Governança Corporativa, Controles Internos e Compliance: Mecanismos Integrados para Mitigação de Riscos e Geração de Valor nas Organizações

O objetivo deste artigo é analisar de forma integrada os mecanismos de governança corporativa, controles internos e compliance como instrumentos fundamentais para mitigar riscos, assegurar a qualidade da informação contábil e garantir a eficiência na alocação de recursos pelas organizações. Parte-se de um problema prático recorrente no contexto brasileiro: a ocorrência de fraudes corporativas e escândalos contábeis mesmo em empresas listadas em níveis elevados de governança, como demonstrado nos casos da Americanas, Petrobras e JBS.

Esses eventos colocam em xeque a eficácia dos sistemas de controle e apontam para uma dissociação entre as boas práticas de governança no papel e sua implementação efetiva. Com base na teoria da agência (Jensen & Meckling, 1976) e em evidências empíricas recentes, este trabalho busca discutir como a articulação entre governança, controles e compliance pode ser desenhada para minimizar os custos de agência, aumentar a transparência e proteger o valor da empresa para seus stakeholders.

2. Desenvolvimento

2.1 Governança Corporativa: Teoria, Prática e Desafios

A governança corporativa consiste em um conjunto de mecanismos institucionais e contratuais que disciplinam a atuação dos gestores e alinham seus interesses aos dos proprietários da firma. A base teórica predominante é a Teoria da Agência (Jensen & Meckling, 1976), segundo a qual os gestores, como agentes, tendem a maximizar sua utilidade individual, o que pode gerar conflitos com os interesses dos acionistas, especialmente em estruturas de propriedade dispersa. A governança visa, portanto, mitigar esses conflitos, reduzindo os custos de agência e promovendo a eficiência organizacional.

A teoria da agência fundamenta a necessidade desses mecanismos, que se dividem entre:

• Internos: estrutura do conselho de administração, comitê de auditoria, auditoria interna, políticas de remuneração.

• Externos: regulação estatal, mercado de capitais, órgãos de supervisão e auditoria independente.

Casos como o da Enron (EUA) e da Petrobras (Brasil) evidenciam que a simples existência desses mecanismos não é suficiente. Estudos como Klapper & Love (2004) e La Porta et al. (1998) indicam que a eficácia está relacionada ao enforcement institucional e à cultura de ética e accountability nas organizações.

No entanto, a literatura contemporânea reconhece que a agência não é o único paradigma relevante para explicar as estruturas e práticas de governança. A Stewardship Theory (Davis, Schoorman & Donaldson, 1997) propõe que gestores podem agir como guardiões do interesse organizacional, sobretudo em contextos de elevada confiança mútua e compromisso moral. Já a Stakeholder Theory (Freeman, 1984) argumenta que a empresa deve atender simultaneamente aos interesses de múltiplas partes envolvidas (empregados, clientes, fornecedores, comunidade), e não apenas dos acionistas. Por fim, a Resource Dependence Theory (Pfeffer & Salancik, 1978) analisa o papel do conselho de administração como elo entre a organização e recursos críticos externos, como acesso a capital, conhecimento técnico e influência política.

Independentemente do enquadramento teórico, os mecanismos de governança são tradicionalmente classificados em internos e externos. Os internos incluem a estrutura e composição do conselho de administração, a existência de comitês independentes (auditoria, riscos, remuneração), a separação entre as funções de CEO e presidente do conselho, sistemas de incentivos e sucessão, e a atuação da auditoria interna. Os externos compreendem a atuação do mercado de capitais, o risco de aquisições hostis, a regulação estatal, a presença de agências de rating, a imprensa especializada e o poder disciplinador dos investidores institucionais (La Porta et al., 1998; Shleifer & Vishny, 1997).

Leal e Carvalhal (2007) propõem uma organização conceitual dos mecanismos de governança em três categorias: proteção contratual (acordos de acionistas, cláusulas estatutárias), proteção regulatória (lei das sociedades por ações, normas da CVM e requisitos de listagem) e disciplina de mercado (ameaça de substituição gerencial, monitoramento por investidores e reputação). A presença simultânea e complementar desses mecanismos tende a aumentar a accountability dos gestores e reduzir oportunidades de apropriação privada de benefícios (tunneling).

