O controle interno de uma empresa é um conjunto integrado de políticas, processos e procedimentos projetados para garantir a eficácia e eficiência das operações, a confiabilidade das informações financeiras e operacionais, a conformidade com leis e regulamentações aplicáveis e a proteção dos ativos da empresa. O controle interno é um componente essencial da governança corporativa e é implementado em todos os níveis da organização.
O controle interno serve para:
1) Mitigar riscos:
Através da identificação, avaliação e gerenciamento de riscos, o controle interno ajuda a empresa a evitar perdas financeiras, fraudes e ineficiências operacionais.
2) Melhorar a eficiência operacional:
Os controles internos permitem a identificação de áreas de melhoria nos processos operacionais, aumentando a eficiência e reduzindo os custos.
3) Assegurar a confiabilidade das informações:
O controle interno garante a precisão e integridade das informações financeiras e operacionais, fundamentais para a tomada de decisões informadas e o cumprimento das obrigações de divulgação.
4) Garantir a conformidade:
As empresas devem cumprir uma variedade de leis e regulamentações específicas do setor. O controle interno ajuda a garantir que a empresa esteja em conformidade com esses requisitos e evita multas e sanções.
5) Proteger os ativos da empresa:
O controle interno também é responsável por garantir a proteção dos ativos da empresa, incluindo ativos tangíveis, como equipamentos e instalações, e ativos intangíveis, como propriedade intelectual e informações confidenciais.
A importância do controle interno é evidente em vários aspectos:
- Aumenta a confiança dos stakeholders internos e externos, como acionistas, clientes, fornecedores e reguladores, na capacidade da empresa de gerenciar riscos e cumprir suas obrigações.
- Promove uma cultura organizacional mais forte, com maior aderência aos valores éticos e compromisso com a integridade.
- Melhora a reputação da empresa e atração de investimentos, ao demonstrar um compromisso com práticas de governança corporativa sólidas.
O controle interno agrega valor à empresa em diversas áreas:
1) Melhoria da tomada de decisão:
As informações confiáveis e precisas geradas pelos controles internos permitem que a administração tome decisões informadas e estratégicas.
2) Redução de perdas:
Ao identificar e mitigar riscos, os controles internos ajudam a reduzir perdas financeiras e proteger os ativos da empresa.
3) Aumento da eficiência operacional:
Ao identificar áreas de melhoria e eliminar ineficiências, os controles internos podem aumentar a produtividade e reduzir custos operacionais.
4) Fortalecimento da governança corporativa:
Os controles internos são parte integrante de uma governança corporativa eficaz, contribuindo para a sustentabilidade e o sucesso a longo prazo da empresa.
A estrutura de controle interno de uma empresa é fundamental para garantir a eficácia das operações, a confiabilidade das informações e a conformidade com leis e regulamentações. A avaliação regular dessa estrutura permite identificar e corrigir deficiências, mitigar riscos e melhorar a eficiência operacional, o que resulta em um desempenho financeiro e operacional mais sólido e uma maior confiança por parte dos stakeholders internos e externos.
Além disso, uma estrutura de controle interno bem estabelecida e avaliada promove uma cultura organizacional mais forte, com maior aderência aos valores éticos e compromisso com a integridade. Isso também pode melhorar a reputação da empresa, atraindo investidores, clientes e parceiros de negócios de alta qualidade.
Para manter a eficácia da estrutura de controle interno, é importante que as empresas sejam proativas na identificação e adaptação às mudanças no ambiente de negócios, como novas leis, regulamentações, tecnologias e práticas do setor. O envolvimento da alta administração no estabelecimento e manutenção de uma cultura de controle interno sólido também é fundamental para garantir o sucesso a longo prazo da empresa.
A avaliação e aprimoramento contínuo da estrutura de controle interno de uma empresa são vitais para garantir a integridade das operações, a confiabilidade das informações financeiras e operacionais e a conformidade com leis e regulamentações. Isso não só fortalece a posição competitiva da empresa, mas também cria uma base sólida para o crescimento sustentável e a longo prazo.
Queria agora comentar abaixo sobre alguns dos mais importantes princípios de controles internos baseados no COSO 1, que fornecem uma estrutura robusta para a implementação e monitoramento desses controles em empresas, para saber como sua empresa está em relação a cada um deles, podendo classificar nos níveis: básico, intermediário e avançado de sua implementação.
A) Ambiente de Controle:
A.1) Aderência à integridade e valores éticos:
Aderência à integridade e a valores éticos: Esse princípio enfatiza a importância de uma cultura organizacional baseada na integridade e na ética. A empresa deve estabelecer políticas e práticas que promovam comportamento ético e responsável.
