1

UNIVERSIDADE CANDIDO MENDES

PÓS-GRADUAÇÃO “LATO SENSU”

AVM FACULDADE INTEGRADA

GESTÃO DE RISCOS EM PROCESSOS DE NEGÓCIO

CARLOS ROBERTO VERDANT DE SÃO THIAGO

Orientador Prof: Luiz Claudio

Rio de Janeiro 2013

DOCU

MENTO

PRO

TEGID

O PEL

A LE

I DE D

IREIT

O AUTO

RAL

2

UNIVERSIDADE CANDIDO MENDES

PÓS-GRADUAÇÃO “LATO SENSU”

AVM FACULDADE INTEGRADA

GESTÃO DE RISCOS EM PROCESSOS DE NEGÓCIO

Apresentação de monografia à AVM Faculdade Integrada

como requisito parcial para obtenção do grau de

especialista em Engenharia de Produção.

Por: . Carlos Roberto Verdant de São Thiago

3

AGRADECIMENTOS

Agradeço primeiramente a Deus pela força e

coragem durante esta longa caminhada.

Agradeço a meus pais que transmitiram

valores que me norteiam em todos os

aspectos dessa longa jornada que

chamamos de vida, a todos os professores

que me acompanharam durante a graduação

e ao meu orientador prof. Luiz Claudio pela

paciência e apoio.

4

RESUMO

Baseado em uma abordagem metodológica indutiva, a partir de uma revisão da

literatura sobre o assunto e de entrevistas com gestores da área de gestão de riscos,

compliance e controles internos, esse artigo terá por objetivo analisar e entender

melhor as três principais áreas de especial interesse dos gestores e controllers de

empresas. A saber: gestão de riscos em processos de negócio, compliance e o

mapeamento dos controles internos de uma organização.

O estudo irá discutir tais questões bem como estabelece uma série de

questionamentos considerando tais práticas.

Tal estudo tem por meta levantar pontos importantes sobre a geração de valor

empresarial que um bom ambiente de controles internos e gestão de riscos podem vir a

trazer e os motivos que levam uma organização a emplementar uma área de controles

internos com foco especial em assessoramento e consultoria de gestão de riscos

alinhada as melhores práticas existentes no mercado.

Palavras-chave: Gestão de riscos. Controles internos. Compliance.

5

ABSTRACT

Based on an inductive methodological approach, based on a literature review on

the subject and interviews with managers in the area of risk management, compliance

and internal controls, this article will aim to analyze and better understand the three

main areas of special interest managers and controllers of companies. These are: risk

management in business processes, compliance and mapping of internal controls of an

organization.

The study will discuss these issues and establishes a series of research

questions regarding such practices.

This study is aimed at raising important points about generating business value

that a good internal control environment and risk management are likely to bring and the

reasons why an organization implement an area of internal controls with special focus

on advisory and consultancy aligned risk management best practices in the market.

Keywords: Risk Management. Internal Controls. Compliance

6

LISTA DE TABELAS

Tabela 1 Taxa composta de crescimento anual por nível de risco ............................... 23

Tabela 2 Diferencial das empresas de melhor desempenho ........................................ 25

Tabela 3 Integração entre Compliance, gestão de riscos e controles internos ............. 31

7

I. INTRODUÇÃO ............................................................................................... 9

1.1. Problematização ........................................................................................... 10

1.2. Objetivo ........................................................................................................ 10

1.3. Objetivo específico ....................................................................................... 11

1.4. Hipótese ....................................................................................................... 11

1.5. Metodologia .................................................................................................. 12

1.6. Delimitação da pesquisa .............................................................................. 12

1.7. Justificativa ................................................................................................... 13

II. GESTÃO DE RISCOS DE PROCESSOS DE NEGÓCIOS .......................... 14

2.1. Informação e modelos de decisão ................................................................ 15

2.2. Gestão de riscos no processo de tomada de decisão .................................. 16

2.3. Identificação de riscos corporativos .............................................................. 17

2.4. O papel dos controles internos dentro do contexto da governança corporativa .................................................................................................... 18

2.5. Controles internos como facilitador a gestão eficaz ..................................... 20

2.6. Gerenciando riscos para melhorar o desempenho ....................................... 21

2.7. Forma estrutural dos controles internos ........................................................ 23

2.8. Diferencial das empresas que buscam melhor desempenho ........................ 24

2.9. Aprimorando a estratégia de riscos para geração de resultados .................. 26

2.9.1. Potencializando a gestão de riscos para melhoria de performance ............. 27

III. GESTÃO DE COMPLIANCE ....................................................................... 29

3.1. Importância do compliance dentro de uma organização .............................. 30

3.2. Disseminação da função de compliance dentro das organizações .............. 32

3.3. Integrando atividades de compliance com as atividades de gestão de risco e governança corporativa.... ............................................................................ 32

3.4. Desafios para a função de compliance ......................................................... 35

IV. CONTROLES INTERNOS............................................................................ 37

4.1. Conceito de controle interno ......................................................................... 39

4.2. Características do controle interno ............................................................... 40

4.3. Objetivos do controle interno ........................................................................ 41

4.3.1. Salvaguarda dos interesses da empresa ..................................................... 42

4.3.2. Precisão e confiabilidade dos informes e relatórios contábeis, financeiros e operacionais ................................................................................................. 43

4.3.3. Estímulo à eficiência operacional ................................................................. 44

4.3.4. Aderência às políticas existentes ................................................................. 44

8

4.4. Ambiente do controle interno ........................................................................ 45

4.5. Sistema de controle interno .......................................................................... 46

4.6. Controle interno satisfatório .......................................................................... 47

V. CONCLUSÃO .............................................................................................. 49

VI. REFERÊNCIAS BIBLIOGRÁFICAS ............................................................ 51

9

I. INTRODUÇÃO

Entendemos que a gestão de riscos e uma área relativamente madura em diversos campos operacionais tais como produção, logística, tecnologia da informação e segurança.

A teoria da tomada de decisão define risco como “variação reflexiva na distribuição de resultados possíveis, suas probabilidades e seus valores subjetivos” (March & Saphira 1987). O risco pode ser expresso matematicamente como “a probabilidade de ocorrência de perdas/ganhos multiplicado por sua respectiva magnitude” (Jaafari 2001).

A avaliação de risco envolve identificar ameaças e analisar a probabilidade dessas ameaças realmente ocorrerem. Gestão de riscos é gerir o que aconteceria se essas ameaças se concretizassem, incluindo planos de contingência e gestão de crises. Trata-se, também, de minimizar a probabilidade de ocorrência da ameaça levando a efeitos indesejados, através do desenvolvimento, emplementação e operação de controles internos que mitigam ou evitam os possíveis riscos.

É fato que muitas empresas querem e necessitam organizar-se por processos, mas não têm uma noção clara dos passos a seguir e das providências que devem ser tomadas. Outras não estão certas da decisão a tomar a respeito da sua estruturação por processos e podem beneficiar-se de um raciocínio que as ajude a decidir por meio da avaliação da maturidade do processo. Existem também empresas que desconhecem o que significa serem organizadas por processos e as que não têm certeza se a sua forma organizacional atual é adequada para a gestão eficiente de seus processos. Existe então a necessidade de mais esclarecimentos sobre o assunto para que possam ser analisadas as vantagens da implantação de uma gestão por processos adequada a cada empresa.

Enfatiza-se que o resultado deste trabalho irá contribuir para que os interessados possam utilizar o estudo de forma comparativa e avaliar os benefícios de se utilizar a gestão de riscos em processos como ferramenta de gestão na melhoria dos controles internos e compliance de sua organização, com base em subsídios teóricos e empíricos.

Tendo em vista os aspectos acima mencionados, este trabalho busca discutir temas conceituais sobre controles internos, gestão de riscos e compliance, bem como analisar o impacto no processo de implantação de uma área de gestão de riscos e controles internos nas organizações.

10

1. Problematização

Muito se tem comentado sobre o atual momento pelo qual passa a função de gestão de riscos nas organizações de todo o mundo e no contexto da globalização onde as empresas são pressionadas a se tornarem cada vez mais competitivas, existe uma real necessidade de informações antecipadas e cenarios planejados que permitam aos gestores tomar decisões, atingir metas e objetivos estabelecidos e vislumbrar perspectivas para o curto e médio prazo.

Sendo assim, vemos a gestão de riscos em processos tendo um crescimento considerável dentro de organizações que buscam otmizar seus recursos e maximizar seus lucros como forma de atingir a liderança no segmento de atuação.