Entretanto, diversos estudos empíricos revelam que a efetividade da governança corporativa depende não apenas da presença formal desses mecanismos, mas de sua implementação concreta e da cultura institucional em que estão inseridos. Klapper e Love (2004), ao analisarem empresas de mercados emergentes, demonstram que práticas formais de governança têm efeitos positivos sobre o desempenho apenas quando combinadas com instituições legais e judiciais minimamente eficientes. No contexto brasileiro, Santos e Kayo (2010) mostram que empresas com melhores indicadores de governança apresentam menor custo de capital próprio e maior valor de mercado, mesmo após controle por características setoriais e de porte.

Ainda assim, os casos recentes de fraudes corporativas envolvendo empresas listadas em segmentos superiores de governança, como Americanas (2023), Petrobras (2014) e JBS (2017), evidenciam limitações relevantes. A Petrobras, por exemplo, chegou a figurar entre as 10 primeiras colocadas no ranking de boas práticas da Delta Economics & Finance (2014), mesmo ano em que foi revelado o maior escândalo de corrupção da história corporativa brasileira. Esse paradoxo revela que estruturas de governança robustas, quando desconectadas de uma cultura ética organizacional e de enforcement efetivo, tornam-se inócuas.

Do ponto de vista institucional comparado, os sistemas de governança corporativa variam significativamente entre os países, influenciados por fatores como a proteção legal aos investidores, a eficiência dos mercados de capitais, a qualidade das normas contábeis, a capacidade de enforcement regulatório e os valores culturais prevalentes (Aguilera & Jackson, 2003). Em linhas gerais, três modelos institucionais se destacam:

• Modelo anglo-saxão: prevalente nos Estados Unidos e Reino Unido, caracteriza-se por mercados de capitais desenvolvidos, propriedade acionária dispersa, ênfase em disclosure e accountability, e forte atuação do mercado como disciplinador.

• Modelo europeu continental: comum na Alemanha e França, apresenta propriedade mais concentrada, estruturas de dois níveis (conselho de administração e conselho fiscal), presença de representantes de empregados e papel ativo do Estado.

• Modelo asiático: como no Japão e Coreia do Sul, possui redes empresariais interligadas (keiretsu, chaebol), forte presença familiar ou estatal e práticas centradas no relacionamento de longo prazo com stakeholders.

No Brasil, o modelo institucional tem evoluído desde o início dos anos 2000, especialmente com a criaçāo do Novo Mercado e os esforços do IBGC em disseminar boas práticas. No entanto, o ambiente ainda apresenta características marcadamente concentradas, com presença dominante de grupos de controle, conflitos entre acionistas majoritários e minoritários, baixa independência dos conselhos e fragilidade no enforcement das normas por parte dos órgāos reguladores e do sistema judicial (Silveira et al., 2008). A assimetria entre os mecanismos formais e sua prática efetiva permanece como desafio crítico.

Portanto, avanços em governança corporativa requerem mais do que adesão a códigos e checklists de boas práticas. Exigem transformações culturais profundas, estruturas institucionais robustas, conselhos atuantes e independentes, transparência informacional de alta qualidade e responsabilização efetiva em caso de desvios. É nesse contexto que os controles internos e os programas de compliance emergem como mecanismos operacionais indispensáveis para a efetividade da governança — tema das seções seguintes.

2.3 Compliance: Normatividade, Cultura Organizacional e Referenciais Técnicos

O termo compliance, originado do verbo inglês to comply, refere-se à conformidade com leis, normas e regulamentos aplicáveis, bem como com diretrizes internas e padrões éticos estabelecidos pelas organizações. Em seu sentido moderno e ampliado, compliance envolve não apenas obediência normativa, mas a promoção de uma cultura de integridade, gestão de riscos e governança responsável, sendo cada vez mais considerado um pilar essencial da arquitetura institucional das empresas (Ferreira & Santos, 2020).