Exemplo: A Petrobras, após os escândalos de corrupção, implementou um programa de integridade e compliance robusto para reforçar sua aderência aos valores éticos.
- Nível básico: A organização possui políticas de integridade e ética estabelecidas, porém a aderência e conscientização dos colaboradores são limitadas.
- Nível intermediário: A organização promove treinamentos e comunicação sobre ética e integridade, com aderência parcial dos colaboradores.
- Nível avançado: A integridade e a ética são altamente valorizadas, com colaboradores compreendendo e seguindo os princípios éticos e políticas internas.
A.2) Competência da alta administração:
Competência da alta administração em exercer a supervisão do desenvolvimento e do desempenho dos controles internos da gestão: A alta administração deve estar comprometida e envolvida no processo de estabelecimento e supervisão dos controles internos.
Exemplo: A Vale, após o rompimento das barragens de Mariana e Brumadinho, reestruturou sua governança corporativa e intensificou o envolvimento da alta administração na supervisão dos controles internos relacionados à segurança e ao meio ambiente.
- Nível básico: A alta administração possui conhecimento limitado sobre os controles internos e suas responsabilidades na supervisão.
- Nível intermediário: A alta administração está envolvida no desenvolvimento e monitoramento dos controles internos, mas ainda há espaço para melhorias.
- Nível avançado: A alta administração supervisiona ativamente o desenvolvimento e desempenho dos controles internos da gestão, garantindo eficiência e eficácia.
A.3) Coerência e harmonização da estrutura de competências e responsabilidades:
Coerência e harmonização da estrutura de competências e responsabilidades dos diversos níveis de gestão do órgão ou entidade: É crucial que a estrutura organizacional e a distribuição de responsabilidades estejam alinhadas e bem definidas para garantir a eficácia dos controles internos.
Exemplo: O Banco do Brasil, como uma instituição financeira de grande porte, possui uma estrutura de controle interno claramente definida, com responsabilidades atribuídas aos diversos níveis de gestão.
- Nível básico: A estrutura organizacional é pouco clara e há sobreposição de responsabilidades.
- Nível intermediário: A estrutura organizacional é mais clara, com responsabilidades bem definidas, mas ainda pode haver melhorias na harmonização.
- Nível avançado: A estrutura organizacional é clara e alinhada, com responsabilidades bem definidas em todos os níveis de gestão.
A.4) Compromisso da alta administração com o desenvolvimento de competências:
Compromisso da alta administração em atrair, desenvolver e reter pessoas com competências técnicas, em alinhamento com os objetivos da organização: A empresa deve investir na contratação, treinamento e retenção de funcionários competentes e alinhados aos objetivos organizacionais.
Exemplo: A Embraer, reconhecida por sua capacidade tecnológica e inovação, investe no desenvolvimento de seus colaboradores e na atração de talentos para manter sua posição competitiva no mercado aeroespacial.
- Nível básico: A organização possui processos básicos de recrutamento, desenvolvimento e retenção de colaboradores.
- Nível intermediário: A organização investe no desenvolvimento de competências técnicas, com foco parcial no alinhamento com os objetivos da empresa.
- Nível avançado: A organização atrai, desenvolve e retém colaboradores com competências técnicas alinhadas aos objetivos da empresa.
A.5) Responsabilidade pelas funções de controle interno:
A organização faz com que as pessoas assumam responsabilidade por suas funções de controle interno (1ª e 2ª linha de controle) reforçando a necessidade de reporte dos resultados: Os funcionários devem ser responsabilizados por suas funções de controle interno, com políticas claras de reporte dos resultados.
Exemplo: A Natura, empresa brasileira de cosméticos, estabelece responsabilidades claras e mecanismos de reporte para garantir a eficácia de seus controles internos e a sustentabilidade de suas operações.
- Nível básico: A responsabilidade pelos controles internos é limitada, com pouca conscientização sobre a importância do reporte de resultados.
- Nível intermediário: A responsabilidade pelos controles internos é melhor compreendida, mas ainda há espaço para melhorias na comunicação e reporte.
- Nível avançado: A organização garante que os colaboradores assumam responsabilidade pelos controles internos e reportem os resultados conforme necessário.
B) Avaliação de Riscos:
B.6) Definição de objetivos:
Clara definição de objetivos que possibilitem o eficaz gerenciamento de riscos: A empresa deve definir objetivos claros, que orientem a identificação e o gerenciamento de riscos.
