Controles Internos e Compliance

Controles Internos e Compliance

Nesse artigo você irá ver:

  • Entendimento do sistema de controles internos e compliance
  • Os 3 tipos de controles internos
  • Desenvolvimento de um sistema de controles internos
  • Estrutura de controles internos COSO

Um sistema de controles internos é um conjunto de atividades interligadas que usam políticas, normas e procedimentos, estruturados para proteger seu negócio de quaisquer ameaças que eventualmente possam ocorrer.

Os controles internos devem atuar para prevenir, detectar, corrigir, direcionar, treinar e monitorar em relação a:

  • Garantir que as metas estratégicas e objetivos do negócio sejam alcançados
  • Prover efetividade e eficiência operacional
  • Garantir registros completos e acurados
  • Propiciar que a empresa permaneça em conformidade com as políticas, regulações e aspectos legais
  • Reduzir riscos de fraudes ou abusos

O objetivo do compliance e controles internos é tornar a empresa mais preparada, estruturada, resiliente e eficiente tanto nos aspectos de conformidade, quanto do ambiente de negócios.

Qualquer empresa independente do seu porte, está sujeita a riscos, problemas e ameaças que podem trazer impactos negativos ao negócio, causando vários tipos de dificuldades.

Algumas dessas ameaças não são intencionais, mas causadas por um mau funcionamento dos processos e também por colaboradores que não foram adequadamente treinados – enquanto outras são provenientes de ações com intenção de causar prejuízo ou dolo, de ordem fraudulenta.

Independentemente do porquê isso acontece, os controles internos precisam ser estabelecidos justamente para evitar ou minimizar perdas e problemas – existem três categorias principais de controles internos, classificados como Controles Preventivos, Controles Detectivos e Controles Corretivos. Cada um desempenha um papel específico na gestão de riscos e na garantia de que as atividades da empresa sejam conduzidas de maneira eficiente, eficaz e em conformidade com as normas aplicáveis.

Controles Preventivos

Os controles internos preventivos são estruturados com objetivo de se evitar que ocorram erros, irregularidades ou fraudes. Eles são implementados antes que um processo ou transação seja concluído, com o objetivo de reduzir a probabilidade de ocorrência de problemas que possam comprometer os objetivos da empresa. Esses controles têm uma característica de “proatividade” com objetivo de antecipar e mitigar os riscos”.

Exemplos:

  • Segregação de Funções: garantir que diferentes colaboradores sejam responsáveis por diferentes fases de um processo para evitar conflitos de interesse e fraudes;
  • Aprovações e Autorizações: requerer a aprovação de uma autoridade superior antes da execução de determinadas transações ou operações;
  • Treinamentos e Capacitações: efetuar treinamentos regulares aos colaboradores para garantir que eles estejam cientes das políticas e procedimentos corretos.

Controles Detectivos

Os controles internos detectivos (ou investigativos), são projetados para identificar e sinalizar erros, irregularidades ou fraudes que já ocorreram. Esses controles atuam como uma segunda linha de defesa, permitindo que a empresa identifique problemas após a sua ocorrência para que medidas corretivas possam ser tomadas. Eles ajudam a detectar falhas no sistema de controles preventivos, que devem ser continuamente retroalimentados e melhorados com essas informações.

Exemplos:

  • Auditorias Internas: revisões periódicas dos processos e registros financeiros para identificar discrepâncias ou irregularidades;
  • Relatórios e Análises: revisão de relatórios financeiros, de produção ou de performance para identificar desvios em relação às expectativas ou metas estabelecidas;
  • Revisões de Conformidade: verificação da adesão a normas, regulamentos e políticas internas.

Controles Corretivos

Os controles internos corretivos, são implementados para corrigir problemas ou irregularidades que foram detectados pelos controles detectivos. Eles têm como objetivo remediar as falhas identificadas e evitar que os mesmos problemas ocorram novamente no futuro. Além disso, esses controles ajudam a mitigar eventuais impactos negativos de erros ou fraudes que já ocorreram.

Aprimoramento de Procedimentos: modificação ou criação de novos procedimentos para prevenir a recorrência de falhas identificadas.

Ações Disciplinares: aplicação de sanções ou treinamentos corretivos aos funcionários envolvidos em irregularidades;

Correção de Erros Contábeis: ajuste de lançamentos contábeis incorretos ou reprocessamento de transações incorretas.

O ponto principal de desenvolver ferramentas práticas de controle interno é identificar todos os possíveis riscos que possam afetar seu negócio e gerenciar o problema tanto quando ocorrerem, quanto impedir que voltem a acontecer.

Todo componente vulnerável em uma empresa, é um potencial causador de problemas à longo prazo – o que pode vir a afetar a produtividade, a sustentabilidade e eventualmente, dificultar progressos futuros.

Para evitar que tais riscos surjam, é fundamental o desenvolvimento de um sistema de controles internos e compliance, de forma a garantir que a empresa opere de maneira ética, eficiente e em conformidade com leis e regulamentos.

