro, orientando as instituições 
sobre como gerir riscos operacionais e conformidade regulatória.
 ■ Agência Nacional de Telecomunicações (Anatel): a Anatel é o órgão regu-
lador responsável pela fiscalização do setor de telecomunicações no Brasil. 
A Anatel regula serviços de telefonia, internet e televisão, estabelecendo 
normas de qualidade, segurança e privacidade para os consumidores.
Podemos citar como principais funções da Anatel:
MONITORAMENTO
Monitorar a qualidade dos serviços oferecidos pelas operadoras de telecomunicações, 
garantindo que os padrões estabelecidos sejam seguidos.
FISCALIZAÇÃO
Fiscalizar o cumprimento de regras sobre proteção de dados e privacidade dos consu-
midores, especialmente no contexto da comunicação digital.
FISCALIZAÇÃO
Fiscalizar a solvência das instituições financeiras e garantir que estas mantenham capi-
tal suficiente para cobrir seus riscos.
APLICAÇÃO DE REGRAS
Aplicar regras de compliance antilavagem de dinheiro e combate ao financiamento do 
terrorismo.
ASSEGURAR O CUMPRIMENTO DAS NORMAS
Com a utilização de controles internos para evitar fraudes, práticas abusivas e má 
gestão financeira.
UNIASSELVI
1
5
1
TEMA DE APRENDIZAGEM 6
A atuação da Anatel é fundamental em um setor altamente regulado e estratégico, 
garantindo que as empresas de telecomunicações operem conforme as normas e 
prestem serviços adequados ao consumidor.
 ■ Autoridade Nacional de Proteção de Dados (ANPD): a Autoridade 
Nacional de Proteção de Dados (ANPD) é o órgão responsável por ga-
rantir a aplicação da Lei Geral de Proteção de Dados (LGPD) no Brasil. 
Criada em 2020, a ANPD tem a missão de fiscalizar o tratamento de 
dados pessoais pelas empresas e garantir que as organizações protejam 
a privacidade dos cidadãos.
As principais atribuições da ANPD são:
PENALIDADE
Aplicar sanções a empresas que violam normas de prestação de serviços, qualidade 
ou segurança.
FISCALIZAÇÃO
Fiscalizar o cumprimento da LGPD, aplicando sanções a empresas que violam as regras 
de privacidade e proteção de dados.
ORIENTAÇÃO
Orientar empresas e organizações sobre as melhores práticas de governança de dados 
e compliance com as normas de proteção de informações.
MEDIAÇÃO
Atuar como mediadora em conflitos envolvendo o uso indevido de dados pessoais, 
auxiliando as empresas a corrigirem práticas inadequadas.
1
5
1
A ANPD é crucial no cenário atual, em que a coleta e o uso de dados pessoais 
se tornaram temas centrais nas discussões sobre segurança, privacidade e 
compliance digital.
 ■ Controladoria-Geral da União (CGU): a Controladoria-Geral da União 
(CGU) é o órgão responsável pela defesa do patrimônio público e pelo 
combate à corrupção no Brasil. A CGU atua principalmente no controle 
interno da administração pública federal, mas também tem papel regu-
lador em programas de compliance anticorrupção no setor privado.
As principais atribuições da CGU são:
FISCALIZAÇÃO
Fiscalizar o cumprimento da Lei Anticorrupção (Lei 12.846/2013), que responsabiliza 
empresas por atos de corrupção contra a administração pública.
COORDENAÇÃO
Coordenar e fiscalizar a implementação de programas de integridade e compliance em 
órgãos públicos e empresas que contratam com o governo.
PENALIDADES
Aplicar penalidades e sanções a empresas envolvidas em práticas ilícitas, como subor-
no ou fraude em licitações.
A CGU é um ator central no combate à corrupção no Brasil, garantindo que tanto o 
setor público quanto o privado operem de forma ética e em conformidade com as leis.
 ■ Agência Nacional de Saúde Suplementar (ANS): a ANS é o órgão re-
gulador e fiscalizador do setor de saúde suplementar no Brasil, respon-
sável por monitorar as operadoras de planos de saúde e os prestadores 
de serviços médicos.
UNIASSELVI
1
5
1
TEMA DE APRENDIZAGEM 6
As principais funções da ANS são:
FISCALIZAÇÃO
Fiscalizar o cumprimento das normas que regem os planos de saúde, garantindo que 
os serviços oferecidos aos consumidores estejam nos padrões exigidos.
MONITORAMENTO
Monitorar o equilíbrio econômico-financeiro das operadoras para assegurar sua solvên-
cia e a prestação adequada de serviços.
PENALIDADES
Aplicar sanções a empresas que descumpram normas de atendimento, cobertura ou 
transparência na relação com os consumidores.
INOVAÇÃO TECNOLÓGICA
O avanço da tecnologia, especialmente no setor digital, pode dificultar a fiscalização tra-
dicional, exigindo novas abordagens para monitorar atividades on-line e o uso de dados.
COMPLEXIDADE REGULATÓRIA
A multiplicidade de leis e normas, muitas vezes sobrepostas, torna os processos de fis-
calização e conformidade mais desafiadores, especialmente em empresas globais que 
operam em várias jurisdições.
A ANS desempenha um papel crucial para garantir que as empresas do setor de 
saúde operem com responsabilidade e ética, assegurando o direito dos consu-
midores à saúde de qualidade.
Embora os órgãos reguladores e fiscalizadores desempenhem um papel funda-
mental na promoção de práticas de compliance, eles enfrentam vários desafios, como:
1
5
4
Como vimos, os órgãos reguladores e fiscalizadores de compliance desempe-
nham um papel essencial na garantia de que empresas e organizações operem em 
conformidade com as leis, normas e regulamentos que regem seus setores. Por 
meio das fiscalizações constantes cria-se um ambiente mais seguro e confiável, 
elevando a reputação das organizações que seguem as normas e desestimulando 
comportamentos antiéticos. 
Além disso, a atuaçãodesses órgãos fortalece a competitividade das empresas, 
ao garantir um nível justo de competição e ao atrair investimentos em mercados 
nos quais a integridade é valorizada. Em síntese, esses órgãos são fundamentais 
para o desenvolvimento sustentável dos mercados e para a construção de uma 
cultura organizacional baseada na ética e no cumprimento de normas.
RESISTÊNCIA INTERNA
Algumas empresas podem ver o compliance como um obstáculo ao crescimento, difi-
cultando a implementação de políticas eficazes e transparentes.
Manual de Compliance
O Manual de Compliance caracteriza-se pela abordagem 
completa e aprofundada sobre os diversos temas da matéria, 
aliando o necessário embasamento teórico sobre as princi-
pais legislações e metodologias de Governança, Risco e Com-
pliance (GRC) com os aspectos práticos imprescindíveis ao 
profissional dessa prática. Composta de 40 capítulos, a obra 
se diferencia em razão de seu preciso grau de sistematização, 
didática e organicidade.
INDICAÇÃO DE LIVRO
Acesse seu ambiente virtual de aprendizagem e confira a aula referente a este 
tema. Recursos de mídia disponíveis no conteúdo digital do ambiente virtual de 
aprendizagem.
EM FOCO
UNIASSELVI
1
5
5
TEMA DE APRENDIZAGEM 6
NOVOS DESAFIOS
Estudante, como vimos, as regulamentações e leis relacionadas à gestão de risco e 
compliance são fundamentais para garantir que as empresas operem de maneira 
ética, legal e sustentável. O cumprimento dessas normas protege não apenas as 
próprias empresas contra riscos financeiros e reputacionais, mas também asse-
gura um mercado mais transparente e competitivo, promovendo a confiança de 
investidores, consumidores e parceiros comerciais.
As empresas que investem em boas práticas de compliance e gestão de riscos 
não só mitigam as chances de problemas legais, como também demonstram seu 
compromisso com a integridade, consolidando sua reputação no mercado global.
Os órgãos reguladores e fiscalizadores de com-
pliance desempenham um papel essencial na 
manutenção da integridade, transparência e 
responsabilidade no ambiente corporativo. 
Eles garantem que as empresas operem 
em conformidade com as leis, prote-
jam os direitos dos consumidores e 
previnam práticas ilegais e antiéti-
cas. Embora os desafios sejam mui-
tos, a atuação desses órgãos é essen-
cial para um mercado mais justo e 
sustentável, fortalecendo a confian-
ça entre empresas, investidores e a 
sociedade.
O desafio é grande, mas com planejamen-
to, investimento em tecnologia, e uma mudan-
ça cultural em prol da conformidade, as empresas 
podem não só se proteger, mas também transformar o 
compliance em um diferencial competitivo em um merca-
do cada vez mais exigente.
1
5
1
1. A Lei Anticorrupção (Lei 12.846/2013), sancionada no Brasil em 2013, é um marco no com-
bate à corrupção no país, estabelecendo a responsabilidade objetiva de empresas por atos 
de corrupção praticados por seus colaboradores, independentemente de comprovação de 
dolo ou culpa dos gestores (Pressuto, 2023).
Diante do exposto, assinale a alternativa que indica uma disposição da Lei Anticorrupção:
a) Empresas devem ser submetidas a auditorias independentes.
b) As empresas devem informar de maneira clara a finalidade para a qual os dados estão 
sendo coletados.
c) As empresas devem ser transparentes quanto aos riscos financeiros e operacionais.
d) Adoção de programas de integridade e compliance.
e) Os titulares têm o direito de solicitar o acesso, correção, portabilidade e exclusão de 
seus dados pessoais.
2. A palavra Compliance vem do inglês, do verbo to comply, referindo-se ao ato de cumprir. 
Na prática, o compliance tem papel fundamental para garantir a segurança de instituições 
e minimizar riscos. Compliance envolve o cumprimento de comportamentos, regulamen-
tos, normas e leis formulados interna e externamente, visando assegurar o funcionamento 
ético e legal da organização. Temos duas espécies Compliance Regulatório e compliance 
Normativo (TOVTS, 2024).
Com relação ao Compliance Normativo, assinale a alternativa correta:
a) Se concentra no cumprimento de leis e regulamentações impostas por governos e ór-
gãos reguladores.
b) Abrange a conformidade com normas e padrões internos ou de setores específicos.
c) Conjunto de políticas, procedimentos e controles que uma organização adota para ga-
rantir que suas operações estejam em conformidade com as leis, regulamentos e normas 
aplicáveis.
d) Tem relação aos mecanismos de organização que a empresa impõe em seus processos, 
de modo a lidar com todas as obrigações fiscais brasileiras.
e) Refere-se à conformidade em relação aos deveres e obrigações no trato com os fun-
cionários da empresa.
AUTOATIVIDADE
1
5
1
3. Os órgãos reguladores são entidades governamentais ou instituições independentes que 
possuem autoridade para supervisionar, controlar e regulamentar atividades em setores 
específicos da sociedade (Mattoso Auditores Independentes, 2023).
Com relação aos órgãos fiscalizadores, analise as afirmativas a seguir:
I - O Banco Central do Brasil é o órgão responsável pela regulamentação, fiscalização e 
desenvolvimento do mercado de capitais no Brasil.
II - A Controladoria-Geral da União é o principal regulador e fiscalizador do sistema finan-
ceiro nacional.
III - A Autoridade Nacional de Proteção de Dados é o órgão responsável por garantir a apli-
cação da Lei Geral de Proteção de Dados no Brasil.
IV - A Anatel é o órgão regulador responsável pela fiscalização do setor de telecomunicações 
no Brasil.
Assinale a alternativa correta:
a) I e IV, apenas.
b) II e III, apenas.
c) III e IV, apenas.
d) I, II e III, apenas.
e) II, III e IV, apenas.
AUTOATIVIDADE
1
5
8
REFERÊNCIAS
ASSI, M. Gestão de compliance e seus desafios: como implementar controles internos, superar 
diferenças e manter a eficiência dos negócios. São Paulo: Saint Paul, 2013.
BORGERTH, V. Sox: entendendo a Lei Sarbanes-Oxley. São Paulo: Thomson Learning, 2007.
BRASIL. Decreto Federal n° 11 .129, de 11 de julho de 2022. Regulamenta a Lei nº 12.846, de 1º 
de agosto de 2013, que dispõe sobre a responsabilização administrativa e civil de pessoas jurí-
dicas pela prática de atos contra a administração pública, nacional ou estrangeira. Brasília, DF: 
Secretaria-Geral, 2022. Disponível em: https://bit.ly/4fXuDAU. Acesso em: 13 out. 2024.
BRASIL. Lei nº 13 .709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais 
(LGPD). Brasília, DF: Secretaria-Geral, 2018. Disponível em: https://www.planalto.gov.br/cci-
vil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 14 out. 2024.
JUSBRASIL. O que é o GDPR? Compreenda este Regulamento. Jusbrasil, 2019. Disponível em: https://
www.jusbrasil.com.br/artigos/o-que-e-o-gdpr-compreenda-este-regulamento/843344347?m-
sockid=398fd02dfc676abb336dc487fd2c6bff. Acesso em: 15 out. 2024.
MATTOSO AUDITORES INDEPENDENTES. Órgãos reguladores: quais os principais hoje? Matto-
soauditores, 2023. Disponível em: https://mattosoauditores.com.br/orgaos-reguladores-quais-
-os-principais-hoje/. Acesso em: 24 out. 2024.
PRESSUTO, H. Entenda o que é a Lei Anticorrupção e qual o seu objetivo no Brasil. Aurum, 2023. 
Disponível em: https://www.aurum.com.br/blog/lei-anticorrupcao/. Acesso em: 21 out. 2024.
QMS. (Guia Completo) Tudo sobre a ISO 37301:2021, 2023. QMS, 2023. Disponível em: https://
qmsbrasil.com.br/blog/certificacao-iso/guia-completo-tudo-sobre-a-iso-373012021/. Acesso 
em: 15 out. 2024.
TOTVS. Compliance: o que é, tipos, vantagens e como aplicar. Blog Tovts, 2024. Disponível em: 
https://www.totvs.com/blog/negocios/compliance/. Acesso em: 23 out. 2024.
1
5
9
http://legislacao.planalto.gov.br/legisla/legislacao.nsf/Viw_Identificacao/lei 13.709-2018?OpenDocument
https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
https://mattosoauditores.com.br/orgaos-reguladores-quais-os-principais-hoje/
https://mattosoauditores.com.br/orgaos-reguladores-quais-os-principais-hoje/https://www.aurum.com.br/blog/lei-anticorrupcao/
https://qmsbrasil.com.br/blog/certificacao-iso/guia-completo-tudo-sobre-a-iso-373012021/
https://qmsbrasil.com.br/blog/certificacao-iso/guia-completo-tudo-sobre-a-iso-373012021/
https://exame.com/invest/guia/o-que-e-compliance-e-como-funciona/
1. Alternativa D. A Lei Anticorrupção incentiva a adoção de programas de integridade e com-
pliance, oferecendo reduções de penalidades para empresas que comprovem a existência 
e a eficácia dessas medidas preventivas.
As alternativas a) e c) referem-se às disposições da Lei Sarbanes-Oxley. As alternativas b) e 
e) referem se às disposições da Lei Geral de Proteção de Dados (LGPD).
2. Alternativa B. O compliance normativo, também chamado de compliance interno, ajuda as 
empresas a evitar conflitos internos e manter altos padrões operacionais. A alternativa a) 
refere ao compliance regulatório. A Alternativa c) refere-se ao conceito de Compliance. A 
Alternativa d) refere-se ao conceito de Compliance Tributário. A Alternativa e) refere-se ao 
Compliance Trabalhista.
3. Alternativa C. A alternativa I está incorreta. O órgão responsável pela regulamentação, fis-
calização e desenvolvimento do mercado de capitais no Brasil é a Comissão de Valores 
Mobiliários (CVM).
A alternativa II está incorreta. O principal regulador e fiscalizador do sistema financeiro na-
cional é o Banco Central do Brasil (Bacen).
A alternativa III está correta. Criada em 2020, a ANPD tem a missão de fiscalizar o tratamento 
de dados pessoais pelas empresas e garantir que as organizações protejam a privacidade 
dos cidadãos.
A alternativa IV está correta. A Anatel regula serviços de telefonia, internet e televisão, esta-
belecendo normas de qualidade, segurança e privacidade para os consumidores.
GABARITO
1
1
1
https://exame.com/bussola/autoavaliacao-garante-padrao-de-qualidade-das-unidades-de-franquias/
MINHAS ANOTAÇÕES
1
1
1
UNIDADE 3
MINHAS METAS
AUDITORIA E MONITORAMENTO
Apresentar os aspectos legais sobre auditoria e monitoramento de compliance.
Explicar a importância de investigações internas de um programa de compliance.
Identificar os elementos de um plano de investigação.
Demonstrar a importância da realização de entrevistas.
Explorar o processo de Due diligence. 
Investigar o processo de monitoramento de um programa de compliance.
Conhecer a importância de auditoria de um programa de compliance
T E M A D E A P R E N D I Z A G E M 7
1
1
4
INICIE SUA JORNADA
Estudante, imagine a situação de um gestor de uma empresa que desconhe-
ça as condições de trabalho dos trabalhadores que lhe prestavam serviços 
(mesmo que de forma terceirizada). A empresa poderia realizar diligências 
apropriadas (previamente e durante a contratação) para ter ciência das con-
dições de trabalho daqueles que lhe prestam serviços?
A relativização de valores como ética e a preservação da vida pode levar a 
medidas extremas e absurdas, pois um ambiente de trabalho que não valoriza 
a ética pode levar um colaborador a cometer atos prejudiciais à empresa. Uma 
empresa, como condição de sustentabilidade, deve primar também pelas 
condições de trabalho (inclusive no que se refere às contratações e dispensas) 
de seus colaboradores. 
Assim, a criação de um programa de integridade, bem como o seu mo-
nitoramento, se torna essencial para garantir um ambiente de trabalho har-
monioso. Além disso, é de suma importância que a empresa periodicamente 
realize uma auditoria para prevenir, detectar e sanar desvios, fraudes, irre-
gularidades e atos ilícitos praticados pelos colaboradores, visando fomentar 
e manter uma cultura de integridade no ambiente organizacional.
O conhecimento e leitura da legislação vigente, com capacidade de en-
tender seus conceitos e diretrizes (o que, é claro, pode ser feito com o auxílio 
de terceiros), fazem parte das habilidades esperadas de um profissional da 
área de compliance e lhe trazem retorno positivo diante da maior amplitude 
de conhecimento e atuação que tal prática propicia.
Neste tema de aprendizagem, aprenderemos os mecanismos de auditoria 
e monitoramento de um programa de compliance. 
Você sabe qual a diferença entre auditorias interna e externa? Ouça o nosso pod-
cast e aprenda a diferenciar essas modalidades de auditoria! Recursos de mídia 
disponíveis no conteúdo digital do ambiente virtual de aprendizagem.
PLAY NO CONHECIMENTO
UNIASSELVI
1
1
5
TEMA DE APRENDIZAGEM 7
DESENVOLVA SEU POTENCIAL
AUDITORIA E MONITORAMENTO DE UM PROGRAMA DE 
COMPLIANCE
O Decreto Federal n° 11.129, de 11/07/2022, em seu Artigo 56, traz uma diretriz 
do que é considerado um programa de integridade e quais são os seus objetivos. 
Segundo o Decreto, um programa de integridade consiste, no âmbito de uma 
pessoa jurídica, no conjunto de mecanismos e procedimentos internos de inte-
gridade, auditoria e incentivo à denúncia de irregularidades e na aplicação efetiva 
de códigos de ética e de conduta, políticas e diretrizes, tendo como objetivo:
 “ I- Prevenir, detectar e sanar desvios, fraudes, irregularidades e atos 
ilícitos praticados contra a administração pública, nacional ou es-
trangeira; e
II- Fomentar e manter uma cultura de integridade no ambiente or-
ganizacional (Brasil, 2022).
O Decreto ainda estabelece que o programa de integridade deve ser estruturado, 
aplicado e atualizado conforme as características e os riscos atuais das atividades 
de cada pessoa jurídica, a qual, por sua vez, deve garantir o constante aprimo-
ramento e a adaptação do referido programa, visando garantir sua efetividade.
VAMOS RECORDAR?
Você se lembra da Lei Anticorrupção? A Lei Anticorrupção é fundamental para os 
programas de compliance. Assista ao vídeo a seguir e entenda melhor essa lei 
que rege a integridade nas empresas. Acesse o link: https://www.youtube.com/
watch?v=wVtHi3N43W0&t=216s
1
1
1
https://www.youtube.com/watch?v=wVtHi3N43W0&t=216s
https://www.youtube.com/watch?v=wVtHi3N43W0&t=216s
No Artigo 57, o Decreto Federal n° 11.129/2022 apresenta parâmetros de ava-
liação de um programa de integridade eficaz. Destacamos aqueles relacionados 
às investigações internas e medidas disciplinares, procedimentos para monito-
ramento contínuo e Due diligence (diligência apropriada), vejamos:
Para realizar uma auditoria de compliance, é importante:
• avaliar o fluxo de pagamentos, diretos e indiretos, feitos a terceiros;
• analisar o perfil de pagamento dos parceiros;
• verificar se as políticas de compras estão sendo observadas;
• analisar procedimentos que podem abrir brechas para más condutas;
• verificar o pagamento em dia de impostos, possíveis multas e outros tributos;
• implementar um canal para denúncias;
• produzir um relatório detalhando os objetivos, ações e não conformidades.
MEDIDAS DISCIPLINARES 
Nos casos de violação do programa de integridade.
PROCEDIMENTOS 
Para assegurar a pronta interrupção de irregularidades ou infrações detectadas e a 
tempestiva remediação dos danos gerados. 
UNIASSELVI
1
1
1
TEMA DE APRENDIZAGEM 7
DILIGÊNCIAS
Nos processos de contratação e supervisão de terceiros, contratação e supervisão de 
pessoas expostas politicamente e realização e supervisão de patrocínios e doações.
VERIFICAÇÃO 
Realizada durante os processos de fusões, aquisições e reestruturações societárias.
MONITORAMENTO CONTÍNUO DO PROGRAMA DE INTEGRIDADE 
Visando ao seu aperfeiçoamento na prevenção, na detecção e no combate à ocorrência 
de atos lesivos.
É de suma importância que as organizações estabeleçam internamente pro-
cessos que permitam apuração, investigação, resolução de denúncias, notícias 
de condutas tidas por ilícitas, irregulares ou antiéticas. Diante disso, vejamos 
a seguir como funciona o processo de investigação interna.
Investigações internas
Para apurar condutas contrárias aos padrões estabelecidos na organização, 
o gestor deve estar ciente de possíveis achados (além daquela notícia de fato 
que originou a investigação) durante as investigações que também necessitam 
avaliaçãofeitos por uma empresa oferecem garantia 
de retorno. Na verdade, quase todo investimento vem acompa-
nhado de uma série de riscos, alguns dos quais são específicos à 
empresa e ao setor, enquanto outros são riscos macroeconômi-
cos. Temos de decidir se investiremos nesses projetos, dados os 
riscos e nossas expectativas para os fluxos de caixa.
