As EFPC vivem um ciclo em que a complexidade cresce mais rápido do que as estruturas. O portfólio ficou sofisticado (crédito privado, alternativos, fundos com camadas de terceiros), a regulação avança, LGPD e risco cibernético exigem atenção constante – e a auditoria interna, que deveria fechar o ciclo de governança, muitas vezes opera no limite: pouca gente, agenda reativa, pouca especialização.
Não se trata de “ter” ou “não ter” auditoria. A pergunta certa é: o desenho atual reduz os riscos materiais, conforme previsto no Guia Previc de Melhores Práticas de Fundos de Pensão? Se a resposta não vem com fatos e prazos, vale repensar o modelo. É nesse ponto que a terceirização (ou co-sourcing) deixa de ser tema de custo e passa a ser tema de efetividade na Gestão Baseada em Riscos.
Por que repensar o arranjo tradicional
Na prática de conselhos e comitês em fundos de pensão, o padrão se repete: equipes pequenas, sobrecarregadas, cobrindo tudo “um pouco”, com pouca profundidade em áreas críticas (investimentos, TI/LGPD, segurança). A proximidade com a operação – mesmo com salvaguardas formais de independência – tende a reduzir o espaço para uma priorização disciplinada por risco.
O Modelo das Três Linhas só funciona quando a terceira linha realmente avalia, provoca e mede a eficácia da gestão de risco. Embora a Auditoria Interna não seja obrigatória para as EFPC, o Guia Previc de Melhores Práticas para Fundos de Pensão recomenda que o Conselho Deliberativo deve avaliar formalmente a necessidade de criação de auditoria interna ou terceirização dos trabalhos. Ignorar esse debate não é neutro: é aceitar que a terceira linha opere aquém do que o ambiente regulatório permite.
O que muda com a terceirização bem feita
Terceirização não é mais gente; é simplesmente outro desenho de entrega. A escolha de um bom parceiro com experiência no contexto das EFPC traz:
- Flexibilidade para escalar a equipe em trabalhos críticos (auditorias de investimentos, benefícios, empréstimos a participantes, contratação de terceiros, TI, SI, LGPD;
- Especialistas sob demanda (investimentos, controles contábeis, controles atuariais, segurança cibernética, privacidade de dados) no momento em que a pauta exige;
- Distância saudável em relação à operação, o que melhora a objetividade e cria maior imparcialidade nos trabalhos da Auditoria Interna;
- Método na elaboração de um Plano Anual de Auditoria Interna (PAAI) realmente baseado em riscos, com papéis de trabalho padronizados, critérios de severidade claros e follow-up com prazos pré estabelecidos.
Mais importante do que as credenciais do Auditor Interno é a mudança de conversa: sai o “checklist”, entra a discussão sobre materialidade, apetite de risco e risco residual.
Relatório bom não é o que tem mais páginas, e sim o que sustenta decisões (o que corrigir, por quem, com quais recursos e até quando).
Como não perder o comando do processo
Auditoria terceirizada funciona quando a EFPC mantém o leme. Nesse sentido, cinco pontos resolvem 80% desse risco na execução dos trabalhos:
- Governança: os relatórios de auditoria sobem ao Conselho Deliberativo e a gestão responde com plano de ação negociado, com responsável, orçamento e prazos.
- Métricas simples: indicadores de eficácia como: percentual de achados de criticidade “alto/médio” implantados no prazo; pontos de auditoria com recorrência; evolução do nível de controle por processo e redução do risco residual.
- Follow-up disciplinado: achado crítico não fica sem atualização; prazos contam (e vencem).
- Segregação: quem audita não implementa controles para funcionamento adequado do Modelo de Três Linhas
- Contrato por entrega: SLAs e KPIs no termo de referência, com escopo, prazos e critérios.
Co-sourcing ou outsourcing: qual faz mais sentido
- Co-sourcing quando há estrutura interna que funciona, mas precisa de profundidade técnica em frentes específicas (investimentos, TI/LGPD, ciber) e músculo em períodos de pico.
- Outsourcing completo quando a entidade é enxuta e quer escala imediata sem anos formando time, mantendo a decisão e a priorização na casa.
Em ambos, o dono do risco continua sendo a EFPC. O parceiro executa auditoria; a responsabilidade pela redução do risco é da gestão e dos Conselhos.
O que costuma aparecer quando a auditoria vai a fundo
Em geral, aparecem achados como: deficiente alinhamento com a política de investimentos (limites, concentração, due diligence de terceiros); ausência de cálculos e segregação em pagamento de benefícios e concessão de empréstimos, dependência excessiva de fornecedores críticos sem monitoramento de SLA; controles de TI e LGPD que “existem” somente no papel, dentre outros.
Onde a tecnologia ajuda
Dados e automação ajudam – de amostragens direcionadas a análises periódicas de aderência. Vale usar quando reduz custo de teste ou aumenta a chance de achar o que importa. Tecnologia é meio; o fim é diminuir risco residual e recorrência. Não confunda painel bonito com controle funcionando.
Auditoria que protege patrimônio e reputação
A terceira linha só cumpre seu papel quando provoca, mede e melhora. Em EFPC, isso significa priorizar por risco, dar profundidade técnica onde dói, manter independência e fechar o ciclo com follow-up que acontece. A terceirização, quando desenhada com governança e métrica, acelera essa virada.
Se hoje o relatório não responde “o que mudou no nosso risco desde o trimestre passado?”, a oportunidade está clara: ajuste o desenho, mantenha o leme e cobre entrega. O participante agradece – e a reputação da casa também.
*Antonio Martiningo Filho é CEO da MAF Consultoria, Treinamento e Auditoria Interna
Fonte: Abrapp em Foco, em 03.10.2025.