A evolução do compliance corporativo foi acelerada por escândalos de corrupção e fraudes contábeis de grande impacto global, como os casos da Enron, Siemens e Petrobras. Em resposta, diversas jurisdições passaram a exigir programas formais de compliance, com destaque para a promulgação da Foreign Corrupt Practices Act (FCPA) nos Estados Unidos e da Lei nº 12.846/2013 no Brasil — conhecida como Lei Anticorrupção Empresarial. Esta última responsabiliza pessoas jurídicas pela prática de atos lesivos contra a administração pública, exigindo, para fins de atenuação de sanções, a existência de programas efetivos de integridade.

Um programa de compliance é considerado efetivo quando está estruturado sobre fundamentos sólidos, sustentado por alto nível de comprometimento da liderança (tone at the top), e alinhado às características específicas da organização. Referenciais técnicos como a ISO 19600 (2014) e o COSO ERM – Enterprise Risk Management (2017) oferecem diretrizes estruturadas para o desenho e avaliação desses programas, enfatizando os princípios de proporcionalidade, melhoria contínua, integração à estratégia organizacional e base na análise de riscos.

A ISO 19600, substituída pela ISO 37301 em 2021, propõe um sistema de compliance baseado no ciclo PDCA (Plan-Do-Check-Act), recomendando que a alta administração defina claramente o escopo do programa, os papéis e responsabilidades, e as estratégias de comunicação e treinamento. A norma também reforça que a eficácia do compliance deve ser monitorada por meio de auditorias internas, revisões gerenciais e indicadores de desempenho, como número de denúncias tratadas ou reincidência de desvios éticos.

Já o COSO ERM (2017) propõe uma abordagem integrada da gestão de riscos com foco na criação, preservação e realização de valor. Em sua versão revisada, o modelo apresenta cinco componentes interdependentes: Governança e Cultura; Estratégia e Definição de Objetivos; Identificação e Avaliação de Riscos; Resposta aos Riscos; e Monitoramento de Desempenho. Dentro desse framework, o compliance é tratado como uma atividade transversal que deve permear a governança e os processos decisórios, com especial ênfase no apetite ao risco e na cultura organizacional.

Um dos maiores desafios na implementação de programas de compliance é justamente a dissociação entre estrutura formal e prática efetiva. A literatura aponta que programas baseados apenas em documentos e treinamentos formais, mas sem internalização cultural ou reforço por mecanismos de incentivos, tendem a ser ineficazes (Paine, 1994; Treviño, Weaver & Reynolds, 2006). Essa crítica é particularmente relevante no contexto brasileiro, onde muitas organizações adotam programas de compliance como exigência regulatória ou resposta a pressões externas, mas falham em implementar práticas consistentes de responsabilização, escuta ativa e aprendizado organizacional.

Além disso, estudos mostram que a percepção de integridade por parte dos funcionários está mais fortemente associada ao comportamento dos líderes imediatos e à justiça nos processos disciplinares do que à existência de códigos de conduta ou canais de denúncia (Kaptein, 2008). Isso reforça a necessidade de alinhar compliance à cultura organizacional, promovendo um ambiente psicológico seguro para o reporte de irregularidades e decisões éticas.

Finalmente, o compliance não deve ser confundido com controle interno ou gestão de riscos, embora se relacione com ambos. Enquanto os controles internos buscam garantir a execução eficiente e segura das atividades, e a gestão de riscos visa identificar e mitigar ameaças aos objetivos organizacionais, o compliance atua como guarda de fronteira entre a organização e seu ambiente regulatório, funcionando como sistema de vigilância normativa e vetor de integridade institucional. A eficácia do sistema como um todo depende de sua articulação harmônica e da clareza dos papéis desempenhados por cada função dentro do Modelo das Três Linhas, em que o compliance ocupa posição de segunda linha, com função de apoio, monitoramento e questionamento.

2.4 Ratings e Métricas de Governança: Avanços, Fragilidades e Implicações Práticas

A mensuração da qualidade da governança corporativa é um desafio relevante tanto para investidores quanto para reguladores e pesquisadores acadêmicos. Com o avanço das exigências regulatórias e da demanda por informações padronizadas por parte do mercado, surgiram diversos sistemas de ratings comerciais de governança, desenvolvidos por empresas especializadas em análise de risco e proxy advisory, como a Institutional Shareholder Services (ISS), a GovernanceMetrics International (GMI) e a Audit Integrity.