Decisões de 
financiamento
Quando determinamos o quanto de dívidas e o quanto de capital 
próprio devemos empregar no financiamento de um negócio, temos 
de confrontar questões fundamentais sobre risco e retorno, mais 
uma vez. Em termos mais específicos, incorrer em empréstimos para 
financiar um negócio pode aumentar tanto a probabilidade de lucro 
para os acionistas quanto aumentar a probabilidade de prejuízos, e 
assim expor a empresa ao risco de quebra. A maneira como vemos 
esse risco e suas consequências definirá o valor das dívidas.
Decisões de 
dividendos
À medida que o dinheiro passa a retomada dos investimentos 
existentes, deparamo-nos com a possibilidade de direcionar uma 
parte dele aos proprietários do negócio ou de manter no caixa da 
empresa. Um dos motivos para manter saldos de caixa é atender 
às contingências futuras (uma queda nas atividades ou a neces-
sidade de novos investimentos). A quantia que decidimos manter 
como saldo de caixa será determinada pela maneira como perce-
bemos o risco associado a essas contingências.
Independentemente da formação, gênero, experiência ou outra característica qual-
quer, quando o investimento possui um risco acima do que o investidor – seja 
pessoa física ou jurídica – está habituado, caso esse investidor aceite assumir o 
risco, ele certamente exigirá um prêmio, uma compensação, por tomar essa decisão. 
Esse é um conceito importante, pois explica muitas coisas relacionadas 
às decisões que são tomadas numa empresa: aceitar ou não um investimento, 
seja financeiro, seja nos processos empresariais, depende da recompensa, ou 
seja, da compensação ou prêmio que se obterá.
1
1
COMPLIANCE
Engana-se aquele que acredita que o Compliance é um programa usado para 
delimitar o que é certo ou errado e que há um padrão de Compliance para todo e 
qualquer negócio. O Compliance, também chamado de Programa de integridade, 
é um sistema vivo e em constante aperfeiçoamento e evolução. Ele precisa ser 
revisado sistemática e periodicamente. Compliance trata-se de:
 “ um programa pelo qual uma organização consiga prevenir e de-
tectar condutas criminosas/ilegais e, também, promover uma 
cultura que encoraje o cumprimento das leis e uma conduta ética 
(Serpa, 2016, p. 14).
Portanto, o Compliance é um Sistema de Gestão de Riscos e Políticas de Con-
formidade, tendo, como objetivos, identificar, avaliar, planejar, implementar, 
monitorar e revisar os possíveis riscos do negócio.
Sistemas de gestão de compliance (SGC)
Torna-se muito importante o conhecimento sobre a ABNT NBR ISO 37.301, que 
trata dos Sistemas de Gestão de Compliance (SGC). Quando se fala em sistema, 
é preciso entendê-lo como as áreas e os departamentos inter-relacionados ou 
Gestão Estratégica do Risco . 
Escrito por Aswath Damodaran, reconhecido como um dos 
melhores professores de Finanças dos Estados Unidos, essa 
obra mostra que o risco, se explorado com inteligência, é fun-
damental para o sucesso de uma empresa. O leitor vai apren-
der a determinar quais riscos ignorar, contra quais se proteger 
e quais explorar. Damodaran oferece um quadro de referências 
detalhado para a maximização dos lucros pela exposição limi-
tada a alguns tipos de riscos e pela exploração de outros.
INDICAÇÃO DE LIVRO
UNIASSELVI
1
1
TEMA DE APRENDIZAGEM 1
interativos de uma organização. O SGC deve refletir os valores, os objetivos, as 
estratégias e os riscos de cada organização, levando em consideração os contextos 
em que elas estão inseridas. 
Portanto, o Compliance é um Sistema de Gestão de Riscos e Políticas de Confor-
midade, tendo por possíveis ações frente aos riscos: identificar, avaliar, planejar, 
implementar, monitorar e revisar.
Finalidade do Compliance 
Compliance tem por finalidade, dentre outras:
IMPLANTAR POLÍTICAS DE CONFORMIDADE 
Com adequação às regras externas e internas de uma empresa (pública ou privada, 
com ou sem fins lucrativos), independentemente de serem leis, padrões éticos e de 
integridade, regulamentos internos e externos.
ESTABELECER UM SISTEMA DE GESTÃO DE RISCOS
De forma que a gestão da organização possa ser conduzida apoiada em informações e 
bases sólidas para a tomada de decisões durante a operação. 
Em uma organização, o Compliance é uma das peças da estrutura e deve contri-
buir para o sucesso de todo o negócio e o cumprimento dos objetivos.
PENSANDO JUNTOS
Outro aspecto fundamental da conceituação de Compliance é compreender que 
ele não pode ser entendido como um devaneio de ética e integridade. O Com-
pliance deve ser conhecido e entendido como uma necessidade para a sustenta-
bilidade e a perenidade das empresas.
1
8
UNIASSELVI
1
9
TEMA DE APRENDIZAGEM 1
Dentre as várias finalidades, é preciso compreender que o Compliance é um 
veículo para a organização alcançar os próprios objetivos. Em decorrência dis-
so, é fundamental que a área responsável pelas políticas de conformidade tenha 
ciência e compreenda o objetivo que a organização quer alcançar. 
Para Candeloro, De Rizzo e Pinho (2012 apud Silva; Covac, 2019, p. 19):
 “ O Compliance não existe apenas para assegurar que a instituição 
cumpra com suas obrigações regulatórias, mas também para assistir 
a alta administração na sua responsabilidade de observar o arcabou-
ço regulatório e as melhores práticas na execução das estratégias e 
dos processos decisórios.
Outro aspecto relevante e que tem elevado o Compliance a um papel de desta-
que é a intensificação do combate à corrupção e às práticas criminosas, como 
lavagem de dinheiro, financiamento do terrorismo e outras condutas que têm 
impacto transnacional. 
Compliance anticorrupção
A partir da edição da Lei n° 12.846, de 1 de agosto de 2013, também conhecida 
como Lei Anticorrupção ou Lei Empresa Limpa, passou-se a associar firme-
mente a ideia de Compliance à Compliance Anticorrupção, o que pode gerar 
certa confusão, visto que o microssistema anticorrupção é apenas uma das áreas 
possíveis de atuação do Compliance.
A Lei Anticorrupção foi regulamentada em 2015 e, por meio do Decreto 
Federal n° 11.129, de 11 de julho de 2022, passou a vigorar uma nova regu-
lamentação, que estabelece no Art. 56 do Capítulo V, uma definição para o 
Programa de Integridade: 
 “ Art. 56. P ara fins do disposto neste Decreto, programa de integri-
dade consiste, no âmbito de uma pessoa jurídica, no conjunto de 
mecanismos e procedimentos internos de integridade, auditoria e 
incentivo à denúncia de irregularidades e na aplicação efetiva de 
códigos de ética e de conduta, políticas e diretrizes, com objetivo de:
1
1
I- prevenir, detectar e sanar desvios, fraudes, irregularidades e atos 
ilícitos praticados contra a administração pública, nacional ou es-
trangeira; e
II- fomentar e manter uma cultura de integridade no ambiente or-
ganizacional.
Parágrafo único. O programa de integridade deve ser estruturado, 
aplicado e atualizado de acordo com as características e os riscos 
atuais das atividades de cada pessoa jurídica, a qual, por sua vez, 
deve garantir o constante aprimoramento e a adaptação do referido 
programa, visando garantir sua efetividade (Brasil, 2022).
Não é unânime o entendimento de que o Programa de Integridade e o Sistema 
de Compliance sejam a mesma coisa. Aqueles que defendem a diferenciação 
afirmam que o Programa de Integridade deve estar contido em um sistema maior: 
o de Gestão de Compliance. Entretanto, no Art. 57 do Decreto n° 11.129/2022, 
foram estabelecidos, como parâmetros de avaliação de um programa efetivo, os 
pilares de um Programa de Integridade. Isso nos leva a acreditar no entendimento 
de que existem similaridade e identificação entre o Programa de Integridadee decisão de sua parte.
É prudente e recomendável que tais processos estabeleçam, de forma prévia 
e com ciência para todas as partes interessadas (independentemente de cargo 
ou nível hierárquico), como os fatos serão investigados, averiguados; as res-
ponsabilidades identificadas; e, na hipótese de necessidade, quais as medidas 
sancionatórias a serem aplicadas e eventuais ações corretivas a serem tomadas.
É oportuno destacar que uma investigação deve determinar claramente e 
com credibilidade o que de fato ocorreu, em quais circunstâncias, com quais 
pessoas envolvidas, se é uma conduta que viola a legislação ou normas inter-
nas, se é uma conduta passível de sanção ou não, se é necessária alguma outra 
medida corretiva ou não.
1
1
8
Outro aspecto fundamental de um trabalho de investigação interna é que seja 
vista por todos os envolvidos, direta e indiretamente, como um processo inde-
pendente, rigoroso e crítico, livre de prejulgamentos ou suposições infundadas. 
Enfim, sempre tendo por norte o fortalecimento de uma cultura de integri-
dade e a proteção dos interesses da organização. Uma investigação interna é 
instrumento de proteção da organização, seja como meio de prevenir e detectar 
uma conduta inapropriada, indesejável, seja apurando um fato ocorrido e ado-
tando a solução mais vantajosa e adequada para a organização, seja identificando 
e propondo possíveis melhorias para a operação do negócio.
De acordo com Serpa (2016), o primeiro passo a ser realizado pelo investigador é a 
elaboração de um plano de investigação (planning memo) que servirá como o guia 
das atividades a serem realizadas e que deverá ser mantido vivo durante todo o 
processo, pois a cada passo da investigação novas informações podem ser desco-
bertas e estas podem levar a uma necessidade de revisão do plano de investigação.
APROFUNDANDO
Há diversas formas possíveis de realizar uma investigação, contudo, algumas in-
formações podem nortear toda e qualquer investigação – devendo ser comple-
mentada ou diminuída conforme a especificidade de cada caso a ser apurado. O 
formato da investigação e quem a realizará também dependem do porte e capaci-
dade operacional (incluídos recursos humanos e financeiros) de cada organização, 
pois nem toda organização tem a possibilidade e/ou necessidade, por exemplo, de 
contratar uma consultoria externa para a realização de uma investigação. 
UNIASSELVI
1
1
9
TEMA DE APRENDIZAGEM 7
As investigações de compliance são um pilar fundamental do programa de com-
pliance de uma empresa e podem ser iniciadas a partir de diversos eventos, como:
 ■ canais de denúncia;
 ■ entrevistas de desligamento;
 ■ reclamações trabalhistas;
 ■ indícios de irregularidades;
 ■ operações de fusão e aquisição;
 ■ pontos de não conformidade apontados pela auditoria interna;
 ■ notícias na mídia sobre atos de corrupção.
Para tanto, alguns elementos são importantes que estejam contemplados no plano 
de investigação, vejamos quais são esses elementos:
• Conteúdo da denúncia dividido em tópicos.
• Perguntas em aberto que não podem ser respondidas apenas com a leitura da 
denúncia.
• Possíveis cenários (seja completamente aberto a todos os cenários possíveis).
• Lista de pessoas ‘acusadas’, ou em uma linguagem mais neutra, ‘sujeito da 
investigação’.
• Documentação de guarda/custódia de documentos.
• Gatilhos para o envolvimento do departamento jurídico (crimes, casos graves 
de assédio etc.).
• Uma lista dos documentos a serem avaliados, especificando também a fonte 
da informação.
• Uma lista prévia de pessoas a serem entrevistas e a ordem inicial das entrevistas, 
e em que papel cada uma será abordada (acusado, testemunha, especialista 
técnico etc.).
1
1
1
Uma etapa importante de uma investigação interna é a que compreende as 
entrevistas a serem realizadas. Vejamos no subtítulo a seguir como realizar 
entrevistas de forma eficaz.
Entrevistas
Nem toda investigação, necessariamente, terá que passar por essa etapa. No en-
tanto, a pessoa ou equipe responsável pela investigação deverá estar preparada 
para tanto, caso haja tal necessidade, sempre primando para cada entrevista ter 
um objetivo claro, planejamento, ser conduzida de forma harmoniosa, segura e 
sem juízos prévios de valor que direcionam indevidamente a entrevista. 
Não é rara a situação de denúncias de casos de assédio moral, por exemplo, 
que em apuração constatou-se que a denúncia serviu para encobrir outra falta/
irregularidade cometida pela parte denunciante.
Algumas informações são importantes para a etapa de entrevistas:
• Sempre que possível, optar pela entrevista presencial, especialmente
pela possibilidade de manter controle sobre o ambiente dela, prevenindo
interferências, orientações indevidas, dentre outras situações.
• Colher o consentimento do entrevistado, seja por meio de um termo
escrito ou gravação.
• Realizar a entrevista com dois entrevistadores, para que, em eventual
necessidade, um funcione como testemunha do outro.
• Gravar uma entrevista não é regra, sendo que a gravação se mostra 
antajosa para garantir que conste exatamente o que foi falado durante a
entrevista. Contudo, ao realizar uma entrevista gravada, é possível que o
entrevistado fique mais cauteloso e receoso em relação ao que falará, o
que pode prejudicar o alcance de uma contribuição decisiva para a
elucidação dos fatos.
• Analisar quem serão as testemunhas, as informações que possivelmente
têm e o contexto no qual estão inseridas, a fim de estabelecer uma melhor
ordem para serem ouvidas e para ser mais proveitosa a coleta de informações.
• No relatório da entrevista, a ser elaborado ao final dela, é necessário incluir
nome completo (se possível) de todas as pessoas citadas, os dados da
entrevista, permitir que o entrevistado tenha ciência de tudo o que foi falado
para avaliar eventuais correções necessárias (em especial ser for escrito) e
então assinar o termo de sua entrevista (podendo recusar-se a assinar, fato que
será atestado em relatório ou ata), e permitir o acesso ou entrega de uma via
para o entrevistado.
UNIASSELVI
1
1
1
TEMA DE APRENDIZAGEM 7
Algumas informações são importantes para a etapa de entrevistas:
• Sempre que possível, optar pela entrevista presencial, especialmente
pela possibilidade de manter controle sobre o ambiente dela, prevenindo
interferências, orientações indevidas, dentre outras situações.
• Colher o consentimento do entrevistado, seja por meio de um termo
escrito ou gravação.
• Realizar a entrevista com dois entrevistadores, para que, em eventual
necessidade, um funcione como testemunha do outro.
• Gravar uma entrevista não é regra, sendo que a gravação se mostra 
antajosa para garantir que conste exatamente o que foi falado durante a
entrevista. Contudo, ao realizar uma entrevista gravada, é possível que o
entrevistado fique mais cauteloso e receoso em relação ao que falará, o
que pode prejudicar o alcance de uma contribuição decisiva para a
elucidação dos fatos.
• Analisar quem serão as testemunhas, as informações que possivelmente
têm e o contexto no qual estão inseridas, a fim de estabelecer uma melhor
ordem para serem ouvidas e para ser mais proveitosa a coleta de informações.
• No relatório da entrevista, a ser elaborado ao final dela, é necessário incluir
nome completo (se possível) de todas as pessoas citadas, os dados da
entrevista, permitir que o entrevistado tenha ciência de tudo o que foi falado
para avaliar eventuais correções necessárias (em especial ser for escrito) e
então assinar o termo de sua entrevista (podendo recusar-se a assinar, fato que
será atestado em relatório ou ata), e permitir o acesso ou entrega de uma via
para o entrevistado.
Você pode se questionar: o que perguntar para o entrevistado? Aqui, o ditado ‘cada 
caso é um caso’ vale perfeitamente. É importante, especialmente em organizações 
de maior porte, que se tenha previamente um roteiro de entrevista para apuração de 
notícias de fatos tidos por irregulares. Naquelas organizações em que não se tenhatal roteiro, quando do recebimento de um relato, é altamente recomendável que 
seja estabelecido um roteiro para as entrevistas a serem realizadas, caso necessário.
O fato é que cada investigação, cada entrevista que se mostre necessária em uma 
investigação, tem suas especificidades. Além do conhecimento técnico, a experiên-
cia prática com tais ações faz uma diferença enorme no resultado a ser alcançado.
A ideia fundamental é que o restponsável pela investigação se prepare, avalie 
todo o contexto da realização da oitiva de determinada pessoa e avalie e elabore 
previamente um rol de possíveis questionamentos a serem feitos, visando al-
cançar as informações necessárias sobre os fatos em investigação, estando aberto, 
sempre, a possíveis novas perguntas e a novos achados durante esse processo.
Relatório final
Ao final de todo o processo de investigação, deverá ser realizado um relatório 
final, até porque o processo de investigação precisa ser documentado e preparado 
para envio para o setor ou pessoas competentes na organização para decidir a 
respeito. O relatório final deve primar pela linguagem clara, direta, que detalhe 
o processo de investigação. 
1
1
1
Alguns tópicos são essenciais para um adequado relatório final, tais como:
• Resumo da denúncia.
• Método utilizado e ações realizadas (pré-investigação e durante a investigação).
• Análise da conduta apurada e respectivo enquadramento normativo (normas 
internas ou externas), com auxílio da assessoria jurídica se for o caso.
• Indicar as ações a serem tomadas, tais como: medidas disciplinares de advertência, 
suspensão, demissão, rescisão de contrato dentre outras; medidas corretivas de 
implantação e/ou revisão de políticas internas, estabelecimento de controles, 
realização de treinamentos; medidas externas de notícia do que foi apurado e 
constatado, como se noticia ou não às autoridades.
A Due diligence é um processo de análise e investigação detalhada de uma em-
presa antes de uma transação comercial, investimento ou parceria. O objetivo é 
identificar riscos, oportunidades e conformidades legal e financeira do negócio, 
para embasar a tomada de decisão.
APROFUNDANDO
A Lei Anticorrupção dispõe, no Art. 7º, os elementos que serão considerados 
na aplicação das sanções previstas, dentre eles destacamos: “a cooperação da 
pessoa jurídica para a apuração das infrações” e “a existência de mecanismos 
e procedimentos internos de integridade, auditoria e incentivo à denúncia de 
irregularidades e a aplicação efetiva de códigos de ética e de conduta no âmbito 
da pessoa jurídica” (Brasil, 2013).
Due diligence 
Podemos entender Due diligence – diligências apropriadas – como um processo 
de avaliação prévia à contratação, para conhecer e entender o terceiro que pre-
tende contratar (fornecedor, prestador de serviço, funcionário, dentre outros), 
apurar o histórico de tais pretensos parceiros e potenciais riscos, analisar de que 
forma tais parceiros podem expor e impactar negativamente a organização; en-
fim, ter informações suficientes para que se possa avaliar se é conveniente ou não 
manter, ou dar prosseguimento ao processo de contratação, e se mantido, se há 
necessidade de impor medidas de prevenção e controle.
UNIASSELVI
1
1
1
TEMA DE APRENDIZAGEM 7
Realizar uma boa Due diligence é implementar es-
forços razoáveis – em relação ao risco da atividade, 
do setor e do tipo de relação comercial – para se 
identificar o grau de risco que esse terceiro traz para 
sua empresa, caso seja efetivamente contratado. A 
Due diligence pode ser descrita, simplistamente, como um background check 
do terceiro que é candidato a um contrato com sua empresa. 
Realizar uma boa 
Due diligence 
é implementar 
esforços razoáveis
Background check é uma checagem de antecedentes, um processo que busca al-
cançar o maior número de informações sobre uma determinada pessoa, empresa 
ou qualquer outra organização, e que pode ser realizada mediante busca de infor-
mações em fontes públicas ou bancos de dados disponíveis para a organização.
APROFUNDANDO
A Due diligence é uma forma de auditoria mais complexa, que analisa aspectos 
financeiros, jurídicos, trabalhistas, contábeis, fiscais, ambientais, tecnológicos. 
A Due diligence pode ser dividida em diferentes áreas, dependendo do tipo e do 
porte da operação. As mais comuns são:Due diligence financeira, Due diligence 
legal, Due diligence operacional.
1
1
4
A Due diligence é importante para identificar e mitigar riscos, permitindo que as 
empresas operem na legalidade e evitem repercussões negativas. Um exemplo de 
Due diligence é a análise de um imóvel antes da aquisição. Nesse caso, é preciso 
verificar a existência de pendências e impedimentos, como dívidas, processos 
judiciais e penhoras.
Um erro bastante comum de muitos programas de compliance em relação ao 
tópico Due diligence é realizá-las apenas antes da contratação de terceiros. Lembre-
se de que novidades podem surgir durante o período de prestação dos serviços que 
poderiam fazer a decisão de manter o contrato com esse terceiro ser reavaliada.
Segundo Serpa (2016), o que se busca em uma Due diligence é identificar se há ou 
não indicadores de potenciais problemas passados (red flags) em relação ao risco 
que se está tentando minimizar durante o processo de contratação.
APROFUNDANDO
O processo de realizar diligências apropriadas também tem uma importância 
destacada no caso de realização de operações societárias entre empresas no meio 
corporativo, ou seja, quando empresas se unem, por meio de aquisições e fusões.
A realização de diligências também é utilizada nos processos de doações e 
parcerias. Esses processos demandam realizar diligências apropriadas para a or-
ganização poder decidir, de forma subsidiada, se concede ou não um patrocínio, 
se aceita ou não uma doação, dentre outras situações.
Warde Jr. (2009) destaca os principais objetivos da Due diligence: 
• identificação das principais características da empresa;
• identificação de possíveis obstáculos para a realização do negócio e quantificação 
das contingências existentes;
• avaliação de riscos;
• auxílio na definição do preço do negócio; 
• auxílio na negociação das cláusulas contratuais. 
UNIASSELVI
1
1
5
TEMA DE APRENDIZAGEM 7
Wader Jr (2009) acrescenta que no que concerne ao objeto da Due diligence, além 
de aspectos jurídicos, por norma, são analisadas questões das ordens financeira, 
estratégica, técnica, operacional, dentre outras, para que, ao final de toda análise, 
seja elaborado um relatório que reflita a conjugação dos resultados apurados em 
todas essas diferentes matérias.
O tema exige atenção redobrada no meio corporativo, pois pode ser que 
de nada adianta manter um padrão de integridade elevado internamente e, ao 
mesmo tempo, contratar um prestador de serviço que não tenha os mesmos pa-
drões – tal situação, muito provavelmente, impactará negativamente no negócio, 
podendo causar prejuízos financeiros e reputacionais.
Monitoramento e auditoria 
O processo de monitoramento de um programa de integridade (compliance) visa 
ao seu aperfeiçoamento na prevenção, na detecção e no combate à ocorrência 
dos atos contrários às normas que regulam a organização (internas ou externas).
É esperado que um programa de integridade tenha implantado um processo 
de avaliação permanente, para avaliar a sua eficácia e detectar a assertividade, 
alcance, atingimento dos objetivos das ações realizadas, bem como detectar a 
necessidade ou não de mudanças a fim de que o programa cumpra com sua 
finalidade e esteja alinhado com as diretrizes e objetivos da empresa.
A etapa de monitoramento é fundamental para o sucesso do programa de 
integridade, especialmente, considerando o processo de gestão de riscos. Essa 
é uma etapa em que será reportada para o gestor ou para a alta administração 
a situação de gestão de riscos anteriormente mapeados e tratados; e assim será 
feito utilizando-se de indicadores. 
