Hermínio Gonçalves (*)
Você provavelmente já ouviu o ditado: “com grandes riscos vêm grandes recompensas”, mas no mundo corporativo esse cenário pode ser exatamente o oposto.
Para evitar que fatores internos e externos possam vir a representar uma ameaça no cumprimento dos objetivos da organização, a gestão de riscos aliada a controles internos é fundamental.
Controles internos são ações, procedimentos ou mecanismos que, se implementados, podem agir sobre um risco, alterando sua probabilidade ou seu impacto. Existem dois tipos de controles:
- Preventivos: têm o objetivo de impedir um resultado indesejado antes que ele aconteça;
- Detectivos: detectam erros ou irregularidades que já podem ter ocorrido ou estão ocorrendo naquele momento.
Por que controles internos são tão importantes? O principal benefício dos controles internos é a proteção que eles proporcionam contra riscos ou eventos inesperados. Além disso, a correta definição e execução dos controles também permite:
• aumento da segurança da organização;
• melhoria da eficiência das operações;
• diminuição de custos;
• redução de erros ou esforços desnecessários;
• garantia do cumprimento das leis e regulamentos estatutários.
E, ainda, demonstrar esforços de gerenciamento de risco aumenta a confiança dos clientes e partes interessadas, fazendo com que a organização tenha vantagens sobre concorrentes menos preparados.
. Definindo controles – Os controles são como uma garantia de que os riscos estão em níveis aceitáveis o suficiente para não apresentar perigo aos objetivos da organização.
Lembrando que cada organização está sujeita a diferentes riscos, assim como podem ser impactadas de forma diferente por cada um deles dependendo o seu segmento.
Portanto, para que os controles sejam definidos de forma eficaz, é necessário que objetivos organizacionais tenham sido claramente definidos e que os riscos potenciais sejam previamente identificados e avaliados. Uma vez que o risco é conhecido, é possível mapear suas principais causas e qual o efeito (magnitude) desse risco para a organização.
Posteriormente, a empresa pode estabelecer e implementar os controles necessários para mitigar as causas dos riscos mapeados.
. Testando controles – O teste de controle basicamente busca confirmar se os controles foram efetivos na mitigação dos fatores de risco, ou seja, se foi possível transformar o risco bruto em um risco residual alinhado ao apetite a risco da organização. Vale lembrar: apetite ao risco – é o nível aceitável de riscos que a organização está disposta a correr na busca do cumprimento dos seus objetivos.
. Priorize os testes de controle – Para uma organização com centenas ou até mesmo milhares de controles internos, testar todos eles seria inviável. Por isso, é importante analisar cada controle e determinar seu efeito na organização. Com isso, determine a natureza e a frequência dos testes que devem ser realizados.
Dependendo dos regulamentos ou padrões de conformidade que são aplicáveis à organização (como SOX, GDPR, HIPAA ou PCI), o processo de teste e os controles que são essenciais para testar primeiro seguem essas orientações.
. Teste de eficiência (de desenho) – com um escopo mais limitado, esse tipo de teste tem o objetivo de determinar se o controle está desenhado de forma efetiva a fim de mitigar o fator de risco. Mais utilizado pela primeira linha de defesa: o proprietário do controle ou os funcionários que trabalham nessa área no dia a dia avaliam a eficácia do controle.
. Teste de eficácia – com escopo mais amplo, esse tipo de teste tem o objetivo de testar dentro de um determinado período de tempo se o controle está sendo executado dentro dos requisitos no qual foi planejado/ desenhado. Mais utilizado pela segunda linha de defesa: auditores internos.
Com isso, pode-se dizer que um controle é eficaz quando consegue reduzir ou gerenciar o risco que se destina a modificar, ou seja, quando:
• é projetado corretamente para lidar com o risco pretendido;
• aborda a maioria/todo o risco;
• funciona como esperado (confiável);
• opera no momento certo e com rapidez suficiente.
Monitorar e reavaliar os controles internos na frequência adequada ajuda a empresa a planejar e priorizar as ações de gerenciamento de riscos e tomar melhores decisões para os seus negócios.
(*) – É CEO da SoftExpert Brasil (https://www.softexpert.com/pt-br/)
