Gestão de risco

Como conduzir processos organizacionais

Fabiana Copello
17 de dezembro de 2018

O propósito da gestão de riscos é a criação e proteção de valor para as organizações. Ela melhora o desempenho, encoraja a inovação e apoia o al­cance de objetivos. Nos últimos anos, intensificou-se o foco e a preocupação com o gerenciamento de riscos, tornando cada vez mais clara a necessidade de uma estratégia sólida, capaz de identificar, ava­liar e administrar riscos.

Leia também:

Gestão de Riscos: um novo modelo

6 grandes erros na gestão de riscos

 

Os executivos precisam controlar com suficiente segurança os processos de suas organizações e atingir os objetivos pretendidos, seja nos campos estratégicos, operacionais, de comunicação e confiabilidade das informações financeiras e de conformidade, relativo ao cumprimento de leis, normas e regulamentos estabelecidos, sejam eles internos ou externos à organização.

Em 2001, o COSO (Comitê das Organizações Patrocinadoras da Comissão Treadway) iniciou um projeto para o desenvolvi­mento de uma estrutura para utilização pelas organizações para avaliar e aprimorar o próprio gerenciamento de riscos. A obra Gerenciamento de Riscos Corporativos – Estrutura Integrada amplia seu alcance em controles internos, oferecendo um enfoque no tema de gerenciamento de riscos corporativos. Embora não te­nha por meta substituir a obra Controles Internos – Es­trutura Integrada, a estrutura de gerenciamento de riscos corpora­tivos incorpora a estrutura de controles internos em seu con­teúdo, de forma a atender as necessidades de controles e ado­tar um processo completo de gerenciamento de riscos.

A estrutura do COSO é utilizada pelas empresas que estão sujeitas à Lei Sarba­nes-Oxley, principal lei para o ambiente de controles internos, que trata de mecanismos de transparência contábil. De forma geral, adequar os processos aos requerimentos do COSO é um processo complexo e custoso para as organizações. As empresas de grande porte sujeitas à Lei Sarba­nes-Oxley acabam implantando mecanismos de gestão de riscos apenas para atender aos requerimentos da lei e as de pequeno e médio porte e outras organizações, que não estão sujeitas à lei, acabam não implantando nenhum mecanismo de gestão de riscos.

Com uma ferramenta simples e eficaz que oriente a análise de riscos e a definição de controles, a gestão de riscos pode se tornar mais viável para todos os tipos de organizações e alcançar mais processos e riscos em organizações sujeitas à Lei Sarbanes-Oxley. Além disso, mesmo as organizações que possuem estrutura e orçamento para ter uma área de controle interno ou para contratar empresas de consultoria, não podem ficar dependentes desses para realizar a sua gestão de riscos, uma vez que as políticas de redução de custos e cortes de orçamento são cada vez mais comuns.

Utilizando uma abordagem mais objetiva e descomplicada, é possível descentralizar e delegar a gestão de riscos para os gestores de processos e executivos, que serão responsáveis pela identificação dos riscos evitáveis, definição e implementação dos controles das suas áreas, além de garantir a sua efetividade operacional.

As organizações lidam diariamente com riscos de diferentes tipos e origens. Cada tipo requer uma abordagem distinta para a gestão do risco. O foco deste artigo são os riscos evitáveis operacionais, que se originam dentro da organização, resultantes de falhas, deficiências ou inadequação de processos internos, pessoas e sistemas, e são monitorados e controlados por meio de atividades de controle. De forma resumida, devemos nos ater aos seguin­tes passos para avaliar os riscos: identificar e categorizar; definir critérios de priorização; priorizar e responder.

Devemos trabalhar para evitar a materialização de riscos através da implementação de atividades de controle. As atividades de controle são desempenhadas em todos os níveis da organização, em vários estágios dentro dos processos, no ambiente tecnológico e podem abranger uma série de atividades como aprovações, veri­ficações, reconciliações e revisões de desempenho. As atividades de controle podem ser classificadas quanto ao seu tipo, formas de execução, manual ou automática, e de atuação, preventiva ou detectiva.

A informação referente à forma de execução e de atuação é importante para relatórios e indicadores de gestão, de forma que os executivos tenham visibilidade da quantidade de controles manuais e detectivos, que geram maior risco para a organização. É importante lembrar que no caso da existência de muitos controles manuais, é recomendável um monitoramento periódico independente pela área de auditoria interna ou até mesmo por gestores de outras áreas, o que seria ainda mais produtivo para a organização disseminar conhecimento sem precisar realizar um job rotation.