Esses ratings buscam condensar variáveis qualitativas e quantitativas relacionadas à estrutura e às práticas de governança em indicadores sintéticos que permitam comparações entre empresas. O Governance Quotient (CGQ) do ISS, por exemplo, utilizava 65 variáveis agrupadas em oito categorias: estrutura do conselho, auditoria, estatutos, estado de incorporação, remuneração, fatores qualitativos, participação acionária e formação dos conselheiros. Esse sistema foi posteriormente substituído pelo GRId (Governance Risk Indicators) e, mais tarde, pelo QuickScore, que incorporaram até 200 fatores distribuídos em quatro pilares: conselho de administração, direitos dos acionistas, remuneração e auditoria.

De forma paralela, o Accounting and Governance Risk (AGR) desenvolvido pela Audit Integrity (depois GMI) passou a integrar elementos contábeis e financeiros para aferir o risco agregado de governança, incluindo métricas como accruals anormais, variabilidade das contas e reemissões contábeis. A proposta era ampliar o escopo dos ratings, incorporando proxies de agressividade contábil e inconsistência nos demonstrativos financeiros.

No campo acadêmico, destaca-se o G-Index de Gompers, Ishii e Metrick (2003), construído a partir de 24 variáveis coletadas junto ao IRRC (Investor Responsibility Research Center). O índice foi utilizado para classificar empresas norte-americanas em termos de seu grau de proteção aos direitos dos acionistas. Os autores encontraram evidências de que empresas com menor proteção (maior pontuação no índice) apresentavam retornos anormais negativos e múltiplos de mercado inferiores ao longo do tempo.

Apesar da sofisticação metodológica, diversos estudos têm apontado fragilidades significativas nesses sistemas de rating, sobretudo quanto à sua capacidade preditiva. Daines, Gow e Larcker (2010), por exemplo, demonstraram empiricamente que os ratings do ISS não se correlacionam de maneira robusta com desempenho operacional (ROA), retorno das ações, frequência de reemissões contábeis ou litígios legais. Além disso, as métricas muitas vezes capturam práticas formais (check-the-box) sem refletir o grau de efetividade real dos mecanismos de governança.

Outro ponto crítico é a heterogeneidade dos sistemas utilizados pelas diversas agências. A ausência de padronização metodológica entre os ratings comerciais dificulta comparações e tende a gerar divergências nas classificações atribuídas à mesma empresa, o que reduz a utilidade prática desses indicadores para fins de tomada de decisão. Também é comum a utilização de curvas forçadas de distribuição (forced ranking), que impõem uma hierarquia relativa entre as empresas avaliadas mesmo em setores onde as diferenças substantivas são mínimas.

No contexto brasileiro, os ratings de governança ainda têm utilização incipiente e pouco transparente. A B3 estabelece requisitos mínimos para listagem em segmentos diferenciados (Nível 1, Nível 2 e Novo Mercado), mas não disponibiliza indicadores sintéticos de governança nem aplica penalidades sistemáticas em caso de descumprimento. Iniciativas privadas, como o ranking da Delta Economics & Finance, tiveram impacto limitado e foram objeto de críticas pela falta de rigor metodológico e conflitos de interesse.

Diante dessas limitações, autores como Larcker e Tayan (2016) sugerem que a qualidade da governança não pode ser mensurada de forma isolada por um único indicador, sendo necessário combinar análise quantitativa com avaliação contextual e qualitativa, levando em conta fatores como o histórico da liderança, a atuação efetiva dos conselhos e a dinâmica de poder entre os grupos de interesse.

Em suma, os sistemas de ratings de governança representam tentativas válidas de sintetizar informações complexas e promover transparência, mas devem ser interpretados com cautela. Quando utilizados de forma acrítica ou como base exclusiva para decisões de investimento ou regulação, podem induzir a falsas percepções de segurança e obscurecer problemas estruturais relevantes. A adoção de abordagens trianguladas, que combinem indicadores objetivos, análise de conteúdo dos relatórios corporativos e entrevistas com stakeholders, mostra-se mais promissora para capturar a governança real em ação.

