Vivo sempre repetindo nos meus posts, de que a gestão de riscos é um pilar fundamental na governança corporativa de qualquer empresa que busca alcançar sustentabilidade e resiliência, e queria complementar hoje de que a capacidade de identificar, avaliar, mitigar e monitorar riscos de forma eficiente depende, em grande parte, de um sistema robusto de controles internos, onde esses controles internos funcionam como mecanismos preventivos e de detecção, assegurando que as atividades da empresa sejam realizadas em conformidade com as normas e diretrizes estabelecidas, minimizando a exposição a riscos operacionais, financeiros e de conformidade.
O apetite a riscos, que é um conceito central na gestão de riscos, é a quantidade e tipos de riscos que uma empresa está disposta a aceitar em busca de seus objetivos estratégicos, e neste sentido, falando de controles internos, o apetite a riscos define o nível de tolerância da empresa em relação a falhas nos processos, como erros contábeis, incidentes de fraude ou lapsos de segurança de dados.
Uma gestão eficaz do apetite a riscos permite alinhar os controles internos às prioridades da empresa, determinando onde alocar mais ou menos recursos de controle de acordo com os riscos identificados.
Vou tentar falar mais abaixo sobre alguns dos indicadores-chave de desempenho (KPIs) exatamente para tentar melhor monitorar a eficácia dos controles internos, através de uma métrica objetiva para avaliar se os processos estão funcionando conforme esperado e se os limites definidos pelo apetite a riscos estão sendo respeitados.
Quando bem implementados, esses KPIs servem como limites de alerta para possíveis lacunas nos controles, possibilitando que as empresas tomem medidas corretivas antes que os riscos se materializem em perdas financeiras ou prejuízos à reputação.
Vamos então tentar listar abaixo alguns deles que considero mais relevantes:
Os indicadores-chave de desempenho (KPIs) desempenham um papel crucial na detecção e correção de falhas nos sistemas de controle interno de uma empresa. Eles fornecem métricas objetivas para medir a eficácia dos processos, permitindo que a administração identifique rapidamente lacunas que possam resultar em riscos financeiros, operacionais e de conformidade. Entretanto, a implementação e o uso adequado desses KPIs requerem cuidado para evitar erros comuns e garantir que as métricas sejam alinhadas com a realidade operacional da empresa. Abaixo, detalharemos cada KPI, explicando sua utilidade, os desafios associados e as práticas recomendadas para evitar erros.
Taxa Elevada de Erros Contábeis
Este KPI mede a frequência de erros nos registros contábeis, o que pode indicar falhas nos processos de revisão e verificação. Erros contábeis podem ser resultado de má comunicação entre departamentos, uso inadequado de sistemas contábeis ou falta de capacitação dos funcionários.
Um valor aceitável depende da complexidade do setor e do volume de transações da empresa. Empresas com transações mais simples devem ter uma taxa de erro muito baixa, enquanto negócios mais complexos podem estabelecer margens de erro um pouco maiores, desde que estas não comprometam a integridade dos relatórios financeiros.
- Desafios: Definir um nível adequado de erro aceitável sem comprometer a conformidade e a precisão contábil.
- Erros: Subestimar a importância de pequenos erros que, quando acumulados, podem resultar em grandes distorções. Falta de treinamento adequado da equipe de contabilidade é outro problema recorrente.
- Dicas: Realizar auditorias periódicas e fornecer treinamento contínuo para a equipe de contabilidade. Use ferramentas de automação para reduzir erros manuais e implementar processos de dupla verificação para registros críticos.
- Definição de Limites: O limite de erros pode ser determinado com base na média histórica de erros da empresa e comparações com benchmarks do setor. Por exemplo, uma taxa aceitável para empresas de grande porte poderia ser inferior a 0,5%, enquanto empresas menores poderiam tolerar até 1%.
Número de Incidentes de Fraude
Este KPI mede a quantidade de fraudes detectadas, que refletem a eficácia dos controles preventivos. A fraude pode ocorrer de várias formas, como fraudes financeiras, operacionais ou relacionadas à segurança da informação.
Monitorar este KPI regularmente é essencial para detectar falhas em tempo hábil. Este indicador pode ser segmentado por tipo de fraude, permitindo uma análise mais detalhada.
