Introdução

Em temas anteriores, você percebeu que o risco pode ser caracterizado como um evento futuro ou um conjunto de eventos que podem causar impactos à organização. O risco é inerente a qualquer atividade no âmbito profissional, pessoal ou nas organizações e pode resultar em perdas ou oportunidades.

Quando a organização não adota um processo de gestão de riscos, podemos dizer que o risco é a possibilidade de ocorrer um evento incerto, fortuito e danoso. O processo de gestão de riscos deve considerar o desconhecido, concentrando-se não somente naquilo que é possível compreender, mas, também, nas oportunidades que podem ser aproveitadas.

A ameaça é um risco à segurança corporativa, visto que pode resultar em perdas reais, tais como as relacionadas às finanças ou à sua imagem interna ou externa. O risco pode ser um ou mais eventos com potencial, tangível ou intangível, de causar dano à organização.

Muitos riscos são inerentes ao negócio, assim a competência do profissional de gestão de riscos e controle interno relaciona-se à definição de quais riscos a organização deve tratar. Os riscos sempre estarão presentes, podendo ser de baixo ou alto nível de perigo, de acordo com as medidas preventivas e de segurança existentes.

O controle interno associado a uma gestão de compliance efetiva permite o mapeamento dos processos e a avaliação dos riscos corporativos existentes. Neste contexto, podemos considerar que o gerenciamento de riscos requer a observação do passado e do presente e a projeção para o futuro, no intuito de efetuar uma gestão empresarial responsável, baseando-se em informações confiáveis que dão suporte ao processo de tomada de decisão na organização, com controles internos mais efetivos e uma gestão de compliance próxima da gestão e da governança.

Conceito de controles internos

O controle interno relaciona-se ao conjunto de políticas, procedimentos, normas, protocolos, diretrizes, trâmites de documentos e informações, dentre outros, que são operacionalizados de forma integrada pelos gestores e colaboradores das organizações, no intuito de reduzir os níveis de incerteza da ocorrência ou não de um risco, fornecendo uma segurança razoável de que os seguintes objetivos gerais serão alcançados:

• Execução ordenada, ética, econômica, eficiente e eficaz das operações.
• Cumprimento das obrigações de accountability (responsabilidade).
• Cumprimento das leis e regulamentos aplicáveis.
• Salvaguarda dos recursos para evitar perdas, mau uso e danos (Brasil, 2018, p. 55).

De acordo com Nascimento e Reginato (2013, p. 111) o “controle interno é cada procedimento estabelecido e executado individualmente e sistema de controles internos é organização de todos os mecanismos de controle que interagem entre si, garantindo a salvaguarda dos ativos da empresa, a melhoria da eficiência operacional, a integridade e transparência das informações econômico-financeiras e, além disso, auxilia na adesão às políticas e novas propostas pela administração da companhia”.

Dependendo do tipo de atividade exercida pela organização podem existir alguns tipos específicos de controle interno. Para a distinção das atividades de um controle interno é preciso destacar alguns de seus princípios:

• Ambiente de controle: o controle interno irá atuar de acordo com a postura e a política adotada pela alta administração.
• Segregação de funções: é importante a determinação do responsável pela execução ou gestão de determinado fator dentro da organização.
• Revezamento das funções: alterar continuamente a equipe de gestão de controle interno permite que os procedimentos sejam revistos e reestruturados, além de garantir a salvaguarda dos ativos em razão de falhas ou comportamentos inadequados dos gestores anteriores.
• Autoridade e responsabilidade: a identificação da autoridade sobre determinado aspecto permite o melhor acompanhamento dos procedimentos, a fim de determinar se estes estão sendo executados conforme a estrutura de responsabilidade estabelecida, ou seja, sem que nenhum setor interfira na responsabilidade de outros setores.
• Custo de oportunidade e controle interno: é necessário que sejam avaliados os custos relacionados à implementação de um mecanismo de controle interno específico, de forma a estabelecer se os benefícios são vantajosos.
• Uso de tecnologias: alguns recursos tecnológicos podem ser utilizados no intuito de aprimorar a obtenção de dados e informações ou mesmo reduzir os erros ou fraudes.
• Instruções e formalização: o estabelecimento de normas e padrões, pela organização, é importante para analisar a conduta dos colaboradores.
• Qualificação de funcionários: a capacitação técnica dos colaboradores garante um bom andamento das atividades da organização.

A implantação de controles internos deve ser de responsabilidade da alta administração, que realiza a operacionalização e supervisão dos controles, visto que é de responsabilidade da mesma estabelecer o plano de organização, que nada mais é do que o desenho organizacional da empresa, no qual são estabelecidas as responsabilidades básicas de cada unidade e alocação de recursos para adequada gestão dessas atribuições. No que se refere aos instrumentos e mecanismos da governança corporativa e ao ambiente de controle, é necessária a avaliação de cinco aspectos:

• A responsabilidade da alta administração pelo estabelecimento dos limites éticos que limitam a atuação da organização.
• Os papéis do Conselho de Administração e da Diretoria Executiva na manutenção de um ambiente de controle eficaz e de uma cultura de gestão de riscos.
• O grau de separação entre as funções do Conselho de Administração e da Diretoria Executiva na definição e implementação dos controles internos.
• Avaliação da atuação da diretoria executiva às diretrizes estratégicas definidas pelo Conselho de Administração, particularmente no que se refere à supervisão da Gestão de Risco e à adesão dessa gestão ao grau de propensão ao risco estabelecido previamente.
• Papel da Auditoria Interna no ambiente de controle.