2.5 Evidências Empíricas: Governança, Controles Internos e Compliance na Prática

A efetividade dos mecanismos de governança corporativa, controles internos e compliance tem sido objeto de extensa investigação empírica nas últimas décadas. Os estudos variam quanto à metodologia, contexto institucional e proxies adotadas, mas convergem na conclusão de que tais mecanismos estão, em geral, associados à melhoria da performance financeira, redução do risco e maior qualidade da informação contábil — ainda que os efeitos observados dependam fortemente da estrutura legal e cultural de cada país.

2.5.1 Evidência internacional: o papel das instituições

La Porta et al. (1998) mostraram, em estudo seminal com dados de 49 países, que a proteção legal aos investidores é um dos determinantes centrais da profundidade dos mercados de capitais e da dispersão da propriedade. Em países com sistemas legais de origem common law (como EUA e Reino Unido), há maior presença de investidores institucionais, maior transparência e menor expropriação de minoritários, o que favorece estruturas de governança mais eficazes.

Klapper e Love (2004), ao analisarem empresas de mercados emergentes, constataram que a qualidade da governança interna das firmas está positivamente associada ao desempenho operacional (ROA) e ao valor de mercado (Q de Tobin). Contudo, esse efeito é mais forte em países com instituições fracas, sugerindo que a boa governança privada pode, até certo ponto, compensar deficiências institucionais públicas.

Gompers, Ishii e Metrick (2003), com base no G-Index, demonstraram que empresas norte-americanas com maior proteção aos acionistas apresentaram retornos anormais superiores, maior eficiência operacional e políticas de payout mais alinhadas com os interesses dos investidores. No entanto, estudos subsequentes apontaram que esses efeitos se atenuaram após 2000, sugerindo learning effects ou arbitragem de governança no mercado.

No campo dos controles internos, evidências indicam que a adoção da Seção 404 da Lei Sarbanes-Oxley (SOX), que exige avaliação e divulgação da efetividade dos controles internos sobre os relatórios financeiros, levou a uma significativa melhoria na qualidade da informação contábil e à redução do custo de capital (Ashbaugh-Skaife et al., 2009). Contudo, o alto custo de implementação inicial provocou resistência entre pequenas empresas, o que motivou ajustes regulatórios posteriores.

Quanto ao compliance, estudos com dados europeus e norte-americanos sugerem que programas estruturados de integridade estão associados à redução de penalidades legais, maior confiança de investidores institucionais e maior estabilidade da estrutura de capital (Weaver et al., 1999; Christensen et al., 2015). Ainda assim, tais efeitos são condicionados à presença de uma cultura organizacional que valorize a ética e à atuação independente dos canais de denúncia e dos comitês de compliance.

2.5.2 Evidência no Brasil: avanços institucionais e limitações práticas

No Brasil, o avanço da governança corporativa desde os anos 2000 pode ser observado pela criação dos segmentos especiais da B3 (Nível 1, Nível 2 e Novo Mercado) e pela atuação do Instituto Brasileiro de Governança Corporativa (IBGC). Pesquisas conduzidas por Leal e Silva (2005) e Silveira et al. (2008) mostraram que empresas com práticas superiores de governança apresentam maior valor de mercado, menor custo de capital e melhor desempenho operacional.

Santos e Kayo (2010) verificaram, por meio de análise econométrica com dados da BM&FBOVESPA, que a governança corporativa está negativamente associada ao custo do capital próprio, mesmo após o controle por variáveis contábeis, financeiras e setoriais. Empresas com conselhos mais independentes, estruturas de propriedade menos concentradas e maior transparência informacional apresentam maior eficiência alocativa do capital.

Por outro lado, a efetividade dos controles internos ainda é limitada. Estudo de Almeida e Costa (2016), com dados de auditorias internas e reemissões contábeis, aponta que grande parte das empresas brasileiras listadas não realiza testes sistemáticos de seus controles, e que falhas em controles de tecnologia da informação são comuns. A ausência de avaliações formais de risco de fraude e de políticas robustas de segregação de funções ainda representa uma lacuna importante.

