A importância de uma gestão de risco alinhada a controles internos
Por Hermínio Gonçalves, CEO da SoftExpert Brasil
Você provavelmente já ouviu o ditado: “com grandes riscos vêm grandes recompensas”, mas no mundo corporativo esse cenário pode ser exatamente o oposto.
Para evitar que fatores internos e externos possam vir a representar uma ameaça no cumprimento dos objetivos da organização, a gestão de riscos aliada a controles internos é fundamental.
O que são controles internos?
Controles internos são ações, procedimentos ou mecanismos que, se implementados, podem agir sobre um risco, alterando sua probabilidade ou seu impacto.
Existem dois tipos de controles:
Preventivos: têm o objetivo de impedir um resultado indesejado antes que ele aconteça;
Detectivos: detectam erros ou irregularidades que já podem ter ocorrido ou estão ocorrendo naquele momento.
Por que controles internos são tão importantes?
O principal benefício dos controles internos é a proteção que eles proporcionam contra riscos ou eventos inesperados. Além disso, a correta definição e execução dos controles também permite:
aumento da segurança da organização;
melhoria da eficiência das operações;
diminuição de custos;
redução de erros ou esforços desnecessários;
garantia do cumprimento das leis e regulamentos estatutários.
E, ainda, demonstrar esforços de gerenciamento de risco aumenta a confiança dos clientes e partes interessadas, fazendo com que a organização tenha vantagens sobre concorrentes menos preparados.
Definindo controles
Os controles são como uma garantia de que os riscos estão em níveis aceitáveis o suficiente para não apresentar perigo aos objetivos da organização.
Lembrando que cada organização está sujeita a diferentes riscos, assim como podem ser impactadas de forma diferente por cada um deles dependendo o seu segmento.
Portanto, para que os controles sejam definidos de forma eficaz, é necessário que objetivos organizacionais tenham sido claramente definidos e que os riscos potenciais sejam previamente identificados e avaliados.
Uma vez que o risco é conhecido, é possível mapear suas principais causas e qual o efeito (magnitude) desse risco para a organização. Posteriormente, a empresa pode estabelecer e implementar os controles necessários para mitigar as causas dos riscos mapeados.
Testando controles
O teste de controle basicamente busca confirmar se os controles foram efetivos na mitigação dos fatores de risco, ou seja, se foi possível transformar o risco bruto em um risco residual alinhado ao apetite a risco da organização.
Vale lembrar: apetite ao risco – é o nível aceitável de riscos que a organização está disposta a correr na busca do cumprimento dos seus objetivos.
Priorize os testes de controle
Para uma organização com centenas ou até mesmo milhares de controles internos, testar todos eles seria inviável.
Por isso, é importante analisar cada controle e determinar seu efeito na organização. Com isso, determine a natureza e a frequência dos testes que devem ser realizados.
Dependendo dos regulamentos ou padrões de conformidade que são aplicáveis à organização (como SOX, GDPR, HIPAA ou PCI), o processo de teste e os controles que são essenciais para testar primeiro seguem essas orientações.
Tipos de teste
Teste de eficiência (de desenho): com um escopo mais limitado, esse tipo de teste tem o objetivo de determinar se o controle está desenhado de forma efetiva a fim de mitigar o fator de risco. Mais utilizado pela primeira linha de defesa: o proprietário do controle ou os funcionários que trabalham nessa área no dia a dia avaliam a eficácia do controle.
Teste de eficácia: com escopo mais amplo, esse tipo de teste tem o objetivo de testar dentro de um determinado período de tempo se o controle está sendo executado dentro dos requisitos no qual foi planejado/ desenhado. Mais utilizado pela segunda linha de defesa: auditores internos.
Com isso, pode-se dizer que um controle é eficaz quando consegue reduzir ou gerenciar o risco que se destina a modificar, ou seja, quando:
é projetado corretamente para lidar com o risco pretendido;
aborda a maioria/todo o risco;
funciona como esperado (confiável);
opera no momento certo e com rapidez suficiente.
Monitorar e reavaliar os controles internos na frequência adequada ajuda a empresa a planejar e priorizar as ações de gerenciamento de riscos e tomar melhores decisões para os seus negócios.