Para quem responde pela governança em uma seguradora, fintech, gestora ou administradora de consórcio, a régua subiu de forma evidente nos últimos ciclos regulatórios.

O Banco Central anunciou que passa a aplicar às instituições não bancárias as mesmas regras de avaliação de riscos e controles que utiliza com bancos, enquanto a SUSEP exige relatório próprio de risco e solvência (ORSA) aprovado pelo conselho. 

E a ANPD, por sua vez, intensificou processos sancionadores ao longo de 2025. Nada disso configura tendência distante: trata-se de pauta da próxima reunião do seu conselho.

A pergunta, portanto, deixou de ser “precisamos melhorar a governança?” e passou a ser “como estruturar a governança em instituições financeiras não bancárias de forma que aguente o ritmo regulatório sem travar o negócio?”.

Este artigo organiza os pontos que mais pesam no dia a dia de quem opera essa estrutura.

Em termos práticos, instituições financeiras não bancárias são as empresas reguladas pelo Banco Central, CVM ou SUSEP que não se enquadram no modelo de banco comercial. O grupo é diverso e inclui:

• Seguradoras, resseguradoras e entidades de previdência

• Gestoras de recursos, corretoras e distribuidoras

• Instituições de pagamento, fintechs de crédito (SCD, SEP) e adquirentes

• Administradoras de consórcio e cooperativas de crédito

• Infraestruturas de mercado

Para se ter dimensão do tamanho desse universo, em 2025 o Banco Central contabilizava cerca de 1,8 mil instituições financeiras autorizadas, das quais aproximadamente 500 eram não bancárias.

A diferença em relação aos bancos, no entanto, é menos sobre o que essas empresas fazem e mais sobre como cresceram.

Muitas têm origem digital, estrutura enxuta, cultura de produto e ciclos de decisão curtos, e a governança formal (com conselho atuante, comitês estatutários e trilha de evidências) costuma vir depois, empurrada por uma rodada de investimento, por um ciclo regulatório ou por um incidente.

E é exatamente aí que mora a tensão. Como os reguladores começaram a tratar esse universo com o mesmo rigor aplicado a bancos, sem que essas empresas tenham a mesma maturidade de processos, o resultado é um Governance Officer que precisa montar um conselho de classe internacional enquanto a operação ainda escala. Não dá, portanto, para terceirizar isso para o jurídico nem deixar para a véspera da inspeção.

Por muito tempo, a governança em instituições financeiras não bancárias foi tratada como assunto da área de compliance: o profissional responsável servia ao conselho, o conselho aprovava o que vinha pronto, e o regulador olhava para a área de risco. Esse modelo, entretanto, não funciona mais.

A SUSEP, na Resolução CNSP 471/2024, exige que a alta administração avalie anualmente a suficiência de capital frente aos riscos no relatório ORSA, e que esse relatório seja aprovado pelo conselho de administração.

Companhias dos segmentos S1 e S2, por sua vez, precisam ter Diretor de Controles Internos estatutário, que responde diretamente perante o supervisor.

Já o Banco Central, ao publicar normas para reforçar a segurança do Sistema Financeiro Nacional em 2026, reforçou exigências de governança corporativa, controles internos e compliance, com obrigação de elaboração anual de relatórios e adoção de mecanismos de rastreabilidade.

Em outras palavras, o conselho passou a ser parte do controle, não cliente do controle, e isso muda diretamente o que se espera do Governance Officer.

Pois não basta organizar a reunião e arquivar a ata, é preciso garantir que a deliberação aconteceu, que a decisão está documentada com fundamento, que existe trilha de auditoria mostrando quem aprovou o quê e quando, e que esse registro resiste a uma fiscalização sem socorro de consultoria externa.

Quem opera governança nesse segmento costuma ter clareza dos sintomas, mas pouca margem para tratá-los um a um. Na prática, quatro frentes aparecem com mais frequência nas conversas com Governance Officers desse mercado, e elas se reforçam mutuamente.

Calendário de obrigações regulatórias

Entre as obrigações recorrentes de uma instituição não bancária, o conselho precisa, ao longo do ano:

• Aprovar a política de remuneração

• Revisar a política de gestão de risco

• Validar o ORSA (no caso de seguradoras)

• Designar diretor estatutário

• Aprovar o relatório anual de controles internos

• Ratificar o plano de continuidade

Como cada órgão tem sua exigência e cada exigência tem seu prazo, sem um calendário consolidado e visível ao conselho, alguma obrigação acaba caindo. E quando cai, vira apontamento.

Rastreabilidade das deliberações

Ao contrário do que ainda se pratica em muitas instituições, não basta a ata existir. Ela precisa registrar:

• Quem votou e como votou

• Quem se absteve por conflito de interesse

• A fundamentação técnica da decisão

• A referência regulatória que motivou a deliberação

Como auditorias do BC e da SUSEP estão pedindo evidências cada vez mais granulares, ata genérica do tipo “o assunto X foi discutido e aprovado” começa a ser tratada como ausência de evidência.

Para entender em mais detalhe os elementos que sustentam o valor jurídico e probatório do registro, vale revisar o que caracteriza uma ata de reunião com segurança jurídica.