Mediante tais fatos, uma empresa que busca identificar e/ou antecipar os riscos em processos inerentes ao seu ramo de atuação consegue obter vantagem competitiva sobre seus demais concorrentes?

O que leva uma organização a implantar uma área de gestão de riscos e quais

os objetivos a serem alcançados?

1.2.Objetivo

Este trabalho acadêmico abordará a importância da gestão de riscos em

processos dentro das organizações quais as vantagens para as empresas que buscam

a melhoria dos processos através dos controles internos e gestão de riscos.

A pesquisa documental analisa a visão das empresas diante dos desafios da

emplementação da gestão de riscos em processos. Portanto, espera-se que essa

pesquisa gere um maior conhecimento sobre o tema abordado praticado pelas

empresas de modo geral.

11

1.3. Objetivo específico

Trata-se de uma pesquisa exploratória contendo aspectos descritivos e

bibliográficos. Tal pesquisa foi realizada com o intuito de abordar e trazer ao

conhecimento como a gestão de riscos em processos tende a melhorar operações

através da identificação de ameaças e a probabilidade dessas ameaças realmente

ocorrerem.

A questão principal desta pesquisa tem como foco mostrar aspectos relevantes

e atuais da gestão de riscos em processos visando expor sua crescente importância

num ambiente globalizado e competitivo.

1.4. Hipótese

O foco das empresas, seja qual for o tipo ou porte, é o lucro, o retorno do que

se é investido. E esse retorno depende principalmente das decisões que são tomadas

pela empresa. Para que a área gerencial tome algum tipo de decisão, é necessário que

sejam feito vários estudos, levantamentos.

Dessa forma, a busca constante por vantagens competitivas tem acirrado cada

vez mais a concorrência entre as grandes empresas e na busca pela melhoria contínua

e superação de metas estabelecidas, vemos que a gestão de riscos em processos de

negócio tem ganhado destaque como um diferencial, gerador de valor empresarial

onde a identificação de possíveis ameaças para o curto e médio prazo se torna um

meio eficaz para que o planejamento estratégico de uma empresa seja sólido e

consistente dentro de um cenário previamente identificado.

Esta pesquisa tem por alvo nos ajudar a entender melhor o que leva uma

organização a implantar uma área de gestão de riscos, pois, é fato que no momento

atual alguns ainda questionam sua real necessidade.

12

1.5. Metodologia

Este trabalho irá relatar resultados de uma pesquisa focada nas relações entre

gestão de riscos, controles internos e compliance .

Tendo por alvo, desenvolver um entendimento orientado a pratica dos

conceitos e questões envolvidas, baseado em entrevistas com profissionais da área de

consultoria e auditoria e uma subsequente revisão da literatura abordando a área que

sera objeto de estudo.

Cabe ressaltar que não há pretensão de avaliar a eficiência ou a eficácia das

decisões tomadas pelas empresas, tampouco pretende que os resultados

apresentados sirvam como regra, uma vez que se trata de uma pesquisa exploratória.

1.6. Delimitação da pesquisa

Iremos limitar o estudo a três áreas da gestão de riscos, sendo elas:

- Gestão de riscos em processos de negócio;

- Gestão de compliance;

- Desenvolvimento de controles internos.

13

1.7. Justificativa

O tema foi escolhido com o intuito de mostrar a importância da gestão de riscos

em processos de negócio em uma empresa, seus desafios e principalmente as

estratégias utilizadas pela área gerencial na constante busca de informações concretas

através de estudos realizados com o objetivo de obter uma decisão acertada, o qual é

fundamental para o sucesso das organizações.

Com o propósito de expor fatores importantes e situações reais da gestão de

riscos e como tais praticas podem auxiliar e tornar mais transparente a condução de

processos e a gestão dos riscos dentro de uma organização.

Com a função de ser um apoio efetivo aos gestores com atribuições mais

amplas, com responsabilidades numa gestão eficaz e consequentemente na sociedade

de modo geral.

14

II. GESTÃO DE RISCOS DE PROCESSOS DE NEGÓCIOS

A área de gestão de riscos de processos ou BPM (Business Process

Management) refere-se a um conjunto de atividades as quais as organizações podem

realizar, tanto para otimizar seus processos de negócio quanto para adaptá-los a novas

necessidades organizacionais.

Os processos de negócio de uma organização podem ser vistos como um local

onde os riscos se materializam, onde a informação é gerada, usada e os controles são

conduzidos.

Existe uma linha tênue que separa a gestão de riscos dos processos de

negócio. Diferentes estágios de um ciclo de vida de um risco formam processos de

negócio, os quais requerem uma gestão ativa e eficaz. Por outro lado, o risco é um

importante fenômeno de negócio, o qual deve ser considerado na condução de um

projeto.

Segundo Zur Muellen & Rosemann (2005), embora exista essa relação tão

próxima, as comunidades de processos e gestão de riscos são grupos separados, com

diferentes agendas e metodologias.

Os riscos são causados por várias incertezas, gestão de riscos é “reduzir ou

neutralizar riscos em potencial e simultaneamente oferecer oportunidades para

melhorias sobre a sua performance.” (Ward & Chapman 1994, p. 23).

A estrutura geral de gestão de riscos é composta de três fases de ação:

identificação, análise e controle, logo, não é fácil modelar frameworks de riscos de

modo preciso. Uma forma para tal seria por caracterizar riscos usando propriedades

como impacto, probabilidade, tempo de ocorrência e combinando-os com outros riscos.

Como riscos são comumente associados com resultados negativos (March et

al. 1987), a distinção entre riscos e problemas, geralmente, não é muito clara. Risco

15

não é necessariamente um problema, mas um “problema em potencial” que talvez seja

resultado de uma tomada de decisão em particular (Charette 1990).

2.1. Informação e modelos de decisão

A informação é hoje a ferramenta fundamental para o processo de tomada de

decisão, tendo em vista ser a responsável pelas mudanças determinadas pela gestão

de uma empresa.

Podem ser utilizadas ferramentas que irão auxiliar na tomada de decisão,

exemplo os modelos de decisão, amplamente utilizados para identificar o curso de

ações futuras, utilizados ainda para descrever ou representar os dados importantes de

um processo e as suas correlações.

Segundo Beuren (2000, p.17) sabemos que: “A partir da escolha de um grupo

de variáveis e uma especificação de suas inter-relações, projetadas para representar

um processo ou sistema real, total ou parcialmente, um modelo é a descrição do

funcionamento de um sistema, representando uma construção em particular, utilizando-

se da teoria, a qual lhe serve como suporte conceitual”.

Dessa forma, um modelo deve ser construido de maneira que, apresente a sua

estrutura da melhor forma possível, caracterizando cada detalhe da operação para que

o seu auxílio, como ferramenta de gestão, possa ser eficiente e eficaz, sem com tudo o

confundir com o processo de tomada de decisão.

O modelo de decisão é um meio para atingir o objetivo, enquanto o processo

decisório é muito mais abranjente com várias etapas definidas e estritamente

necessárias em níveis administrativos variados.

16

2.2. Gestão de riscos no processo de tomada de decisão

A maior dificuldade no processo de tomada de decisão é a sua incerteza no

que diz respeito ao futuro, mas podemos reduzir seus riscos com informações

fidedignas, adequadas ao momento, tempestivas e oportunas a fim de que os

resultados sejam favoráveis e as metas planejadas pelos gestores sejam alcançadas.

Beuren (2000, p.21) afirma que:

“A concepção de um sistema de informações que auxilie o gestor a melhorar as

suas decisões não depende apenas da identificação dos modelos decisórios dos

gestores e de suas necessidades informativas. Muitas vezes, torna-se necessário

repensar o próprio modelo de decisão, além de utilizar informação adicional para

determinar a probabilidade de ocorrência de cada estado da natureza, a fim de reduzir

o problema da incerteza”.

Chegamos à conclusão que se faz necessária “informação adicional” de

qualidade para alimentar o modelo de decisão, podendo assim remeter ao trabalho de

mapeamento de processos que executa suas tarefas a fim de aumentar o padrão de

eficiência, o que resultará numa informação fidedigna e real para o gestor no seu

modelo de decisão.

Portanto, cabe aos controles internos, desempenhar eficazmente as suas

responsabilidades no que diz respeito ao proceso de tomada de decisão, auxiliando os

gestores com informações disponíveis, sejam elas quantitativas e/ou qualitativas.

Vemos que, a observação de tais práticas, vem contribuindo sobremaneira

para a concretização dos resultados no ambito das organizações, possibilitando a

redução dos riscos a que as empresas de maneira geral se encontram expostas no

atual cenário empresarial.

