Ontem detalhei um pouco mais sobre o tema da implementação de uma área e processos de controles internos, e hoje queria dar continuidade ao tema e complementar falando mais sobre as responsabilidades pelo controle interno e gestão de riscos, que normalmente segundo as melhores práticas são distribuídas entre o conselho de administração, a gestão executiva, o comitê de auditoria e outras partes relevantes dentro do sistema de controle interno da empresa.
Lembrando como disse anteriormente de que a implementação eficaz de políticas de controle interno, a manutenção de uma função de auditoria interna robusta e a condução de processos de revisão contínua são essenciais para garantir que a empresa gerencie seus riscos de maneira eficaz e alcance seus objetivos de negócios.
Para começar o conselho de administração desempenha um papel relevante na supervisão do sistema de controle interno e na gestão de riscos da empresa, sendo que a função principal de um sistema de controle interno é manter a empresa no curso certo para alcançar seus objetivos de desempenho e lucratividade e sua missão geral.
Para cumprir essa responsabilidade, o conselho deve definir objetivos e metas claramente definidos e comunicá-los por toda a empresa, pois é da responsabilidade do conselho garantir que a empresa mantenha controles internos sólidos e eficazes para proteger o investimento dos acionistas e os ativos da empresa em todos os momentos. O controle interno tem como objetivo imediato proporcionar um nível razoável de garantia de que a empresa atingirá os objetivos e metas acordados, desempenhando um papel chave na gestão de riscos significativos para a realização dos objetivos de negócios.
Neste sentido anualmente o conselho e os comitês de risco e/ou auditoria devem conduzir uma revisão da eficácia do sistema de controle interno da empresa e suas subsidiárias e relatar aos acionistas que essa revisão foi realizada. A revisão deve abranger todos os controles materiais, incluindo controles financeiros, operacionais e de conformidade, bem como funções de gestão de riscos. Além disso, o conselho deve avaliar qualquer mudança no controle interno da empresa que tenha ocorrido durante o período de relatório intermediário e que tenha afetado ou seja razoavelmente provável que afete materialmente a empresa.
Para cumprir essa responsabilidade, os conselheiros devem realizar, pelo menos anualmente, uma revisão da eficácia do sistema de controle interno da empresa, relatando aos acionistas que essa revisão foi realizada em seu Relatório de Governança Corporativa. A revisão deve abranger todos os controles materiais, incluindo controles financeiros, operacionais e de conformidade, bem como funções de gestão de riscos.
Além da revisão anual, é uma boa prática para o conselho avaliar, antes da data de cada relatório intermediário, qualquer mudança no controle interno da empresa ocorrida durante o período de relatório intermediário que tenha afetado materialmente ou que seja razoavelmente provável que afete materialmente a empresa. Também deve ser considerada a divulgação de qualquer falha ou fraqueza significativa no controle interno e seu impacto na empresa no relatório intermediário, para permitir que investidores e o público avaliem a posição da empresa.
Revisar a eficácia do controle interno é uma parte essencial das responsabilidades do conselho, enquanto a administração é responsável pelo design, operação e monitoramento do sistema de controle interno e por fornecer garantias ao conselho de que isso foi feito. O conselho precisará formar sua própria visão sobre a eficácia após uma investigação cuidadosa com base nas informações e garantias fornecidas.
O conselho pode delegar aspectos detalhados do trabalho de revisão a comitês do conselho, como o comitê de auditoria, o comitê de gestão de riscos, entre outros. O escopo da revisão desses comitês é decidido pelo conselho e depende de fatores como o tamanho e a composição do conselho, a escala, diversidade e complexidade das operações da empresa, e a natureza dos riscos significativos que a empresa enfrenta.
Os resultados do trabalho dos comitês relevantes devem ser relatados ao conselho e considerados por ele. O conselho como um todo deve formar sua própria visão sobre a adequação da revisão após investigação cuidadosa, dado que o conselho tem responsabilidade final pelas divulgações sobre controle interno no Relatório de Governança Corporativa.
