Governança Corporativa (Restrito)
Versão: 1.0
Owner: Diretoria & Compliance SOFIA
Última revisão: 2026
Aplicável a: Diretoria, Operações, Financeiro e Auditoria Interna
Classificação: Uso Interno – Restrito
Este documento consolida a estrutura mínima de governança da SOFIA, definindo papéis, responsabilidades, controles internos e ritos decisórios.
Não constitui documento público e não deve ser compartilhado externamente.
1. Objetivo
- Estabelecer modelo organizacional mínimo para decisões críticas.
- Garantir rastreabilidade e auditabilidade de processos.
- Reduzir risco operacional, regulatório e reputacional.
- Formalizar responsabilidades internas.
2. Estrutura Organizacional
Toda função crítica deve possuir:
- Owner primário
- Substituto formal
- Escopo definido
- Critérios de decisão documentados
Nenhum processo crítico deve depender exclusivamente de uma única pessoa.
3. Princípios de Governança
3.1 Accountability
Cada processo deve possuir responsável formal (Accountable).
3.2 Segregação de Funções
- Quem executa não aprova.
- Quem aprova não audita.
- Ajustes críticos exigem dupla validação.
3.3 Rastreabilidade
Toda decisão relevante deve conter:
- Data
- Responsável
- Motivação
- Impacto esperado
- Registro arquivado
3.4 Proporcionalidade por Risco
Quanto maior o impacto financeiro ou reputacional, maior o nível de controle exigido.
3.5 Melhoria Contínua
Incidentes e auditorias alimentam revisão de processo.
4. Componentes do Sistema de Governança
4.1 Manual Operacional
Define:
- Procedimentos diários
- Rotinas financeiras
- Processos de validação
- Fluxos de aprovação
Deve conter:
- Checklist mínimo por processo
- Pontos de controle
- SLA interno
4.2 Matriz RACI
Define claramente:
| Processo | Responsible | Accountable | Consulted | Informed |
|---|
Deve existir para:
- Operações financeiras
- Integrações críticas
- Ajustes manuais
- Incidentes
- Alterações contratuais
4.3 Gestão de Incidentes
Fluxo mínimo obrigatório:
- Detecção
- Classificação de severidade
- Contenção
- Comunicação interna
- Resolução
- Pós-mortem (quando aplicável)
Todo incidente relevante deve gerar:
- Linha do tempo
- Responsável
- Causa raiz
- Medida corretiva
- Medida preventiva
4.4 Política de Governança
Define:
- Fóruns decisórios
- Critérios de escalonamento
- Aprovação de exceções
- Aprovação de mudanças críticas
- Frequência de revisões estratégicas
4.5 Compliance Interno
Inclui:
- Auditoria periódica
- Revisão de acessos
- Controle de privilégios
- Registro de exceções
- Controle de mudanças
4.6 PLD/FT (Prevenção à Lavagem e Financiamento ao Terrorismo)
Quando aplicável:
- Monitoramento de padrões atípicos
- Sinais de alerta
- Escalonamento interno
- Registro documentado
- Canal de reporte
5. Controles Internos Mínimos
Devem existir, no mínimo:
- Controle de acesso baseado em perfil
- Registro de alterações em sistemas críticos
- Logs de eventos financeiros
- Histórico de alterações contratuais
- Controle de versão de políticas
6. Evidências Mínimas para Auditoria Interna
Manter arquivado:
- Decisões estratégicas documentadas
- Aprovações formais (com data e responsável)
- Trilhas de incidentes
- Logs de mudanças críticas
- Relatórios de revisão periódica
Retenção recomendada: mínimo 5 anos ou conforme risco operacional.
7. Revisões e Mudanças
7.1 Periodicidade
- Revisão trimestral obrigatória
- Revisão extraordinária após incidente relevante
7.2 Mudanças Críticas Exigem:
- Owner definido
- Justificativa documentada
- Avaliação de impacto
- Data de vigência
- Comunicação interna
8. Limitações
Este documento:
- Não substitui assessoria jurídica formal.
- Não deve conter dados pessoais sensíveis.
- Não deve incluir segredos técnicos expostos.
9. Classificação e Acesso
Este conteúdo é classificado como:
Uso Interno – Restrito
O acesso deve ser limitado a:
- Diretoria
- Operações
- Compliance
- Lideranças técnicas