Isso não significa que ao monitorar e reportarnecessariamente todos os 
riscos anteriormente mapeados terão que ser eliminados para o programa ser 
considerado eficaz, até porque nem sempre é possível tratar todos os riscos de 
forma concomitante, devendo-se avaliar a probabilidade e impacto dos riscos 
para serem escolhidos aqueles que serão primeiramente tratados. 
Já o trabalho de auditoria merece uma diferenciação frente ao trabalho de 
monitoramento de compliance: 
1
1
1
 “ Enquanto a Auditoria Interna efetua seus trabalhos de forma alea-
tória e temporal, por meio de amostragens para certificar-se do 
cumprimento das normas e processos instituídos pela Alta Admi-
nistração, Compliance executa tais atividades de forma rotineira e 
permanente, monitorando-as para assegurar, de maneira corpora-
tiva e tempestiva, que as diversas unidades da instituição estejam 
respeitando as regras aplicáveis a cada negócio, ou seja, cumprindo 
as normas e processos internos para prevenção e controle dos riscos 
envolvidos em cada atividade. Compliance é um braço dos órgãos 
reguladores junto à administração no que se refere à preservação 
da boa imagem e reputação e às normas e controles na busca da 
conformidade (Febraban, [s. d.], p. 14).
Um monitoramento eficiente, bem-planejado, executado e documentado, pro-
picia a demonstração mais clara e objetiva do funcionamento e eficácia de um 
sistema de compliance. 
A ABNT NBR ISO 37.301 estabelece que a organização deve monitorar o 
sistema de gestão de compliance para assegurar que os objetivos de complian-
ce sejam alcançados, utilizando “[...] indicadores apropriados que orientem a 
organização na avaliação do alcance dos seus objetivos de compliance […]” e 
aponta expressamente que a informação documentada deve estar disponível 
como evidência dos resultados (ABNT, 2021, p. 18-19).
Sobre auditoria, a ABNT NBR ISO 37.301 estabelece que esse é um: “Pro-
cesso sistemático e independente, para obter evidência e avaliar objetivamente, 
para determinar a extensão na qual os critérios de auditoria são atendidos” 
(ABNT, 2021, p. 4).
UNIASSELVI
1
1
1
TEMA DE APRENDIZAGEM 7
Diferentemente da implantação de todo um sistema, a sua revisão e melhoria 
contínua podem não demandar tantos esforços, se feito de forma planejada e 
sistematizada, pois nem sempre, por exemplo, é necessário implantar um código 
de conduta integralmente novo, bastando pequenas adequações para atender a 
uma determinada necessidade. 
Não obstante, a revisão de uma política de brindes e hospitalidades pode ser 
muito mais simples quando bem estabelecida, de forma prévia e inicial, quais 
os limites da organização e padrões de conduta, ou seja, a implantação de um 
sistema de compliance é importante. Entretanto, a sua melhoria contínua tem 
importância colocada no mesmo patamar.
Acesse seu ambiente virtual de aprendizagem e confira a aula referente a este 
tema. Recursos de mídia disponíveis no conteúdo digital do ambiente virtual de 
aprendizagem.
EM FOCO
NOVOS DESAFIOS
Estudante, neste tema de aprendizagem, você teve a oportunidade de aprimo-
rar o seu aprendizado sobre o tema Compliance, agora especificamente com 
conteúdo sobre outros três temas que podem ser considerados, também, como 
pilares de um Sistema de Compliance: investigações internas, Due diligence, 
monitoramento e auditoria.
O que você deve levar para a sua vida profissional é que um sistema de com-
pliance deve ser encarado como um organismo vivo, em constantes mutação e 
evolução. É fundamental que o compliance esteja alinhado, estrategicamente, com 
os objetivos da organização, adequado à sua realidade e às suas especificidades.
Como essa realidade muda constantemente, é importante prever uma revi-
são periódica (que seja anual, por exemplo) de políticas da área de compliance. 
Contudo, como o dia a dia é dinâmico e fatos inesperados podem acontecer ou 
serem detectados, sempre que se percebam uma necessidade de adequação e a 
ocorrência de um fato (interno ou externo) que demande revisão do programa, 
isso deve ser feito, sob pena de investimento de recursos (operacionais, humanos 
1
1
8
e financeiros) de forma ineficiente, sem efetiva possibilidade de salvaguardar os 
interesses da organização.
Ao fazer uma reflexão se é legítimo e moral que as empresas, como con-
tratantes de empresas terceirizadas de mão de obra, alegam desconhecerem as 
condições de trabalho dos trabalhadores que lhes prestavam serviços, e se as 
empresas poderiam realizar diligências apropriadas para ter ciência das condi-
ções de trabalho daqueles que lhes prestam serviços, é forçoso concluir que não 
é legítimo ou moral escusar-se de suas responsabilidades, sendo que as elas têm 
condições, como toda e qualquer empresa, de realizar diligências para averiguar 
as circunstâncias da prestação de serviços que lhes foi disponibilizada.
Pois de nada adianta propagar que é uma empresa que atua conforme o sis-
tema normativo vigente e, ao mesmo tempo, omitir-se ou ser negligente frente 
à contratação e execução de contrato por uma terceirizada em seu próprio be-
nefício. Essa é uma situação que expõe todos os envolvidos, gerando danos não 
só financeiros, mas também reputacionais, que podem ter custo altíssimo ao 
negócio, prejudicando sua sustentabilidade.
UNIASSELVI
1
1
9
1. Avaliação de desempenho: monitoramento, medição, análise e avaliação (indicadores reati-
vos e proativos, denúncias, reclamações, análise e classificação das informações), auditoria 
interna, análise crítica pela direção, ambas devendo ser com intervalos planejados;
Melhoria: não conformidade e ação corretiva (medidas para controlar e corrigir não con-
formidades do sistema, gerenciar as consequências, análise da causa raiz e da eficácia 
das medidas corretivas tomadas), escalonamento (mecanismos para relatos de suspeitas 
de má conduta ou violação das obrigações de compliance, confidencialmente e sem 
medo de retaliação), melhoria contínua (de adequação, suficiência e eficácia do sistema 
de gestão) (Soares, 2022).
Dentre as alternativas, assinale a correta:
a) Monitoramento e melhoria contínua são mecanismos fundamentais para a solidez e 
a eficácia de um sistema de gestão de compliance, de forma que este corresponda à 
realidade da organização na qual está implantado e esteja alinhado com seus objetivos.
b) Monitoramento, em um sistema de gestão de compliance, corresponde ao sistema de 
câmeras de vigilância implantado e monitorado continuamente a fim de evitar a prática 
de ilícitos na organização.
c) O Monitoramento, em um sistema de gestão de compliance, independe de indicadores 
estabelecidos para aferição do sistema, sendo muito mais importante que este seja 
realizado, no mínimo, a cada dois anos.
d) Após implantado um sistema de gestão de compliance, este é considerado concluído, 
não havendo necessidade de alterações enquanto não houver mudança legislativa a 
respeito ou alteração da norma ABNT NBR ISO 37.301.
e) Monitoramento e auditoria são sinônimos, e devem sempre ser realizados por consulto-
rias externas, sob pena de não terem validade.
AUTOATIVIDADE
1
8
1
2. Existe também o custo de não conformidade decorrente do dano à imagem ou à reputa-
ção institucional, o qual é geralmente ignorado por não ser de fácil mensuração, embora 
seja imprescindível para a continuidade das instituições financeiras. Imagine um banco 
com a reputação de que lava dinheiro do narcotráfico, mesmo que essa informação não 
seja verdade, ou aquele com fama de não honrar compromissos financeiros. Em ambas as 
hipóteses, a reputação definirá o rumo das instituições. No contexto geral, o custo de não 
estar em compliance abrange danos à imagem da organização e de seus funcionários, isso 
sem contar a perda do valor da marca, a má alocação de recursos e redução da eficiência 
e da inovação, a cassação de licença de operação ou outro ato administrativo pertinente 
(autorização, permissão ou concessão), e as sanções administrativas, pecuniárias e até mes-
mo criminais, dependendo do caso e custos secundáriosnão previstos (com advogados, 
contabilistas, consultores etc.) (Silva; Covac, 2019).
Dentre as alternativas, assinale a correta:
a) Um processo de Due diligence não tem influência na decisão e tratamento de um risco 
reputacional.
b) A realização de diligências apropriadas previamente à contratação de um terceiro garante 
que a contratante não sofrerá risco reputacional em razão daquela contratação.
c) A realização de diligências apropriadas previamente à decisão de realizar o patrocínio 
financeiro em favor de determinado atleta pode evitar que posições públicas pessoais 
dele impactem negativamente na empresa patrocinadora.
d) O processo de Due diligence visa sempre eliminar totalmente os riscos financeiros e 
reputacionais a que a empresa está exposta.
e) A realização de diligências apropriadas só é possível antes da contratação ou realização 
de doação, ou patrocínio, pois que após feita a contratação não é possível romper a 
parceria.
AUTOATIVIDADE
1
8
1
3. As investigações internas não se iniciam obrigatoriamente com um evento traumático. Há 
várias possíveis fontes para uma investigação interna. Às vezes, a investigação interna se 
origina timidamente após a auditoria da pessoa jurídica identificar algum fato suspeito. 
A maioria deses fatos em raras oportunidades é relevante: pode haver falhas de proce-
dimentos e processos, os quais são identificados e podem ser sanados. Em outros casos 
menos comuns, as falhas nesses procedimentos e processos escondem tentativas de 
burlar, ou burlas efetivas, a legislação e os procedimentos internos. Em outras ocasiões, a 
investigação interna pode se iniciar com uma denúncia. De fato, mesmo a auditoria interna 
não consegue identificar todas as burlas – os malfeitores podem ser bastante experientes 
em escamotear os fatos e cumprir as regras internas. Para que a investigação interna se 
origine, é necessário que a denúncia seja recebida e processada adequadamente. Rela-
cionado a este aspecto, uma das boas práticas para um programa de compliance efetivo 
é a existência de canais estruturados, apropriados e bem divulgados para o recebimento 
das denúncias (Carvalho et al., 2021).
Dentre as alternativas, assinale a correta:
a) O processo de investigação interna de uma denúncia é realizado com a participação da 
Polícia Civil, para apurar a prática de condutas ilícitas e contrárias ao Código de Conduta 
da organização.
b) As investigações internas em uma empresa ou qualquer outra organização sempre de-
vem ser realizadas pelo departamento jurídico interno, para garantir a legalidade e a 
imparcialidade.
c) Em um processo de investigação interna, de acordo com a Lei Anticorrupção, toda en-
trevista realizada deve ser integralmente gravada em vídeo, necessariamente, para ficar 
registrado de forma 100% fidedigna o conteúdo da oitiva.
d) É altamente recomendável que um processo de investigação interna tenha um plane-
jamento prévio e diretrizes estabelecidas para a realização da apuração, sua conclusão 
e decisão.
e) As investigações internas servem para apurar tão somente condutas ilegais cometidas 
na organização.
AUTOATIVIDADE
1
8
1
REFERÊNCIAS
ABNT. NBR ISO 37301. Sistemas de gestão de compliance – requisitos com orientações para uso. 
Target, 2021. Disponível em: https://www.target.com.br/produtos/normas-tecnicas/45661/
nbriso37301-sistemas-de- gestao-de-compliance-requisitos-com-orientacoes-para-uso. Aces-
so em: 11 nov. 2024.
BRASIL. Lei n° 12 .846, de 1 de agosto de 2013. Dispõe sobre a responsabilização administrativa e 
civil de pessoas jurídicas pela prática de atos contra a administração pública, nacional ou estran-
geira, e dá outras providências. Brasília, DF: Casa Civil D. O. U., 2013. Disponível em: http://www.
planalto.gov.br/CCIVIL_03/_Ato2011-2014/2013/Lei/L12846.htm. Acesso em: 18 nov. 2024.
RASIL. Decreto n° 11 .129, de 11 de julho de 2022. Regulamenta a Lei nº 12.846, de 1º de agos-
to de 2013, que dispõe sobre a responsabilização administrativa e civil de pessoas jurídicas 
pela prática de atos contra a administração pública, nacional ou estrangeira. Brasília, DF: Se-
cretaria-Geral, D. O. U., 2022. Disponível em: http://www.planalto.gov.br/CCIVIL_03/_Ato2019-
2022/2022/Decreto/D11129.htm. Acesso em: 13 nov. 2024.
CARVALHO, A. C. et al. Manual de Compliance. Rio de Janeiro: Forense, 2021, p. 241..
FEBRABAN. Função de Compliance. [S. l.]: FEBRABAN, [s. d.]. Disponível em: chrome-exten-
sion://efaidnbmnnnibpcajpcglclefindmkaj/https://www.febraban.org.br/7rof7swg6qmyvwjc-
fwf7i0asdf9jyv/sitefebraban/funcoescompliance.pdfhttp://www.abbi.com.br/download/fun-
caodecompliance_09.pdf. Acesso em: 8 nov. 2024.
SERPA, A. da C. Compliance descomplicado. São Paulo: Editora Alexandre da Cunha Serpa], 
2016.
SILVA, D. C.; COVAC, J. R. Programa de integridade no setor educacional: manual de Complian-
ce. São Paulo: Cultura, 2019.
SOARES, F. L. (org.). GRC – Governança, Risco e Compliance. Temas contemporâneos: aspectos 
teóricos e práticos. Rio de Janeiro: Lumen Juris, 2022.
WARDE JR., W. J. Fusões, incorporações e aquisições aspectos societários, contratuais e re-
gulatórios, In: Fusão, cisão, incorporação e temas correlatos. WARDE JR. (Coord.). São Paulo: 
Quartier Latin, 2009.
1
8
1
1. Alternativa A. De fato, monitoramento e melhoria contínua são mecanismos fundamentais para 
a solidez e eficácia de um sistema de gestão de compliance, de forma que este corresponda 
à realidade da organização na qual está implantado e esteja alinhado com seus objetivos. 
b) Incorreta. Na perspectiva de um sistema de gestão de compliance, monitoramento não 
tem relação com câmeras de vigilância. 
c) Incorreta. O monitoramento depende, sim, de indicadores adequados para a aferição do 
sistema. 
d) Incorreta. Um sistema de gestão de compliance deve ser considerado um organismo vivo, 
em constante mutação e evolução, independente de alterações normativas concretas, 
pois as próprias relações comerciais e pessoais podem demandar a revisão/atualização 
do sistema (integral ou parcialmente). 
e) Incorreta. Monitoramento e auditoria não são sinônimos, sendo ferramentas distintas em 
um sistema de compliance, bem como podem ser realizados por equipes internas.
2. Alternativa C. De fato, a realização de diligências apropriadas previamente à decisão de 
realizar o patrocínio financeiro em favor de determinado atleta pode evitar que posições 
públicas pessoais deste impactem negativamente na empresa patrocinadora. 
a) Incorreta. O processo de Due diligence tem influência e pode ser decisivo para a tomada 
de decisão e tratamento de um risco reputacional. 
b) Incorreta. A realização de diligências apropriadas previamente à contratação de um 
terceiro não garante que a contratante não sofrerá risco reputacional em razão daquela 
contratação, sendo finalidade primordial do processo de Due diligence a coleta de infor-
mações para subsidiar a tomada de decisão do responsável pela contratação. 
d) Incorreta. O processo de Due diligence não tem como garantir a eliminação de riscos 
financeiros ou reputacionais, mas tem por finalidade a obtenção de informações para 
subsidiar a tomada de decisão do responsável pela contratação. 
e) Incorreta. É perfeitamente possível e recomendável que a realização de diligências 
apropriadas seja mantida durante a execução contratual ou de determinada parceria, 
até para averiguar se as condições existentes à época da contratação não se alteraram 
ou se requerem adequações ou cessação.
GABARITO
1
8
4
3. Alternativa D. É altamente recomendável que um processo de investigação interna tenha 
um planejamento prévio e diretrizes estabelecidas para a realização da apuração, sua con-
clusão e decisão. 
a) Incorreta. O processo de investigação interna não requer a participação da Polícia Civil, 
até porque esta atua na investigação de condutas tipificadas criminalmente. 
b) Incorreta. As investigações internas em uma empresa ou qualquer outra organização não 
precisam ser realizadas pelo departamento jurídicointerno, podendo ser realizadas por 
outro funcionário ou equipe designada, os quais podem ter a assessoria do departamento 
jurídico, caso este exista. 
c) Incorreta. Em um processo de investigação interna não é necessário que as entrevistas 
realizadas sejam gravadas em vídeo, devendo-se seguir as diretrizes (como em uma 
política interna específica ou planejamento da investigação) pré-estabelecidas pela 
organização para a realização do ato; além do que a Lei Anticorrupção não trata desse 
aspecto. 
e) Incorreta. As investigações internas não servem para apurar tão somente condutas 
ilegais cometidas na organização, podendo tratar de condutas contrárias aos padrões 
estabelecidos na organização (tal como no Código de Conduta, que não é uma lei), e 
devendo estar aberta para possíveis achados (além daquela notícia de fato que originou 
a investigação).
GABARITO
1
8
5
MINHAS ANOTAÇÕES
1
8
1
MINHAS ANOTAÇÕES
1
8
1
MINHAS METAS
TECNOLOGIA E INOVAÇÃO EM 
GESTÃO DE RISCO E COMPLIANCE
Conhecer as principais ferramentas e suporte de gestão de risco e compliance.
Explorar o uso de Inteligência Artificial na Gestão de Risco e Compliance.
Saber como utilizar a Análise de Dados na Gestão de Risco e Compliance.
Investigar os benefícios do uso da Inteligência Artificial na Gestão de Risco e Compliance.
Analisar os desafios da Transformação Digital na Gestão de Risco e Compliance.
Identificar as Oportunidades da Transformação Digital na Gestão de Risco e Compliance.
Dominar algumas práticas recomendadas para superar os desafios à Transformação 
Digital na Gestão de Risco e Compliance.
T E M A D E A P R E N D I Z A G E M 8
1
8
8
INICIE SUA JORNADA
Estudante, a rápida evolução da tecnologia e a crescente complexidade do am-
biente regulatório impõem novos desafios para a gestão de risco e compliance nas 
empresas. Ao mesmo tempo em que ferramentas inovadoras, como inteligência 
artificial, análise preditiva e automação, prometem transformar a maneira como 
as organizações gerenciam riscos e garantem a conformidade, elas também le-
vantam questões éticas, de privacidade e de segurança.
Até que ponto a dependência dessas tecnologias compromete a autonomia 
e a análise crítica dos profissionais de compliance e gestão de risco? Além disso, 
a automação e o uso de dados massivos podem criar um ambiente de vigilância 
corporativa que conflita com o respeito à privacidade dos colaboradores. Outro 
ponto crítico é o risco de vieses algorítmicos, que podem gerar análises equi-
vocadas e, assim, comprometer decisões organizacionais, levando a falhas de 
compliance ou a exposições desnecessárias a riscos.
A integração de tecnologia e inovação na gestão de risco e compliance re-
presenta uma das mudanças impactantes e necessárias para as organizações 
modernas. Em um ambiente de negócios marcado por constantes mudanças 
e crescente pressão regulatória, as empresas precisam de ferramentas que não 
apenas agilizem processos, mas que também aumentem a precisão e a eficácia 
na detecção e mitigação de riscos. 
Tecnologias como inteligência artificial, análise de big data e automação for-
necem insights em tempo real e uma visão preditiva, capacitando as organizações 
a tomarem decisões informadas e, idealmente, mais proativas. Nesse sentido você 
deve ter conhecimento de que a tecnologia e inovação em gestão de risco e com-
pliance não se restringem à aplicação de ferramentas avançadas, mas se estendem 
à forma como essas soluções devem ser implementadas com responsabilidade. 
É crucial que as organizações considerem os impactos éticos e sociais dessas 
tecnologias e busquem um equilíbrio entre eficiência, transparência e respeito 
aos direitos dos indivíduos. Dessa forma, a tecnologia não apenas apoia a con-
formidade e a gestão de riscos, mas também contribui para a construção de uma 
cultura corporativa sustentável, ética e resiliente.
UNIASSELVI
1
8
9
TEMA DE APRENDIZAGEM 8
DESENVOLVA SEU POTENCIAL
FERRAMENTAS E SISTEMAS DE SUPORTE À GESTÃO DE 
RISCO E COMPLIANCE
A gestão de risco e o compliance são elementos essenciais para as empresas que 
buscam operar de maneira segura e ética, conforme regulamentações internas e 
externas. Em um cenário de negócios cada vez mais complexo e regulado, con-
tar com ferramentas e sistemas que auxiliem a gestão de risco e compliance é 
fundamental para garantir não apenas a segurança operacional, mas também a 
transparência e a credibilidade da organização. 
A implementação de uma cultura de risco e compliance torna-se essencial 
para minimizar perdas financeiras, proteger a reputação da empresa e evitar 
sanções legais. Com o apoio de ferramentas e sistemas especializados, as organi-
zações conseguem realizar análises mais precisas, otimizar processos e assegurar 
que seus colaboradores sigam políticas e práticas éticas.
Você sabia que uma empresa também é vista como um sistema? Ouça o podcast 
a seguir e entenda como uma organização vista como um sistema pode auxiliar na 
gestão! Recursos de mídia disponíveis no conteúdo digital do ambiente virtual 
de aprendizagem.
PLAY NO CONHECIMENTO
VAMOS RECORDAR?
Antes de falarmos sobre as ferramentas de gestão de risco, é importante relembrar 
como realizar uma gestão de risco em uma empresa. Leia o artigo a seguir, e 
relembre como efetuar uma gestão de risco em uma organização. Acesse em: 
https://www.ibm.com/br-pt/topics/risk-management
1
9
1
https://www.ibm.com/br-pt/topics/risk-management
Ferramentas de suporte à Gestão de Risco e Compliance 
A seguir, listamos algumas das principais ferramentas e sistemas que facilitam e 
melhoram a gestão de risco e compliance em empresas de todos os portes:
 ■ GRC – Governança, Risco e Compliance: ferramentas de GRC (Gover-
nança, Risco e Compliance) são plataformas integradas que permitem 
uma gestão abrangente de risco e compliance. Essas ferramentas oferecem 
funcionalidades que ajudam a automatizar processos de identificação 
e análise de riscos, auditoria e monitoramento de compliance. O GRC 
fornece um sistema centralizado para gerenciar todas as políticas e pro-
cedimentos, assegurando que a organização atenda a todas as regulamen-
tações exigidas (Clavis, 2024). O GRC é composto por três bases:
Cultura de risco é um subconjunto da cultura organizacional. Molda a atitude cole-
tiva para gerenciar riscos. É importante para prevenir erros na organização.
Cultura de compliance é um conjunto de normas e obrigações que valorizam a 
ética. É uma prática que se volta para a conformidade com as leis externas e as 
normas internas. Deve ser uma prioridade central da empresa e vivenciada em 
todos os níveis da organização.