17

2.3. Identificação de riscos corporativos

Uma afirmação do Committe of Sponsoring Organizations of the Treadway

Commission, COSO (2004, p.4) considera que gestão de risco é:

“Um processo desenvolvido pela administração, gestão e outras pessoas,

aplicado na definição estratégica ao longo da organização, desenhado para identificar

potenciais eventos que podem afetar a entidade e gerir os riscos para níveis aceitáveis,

fornecendo uma garantia razoável de que os objetivos da organização serão

alcançados.”

Vemos o risco crescer esponencialmente dentro das organizações devido a

ambientes instáveis, fortemente competitivos com tecnologias sofisticadas onde temos

ciclos de vida cada vez mais curtos, daí a necessidade de controles atualizados que

privilegiem a competição e o desempenho, tais práticas nos mostram o nítido contraste

com os controles de conformidade do passado onde seu principal objetivo era

assegurar a eficiente utilização dos recursos e a eficácia das organizações, áreas estas

onde sentimos fortemente os impactos dos novos fatores de risco.

Diante da introdução de tantas regulamentações que impõem uma postura de

“auto controle” vemos aumentar a necessidade de criação ou pelo menos

aprimoramento de uma estrutura efetiva de controle de riscos e a auditoria interna

reforça o seu papel e a sua importância nesse novo cenario.

Estas novas responsabilidades tem implicações na prevenção de perdas e na

identificação de instrumentos de melhoria da gestão, refletindo-se positivamente no

próprio valor das operações e na organização de modo geral.

A ampliação do novo papel e do alcance da auditoria interna na gestão de

riscos começa a dar os primeiros passos e a ser reconhecido que não é mais possível

conceber uma abrangente gestão de riscos empresariais sem considerar o

envolvimento desta função como instrumento de identificação de vulnerabilidades e,

até mesmo, de auxílio à emplementação de processos de correção e melhoria,

18

contribuindo para a consecução dos objetivos, metas e consequentemente para a

melhoria da competitividade das organizações.

Esta forma de controle passa a agregar valor à cadeia de informações das

empresas que, além da fiabilidade, também garante a solidez e a sustentabilidade no

presente e futuro dos negócios.

Conforme salienta Lorenzo (2001), provavelmente, a grande diferença entre os

anteriores enfoques e o atual enfoque da auditoria interna baseada no risco reside na

análise estratégica e na avaliação dos processos de negócio como passo prévio ao

trabalho que atualmente se leva a cabo nos departamentos de auditoria, pelo que o

planejamento da mesma deverá estar alinhado com a estratégia da organização e o

plano de negócios.

2.4. O papel dos controles internos dentro do contexto da governança

corporativa

Por definição, Corporate Governance é:

“O sistema através do qual as organizações são dirigidas e controladas, a

estrutura do Corporate Governance especifica a distribuição dos direitos e das

responsabilidades ao longo dos diferentes participantes na empresa – conselho de

administração, os gestores, os acionistas e outros intervenientes – e dita as regras e os

procedimentos para a tomada de decisões nas questões empresariais. Ao fazê-lo,

fornece também a estrutura através da qual a empresa estabelece os seus objetivos e

as formas de atingí-los e monitorar sua performance.”

O conceito de Corporate Governance desenvolveu-se através de diferentes

vias e um de seus principais promotores foi o OCDE (Organização para a Cooperação

e Desenvolvimento Econimico), que construiu os princípios, permitindo que fossem

19

estabelecidos seus pilares fundamentais. Esses princípios apontados pela OCDE

(2004) estabelecem que o governo das sociedades:

• Envolve um conjunto de relações entre a gestão, o conselho de

administração, os acionistas (shareholders) e os outros interesses (stakeholders) na

empresa;

• Proporciona uma estrutura através da qual os objetivos da empresa, os meios

para os atingir e medir são estabelecidos,

• Proporciona incentivos ao conselho de administração e a gestão para atingir

os objetivos, os quais são do interesse da empresa, dos seus acionistas e restantes

stakeholders.

A temática da governança corporativa tem vindo, progressivamente, a ganhar

visibilidade e notoriedade em todo o mundo, em particular com a lei de SOA (Sarbanes

Oxley Act) nos EUA que rapidamente se expandiu para todo o mundo e em especial no

paises europeus.

Embora a governança corporativa seja definida e regulamentada de diferentes

formas em todo o mundo, organizações de todas as dimensões, industrias e países

concordam quanto aos seus objetivos principais: Auxiliar os gestores a manter

organizações sustentáveis, merecedoras de confiança por parte do mercado e capazes

de retornar o valor nelas investidos por parte dos acionistas.

Frente a tais considerações, podemos enfatizar que os controles internos

contribuem para o modelo de governança corporativa por:

• Atuar em áreas críticas da organização, promovendo a redução dos riscos de

gestão;

• Fortalecer o sistema de controle interno por meio de uma eficiente supervisão;

• Recomendar decisões que procurem solucionar falhas nos processos,

melhorando o desempenho das organizações;

20

• Garantir credibilidade e transparência no processo de prestação de contas e

confiança nas informações fornecidas;

• Provocar maior envolvimento e responsabilidade do orgão de gestão, orgão

de fiscalização e comitê de auditoria, frente as recomendações mencionadas nos seus

pareceres e relatórios.

Atuando de tal forma, a auditoria interna estará contribuindo para a consecução

das metas previamente estabelecidas, ao contribuir para a preservação do patrimônio e

maximização dos resultados da organização, enquadrando-se no modelo de

governança corporativa, abordagem presente no próprio conceito de auditoria interna

no que concerne aos processos de governance.

2.5. Controles internos como facilitador a gestão eficaz

Com mudanças em ritmo acelerado num mundo globalizado com futuro incerto,

as organizações precisam de cada vez mais atenção a seu segmento, procurando

analisar a evolução dos mercados, identificando ameaças e oportunidades, definir seus

objetivos estratégicos focando em pontos fortes e fracos e analisando continuamente

os resultados obtidos.

As organizações precisam ser geridas de forma consistente e eficaz para que

consigam posição competitiva, sustentada e vantajosa, dessa forma, os objetivos

propostos serão alcançados tendo a auditoria interna como função de apoio.

Neste sentido, as atividades de controles internos deverão ser planejadas,

programadas e desenvolvidas tendo em conta as preocupações e prioridades da

gestão e em consonância com os objetivos, estratégias e políticas pré-estabelecidas,

possibilitando o exercício da gestão eficaz que vem a se tornar uma função

imprescindível e valorizada para o domínio da gestão e da organização de modo geral.

21

Um framework sobre controles, que relaciona gestão de riscos com processos

de negócio e com controles internos é o COBIT que se foca, especificamente, em

aplicações de controles gerais e em larga escala que são relacionados a processos de

negócio como manufatura, vendas e logística.

Isso indica, claramente que a demanda por modelos mais conceituais em

relação aos princípios de gestão de processos de riscos. Existe uma necessidade para

integrar o risco com arquiteturas de empresas estabelecidas, técnicas e ferramentas de

modelagem de processos. Além disso, existe uma necessidade para desenvolver

arquiteturas técnicas para riscos, isto é, a integração de todos os sistemas de gestão

de riscos em uma única solução holística.

Dessa forma, constatamos que os controles internos dentro das organizações

vem a se consolidar como um dos principais alicerces da estrutura de governança

corporativa.

O seu papel mais amplo posicionado num contexto de gestão, nos processos

de gestão de riscos, auxiliando na prevenção de perdas e na identificação de

oportunidades de melhoria dos instrumentos de gestão e controle das operações, tem

produzido resultados positivos.

2.6. Gerenciando riscos para melhorar o desempenho

Os eventos ocorridos na última década, que vão desde os casos Enron e

Worldcom até a mais recente crise financeira mundial, mudaram significativamente a

concepção de risco por parte das organizações. Empresas ao redor do mundo

investiram intensamente em pessoal, processos e tecnologia para mitigar e controlar

riscos em seus negócios.

Historicamente, esses investimentos em risco concentram-se principalmente

nos controles financeiros e conformidade regulatória (Compliance).

22

No entanto, esses investimentos não atingiam áreas consideradas estratégicas

do ponto de vista de riscos de negócio. Consequentemente, a alta administração pode

não ter percebido a gestão de riscos como uma função estratégica para a empresa. A

alta administração também não possuia confiança suficiente na habilidade de identificar

e responder aos riscos que podem impactar o desempenho financeiro de sua

organização.