Exemplo: A Itaú Unibanco, um dos maiores bancos do Brasil, possui objetivos bem definidos relacionados ao gerenciamento de riscos, como riscos de crédito, mercado e operacionais, para garantir a estabilidade e a sustentabilidade de suas operações financeiras.
- Nível básico: A organização possui objetivos genéricos que não estão claramente vinculados à gestão de riscos.
- Nível intermediário: A organização estabelece objetivos mais claros, com alguma conexão com o gerenciamento de riscos.
- Nível avançado: A organização define objetivos claros e específicos que facilitam o gerenciamento eficaz dos riscos.
B.7) Mapeamento de vulnerabilidades:
Mapeamento das vulnerabilidades que impactam os objetivos, de forma que sejam adequadamente identificados os riscos a serem geridos: A organização deve realizar uma análise abrangente das vulnerabilidades e riscos que podem afetar seus objetivos.
Exemplo: A Ambev, líder no setor de bebidas, realiza um mapeamento de riscos em áreas como logística, produção e meio ambiente para garantir a continuidade e a qualidade de seus produtos.
- Nível básico: A organização tem pouco conhecimento das vulnerabilidades e riscos associados aos seus objetivos.
- Nível intermediário: A organização identifica e avalia algumas vulnerabilidades, mas o processo de mapeamento pode ser aprimorado.
- Nível avançado: A organização identifica e avalia adequadamente as vulnerabilidades que impactam seus objetivos e gerencia os riscos de forma eficaz.
B.8) Potencial para fraude:
A organização considera o potencial para fraude na avaliação dos riscos à realização dos objetivos: A empresa deve incluir a possibilidade de fraudes em sua avaliação de riscos, desenvolvendo medidas preventivas e detectivas.
Exemplo: A BRF, uma das maiores empresas de alimentos do Brasil, fortaleceu seus controles internos após escândalos envolvendo irregularidades na produção e fiscalização de alimentos, visando prevenir e detectar fraudes em suas operações.
- Nível básico: A organização tem pouca consideração pelo potencial de fraude em sua avaliação de riscos.
- Nível intermediário: A organização considera o potencial de fraude, mas as medidas de prevenção e detecção podem ser aprimoradas.
- Nível avançado: A organização considera ativamente o potencial de fraude em sua avaliação de riscos e implementa medidas eficazes de prevenção e detecção.
B.9) Mudanças internas e externas:
Identificação e avaliação das mudanças internas e externas ao órgão ou entidade que possam afetar significativamente o sistema de controle interno: A empresa deve monitorar constantemente as mudanças no ambiente interno e externo e adaptar seus controles internos conforme necessário.
Exemplo: A Weg, fabricante brasileira de motores elétricos, adapta seus controles internos para lidar com mudanças no mercado global, como inovações tecnológicas e novas regulamentações.
- Nível básico: A organização tem pouca capacidade de identificar e responder a mudanças internas e externas que afetam seu sistema de controle interno.
- Nível intermediário: A organização monitora algumas mudanças relevantes, mas pode melhorar sua capacidade de adaptação e resposta.
- Nível avançado: A organização monitora ativamente as mudanças internas e externas, adaptando-se e respondendo de maneira eficaz às mudanças que impactam o sistema de controle interno.
C) Atividades de Controle:
C.10) Desenvolvimento e implementação de atividades de controle:
Desenvolvimento e implementação de atividades de controle que contribuam para a obtenção de níveis aceitáveis de riscos: A organização deve desenvolver e implementar atividades de controle que ajudem a gerenciar riscos de maneira eficaz.
Exemplo: A Magazine Luiza, grande varejista, possui atividades de controle internas para gerenciar riscos relacionados à logística, vendas e segurança da informação.
- Nível básico: A organização possui atividades de controle limitadas e pouco eficazes na gestão de riscos.
- Nível intermediário: A organização desenvolve e implementa algumas atividades de controle, com eficácia parcial na gestão de riscos.
- Nível avançado: A organização desenvolve e implementa atividades de controle eficazes que contribuem para a obtenção de níveis aceitáveis de riscos.
C.11) Atividades de controle sobre a tecnologia:
A organização seleciona e desenvolve atividades de controle gerais sobre a tecnologia para apoiar a realização dos objetivos: A empresa deve integrar controles de tecnologia em seus processos internos para garantir a segurança e a eficácia das operações.
Exemplo: A B3, bolsa de valores brasileira, implementa controles rígidos de tecnologia para garantir a estabilidade e a segurança de suas plataformas de negociação e sistemas de informação.