APROFUNDANDO
UNIASSELVI
1
9
1
TEMA DE APRENDIZAGEM 8
 ■ Governança: define os princípios e acordos que orientam as decisões 
e ações da empresa.
 ■ Gestão de riscos: identifica e analisa ameaças, e estabelece medidas 
para reduzi-las.
 ■ Gestão de compliance: garante que a empresa cumpra as leis e regu-
lamentações.
Clavis (2024) apresenta alguns dos principais softwares de GRC disponíveis 
no mercado:
SAP GRC
Um dos sistemas mais utilizados. Oferece uma gama de ferramentas para monitoramento 
de compliance e gestão de risco, além de possibilitar integração com outros módulos SAP.
SIEM (SECURITY INFORMATION AND EVENT MANAGEMENT)
É uma ferramenta tecnológica que combina funções de gerenciamento de informações 
de segurança e gerenciamento de eventos de segurança. Ele é projetado para oferecer 
uma visão centralizada e em tempo real das atividades de segurança em uma organiza-
ção, ajudando a identificar, monitorar e responder a incidentes de segurança. 
ERM (ENTERPRISE RISK MANAGEMENT)
É uma abordagem estratégica para identificar, avaliar, gerenciar e monitorar riscos que 
podem impactar os objetivos de uma organização. Essa metodologia abrange uma vi-
são ampla e integrada de todos os tipos de riscos (estratégicos, operacionais, financei-
ros, regulatórios, reputacionais, dentre outros), permitindo que as empresastomem de-
cisões mais informadas e maximizem suas oportunidades enquanto minimizam perdas.
IAM (IDENTITY AND ACCESS MANAGEMENT)
É um conjunto de políticas, processos e tecnologias que gerenciam e controlam o aces-
so de usuários a sistemas, dados e recursos em uma organização. O objetivo do IAM 
é garantir que as pessoas certas (ou sistemas) tenham acesso aos recursos certos, no 
momento certo, e apenas o acesso necessário para realizar suas tarefas.
1
9
1
Essas plataformas permitem que as empresas adotem uma visão holística do ris-
co, auxiliando na tomada de decisões informadas e no monitoramento contínuo 
das conformidades legais e regulatórias.
 ■ Ferramentas de Gerenciamento de Risco Operacional: o risco ope-
racional está relacionado a falhas internas, como erros de sistema, pro-
cessos ineficazes ou erros humanos. Para mitigar esses riscos, existem 
ferramentas específicas que permitem uma gestão detalhada de processos 
operacionais, identificando pontos vulneráveis e sugerindo melhorias. 
Alguns exemplos de risco operacional são:
 ■ falhas de sistema;
 ■ fraudes internas ou externas;
 ■ danos em ativos físicos;
 ■ descontinuidade de negócios;
 ■ descumprimento de leis;
 ■ indenizações por danos a terceiros.
DLP (DATA LOSS PREVENTION)
É um conjunto de tecnologias, políticas e processos projetados para evitar que informa-
ções sensíveis sejam divulgadas, acessadas ou transferidas de maneira não autorizada, 
seja intencionalmente ou acidentalmente. O objetivo principal é proteger dados confi-
denciais, como informações pessoais, financeiras, de propriedade intelectual ou dados 
regulamentados, garantindo conformidade com normas de segurança e privacidade.
UNIASSELVI
1
9
1
TEMA DE APRENDIZAGEM 8
Dentre essas ferramentas, Sartori (2024) destaca:
1
9
4
Essas ferramentas são ideais para empresas que buscam um monitoramento deta-
lhado de cada etapa de seus processos, visando à redução de riscos operacionais.
 ■ Ferramentas de Monitoramento de Compliance: as ferramentas de mo-
nitoramento de compliance são desenvolvidas para garantir que a em-
presa esteja sempre em conformidade com as regulamentações vigentes. 
Elas auxiliam no monitoramento das políticas e das práticas internas, fa-
cilitando o acompanhamento de mudanças legislativas e o cumprimento 
de requisitos regulatórios. 
UNIASSELVI
1
9
5
TEMA DE APRENDIZAGEM 8
Maluf (2023) destaca as principais ferramentas de compliance:
SISTEMAS DE GERENCIAMENTO DE COMPLIANCE
São um conjunto de processos, políticas, procedimentos e ferramentas utilizados por 
uma organização para garantir que suas operações estejam em conformidade com to-
das as leis, regulamentações, normas e diretrizes aplicáveis. 
SISTEMAS DE GERENCIAMENTO DE DOCUMENTOS
São uma ferramenta ou conjunto de processos utilizados para organizar, armazenar, 
rastrear e controlar documentos eletrônicos e em papel em uma organização.
SISTEMA DE AUTOMAÇÃO DE PROCESSOS
É uma tecnologia que utiliza softwares para automatizar tarefas repetitivas, baseadas 
em regras e rotinas em processos de negócios. 
FERRAMENTAS DE MONITORAMENTO DE TRANSAÇÕES
São soluções que permitem acompanhar, analisar e registrar transações em tempo real 
ou em períodos específicos dentro de um sistema, ou processo de negócios, visando 
garantir que as transações ocorram de forma segura, eficiente e conforme os requisitos 
regulatórios e operacionais.
FERRAMENTAS DE INTELIGÊNCIA ARTIFICIAL (IA) E ANÁLISE DE DADOS
São tecnologias que combinam algoritmos avançados de IA com técnicas de análise 
de dados para extrair informações, automatizar processos e tomar decisões informadas 
em grandes volumes de dados.
FERRAMENTAS DE TREINAMENTO E EDUCAÇÃO
São plataformas utilizadas para promover a aprendizagem e o desenvolvimento de habi-
lidades em organizações. Permitem a criação, gestão e monitoramento de programas de 
educação, facilitando o acesso a materiais de aprendizagem e a avaliação de desempenho. 
1
9
1
 ■ Ferramentas de Análise e Gestão de Riscos de Segurança Ciberné-
tica: a segurança cibernética é um dos principais riscos enfrentados 
pelas empresas atualmente. Sistemas voltados para a gestão de risco de 
segurança cibernética ajudam a proteger os dados e a infraestrutura 
contra ameaças, como ataques cibernéticos e vazamento de dados. Esses 
sistemas ajudam as empresas a evitarem danos financeiros e de repu-
tação relacionados a incidentes de segurança digital, um dos maiores 
desafios de compliance atualmente.
FERRAMENTAS DE DENÚNCIA E CANAL DE ÉTICA
São plataformas utilizadas para permitir que funcionários ou terceiros relatem com-
portamentos antiéticos, fraudes, assédios ou outras infrações de conduta. Esses canais 
garantem a confidencialidade e a proteção contra represálias, incentivando a transpa-
rência e o cumprimento de normas de conduta ética.
FERRAMENTAS DE AUDITORIA E AVALIAÇÃO
São instrumentos utilizados para monitorar, analisar e garantir a conformidade das ope-
rações de uma organização. Permitem avaliar a eficácia dos controles internos, identifi-
car áreas de melhoria e garantir que os padrões e políticas sejam seguidos. 
A utilização desses sistemas proporciona inúmeros benefícios para as empresas, 
conforme destaca Shea (2021): 
Automação de processos: reduz o tempo gasto com atividades manuais, permi-
tindo uma gestão mais ágil e eficiente.
Redução de erros e fraudes: com a automação, diminuem-se a incidência de er-
ros humanos e a possibilidade de fraudes.
Maior conformidade e transparência: assegura que todas as operações estejam 
em conformidade com as regulamentações, fortalecendo a confiança de clientes 
e parceiros.
Identificação e mitigação de riscos: as ferramentas permitem detectar riscos an-
tes que eles se tornem problemas maiores, ajudando a proteger a integridade fi-
nanceira e a reputação da empresa.
APROFUNDANDO
UNIASSELVI
1
9
1
TEMA DE APRENDIZAGEM 8
A escolha da ferramenta certa de-
pende das necessidades específicas 
de cada empresa, mas contar com 
uma plataforma que integre as 
atividades de governança, risco e 
compliance é um passo importan-
te para o sucesso e a segurança no 
ambiente corporativo.
1
9
8
Inteligência Artificial na Gestão de Risco e Compliance
Com a transformação digital em plena aceleração, o uso de inteligência artificial 
(IA) e análise de dados tem revolucionado a gestão de risco e compliance. As 
organizações, cada vez mais pressionadas por regulamentações complexas e por 
uma necessidade crescente de segurança e transparência, encontram um aliado 
estratégico nessas tecnologias para a tomada de decisões mais rápidas, precisas 
e informadas (Meyer et al., 2024)
A inteligência artificial e a análise de dados se destacam pela capacidade 
de processar grandes volumes de informações, identificar padrões ocultos e 
gerar insights em tempo real. Esses recursos são especialmente úteis em áreas 
de risco e compliance, em que a quantidade de dados a ser analisada é massiva 
e os prazos para a detecção de problemas são críticos (Meyer et al., 2024).
A IA pode ser aplicada em várias áreas do compliance, como:
 ■ Coleta de dados: a IA pode coletar dados de reclamações, denúncias e 
outros procedimentos, de forma ágil e eficiente.
 ■ Análise de documentos: a IA pode analisar documentos e políticas, iden-
tificando padrões de comportamento suspeito.
 ■ Monitoramento de transações: a IA pode monitorar transações comer-
ciais e alertar para pagamentos de risco.
 ■ Elaboração de contratos: a IA pode elaborar e analisar contratos com 
fornecedores e clientes.
 ■ Due diligence: a IA pode realizar due diligences mais inteligentes.
 ■ Monitoramento de processos: a IA pode monitorar os processos de com-
pliance de forma constante.
Essas tecnologias permitem às empresas identificarem rapidamente anomalias, 
fraudes e comportamentos suspeitos, monitorarem a conformidade com regu-
lamentações e normas, e automatizarem processos de auditoria. A análise de 
dados, por meio de métodos avançados de análise estatísticae machine learning, 
complementa a IA, fornecendo insights detalhados sobre riscos operacionais, 
financeiros e regulatórios (Meyer et al., 2024).
UNIASSELVI
1
9
9
TEMA DE APRENDIZAGEM 8
A seguir, detalharemos algumas das principais aplicações de inteligência ar-
tificial e análise de dados no contexto de gestão de risco e compliance, conforme 
Meyer et al. (2024):
 ■ Detecção e Prevenção de Fraudes: a IA é 
amplamente utilizada para detectar e preve-
nir fraudes, especialmente em setores como 
bancos, seguradoras e varejo, em que transa-
ções financeiras são constantes e o risco de 
fraudes é elevado. Algoritmos de machine 
learning conseguem analisar padrões de transação e identificar anoma-
lias em tempo real. (Meyer et al., 2024). Por exemplo:
 ■ Análise preditiva: a partir de dados históricos, modelos preditivos iden-
tificam padrões de comportamento associados a fraudes, permitindo que 
as empresas antecipem possíveis eventos de fraude antes que ocorram.
 ■ Redes neurais e aprendizado profundo (deep learning): essas tec-
nologias podem identificar padrões complexos e correlacionar dados 
aparentemente desconexos para detectar atividades fraudulentas so-
fisticadas, como lavagem de dinheiro ou manipulação de mercado.
Com esses recursos, as empresas conseguem agir rapidamente para 
bloquear transações suspeitas e proteger os ativos da organização.
 ■ Automatização de Compliance e Monitoramento de Conformidade: 
Segundo Meyer et al. (2024), a conformidade com regulamentações é 
um dos maiores desafios enfrentados pelas empresas modernas, devido 
à constante evolução das normas e à complexidade de implementá-las 
em nível operacional. A IA facilita esse processo ao monitorar, em tem-
po real, se as atividades e operações da empresa estão em conformidade 
com as normas vigentes, como regulamentos financeiros, leis de proteção 
de dados, como a LGPD (Lei Geral de Proteção de Dados) no Brasil e a 
GDPR (General Data Protection Regulation) na Europa, e leis ambientais.
A IA é amplamente 
utilizada para 
detectar e prevenir 
fraudes
1
1
1
UNIASSELVI
1
1
1
TEMA DE APRENDIZAGEM 8
Essas ferramentas auxiliam as empresas a manterem-se em conformidade de 
forma proativa, evitando penalidades e sanções regulatórias.
 ■ Avaliação de Risco Operacional: IA e a análise de dados também têm 
um papel importante na avaliação e gestão de riscos operacionais. Com o 
uso dessas tecnologias, as empresas conseguem identificar riscos internos, 
como falhas de processos e vulnerabilidades nos sistemas. Isso permite 
uma resposta mais rápida e a implementação de medidas preventivas 
antes que um problema se torne crítico (Meyer et al., 2024).
Algumas aplicações incluem:
Automação de políticas e controles de compliance: IA e análise de dados permi-
tem automatizar o monitoramento de políticas internas e externas, atualizando au-
tomaticamente os processos quando uma nova regulamentação é implementada.
Análise de linguagem natural (NLP): o NLP permite que as empresas interpretem 
textos complexos de regulamentações e normas, facilitando traduzir esses requi-
sitos em ações práticas e procedimentos internos.
APROFUNDANDO
Mapeamento de processos: a análise de dados pode mapear processos complexos 
e detectar pontos de falha, como etapas redundantes ou inconsistências que 
aumentam o risco operacional.
Monitoramento em tempo real: a IA consegue monitorar o desempenho das 
operações em tempo real e alertar sobre riscos iminentes, como uma falha de 
sistema ou uma interrupção na cadeia de suprimentos.
Com isso, as empresas podem reduzir prejuízos e evitar interrupções em suas operações.
 ■ Análise Preditiva e Gestão Proativa de Riscos: de acordo com Meyer 
et al. (2024), a análise preditiva utiliza dados históricos e algoritmos de 
aprendizado de máquina para prever possíveis eventos de risco no futuro. 
Isso inclui desde riscos financeiros, como a flutuação de taxas de câmbio, 
1
1
1
até riscos de mercado e de reputação. A análise preditiva permite uma 
gestão proativa de riscos, com ações que evitam ou minimizam os im-
pactos desses eventos.
Cenários simulados e teste de estresse: IA e análise de dados podem simular 
diferentes cenários para testar como a organização responderia a eventos especí-
ficos, como crises financeiras ou mudanças regulatórias. Isso facilita o desenvolvi-
mento de planos de contingência.
Modelagem de riscos financeiros: com a análise preditiva, as empresas conse-
guem calcular a probabilidade de eventos que afetam a estabilidade financeira, 
como inadimplência de clientes ou flutuações econômicas.
APROFUNDANDO
A modelagem de riscos financeiros em compliance envolve:
 ■ construir modelos que simulam os riscos e suas interdependências;
 ■ refinar os modelos para se adaptar a novos dados e mudanças no mercado;
 ■ relatar e visualizar os riscos por meio de painéis, relatórios e alertas;
 ■ desenvolver estratégias para mitigar os riscos;
 ■ monitorar a conformidade com os padrões regulatórios;
Essas previsões ajudam a organização a preparar-se para enfrentar eventos ad-
versos de forma mais eficaz.
 ■ Gerenciamento de Reputação e Análise de Sentimento: o gerenciamen-
to de reputação é uma área crítica para a gestão de risco, especialmente 
nesta era, na qual redes sociais e plataformas digitais influenciam dire-
tamente a imagem da empresa. A análise de sentimento, impulsionada 
por técnicas de IA, consegue identificar e interpretar as emoções dos 
consumidores em relação à marca. Vejamos as principais aplicações no 
Gerenciamento de Reputação e Análise de Sentimento:
UNIASSELVI
1
1
1
TEMA DE APRENDIZAGEM 8
1
1
4
Esse monitoramento permite que a empresa aja rapidamente em resposta a po-
tenciais crises de imagem, mitigando os impactos negativos na sua reputação. O 
uso de inteligência artificial e análise de dados está transformando a gestão de 
risco e compliance, oferecendo às empresas ferramentas poderosas para ante-
ciparem, monitorarem e responderem a riscos proativamente. A adoção dessas 
tecnologias permite uma visão mais ampla e precisa sobre os riscos e a confor-
midade, essencial para a segurança e a competitividade no cenário atual.
Com os avanços em IA e machine learning, será possível prever riscos antes 
que eles se concretizem, baseando-se em dados históricos e em tempo real 
para identificar sinais de alerta precoce. Ferramentas de IA também poderão 
ajustar automaticamente políticas e procedimentos de compliance em resposta 
a mudanças nas regulamentações, reduzindo o tempo e o esforço necessários 
para manter a conformidade.
Além disso, os sistemas de IA poderão fornecer recomendações para a toma-
da de decisões em áreas de GRC, ajudando conselheiros e gestores a tomarem 
decisões mais bem fundamentadas.
Desafios e oportunidades da transformação digital na 
Gestão de Riscos e Compliance
A transformação digital vem redefinindo a maneira como as organizações li-
dam com seus processos, inclusive nas áreas de gestão de risco e compliance. 
A integração de tecnologias como inteligência artificial (IA), big data, auto-
mação e análise preditiva permite que empresas gerenciem riscos e garantam 
conformidade de forma mais eficaz e dinâmica. No entanto, essa transformação 
traz também desafios significativos, que vão desde a segurança de dados até a 
adaptação à mudança cultural nas organizações.
Monitoramento de redes sociais e notícias: ferramentas de IA podem monitorar 
em tempo real menções à empresa nas redes sociais e na mídia, alertando sobre 
potenciais crises de reputação.
Análise de feedback de clientes: a IA consegue analisar comentários e feedbacks 
de clientes, identificando padrões de insatisfação que podem representar um risco 
à reputação da marca.
UNIASSELVI
1
1
5
TEMA DE APRENDIZAGEM 8
A transformação digital refere-se ao processo de incorporar tecnologias 
digitais para modernizar operações, criar novos modelos de negócios e melho-
rar a eficiência organizacional. No contexto de gestão de risco e compliance, 
essas tecnologiaspermitem uma análise mais rápida e detalhada dos dados, 
automatizam processos de conformidade e aprimoram o monitoramento de 
riscos. Isso ajuda as organizações a identificarem, responderem e mitigarem 
riscos com maior precisão (Zendesk, 2024).
As tecnologias digitais proporcionam às áreas de risco e compliance diversas 
oportunidades de aprimoramento. Dentre elas, Tramontin (2020) destaca:
1
1
1
Apesar das vantagens, o uso de IA e análise de dados na gestão de risco e com-
pliance apresenta alguns desafios. No Quadro 1, temos os tipos de desafios, os 
problemas que podem causar e as possíveis soluções.
UNIASSELVI
1
1
1
TEMA DE APRENDIZAGEM 8
Quadro 1 – Desafios da transformação digital na gestão de risco e compliance 
Fonte: adaptado de Vasconcellos (2024).
DESAFIO PROBLEMA SOLUÇÃO
Segurança e 
Proteção de 
Dados
Com o aumento da digitali-
zação e a utilização de dados 
em grande escala, as empre-
sas enfrentam um maior risco 
de ataques cibernéticos e 
vazamento de dados. 
Investir em segurança digital, 
como criptografia de dados 
e autenticação multifatorial, 
além de realizar auditorias 
frequentes para identificar 
vulnerabilidades.
Complexidade 
e Integração de 
Sistemas
As ferramentas digitais para 
risco e compliance devem 
ser capazes de se comunicar 
e trocar dados com sistemas 
existentes sem comprometer 
a consistência e a qualidade 
da informação.
Adotar uma abordagem 
estratégica para integração, 
com planejamento e escolha 
de ferramentas compatíveis, 
além de considerar plata-
formas que ofereçam APIs 
abertas para facilitar a comu-
nicação entre sistemas.
Qualidade e 
Governança 
de Dados
Dados imprecisos ou in-
completos comprometem a 
capacidade de a IA fornecer 
previsões precisas e insights 
acionáveis.
Implementar uma governança 
de dados sólida, que inclua a 
padronização e a limpeza de 
dados, além de processos de 
validação e auditoria.
Mudança 
Cultural e 
Adaptação dos 
Colaboradores
A transformação digital exige 
que os colaboradores se 
adaptem a novas tecnologias 
e processos. Muitas vezes, 
há resistência à mudança, 
especialmente na área de 
compliance e auditoria.
Investir em treinamentos para 
os colaboradores compreen-
derem o valor das novas 
tecnologias e serem capacita-
dos para utilizar ferramentas 
digitais eficazmente.
Custo Inicial e 
ROI (Retorno 
sobre 
Investimento)
A adoção de novas tecno-
logias pode envolver altos 
custos iniciais, representando 
um desafio para organiza-
ções que precisam justificar o 
investimento.
Realizar uma análise de 
custo-benefício detalhada 
e estabelecer metas claras 
de ROI, para assegurar que 
o investimento trará valor à 
organização a longo prazo.
1
1
8
Para aproveitar as oportunidades e mitigar os desafios da transformação digital, 
é fundamental que as empresas adotem uma abordagem estratégica para a im-
plementação de novas tecnologias. 
Algumas práticas recomendadas por PMO team (2024) incluem:
 ■ Avaliação e Planejamento: antes de adotar qualquer tecnologia, as em-
presas devem avaliar as suas necessidades específicas e estabelecer um 
planejamento cuidadoso, incluindo os objetivos e o escopo da digitali-
zação em risco e compliance.
 ■ Parcerias e Inovação: trabalhar com empresas de tecnologia e startups 
pode ajudar a organização a incorporar inovações de forma mais rápida 
e com maior suporte. Plataformas de GRC e soluções de automação ofe-
recem integrações facilitadas e atualizações contínuas.
 ■ Educação e Capacitação dos Colaboradores: treinamentos contínuos 
ajudam os colaboradores a se adaptarem às novas tecnologias e melhoram 
a aceitação da transformação digital.
 ■ Monitoramento e Melhoria Contínua: o monitoramento contínuo do 
desempenho das novas tecnologias e a adaptação constante às mudanças 
do mercado e da regulamentação são fundamentais para o sucesso.
Ao equilibrar oportunidades e desafios, as empresas podem usar a transforma-
ção digital para construir uma gestão de risco e compliance mais ágil, eficaz e 
resiliente, preparada para os desafios e as demandas do futuro digital.
Gostou do que discutimos até aqui? Tenho mais para conversar com você a respei-
to deste tema. Vamos lá? Recursos de mídia disponíveis no conteúdo digital do 
ambiente virtual de aprendizagem.
EM FOCO
UNIASSELVI
1
1
9
TEMA DE APRENDIZAGEM 8
NOVOS DESAFIOS
Estudante, como vimos, a gestão de risco e compliance 
deixou de ser uma escolha e tornou-se uma necessidade 
para empresas que buscam operar de forma responsável e 
transparente. Nesse sentido, você deve ter ciência de que as 
ferramentas e sistemas de suporte desempenham um papel 
essencial para as organizações estarem preparadas para lidar 
com a complexidade do ambiente regulatório e os riscos 
operacionais. 
Ao investir nesses sistemas, as empresas conseguem rea-
lizar uma gestão mais eficiente, identificando riscos com an-
tecedência e assegurando conformidade com as legislações 
vigentes. Outro fato que você deve ter em mente é que, ao 
investir em IA e análise de dados, as organizações não apenas 
fortalecem suas operações, mas também constroem uma base 
sólida de confiança e transparência. Essa abordagem tec-
nológica representa o futuro da gestão de risco e compliance, 
alinhando-se a um ambiente de negócios mais seguro, ético 
e eficiente.