O monitoramento contínuo eficaz é um componente essencial de um sistema de controle interno sólido. O conselho não deve ser passivo e depender exclusivamente dos processos de monitoramento incorporados na empresa para cumprir suas responsabilidades. Deve receber e revisar regularmente relatórios sobre controle interno.
O conselho deve definir o processo a ser adotado para sua revisão da eficácia do controle interno. Isso deve abranger tanto o escopo quanto a frequência dos relatórios que recebe e revisa durante o ano, bem como o processo para sua avaliação anual, para que seja fornecido com suporte sólido e devidamente documentado para sua declaração sobre controle interno no Relatório de Governança Corporativa.
Os relatórios da administração ou outros encarregados de comentar sobre controles internos devem ser feitos ao conselho ou a comitês designados do conselho com uma frequência suficientemente alta para fornecer ao conselho uma imagem atualizada da situação atual de controle da empresa. É efetivamente um processo de avaliação contínua, que precisa garantir que todos os aspectos significativos do negócio tenham sido abordados.
O conselho deve deixar claro que, em relação às áreas cobertas pelos relatórios, espera que os relatórios forneçam uma avaliação equilibrada dos riscos significativos e da eficácia do sistema de controle interno na gestão desses riscos. Qualquer falha ou fraqueza significativa nos controles identificada deve ser discutida nos relatórios, incluindo o impacto na empresa que já tiveram, poderiam ter tido ou podem ter, e as ações que estão sendo tomadas para corrigi-las. É essencial que haja abertura na comunicação da administração com o conselho sobre questões relacionadas a risco e controle.
Indicadores-chave de risco e os resultados do monitoramento incorporado devem ser fornecidos ao conselho ou comitês designados de forma contínua. O presidente do conselho deve incentivar a discussão de questões de gestão de riscos e controle interno em cada reunião do conselho, conforme apropriado, como um item adicional à agenda normal do conselho. Relatórios de outros comitês, como os comitês executivo e de auditoria, também fornecem oportunidades para discutir risco e controle.
Ao revisar relatórios durante o ano, o conselho deve:
- Considerar quais são os riscos significativos e avaliar como foram identificados, avaliados e geridos.
- Avaliar a eficácia do sistema de controle interno relacionado na gestão dos riscos significativos, tendo em conta, em particular, quaisquer falhas ou fraquezas significativas no controle interno que foram relatadas.
- Considerar se ações necessárias estão sendo tomadas prontamente para corrigir quaisquer falhas ou fraquezas significativas.
- Considerar se as descobertas indicam a necessidade de um monitoramento mais extenso do sistema de controle interno.
O exercício anual de avaliação do conselho para fins de fazer sua declaração pública sobre controle interno no Relatório de Governança Corporativa deve considerar as questões tratadas nos relatórios relevantes revisados pelo conselho durante o ano, juntamente com quaisquer informações adicionais necessárias para garantir que todos os aspectos significativos do controle interno da empresa, incluindo controles financeiros, operacionais e de conformidade e funções de gestão de riscos, tenham sido abordados no ano em revisão e até a data de aprovação do relatório anual e das demonstrações financeiras.
Se o conselho tomar conhecimento, a qualquer momento, de uma falha ou fraqueza significativa no controle interno, deve determinar como a falha ou fraqueza surgiu e reavaliar a eficácia dos processos contínuos da administração para o design, operação e monitoramento do sistema de controle interno.
O conselho pode precisar considerar se a divulgação oportuna deve ser feita de qualquer falha ou fraqueza significativa no controle interno e seu impacto na empresa, para permitir que investidores e o público avaliem a posição da empresa, especialmente em relação a informações que possam ser consideradas sensíveis ao preço.
Para fazer uma avaliação objetiva da eficácia do controle interno, deve ser desenvolvido um conjunto de critérios pelos diretores e pela administração como base para fazer julgamentos.
O conselho também pode considerar divulgar que o sistema de controle interno é consistente com os princípios das melhores práticas. O conselho pode desejar fornecer informações adicionais no Relatório de Governança Corporativa para auxiliar na compreensão dos processos de gestão de riscos e do sistema de controle interno da empresa.