- Desafios: Detectar fraudes em tempo hábil antes que causem grandes prejuízos. Outro desafio é manter a confidencialidade durante a investigação interna, sem comprometer a reputação da empresa.
- Erros: Depender apenas de denúncias de fraude e negligenciar o monitoramento proativo de indicadores. Falta de ferramentas de monitoramento contínuo pode aumentar o risco.
- Dicas: Implementar uma política de "conheça seu cliente" (KYC) e monitoramento contínuo. Investir em ferramentas de análise de dados que detectem comportamentos anômalos pode aumentar a detecção de fraudes.
- Definição de Limites: O número de fraudes detectadas deve ser próximo de zero. No entanto, o valor pode ser determinado com base no histórico de fraudes e na média do setor. Empresas em setores altamente regulados ou com maior exposição a fraudes devem ter limites mais rigorosos.
Tempo Médio de Resolução de Problemas e Incidentes
Este KPI mede quanto tempo a empresa leva para identificar e corrigir anomalias operacionais ou financeiras. A demora na resolução de problemas pode aumentar os riscos de não conformidade e comprometer a integridade dos processos.
Deve-se monitorar o tempo médio de resolução em diferentes áreas da empresa, identificando gargalos e implementando melhorias operacionais.
- Desafios: Reduzir o tempo de resolução sem sacrificar a qualidade do processo de correção.
- Erros: Negligenciar a importância de registros detalhados e documentados sobre as ações corretivas. Isso pode tornar difícil identificar padrões de anomalias e aplicar melhorias eficazes.
- Dicas: Definir claramente os procedimentos de resposta e garantir que a equipe tenha autonomia e ferramentas para agir rapidamente. Além disso, implementar processos automatizados para detecção e alerta sobre anomalias pode acelerar a correção.
- Definição de Limites: Os limites podem ser estabelecidos com base no tipo de anomalia. Por exemplo, para correção de anomalias críticas, o tempo de resolução não deve ultrapassar 24 horas, enquanto para anomalias menores, o prazo pode ser estendido para até 5 dias úteis.
Número de Transações Não Autorizadas
Este KPI avalia a quantidade de transações realizadas sem a devida aprovação, indicando a falta de protocolos de autorização robustos.
Monitorar este KPI por departamento ou tipo de transação pode ajudar a identificar áreas onde os processos de controle são menos rigorosos.
- Desafios: Garantir que todas as transações estejam sujeitas a controles de autorização sem prejudicar a agilidade operacional.
- Erros: Permitir exceções aos processos de autorização sem documentação adequada ou justificação clara pode abrir brechas para fraudes.
- Dicas: Implementar sistemas de autorização digital com rastreamento de auditoria. Realizar auditorias internas regulares para verificar o cumprimento dos procedimentos.
- Definição de Limites: O limite para transações não autorizadas deve ser zero, já que qualquer transação sem aprovação pode indicar uma falha grave nos controles internos.
Taxa de Absenteísmo Elevada:
A taxa de absenteísmo reflete a quantidade de ausências não justificadas ou não controladas dos colaboradores, que pode indicar problemas de gestão de recursos humanos.
Deve medir essa taxa por departamento ou função pode fornecer insights sobre áreas com problemas de motivação, moral ou sobrecarga de trabalho.
- Desafios: Diferenciar o absenteísmo não justificado de ausências legítimas (como licença médica) e determinar o impacto na produtividade.
- Erros: Falta de acompanhamento das causas raiz do absenteísmo, resultando em ações corretivas ineficazes.
- Dicas: Implementar sistemas de monitoramento e incentivos para reduzir o absenteísmo. Investir em programas de bem-estar e cultura organizacional pode ajudar a mitigar o problema.
- Definição de Limites: Um limite aceitável pode variar de 1% a 3% do total de dias úteis, dependendo do setor e da função.
Número de Incidentes Relacionados a Dados:
Este KPI mede a quantidade de incidentes de segurança relacionados à perda ou comprometimento de dados, o que pode indicar a falta de controles adequados de segurança da informação.
Deve monitorar esses incidentes permite identificar vulnerabilidades em sistemas de TI e processos de segurança.