A transformação digital oferece oportunidades inéditas 
para aprimorar a gestão de risco e compliance, desde a auto-
mação e monitoramento em tempo real até a análise preditiva 
e a conformidade com regulamentações de privacidade. No 
entanto, também traz desafios que exigem uma adaptação 
cultural, uma abordagem robusta de segurança e uma infraes-
trutura tecnológica bem planejada.
1
1
1
1. A implementação de práticas de GRC (Governança, Riscos e Compliance) tem ganhado 
relevância dada a crescente complexidade do cenário corporativo global, marcada pela 
rápida evolução tecnológica, regulamentações cada vez mais rigorosas e o aumento de 
ameaças cibernéticas.
Nesse contexto, o GRC vem se destacando como um modelo que não apenas protege as 
empresas contra riscos, mas também cria um ambiente mais eficiente, seguro e transparente, 
com impactos positivos na percepção de valor da organização (Clavis, 2024). 
O Sistema que oferece uma gama de ferramentas para monitoramento de compliance e ges-
tão de risco, além de possibilitar integração com outros módulos do sistema é chamado de:
a) SAP GRC.
b) SIEM (Security Information and Event Management).
c) ERM (Enterprise Risk Management).
d) IAM (Identity and Access Management).
e) DLP (Data Loss Prevention).
2. Muitas ferramentas para análise de risco foram desenvolvidas para segmentos específi-
cos, com foco em propósitos específicos. Várias dessas ferramentas tiveram sua aplicação 
ampliada, com ou sem adaptações – o que é bem comum em gestão. Novas ferramentas 
vêm surgindo, dada a evolução contínua das necessidades. Há várias ferramentas que 
podem ser bons norteadores para análise de riscos, mas nem sempre o uso de uma só 
pode ser suficiente. Por isso, o especialista deve ter ciência que, em muitos casos, precisará 
de informações analisadas em diversas ferramentas para uma tomada de decisão mais 
assertiva (Sartori, 2024). 
Com relação às ferramentas de Gerenciamento de Risco Operacional analise as afirmativas 
a seguir:
I - A Análise de Markov captura percepções individuais sobre eventos, causas e consequên-
cias e as apresenta graficamente para exame e análise. 
II - A BIA – Análise de impacto nos negócios – substitui a árvore de falhas quando é mais 
fácil desenvolver sequências de eventos do que relações causais. 
III - A ferramenta LOPA (Análise de camadas de proteção) realiza uma análise (qualitativa e 
quantitativa) da redução de um risco obtida por um controle ou camadas de controle.
AUTOATIVIDADE
1
1
1
É correto o que se afirma em:
a) I, apenas.
b) III, apenas.
c) I e II, apenas.
d) II e III, apenas.
e) I, II e III.
3. A estratégia de transformação digital é a abordagem abrangente de uma organizaçãopara 
adotar tecnologias digitais nos processos de negócios. Ela envolve repensar antigos mo-
delos de negócios, processos e experiências do cliente para gerar vantagem competitiva 
em um mundo que prioriza o digital (PMO TEAM, 2024). 
Com base nas informações apresentadas, avalie as asserções a seguir e a relação proposta 
entre elas:
I - Antes de adotar qualquer tecnologia, as empresas devem avaliar as suas necessidades 
específicas.
PORQUE
II - Trabalhar com empresas de tecnologia pode ajudar a organização a incorporar inovações 
de forma mais rápida e com maior suporte.
A respeito dessas asserções, assinale a alternativa correta:
a) As asserções I e II são verdadeiras, e a II é uma justificativa correta da I.
b) As asserções I e II são verdadeiras, mas a II não é uma justificativa correta da I.
c) A asserção I é uma proposição verdadeira e a II é uma proposição falsa.
d) A asserção I é uma proposição falsa e a II é uma proposição verdadeira.
e) As asserções I e II são falsas.
AUTOATIVIDADE
1
1
1
REFERÊNCIAS
CLAVIS. Segurança da Informação. GRC: o guia completo sobre governança, ris-
cos e compliance. Clavis, Rio de Janeiro, 2024. Disponível em: https://clavis.com.br/
guia-completo-grc-governanca-riscos-compliance/#:~:text=Quais%20são%20as%20ferramen-
tas%20de%20GRC%20mais%20usadas%3F,Management%29%20...%204%20DLP%20%28Data%20
Loss%20Prevention%29%20. Acesso em: 18 nov. 2024.
MALUF, G. Quais são as principais ferramentas de Compliance? Antissuborno, 2023. Disponível 
em: https://antissuborno.com.br/quais-sao-as-principais-ferramentas-de-compliance/. Aces-
so em: 16 nov. 2024.
MEYER, A. et al. Compliance para utilização da inteligência artificial. Conjur, 2024. Disponível em: 
https://www.conjur.com.br/2024-fev-19/compliance-para-utilizacao-da-inteligencia-artificial/. 
Acesso em: 13 nov. 2024.
PMO TEAM. Como implementar uma estratégia de transformação digital. ClikUp, 12 abr. 2024. 
Disponível em: https://clickup.com/pt-BR/blog/152250/estrategia-de-transformacao-digital. 
Acesso em: 19 nov. 2024.
SARTORI, A. Ferramentas de análise de risco: 11 opções para a gestão da qualidade. Qualy-
team, 2024. Disponível em: https://qualyteam.com/pb/blog/ferramentas-de-analise-de-ris-
co/. Acesso em: 19 nov. 2024.
SHEA, S. Cibersegurança importância, ameaças e benefícios. Blog Minuto da Segurança, 2021. 
Disponível em: https://minutodaseguranca.blog.br/ciberseguranca-importancia-ameacas-e-
-beneficios/. Acesso em: 12 nov. 2024.
TRAMONTIN, G. L. A transformação digital nas empresas e a necessidade de um processo de 
compliance eficaz. Nwadv, c2020. Disponível em: https://nwadv.com.br/pt/conteudo/arti-
gos/a-transformacao-digital-nas-empresas-e-a-necessidade-de-um-processo-de-complian-
ce-eficaz/. Acesso em: 13 nov. 2024.
VASCONCELLOS. C. M. A. Compliance na era digital: desafios e soluções para empresas. 
Societário Digital, 9 abr. 2024. Disponível em: https://societariodigital.com.br/complian-
ce-na-era-digital/#:~:text=O%20compliance%20precisa%20ser%20uma%20prioridade%20
para%20as,e%20assegurar%20uma%20posição%20competitiva%20sustentável%20no%20mer-
cado. Acesso em: 17 nov. 2024.
ZENDESK. Qual o impacto da transformação digital? Desafios e tendências. Zendesk, 2024.Dis-
ponível em: https://www.zendesk.com.br/blog/impacto-transformacao-digital/. Acesso em: 16 
nov. 2024.
1
1
1
https://clavis.com.br/guia-completo-grc-governanca-riscos-compliance/#:~:text=Quais s%C3%A3o as ferramentas de GRC mais usadas%3F,Management%29 ... 4 DLP %28Data Loss Prevention%29 
https://clavis.com.br/guia-completo-grc-governanca-riscos-compliance/#:~:text=Quais s%C3%A3o as ferramentas de GRC mais usadas%3F,Management%29 ... 4 DLP %28Data Loss Prevention%29 
https://clavis.com.br/guia-completo-grc-governanca-riscos-compliance/#:~:text=Quais s%C3%A3o as ferramentas de GRC mais usadas%3F,Management%29 ... 4 DLP %28Data Loss Prevention%29 
https://clavis.com.br/guia-completo-grc-governanca-riscos-compliance/#:~:text=Quais s%C3%A3o as ferramentas de GRC mais usadas%3F,Management%29 ... 4 DLP %28Data Loss Prevention%29 
http://antissuborno.com.br/quais-sao-as-principais-ferramentas-de-compliance/
https://www.conjur.com.br/2024-fev-19/compliance-para-utilizacao-da-inteligencia-artificial/
https://clickup.com/pt-BR/blog/152250/estrategia-de-transformacao-digital
https://qualyteam.com/pb/blog/ferramentas-de-analise-de-risco/
https://qualyteam.com/pb/blog/ferramentas-de-analise-de-risco/
https://minutodaseguranca.blog.br/ciberseguranca-importancia-ameacas-e-beneficios/
https://minutodaseguranca.blog.br/ciberseguranca-importancia-ameacas-e-beneficios/
https://nwadv.com.br/pt/conteudo/artigos/a-transformacao-digital-nas-empresas-e-a-necessidade-de-um-processo-de-compliance-eficaz/
https://nwadv.com.br/pt/conteudo/artigos/a-transformacao-digital-nas-empresas-e-a-necessidade-de-um-processo-de-compliance-eficaz/
https://nwadv.com.br/pt/conteudo/artigos/a-transformacao-digital-nas-empresas-e-a-necessidade-de-um-processo-de-compliance-eficaz/
https://societariodigital.com.br/compliance-na-era-digital/#:~:text=O compliance precisa ser uma prioridade para as,e assegurar uma posi%C3%A7%C3%A3o competitiva sustent%C3%A1vel no mercado
https://societariodigital.com.br/compliance-na-era-digital/#:~:text=O compliance precisa ser uma prioridade para as,e assegurar uma posi%C3%A7%C3%A3o competitiva sustent%C3%A1vel no mercado
https://societariodigital.com.br/compliance-na-era-digital/#:~:text=O compliance precisa ser uma prioridade para as,e assegurar uma posi%C3%A7%C3%A3o competitiva sustent%C3%A1vel no mercado
https://societariodigital.com.br/compliance-na-era-digital/#:~:text=O compliance precisa ser uma prioridade para as,e assegurar uma posi%C3%A7%C3%A3o competitiva sustent%C3%A1vel no mercado
https://www.zendesk.com.br/blog/impacto-transformacao-digital/
1. Alternativa A. O Sistema SAP GRC é um dos sistemas mais utilizados, oferece uma gama 
de ferramentas para monitoramento de compliance e gestão de risco, além de possibilitar 
integração com outros módulos SAP. O Sistema SIEM (Security Information and Event Mana-
gement) é utilizado para a gestão de segurança, oferecendo acompanhamento em tempo 
real e análise de eventos de segurança. O Sistema ERM (Enterprise Risk Management) é 
essencial para identificar, avaliar e gerenciar riscos em toda a organização. O sistema IAM 
(Identity and Access Management) é crucial para gerenciar identidades e acessos na orga-
nização. O Sistema DLP (Data Loss Prevention) é essencial para proteger dados sensíveis 
contra vazamentos e perdas. 
2. Alternativa B. Alternativa I está incorreta, pois Análise de Markov é uma Técnica quantitativa 
aplicável a sistemas que podem ser descritos em termos de um conjunto de estados que 
se conectam pela probabilidade de transição entre si. 
A alternativa II está incorreta, pois a BIA realiza uma análise de como eventos adversos po-
dem afetar as operações e objetivos de negócio para identificação de competências para 
gerenciá-los. 
3. Alternativa B. Antes de adotar qualquer tecnologia, as empresas devem avaliar as suas ne-
cessidades específicas e estabelecer um planejamento cuidadoso, incluindo os objetivos e 
o escopo da digitalização em risco e compliance. Trabalhar com empresas de tecnologia e 
startups pode ajudar a organização a incorporar inovações de forma mais rápida e com maior 
suporte. Plataformas de GRC e soluções de automação oferecem integrações facilitadas e 
atualizações contínuas.
GABARITO
1
1
4
MINHAS ANOTAÇÕES
1
1
5
MINHAS METAS
CULTURA ORGANIZACIONAL 
E RESPONSABILIDADE SOCIAL 
CORPORATIVA
Entender a importância de uma cultura de compliance. 
Explorar os pilares de uma gestão de risco e compliance.
Conhecer os benefícios da Sustentabilidade.
Investigar os elementos de integração da responsabilidade social e sustentabilidade.
Pesquisar práticas de responsabilidade social e sustentabilidade.
Verificar o impacto da gestão de risco e compliance na Reputação Corporativa.
Identificar benefícios do compliance e gestão derisco para a sociedade.
T E M A D E A P R E N D I Z A G E M 9
1
1
1
INICIE SUA JORNADA
Estudante, a construção de uma cultura de risco e compliance enfrenta desafios 
que vão além da simples adoção de políticas e normas. Como promover uma ver-
dadeira transformação cultural em organizações nas quais práticas inadequadas 
podem estar enraizadas? Como assegurar que todos os níveis hierárquicos com-
preendam e se comprometam com os valores de integridade e conformidade?
Um problema central é a resistência ao alinhamento entre comportamento 
individual e diretrizes institucionais, especialmente em contextos em que a per-
cepção de riscos é limitada ou a prioridade está em resultados de curto prazo. 
Além disso, há a dificuldade de equilibrar o rigor das normas com a flexibilidade 
necessária para a inovação e a competitividade no mercado.
Uma cultura robusta de risco e compliance 
permite que as empresas antecipem desafios, ge-
renciem incertezas e evitem impactos negativos 
decorrentes de não conformidades ou falhas em 
processos críticos. Além disso, fortalece a confian-
ça de stakeholders, como clientes, investidores e 
reguladores, assegurando que a organização opera 
de maneira ética, transparente e alinhada às normas legais e regulatórias.
Essa transformação cultural exige o engajamento da alta liderança, a cons-
cientização contínua dos colaboradores e a integração de mecanismos eficazes 
para identificar, avaliar e mitigar riscos. Dessa forma, é possível criar um am-
biente organizacional resiliente, proativo e preparado para enfrentar os desafios 
do mundo corporativo contemporâneo.
A interseção entre cultura organizacional e responsabilidade social corpora-
tiva (RSC) evidencia o papel central das organizações na promoção de um futuro 
sustentável e socialmente justo. A cultura organizacional, composta por valores, 
crenças e práticas compartilhadas, influencia diretamente como as empresas 
percebem e desempenham seu papel na sociedade. Por sua vez, a RSC desafia as 
organizações a irem além de seus objetivos financeiros, assumindo compromis-
sos éticos, ambientais e sociais.
Uma cultura 
robusta de risco e 
compliance permite 
que as empresas 
antecipem desafios
UNIASSELVI
1
1
1
TEMA DE APRENDIZAGEM 9
Em última análise, essa reflexão aponta para a importância de cultivar organizações 
que não somente coexistem com a sociedade, mas que ativamente contribuam para 
seu desenvolvimento, assumindo seu papel como agentes transformadores.
A adoção da RSC como parte da cultura organizacional não é apenas uma questão 
de responsabilidade moral; é também uma oportunidade de fortalecimento da 
marca, atração de talentos e construção de confiança com os stakeholders.
Você sabe a diferença entre Clima e Cultura Organizacional? Ouça o podcast a 
seguir e entenda a diferença entre esses conceitos, frequentemente confundidos 
nas organizações. Recursos de mídia disponíveis no conteúdo digital do ambien-
te virtual de aprendizagem.
PLAY NO CONHECIMENTO
VAMOS RECORDAR?
Antes de falarmos da cultura de risco e compliance é importante lembrarmos a 
governança corporativa e qual a relação entre ela e a cultura de risco e compliance. 
Assista ao vídeo a seguir e relembre o que é governança corporativa! Link: https://
www.youtube.com/watch?v=-0t73oMFW6Y&t=87s
1
1
8
https://www.youtube.com/watch?v=-0t73oMFW6Y&t=87s
https://www.youtube.com/watch?v=-0t73oMFW6Y&t=87s
DESENVOLVA SEU POTENCIAL
CONSTRUÇÃO DE UMA CULTURA DE RISCO E COMPLIANCE
 “ Cultura de compliance pode ser compreendida como o estabele-
cimento de um conjunto de obrigações e normas que valorizam a 
ética e promovem o envolvimento dos diferentes setores internos 
em benefício da conformidade. Através de toda essa mudança de 
comportamento, o que se espera é aumentar o engajamento e a de-
dicação dos colaboradores com os valores, novos objetivos e regras 
necessárias para estimular a presença do compliance por toda a 
organização (Cavalcanti, 2021, on-line).
Nos últimos anos, o ambiente corporativo tem enfrentado desafios crescentes 
relacionados à gestão de riscos e à conformidade regulatória. Escândalos finan-
ceiros, avanços tecnológicos e a crescente complexidade das legislações têm 
pressionado as organizações a desenvolverem uma cultura robusta de risco e 
compliance. Mais do que uma exigência regulatória, essa cultura é um diferencial 
competitivo e um pilar estratégico para a sustentabilidade empresarial.
A cultura de risco e compliance refere-se ao conjunto de valores, crenças e 
práticas de uma organização que orientam seus colaboradores a a identifica-
rem, avaliarem e mitigarem riscos, enquanto garantem o cumprimento de leis, 
normas e diretrizes internas. Essa cultura vai além da aplicação de controles e 
políticas; trata-se de integrar o comportamento ético e a responsabilidade em 
todos os níveis hierárquicos.
Cultura, segundo Laraia (2003), é a forma que o indivíduo enxerga o mundo confor-
me a ordem moral e valores da comunidade onde vive, resultando em uma herança 
cultural composta de diferentes comportamentos sociais e posturas corporais.
Risco, segundo Pardo (2017), é a possibilidade de perda decorrente de um deter-
minado evento, ou seja, riscos são os eventos que atrapalham os objetivos traça-
dos pela empresa, afetando-a negativamente.
APROFUNDANDO
UNIASSELVI
1
1
9
TEMA DE APRENDIZAGEM 9
De acordo com Cavalcanti (2021), o desenvolvimento de uma cultura de risco e 
compliance é importante para:
PREVENÇÃO DE PERDAS FINANCEIRAS E REPUTACIONAIS
Um sistema eficaz de risco e compliance ajuda a identificar vulnerabilidades, como a 
dificuldade de obter uma reserva financeira, e prevenir infrações que poderiam levar a 
penalidades financeiras e danos à reputação da empresa.
CONFORMIDADE COM LEIS E REGULAMENTOS
A complexidade do ambiente regulatório global exige que as empresas estejam prepa-
radas para atender normas locais e internacionais, evitando sanções legais.
FORTALECIMENTO DA GOVERNANÇA CORPORATIVA
A integração de práticas de compliance e gestão de riscos reforça a transparência e 
a confiabilidade na administração, aumentando a confiança de investidores, parceiros 
e clientes.
FOMENTO À SUSTENTABILIDADE E AO CRESCIMENTO
Empresas que incorporam valores éticos e práticas de risco em suas estratégias ten-
dem a ser mais resilientes, adaptando-se melhor às mudanças no mercado e fortale-
cendo sua posição competitiva.
Apesar dos benefícios, a construção de uma cultura de risco e compliance 
enfrenta obstáculos significativos, como resistência à mudança, custos iniciais 
de implementação e dificuldade em medir resultados intangíveis. Superar essas 
barreiras exige perseverança, estratégias personalizadas e, muitas vezes, apoio 
de consultorias especializadas.
Segundo Cavalcanti (2021), para o gestor da empresa implantar uma 
cultura de risco e compliance de forma eficaz, será necessário realizar as 
seguintes ações:
1
1
1
UNIASSELVI
1
1
1
TEMA DE APRENDIZAGEM 9
Com a digitalização e a crescente relevância de temas como ESG (Environ-
mental, Social, and Governance), a cultura de risco e compliance continuará 
evoluindo. Empresas precisarão integrar tecnologia, como análise de dados e 
inteligência artificial, para gerenciar riscos de forma mais eficiente. Além disso, 
a transparência e a responsabilidade social ganharão ainda mais destaque, de-
mandando que as organizações adotem uma abordagem proativa e inovadora.
RESPONSABILIDADE SOCIAL CORPORATIVA E 
SUSTENTABILIDADE
 “ A responsabilidade social consiste numa limitação efetiva do direito 
de propriedade dos proprietários ou dos acionistas em favor do uni-
verso de stakeholders, o que tem implicações ao nível do contrato 
social que funda e alicerça a sociedade e a economia contemporâ-
neas (Santos, 2012, p. 82-83).
A responsabilidade social corporativa (RSC) e a sustentabilidade têm emergido 
como pilares fundamentais para a sobrevivência e o sucesso das empresas no 
século XXI. Em um mundo no qual os consumidores, investidorese o 
Sistema de Gestão de Compliance. 
O Compliance pode ser definido como um sistema de gestão de riscos e de políti-
cas de conformidade às leis, às normas, aos padrões éticos e de integridade e aos 
regulamentos internos e externos a que está submetido um determinado negócio 
ou determinada organização (pública ou privada). 
APROFUNDANDO
Implantação do compliance
É fato que todos os negócios não farão a adequação de uma única vez. Também é 
fato que não há como propor um modelo de Compliance padronizado para todo 
e qualquer negócio. Entender o nível de maturidade (da área) de cada negócio 
é essencial ao sucesso da implantação e/ou do aperfeiçoamento das políticas de 
conformidade da organização.
UNIASSELVI
1
1
TEMA DE APRENDIZAGEM 1
A finalidade, ao se trabalhar para alcançar um nível de maturidade do Com-
pliance da organização, é oferecer uma visão simples e prática, a fim de auxiliar 
no planejamento das ações para a implantação e/ou o aprimoramento de um 
sistema de Compliance. Esse aprimoramento deve ser contínuo, visto que, ao se 
intitular sistema, entende-se que ele é cíclico, ou seja, está em constantes reava-
liação e aperfeiçoamento.
Segundo a ABNT (2021), o ciclo inicial de um Sistema de Gestão de Compliance 
eficiente e adequado às exigências legais e às especificidades de cada negócio deve:
 ■ Pautar-se na possibilidade de prevenir, detectar e remediar condutas de 
não conformidade com base em uma abordagem de gestão de riscos.
 ■ Agregar valor à empresa, trazendo-lhe benefícios econômicos e financeiros, 
de operação e reputacionais, com melhoria de oportunidades de negócios.
 ■ Demonstrar o comprometimento da empresa para gerenciar eficaz e 
eficientemente os próprios riscos de Compliance, com a promoção da 
cultura positiva de Compliance.
 ■ Minimizar o risco de ocorrência de uma violação de conformidade e 
possíveis danos disso decorrentes, como: existência de contencioso tra-
balhista (ações judiciais na área trabalhista), processos administrativos 
de responsabilização (PAR), imposição de sanções, responsabilização nas 
áreas cível e criminal, dentre outros.
Com a implantação do sistema com base na gestão de riscos, cumpre-se um 
requisito exigido por diversas contratações privadas. Além disso, é aprimorada 
a relação com entes públicos e proporcionados benefícios diretos às empresas 
com um Sistema de Gestão de Compliance já implantado. Em outras palavras, há 
um ganho real de perspectiva de novos negócios/parceiros comerciais (públicos 
e privados) e o aprimoramento de negócios já celebrados.
Ademais, é possível ter ganho de eficiência na operação do negócio. Não só, 
mas também é possível evitar e/ou reduzir fraudes e condutas irregulares (seja 
em relação à legislação externa à empresa, seja em relação às políticas internas), 
bem como evitar ou diminuir eventuais sanções e imposição de multas, como 
base, o faturamento da empresa.