As divulgações relacionadas ao tema devem incluir um reconhecimento pelo conselho de que é responsável por garantir que a empresa mantenha um sistema de controle interno sólido e eficaz e por revisar sua eficácia. O conselho deve também explicar que tal sistema é projetado para gerenciar, e não eliminar, o risco de falha em alcançar os objetivos de negócios, e que ele pode fornecer apenas uma garantia razoável, e não absoluta, a esse respeito. Além disso, ele não pode garantir contra declarações falsas ou perdas materiais.
O conselho deve resumir o processo que aplicou na revisão da eficácia do sistema de controle interno. Deve também divulgar o processo aplicado para lidar com aspectos de controle interno material de quaisquer problemas significativos divulgados no relatório anual e nas demonstrações financeiras.
O conselho deve estabelecer políticas apropriadas sobre controle interno e solicitar, receber e avaliar materiais relevantes preparados pela administração executiva, auditores da empresa e outras partes relevantes sobre cada um dos componentes da estrutura de controle interno. Isso permitirá que o conselho se certifique de que o sistema e os processos estão funcionando de maneira eficaz.
Ao determinar suas políticas em relação ao controle interno, o conselho deve considerar fatores como a natureza e extensão dos riscos que a empresa enfrenta, a probabilidade de esses riscos se materializarem, a capacidade da empresa de reduzir a incidência e o impacto dos riscos que se materializam e os custos de operação de controles específicos em relação ao benefício obtido na gestão dos riscos relacionados. É essencial que o conselho comunique uma mensagem clara de que as responsabilidades de controle devem ser levadas a sério, criando um ambiente onde o controle interno é uma parte integrada do negócio, e não apenas um exercício regulatório.
Um processo e sistema de controle interno é efetivado por diversas partes e muitos indivíduos dentro de uma empresa têm um papel a desempenhar e responsabilidades em relação ao controle interno, como parte de sua responsabilidade na realização dos objetivos da empresa. Conforme indicado anteriormente, o conselho de administração é, em última instância, responsável pelo sistema de controle interno da empresa. O conselho deve estabelecer políticas apropriadas sobre controle interno e deve solicitar, receber e avaliar materiais relevantes preparados pela gestão executiva, pelos auditores da empresa e por outras partes relevantes (se apropriado) sobre cada um dos componentes da estrutura de controle interno. Isso permitirá que o conselho se certifique de que o sistema e os processos estão funcionando de maneira eficaz.
O conselho deve assegurar ainda que o sistema de controle interno seja eficaz no monitoramento e gestão de riscos na maneira e no nível que ele aprovou. Em suas deliberações sobre o que constitui um sistema de controle interno sólido nas circunstâncias particulares da empresa, o conselho deve considerar os seguintes fatores:
- Natureza e Extensão dos Riscos: Identificar os riscos que a empresa enfrenta e sua extensão.
- Aceitabilidade dos Riscos: Determinar as categorias e níveis de risco que o conselho considera aceitáveis para a empresa suportar.
- Probabilidade de Materialização dos Riscos: Avaliar a probabilidade de os riscos se materializarem.
- Capacidade de Redução dos Riscos: Avaliar a capacidade da empresa de reduzir a incidência e o impacto dos riscos que se materializam.
- Custo-Benefício dos Controles: Considerar os custos de operação de controles específicos em relação ao benefício obtido na gestão dos riscos relacionados.
É essencial que o conselho estabeleça o "tom correto no topo" e comunique uma mensagem clara de que as responsabilidades de controle devem ser levadas a sério, e para isso o conselho deve considerar questões como:
- Atitude da Empresa em Relação à Gestão de Riscos e Controle Interno: A empresa possui a atitude correta em relação à gestão de riscos e controle interno?
