Para entender um pouco melhor sobre como estamos em relação a controles internos nas empresas brasileiras, foi feita uma pesquisa no LinkedIn por “gerentes de controles internos” no Brasil o que resultou em uma lista de profissionais muito maior e extensa do que “gerentes de riscos corporativos”, e essa realidade nos intrigou porque deve haver clareza sobre riscos para que se implementem controles. Nesse artigo buscamos desmistificar o assunto e entender o que é controle interno e como se relaciona com a gestão de riscos das organizações. Em primeiro lugar vamos aos temas que iremos abordar.
Principais pontos a serem abordados:
- Qual a relação de gestão de riscos e controles internos?
- O que são controles internos e quais são as normas?
- O que faz na prática um profissional de controles internos?
- Controles internos realmente importam?
Essas são algumas perguntas que escutamos com frequência e nos propusemos a explorar o tema em maior profundidade.
CONTROLES INTERNOS E AS DEMONSTRAÇÕES FINANCEIRAS
Empresas multinacionais e empresas brasileiras com captação de recursos no exterior e mais recentemente as empresas brasileiras listadas na bolsa de valores estão obrigadas a atender requisitos relacionados aos controles sobre as informações nas demonstrações financeiras. Todas essas, em sua maioria, empresas de grande porte.
Todavia, nossas indagações e pesquisas apontaram que parte relevante dos profissionais que atuam diretamente com controles internos nas empresas, estão absorvidos na rotina extenuante de apoio a auditoria e avaliações de controles sobre demonstrações financeiras requeridas pela seção 404 da Lei Sarbanes-Oxley. Também conhecida como Lei Sarbanes-Oxley, a SOx foi sancionada em 2002 pelo Congresso dos Estados Unidos. A SOx surgiu como resposta a uma série de escândalos financeiros. A seção 404 é a mais complicada, mais contestada e mais cara de implementar de todas as seções da Lei Sarbanes-Oxley para conformidade. Acima de tudo precisamos falar sobre os relatórios financeiros.
Relatórios Financeiros
Todos os relatórios financeiros anuais devem incluir um Relatório de Controle Interno afirmando que a administração é responsável por uma estrutura de controle interno “adequada” e uma avaliação pela administração da eficácia da estrutura de controles internos nas empresas. Quaisquer deficiências nesses controles também devem ser relatadas. Além disso, os auditores externos registrados devem atestar a exatidão da afirmação da administração da empresa de que os controles contábeis internos estão em vigor, operacionais e eficazes.
Assim as áreas de controles internos das empresas que estão sob a égide dessa regulamentação ou outras semelhantes, tomou corpo. Então, quando falamos de controles internos sob essa ótica, estamos falando sobre controles internos sobre demonstrações financeiras – ou seja, o processo de produzir informações financeiras públicas confiáveis. Bem como, não podemos deixar de abordar o Compliance.
Compliance – Conformidade com leis e regulamentos
Mas, controles internos tem tanto – de fato muito mais – que ver com outras duas relevantes categorias de objetivos empresariais. Alguns controles são dirigidos para apoiar as empresas em assegurar conformidade com leis e regulamentos (“compliance”) que afetam a companhia, e outros estão implementados para verificar que os objetivos operacionais da companhia sejam alcançados. Esses últimos controles, chamados de controles operacionais, lidam com tudo desde implementação de um novo plano de marketing até controle eficiente de estoques e a recrutamento e treinamento de funcionários. Isso pode fazer você pensar que essas três categorias de objetivos tudo que uma companhia busca atingir e se esse é seu caso, você esta correto. O que não cai na categoria de relatórios financeiros ou “compliance”, é operacional. Do mesmo modo, precisamos pensar na formação COSO como grande aliado em todo o processo.
COSO
Até a formação do COSO e a publicação dos padrões e guias de controles internos, faltava um denominador comum para apoiar essas questões, o que ajudava a aumentar a confusão sobre o papel e significado dos controles internos para as empresas.
Assim, os controles internos foram o primeiro objeto de estudo do COSO (Committee of Sponsoring Organizations of the Treadway Commission), entidade sem fins lucrativos que foi criada nos Estados Unidos em 1985, para estudar as causas da ocorrência de fraudes em relatórios financeiros e contábeis. É um órgão patrocinado pelas cinco principais associações de classe de profissionais ligados à área financeira nos Estados Unidos.
Mas, antes de definir controles internos, é preciso compreender uma definição de risco:
Risco, no contexto da gestão dos controles internos, está associado à incerteza que acompanha eventos e resultados futuros. É a expressão da probabilidade e do impacto de um evento que possa, potencialmente, afetar a consecução dos objetivos de uma organização.