Esse processo envolve várias etapas, desde a definição das necessidades e objetivos até sua implementação e monitoramento contínuo.

Definir Objetivos e Escopo

O primeiro passo é identificar e definir os objetivos que o compliance e controles internos devem alcançar.

Isso inclui a proteção dos ativos da empresa, a garantia da precisão das informações financeiras, a prevenção de fraudes e a conformidade com as leis e regulamentos aplicáveis.

Principais Ações:

  • Análise de Riscos: realizar uma análise de riscos para identificar as áreas mais vulneráveis da empresa e onde os controles são mais necessários;
  • Determinação do Escopo: definir o escopo do sistema de controle interno, incluindo os processos e áreas funcionais que serão cobertos.

Desenvolver Políticas e Procedimentos

Com os objetivos e o escopo definidos, deve-se desenvolver políticas e procedimentos que orientem os colaboradores sobre como as atividades devem ser realizadas e os comportamentos esperados.

Principais Ações:

  • Elaboração de Políticas: criar e implementar políticas claras para governança, ética, segurança da informação, financeiro, entre outras áreas críticas;
  • Procedimentos Operacionais Padrão (POPs): desenvolver procedimentos documentados que detalhem as etapas específicas para a execução de atividades.

Estabelecer a Estrutura de Controles

A estrutura de controles internos deve ser implementada para prevenir, detectar e corrigir problemas. Isso inclui a identificação dos tipos de controles necessários (preventivos, detectivos e corretivos) e sua aplicação em diferentes áreas de risco.

Principais Ações:

  • Controles Preventivos: implementar políticas de aprovação, segregação de funções e outras medidas para prevenir erros e fraudes;
  • Controles Detectivos: estabelecer auditorias, revisões periódicas e sistemas de monitoramento para identificar irregularidades;
  • Controles Corretivos: criar procedimentos para corrigir problemas detectados, como ações disciplinares e ajustes de processos.

Designar Responsabilidades e Autoridades

Para que o sistema de compliance interno funcione adequadamente, deve-se designar responsabilidades e autoridades claras dentro da empresa. Isso garante que todas as partes saibam suas funções e como elas contribuem para a eficácia do sistema.

Principais Ações:

  • Responsabilidade pelo Compliance: designar um responsável ou uma área de controles internos, que sejam os guardiães e supervisionem tanto o programa de compliance, quanto os controles internos;
  • Segregação de Funções: definir claramente as responsabilidades de diferentes departamentos e indivíduos para evitar conflitos de interesses.

Implementar Treinamento e Comunicação

O êxito de um sistema de controles internos e compliance depende do entendimento e do comprometimento dos funcionários. Por isso, é essencial implementar um programa de treinamento contínuo, assim como, estabelecer canais de comunicação claros.

Principais Ações:

  • Treinamentos Regulares: desenvolver e realizar treinamentos periódicos sobre políticas, procedimentos e condutas esperadas;
  • Canais de Comunicação: estabelecer canais de comunicação, como newsletters e intranet, para manter os colaboradores informados sobre atualizações e mudanças.

Monitorar e Avaliar a Eficácia

Um sistema de controles internos e compliance eficaz deve ser continuamente monitorado e avaliado para garantir que esteja funcionando conforme o planejado e para identificar áreas de melhoria.

Principais Ações:

  • Auditorias Internas: realizar auditorias internas regulares para avaliar a conformidade e a eficácia dos controles implementados;
  • Indicadores de Desempenho (KPIs): desenvolver e implementar KPIs para medir o desempenho do sistema e identificar falhas;
  • Revisão e Ajustes: baseado nas avaliações, ajustar e melhorar continuamente o sistema de controles internos e compliance.

Estabelecer um Processo de Relatórios e Resposta à Problemas ou Incidentes

Desenvolver um processo estruturado para a geração de relatórios e para a resposta a incidentes, para garantir transparência e ação rápida em caso de falhas ou problemas de compliance.

Principais Ações:

  • Relatórios Regulares: estabelecer relatórios periódicos para a alta administração e o conselho de administração, detalhando a conformidade e os principais riscos;
  • Plano de Resposta a Incidentes: criar e documentar um plano de resposta a incidentes para tratar violações de compliance ou falhas nos controles internos.

Criar uma Cultura de Compliance

Finalmente, para que o sistema de controles internos e compliance seja eficaz a longo prazo, é fundamental criar uma cultura organizacional que valorize e promova a conformidade e a ética em todas as operações.

Principais Ações:

Engajamento dos Funcionários: incentivar a participação ativa dos funcionários nos processos de compliance e garantir que eles se sintam responsáveis pela manutenção dos padrões éticos.

Liderança pelo Exemplo: a liderança da empresa deve exemplificar o compromisso com a conformidade e incentivar práticas éticas em toda a empresa.