- Preocupações Indicativas de Necessidade de Mudança de Comportamento: Identificar preocupações que indicam a necessidade de uma mudança de comportamento e mentalidade em relação à gestão de riscos e controle interno, tais como: O conselho pensa que a gestão de riscos "não é seu problema". A empresa está focada apenas no controle financeiro interno, em vez do escopo mais amplo do controle interno. Não há consenso entre o conselho sobre quais são os objetivos de negócios. Revisar o controle interno é visto apenas como um exercício regulatório para fazer uma declaração pública, em vez de ser uma parte integrada do negócio. A gestão de riscos é vista como responsabilidade de uma única função, como auditoria ou seguro. Não foram determinados indicadores-chave de risco. Os empregados não têm treinamento ou experiência em conscientização sobre riscos.
Os conselhos de muitas empresas desempenham suas funções através de comitês funcionais, como comitês de auditoria, riscos, sustentabilidade, remuneração e nomeação. Cada comitê pode trazer uma perspectiva diferente para os componentes do controle interno e pode estar em posição de aconselhar ou auxiliar o conselho em questões políticas relevantes.
Sendo os mais relevantes o Comitê de Auditoria e de Riscos, que focam no controle dos controles financeiros e a conformidade com os regulamentos, além de supervisionar o processo de auditoria interna e externa.
A auditoria interna desempenha um papel significativo na estrutura de controle e gestão de riscos de uma empresa. A prática recomendada é que as empresas estabeleçam uma função de auditoria interna para monitorar regularmente os principais controles e procedimentos. Esse monitoramento regular é uma parte integrante do sistema de controle interno de uma empresa e ajuda a garantir sua eficácia.
A auditoria interna pode contribuir significativamente para a empresa fornecendo conselhos sobre a gestão de riscos, especialmente questões relacionadas ao design, implementação e operação dos sistemas de controle interno. Além disso, a auditoria interna pode promover conceitos de risco e controle dentro da empresa, por exemplo, executando ou facilitando programas de autoavaliação de controle.
No entanto, a necessidade de uma função de auditoria interna pode variar dependendo de fatores específicos da empresa, como escala, estrutura, diversidade e complexidade das atividades da empresa, o número de empregados, a cultura corporativa da empresa, bem como considerações de custo-benefício. Em ausência de uma função de auditoria interna, a administração precisa aplicar outros processos de monitoramento para assegurar-se, e ao conselho, de que o sistema de controle interno está funcionando conforme o planejado.
No caso das empresas que não possuem uma função de auditoria interna devem revisar anualmente a necessidade de uma e divulgar o resultado dessa revisão no Relatório de Governança Corporativa da empresa. Esta prática garante que a empresa avalie regularmente a necessidade de uma auditoria interna, considerando as mudanças nas condições internas e externas.
É uma boa prática para as empresas estabelecerem uma função de auditoria interna para realizar o monitoramento regular dos principais controles e procedimentos. Esse monitoramento regular é uma parte integrante do sistema de controle interno de uma empresa e ajuda a garantir sua eficácia. A auditoria interna pode contribuir de maneira significativa e valiosa para a empresa:
- Gestão de Riscos: Fornecendo conselhos sobre a gestão de riscos, especialmente questões relacionadas ao design, implementação e operação dos sistemas de controle interno.
- Eficiência e Eficácia: Melhorando a gestão de riscos e controles ao identificar oportunidades para economizar custos de controle e/ou evitar perdas operacionais e similares.
- Promoção de Conceitos de Risco e Controle: Promovendo conceitos de risco e controle dentro da empresa, por exemplo, executando ou facilitando programas de autoavaliação de controle.
Com o nível adequado de recursos, a função de auditoria interna deve ser capaz de:
- Garantia Objetiva: Fornecer garantia objetiva ao conselho e à gestão sobre a adequação e eficácia da estrutura de gestão de riscos e controle interno da empresa.
- Apoio à Gestão: Ajudar a gestão a melhorar os processos pelos quais os riscos são identificados e gerenciados.
- Fortalecimento do Sistema de Controle: Ajudar o conselho em suas responsabilidades de fortalecer e melhorar a estrutura de gestão de riscos e controle interno.