Em relação ao compliance, a promulgação da Lei 12.846/2013 impulsionou a institucionalização de programas de integridade, especialmente em empresas com contratos públicos relevantes. Segundo pesquisa da KPMG (2022), mais de 80% das grandes empresas brasileiras afirmam possuir um programa de compliance, mas apenas 47% o consideram “efetivo” em termos de prevenção a infrações. As principais fragilidades apontadas incluem: baixa aderência da alta liderança, ausência de indicadores, e resistência cultural à denúncia interna.

Além disso, os casos emblemáticos da Petrobras, Americanas e JBS demonstram que a existência de estruturas formais de governança, controles e compliance não garante sua eficácia. Em todos esses episódios, houve falhas gravíssimas de supervisão, conivência do conselho ou da auditoria, e captura de instâncias de controle, evidenciando a lacuna entre o design institucional e sua execução real.

Dessa forma, a evidência empírica no Brasil aponta para um paradoxo: os instrumentos formais de governança avançaram substancialmente, mas sua efetividade permanece condicionada à cultura organizacional, à enforcement regulatório e à maturidade institucional. A superação desse hiato é condição necessária para que tais mecanismos cumpram seu papel de proteção ao investidor e de estímulo à alocação eficiente de recursos.

3. Considerações Finais

Este artigo teve como objetivo discutir, de forma integrada e crítica, os mecanismos de governança corporativa, controles internos e compliance como instrumentos centrais para a mitigação de riscos, a proteção dos investidores e a geração de valor sustentável nas organizações. Partindo da constatação de que a simples adesão formal a códigos de boas práticas é insuficiente, argumentou-se que a efetividade desses mecanismos depende fundamentalmente da sua implementação concreta, do alinhamento com a cultura organizacional e do ambiente institucional em que estão inseridos.

A análise teórica evidenciou que, embora a Teoria da Agência forneça o arcabouço inicial para a compreensão da governança, abordagens complementares como as teorias do stewardship, dos stakeholders e da dependência de recursos enriquecem a compreensão da diversidade de modelos e práticas existentes. Verificou-se, ainda, que os sistemas nacionais de governança refletem diferentes tradições legais, culturais e graus de maturidade institucional, o que implica que não há uma solução única aplicável a todos os contextos.

No campo dos controles internos, a estrutura do COSO ICIF (2013) oferece um modelo robusto para a construção de sistemas eficazes, desde que os cinco componentes e os dezessete princípios sejam operacionalizados de maneira integrada e contínua. O papel da auditoria interna e da governança de TI foi destacado como crítico para a confiabilidade dos processos e das informações financeiras. Do mesmo modo, programas de compliance que se limitam a formalismos documentais ou treinamentos superficiais tendem a falhar. O compliance efetivo exige lideranças éticas, integração com a gestão de riscos e processos decisórios, e mecanismos reais de escuta e responsabilização.

A literatura empírica internacional confirma que boas práticas de governança e controle estão associadas a maior valor de mercado, menor custo de capital e menor incidência de reemissões contábeis e litígios. No Brasil, embora tenha havido avanços institucionais significativos, persistem limitações na cultura de controle, no enforcement regulatório e na efetividade dos mecanismos internos. Os escândalos recentes envolvendo grandes empresas nacionais demonstram a urgência de fortalecer os elementos qualitativos da governança: integridade, independência, accountability e coerência entre discurso e prática.

Com base nessas constatações, a solução ao problema prático discutido na introdução — a ocorrência de fraudes mesmo em empresas com estruturas formais de governança robustas — passa por um modelo de avaliação e desenvolvimento organizacional que integre as seguintes dimensões:

• Governança efetiva: conselhos atuantes, independentes e devidamente capacitados, com comitês que operem com autonomia e profundidade analítica;

• Controles internos integrados: mapeamento e avaliação contínua dos riscos, controles desenhados com base em materialidade e impacto, e apoio tecnológico adequado;

• Compliance como vetor de cultura: programas desenhados sob medida, com foco na promoção de condutas éticas, na escuta organizacional e na atuação preventiva;

• Avaliação holística: superação de abordagens baseadas apenas em ratings ou checklists, incorporando análise qualitativa, triangulação de fontes e validação empírica dos efeitos esperados.