O COSO (Committee of Sponsoring Organizations of the Treadway Commission) é uma organização norte-americana sem fins lucrativos que desenvolveu uma estrutura amplamente reconhecida para a criação e avaliação de sistemas de controles internos.

O objetivo do COSO é ajudar as empresas a gerir e reduzir riscos, garantir a conformidade com as leis e regulamentos, e melhorar a eficácia operacional.

O COSO é mais conhecido pela sua Estrutura de Controles Internos (Internal Control – Integrated Framework), publicada inicialmente em 1992 e revisada em 2013. Esta estrutura fornece diretrizes para o desenvolvimento, implementação e avaliação de controles internos dentro das empresas. Ela é amplamente adotada por empresas em todo o mundo como um padrão de boas práticas em governança corporativa, gerenciamento de riscos e conformidade.

Por que Usar o COSO?

O uso da estrutura COSO facilita a realização de atividades de negócios de forma consistente, por um conjunto de controles internos. Dependendo de como esses controles são criados, eles podem aumentar a eficácia e reduzir os riscos.

A utilização da estrutura COSO também coloca a sua empresa numa posição melhor para identificar condutas fraudulentas — quer essa má conduta seja realizada por clientes, funcionários de confiança ou cibercriminosos. Além disso, as vulnerabilidades podem ser abordadas, uma vez que a estrutura enfatiza a mitigação de riscos e a adesão às melhores práticas reconhecidas.

Uma sistemática controles internos COSO, cuidadosamente projetados permite que eles melhorem a eficácia dos procedimentos de negócios, o que pode economizar despesas e aumentar a receita da empresa.

Objetivos dos Controles Internos Segundo o COSO

O COSO define três categorias de objetivos que os controles internos devem ajudar a atingir:

  • Operacionais: focados na eficácia e eficiência das operações da empresa, incluindo o desempenho financeiro e a proteção dos ativos contra perdas;
  • Relatórios: relacionados à confiabilidade, precisão e transparência dos relatórios financeiros e não financeiros;
  • Conformidade: direcionados a garantir que a empresa cumpra todas as leis e regulamentos aplicáveis.

Componentes do COSO

A estrutura do COSO é composta por cinco componentes inter-relacionados que juntos formam a base para um sistema robusto de controles internos:

  • Ambiente de Controle: refere-se ao conjunto de normas, processos e estruturas que estabelecem a base para o sistema de controles internos. O ambiente de controle inclui a ética, integridade e valores da organização, a estrutura de governança, a competência dos funcionários e a forma como a administração organiza e delega autoridade e responsabilidades;
  • Avaliação de Riscos: envolve a identificação e análise dos riscos que podem impedir a organização de alcançar seus objetivos. A avaliação de riscos considera tanto os riscos internos quanto os externos e ajuda a determinar como esses riscos devem ser gerenciados.
  • Atividades de Controle: são as políticas e procedimentos que ajudam a garantir que as diretrizes de gestão sejam cumpridas. Essas atividades incluem aprovações, autorizações, verificações, reconciliações, revisões de desempenho operacional, segurança dos ativos e segregação de funções;
  • Informação e Comunicação: relaciona-se à identificação, captura e troca de informações relevantes em tempo hábil. Inclui a comunicação interna e externa necessária para apoiar a realização dos objetivos e o funcionamento eficaz dos controles internos;
  • Monitoramento: envolve a supervisão contínua e avaliações periódicas do sistema de controles internos para garantir que ele esteja funcionando como pretendido e para identificar áreas que necessitam de melhorias.

Nunca é demais salientar que processos e controles internos nunca são perfeitos. Sempre vão ocorrer problemas, erros ou perturbações, intencionais ou não.

Em função disso, o sistema de controle interno e compliance, deve ter um fluxo permanente e contínuo de revisões e análises.

Quando ocorrer algum evento, sua empresa deve documentar, investigar e revisar todos os seus aspectos, assim como, os responsáveis internos, devem estabelecer ações e análises, para tomada de ações corretivas e na sequência melhorar os controles preventivos.

Outros artigos que podem lhe interessar:

Thinkerest Consultoria Empresarial

Fale conosco para implementar ou aperfeiçoar o compliance da sua empresa. Com nossos serviços de consultoria de compliancee outsourcing complianceCaaS – compliance as a service, nós ajudamos nossos clientes a tomar decisões mais inteligentes para alcançar um crescimento rápido dos negócios.

Nossa força reside na competência de nossa equipe, utilizando metodologias de gestão empresarial, estratégia e negócios eficazes, aliadas a pontos de vista exclusivos que se fundem perfeitamente para oferecer soluções personalizadas para todas as necessidades da sua empresa.

Nossa empresa e consultores, tem experiência acumulada em mais de 450 projetos, atuando nas áreas: Consultoria em Gestão EmpresarialConsultoria ComercialConsultoria de VendasConsultoria de Marketing e Consultoria de Estratégia.