Eis que surge uma questão estratégica, de acordo com Randall Miller (Lider Global de

Assessoria em Risco da empresa Ernst & Young) fica claro que “As empresas com

práticas de risco mais maduras apresentam desempenho financeiro melhor que

aquelas do mesmo porte. Experiências, pesquisas e estudos reforçam essa

perspectiva.”

De acordo com pesquisa realizada pela empresa Ernst & Young (Big Four lider no setor

de assessoria e gerenciamento de riscos) no ano fiscal de 2011, chegamos à

conclusão que uma maior maturidade na gestão de risco se traduz em vantagem

competitiva: observamos que empresas que adotaram práticas de gestão de riscos

mais maduras apresentaram os maiores crescimentos em receita, EBITDA e

EBITDA/EV.

23

Conforme nos mostra o gráfico abaixo:

Tabela 1- Taxa composta de crescimento anual por nível de maturidade de risco

Fonte: Adaptado do estudo transformando riscos em resultados – MILLER, Randall (2011 pág. 02)

* Acumulado no exercício de 2011 até 18 de Novembro de 2011.

2.7. Forma estrutural dos controles internos

De acordo com o Committe of Sponsoring Organizations of the Treadway

Commission, COSO, podemos desmembrar os controles internos em cinco

componentes com forte relação entre si, a saber:

• Avaliação de riscos: A existência de objetivos e metas é condição

fundamental para a existência dos controles internos. Depois de estabelecidos os

objetivos, devem-se identificar os riscos que ameaçam o seu cumprimento e tomar as

ações necessárias para o gerenciamento dos riscos identificados;

• Ambiente de controle: Consciência que a entidade possui sobre o controle

interno. O ambiente de controle é efetivo, quando as pessoas da entidade sabem de

0

5

10

15

20

25

RECEITA EBITDA EBITDA/EV

ALTO NIVEL 20%

NIVEL INTERMEDIARIO 60%

BAIXO NIVEL 20%

16,8%

8,3%

10,6%

20,3%

9,5%

7,4%

4,1%

2,5% 2,1%

24

suas responsabilidades, o limite de suas autoridades e possuem o comprometimento

de fazerem suas atribuições de maneira correta. A alta administração deve deixar claro

para seus comandados quais são as políticas, código de ética e código de conduta a

serem adotados;

• Atividade de controle: Atividades executadas de maneira adequada, que

permitem a redução ou administração dos riscos identificados anteriormente. Podem

ser atividades de controle e desempenho e devem ser transmitidas a todos os

integrantes da entidade;

• Informação e comunicação: Atua como suporte aos controles internos,

transmitindo diretrizes do nível da administração para os funcionários ou vice e versa

em um formato e uma estrutura de tempo que lhes permitem executar suas atividades

de controle com eficácia;

• Monitoramento: Avaliação e apreciação dos controles internos ao longo do

tempo, sendo o melhor indicador para saber se os controles internos estão sendo

efetivos ou não. O monitoramento é feito tanto através do acompanhamento contínuo

das atividades quanto por avaliações pontuais, como é o caso da auto-avaliação,

revisões eventuais e auditoria interna.

O sistema de controle interno de uma empresa visa sempre possibilitar a

prevenção e detecção de erros e fraudes que tragam prejuízos ou afetem a qualidade

da informação fornecida para que a administração tome decisões.

2.8. Diferencial das empresas que buscam melhor desempenho

Constatou-se num estudo de caso, que enquanto a maior parte das

organizações executa elementos básicos da gestão de riscos, as de melhor

desempenho vão além. Observamos que práticas específicas de gestão de riscos,

presentes de maneira consistente nas empresas que registraram melhor desempenho

25

(por exemplo, 20% das empresas com maturidade elevada em gestão de riscos), não

estavam presentes nas empresas que apresentaram baixa maturidade em gestão de

riscos (Empresas que compõem os 20% do limite inferior). Essas práticas de gestão de

riscos podem ser organizadas nas seguintes áreas de desafio, conforme demonstrado

no quadro abaixo.

O estudo de caso, sugere que estes componentes são essenciais para

transformar o risco e impulsionar a melhoria de desempenho da empresa.

Tabela 2 – Diferencial das empresas de melhor desempenho

Fonte: Adaptado do estudo transformando riscos em resultados – MILLER, Randall (2011 pág. 05)

Agenda do Risco: Pesquisa envolvendo as principais práticas Aprimorar a estratégia de riscos

♦ As organizações possuem comunicação aberta sobre riscos envolvendo stakeholders externos.

♦ A comunicação é transparente e oportuna, fornecendo às partes interessadas as informações relavantes que transmitem as decisões e valores da organização.

♦ O conselho ou comitês de gestão desempenham papéis importantes e de liderança na definição dos objetivos da gestão de riscos.

♦ Adoção e implantação de uma estrutura de gestão de riscos comum a toda organização.

Melhoria de controle e processos

♦ Linhas de negócio estabelecem os principais indicadores de risco (KRIs - Key Risk Indicators) que antecipam e definem a gestão de riscos.

♦ Autoavaliação e outras ferramentas de reporte são padronizadas por todo o negócio.

♦ Os controles são otimizados para promover eficácia, reduzir custos e contribuir para um desempenho cada vez melhor nos negócios.

♦ As principais métricas de risco e controle são definidas e atualizadas para abordar os impactos sobre os negócios.

Facilitar a gestão de riscos

♦ Rastreamento, monitoramento e divulgação são realizados regularmente utilizando softwares de GRC.

♦ A identificação e avaliação dos riscos são realizadas regularmente utilizando softwares de GRC.

26

2.9. Aprimorando a estratégia de riscos para geração de resultados

Segundo Michael Herrinton (Lider de riscos para Américas da empresa Ernst &

Young), “Quando se trata de desenvolvimento e execução de estratégia, é importante

que a gestão de riscos impulsione o desempenho dos negócios e não apenas proteja o

negócio.”

Uma gestão de riscos efetiva começa nos níveis hierárquicos mais altos e possui clareza a respeito da estratégia e governança de riscos.

É essencial que exista adequada supervisão e responsabilidades por parte dos membros do conselho de administração e da diretoria. No nível gerencial, os executivos precisam desempenhar um papel fundamental na avaliação e gestão dos riscos. Uma estrutura aprimorada de governança, adequada comunicação e reporte à alta administração resultam em maior visibilidade, atuação responsável e transparência.

Adicionalmente, a divulgação e supervisão realizadas de forma eficaz são fundamentais para a melhoria do processo decisório (Tomada de decisões estratégicas).

A melhoria da estratégia de riscos possibilita que as empresas sejam capazes de antecipar riscos de maneira eficiente. No entanto, mesmo com a prática de uma estratégia preventiva mais robusta, ainda há a possibilidade da ocorrência de eventos não previstos que podem afetar o desempenho. Portanto, enquanto é fundamental identificar proativamente as estratégias que visam mitigar os riscos, antes mesmo da ocorrência de um evento, é igualmente importante desenvolver estratégias de reação que possibilitem que a organização reaja rapidamente caso um risco se materialize.

Algumas empresas com alto padrão de desempenho adotaram as seguintes praticas de gestão de riscos:

• Comunicações abertas em ambos os sentidos no que se refere ao risco incidente sobre stakeholders externos.

• Comunicação transparente e oportuna, fornecendo aos stakeholders informações relevantes que transmitam as decisões e os valores da organização.

• O conselho ou comitês desempenham um papel de liderança na definição dos objetivos da gestão de riscos.

27

• Uma estrutura de gestão de riscos foi implantada e adotada por toda a organização.

• Testes de stress são usados para validar a tolerância ao risco.

• A liderança da empresa implanta um programa eficaz de gestão de riscos.

• O planejamento e os ciclos de reporte de riscos são coordenados para que informações atuais sobre riscos sejam incorporadas no planejamento do negócio.

2.9.1. Potencializando a gestão de riscos para melhoria de performance

O resultado de estudos direcionados a área de gestão de riscos, comprova que

transformar riscos em resultados exige uma abordagem multifacetada:

Uma gestão de riscos efetiva começa nos níveis hierárquicos mais altos e

possui clareza a respeito da estratégia e governança de riscos. É essencial que exista

adequada supervisão e responsabilidades por parte dos membros do conselho e da

diretoria. De igual importância é a necessidade de responsabilidade pelos riscos por

toda a organização. No nível gerencial, os executivos precisam desempenhar um papel

fundamental na avaliação e gestão dos riscos.

Sabemos que os riscos são inerentes a todo negócio, no entanto, as

organizações que incorporam práticas de gestão de riscos ao planejamento dos

negócios e à gestão do desempenho possuem maior chance de alcançar objetivos

estratégicos e operacionais. A realização de uma avaliação de riscos em uma empresa

pode auxiliar a priorizar e identificar oportunidades de melhorias.