- Nível básico: A organização possui controles tecnológicos limitados e pouco desenvolvidos.
- Nível intermediário: A organização implementa alguns controles tecnológicos, mas ainda há espaço para melhorias no suporte à realização dos objetivos.
- Nível avançado: A organização seleciona e desenvolve atividades de controle tecnológico robustas para apoiar a realização dos objetivos.
C.12) Definição de políticas e normas:
Definição de políticas e normas que suportem as atividades de controle: A empresa deve estabelecer políticas e normas claras que orientem as atividades de controle interno.
Exemplo: A Raízen, empresa do setor de energia, possui políticas e normas detalhadas para apoiar seus controles internos nas áreas de segurança operacional, meio ambiente e governança corporativa.
- Nível básico: A organização possui políticas e normas pouco claras ou insuficientes para suportar as atividades de controle.
- Nível intermediário: A organização possui políticas e normas mais claras e abrangentes, porém ainda podem ser aprimoradas para melhor suportar as atividades de controle.
- Nível avançado: A organização define políticas e normas claras, abrangentes e alinhadas às atividades de controle, garantindo um suporte eficiente.
D) Informação e Comunicação:
D.13) Utilização de informações seguras, relevantes e de qualidade:
Utiliza informações seguras, relevantes e de qualidade: A organização deve garantir que as informações utilizadas para a tomada de decisões sejam confiáveis, relevantes e de alta qualidade.
Exemplo: A Suzano, líder na produção de celulose e papel, utiliza informações seguras, relevantes e de qualidade para tomar decisões sobre investimentos, eficiência operacional e desenvolvimento sustentável.
- Nível básico: A organização possui informações limitadas, com possíveis problemas de qualidade e relevância.
- Nível intermediário: A organização utiliza informações mais relevantes e de qualidade, porém ainda podem haver melhorias na segurança e confiabilidade dos dados.
- Nível avançado: A organização utiliza informações seguras, relevantes e de qualidade, garantindo a tomada de decisões informadas e ações eficazes.
D.14) Disseminação de informações internamente:
Comunicação interna eficaz: A empresa deve garantir uma comunicação interna eficaz entre os funcionários e a gestão, facilitando a disseminação de informações importantes e a colaboração.
Exemplo: A Totvs, empresa brasileira de tecnologia, utiliza sistemas de comunicação interna eficientes para garantir que informações relevantes sejam compartilhadas entre os colaboradores e a administração.
- Nível básico: A comunicação interna é limitada, resultando em informações insuficientes ou desatualizadas para os colaboradores.
- Nível intermediário: A organização dissemina informações mais relevantes internamente, mas ainda pode haver melhorias na abrangência e eficiência da comunicação.
- Nível avançado: A organização dissemina eficientemente informações internas relevantes e necessárias, garantindo que os colaboradores estejam bem informados.
D.15) Comunicação com o público externo:
Comunicação externa eficaz: A organização deve estabelecer canais de comunicação externa eficazes para compartilhar informações com stakeholders, como clientes, fornecedores, investidores e reguladores.
Exemplo: A Localiza, empresa de aluguel de veículos, mantém um relacionamento transparente e eficiente com seus stakeholders, comunicando-se de maneira clara e consistente sobre suas práticas e desempenho.
- Nível básico: A comunicação com o público externo é limitada e pouco eficiente.
- Nível intermediário: A organização comunica-se de forma mais eficaz com o público externo, mas ainda há espaço para melhorias na abrangência e clareza das informações.
- Nível avançado: A organização comunica-se eficientemente com o público externo, fornecendo informações claras, relevantes e atualizadas.
E) Monitoramento:
E.16) Realização de avaliações contínuas:
Monitoramento contínuo e avaliação periódica dos controles internos: A empresa deve monitorar continuamente e avaliar periodicamente a eficácia de seus controles internos, identificando áreas de melhoria e ajustando suas práticas conforme necessário.
Exemplo: O Grupo Pão de Açúcar, um dos maiores varejistas do Brasil, realiza avaliações periódicas de seus controles internos e busca constantemente aprimorar seus processos para garantir a eficácia e a eficiência de suas operações.
- Nível básico: A organização possui um processo limitado de avaliação da eficácia dos controles internos.
- Nível intermediário: A organização realiza avaliações contínuas, porém ainda há espaço para melhorias na eficácia e abrangência do monitoramento.
- Nível avançado: A organização realiza avaliações contínuas e abrangentes para verificar a eficácia dos controles internos, garantindo a eficiência do sistema.
