1. Quando percebi que o problema não era o controle, mas a forma como ele era feito
Em um dos meus primeiros projetos ligados a compliance bancário, lembro de abrir um catálogo de controles e pensar: “isso parece mais uma planilha feita para satisfazer auditoria do que para ajudar alguém de verdade”.
Era um documento enorme, cheio de siglas, status atualizados por obrigação e linhas que ninguém sabia explicar no dia a dia.
Com o tempo, percebi que o valor de um catálogo de controles está em ser vivo, prático e conectado ao negócio. Ele deve ajudar as pessoas a tomar decisões melhores, não apenas existir como vitrine de conformidade.
Quando comecei a atuar mais perto das áreas operacionais, entendi que montar um catálogo útil é menos sobre técnica e mais sobre diálogo. No fim, todo controle precisa responder a uma pergunta simples: como isso reduz risco real dentro do processo?
2. O cenário: entre o risco e a operação
Em um banco, cada controle existe para proteger um processo crítico, seja o onboarding de clientes, o monitoramento de transações ou a gestão de alertas de AML.
Certa vez, durante uma revisão de controles de primeira linha, o time de operações me chamou para entender por que o controle de data quality parecia tão distante da realidade.
Na planilha, o controle dizia: “verificar a integridade dos dados mestres a cada ciclo mensal”. Mas ninguém sabia o que isso significava na prática.
Sentamos juntos e traduzimos para algo que fizesse sentido operacional:
“comparar o campo source of funds do KYC com o cadastro do sistema Sigma e validar divergências acima de 5%”.
A mudança foi imediata.
O mesmo controle, que antes era só texto, virou um instrumento de decisão. A área conseguia medir, corrigir e mostrar resultado.
Na semana seguinte, outros times começaram a pedir o mesmo tipo de clareza. Foi quando percebi que o segredo não está em listar controles, mas em torná-los aplicáveis.
3. O que faz um catálogo de controles ser realmente útil
Depois de montar e revisar dezenas deles, aprendi alguns princípios que sempre me guiam:
- Cada controle precisa responder a um risco específico.
Se o risco é “clientes com documentação inconsistente”, então o controle deve atacar exatamente isso e com evidência clara. - O dono do controle precisa entender o porquê.
O melhor controle é aquele que o analista sente como parte natural do seu trabalho. Por isso, sempre descrevo impacto, frequência e quem é responsável. - Evidência tem que ser simples de coletar.
Se o controle depende de dez prints e três e-mails, ele morre. Automatizar a evidência, nem que seja só o básico, é o que mantém o catálogo vivo. - O catálogo deve se conectar à jornada do risco.
Em programas estruturados, cada controle se conecta a um pilar (Screening, Monitoring, Data Quality etc.) e ao tipo de teste da segunda linha.
Assim, o catálogo conversa com o restante da governança, em vez de viver isolado. - Atualização é processo, não evento.
Catálogo de controles não se revisa uma vez por ano. Ele evolui com o produto, com o sistema e com o comportamento dos clientes.
No fim, um bom catálogo é quase como um mapa vivo da governança: mostra onde estão as proteções, o que está funcionando e onde há brechas para o risco passar.
Hoje, quando alguém me pede ajuda para montar um catálogo de controles, costumo responder:
vamos começar entendendo o problema que você quer evitar.
Só depois disso é que vale abrir o Excel ou a ferramenta.
De 0 a 10, o quanto você recomendaria este artigo para um amigo?