Ao alinhar e coordenar atividades de gestão de riscos em todas as funções de

risco e compliance, a organização pode reduzir sua carga de riscos (sobreposição e

redundância), diminuir os custos totais, ampliar as coberturas e promover a eficiência.

Ao otimizar controles relacionados aos principais processos de negócio,

aproveitando controles automatizados em vez de manuais e monitorando

28

continuamente controles e KPIs críticos, as organizações podem melhorar o

desempenho e reduzir os custos com controle.

A transição de um perfil “avesso ao risco” para um perfil “preparado ao risco”

pode exigir mudanças significativas. As organizações irão precisar da atuação de um

executivo experiente, assim como o suporte dos níveis hierárquicos mais altos, além de

executivos que liderem com base em exemplos. Será necessário estabelecer uma

comunicação aberta e frequente com todos os stakeholders e apresentar resultados de

verificações independentes realizadas por terceiros.

Chegamos à conclusão de que as empresas que forem bem sucedidas na

transformação de riscos em resultados criarão vantagem competitiva. Esse é o

momento para a alta administração avaliar os atuais investimentos em gestão de riscos

e discutir como ir além do compliance, abordando questões que envolvam valor

estratégico para o negócio.

29

III. GESTÃO DE COMPLIANCE

O termo Compliance, tem origem no verbo em inglês to comply, que significa

agir de acordo com uma regra, uma instrução interna, um comando ou um pedido.

Pode ser definido como o conjunto de procedimentos adotados por uma

empresa visando detectar, prevenir e combater fraudes e infrações as leis e

regulamentos aplicáveis às suas atividades, bem como assegurar que seus valores e

padrões de conduta sejam observados por seus colaboradores.

Não existe compliance se não houver segregação de funções. Por exemplo,

quem determina um investimento não pode ser a mesma pessoa a fiscalizá-lo. Quem

cria uma norma interna não pode nomear a si próprio como fiscalizador desta norma.

Observamos algumas premissas, como a crescente demanda no mundo

corporativo pela adoção de valores e padrões éticos elevados, que contribuam para a

construção de uma organização sustentável que gere valor a todos os stakeholders e

para a sociedade de modo geral.

A partir de meados da decada de 90, todas as organizações públicas e

privadas passaram a adotar o compliance como uma de suas regras mais primárias e

fundamentais para a transparência de suas atividades. O oposto também é válido: As

empresas ou orgãos públicos que não possuem uma área forte de compliance perdem

em credibilidade perante as partes relacionadas (stakeholders) e cada vez mais

perdem oportunidades no mercado.

De modo geral, os ocupantes de cargo em atividades de compliance em uma

organização, são profissionais com larga experiência comprovada no mercado. Devido

a seu alto grau de exposição, estes devem estar prontos para responder aos

stakeholders e perante a lei por suas atividades.

30

3.1. Importância do compliance dentro de uma organização

A existência de um programa de compliance em uma empresa demonstra

comprometimento com a ética e a intergridade na pratica de seus negócios, fazendo

com que ela seja vista de forma diferenciada pelo mercado.

Compliance é muito presente em instituições e empresas. Originada no

mercado financeiro, tem se estendido para as mais diversas organizações privadas e

governamentais, especialmente aquelas que estão sujeitas a forte regulamentação e

controle.

Através das atividades de compliance, qualquer possível desvio em relação à

política interna, é identificado e evitado. Assim, por exemplo, no caso de sócios e

investidores, estes têm a segurança de que suas aplicações e orientações serão

geridas segundo as diretrizes por eles estabelecidas.

O compliance deve começar pelo “topo” da organização. A efetividade do

compliance está diretamente relacionada à importância que é conferida aos padrões de

honestidade e integridade e às atitudes dos executivos que devem liderar pelo

exemplo.

É fato que, para qualquer empresa, confiança é um diferencial de mercado. De

forma geral, as leis tentam estabelecer controles e maior transparência, mas estar em

conformidade apenas com as leis não garante um ambiente totalmente em compliance.

É preciso que todos os colaboradores trabalhem com ética e idoneidade em todas as

suas atividades e que a alta administração apoie a disseminação da cultura de

compliance.

Em linhas gerais, vemos que as atividades de compliance, controles internos e

gestão de riscos em processos de negócio estão intimamente relacionados. A gestão

de riscos tem uma grande aplicabilidade para desenvolvimento, emplementação e

operação de controles para mitigar, evitar ou transferir riscos.

Todos eles estão rel

corporativos (Compliance e op

encontram alocados no contex

de informação.

Isso é visto na Figura 1.

Tabela 3 – Integração entr

Estratégicos

Sistema de Informação

Atividade de processos de

negócio 1

Estratégicos

Fonte: Adaptado do estudo Gestão d

Internos: Uma Agenda de Estudos –

o relacionados com a estratégia corporativa

e operacionais). A gestão de riscos e controle

contexto de processos de negócio e de ambiente

o entre Compliance, gestão de riscos e controles

Objetivos Operacionais Reporte Compl

Controles Internos

Atividade de processos de

negócio 2

Atividade de processos

de negócio

3

Atividaproce

denegó

Gestão de riscos Operacionais Reporte Compl

Objetivos tão de Riscos de Processos de Negócio, Compliance e C

– ROSEMANN, Michael (2006 pág. 16)

31

rativa e objetivos

ntroles internos se

bientes de sistema

roles internos

mpliance

tividade de processos

de negócio

n

mpliance

ce e Controles

32

3.2. Disseminação da função de compliance dentro das organizações

É de extrema relevância que os gestores estejam envolvidos na disseminação

da “Função de Compliance” dentro das organizações, dentre suas responsabilidades

podemos destacar:

• Buscar um sistema de controles internos adequado ao risco de seus

negócios, a fim de proporcionar segurança operacional e maior confiabilidade aos seus

investidores e clientes.

• Designar profissionais de compliance devendo provê-los de uma adequada

estrutura administrativa de apoio, a fim de assegurar a funcionalidade da gestão de

compliance. A nomeação de um oficial de compliance não exime a instituição e cada

uma de suas áreas e funcionários, da obrigatoriedade de conhecer, aplicar e

desenvolver controles internos adequados aos riscos de seus negócios.

• Estruturar a “Função de Compliance” de forma independente e autônoma das

demais áreas da instituição, para evitar os conflitos de interesses e assegurar a isenta

e atenta leitura dos fatos, visando a busca da conformidade por meio de ações

corretivas/preventivas e sendo munida com informações relevantes.

Dessa forma, deve haver um acompanhamento periódico das ações e

resultados, ou seja, devemos estabelecer uma cultura de que todo trabalho preventivo

é menos oneroso para a empresa do que uma ação detectiva ou reativa.

3.3. Integrando atividades de compliance com as atividades de Gestão de Risco e

Governança Corporativa

Vemos que, integrar as atividades de governança corporativa, gestão de riscos

e compliance significa entender as exigências dos “stakeholders” de uma instituição

financeira e de seus investimentos, em termos de desempenho e conformidade, e

33

alinhar a instituição financeira e seus investimentos na entrega desses objetivos, em

retribuição ao apetite pelo risco e a tolerância ao risco da instituição financeira.

As pessoas, os processos e a tecnologia devem ser desenhados e

direcionados de tal maneira que o alcançe dos objetivos seja mensurado, os riscos

sejam avaliados e melhorias contínuas sejam realizadas para apoiar a prática da

Governança Corporativa, a atividade de Gestão de Riscos e a de compliance de forma

eficaz.

Abaixo, temos alguns tópicos passíveis de integração entre as práticas de

Governança Corporativa, as atividades de Gestão de Riscos e de compliance:

Governança Corporativa

• Estratégia de negócio.

• Diretrizes gerais (políticas) e limites de exposição a riscos.

• Código de Ética.

• Conselho de Administração e Fiscal.

• Comitês de Auditoria, de Ética e conduta.

• Auditoria Interna e Ouvidoria.

Gestão de Riscos

• Política de Gestão de Riscos Corporativos.

• Matriz de Riscos Corporativos.

• Ferramentas Automatizadas de Gestão de Riscos Corporativos.

• Programas de Autoavaliação de riscos e controles.

34

• Indicadores-chave de riscos.

“Compliance”

• Política da função e atividade de compliance.

• Programas de compliance.

• Matriz de riscos de compliance.

• Programas de Autoinstrução e treinamentos aos funcionários.

• Indicadores-chave de compliance.