 

Cada tipo de controle possui um objetivo específico:

 

  • A revisão visa garantir a exatidão das informações. As informações estão corretas?
  • A aprovação garante a validade das informações. As transa­ções foram autorizadas? As transações são válidas, ou seja, não são fictícias e dizem respeito à organização?
  • A conciliação garante a totalidade das informações. As in­formações estão completas? Todas as transações foram registra­das e inseridas para processamento apenas uma vez?
  • O monitoramento é uma revisão da efetividade de contro­les ou de indicadores de desempenho. Pode ser contínuo ou periódico, através de revisões da alta administração, da gestão da área ou das áreas responsáveis por garantir a conformidade com as regras internas e a legislação, como Auditoria Interna, Controles Internos e Compliance. Pode ser manual ou automático através de ferramentas sistêmicas.
  • O acesso restrito automático está relacionado a sistemas e transações sistêmicas. Ele garante que as atividades e contro­les sejam realizados somente por pessoas autorizadas, protege contra alterações não autorizadas de dados, assegura a confi­dencialidade dos dados e reduz o risco de erro e fraude. Algum outro funcionário ou área possui acesso para realizar essa tran­sação crítica no sistema ou possui acesso a dados críticos que deveriam ser restritos? O acesso restrito manual está relacionado com a autoriza­ção para acessar um determinado ambiente físico através de chave, crachá ou senha.
  • A parametrização garante o bloqueio sistêmico conforme as condições parametrizadas, como por exemplo o bloqueio de cadastro de dois funcionários com o mesmo CPF.
  • A segregação de função garante a divisão de atividades en­tre diferentes pessoas, para reduzir a probabilidade de erros e ações inapropriadas, ou seja, quem executa determinados con­troles críticos ou funções não pode ser responsável por funções que sejam conflitantes, sejam elas executadas através de transações sistêmicas ou não. Essas funções são compatíveis?

E como objetivos mais amplos, os controles visam:

  1. A salvaguarda dos interesses da organização, sejam eles estratégicos ou de efetividade e eficiência das operações;
  2. A precisão e confiabilidade das informações financeiras, operacionais e contábeis;
  3. O atendimento à legislação vigente;
  4. A aderência às políticas e aos procedimentos internos, que trataremos como regras internas neste artigo.

 

Cada processo organizacional possui contro­les relacionados a objetivos e a riscos. Podem existir diferentes controles relacionados ao mesmo risco e ao objetivo, sendo es­ses controles complementares. Os tipos de objetivos, riscos e controles, assim como a sua complexidade, es­tão diretamente relacionados ao tipo de organização, segmen­to de atuação, tamanho, operação, nível de informatização, lo­calidades e leis aplicáveis.

 

Para possibilitar que qualquer empresa, não só as submetidas às regras de compliance da Lei Sarbanes-Oxley, façam uma eficiente gestão de risco evitáveis, desenvolvi um método, que simplifica os conceitos do COSO.

O 2Q2S (“2 Questions” e “2 Steps”) consiste em um método de raciocínio com­posto por 2 Perguntas e 2 Passos e é uma ferramenta simples e eficaz para análise de riscos evitáveis e controles.

 

  • Question 1: O que quero garantir?
    • O cumprimento da legislação aplicável, de forma a evitar penalidades e multas?
    • A não ocorrência de riscos ou eventos indesejados que possam gerar perdas financeiras, registros incorretos, retraba­lho e/ou danos à reputação da organização?
    • O cumprimento das regras internas existentes ou re­queridas?

 

  • Question 2: De que forma posso garantir os itens da Per­gunta 1?

 

  • Step 1: Definir os riscos ou eventos indesejados, identifi­car as regras internas existentes ou requeridas para o processo e identificar a legislação específica, quando aplicável.

 

  • Step 2: Definir e implementar atividades de controle para mitigar os riscos, garantir o cumprimento das regras internas existentes ou requeridas para o processo e da legislação especí­fica, quando aplicável.

 

Nem todos os processos terão uma legislação específica aplicável em determinado país ou região, no entanto, é importante considerar sempre este item para todos os processos, pois po­dem existir em outras localidades onde a organização possui operação. Uma análise mais detalhada destes processos requer um levantamento completo de riscos e con­troles, considerando as particularidades e ambientes de cada organização.