E.17) Comunicação das deficiências dos controles internos:
A organização avalia e comunica as deficiências no sistema de controle interno em tempo hábil aos responsáveis pela sua correção: A empresa deve identificar e comunicar deficiências nos controles internos aos responsáveis, garantindo que as correções sejam feitas em tempo hábil.
Exemplo: A Sabesp, empresa de saneamento básico de São Paulo, adota uma abordagem proativa na identificação e comunicação de deficiências em seus controles internos, garantindo que as medidas corretivas sejam implementadas rapidamente para melhorar a qualidade e a eficiência de seus serviços.
- Nível básico: A comunicação das deficiências dos controles internos é limitada, com pouca ação corretiva tomada pelos responsáveis.
- Nível intermediário: A organização comunica as deficiências dos controles internos, mas a ação corretiva pode ser mais rápida e eficiente.
- Nível avançado: A organização comunica de forma eficiente as deficiências dos controles internos aos responsáveis, garantindo a adoção de ações corretivas adequadas, incluindo a alta administração.
A avaliação da estrutura de controles internos é uma parte crucial da governança corporativa e do gerenciamento de riscos. No entanto, as empresas enfrentam diversos desafios e cometem erros comuns durante o processo de avaliação. Alguns dos principais desafios e erros incluem:
1) Falta de compreensão e apoio da alta administração:
A alta administração pode não compreender a importância dos controles internos ou pode não fornecer o apoio e recursos necessários para sua implementação e avaliação efetivas.
2) Avaliação inadequada dos riscos:
As empresas podem não identificar e avaliar corretamente todos os riscos relevantes, o que pode levar a lacunas na estrutura de controles internos e a vulnerabilidades não gerenciadas.
3) Falta de integração entre os processos de negócio e os controles internos:
A estrutura de controles internos deve ser integrada aos processos de negócio para garantir a eficácia e eficiência. No entanto, as empresas podem enfrentar dificuldades para integrar esses dois componentes.
4) Falta de competências e habilidades necessárias:
A avaliação e implementação eficazes de controles internos exigem profissionais com competências e habilidades adequadas. A falta desses recursos pode levar a uma avaliação insuficiente e a uma estrutura de controle interno ineficaz.
5) Insuficiência na comunicação interna e externa:
A comunicação inadequada entre os diversos níveis de gestão, funcionários e partes interessadas externas pode resultar em falhas na identificação e tratamento de riscos e na eficácia dos controles internos.
6) Dependência excessiva de controles manuais:
A dependência excessiva de controles manuais pode aumentar a probabilidade de erros e falhas nos processos de controle interno. A automação e a digitalização de controles podem melhorar a eficiência e a eficácia dos processos de avaliação.
7) Falta de monitoramento e avaliação contínuos:
A ausência de um processo de monitoramento e avaliação contínuos pode levar a falhas na detecção de problemas e na implementação de melhorias nos controles internos.
8) Falta de um ambiente de controle adequado:
Um ambiente de controle inadequado, caracterizado por uma cultura organizacional fraca, pode comprometer a eficácia dos controles internos e a capacidade de identificar e gerenciar riscos.
9) Resistência à mudança:
A resistência à mudança por parte dos funcionários e da gestão pode dificultar a implementação de melhorias nos controles internos e a adaptação a novos riscos e requisitos regulatórios.
10) Abordagem excessivamente focada em conformidade:
As organizações podem focar demais no cumprimento das regulamentações e perder de vista o objetivo principal dos controles internos, que é aprimorar a eficácia e eficiência das operações e a gestão de riscos.
Para superar esses desafios e evitar erros no processo de avaliação da estrutura de controles internos, as empresas devem garantir o envolvimento da alta administração, desenvolver competências e habilidades adequadas, promover uma cultura de controle robusta, estabelecer processos eficientes de comunicação interna e externa e implementar um monitoramento e avaliação contínuos.
Além disso, é importante que as organizações sejam flexíveis e adaptáveis às mudanças no ambiente de negócios e às novas exigências regulatórias. Isso inclui a adoção de tecnologias avançadas, como automação e digitalização de controles, sempre que possível e adequado.
A avaliação da estrutura de controles internos deve ser tratada como um processo contínuo de melhoria, no qual as organizações identificam e abordam proativamente áreas de fragilidade e aprimoram a eficácia e eficiência dos controles. Ao enfrentar e superar os desafios e erros comuns, as empresas podem garantir um sistema de controle interno sólido, reduzir os riscos e, em última instância, impulsionar o sucesso e a sustentabilidade a longo prazo.