As práticas de governança corporativa, as atividades de gestão de riscos e as

de compliance por si só não são novas. Como assuntos individuais, governança

corporativa, gestão de riscos e compliance sempre foram preocupações fundamentais

de instituições financeiras e de seus líderes.

O que é novo é uma percepção emergente de integrar esses conceitos que,

quando aplicados holisticamente dentro de uma instituição financeira, podem agragar

valor significativo e oferecer vantagem competitiva. Integrando tais conceitos, temos a

oportunidade de evitar impactos negativos, tais como:

• Multas por falha de compliance.

• Escândalos éticos como resultado de mau comportamento dos executivos.

• Aumento do custo de capital como resultados de práticas fracas.

• Ineficiências em operações e altos custos operacionais.

• Altos custos de compliance derivados de duplicações de controles.

35

3.4. Desafios para a função de compliance

Apesar de a “Função de Compliance” já ter sido entendida e estar em prática

na maioria das instituições e no mercado financeiro em geral, a sua evolução deve ser

contínua, a fim de acompanhar a crescente complexidade dos negócios e exposição a

riscos.

Com a crise financeira ocorrida recentemente, novas exigências regulatórias

globais e locais deverão ser introduzidas para amparar o crescimento sustentável e a

criação de valor de longo prazo, ao mesmo tempo em que o risco sistêmico seja

controlado mais ativamente e os direitos dos investidores sejam resguardados.

Dessa forma, além da manutenção dos riscos já existentes, a “Função de

Compliance” ganha uma importância ímpar, pois essas novas regulamentações

deverão ser discutidas, entendidas, divulgadas, implementadas, e a aderência nos

processos e sistemas deverá ser acompanhada, para assegurar a mitigação de novos

riscos.

A seguir, destacamos alguns dos principais desafios da “Função de

Compliance”:

• Ter autoridade necessária para atingir os objetivos de compliance da

instituição: relatório independente com acesso ao conselho e à alta administração,

desenvolvendo atividades de compliance sem intervenção e veto de outras áreas.

• Avaliar de forma geral a governança corporativa, Gestão de Riscos e os

controles na organização: trabalho focado na gestão integrada de riscos da instituição e

orientado para sua estratégia.

• Zelar pela ética/conduta na organização de forma abrangente.

36

• Avaliar o impacto da regulamentação no negócio, para entender melhor os

riscos envolvidos versus relação custo/benefício de alterações necessárias de

processos/sistemas/produtos.

• Desenvolver contatos pró-ativos com órgãos reguladores e/ou por intermédio

de entidades de classe.

• Desenvolver um trabalho cada vez mais próximo da área de negócio,

aumentando conhecimentos relacionados a negócios e produtos.

• Participar pró-ativamente e preventivamente na aprovação dos riscos de

novos produtos/processos e respectivas alterações.

• Avaliar a aderência das normas aos processos e procedimentos,

principalmente os processos com mudanças regulatórias.

• Monitoramento eficiente baseado em risco de compliance: detectar desvios e

acompanhar a emplementação de ações que mitiguem o risco, solicitar a criação de

relatórios faltantes/alertas para riscos significativos.

• Disseminar a cultura de riscos nas áreas gestoras: capacitar as linhas de

negócio a entender os processos, riscos e controles e a cuidar da qualidade das

informações que são enviadas aos reguladores com uso gerencial.

• Integrar a relação entre custo e benefício em uma estrutura de compliance:

capacitar pessoas da linha de negócio para atuarem como representantes da área de

compliance em suas áreas e introduzir monitoramento contínuo pelos indicadores são

dois exemplos que podem tornar a relação custo e benefício da função vantajosa, em

detrimento de uma equipe exclusiva para compliance. No entanto, a estrutura ideal

deve ser definida de acordo com a dimensão e os objetivos de cada organização, bem

como a forma de mensurar essa relação de custo e benefício.

37

IV. CONTROLES INTERNOS

Atualmente, grande atenção tem sido direcionada para os controles internos

nas organizações. No Brasil, somente agora começa a se dar a devida importância aos

métodos científicos adotados pela administração para salvaguardar seu patrimônio e

evitar procedimentos ilegais ou fraudulentos.

Muitas vezes imagina-se controle interno como sinônimo de auditoria interna. É

uma ideia equivocada, pois a auditoria interna equivale a um trabalho organizado de

revisão e apreciação dos controles internos normalmente executado por um

departamento específico, enquanto que o controle interno refere-se a procedimentos

adotados pela organização de maneira permanente.

Controle, segundo dicionário Aurélio (2002) diz: “é o ato de dirigir qualquer

serviço, fiscalizando-o e orientando-o do modo mais conveniente”.

Sendo assim, podemos definir o controle interno como o ato que dirige um

serviço que provém de dentro, fiscalizando-o e orientando-o do modo mais

conveniente.

Entretanto, a auditoria é uma atividade de exame e avaliação de

procedimentos, processos, sistemas, registros e documentos, com o objetivo de aferir o

cumprimento dos planos, metas, objetivos e política da organização.

Sem o mínimo de controle interno, o exame da auditoria é quase que

impraticável, por qualquer que seja o patrimônio da empresa auditada. O exame dos

controles internos é uma das fases mais importantes no trabalho da auditoria. Por isso,

o auditor deve estar devidamente qualificado para conduzir o exame da melhor maneira

possível.

38

Inquestionavelmente, os controles internos adotados na organização são de

interesse tanto de auditores independentes quanto de auditores internos.

Individualmente, cada um realiza as suas tarefas específicas, mas tomam por base os

controles internos existentes na organização para dar inicio as suas atividades.

Uma vez organizado o controle interno, há que mantê-lo sob permanente

vigilância e avaliação, pois sabe-se que as falhas de seu funcionamento trazem

reflexos inevitáveis nos resultados da administração, podendo comprometê-la

gravemente. Em geral, todas as organizações possuem controles internos, a diferença

básica é que esses podem ser confiáveis ou não.

Controles internos eficientes permitem cumprir de uma maneira eficaz e com

uma mínima utilização de recursos. Dessa forma, erros e procedimentos ilegais ou

fraudulentos serão evitados e na sua ocorrência, serão detectados e corrigidos em

tempo hábil pelos funcionários, como parte de suas funções habituais.

Dessa forma, um bom sistema de controle interno deve propiciar detectar todas

as irregularidades, oferecendo maiores possibilidades de pronta identificação de

fraudes em todas as modalidades, além de fornecer relatórios contábeis, financeiros e

operacionais eficientes para tomada de decisão por parte dos administradores.

39

4.1. Conceito de controle interno

Podemos definir o controle interno como:

O American Institute of certified Public Accountants, apud Attie AICPA (2000,

pag. 110) por meio do relatório especial da Comissão de procedimentos de auditoria,

definiu:

“O controle interno compreende o plano de organização e o conjunto

coordenado dos métodos e medidas, adotados pela empresa, para proteger seu

patrimônio, verificar a exatidão e a fidedignidade de seus dados contábeis, promover a

eficiência operacional e encorajar a adesão à política traçada pela administração.”

O Instituto de Auditores Internos do Brasil, AUDIBRA (1992, pag. 48) registra:

[...] controles internos devem ser entendidos como qualquer ação tomada pela

administração (assim compreendida tanto a Alta Administração como os níveis

gerenciais apropriados) para aumentar a probabilidade de que os objetivos e metas

estabelecidos sejam atingidos. A Alta Administração e a gerência planejam, organizam,

dirigem e controlam o desempenho de maneira a possibilitar uma razoável certeza de

realização.

Por esses conceitos, pode-se observar que a alta administração e a gerência

da organização têm a responsabilidade de planejar, organizar, dirigir, e controlar todos

os desempenhos da organização, de forma que seja possível uma razoável segurança

para a realização dos negócios.

Attie (2000, pag. 111) afirma que:

[...] O controle interno compreende todos os meios planejados numa empresa

para dirigir, restringir, governar suas várias atividades com o propósito de fazer cumprir

os seus objetivos.

Dessa forma, podemos afirmar de forma genérica que o controle interno

envolve todos os processos e rotinas de natureza contábil e administrativa, com o

intuito de organizar a empresa de tal forma que seus maiores colaboradores

40

compreendam, respeitem e façam cumprir as políticas traçadas pela administração; os

ativos tenham sua integridade protegida; e por fim, todas as operações da empresa

sejam adequadamente registradas nos relatórios contábeis e fidedignamente retratados

pelas demonstrações financeiras.

Ainda em relação à definição de controle interno, deve-se observar que seu

significado toma imensa amplitude que desencadeia uma série de procedimentos e

métodos bem definidos que, coordenados de forma adequada, asseguram a correta

organização necessária para a obtenção dos objetivos delimitados pela administração.