A necessidade de uma função de auditoria interna pode variar dependendo de fatores específicos da empresa, incluindo a escala, estrutura, diversidade e complexidade das atividades da empresa, o número de empregados, a cultura corporativa da empresa, bem como considerações de custo-benefício. A alta administração e o conselho podem desejar garantia objetiva e aconselhamento sobre risco e controle. Uma função de auditoria interna adequadamente equipada (ou seu equivalente, onde, por exemplo, uma terceira parte qualificada e independente é contratada para realizar parte ou todo o trabalho) pode fornecer essa garantia e aconselhamento. Outras funções dentro da empresa também podem fornecer garantia e aconselhamento cobrindo áreas especializadas, como saúde e segurança, conformidade regulatória e legal e questões ambientais.
Na ausência de uma função de auditoria interna, a administração precisa aplicar outros processos de monitoramento para assegurar-se, e ao conselho, de que o sistema de controle interno está funcionando conforme o planejado. Nessas circunstâncias, o conselho precisará avaliar se esses processos fornecem garantia suficiente e objetiva.
Ao realizar sua avaliação da necessidade de uma função de auditoria interna, o conselho deve considerar se há tendências ou fatores atuais relevantes para as atividades da empresa, mercados ou outros aspectos de seu ambiente externo que tenham aumentado, ou sejam esperados para aumentar, os riscos enfrentados pela empresa. Esse aumento de risco pode também surgir de fatores internos, como reestruturação organizacional, ou de mudanças nos processos de reporte ou nos sistemas de informação subjacentes. Outras questões a serem consideradas podem incluir tendências adversas evidentes do monitoramento dos sistemas de controle interno ou um aumento na incidência de ocorrências inesperadas.
Quando o conselho de uma empresa que não possui uma função de auditoria interna realiza sua avaliação anual da necessidade de tal função, ele deve considerar os fatores mencionados acima. Onde houver uma função de auditoria interna, recomenda-se que o conselho reveja anualmente seu escopo de trabalho, autoridade e recursos, considerando novamente os fatores mencionados.
O comitê de auditoria e riscos tem um papel importante na estrutura de controle e gestão de riscos de uma empresa, incluindo o processo de revisão. As regras de listagem exigem que todo emissor listado estabeleça um comitê de auditoria. As funções do comitê de auditoria incluem revisar os controles financeiros do emissor, o sistema de controle interno e de gestão de riscos, discutir com a administração o sistema de controle interno e garantir que a administração tenha cumprido seu dever de ter um sistema de controle interno eficaz.
O comitê de auditoria e de riscos também deve considerar qualquer descoberta de investigações importantes sobre questões de controle interno, garantir a coordenação entre os auditores internos e externos, revisar e monitorar a eficácia da função de auditoria interna, revisar as políticas e práticas financeiras e contábeis do grupo e revisar a carta de gestão do auditor externo, além de quaisquer consultas materiais levantadas pelo auditor à administração em relação aos registros contábeis, contas financeiras ou sistemas de controle e resposta da administração.
- Revisão dos Controles Financeiros, Controles Internos e Sistemas de Gestão de Riscos: Garantir que a gestão tenha cumprido seu dever de manter um sistema de controle interno eficaz.
- Discussão do Sistema de Controle Interno com a Gestão: Assegurar que a gestão tenha cumprido seu dever de manter um sistema de controle interno eficaz.
- Consideração de Resultados de Investigações Importantes sobre Questões de Controle Interno: Avaliar os achados de investigações significativas e a resposta da gestão.
- Coordenação entre Auditores Internos e Externos: Garantir que a função de auditoria interna seja adequadamente equipada e tenha a posição apropriada dentro da empresa, além de revisar e monitorar a eficácia da função de auditoria interna.
- Revisão das Políticas e Práticas Financeiras e Contábeis do Grupo: Assegurar que as práticas financeiras e contábeis sejam adequadas.
- Revisão da Carta de Gestão do Auditor Externo: Considerar quaisquer questões materiais levantadas pelo auditor em relação aos registros contábeis, contas financeiras ou sistemas de controle e a resposta da gestão.
Onde existe uma função de auditoria interna, o comitê de auditoria e riscos deve garantir a coordenação adequada entre os auditores internos e externos. Isso inclui garantir que a função de auditoria interna seja suficientemente equipada e tenha a posição adequada dentro da empresa, bem como revisar e monitorar a eficácia da função de auditoria interna.