Nesse sentido, segundo o COSO, controle interno é um processo, conduzido pelo conselho, pela administração e por outros colaboradores de uma entidade, desenvolvido para proporcionar asseguração razoável sobre o alcance dos objetivos relacionados a operações, divulgação e conformidade. Em outras palavras, os controles internos são políticas, procedimentos e atividades estabelecidas numa empresa, com o objetivo de mitigar riscos. Assim como os exemplos abaixo.
Os principais componentes de controles internos são:
- Ambiente de Controle (Control Environnment)
- Avaliação de Riscos (Risk Assessment)
- Atividades de Controle (Control Activities)
- Informação e Comunicação (Information and Communication)
- Monitoramento (Monitoring Activities)
O primeiro standard ou referência do COSO para controles internos foi publicado em 1992 e trouxe a imagem do “cubo” que é amplamente utilizada e conhecida por todos os praticantes das áreas de GRC (Governança, riscos e compliance). A visão do cubo se mantêm mas os padrões e práticas foram atualizados em 2013 incorporando os aprendizados e direcionamentos trazidos com a lei Sarbanes-Oxley de 2002.
Há uma sinergia e link entre esses componentes, formando um sistema integrado que reage de forma dinâmica à mudança do contexto e condições do negócio. Além disso, é importante falarmos sobre a área que conduzirá todo esse processo.
A ÁREA DE CONTROLES INTERNOS
A área de Controles Internos atua como segunda linha de defesa (falaremos sobre as Linhas de Defesa em outro texto), fornecendo assistência para a Alta Administração no gerenciamento de riscos, como parte integrante da estrutura de governança. Nesse sentido, vale abordar a estrutura de uma equipe bem estruturada.
A equipe de Controles Internos é responsável por:
- Monitorar e supervisionar o sistema de controles internos da entidade;
- Estabelecer junto à Alta Administração as políticas necessárias para a supervisão do sistema de controles internos na organização;
- De acordo com os riscos identificados pela Alta Administração, avaliar as deficiências de controles que podem impactar a realização dos objetivos da entidade;
- Dar o suporte para a Alta Administração nas medidas a serem tomadas para mitigação dos riscos e deficiências de controles;
- Buscar informações e suporte dos auditores internos e externos na identificação das deficiências;
- Coordenar e criar o processo de Control Self Assessment(avaliação dos controles internos e riscos pelos próprios gestores das áreas);
- Analisar periodicamente, as normatizações emitidas pelos órgãos reguladores relacionados ao negócio, atuando como facilitador do entendimento das mesmas;
- Zelar pelo cumprimento e atualização do Código de Ética da Entidade;
- Coordenar o processo de manutenção de segregação de funções na organização.
Cabe à Administração a responsabilidade pela resposta (ou mitigação) dos riscos que possam afetar a estratégia, alinhada à missão e visão da organização. A área de Controles Internos atua de certa forma como um guardião deste gerenciamento de riscos para a Administração, monitorando todos os direcionamentos estabelecidos para a mitigação dos riscos do negócio, auxiliando a entidade a atingir seus objetivos, atuando como parte do processo de gestão. Além disso, ferramentas como uma matriz de riscos pode ajuda ainda mais nessa construção.
MATRIZ DE RISCOS
A área de Controles Internos executa suas atividades de acordo com o mapeamento dos riscos da organização e identificação dos controles internos que mitigam tais riscos. Uma prática muito utilizada é a construção de uma matriz de riscos e controles, em uma planilha ou em sistemas específicos. A utilização de uma matriz tem as seguintes vantagens:
- Identificação de quais controles mitigam os riscos associados;
- Visibilidade da mitigação de mais de um risco com apenas um controle, e vice-versa;
- Classificação dos riscos (alto, baixo e médio, por exemplo) com nomenclatura e cores, etc.
Ahhh, sim controles internos, incluindo aqueles relacionados a confiabilidade das demonstrações financeiras, importam de fato.
Agora que respondemos as inquietudes e questionamentos que fizemos ao inicio desse texto, é a sua vez de refletir sobre as práticas de controles internos da sua organização.
- Você está confortável que os controles da sua organização são suficientes para permitir que ela seja flexível e ágil mas que alcance os objetivos operacionais, de “compliance” também?
- Existe clareza na sua empresa sobre o valor adicionado para cada R$ investido nas atividades de controles internos?
Quer saber mais como podemos ajudar a melhorar e trazer mais eficiência para seu ambiente de controles internos?
Fale com a nossa equipe!
Se você gostou do nosso artigo, deixe seu comentário, se você não gostou, compartilhe seu ponto de vista. Vamos aprender juntos!
💬 www.vicenzisantiago.com | 55 11 4081-1039 | info@vicenzisantiago.com
Fonte:
- COSO – Internal Control – Integrated Framework – Executive Summary – May 2013
https://www.coso.org/Documents/990025P-Executive-Summary-final-may20.pdf
- The IIA’s Three Lines Model – 2020
https://na.theiia.org/about-ia/PublicDocuments/Three-Lines-Model-Updated.pdf
Deixe um comentário