4.2. Características do controle interno

Um controle interno adequado é aquele estruturado pela administração e que

possa permitir uma margem de segurança de que os objetivos e metas serão atingidos

de uma maneira rápida e eficiente.

Essa margem de segurança pode ser compreendida como medidas de

efetividade e a custos razoáveis, estabelecidas para evitar desvios ou restringí-los a um

nível tolerável.

Isso significa que erros e procedimentos ilegais ou fraudulentos serão evitados

e, na sua ocorrência, serão detectados e corrigidos dentro de um curto prazo, pelos

funcionários responsáveis.

Medidas de efetividade e de custos razoáveis são a decorrência do conceito de

comparar o valor do risco ou da perda potencial contra o custo do controle respectivo.

Controles eficientes permitem cumprir os objetivos de maneira correta e tempestiva

com a mínima utilização de recursos.

Estudando-se as características de um sistema de controle interno, é possível

identificar na sua amplitude, que esses controles podem ser peculiares tanto à

contabilidade quanto a administração, conforme segue:

41

• Controles Contábeis: Compreendem o plano de organização e todos os

métodos e procedimentos diretamente relacionados, principalmente com a salvaguarda

do patrimônio e a fidedignidade dos registros contábeis;

• Controles Administrativos: Correspondem a um plano de organização e todos

os métodos e procedimentos que dizem respeito à eficiência operacional e à decisão

política traçada pela administração.

Sá (1998) contempla que um eficiente sistema de controle interno deve

obedecer aos princípios básicos peculiares, sendo eles:

• Plano de organização com adequada distribuição de responsabilidade;

• Regine de autorização e procedimentos de escrituração contábil;

• Zelo humano no exercício de suas funções;

• Qualidade e responsabilidade do pessoal adequado.

4.3. Objetivos do controle interno

Os problemas do controle interno encontram-se, na empresa moderna, em

todos os seus segmentos: vendas, fabricação, desenvolvimento, compras, tesouraria e

etc. O exercício de um adequado controle sobre cada uma dessas áreas assume

fundamental importância, para que se atinjam os resultados mais favoráveis com

menores desperdícios.

É impossível conceber uma empresa que não dispondo de controles internos

eficientes, possa garantir a continuidade do fluxo de suas operações e informações

propostas. Por analogia, toda empresa possui controles internos. A diferença básica é

que estes podem ser adequados ou não.

A função de contabilidade, como instrumento de controle administrativo, é hoje

unanimemente reconhecida. Um sistema de contabilidade que não esteja apoiado em

um controle interno eficiente é, até certo ponto, inútil, uma vez que não é possível

42

confiar nas informações contábeis contidas em seus relatórios. Informações contábeis

distorcidas podem levar a conclusões erradas e danosas para a empresa.

Segundo Attie (2000, pag. 117) concluimos que:

“O conceito, a interpretação e a importância do controle interno envolvem

imensa gama de procedimentos e práticas que, em conjunto, possibilitam a

consecução de determinado fim, ou seja, controlar.”

Podemos definir os objetivos do controle interno em quatro tópicos básicos:

• A salvaguarda dos interesses da empresa;

• A precisão e a confiabilidade dos informes e relatórios contábeis, financeiros e

operacionais;

• O estímulo à eficiência operacional;

• A aderência as políticas existentes.

4.3.1. Salvaguarda dos interesses da empresa

O objetivo do controle interno relativo á salvaguarda dos interesses remete-se

a proteção do patrimônio contra quaisquer perdas e riscos devidos a erros ou

irregularidades. (Attie, 2000, pag. 117).

Temos como principais práticas que podem dar suporte à salvaguarda dos

interesses são:

• Segregação de funções;

• Determinação de funções e responsabilidades;

• Sistemas de autorização e aprovação;

• Rotação de funcionários;

• Legislação;

43

• Contagens físicas independentes.

Dessa forma, vemos a preocupação que tem o controle interno com relação a

proteção de seu patrimônio, munindo-se de várias práticas que contribuem para o

sucesso deste objetivo.

4.3.2. Precisão e confiabilidade dos informes e relatórios contábeis, financeiros e

operacionais

Compreendem a geração de informações adequadas e oportunas,

fundamentais no campo gerencial e administrativo, para compreensão dos fatos e

eventos realizados na organização.

Attie (2000, pag 119) enfatiza bem esta confiabilidade e precisão quando

explica:

“Uma empresa necessita construir, para si, sistemas que lhe garantam

conhecer os atos e eventos ocorridos em cada um de seus segmentos. Os efeitos

ocorridos através da realização de cada ato devem ser escriturados e levados, em

tempo hábil, ao conhecimento dos administradores.”

O autor quando expõe sobre este objetivo de controle, enumera alguns meios

que possibilitam sua realização:

• Documentação confiável;

• Conciliação de informações;

• Análise, plano de contas e tempo hábil;

• Equipamento mecânico.

A organização precisa munir-se de relatórios e sistemas que sejam confiáveis e

eficientes, garantindo-lhes assim, um espelho da real situação econômica e financeira

da organização.

44

4.3.3. Estímulo à eficiência operacional

Cabe salientar que o intuito é o de promover a eficiência operacional,

provendo-se de todos os meios necessários à condução de tarefas, de forma a obter

entendimento, aplicação e ação tempestiva e uniforme.

Attie (2000) reforça que os principais meios que promovem a obtenção de

pessoal qualificado são:

• Seleção: Possibilita a obtenção de pessoal qualificado para exercer com

eficiência as funções específicas;

• Treinamento: Possibilita a capacitação profissional para exercer a atividade

proposta;

• Plano de carreira: Estabelece as políticas adotadas pela empresa quanto às

possibilidades de remuneração e promoção, incentivando o entusiasmo e a satisfação

do pessoal;

• Instruções formais: Apontam formalmente as instruções que devem ser

seguidas pelo pessoal e dessa forma evitam interpretações dúbias e mal entendidos.

De nada adianta a administração munir-se de sistemas, relatórios sofisticados,

se o seu material humano não estiver corretamente selecionado e treinado para

trabalhar de acordo com as políticas determinadas pela empresa.

4.3.4. Aderência às políticas existentes

Este objetivo de controle tem por finalidade assegurar que as políticas e

procedimentos definidos pela administração sejam adequadamente seguidos e

respeitados pelo pessoal.

Attie (2000) define alguns meios mais importantes:

• Supervisão: A supervisão permanente possibilita melhor rendimento do

pessoal, reparando-se imediatamente possíveis desvios e dúvidas em relação às

tarefas executadas;

45

• Sistema de revisão e aprovação: Através de métodos de revisão e aprovação

verifica-se se as políticas e procedimentos adotados estão sendo seguidos;

• Auditoria interna: Permite a identificação de transações realizadas pela

empresa que estejam em consonância com as políticas determinadas pela

administração.

A alta administração deve trabalhar continuamente para que as políticas e

procedimentos adotados sejam verdadeiramente seguidos e respeitados por todo o

conjunto da administração.

4.4. Ambiente do controle interno

Toda a responsabilidade do exercício de controle é da administração. Se a

administração confia na importância do controle, as demais pessoas envolvidas serão

sensíveis a essa atitude, respeitando e acatando as políticas e procedimentos

estabelecidos. É a direção da empresa que estabelece o espírito e a intensidade do

controle, no sentido de querer contar com uma informação útil, confiável e oportuna

para a tomada de decisões.

Além da atitude da administração em relação ao exercício do controle, pode-se

constatar que este ambiente consiste nas ações de acatamento das políticas definidas,

na aplicação de procedimentos estabelecidos e no uso dos sistemas de informação e

outros instrumentos instituídos.

Digno de nota que a amplitude e a intensidade são, na sua maioria,

determinadas pelo porte da empresa. Uma empresa de pequeno porte não necessita

de muitos recursos para instalar um eficiente sistema de controle interno. Muitas vezes,

basta um bom contador, um sistema contábil simples, mas eficiente, e certo controle

sobre determinadas operações e ativos. Em médias e grandes empresas o enfoque se

altera, necessitando a instalação de recursos mais sofisticados, que abranjam todas as

operações da empresa.

O fator fundamental para garantir a eficácia do controle interno é formado pelo

enfoque dado ao controle pela administração e da organização e estrutura da empresa.

46

4.5. Sistema de controle interno

Sistemas de controles internos de uma empresa são feitos através da

combinação de políticas, procedimentos, sistemas operacionais, de informação e

outros instrumentos mantidos pela administração.