Vamos comentar agora sobre outras partes relacionadas desta governança como: a alta gestão executiva é diretamente responsável pela implementação da estratégia geral e das políticas decididas pelo conselho e por todas as atividades da empresa, incluindo a operação do sistema de controle interno. No entanto, a responsabilidade pelo controle interno pode variar em diferentes níveis da gestão, dependendo das características da empresa.
O presidente (CEO) deve ter responsabilidade direta por todos os aspectos da gestão executiva e é responsável perante o conselho pelo desempenho da empresa e pela implementação da estratégia e políticas do conselho, incluindo políticas de risco e controle. Juntamente com outros executivos seniores, o CEO deve identificar e avaliar os riscos enfrentados pela empresa para consideração pelo conselho e deve assumir a responsabilidade pelo design, operação e monitoramento de um sistema de controle interno adequado que implemente as políticas definidas pelo conselho. Eles devem garantir a existência de um ambiente de controle positivo e que todos os componentes do controle interno estejam em vigor. Devem também fornecer liderança e direção a outros gerentes seniores responsáveis pelas principais áreas funcionais, revisando periodicamente suas responsabilidades e a forma como estão controlando os negócios.
Importante também o papel do contador qualificado em tempo integral, que seja membro da alta administração e cuja responsabilidade inclua a supervisão da empresa e de suas subsidiárias em relação aos procedimentos de relatórios financeiros e controles internos e à conformidade com os requisitos das norma contábeis em relação aos relatórios financeiros e outras questões contábeis.
O diretor financeiro (CFO) que pode também ser ou não o contador qualificado, desempenha comumente um papel importante de monitoramento. O CFO geralmente está envolvido no desenvolvimento e preparação de orçamentos e planos de toda a empresa, o que exige rastrear e analisar o desempenho de toda a empresa, não apenas dos aspectos financeiros, mas também da perspectiva de suas operações e conformidade, abrangendo as atividades de todas as divisões, subsidiárias e outras unidades. Como tal, o CFO é comumente um ponto central de controle da gestão.
Dado seu papel, o CFO deve estar envolvido no processo quando, por exemplo, os objetivos da empresa são estabelecidos e as estratégias decididas, os riscos são analisados e são tomadas decisões sobre como as mudanças/riscos que afetam a empresa serão gerenciados. O CFO pode fornecer informações e direção valiosas em relação a essas questões, e está bem posicionado para focar no monitoramento e no acompanhamento das ações acordadas.
Onde existe a posição de diretor de conformidade, suas responsabilidades devem incluir, pelo menos, os seguintes aspectos:
- Manter o Conselho Informado: Garantir que o conselho esteja totalmente informado sobre os parâmetros dentro dos quais deve operar.
- Garantir a Adequação dos Procedimentos do Conselho: Assegurar que os procedimentos do conselho sejam devidamente seguidos.
- Assessoria e Assistência ao Conselho: Aconselhar e auxiliar o conselho na implementação de procedimentos para garantir que a empresa cumpra todas as leis e regulamentos aplicáveis e declarações relevantes de melhores práticas.
Os gerentes seniores responsáveis por unidades organizacionais (departamentos ou seções individuais) podem ser designados para guiar o desenvolvimento e a implementação de políticas e procedimentos de controle interno que abordem os objetivos de sua unidade e garantir que esses sejam consistentes com os objetivos de toda a empresa. Os gerentes de unidades geralmente desempenham um papel mais prático na elaboração e execução de procedimentos de controle interno específicos para a função da unidade. Eles podem ser esperados para fazer recomendações sobre os controles, monitorar sua aplicação e se reunir com gerentes de nível superior para relatar o funcionamento dos controles relevantes.
O pessoal de supervisão está diretamente envolvido na execução de políticas e procedimentos de controle em um nível detalhado. Eles podem ser esperados para tomar medidas em relação a exceções e outros problemas à medida que surgem, e relatar à gestão de nível superior quaisquer questões significativas, sejam relacionadas a uma transação específica ou a uma indicação de preocupações maiores.