1
1
UNIASSELVI
1
1
TEMA DE APRENDIZAGEM 1
Norma ABNT NBR ISO 11111 
A norma ABNT NBR ISO 37301 é uma norma certificadora internacional que 
teve a primeira edição veiculada no Brasil em 3 de junho de 2021. Ela trata 
dos requisitos de um Sistema de Gestão de Compliance e estabelece ações que 
convêm e podem ser praticadas pela organização.
É importante entender que a norma não substitui a legislação e os regula-
mentos vigentes ou as obrigações contratuais ou estatutárias. O SGC, na forma 
proposta pela ABNT NBR ISO 37301, deve refletir os valores, os objetivos, as 
estratégias e os riscos de cada organização, levando em consideração os con-
textos em que elas estão inseridas e os escopos definidos por elas, ou seja, os 
objetivos que se pretende atingir. 
A importância da ABNT NBR ISO 37301 reside no estabelecimento de 
orientações e requisitos claros para a implantação de um SGC, em especial, 
considerando que ela foi lançada no mundo todo, com a finalidade de viabilizar 
para as organizações uma ferramenta moderna para a implantação de um SGC. 
Isso não significa que todas as empresas devem seguir rigorosamente o que 
prevê a ABNT NBR ISO 37301, porém, caso desejem se certificar, a observância 
da norma é um requisito indispensável.
Determinar o escopo (delimitação de atividades) de um Sistema de Gestão 
de Compliance é o processo em que as organizações estabelecem os limites 
físico e organizacional no local em que o Sistema de Gestão de Compliance 
será aplicado. Ao fazer isso, a empresa tem a liberdade e a flexibilidade para im-
plementar o Sistema de Gestão de Compliance em toda a organização, em uma 
unidade ou em uma função específica dentro da organização (ABNT, 2021).
Importante ressaltar que a ABNT NBR ISO 37301 traz as diretrizes indispen-
sáveis para o perfeito funcionamento de um Sistema de Gestão de Compliance. 
A implantação do sistema agrega credibilidade e valor à marca da organização, 
impactando positivamente as relações comerciais dela e auxiliando na perenidade 
da empresa. Visto que, ao implantar um sistema de Compliance baseado na gestão 
de riscos, aumenta-se a competitividade da empresa no mercado (público ou pri-
vado), destacando-a em detrimento da credibilidade e da confiança que ela detém.
APROFUNDANDO
1
4
Portanto, a empresa quando for planejar o seu Programa de Compliance deve 
se basear na ABNT NBR ISO 37301 e ajustar as diretrizes de acordo com a sua 
realidade, devendo, inclusive, adicionar procedimentos que julgue serem impor-
tantes, que porventura não estejam contemplados na ABNT NBR ISO 37301.
Um Sistema de Gestão de Compliance eficaz permite que uma organização de-
monstre o próprio comprometimento em cumprir as leis pertinentes, os requisitos 
regulamentares, os códigos setoriais da indústria, as normas organizacionais, as 
normas de boa governança, as melhores práticas, geralmente aceitas, a ética e as 
expectativas da comunidade (ABNT, 2021).
Os objetivos da ABNT NBR ISO 37301/2021 são exibidos a seguir:
 ■ melhorar as oportunidades de negócio e sua sustentabilidade;
 ■ proteger e melhorar a credibilidade e a reputação da organização;
 ■ considerar as expectativas das partes interessadas;
 ■ demonstrar o comprometimento de uma organização para gerenciar efi-
caz e eficientemente seus riscos de compliance;
 ■ aumentar a confiança de terceiras partes na capacidade da organização 
de alcançar sucesso sustentado;
 ■ minimizar o risco da ocorrência de uma violação aos custos associados 
e dano reputacional (ABNT, 2021).
A referida norma também traz, de forma clara, as obrigações de Compliance, 
sejam as mandatórias (obrigatórias), sejam as não mandatórias (voluntárias), que 
são as obrigações em que a organização precisa, de forma sistemática, identificar 
e dimensionar o impacto que elas proporcionam nas operações, fazendo-o prefe-
rencialmente de forma setorizada (por departamentos, setores e funções), com o 
objetivo de identificar quem é afetado por determinada obrigação de Compliance.
Profissionais de Compliance 
Em um SGC, é possível encontrar a figura do profissional da área, o Compliance 
Officer, e profissionais com outras denominações, tais como: analista de Complian-
UNIASSELVI
1
5
TEMA DE APRENDIZAGEM 1
ce, analista de riscos e Compliance, analista de Compliance e governança, analista 
de Compliance de investigação, dentre outras. Inúmeras são as oportunidades pro-
fissionais para atuar nessa área, as quais vão além da figura do Compliance Officer. 
É possível realizar a diligência de terceiros, proporcionar capacitações e trei-
namentos, elaborar o mapeamento de riscos, criar políticas internas, fazer o mo-
nitoramento e a auditoria, executar a apuração de denúncias, promover processos 
administrativos de responsabilização, dentre inúmeras outras funções.
É necessário destacar que o Compliance atua em diversas frentes: siste-
ma financeiro, anticorrupção, antissuborno, trabalhista, concorrencial, dentre 
várias outras áreas. Estar atento às especificidades e às necessidades de cada 
organização é um desafio do profissional da área e dee demais 
stakeholders estão cada vez mais atentos aos impactos sociais e ambientais das 
organizações, essas práticas representam uma vantagem competitiva e uma 
necessidade estratégica.
De acordo com Eusébio (2019), a RSC é o compromisso voluntário de uma orga-
nização em contribuir para o bem-estar da sociedade e do meio ambiente, indo 
além das obrigações legais. Essa abordagem envolve práticas que geram impacto 
positivo nos âmbitos econômico, social e ambiental, abrangendo desde o cuidado 
com os colaboradores até iniciativas que beneficiam a comunidade.
APROFUNDANDO
1
1
1
UNIASSELVI
1
1
1
TEMA DE APRENDIZAGEM 9
De acordo com a FIA (2024, on-line), para a implementação da Responsabilidade 
Corporativa, as empresas devem seguir as seguintes etapas:
 ■ Avaliação do Impacto Social e Ambiental da Empresa: a Avaliação do 
Impacto Social e Ambiental é um processo essencial para empresas que 
se comprometem com a responsabilidade social. Essa prática vai além 
do cumprimento de obrigações legais e reflete o compromisso ético da 
empresa em minimizar os impactos negativos de suas operações e maxi-
mizar os benefícios para a sociedade e o meio ambiente.
 ■ Ela permite identificar, medir e monitorar os efeitos das atividades da em-
presa em comunidades locais, grupos vulneráveis, ecossistemas e recursos 
naturais. Por meio de indicadores claros, como geração de empregos, pre-
servação ambiental e contribuição para o desenvolvimento sustentável, a 
avaliação auxilia a empresa a tomar decisões mais informadas e a alinhar 
suas práticas com os Objetivos de Desenvolvimento Sustentável (ODS).
 ■ Definição de Metas e Objetivos Claros: a definição de metas e ob-
jetivos de responsabilidade corporativa é um passo estratégico fun-
damental para alinhar as operações de uma empresa com princípios 
éticos, sociais e ambientais. Esses objetivos fornecem uma direção cla-
ra, permitindo que a organização estabeleça prioridades e concentre 
esforços em áreas que gerem impacto positivo para seus stakeholders 
e para a sociedade como um todo.
 ■ Além disso, esses objetivos ajudam a integrar a responsabilidade corpo-
rativa ao núcleo do negócio, demonstrando o compromisso da empresa 
em gerar valor compartilhado e contribuir para os Objetivos de Desen-
volvimento Sustentável (ODS). Quando comunicados de forma transpa-
rente, eles reforçam a confiança de clientes, colaboradores, investidores 
e da sociedade, consolidando a reputação da empresa como um agente 
responsável e comprometido com o futuro sustentável.
 ■ Envolvimento de Colaboradores e Stakeholders: o envolvimento de co-
laboradores e stakeholders é um elemento central para o sucesso da im-
plantação da responsabilidade corporativa. Esse engajamento garante 
que as iniciativas da empresa sejam genuínas, relevantes e efetivas, pois 
integra as perspectivas e necessidades de diferentes grupos impactados 
pelas atividades organizacionais.
1
1
4
 ■ Quando colaboradores e stakeholders estão alinhados aos objetivos de 
responsabilidade corporativa, cria-se um ambiente propício para inova-
ções sustentáveis, maior adesão às políticas propostas e, consequente-
mente, um impacto mais significativo na sociedade e no meio ambiente.
 ■ Comunicação das Iniciativas ao Público: a comunicação das iniciativas 
de responsabilidade social ao público é essencial para fortalecer a transpa-
rência, credibilidade e reputação de uma empresa. Informar de maneira 
clara e estratégica sobre as ações realizadas demonstra o comprometi-
mento com causas sociais e ambientais, além de evidenciar o impacto 
positivo gerado na sociedade.
É importante, também, que a empresa adote um tom transparente e evite 
práticas como a divulgação de informações enganosas sobre o impacto am-
biental. A consistência entre discurso e prática é fundamental para manter a 
confiança dos stakeholders.
Sustentabilidade
De acordo com Teixeira (2023), sustentabilidade se refere à capacidade de atender 
às necessidades do presente sem comprometer as gerações futuras. No contexto 
corporativo, significa adotar modelos de negócios que equilibram crescimento 
econômico, responsabilidade ambiental e justiça social.
UNIASSELVI
1
1
5
TEMA DE APRENDIZAGEM 9
Teixeira (2023) aponta os seguintes benefícios da sustentabilidade:
FORTALECIMENTO DA REPUTAÇÃO E DA MARCA
Empresas que investem em práticas sustentáveis são percebidas como éticas e com-
prometidas, atraindo consumidores, investidores e talentos.
REDUÇÃO DE RISCOS
A adoção de práticas sustentáveis reduz a exposição a riscos regulatórios, financeiros 
e reputacionais.
EFICIÊNCIA OPERACIONAL
A busca por sustentabilidade leva à otimização de recursos, como energia e água, re-
duzindo custos operacionais.
ENGAJAMENTO DOS STAKEHOLDERS
Colaboradores, clientes e parceiros tendem a se engajar mais com organizações que 
promovem causas sociais e ambientais.
ACESSO A NOVOS MERCADOS E OPORTUNIDADES DE INOVAÇÃO 
Empresas sustentáveis têm mais facilidade para explorar mercados emergentes e criar 
produtos ou serviços inovadores alinhados às demandas globais.
Para a Integração da Responsabilidade Social e Sustentabilidade, Fia (2024) de-
termina que a empresa deve adotar os seguinte elementos:
Embora distintas, RSC e sustentabilidade estão intrinsecamente conectadas: a 
RSC é a aplicação prática de princípios sustentáveis, enquanto a sustentabilidade 
fornece a base conceitual para orientar as ações de RSC.
APROFUNDANDO
1
1
1
UNIASSELVI
1
1
1
TEMA DE APRENDIZAGEM 9
Teixeira (2023) apresenta os seguintes exemplos de Práticas de RSC e Sustentabilidade:
De acordo com Ecos (2024), embora os benefícios sejam claros, implementar 
práticas de RSC e sustentabilidade apresenta desafios como:
CUSTO INICIAL ELEVADO
Muitos projetos sustentáveis demandam investimentos iniciais significativos, o que 
pode ser um obstáculo para pequenas empresas. 
1
1
8
À medida que a conscientização global cresce, espera-se que RSC e sustentabi-
lidade se tornem normas universais. Tendências como economia circular, ESG 
(Environmental, Social, and Governance) e investimento responsável moldarão 
o futuro das empresas.
Empresas que abraçam a transformação sustentável, hoje, estarão melhor 
posicionadas para enfrentar os desafios de amanhã, garantindo não apenas a so-
brevivência, mas também o crescimento em um mundo em constante evolução.
IMPACTO DA GESTÃO DE RISCO E COMPLIANCE NA 
REPUTAÇÃO E NA SOCIEDADE
No ambiente corporativo contemporâneo, a gestão de risco e compliance tornou-
se um componente estratégico indispensável. Não se trata apenas de cumprir 
obrigações legais ou evitar perdas financeiras, mas também de fortalecer a 
reputação da empresa e gerar impacto positivo na sociedade. No cenário atual, cada 
vez mais conectado e exigente, as práticas de risco e compliance desempenham 
um papel crucial na construção de confiança e na promoção de valores éticos.
MEDIR RESULTADOS INTANGÍVEIS
Algumas iniciativas têm impactos sociais e ambientais difíceis de quantificar.
RESISTÊNCIA À MUDANÇA
Organizações podem enfrentar resistência interna para adotar novos modelos de operação.
De acordo com Marcondes (2023), o Risco Reputacional é a possibilidade de uma 
empresa sofrer danos à sua imagem, o que pode ocasionar prejuízos financeiros, 
perda de clientes e dificuldade de obter financiamentos. Esse tipo de risco ocorre 
devido à prática ou comportamentos negativos de gestão, colocando em risco a 
imagem da empresa perante os seus clientes e a sociedade em geral. 
APROFUNDANDO
UNIASSELVI
1
1
9
TEMA DE APRENDIZAGEM 9
Riscos reputacionais são situações que podem prejudicar a imagem de uma em-
presa, como:
 ■ falta de transparência;
 ■ propaganda enganosa;
 ■ contratação de fornecedores pouco confiáveis;
 ■ problemas de qualidade nos produtos ou serviços;
 ■ vazamento de dados pessoais;
 ■ irregularidades contábeis;
 ■ problemas de atendimento e comunicação;
 ■ desrespeito ao meio ambiente;
 ■ falhas na proteção de dados;
 ■ invasões cibernéticas.No Quadro 1, podemos visualizar os impactos da gestão de risco e compliance 
na Reputação Corporativa, de acordo com Marcondes (2023):
REPUTAÇÃO 
CORPORATIVA
CONSEQUÊNCIA IMPACTO
Fortalecimento 
da Confiança dos 
Stakeholders.
Empresas com políticas efi-
cazes de risco e compliance 
transmitem confiança a inves-
tidores, clientes, colaborado-
res e parceiros.
Essa confiança é um ativo 
intangível valioso, que pode 
ser decisivo em mercados 
competitivos.
Proteção 
Contra 
Escândalos e 
Crises.
A negligência na gestão de 
riscos e compliance pode 
levar a escândalos que 
arruínam a reputação da 
organização, como casos de 
corrupção, fraudes e viola-
ções ambientais.
Empresas que implemen-
tam essas práticas têm mais 
resiliência para prevenir e 
gerenciar crises.
Reconhecimento 
de Marca e Valor 
de Mercado
Uma reputação sólida e ética 
pode elevar a percepção da 
marca e impulsionar o valor 
de mercado da empresa.
Consumidores tendem a pre-
ferir marcas que demonstram 
responsabilidade em suas 
operações.
1
1
1
Quadro 1 – impacto da Gestão de Risco e Compliance na reputação corporativa / Fonte: o autor.
Vantagem 
Competitiva
A transparência e o alinha-
mento aos valores éticos 
diferenciam a empresa da 
concorrência.
Consumidores valorizam 
práticas responsáveis.
Silva (2006) destaca os principais benefícios do compliance e gestão de risco 
para a sociedade:
PROMOÇÃO DE ÉTICA E INTEGRIDADE
Empresas que praticam compliance estabelecem padrões de conduta que influenciam po-
sitivamente o mercado e inspiram outras organizações a adotarem posturas semelhantes.
CONTRIBUIÇÃO PARA O BEM-ESTAR SOCIAL
A gestão responsável de riscos evita impactos negativos para comunidades, como de-
sastres ambientais ou problemas trabalhistas. Além disso, práticas éticas promovem 
igualdade e respeito aos direitos humanos.
ESTÍMULO AO DESENVOLVIMENTO SUSTENTÁVEL
Empresas comprometidas com os compliances ambiental e social ajudam a criar um am-
biente econômico mais sustentável, impactando positivamente a sociedade a longo prazo.
PREVENÇÃO DE CORRUPÇÃO E ILÍCITOS
Um sistema de compliance eficaz ajuda a combater práticas corruptas, promovendo 
um ambiente de negócios mais justo e transparente, que beneficia toda a sociedade.
Apesar dos impactos positivos, a gestão de risco e compliance enfrenta desafios. 
Lugarinho (2024) apresenta os principais:
UNIASSELVI
1
1
1
TEMA DE APRENDIZAGEM 9
Para maximizar positivamente os impactos da gestão de riscos na empresa e na 
sociedade a empresa pode adotar as seguintes estratégias segundo Eusébio (2019): 
CUSTO INICIAL E COMPLEXIDADE
Implementar programas robustos pode ser oneroso, especialmente para pequenas e 
médias empresas.
RESISTÊNCIA INTERNA
A adesão a novos processos ou a mudança de cultura organizacional pode encontrar 
barreiras entre colaboradores e líderes.
EVOLUÇÃO CONSTANTE DAS NORMAS
A velocidade com que leis e regulamentos mudam exige monitoramento contínuo e 
adaptação ágil.
DIFICULDADE NO GERENCIAMENTO
O gerenciamento de risco é um processo desafiador, porém a execução eficiente é pri-
mordial para solucionar os problemas. O não atendimento da legislação pode resultar 
em prejuízos financeiros e danos à reputação da empresa.
ERROS DE MONITORAMENTO
As ações de compliance são processos contínuos, sendo necessário um monitoramen-
to da equipe com relação ao cumprimento das regras criadas. Além de combater irre-
gularidades, ajuda na prevenção de erros.
FALHAS DO CANAL DE DENÚNCIAS
O canal de denúncias é uma das ferramentas mais importantes do programa de com-
pliance. Por meio dele, aumenta-se a credibilidade das ações diante dos funcionários, o 
que pode resultar no maior envolvimento da equipe nos processos.
1
1
1
 ■ Engajamento da Liderança: a alta gestão deve ser o exemplo de com-
promisso ético, promovendo uma cultura organizacional baseada em 
integridade.
 ■ Educação e Treinamento: treinamentos regulares ajudam colaboradores 
a compreenderem a importância do compliance e a identificarem riscos 
em suas áreas de atuação.
 ■ Monitoramento e Melhoria Contínua: auditorias periódicas e revisões 
de processos garantem a eficácia das políticas e a adaptação às mudanças 
no ambiente regulatório e gestão de qualidade.
 ■ Transparência e Comunicação: relatórios de compliance e ESG (En-
vironmental, Social, and Governance) demonstram o compromisso da 
empresa e reforçam a confiança dos stakeholders.
Algumas informações que podem ser incluídas em um relatório de compliance são:
 ■ resoluções;
 ■ instruções;
 ■ deliberações;
 ■ audiências e consultas públicas;
 ■ revisão e consolidação de normas;
 ■ custo de observância;
 ■ sandbox regulatório;
 ■ notas explicativas;
 ■ pareceres de orientação;
 ■ portarias.
Neste mundo no qual a transparência e a responsabilidade são cada vez mais 
valorizadas, empresas que investem em compliance e gestão de risco não ape-
nas asseguram sua longevidade, mas também contribuem para um ambiente de 
negócios mais ético e sustentável. A sinergia entre práticas responsáveis e resul-
tados positivos é o caminho para uma atuação corporativa que beneficia tanto a 
organização quanto a sociedade.
UNIASSELVI
1
1
1
TEMA DE APRENDIZAGEM 9
NOVOS DESAFIOS
Estudante, como vimos, construir uma cultura de risco e compliance não é apenas 
uma obrigação regulatória, mas uma oportunidade para criar valor sustentável. Ao 
investir em governança, ética e gestão de riscos, as empresas não apenas protegem 
seus ativos, mas também cultivam a confiança de seus stakeholders, posicionando-
se de forma estratégica para prosperar em um mercado cada vez mais desafiador.
Outro fator que você deve ter em mente é que 
a responsabilidade social corporativa e a sustenta-
bilidade não são apenas ideais éticos, mas motores 
de inovação e crescimento. Adotar essas práticas é 
essencial para construir um futuro no qual negócios 
e sociedade prosperem juntos. Para as empresas, o 
compromisso com esses valores é mais do que uma 
estratégia; é uma obrigação para com o planeta e as próximas gerações.
A gestão de risco e compliance transcende a função de proteger a em-
presa contra perdas financeiras ou problemas legais. Essas práticas são ins-
trumentos para construir reputação, fomentar a confiança e gerar impactos 
positivos na sociedade. Durante a sua jornada profissional serão exigidos de 
você compromisso, visão de longo prazo e engajamento com as diretrizes da 
organização. Esse desafio será superado pelos benefícios pela compreensão 
da cultura de risco e compliance da organização, se tornando um elemento 
essencial para o seu sucesso profissional.
Acesse seu ambiente virtual de aprendizagem e confira a aula referente a este 
tema. Recursos de mídia disponíveis no conteúdo digital do ambiente virtual de 
aprendizagem.
EM FOCO
A responsabilidade 
social corporativa e 
a sustentabilidade 
não são apenas 
ideais éticos
1
1
4
1. Cultura de compliance vai além de um conjunto de normas impostas aos seus colabora-
dores. Para adquirir esse cenário ideal, é preciso que todos entendam a importância de 
priorizar esse trabalho e, a partir daí, promover a conscientização geral em torno do que 
leva uma empresa à total conformidade (Cavalcanti, 2021).
Uma organização quando realiza a integração de práticas de compliance e gestão de ris-
cos reforçando a transparência e a confiabilidade na administração está fortalecendo qual 
princípio?
a) Reputação.
b) Conformidade com Leis.
c) Governança Corporativa.
d) Sustentabilidade.
e) Prevenção de Perdas.
2. Apesar dos benefícios, a construção de uma cultura de risco e compliance enfrenta obs-
táculos significativos, como resistência à mudança, custos iniciais de implementação e 
dificuldade em medir resultados intangíveis. Superar essas barreiras exige perseverança, 
estratégias personalizadas e, muitas vezes, apoio de consultorias especializadas (Caval-
canti, 2021). 
Sobre as ações que um gestor deve tomar para implantar uma cultura de risco e compliance 
numa empresa,analise as afirmativas a seguir:
I - A atuação do líder não é fundamental para a implantação de uma cultura de risco e 
compliance, bastando apenas promover o treinamento da equipe.
II - A empresa deve Investir em treinamentos dos colabores sobre prevenção de riscos e 
compliance.
III - A empresa deve elaborar políticas de compliance claras e procedimentos de prevenção 
de riscos bem definidos.
É correto o que se afirma em:
a) I, apenas.
b) III, apenas.
c) I e II, apenas.
d) II e III, apenas.
e) I, II e III.
AUTOATIVIDADE
1
1
5
3. A responsabilidade corporativa, também conhecida como responsabilidade social cor-
porativa (RSC), refere-se ao compromisso das empresas em conduzir suas operações de 
maneira ética, considerando não apenas o lucro, mas também os impactos sociais, ambien-
tais e econômicos de suas atividades. Isso inclui práticas como a redução das emissões de 
carbono, o tratamento justo dos trabalhadores, a transparência financeira e a contribuição 
para o desenvolvimento das comunidades onde operam (Ecos, 2024).