No momento em que se desenvolve um sistema de controle interno, as

empresas devem objetar que este apresente as características a seguir relacionadas:

• Confiabilidade: Propiciar a obtenção de informações corretas para executar

suas operações. As informações estão diretamente ligadas às decisões que a

administração deseja tomar;

• Tempestividade: As informações devem ser atuais e exatas, pois são

imprescindíveis no momento da tomada de decisões;

• Salvaguarda de ativos: Os ativos de uma organização representam a

aplicação de seus recursos, dessa forma, compreende-se que devem ser protegidos de

qualquer ato que venha prejudicá-los.

• Otmização no uso de recursos: Tanto quanto possível, a duplicação de

esforços na execução das atividades e o desencorajamento do uso ineficiente dos

recursos da empresa;

• Prevenção e detecção de roubos e fraudes: Não é aceitável na atividade

empresarial, tampouco em outras atividades, a ocorrência de roubos, fraudes e outras

ações da natureza escusa;

Cada empresa tem sua cultura e política, dessa forma, é única devido a

características peculiares de forma que não temos um modelo “pré-fabricado”

adaptável às suas necessidades. Entretanto, pode ser definida uma estrutura básica

para emplementação de um sistema de controle interno, observando os seguintes

aspectos fundamentais:

47

• Um cronograma que estabeleça as relações organizacionais e entre às áreas

componentes de uma organização. O organograma contribui para definir linhas de

segregação funcional e segregação das atividades;

• A elaboração de manuais de normas e procedimentos, com um sistema de

autorizações e linhas de autoridade claramente definidos, contendo também o

estabelecimento de práticas operacionais e rotinas;

• Uma estrutura contábil adequada, incluindo técnicas orçamentárias, de

contabilidade de custos, de acompanhamento e execução fiscal, um plano de contas

comentado e os fluxos contábeis;

• Qualificação dos colaboradores compatível com as rotinas e práticas

operacionais, cargos e atribuições a estes vinculados, e adequadamente treinados.

4.6. Controle interno satisfatório

Um sistema de controle interno, bem concebido e aplicado com eficiência

oferece razoável segurança para que erros sejam evitados ou prontamente

descobertos no curso normal das operações rotineiras, de forma a serem corrigidos

imediatamente. Quando o auditor entende que o sistema de controle interno está

realmente funcionando, ele possui a comprovação de que as informações fornecidas

por esse sistema merecem confiança.

Sabe-se, que muitas empresas projetam esmerados sistemas de controle,

contemplando-os em manuais de procedimentos contábeis, embora realmente nunca

tenham sido postos em prática. Dessa forma, colaboradores acabam por achar mais

conveniente tomar atalhos ou, por outros meios, contornar a burocracia representada

pelos controles estabelecidos pela administração. Cabe ao auditor ter a sensibilidade

de perceber e avaliar se estes controles estão realmente sendo postos em uso ou se

estão apenas descritos em manuais.

Segundo Attie (1992, pag. 231), para um satisfatório sistema de controle:

48

[...] As peças soltas por si sós nada representam, porém o conjunto afinado

entre si fornece a força necessária para que o carro ande, e basta que uma das peças

se quebre ou deteriore para que todo o conjunto se torne inerte e inoperante. O

controle interno funciona da mesma forma, pois o conjunto das operações,

autorizações, registros e etc. é que permite que a operação ou sistema caminhe, e

basta que um dos itens não funcione adequadamente para que todo o sistema

emperre.

Assim, entende-se que o controle interno é um enumerado de práticas e

procedimentos que em conjunto formam o grande sistema de controle interno. Sendo

que, se não operarem em harmonia, o sistema falhará e não atingirá seus objetivos.

49

V. CONCLUSÃO

Tendo como base uma revisão da literatura e das entrevistas, fica claro que a

gestão de riscos, o compliance e os controles internos estão ficando mais integrados

sob uma variedade de contextos de negócios.

Combinando e sintetizando a revisão da literatura e as entrevistas, conclui-se

que a atividade de gestão de riscos em processos, alinhada com um trabalho de

compliance ativo e controles internos funcionais, contribuem diretamente com a

administração para o bom desempenho dos controles oferecendo assim maior

segurança para a entidade e maximizando os lucros advindos de suas operações.

A gestão de riscos vive um momento único na sua história e tem-se vindo a

desenvolver e a consolidar como um dos principais alicerces da estrutura de

governança das organizações. O seu papel mais amplo posicionado num contexto de

gestão, auxiliam na prevenção de perdas e na identificação de oportunidades de

melhoria dos instrumentos de controle das operações produzindo resultados

extremamente satisfatórios.

Neste sentido, é de fundamental importância que os estudos sobre gestão de

riscos em processos, tenham uma ênfase maior, no sentido de que, quanto mais os

controles internos e de compliance puderem fornecer informações que auxiliem e

sejam úteis e oportunas à gestão, maior credibilidade e importância será dada a essa

área dentro da organização. Esta posição corrobora com a evolução dos controles

internos que tem vindo a modernizar-se para atender as novas exigências das

organizações e da sociedade de modo geral.

A administração tem a responsabilidade de organizar, dirigir, controlar e

emplementar os controles internos da empresa. Uma vez adotado, tem que mantê-lo

sob permanente vigilância e avaliação, pois as falhas do seu funcionamento trazem

reflexos inevitáveis nos resultados da entidade.

50

Se a administração confia na importância dos controles adotados, a sua equipe

estará apoiando os procedimentos estabelecidos, e tendo menos resistência a sua

adoção.

Os objetivos descritos nesta pesquisa foram alcançados e demonstrados

principalmente no capítulo onde foi abordada a precisão e a confiabilidade da gestão

de riscos realizada de forma eficaz e os benefícios advindos da utilização do

compliance e os controles internos que podem propiciar o desenvolvimento da

organização de forma sustentável e confiável, salvaguardando o patrimônio da

entidade, atuando como inibidor de fraudes e erros que podem colocar em risco a

segurança econômica financeira da organização.

Constata-se que, os sistemas de controles internos são imprescindíveis dentro

de uma organização, pois através de tais sistemas, a entidade pode garantir que suas

informações são verídicas, obtendo respaldo em todas as informações geradas.

Segere-se, portanto, que as empresas valorizem cada vez mais a gestão de

riscos em processos de negócio, pois sua consolidação dentro da cultura da empresa

contribui para um crescimento ordenado e otimiza uma gestão com bases sólidas

através da segurança oferecida por sua adoção.

Apesar de aparentemente simples, o tema de forma geral envolve um conteúdo

teórico bastante extenso, por vezes complexo, exigindo longos e dedicados estudos

para sua apreensão.

Devido ao fato exposto, esta pesquisa não teve a pretensão de abordar

exaustivamente todo o conteúdo teórico, mas, sim, resgatar alguns aspectos relevantes

para auxiliar os interessados na compreensão desse objeto.

51

VI. REFERÊNCIAS BIBLIOGRAFICAS

BEUREN, Ilse Maria, (2000), Gerenciamento da Informação: Um recurso estratégico no processo de gestão empresarial, 2º ed. São Paulo: Atlas, pag. 17-21.

MANZI, Vanessa A. (2008), Compliance no Brasil – Consolidação e Perspectivas. Saint Paul, São Paulo, 2008.

ATTIE, Willian (2000), Auditoria: Conceitos e aplicações. 3º ed. São Paulo: Atlas, 2000.

LORENZO, M. J. P., (2001), La auditoria interna orientada a los processos, Partida Doble, Julio-Agosto, pag. 78-85.

MILLER, Randall (2011), Tranformando Riscos em Resultados, Estudo corporativo da Ernst & Young Terco, pag. 4 a 8.

ROSEMANN, Michael (2006), Uma visão do estudo: Gestão de Risocs em Processos de Negócio, Compliance e controles internos, São Paulo, (2006).

ZUR MUEHLEN, M. & M. Rosemann (2005), Integrating Risk in business Process Models. Presented at the 16th Australasian Conference on Information Systems, 29 Nov 2005.

COSO – Committee of Sponsoring Organizations of the Treadway Commission (2004), Enterprise Risk Management – Integrated Framework.

Gestão de Riscos de Processos de Negócio, Compliance e Controles Internos, Visão do Elo Group, São Paulo, 19 set 2011 <http://www.elogroup.com.br/download/MR001_Gestao_de_Riscos_de_Processos_de_Negocio.pdf>

OECD, (2004), Princípios da Governança Corporativa, 2004. Disponível em

<www.oecd.org/daf/corporate/principles> Acesso em: 02 Out. 2012.