Segurança da informação no fluxo do board

Embora ainda comum em parte do setor, a circulação de materiais de conselho por e-mail pessoal, WhatsApp e outros é cada vez mais incompatível com o nível de exigência de proteção de dados.

A Resolução CMN 4.893/2021, que trata de segurança cibernética para bancos e instituições de pagamento, deixa claro o que vem pela frente para o restante do segmento, e um vazamento de informação privilegiada de um conselho pode ter consequência regulatória, contratual e reputacional ao mesmo tempo.

 Para entender a dimensão dessa exposição pessoal para conselheiros e diretores, vale conhecer o conceito de seguro D&O e seu papel na governança.

Acompanhamento das decisões depois da reunião

Acontece com frequência que o conselho aprova plano de mitigação, o comitê de risco recomenda ação, a auditoria interna aponta pendência, e seis meses depois ninguém sabe se foi feito.

Essa lacuna entre deliberação e execução é o ponto mais sensível em uma fiscalização, pois o regulador pergunta onde está a comprovação da implementação, e a resposta tem que ser específica, não narrativa.

Embora a discussão sobre governança quase sempre se concentre no risco regulatório, e ele seja real, o custo de uma governança despreparada não está só em multa. Aparece, na verdade, em três frentes que se acumulam.

Custo operacional

No nível mais imediato, há um time de secretariado de conselho que gasta uma semana montando o pacote de cada reunião, refazendo apresentações em três formatos diferentes para três fóruns, garimpando atas antigas para responder pedidos pontuais.

Esse custo, embora não esteja em planilha de orçamento, está em hora de pessoal sênior e em reunião que começa atrasada porque o material chegou em cima da hora.

Custo decisório

Quando o conselho recebe informação fragmentada, com dados que não batem entre apresentações, com relatórios técnicos demais e sem sumário executivo, a discussão se reduz à confiança no relator. Como consequência, o conselheiro que não entende o material aprova por confiança ou se cala, o risco emergente é pouco discutido, e a decisão importante é adiada por falta de informação. Quando ela volta à mesa três meses depois, a janela já passou.

Custo reputacional

Por fim, multa do BC ou da SUSEP vira notícia, vazamento de ata vira capítulo. E o efeito secundário, menos visível, mas mais duradouro, é a desconfiança do investidor sofisticado que faz due diligence e encontra processos manuais, ata genérica e ausência de trilha de auditoria. Em rodada de captação ou em IPO, esse tipo de lacuna não fica para depois.

Diferentemente do que se costuma assumir, estruturar governança em instituições financeiras não bancárias não significa replicar o modelo de banco grande, já que esse caminho leva à burocracia que o segmento construiu sua identidade evitando.

O caminho que funciona é outro: pegar o essencial do rigor bancário (rastreabilidade, segregação de funções, evidência documental, follow-up estruturado) e implementar com a leveza operacional que o setor já domina.

Na prática, quatro elementos compõem o esqueleto dessa estrutura.

Política de governança escrita e aprovada em conselho

Define quem decide o quê, em qual fórum, com qual quórum e com qual tipo de registro. Sem esse documento, cada reunião reinventa o processo e cada inspeção encontra inconsistência. A política precisa cobrir, no mínimo:

• Alçadas (conselho, comitês, diretoria)

• Ritos (convocação, materiais, votação, ata)

• Mecanismos de gestão de conflito de interesse

Calendário integrado de obrigações

Consolida em um único lugar todos os compromissos do conselho e dos comitês, com data, responsável, evidência esperada e status. Política a ratificar, relatório a aprovar, designação a renovar, treinamento anual a registrar. Mais do que organizar a rotina, o calendário substitui a planilha individual de cada área e elimina o risco de obrigação esquecida porque a pessoa que sabia saiu da empresa.

Plataforma centralizada com trilha de auditoria

Aqui o ponto deixa de ser “ferramenta de produtividade” e passa a ser controle interno. Trata-se de uma plataforma que registra:

• Quem acessou cada documento

• Quem votou em cada deliberação

• Qual versão da política está vigente

• Qual o histórico de decisões sobre determinado tema

É isso que transforma a resposta a uma fiscalização, antes uma semana de garimpagem, em uma exportação. E é também o que reduz risco de vazamento, na medida em que o material para de circular por canais não rastreáveis. Antes de avaliar fornecedores, vale entender o que esperar de um software de governança no setor financeiro.

Acompanhamento sistemático das deliberações

Por fim, toda decisão do conselho ou comitê vira tarefa com responsável e prazo, e essa tarefa volta como item de agenda na reunião seguinte até estar fechada.

Quando esse loop existe, o conselho deixa de aprovar no escuro e a diretoria deixa de tratar deliberação como sugestão. A governança ganha, então, consequência, que é, no fim das contas, o que o regulador mais quer ver.

Nada disso é instalado em um trimestre, mas nada disso depende de transformação cultural longa. Trata-se de decisão de quem responde pela governança, com apoio do CEO e do conselho, de tratar a estrutura como sistema, não como combinação de boa vontade e PDF arquivado em pasta de rede.

Conheça a Atlas Governance e veja como estruturar a governança da sua organização.