Portanto, garantir a efetividade dos sistemas de governança, controles e compliance exige mais do que estruturas; requer instituições sólidas, cultura de integridade e compromisso prático com a accountability. Em um ambiente econômico cada vez mais complexo e interdependente, essas dimensões são não apenas desejáveis, mas imprescindíveis para a sustentabilidade das empresas e a confiança dos mercados.

Referências

• Aguilera, R. V., & Jackson, G. (2003). The cross-national diversity of corporate governance: Dimensions and determinants. Academy of Management Review, 28(3), 447–465.

• Ashbaugh-Skaife, H., Collins, D. W., Kinney Jr, W. R., & LaFond, R. (2009). The effect of SOX internal control deficiencies on firm risk and cost of equity. Journal of Accounting Research, 47(1), 1–43.

• Christensen, D. M., Hail, L., & Leuz, C. (2015). Mandatory CSR and sustainability reporting: Economic analysis and literature review. Review of Accounting Studies, 20(3), 1373–1430.

• Daines, R., Gow, I. D., & Larcker, D. F. (2010). Rating the ratings: How good are commercial governance ratings? Journal of Financial Economics, 98(3), 439–461.

• Davis, J. H., Schoorman, F. D., & Donaldson, L. (1997). Toward a stewardship theory of management. Academy of Management Review, 22(1), 20–47.

• Ferreira, A. R., & Santos, C. S. (2020). Compliance e governança corporativa: Um modelo de maturidade. Revista Contabilidade & Finanças, 31(83), 342–359.

• Freeman, R. E. (1984). Strategic management: A stakeholder approach. Boston: Pitman.

• Gompers, P., Ishii, J., & Metrick, A. (2003). Corporate governance and equity prices. Quarterly Journal of Economics, 118(1), 107–155.

• Jensen, M. C., & Meckling, W. H. (1976). Theory of the firm: Managerial behavior, agency costs and ownership structure. Journal of Financial Economics, 3(4), 305–360.

• Kaptein, M. (2008). Developing and testing a measure for the ethical culture of organizations: The corporate ethical virtues model. Journal of Organizational Behavior, 29(7), 923–947.

• Klapper, L. F., & Love, I. (2004). Corporate governance, investor protection, and performance in emerging markets. Journal of Corporate Finance, 10(5), 703–728.

• La Porta, R., Lopez-de-Silanes, F., Shleifer, A., & Vishny, R. (1998). Law and finance. Journal of Political Economy, 106(6), 1113–1155.

• Leal, R. P. C., & Carvalhal, A. G. D. (2007). Estrutura de propriedade e controle das companhias brasileiras de capital aberto. São Paulo: Atlas.

• Paine, L. S. (1994). Managing for organizational integrity. Harvard Business Review, 72(2), 106–117.

• Pfeffer, J., & Salancik, G. R. (1978). The external control of organizations: A resource dependence perspective. New York: Harper & Row.

• Santos, A., & Kayo, E. K. (2010). Governança corporativa e o custo de capital próprio no Brasil. Revista de Administração Contemporânea, 14(3), 458–478.

• Shleifer, A., & Vishny, R. W. (1997). A survey of corporate governance. The Journal of Finance, 52(2), 737–783.

• Silveira, A. M., Barros, L. A. B. C., & Famá, R. (2008). Governança corporativa e estrutura de capital: evidências empíricas no Brasil. Revista de Administração Contemporânea, 12(SPE), 763–788.

• The Committee of Sponsoring Organizations of the Treadway Commission – COSO. (2013). Internal Control – Integrated Framework. COSO.

• The Committee of Sponsoring Organizations of the Treadway Commission – COSO. (2017). Enterprise Risk Management – Integrating with Strategy and Performance. COSO.

• The Institute of Internal Auditors – IIA. (2020). The Three Lines Model – An update of the Three Lines of Defense.