A primeira etapa para a implementação da Responsabilidade Corporativa na empresa é:
a) Avaliação do impacto social e ambiental.
b) Definição de metas e objetivos.
c) Envolver os stakeholders.
d) Comunicação das iniciativas ao público.
e) Envolver os colaboradores.
AUTOATIVIDADE
1
1
1
REFERÊNCIAS
CAVALCANTI, L. Cultura de compliance: engajamento em busca da conformidade. Blog Linka-
na, 2021. Disponível em: https://www.linkana.com/blog/cultura-de-compliance. Acesso em: 9 
dez. 2024.
ECOS. Responsabilidade Social Corporativa (RSC) E Sustentabilidade. Ecos, 2024. Disponível 
em: https://123ecos.com.br/docs/responsabilidade-social-corporativa-rsc/. Acesso em: 15 dez. 
2024.
EUSÉBIO, L. E. C. Responsabilidade social corporativa: sustentabilidade, reputação e gestão 
dos stakeholders. 2019, 81 p. Dissertação (Mestrado em Comunicação Estratégica) – NOVA 
FCSH, Nova Lisboa, 2019.
FIA. O que é responsabilidade social corporativa como implementar nas empresas?. Blog Fia, 
2024. Disponível em: https://fia.com.br/blog/responsabilidade-social-corporativa/. Acesso em: 
14 dez. 2024.
LARAIA, R. de B. Cultura, um conceito antropológico. 2. ed. Rio de Janeiro: Zahar, 1996.
LUGARINHO, H. Quais os principais desafios de um programa de compliance. Click Complian-
ce, 2024. Disponível em: https://clickcompliance.com/principais-desafios-programa-complian-
ce/. Acesso em: 19 fev. 2025.
MARCONDES, J. S. Risco reputacional: risco reputacional: o que é? características e como ge-
renciar. Gestão de Segurança Privada, 2023. Disponível em: https://gestaodesegurancaprivada.
com.br/risco-reputacional-
definicao-caracteristicas-prevencao/#google_vignette. Acesso em: 13 dez. 2024.
PARDO, P. Gestão de riscos. Maringá, PR: UniCesumar, 2017.
SANTOS, D. Responsabilidade social, desenvolvimento sustentável e território: que relação? In: 
DOMINGUES, I.; REMOALDO, P. (org.). Responsabilidade social organizacional: desenvolvimen-
to e sustentabilidade, 2012. P. 81-92.
SILVA, L. R. da. Benefícios do compliance e da gestão de riscos. Revista 
Científica Multidisciplinar Núcleo do Conhecimento, [s. l.], ano 6, ed. 12, v. 4, p. 123-147. dez. 2021. 
TEIXEIRA, J. C. Sustentabilidade: o que é, como funciona, benefícios e exemplos. Blog Fia, 2023. 
Disponível em: https://fia.com.br/blog/sustentabilidade/. Acesso em: 8 dez. 2024.
1
1
1
https://123ecos.com.br/docs/responsabilidade-social-corporativa-rsc/
https://gestaodesegurancaprivada.com.br/risco-reputacional-definicao-caracteristicas-prevencao/#google_vignette
https://gestaodesegurancaprivada.com.br/risco-reputacional-definicao-caracteristicas-prevencao/#google_vignette
https://gestaodesegurancaprivada.com.br/risco-reputacional-definicao-caracteristicas-prevencao/#google_vignette
1. Alternativa C. Para a proteção da reputação, a empresa deve estabelecer regras de complian-
ce de prevenção de riscos contra infrações e comportamentos antiéticos. Para a verificação 
se a empresa está em conformidade com leis, se faz necessário realizar uma auditoria do 
sistema de compliance. Transparência e confiabilidade é um dos princípios de governança 
corporativa que visam aumentar a confiança dos stakeholders. O Princípio da sustentabilidade 
significa adotar um modelo de negócio que equilibre o crescimento econômico, responsabi-
lidade ambiental e justiça social. Um sistema eficaz de risco e compliance ajuda a identificar 
vulnerabilidades e prevenir perdas.
2. Alternativa D. A afirmativa I está incorreta, pois os líderes devem demonstrar compromisso 
com práticas éticas e impulsionar a adesão a programas de risco e compliance. A afirmativa 
II está correta, pois investir em treinamentos regulares capacita os colaboradores a identificar 
riscos e a adotar comportamentos alinhados às normas e valores da organização. 
A afirmativa III está correta, pois a elaboração de políticas claras é essencial para guiar as 
ações dos colaboradores e criar consistência nos processos.
3. Alternativa A. A ordem correta das etapas para a implementação da responsabilidade cor-
porativa é: 1ª Avaliação do impacto social e ambiental; 2ª Definição de metas e objetivos; 
3ª Envolver os stakeholders e os colaboradores; 4ª Comunicação das iniciativas ao público.
GABARITO
1
1
8
MINHAS ANOTAÇÕES
1
1
9
MINHAS ANOTAÇÕES
1
4
1
	unidade 1
	INTRODUÇÃO À GESTÃO 
	DE RISCO E COMPLIANCE
	PRINCÍPIOS DE 
	GOVERNANÇA CORPORATIVA
	IDENTIFICAÇÃO E 
	AVALIAÇÃO DE RISCOS
	unidade 2
	ESTRATÉGIAS DE 
	MITIGAÇÃO DE RISCOS
	COMPLIANCE E ÉTICA EMPRESARIAL
	LEGISLAÇÃO E REGULAÇÃO
	unidade 3
	AUDITORIA E MONITORAMENTO
	TECNOLOGIA E INOVAÇÃO EM GESTÃO DE RISCO E COMPLIANCE
	CULTURA ORGANIZACIONAL E RESPONSABILIDADE SOCIAL CORPORATIVA
	Button 28: 
	Forms - Uniasselvi:todos os atores envolvidos 
na operação da organização. 
Todavia, o que faz profissional de Compliance? Como se forma ou se desen-
volve? Atuar com Compliance é uma profissão em ascensão e que não requer 
formação específica em determinado curso superior ou determinada certificação 
(salvo especificidades apresentadas durante a divulgação de determinada vaga 
ou mercado regulado no qual será exercida a função).
Há, no mercado, profissionais formados em Ciências da Computação, Direi-
to, Jornalismo, Administração, Psicologia, dentre várias outras formações possí-
veis (inclusive, técnicas). Dentre os requisitos para a seleção e a contratação de um 
profissional de Compliance, não há imposição legal de ter cursado determinado 
curso superior ou ter uma certificação específica. 
As principais atividades realizadas por um profissional de Compliance são:
 ■ Auxiliar na promoção da adequação da organização.
 ■ Engajar o pessoal envolvido a agir de forma correta e íntegra.
 ■ Provocar reflexões e decisões sobre as melhores práticas, ou seja, como 
fazer melhor.
 ■ Compreender os objetivos da organização e apresentar um plano de atua-
ção sob a perspectiva de gestão de riscos.
 ■ Fazer o acompanhamento sistemático de riscos de mercado de acordo 
com as políticas e os procedimentos internos.
 ■ Elaborar e aprimorar normas internas.
 ■ Atuar de forma consultiva com o negócio, mapeando os riscos.
 ■ Monitorar o ambiente regulatório pertinente.
1
1
 ■ Realizar processos de due diligence (diligências apropriadas para seleção 
ou contratação de terceiros).
 ■ Fazer investigações internas.
 ■ Promover treinamentos.
Basta ter determinada formação e/ou experiência para ser um bom profissional 
de Compliance? A resposta é negativa. O bom profissional de Compliance gera e 
agrega valor ao negócio, além de fazer a diferença na própria área de atuação. As 
empresas, ao contratarem um profissional da área, não desejam um viés de sub-
jetividade. As empresas querem dados, informações e um trabalho consistente e 
sistemático que contribua decisivamente para a sustentabilidade e a perenidade 
do negócio. O profissional de Compliance ajuda as organizações a saberem ‘o que’ 
e ‘como’ fazer no momento mais apropriado, a fim de gerar um resultado positivo 
diante de determinado evento, em especial, frente aos eventos de risco.
PENSANDO JUNTOS
Compliance da Vida Real
Essa obra traz histórias reais que ninguém nunca contou e fatos 
verídicos que ocorreram no mundo corporativo de empresas 
de diversos segmentos e portes do Brasil. Essa estimulante lei-
tura lhe mostrará quão sensíveis e angustiantes são as análises 
e investigações internas de casos envolvendo fraudes, assé-
dios, conflitos de interesses etc.
INDICAÇÃO DE LIVRO
Confira aqui a aula referente a este tema de aprendizagem. Recursos de mídia 
disponíveis no conteúdo digital do ambiente virtual de aprendizagem.
EM FOCO
UNIASSELVI
1
1
TEMA DE APRENDIZAGEM 1
NOVOS DESAFIOS
Estudante, é muito importante que você saiba que, dependendo dos aspectos 
econômico e administrativo dos quais você esteja tratando, as definições de risco 
podem ser ligeiramente diferentes. Portanto, é perfeitamente possível entender 
as implicações da Gestão de Risco para qualquer organização, utilizando os co-
nhecimentos que você adquiriu até agora.
Essa ideia de escolha é importante demais para os gestores. Só se associa 
ao risco quem quer. É evidente que alguns riscos que assumimos em nossas 
empresas, ao exercer nosso papel, podem parecer ter sido assumidos por falta 
de opção. Isso não é inteiramente verdade. Se o planejamento estratégico da 
empresa tivesse sido formulado de outra forma, a situação de ter apenas uma 
opção não teria acontecido.
Essas estratégias devem refletir de forma fiel os valores da organização e 
estar alinhadas com as características da organização, com a criação e a comu-
nicação de políticas/documentos de forma clara e objetiva, a fim de que todos 
os envolvidos possam compreender e aplicar as diretrizes de acordo com as 
áreas de atuação.
O Compliance agrega valor à empresa? Ao refletir sobre essa pergunta, o ob-
jetivo é que você não tenha dúvidas sobre a possibilidade de não somente evitar 
perdas mediante a implementação do Compliance, mas de resultar na geração 
de um valor positivo para a empresa. Um exemplo é agregar valor à marca e 
aumentar a competitividade no mercado em que ela atua.
O Compliance pode ser considerado uma ferramenta para atingir os objetivos 
da empresa? Ao refletir sobre essa pergunta, pretende-se que você, em especial 
após a leitura dessa obra, tenha certeza de que o Compliance é uma ferramenta que 
pode contribuir decisivamente para o alcance do resultado pretendido pelo negó-
cio, inclusive, para o alcance de forma mais eficiente, econômica ou mais rápida.
1
8
1. A classificação dos riscos parte de quatro pilares básicos que consideram as origens das 
incertezas associadas a cada um deles. 
O tipo de risco que está associado às possibilidades de ganhos ou perdas em ativos devido 
às oscilações das taxas de juros é chamado de:
a) Risco de Mercado.
b) Risco Operacional.
c) Risco de Crédito.
d) Risco Legal.
e) Risco Cambiário.
2. Compliance não existe apenas para assegurar que a instituição cumpra com suas obriga-
ções regulatórias, mas também para assistir à alta administração na sua responsabilidade 
de observar o arcabouço regulatório e as melhores práticas na execução das estratégias 
e dos processos decisórios (Silva; Covac, 2019).
Considerando a temática, assinale a alternativa correta:
a) A área de Compliance é estabelecida em uma organização para dizer, taxativamente, o 
que é certo e o que é errado no dia a dia da organização.
b) A área de Compliance é estabelecida de forma a garantir a existência da ética e da 
integridade na cultura da organização, independentemente dos objetivos que sejam 
estabelecidos por ela.
c) A palavra Compliance, etimologicamente, não é proveniente da expressão em inglês to 
comply, que significa agir de acordo com alguma norma, pedido ou comando.
d) Compliance pode ser entendido como um veículo para a organização alcançar os pró-
prios objetivos e, dessa forma, é fundamental que a área responsável pelas políticas 
de conformidade tenha ciência e entenda o objetivo que a organização quer alcançar.
e) Historicamente, pode-se afirmar que o Compliance teve início em instituições do terceiro 
setor que lidam com refugiados ambientais.
AUTOATIVIDADE
1
9
3. Iniciar uma carreira em Compliance ou fazer uma transição de carreira para a área requer 
conhecimento técnico e habilidades comportamentais que contribuem decisivamente para 
o sucesso do profissional da área. Ainda, é possível afirmar que a carreira em Compliance 
está em franca ascensão e com um mercado de trabalho promissor (Rigon, 2023).
Com base nas informações apresentadas, avalie as asserções a seguir e a relação proposta 
entre elas:
I - O profissional de Compliance deve auxiliar na promoção e na adequação de conformi-
dade da organização.
PORQUE
II - Ele deve ter uma formação específica em Ciências Jurídicas.
A respeito dessas asserções, assinale a alternativa correta:
a) As asserções I e II são verdadeiras e a II é uma justificativa correta da I.
b) As asserções I e II são verdadeiras, mas a II não é uma justificativa correta da I.
c) A asserção I é uma proposição verdadeira e a II é uma proposição falsa.
d) A asserção I é uma proposição falsa e a II é uma proposição verdadeira.
e) As asserções I e II são falsas.
AUTOATIVIDADE
1
1
REFERÊNCIAS
ABNT. NBR ISO 37301. Sistemas de gestão de compliance – Requisitos com orientações para 
uso. Rio de Janeiro: ABNT, 2021.
BRASIL. Decreto nº 11 .129, de 11 de julho de 2022. Regulamenta a Lei nº 12.846, de 1º de agos-
to de 2013, que dispõe sobre a responsabilização administrativa e civil de pessoas jurídicas 
pela prática de atos contra a administração pública, nacional ou estrangeira. Brasília, DF: Pre-
sidência da República, 2022. Disponívelem: http://www.planalto.gov.br/CCIVIL_03/_Ato2019-
2022/2022/Decreto/D11129.htm. Acesso em: 17 ago. 2024.
DAMODARAN, A. Gestão estratégica do risco: uma referência para a tomada de riscos empre-
sariais. Porto Alegre: Bookman, 2009.
DUARTE JUNIOR, A. M. Gestão de Riscos para fundos de investimentos. São Paulo: Prentice 
Hall, 2005.
RODRIGUES, J. A. Gestão de risco atuarial. São Paulo: Saraiva, 2008. 
RIGON, R. de O. A. Compliance. Indaial: Arqué, 2023.
SERPA, A. da C. Compliance descomplicado: um guia simples e direto sobre Programas de 
Compliance. [s. l.]: Alexandre da Cunha Serpa, 2016. E-book.
SILVA, D. C.; COVAC, J. R. Programa de integridade no setor Educacional. Manual de Complian-
ce. São Paulo: Cultura, 2019.
1
1
1. Alternativa A. O Risco Operacional é o tipo de risco que está associado a possíveis perdas 
decorrentes de falhas em sistemas, erros humanos, falhas em controles que pudessem 
evitar ocorrências indesejáveis.
O Risco de Crédito é o tipo de risco que está associado à possibilidade do não pagamento 
de um valor previamente acordado.
O Risco Legal é o tipo de risco que está associado à possibilidade de que os contratos as-
sumidos entre partes não se realizem.
O risco cambiário não é classificado como um tipo de risco empresarial, fazendo parte do 
risco de mercado.
2. Alternativa D. De fato, o Compliance é uma ferramenta de gestão disponível à organização 
na qual está inserido, para que ela alcance os próprios objetivos. Para isso, ela deve ter cla-
reza prévia sobre quais são esses objetivos, a fim de informá-los ao setor de Compliance. O 
Compliance não é um setor usado para dizer o que está certo ou errado, mas para mapear 
riscos e propor soluções e caminhos a serem seguidos. Isso nunca deve estar desconectado 
dos objetivos da organização. O termo “Compliance”, originariamente, provém da expressão 
em inglês “to comply” e, historicamente, teve início em instituições financeiras.
3. Alternativa C. O profissional de Compliance, de fato, pode ser exposto a situações não co-
muns e deve auxiliar na promoção e na adequação de conformidade da organização. Para 
tanto, deve ter raciocínio crítico. Não há exigência prévia de formação em determinado curso 
superior, independentemente de qual seja, a fim de que se possa exercer função na área 
de Compliance, mas são exigidas algumas habilidades, como empatia e estar disposto a 
contribuir com todos os setores da organização.
GABARITO
1
1
MINHAS ANOTAÇÕES
1
1
MINHAS METAS
PRINCÍPIOS DE 
GOVERNANÇA CORPORATIVA
Entender o conceito de Governança Corporativa.
Demonstrar os aspectos históricos da Governança Corporativa.
Discernir os princípios da Governança Corporativa.
Identificar o papel da Governança na Gestão de Risco e Compliance.
Explorar as estruturas de Governança eficazes. 
Perceber a relação entre governança, risco e compliance.
T E M A D E A P R E N D I Z A G E M 2
1
4
INICIE SUA JORNADA
Estudante, temos visto nos últimos anos o registro de vários escândalos corpo-
rativos referente a práticas financeiras desonestas, como fraudes de demonstra-
ções financeiras, com o intuito de evidenciar uma boa situação financeira da 
empresa valorizando o preço de suas ações. Essa prática, além de gerar prejuí-
zos para os investidores, gera uma desconfiança no mercado. Assim, o que deve 
ser feito para criar mecanismos de segurança para os acionistas da empresa?
Diante desse cenário, é cada vez mais necessária a disseminação de boas 
práticas de gestão. Essas boas práticas são chamadas de governança corporativa, 
que atualmente se tornou um item essencial, não somente para a proteção dos 
acionistas, mas também como um instrumento de divulgação e prestação de 
contas dos administradores ao mercado.
Existem muitos interessados no desempenho das empresas por motivos 
diversos que precisam ter segurança sobre as informações coletadas. Para pro-
porcionar essa segurança, as empresas utilizam-se de práticas de governança 
corporativa procurando atender as necessidades desses interessados. 
Diante do exposto, será que essas práticas são realmente adotadas pelas 
empresas? Ou será que essas práticas são suficientes para inibir que gestores 
mal intencionados realizem práticas não éticas? Neste tema de aprendizagem, 
serão apresentadas às principais práticas de governança corporativa, visando 
apresentar um ambiente de maior transparência e segurança ao mercado e a 
todos os stakeholders.
Você sabe como funciona uma Assembleia de Acionistas de uma empresa? Es-
cute este podcast e descubra mais sobre as características e atribuições de uma 
Assembleia de acionistas! Recursos de mídia disponíveis no conteúdo digital do 
ambiente virtual de aprendizagem.
PLAY NO CONHECIMENTO
UNIASSELVI
1
5
TEMA DE APRENDIZAGEM 2
DESENVOLVA SEU POTENCIAL
CONCEITO DE GOVERNANÇA CORPORATIVA
O célere desenvolvimento empresarial dos últimos anos e principalmente o 
aumento da pressão pela apresentação de bons resultados levaram as empresas 
ao desenvolvimento de práticas de gestão diversas. Algumas dessas práticas 
geram conflitos com os stakeholders, criando desconfiança e colocando a em-
presa numa situação de risco.
Nos últimos anos, com as práticas de administração modernas, houve uma 
mudança nas funções entre os proprietários das empresas e os profissionais 
contratados para dirigirem a empresa. Essa separação de funções deu origem 
a interesses conflitantes entre as partes, podendo gerar decisões prejudiciais ao 
desenvolvimento da empresa. Dessa forma, os mecanismos da governança cor-
porativa surgem para diminuir ou corrigir esses conflitos. 
Diante disso, a governança corporativa se mostra como o instrumento de 
garantia que os recursos utilizados pelas empresas em suas atividades sejam 
orientados a assegurar resultados que atendam ou excedam as expectativas dos 
stakeholders. Mas, afinal, o que seria governança corporativa?
VAMOS RECORDAR?
Você se lembra do que é compliance? E qual a sua importância para as empresas? 
Assista ao vídeo a seguir e relembre um dos principais instrumentos da Governança 
Corporativa! https://www.youtube.com/watch?v=JgCXxyY0tl4&t=28s
A governança corporativa pode ser definida como um sistema de gestão que tem 
por base um conjunto de princípios que orientam os gestores a terem uma boa 
relação com as partes interessadas de uma organização, visando criar valores e 
resultados financeiros satisfatórios para ambos. Esse sistema tem como base regras, 
boas práticas e processos que são controlados pela empresa.
1
1
https://www.youtube.com/watch?v=JgCXxyY0tl4&t=28s
Objetivamente, a finalidade da governança corporativa é evitar o risco de desvio 
de recursos empresariais pelos gestores, decorrentes dos conflitos de interesse 
com as partes interessadas. Nesse sentido, a utilização de boas práticas de gover-
nança ocasiona o aumento da percepção de valor da organização, melhorando 
o seu desempenho e o interesse de potenciais investidores.
Os gestores devem compreender o ambiente regulatório e do mercado em que a 
empresa está inserida para assegurar que os interesses de todas as partes interessadas 
estejam equilibrados com os objetivos organizacionais. As técnicas da governança 
corporativa auxiliam na elaboração da estrutura decisória e de responsabilização 
de seus gestores, permitindo que os objetivos da organização sejam alcançados por 
meio da atuação assertiva e confiável dos gestores. Assim, a governança corporativa 
não se restringe apenas ao cumprimento de normas e regulamentos, mas também, 
à ação para a elaboração de altos padrões éticos e de liderança.
Os preceitos de governança corporativa devem incluir práticas internas e 
externas de monitoramento da gestão e inserir procedimentos de apoio à admi-
nistração e devem estar alinhados ao planejamento estratégico e operacional da 
empresa. Nesse sentido, a organização deve garantir a capacidade gerencial, o 
desenvolvimento de habilidades e motivação de seus gestores.
Quer saber mais sobre o conceito de governançacorporativa? Assista ao vídeo a 
seguir e conheça mais sobre essa importante filosofia empresarial! Acesse aqui: 
https://www.youtube.com/watch?v=-0t73oMFW6Y&embeds_referring_euri=ht-
tps%3A%2F%2Fwww.bing.com%2F&embeds_referring_origin=https%3A%2F%2F-
www.bing.com&source_ve_path=Mjg2NjY
EU INDICO
Histórico da governança corporativa
O estudo sobre governança corporativa ocorre desde o final do século XIX, mas 
foi a partir dos escândalos de fraudes financeiras de empresas americanas (Enron, 
WorldCom, Tyco, Adelfia etc.), entre 2001 e 2002, que o assunto governança corpo-
rativa ganhou destaque. Para melhorar o grau de confiança no mercado financeiro 
dos Estados Unidos, foi promulgada a Lei Sarbanes-Oxley, apelidada de ‘Sox’.