- Desafios: Proteger dados críticos sem comprometer a acessibilidade e agilidade operacional.
- Erros: Subestimar a gravidade de pequenos incidentes de segurança e negligenciar o treinamento da equipe em práticas de cibersegurança.
- Dicas: Implementar políticas de segurança de dados rigorosas e realizar auditorias regulares para garantir a conformidade. Investir em soluções de criptografia e backup pode reduzir os riscos.
- Definição de Limites: O número de incidentes relacionados a dados deve ser o menor possível, idealmente zero.
Taxa de Reclamações de Fornecedores:
Este KPI mede o percentual de reclamações feitas por fornecedores, geralmente relacionadas a erros ou atrasos no processamento de pagamentos. Um número elevado de reclamações pode indicar deficiências nos processos de contas a pagar ou na gestão de fornecedores, além de afetar as relações comerciais da empresa.
Deve monitorar este KPI por tipo de fornecedor ou categoria de produto/serviço, o que ajudará a identificar áreas problemáticas específicas, como fornecedores críticos ou setores de alto risco.
- Desafios: Identificar e corrigir a causa raiz das reclamações, que podem estar associadas a falhas em sistemas de TI, processos manuais ineficazes ou falta de comunicação entre os departamentos financeiros e operacionais.
- Erros: Focar apenas na resolução pontual das reclamações sem implementar melhorias nos processos. Isso pode resultar em reincidência das falhas, afetando a credibilidade da empresa perante seus parceiros de negócios.
- Dicas: Estabelecer um canal de comunicação direto e eficiente com os fornecedores e adotar soluções automatizadas para gerenciamento de contas a pagar. Além disso, realizar revisões periódicas dos contratos e processos de pagamentos pode ajudar a prevenir erros.
- Definição de Limites: O limite aceitável de reclamações varia conforme o setor, mas uma taxa inferior a 1% é geralmente considerada saudável. Para setores com uma alta dependência de fornecedores estratégicos, este valor pode ser ainda mais rigoroso.
Número de Processos Sem Procedimentos Formais:
Este KPI mede a quantidade de processos críticos que não possuem procedimentos documentados ou formalizados. A ausência de documentação pode levar à inconsistência na execução das tarefas, aumentando o risco de erros e falhas operacionais.
Acompanhe este KPI por departamento ou função, identificando processos que carecem de padronização ou formalização.
- Desafios: Formalizar processos complexos sem comprometer a agilidade operacional. Outro desafio é garantir que os procedimentos documentados sejam seguidos corretamente pelos funcionários.
- Erros: Negligenciar a importância de documentar processos que, à primeira vista, podem parecer simples ou rotineiros. Isso pode resultar em inconsistências, especialmente em momentos de alta demanda ou mudanças na equipe.
- Dicas: Criar um repositório centralizado de procedimentos operacionais padrão (POPs) e realizar auditorias regulares para garantir que os processos estejam sendo seguidos. Além disso, promover treinamentos contínuos para garantir que todos os colaboradores estejam familiarizados com os procedimentos documentados.
- Definição de Limites: O objetivo é que 100% dos processos críticos sejam formalizados, mas tolerâncias podem ser definidas conforme a complexidade e criticidade de cada processo. Para processos de alta relevância, o limite deve ser próximo de zero.
Turnover de Pessoal Sensível:
Este KPI monitora o índice de turnover (rotatividade) em departamentos sensíveis, como contabilidade, TI ou jurídico, que desempenham papéis cruciais na manutenção dos controles internos. Um turnover elevado pode indicar problemas de gestão, como sobrecarga de trabalho ou falta de motivação, além de comprometer a continuidade e a segurança dos processos.
Acompanhe este KPI por departamento e compare com a média da empresa e do setor para identificar se a rotatividade está dentro de um patamar aceitável.
- Desafios: Reter talentos em áreas críticas, onde a escassez de habilidades pode ser um fator limitante. Além disso, a substituição de profissionais experientes em áreas sensíveis pode aumentar o risco de erros e falhas nos controles.
- Erros: Ignorar os sinais de insatisfação e sobrecarga de trabalho, o que pode levar à perda de talentos essenciais. Outro erro é não implementar planos de sucessão adequados, que garantam a transferência de conhecimento.