O primeiro ponto descrito está relacionado ao controle de fraudes. Para reduzir as fraudes e os erros humanos voluntários, o ambiente de controle deve estabelecer um código de ética abrangente e manuais de conduta detalhados. Os riscos relacionados ao erro humano involuntário devem ser mitigados pelos controles internos, por meio de programas de treinamento e capacitação, sistemas de alçadas, delegações e autorizações, dentre outros. Riscos relacionados aos sistemas devem ser administrados por meio da utilização de programas de contingência ou planos de continuidade dos negócios, dentre outras ferramentas.

Tradicionalmente, o ambiente de controle interno configura-se como uma situação permanente e contínua, existente em todos os ambientes da organização, visando a minimização dos riscos e o aumento da eficácia dos processos. Um forte ambiente de controle interno baseia-se na integridade e na ética dos colaboradores em todos os escalões, assim, a existência de um clima organizacional permissivo ou um contexto operacional corrupto comprometem o alcance dos objetivos da empresa. Os executivos da alta administração determinam, na prática, os aspectos éticos da organização. Estes aspectos influenciam, diretamente, todos os demais componentes e instrumentos de controles internos.

O segundo ponto relaciona-se à necessidade da difusão de uma forte cultura de gerenciamento de riscos no ambiente interno da organização, apoiada pela supervisão constante, no intuito de fortalecer essa cultura. O descompromisso da gerência com a qualidade dos controles internos e contábeis, utilizados no gerenciamento de processos e dos riscos, contribuem para a existência de uma falha de comunicação entre as unidades de negócios e a alta administração.

O terceiro ponto associa-se à segregação de funções. Essa segregação entre as funções de governança e de gestão é imprescindível, cabendo ao Conselho de Administração as atividades de orientação estratégica e de supervisão das ações da Diretoria Executiva, a qual, por sua vez, executa a gestão da organização. Dentre as atividades de supervisão do risco, executadas pelo Conselho de Administração, podemos incluir os seguintes assuntos: determinação da política geral de administração dos riscos, monitoramento do plano de resposta aos riscos, revisão periódica dos controles implementados para a gestão dos riscos identificados, e, eventualmente, contratação de especialistas externos para análise e aconselhamento da alta administração sobre as características específicas da gestão de riscos.

O quarto ponto relaciona-se ao objetivo do compliance, que pode ser desdobrado em duas áreas:  o alinhamento às normas internas, tanto a nível operacional quanto estratégico, e a observância às normas externas, decorrentes de leis e regulamentos.

Para o alcance dos objetivos do compliance é necessário a implementação de um programa e de uma infraestrutura voltada para garantir a integridade do fluxo de informações verticais, entre as unidades de negócio e a alta administração. Esta medida pode impactar na estrutura organizacional e exigir a criação de uma assessoria de compliance entre a Diretoria Executiva e o Conselho Administrativo.

O último ponto está relacionado ao papel da auditoria interna, que é o órgão de controle interno da empresa, responsável pela avaliação da adequação e da efetividade desses controles. A gestão de risco operacional envolve a inibição de fraudes, a redução dos processos utilizados na organização e a minimização de falhas nos sistemas, particularmente os de Tecnologia de Informação. O papel do auditor interno envolve a inibição de fraudes, avaliação dos controles internos, no intuito de minimizar os erros e otimizar o processo de gestão.

Auditoria interna com foco em riscos utiliza avaliações elaboradas com base nos riscos de negócios identificados durante o levantamento de informações. Estas avaliações baseiam-se nos controles que minimizam os riscos relevantes, a fim de antecipar e prevenir os riscos em sua origem. Grande parte do tempo do processo de auditoria interna é voltado ao levantamento e análise de informações. Esta abordagem demanda uma visão mais ampla e aprofundada dos controles internos, tanto os administrativos quanto os contábeis. O foco de atuação da auditoria interna está voltado a uma postura mais comprometida com a produtividade organizacional e com os ganhos de eficiência, a fim de verificar a qualidade da gestão dos negócios da organização.

Committee of Sponsoring Organizations of the Treadway Commission

No ano de 1992, o Committee of Sponsoring Organizations of the Treadway Commission (COSO) publicou a obra Internal Control – Integrated Framework (Controle interno - estrutura integrada) no intuito de fornecer um referencial técnico para a estruturação de sistemas de controle interno nas organizações.

No ano de 2004, o COSO publicou o Enterprise Risk Management - integrated framework (COSO-ERM ou COSO II). Este documento é considerado, ainda hoje, uma referência no tema gestão de riscos corporativos. Este modelo foi proposto no intuito de fornecer orientações às organizações para o estabelecimento de um processo de gestão de riscos corporativos e aplicação de boas práticas sobre o tema.

O COSO 2013 ressalta a relação entre o controle interno, gestão de riscos corporativos e a governança corporativa. O controle interno faz parte do processo de gestão de riscos corporativos, enquanto este faz parte do processo geral de governança, como pode ser observado na figura 1.

Figura 1: Relação entre Governança Corporativa, Gestão de Riscos e Controle Interno.

Fonte: adaptado de TCU (2023).

A nova versão, COSO ERM – Integrating with Strategy and Performance, evidencia a importância de considerar os riscos tanto durante o estabelecimento da estratégia quanto no aprimoramento da performance, como observado na figura 2.

Figura 2: Integração entre estratégia e performance.

Fonte: adaptado de TCU (2023).

Em resumo

Neste tema você percebeu que os controles internos constituem parte do processo de gestão de riscos e são caracterizados como práticas de gerenciamento que podem contribuir tanto para minimização dos riscos relacionados a erros e fraudes quanto para o alcance dos objetivos relacionados à governança corporativa, devendo ser implantados pela alta gestão das organizações.