UNIASSELVI
1
1
https://www.youtube.com/watch?v=-0t73oMFW6Y&embeds_referring_euri=https%3A%2F%2Fwww.bing.com%2F&embeds_referring_origin=https%3A%2F%2Fwww.bing.com&source_ve_path=Mjg2NjY
https://www.youtube.com/watch?v=-0t73oMFW6Y&embeds_referring_euri=https%3A%2F%2Fwww.bing.com%2F&embeds_referring_origin=https%3A%2F%2Fwww.bing.com&source_ve_path=Mjg2NjY
https://www.youtube.com/watch?v=-0t73oMFW6Y&embeds_referring_euri=https%3A%2F%2Fwww.bing.com%2F&embeds_referring_origin=https%3A%2F%2Fwww.bing.com&source_ve_path=Mjg2NjY
TEMA DE APRENDIZAGEM 2
Essa lei estabeleceu regras rígidas de contabilidade e governança corporativa, 
dentre elas a obrigatoriedade da manutenção de controles internos, transparên-
cia da gestão e o aumento das responsabilidades dos gestores. Ela passou a ser 
aplicada a todas as empresas que negociam suas ações na bolsa de valores ame-
ricana, inclusive as empresas estrangeiras, buscando restabelecer a confiança e 
segurança dos investidores.
1
8
Podemos citar outros fatores que contribuíram para a necessidade de estabelecer 
boas práticas de governança, tais como: a desregulamentação e integração global 
dos mercados de capitais e as crises nos mercados emergentes no final do século 
XX (crise asiática em 1997 e crise russa em 1998).
 “ A Organização para a Cooperação e Desenvolvimento Econômico 
(OCDE) exerceu um papel fundamental na consolidação das práti-
cas de governança corporativa. Em conjunto com governos nacio-
nais, organizações vinculadas ao mercado de capitais e corporações 
privadas, a OCDE publicou, em 1999, os Princípios de Governança 
Corporativa. Em 2004, a OCDE, em parceria com o Fundo Mone-
tário Internacional e o Banco Mundial, mapearam novos pontos 
essenciais para a edição da nova versão da publicação. Nesse sen-
tido, foram desenvolvidas orientações para assessorar membros e 
não membros da OCDE, bem como proporcionar diretrizes para 
bolsas de valores, investidores, corporações e entidades preocu-
padas em seguir as melhores práticas de governança. A partir de 
1999, os mercados de cada país passaram a propor novos modelos 
corporativos de gestão, motivados pela iniciativa da OCDE e por 
fatores internos e externos (ABBC, 2009, p. 27). 
No Brasil, podemos destacar, como os primeiros dispositivos sobre o tema, o 
Decreto 3.708, promulgado em 10/1/1919, que estabeleceu normas de funcio-
namento das sociedades limitadas; e posteriormente a Lei 6.404 de 15/12/1976, 
conhecida como Lei das Sociedades Anônimas, que estabeleceu regras de prote-
ção aos acionistas minoritários e práticas de governança corporativa.
Nos anos de 1990, houve a abertura comercial para investidores estrangeiros 
no Brasil, aumentando a atenção às práticas de governança corporativa e maior 
necessidade de transparência nas informações financeiras das empresas para os 
stakeholders. Nesse sentido, o governo brasileiro com o intuito de melhorar a 
Relembre o caso da empresa Eron que se tornou o maior escândalo de fraude 
contábil no mundo e que ensejou a promulgação da Lei Sarbanes-Oxley, lendo o 
artigo a seguir. Acesse em: https://www.youtube.com/watch?v=5DKwOJKHgJM
EU INDICO
UNIASSELVI
1
9
https://www.youtube.com/watch?v=5DKwOJKHgJM
TEMA DE APRENDIZAGEM 2
relação com investidores e demais stakeholders criou órgãos normalizadores e 
leis voltados para as práticas de governança corporativa. 
Vejamos os principais órgãos e normas criadas nos anos de 1990 e 2000:
 ■ Em 1995, foi criado o IBGC – Instituto Brasileiro de Governança Corporativa – 
que elaborou um código com as melhores práticas de governança corporativa.
 ■ Em 1999, a CVM – Comissão de Valores Mobiliários – estabeleceu que os 
fundos de pensão deveriam investir apenas em empresas de capital aberto. 
 ■ Em 2000, a Bolsa de Valores inicia o projeto do Novo Mercado, que es-
tabelece práticas de governança corporativa diferenciadas no mercado.
 ■ Em 2002, a CVM promulga uma norma que trata sobre a política de 
divulgação de ato ou fato relevante e, com outras entidades, lança o 
plano-diretor do mercado de capitais. Ainda nesse ano, edita uma 
cartilha sobre recomendações de governança corporativa.
 ■ Em 2004, a CVM determinou a criação de comitês de auditoria para as 
instituições financeiras.
Cabe ressaltar que todas essas iniciativas de normas, regulamentos e informações 
foram pensadas para melhorar a confiança e segurança do investidor.
4
1
Princípios da governança corporativa
Para orientar as empresas na implantação da filosofia da governança corpora-
tiva, visando compartilhar as melhores práticas e criar um clima de confiança 
internamente e na relação com terceiros, as empresas devem seguir os princí-
pios da governança corporativa. 
Segundo Andrade e Rossetti (2007, p. 140), os princípios de governança 
corporativa são: 
EQUIDADE 
Senso de justiça, igualdade no tratamento dos acionistas. Respeito aos direitos dos 
acionistas minoritários, por participação equânime com a dos majoritários, tanto no au-
mento da riqueza corporativa quanto nos resultados das operações ou, ainda, na pre-
sença ativa em assembleias gerais. 
TRANSPARÊNCIA
Transparência das informações, especialmente as de alta relevância que causam im-
pacto nos negócios e envolvem resultados, oportunidades e riscos - desde que não 
sejam conflitantes com a salvaguarda de seus interesses. 
PRESTAÇÃO DE CONTAS
Prestação responsável de contas fundamentada nas melhores práticas de contábeis e 
de auditoria. 
CONFORMIDADE (COMPLIANCE)
Conformidade no cumprimento de normas reguladoras expressas nos estatutos sociais, 
regimentos internos e instituições legais do país.
UNIASSELVI
4
1
TEMA DE APRENDIZAGEM 2
Além desses princípios, as organizações podem acrescentar outros valores para 
servir como fundamento básico para atuação dos agentes de governança e demais 
colaboradores da organização na busca pelo equilíbrio entre os stakeholders, 
contribuindo positivamente para a sociedade e para o meio ambiente, tais como 
os utilizados pela Centrus (2021, p. 3-4):
CONDUTA ÉTICA 
Concretizada pela manutenção e pela promoção de elevados padrões de conduta e 
de integridade por parte de todos os profissionais que atuam na organização, incluídos 
parceiros, fornecedores e prestadores de serviços.
INTEGRIDADE
Caracterizada pelo cumprimento de políticas e de diretrizes nos campos da ética, dos 
riscos, da transparência, do ato regular de gestão e do compliance, adotando-se ações 
de prevenção, de detecção e de saneamento de desvios, de fraudes, de irregularidades 
e de atos ilícitos, além de prevenção e de tratamento de conflito de interesses.
GESTÃO BASEADA EM RISCOS 
Mediante utilização de mecanismos de identificação, de classificação, de mensuração, 
de análise, de avaliação, de tratamento e de monitoramento sistemáticos dos principais 
riscos que podem incidir sobre as operações e a gestão dos ativos e dos passivos da 
organização. 
RESPONSABILIDADE CORPORATIVA 
Expressa no zelo dos agentes de governança pela viabilidade econômico-financeira e 
pela sustentabilidade da organização, considerando as externalidades incidentes sobre 
os seus negócios e os diversos capitais (financeiro, intelectual, humano, social, reputa-
cional e outros) envolvidos no curto, no médio e no longo prazos.
4
1O Instituto Brasileiro de Governança Corporativa (IBGC) acrescenta ainda 
em seu Código das Melhores Práticas de Governança Corporativa outro valor: 
Sustentabilidade, cuja diretriz é: 
 “ Zelar pela viabilidade econômico-financeira da organização, re-
duzir as externalidades negativas de seus negócios e operações, e 
aumentar as positivas, levando em consideração, no seu modelo 
de negócios, os diversos capitais (financeiro, manufaturado, inte-
lectual, humano, social, natural, reputacional) no curto, médio e 
longo prazos. Nessa perspectiva, compreender que as organizações 
atuam em uma relação de interdependência com os ecossistemas 
social, econômico e ambiental, fortalecendo seu protagonismo e 
suas responsabilidades perante a sociedade (IBGC, 2023, p. 19).
Os Princípios de Governança Corporativa devem ser seguidos por todos os 
tipos de empresa, independentemente do seu tamanho, atividade ou estrutura 
de capital. Dessa forma, além de orientar os gestores para atuarem em confor-
midade com as leis e os regulamentos, se mostra como uma grande ferramenta 
para o gerenciamento de riscos. Vejamos no tópico a seguir o papel da gover-
nança na gestão de riscos.
Papel da governança na gestão de risco e compliance
O ambiente empresarial está cada vez mais competitivo e está sujeito a muitas 
ameaças, como crises financeiras, políticas, governamentais etc. Esses fatores 
externos estão fora do controle das empresas. Para minimizar os efeitos desse ce-
nário, a empresa precisa melhorar seus sistemas de gestão de riscos e compliance.
Na utilização em conjunto dos preceitos da governança corporativa, a gestão 
de risco e o compliance se configuram como pilares da gestão empresarial, pois 
têm, como objetivos, o combate às possíveis ameaças e a correta aplicação das 
normas, facilitando a unificação e a transparência de seus processos. Portanto, 
a união dessas práticas gera vantagem competitiva e agrega valor ao negócio, 
atraindo investidores em potencial. 
O compliance é um dos princípios da Governança Corporativa e o cumpri-
mento das regras e regulamentos estabelecidos se alinha diretamente à gestão de 
UNIASSELVI
4
1
TEMA DE APRENDIZAGEM 2
riscos, garantindo proteção para as empresas contra falhas que poderiam levar 
ao desrespeito das regras em vigor. Dessa forma, a associação dessas ferramentas 
contribui para uma boa governança corporativa.
Desse modo, podemos dizer que um complementa o outro e facilita a sua 
implementação, sem causar grandes prejuízos nas atividades da empresa. Uma 
abordagem integrada melhora o nível geral de transparência da organização e 
ajuda na redução do uso de recursos financeiros.
Benefícios e custos da governança corporativa 
A adoção de boas práticas de governança corporativa pode trazer dois tipos de 
benefícios para as empresas: 
BENEFÍCIOS EXTERNOS
Relacionam-se com a maior facilidade de captação de recursos para investimentos e 
com a redução do custo de capital do empreendimento. 
BENEFÍCIOS INTERNOS
Vinculam-se ao aprimoramento do processo decisório da alta gestão das corporações.
A governança corporativa além de resguardar a empresa de riscos associados à 
sua atividade traz alguns benefícios aos gestores, tais como a redução do risco de 
responsabilização por fraudes e por atos de má gestão praticados internamente.
As empresas que implantam a governança corporativa se tornam mais atraentes 
para os investidores em razão do menor risco de expropriação de seus recursos, 
o que se reflete em uma maior demanda por seus títulos (Ações e Debêntures).
A Associação Brasileira De Bancos (ABBC) na sua Cartilha de Governança 
corporativa evidencia alguns benefícios da implantação de um sistema de go-
vernança corporativa:
• A separação mais clara de papéis entre acionistas, conselheiros e 
executivos, especialmente em empresas de controle familiar; 
4
4
• O aprimoramento do processo decisório da alta gestão, com defini-
ção mais clara dos responsáveis pelas etapas de iniciação (geração de 
ideias), ratificação (aprovação/rejeição das ideias), implementação 
(execução da ideia aprovada) e monitoramento (estabelecimento 
de recompensas ou punições);
• O aprimoramento dos mecanismos de avaliação de desempenho e 
recompensa dos executivos, incluindo a elaboração de pacotes de 
remuneração (sistema de incentivos) mais adequados; 
• A diminuição da probabilidade de fraudes em decorrência do esta-
belecimento de sistemas formais de gestão de riscos e do aprimora-
mento dos controles internos e processos de trabalho; 
• A maior institucionalização (menor dependência de pessoas) e 
maior transparência para as partes interessadas na empresa [...] 
(ABBC, 2023, p. 12-13).
A implementação de um sistema eficaz de governança corporativa envolve cus-
tos, por vezes, substanciais, tais como:
 ■ Gastos para a publicação de relatórios financeiros mais sofisticados e 
adequados aos padrões internacionais e para a estruturação de uma área 
dedicada exclusivamente ao relacionamento com os investidores. 
 ■ Remuneração dos membros do conselho de administração, que devem 
ser compostos por uma maioria de membros independentes.
A implantação de um sistema de governança corporativo em empresas de menor 
porte pode ser dificultada devido ao seu alto custo, porém compensada pelos 
benefícios futuros já informados anteriormente neste tema.
Cabe ressaltar que a governança corporativa fomente a criação de rotinas, 
hábitos e condutas, minimize impacto ao meio ambiente e na comunidade, ali-
nhando assim as boas práticas de ESG (Ambiental, Social e Governança).
Estruturas de governança eficazes 
A estrutura organizacional de uma organização, dentro de um sistema de go-
vernança corporativa, deve ser configurada de modo a proporcionar adequado 
fluxo de informações entre os vários níveis de gestão, cabendo aos seus órgãos ou 
UNIASSELVI
4
5
TEMA DE APRENDIZAGEM 2
departamentos, no âmbito de suas competências, zelarem pela adequação e pela 
aderência aos princípios e valores presentes nas normas e regras de compliance.
A estrutura de governança representa o conjunto de agentes, órgãos e relações 
existentes entre eles, que compõe o sistema de governança corporativa. Cabe sa-
lientar que nem todas as organizações terão a estrutura completa de governança 
corporativa, devido ao seu porte, natureza de atuação e pelos investimentos ne-
cessários para sua implantação. Para minimizar essas dificuldades, as empresas 
podem adotar uma estrutura mais flexível e adaptada às suas condições. 
Vejamos os principais órgãos de uma estrutura organizacional com base num 
sistema de governança corporativa eficaz, proposto pelo Instituto Brasileiro de 
Governança Corporativa (IBGC, 2023): 
SÓCIOS
Os sócios de uma empresa têm as seguintes tarefas: indicar, eleger e excluir os mem-
bros do conselho de administração; decidir sobre os proventos dos administradores; 
aprovar (ou não) o relatório, contas e demonstrações financeiras apresentadas pela ad-
ministração; e deliberar sobre possíveis alterações no Estatuto ou Contrato Social da 
empresa. Além disso, os sócios devem assumir o compromisso de propor estratégias 
para o bom desempenho operacional da empresa, dentre elas, autorizar a implantação 
de um sistema de governança corporativa. 
CONSELHO DE ADMINISTRAÇÃO
Uma das atribuições desse Conselho é a elaboração do planejamento estratégico, 
que deve ter como base os valores e objetivos da organização. Constam nesse plane-
jamento os princípios da governança corporativa, que devem ser propagados a todos 
os colaboradores. Cabe ao Conselho averiguar se os diretores estão cumprindo com 
as diretrizes traçadas. 
DIRETORIA
Os diretores têm, como atribuições, executar, acompanhar e controlar as estratégias elabo-
radas pelo Conselho de Administração. Dessa forma, devem traçar metas, com base nos 
princípios da governança corporativa, para o cumprimento dos objetivos organizacionais. 
4
1
GERENCIAMENTO DE RISCOS
Processo no qual o gestor identifica, controla e elimina(ou reduz) os fatores de risco ine-
rentes às atividades da empresa, contribuindo para a criação de valor e perpetuidade do 
negócio. 
CONTROLES INTERNOS
São processos organizacionais que objetivam garantir e verificar se os atos praticados pelos 
colaboradores da organização estão de acordo com as leis e normas de compliance da 
empresa, certificando a aplicação dos princípios de governança. 
CONSELHO FISCAL
Órgão independente que tem como atribuição fiscalizar os atos do Conselho de Adminis-
tração e da diretoria, reportando aos sócios as suas observações. É o órgão que verifica se 
os conselheiros e diretores estão cumprindo as suas atribuições de acordo com as leis e 
normas da empresa, que devem estar de acordo os Princípios de Governança Corporativa. 
AUDITORIA INDEPENDENTE
Tem como função principal verificar se as Demonstrações Financeiras foram elaboradas de 
acordo com os princípios e normas contábeis, atestando assim a real posição financeira e 
patrimonial da entidade. Além disso, deve atestar a veracidade das informações constantes 
no relatório de administração, ou seja, se estão em conformidade com os princípios de 
governança corporativa. 
AUDITORIA INTERNA
Tem como principal atribuição avaliar os processos e controles internos da organização, 
propondo melhorias. Dessa forma, contribui para a melhoria na gestão de riscos e aplicação 
das regras de compliance. 
O IBGC (2023) destaca ainda alguns processos que devem ser implantados, exe-
cutados e controlados pelos gestores, bem como compartilhados com todos os 
colaboradores da empresa:
UNIASSELVI
4
1
TEMA DE APRENDIZAGEM 2
Modelos de governança corporativa
Os princípios de governança corporativa são conhecidos mundialmente, porém 
cada país adota critérios de acordo com suas particularidades. Dessa forma, a apli-
cação dos princípios de governança corporativa apresenta modelos e abordagens 
diferentes dependendo da região do mundo onde a empresa esteja estabelecida.
Cada modelo apresenta aspectos distintos de governança, com base nos as-
pectos culturais e econômicos de sua região de origem. Destacamos os principais 
modelos, segundo Camargo (2011):
 ■ Modelo Anglo-Saxão.
 ■ Modelo Europeu-Continental.
COMPLIANCE
Consiste na elaboração de regras e condutas que devem ser seguidas pelos colaborado-
res, com base nos princípios de governança corporativa, garantindo a integridade, propósi-
to e valores da organização. 
CÓDIGO DE CONDUTA
É um documento formal que contém orientações de como os colaboradores devem se 
comportar diante de algumas situações do cotidiano da empresa, com base em padrões 
éticos, valores, propósito da organização e princípios da governança corporativa. 
CANAL DE DENÚNCIAS
É o meio pelo qual o colaborador poderá realizar denúncias sobre eventuais desvios de 
conduta dos líderes ou de outros colaboradores, visando evitar conflitos internos e/ou jurí-
dicos e prejuízos financeiros e à imagem da empresa. 
POLÍTICAS ORGANIZACIONAIS
É uma declaração formal que serve de base para as ações e tomadas de decisão dos cola-
boradores, de qualquer nível da empresa, para o atingimento das metas e objetivos organi-
zacionais, que tem como base os valores, propósito e princípios da empresa. 
4
8
 ■ Modelo japonês.
 ■ Modelo Europeu-Nórdico.
 ■ Modelo Latino-Americano.
Portanto, para uma empresa multinacional se torna fundamental conhecer esses 
modelos para obter sucesso nos países em que atua.
 ■ Modelo Anglo-Saxão
Esse modelo é adotado pelos Estados Unidos, Reino Unido e Austrália. Segundo 
Camargo (2011), as principais características desse modelo são:
 ■ separação entre as atuações dos gestores e acionistas;
 ■ fortalecimento da autonomia dos administradores na tomada de decisão;
 ■ os acionistas que elaboram as diretrizes de governança corporativa;
 ■ proteção ao acionista minoritário;
 ■ presença de diretores internos e de diretores externos no Conselho de 
Administração.
Como podemos perceber, esse modelo provoca um grande conflito de interesses 
entre acionistas e gestores. Além disso, Camargo (2011) destaca que esse modelo 
‘é muito influenciado pela política pública implementada, em especial em razão 
do baixo ativismo dos investidores’, criando assim uma espécie de ‘democracia 
societária e com menos participação política’.
 ■ Modelo Europeu-Continental
Segundo Camargo (2011), esse modelo apresenta algumas características em co-
mum entre os países, tais como ‘a importância das instituições financeiras como 
principal fonte de financiamento e redes empresariais, seja com a forte presença 
familiar ou do Estado’. Além disso, os europeus ‘valorizam os relacionamentos 
cooperativos’ e buscam pelo ‘consenso nos órgãos de governança’.
Ainda assim, Camargo (2011) ressalta que esse modelo apresenta algumas 
diferenças entre os países, devido ‘às peculiaridades culturais, políticas, sociais, 
legais e institucionais’. Vejamos as principais:
UNIASSELVI
4
9
TEMA DE APRENDIZAGEM 2
 ■ Modelo alemão – dá maior importância aos interesses das partes in-
teressadas, tendo um representante dos trabalhadores no Conselho de 
Administração; o mercado de capitais tem pouca participação como 
fonte de financiamento das empresas, aumentando a influência do sis-
tema financeiro; e, incentiva uma gestão compartilhada entre acionis-
tas e administradores.
 ■ Modelo francês – apresenta duas formas de gestão: a primeira (com 
maior incidência) por meio de um Conselho único liderado pelo Pre-
sidente da empresa e a segunda com a presença de dois Conselhos, um 
Conselho de Vigilância e Conselho de Gestão; presença alta do Estado 
no controle da organização.
 ■ Modelo italiano – mercado de capitais modesto; instituições financei-
ras como principal fonte de financiamento das empresas; desrespeito 
aos direitos dos acionistas minoritários; empresas com estruturas pi-
ramidais ou familiares. 
 ■ Modelo japonês 
Camargo (2011) dispõe que o modelo japonês apresenta um sistema de gover-
nança híbrido com as seguintes características: 
 ■ empresas financiadas por um banco principal que também é acionista e 
com forte presença de uma rede de participações societárias cruzadas;
 ■ presença de grandes acionistas na gestão das empresas;
 ■ cultura de gestão coletiva com foco nos interesses dos stakeholders;
 ■ Conselho de Administração formada por executivos internos.
 ■ Modelo europeu-nórdico
Segundo Silveira (2021), as principais características de governança corporativa 
nos países nórdicos (Suécia, Dinamarca, Noruega e Finlândia) são:
 ■ grandes acionistas exercem papel ativo das empresas;
 ■ os auditores possuem relacionamento estreito com acionistas e são 
escolhidos por eles;
5
1
 ■ há uma forte proteção aos direitos dos acionistas minoritários;
 ■ separação do Conselho de Administração (que possui representante 
dos empregados) e da diretoria e adoção de comitês de aconselhamento 
ao Conselho;
 ■ exigência de transparência nas operações financeiras e não financeiras 
das organizações.
 ■ Modelo latino-americano
Segundo Camargo (2011), o modelo latino-americano de governança apresenta 
as seguintes características: 
 ■ mercado de capitais pouco expressivos;
 ■ forte participação de instituições financeiras no mercado;
 ■ dificuldades para garantir direitos aos acionistas minoritários;
 ■ alta concentração de participação societária em poucos acionistas;
Com relação ao modelo brasileiro, para fins de comparação, podemos destacar 
as seguintes características, segundo Gorga (2005):
 ■ alta concentração do controle em grupos ou poucos acionistas;
 ■ pouca independência dos membros do Conselho de Administração;
 ■ falhas no sistema de informações financeiras;
 ■ remuneração dos administradores são raramente divulgadas;
 ■ acordos de acionistas celebrados entre membros de um grupo contro-
lador ou familiar.
Cabe ressaltar que nos últimos anos tivemos grandes avanços na governança 
corporativa no país e a elaboração de diversas normas baseadas nos princípios 
de governança, bem