Para responder a questão que dá título a este artigo devemos, antes de qualquer coisa, perguntar: ‘Como e onde implementar?’.

Afinal, o primeiro obstáculo no qual esbarramos em um processo é: ‘Para quem devemos apresentar a necessidade de implementação de um plano de controles internos?’

Acredito que para todas as partes interessadas, principalmente a alta administração, que por questões de falta de conhecimento ainda não entendem da necessidade, tendo em vista que o medo do desconhecido causa isso mesmo.

Entretanto, muito pode ser realizado com processos devidamente mapeados e com os pontos de controles e riscos adequadamente identificados.

Gostaria de evidenciar aqui que digo isso com o foco em empresas de médio e pequeno porte, para enfatizar a necessidade de mudança dos rumos dos negócios, pois, acredito que as grandes já possuam maior maturidade, mas vale a pena checar; afinal, tenho me deparado com algumas falhas grotescas de processo de controles.

Você deve estar se perguntando: Como mudar isso?

Precisamos de gestores capacitados para a melhoria da governança e da gestão, seja em processos de controles contábeis, controles internos, compliance, riscos, segurança da informação e qualidade, não importando o tamanho da empresa.

Todas as organizações necessitam de controles internos e compliance, e que estejam dentro do tamanho, porte e complexidade do negócio com uma estrutura organizacional adequada para as realizações de negócios, comprometimento com a competência e a eficiência e sistemas e metodologias adequados.

Ao tratar de controles internos não podemos deixar de comentar sobre o principal indicador de controle: a segregação de função, pois se duas partes de uma transação são processadas por diferentes indivíduos, cada um deles tem a oportunidade de checar a atuação do outro; na teoria tudo funciona.

A segregação de funções é, portanto, uma barreira para a ocorrência de erros, fraudes ou omissões, porque passa a ser necessária a participação de pelo menos dois colaboradores para que o ato fraudulento seja executado.

Um bom sistema de controle deve prever a existência de níveis de autorização, aprovação e conferência das operações.

Para isso verificaremos se as autorizações, as aprovações e as conferências estão adequadas às normas e aos procedimentos.

No entanto, com o passar do tempo, identificamos que em certos processos, nem sempre há a quantidade suficiente de pessoas para implementar um processo de segregação de funções; ao contrário, identificamos “ligeira” sobreposição de atividades, conhecida como “euquipe”, o mesmo profissional inicia a operação, aprova, autoriza, concilia e envia a informação.

Muitos devem estar se questionando sobre isso, mas a solução deve ser na avaliação dos processos críticos? E, de que forma eles são realizados, tendo em vista que a organização nem sempre possui recursos para suprir as posições? Como fazer isso sem onerar o negócio?

O pulo do gato está na forma como faremos as relações entre compliance, controle interno, qualidade e gestão de riscos corporativos para a organização, evitando o retrabalho, conflito de informações, sobreposição de funções e na objetividade da prestação de contas.

Isso mesmo, o controle interno é uma ferramenta que quando bem implementada fornece indicadores de performance e facilita a obtenção de informações sobre como está a situação de nossa organização para informações financeiras, operacionais e administrativas, e quem realiza as atividades.

Segundo o COSO, que define controle interno em seu Framework de 2013 e no Enterprise Risk Management – Integrando Estratégia e Desempenho de 2017, evidencia-se a seguinte forma:

Um processo, efetuado pelo conselho de administração de uma entidade, pela gestão e por outras pessoas, projetado para fornecer garantia razoável em relação à realização de objetivos relacionados às operações, relatórios e conformidade’.

E o termo “garantia razoável” mencionada acima, está relacionada ao comportamento das pessoas envolvidas no negócio.

Podemos confiar até certo ponto, por isso qualquer ferramenta para governança, riscos e compliance – GRC deve ser efetiva e monitorada a todo o momento, e quem se ilude achando que compliance não tem nada a ver com controles internos, está próximo de um possível fracasso profissional.

O controle interno não é exclusivamente sobre questões contábeis e financeiras, e que devem estar em conformidade com leis e regulamentos; portanto, é um dos três fundamentos objetivos do sistema de controles internos de uma organização.

E os cinco componentes de controle interno que suportam todas as três categorias de objetivos:

  • Ambiente de controle
  • Avaliação de risco
  • Atividades de controle
  • Informação e comunicação
  • Atividades de monitoramento

Neste caso, a aplicação da estratégia e dos componentes de definição de objetivos da estrutura COSO ERM – Enterprise Risk Management, juntamente com os quatro princípios a seguir, associados à gestão de riscos de compliance, essências para a Governança Corporativa, são:

  • Análise do contexto de negócios
  • Definição do apetite a risco
  • Avaliação de estratégias alternativas
  • Formulação dos objetivos de negócios

Pense mais fora da caixa, avalie os cenários internos e externos. A teoria tem como base a orientação, mas a prática leva à perfeição; devemos entender os contextos dos negócios, pois é fundamental para compreender e gerenciar riscos de compliance e do próprio negócio, que necessita de atenção e gerenciamento de suas possibilidades.

Pense que o planejamento estratégico foca nas possibilidades, o planejamento tático sobre como podemos realizar as metas e o planejamento operacional, que vai acompanhar tudo que realizamos.

Mas, como fazer isso sem controles internos e sem os processos mapeados?