- Dicas: Implementar programas de retenção de talentos, oferecer pacotes de benefícios competitivos e promover um ambiente de trabalho saudável e colaborativo. Além disso, é fundamental ter planos de sucessão e documentar procedimentos críticos para garantir a continuidade do conhecimento na empresa.
- Definição de Limites: O turnover de pessoal sensível deve ser mantido o mais baixo possível, idealmente abaixo de 5%, dependendo da indústria e da função específica.
Percentual de Ativos Não Seguros:
Este KPI avalia a quantidade de ativos físicos ou digitais que não estão devidamente protegidos contra roubo, perda ou danos. Ativos não seguros podem incluir equipamentos de TI, documentos confidenciais ou dados eletrônicos que não estão protegidos por mecanismos de segurança.
Monitore o percentual de ativos não seguros por categoria (físicos, digitais) e por departamento para identificar áreas de maior vulnerabilidade.
- Desafios: Garantir a segurança de ativos em um ambiente de trabalho ágil e cada vez mais digital, onde o uso de dispositivos móveis e a colaboração remota aumentam os riscos.
- Erros: Falha em implementar políticas adequadas de segurança para ativos digitais, como criptografia de dados ou controle de acesso. No caso de ativos físicos, a ausência de procedimentos para monitoramento e rastreamento de equipamentos também é um erro comum.
- Dicas: Investir em tecnologias de segurança cibernética, como criptografia e autenticação multifator, além de implementar políticas de gestão de ativos físicos, como rastreamento por códigos de barra ou etiquetas de RFID. Realizar auditorias periódicas para garantir que todos os ativos estejam devidamente protegidos.
- Definição de Limites: O percentual de ativos não seguros deve ser o mais próximo de zero possível. Para ativos críticos, como dados confidenciais, o limite deve ser zero.
Custo das Correções e Ajustes:
Este KPI mede o montante gasto para corrigir erros, retrabalhos e problemas de conformidade. Custos elevados de correção indicam ineficiências nos controles internos e podem impactar diretamente a rentabilidade da empresa.
Acompanhe os custos por tipo de erro ou ajuste, o que permitirá identificar áreas com maiores problemas de controle e justificar investimentos em melhorias.
- Desafios: Reduzir os custos de correção sem comprometer a qualidade das operações. Outro desafio é identificar as causas raiz dos problemas para evitar novos ajustes futuros.
- Erros: Focar apenas nos custos imediatos e ignorar a origem dos problemas, resultando em repetição de erros e aumento dos custos a longo prazo.
- Dicas: Implementar processos de melhoria contínua, como o ciclo PDCA (Plan-Do-Check-Act), para reduzir a necessidade de ajustes. Automatizar processos e investir em ferramentas de monitoramento podem ajudar a detectar e corrigir problemas antes que eles se agravem.
- Definição de Limites: Os limites devem ser definidos com base na comparação entre o custo das correções e o orçamento geral da empresa. Empresas eficientes em controle interno devem manter os custos de correção abaixo de 1% do faturamento anual.
Número de Multas e Penalidades:
Este KPI mede a frequência com que a empresa é penalizada por violações de conformidade regulatória. Multas e penalidades recorrentes são um sinal claro de que os controles de conformidade não estão sendo eficazes.
Acompanhe este KPI em termos financeiros e em frequência, para avaliar o impacto das multas no caixa da empresa e identificar padrões de não conformidade.
- Desafios: Manter-se atualizado com a legislação em constante mudança, especialmente em setores altamente regulados, como o financeiro, de saúde ou de tecnologia.
- Erros: Subestimar o impacto das multas "menores" ou de conformidade local, que, quando somadas, podem resultar em prejuízos significativos e danos à reputação.
- Dicas: Implementar programas robustos de compliance e manter uma equipe de conformidade dedicada a monitorar mudanças nas leis e regulamentos. Realizar treinamentos contínuos para garantir que todos os colaboradores estejam cientes das obrigações regulatórias.
- Definição de Limites: O número de multas e penalidades deve ser mantido o mais próximo possível de zero. A definição de limites pode ser baseada na frequência e gravidade das penalidades, mas o objetivo ideal é evitar quaisquer penalidades.