 

Vamos examinar alguns exemplos:

 

Q1: O que quero garan­tir com a gestão do processo de fornecedores?

Q2: Como posso garantir?

 

 

ATIVIDADE STEP 1 STEP 2
RISCO REGRA

INTERNA

CONTROLE

INTERNO

TIPO DE CONTROLE
Due diligence de fornecedores Contratação de fornecedores inidôneos, podendo gerar dano financeiro e reputacional. Realizar due diligence para avaliação prévia de fornecedores de alto risco – especificar: (i) os tipos de fornecedores com maior risco de envolvimento em atos de suborno e corrupção e relacionamento com o governo; (ii) o processo de due diligence a ser realizado; (iii) alçadas de aprovação. Revisar o processo de due diligence, de forma a garantir que o processo e a aprovação foram realizados conforme regra interna. . Revisão

. Manual

. Preventivo ou detectivo

 

Caso a revisão seja realizada antes da contratação do fornecedor, o controle terá atuação preventiva, caso contrário, detectiva.

Cadastro de fornecedor Cadastro, modificação, ativação e/ou inativação indevida de fornecedores. Especificar os funcionários responsáveis pelo cadastro e modificação de dados de fornecedores no sistema ERP[1]. Restringir o acesso ao cadastro, modificação, ativação e inativação de fornecedores no sistema. . Acesso restrito

. Automático

. Preventivo

 

 

 

Q1: O que quero garan­tir com a gestão do processo de compra de materiais e contra­tação de serviços?

Q2: Como posso garantir?

 

ATIVIDADE STEP 1 STEP 2
RISCO REGRA

INTERNA

CONTROLE

INTERNO

TIPO DE CONTROLE
Solicitação de compras Compra de fornecedores não homologados/autorizados pela organização. Parametrizar o sistema de forma que não seja possível criar solicitações de compras para fornecedores não cadastrados. Bloquear o registro da solicitação após tentativa de criar solicitação para fornecedor não cadastrado. . Parametrização

. Automático

. Preventivo

Recebimento de materiais e serviços Recebimento de materiais e serviços em desacordo com o pedido aprovado. Conferir se o material foi recebido ou se o serviço foi prestado, conforme pedido aprovado no momento do recebimento. Aprovar a nota fiscal de forma a garantir que o material foi recebido e/ou o serviço foi prestado, conforme pedido aprovado. . Aprovação

. Manual

. Preventivo

 

Q1: O que quero garantir com a gestão dos processos de contas a pagar?

Q2: Como posso garantir?

 

ATIVIDADE STEP 1 STEP 2
RISCO REGRA

INTERNA

CONTROLE

INTERNO

TIPO DE CONTROLE
Solicitação de pagamentos Pagamentos em duplicidade. Parametrizar o sistema de forma que não seja possível cadastrar duas notas com os mesmos dados, como por ex. número, fornecedor, número de série e valor. Bloquear o registro do pagamento após tentativa de cadastro de duas notas fiscais com os mesmos dados.

Caso não seja possível o controle automático, deve ser utilizado o monitoramento detectivo periódico.

. Parametrização

. Automático

. Preventivo

 

 

 

Aprovação de pagamentos Pagamentos não autorizados. Estabelecer que os pagamentos devem ser aprovados por alçadas específicas de acordo com o valor – especificar alçadas para aprovação de pagamentos conforme valor. Aprovar os pagamentos, conforme regra estabelecida. . Aprovação

. Manual

. Preventivo

 

Q1: O que quero garantir com a gestão do processo de faturamento?

Q2: Como posso garantir?

 

ATIVIDADE STEP 1 STEP 2
RISCO REGRA

INTERNA

CONTROLE

INTERNO

TIPO DE CONTROLE
Faturamento Faturamento realizado de maneira incorreta e incompleta. As faturas devem ser emitidas conforme os documentos de venda de bens ou serviços gerados no processo comercial (pedido de venda ou contrato) e revisadas antes do envio para aprovação. Revisar as faturas de forma a garantir que os dados que constam no documento estão de acordo com a documentação comercial – valores, dados dos clientes, quantidade etc. . Revisão

. Manual

. Preventivo ou detectivo

Caso a revisão seja realizada antes da emissão da fatura, o controle terá atuação preventiva, caso contrário, detectiva.

Recebimento As receitas não são registradas de maneira completa e pelo valor correto. Os valores recebidos dos clientes devem ser conciliados com as faturas emitidas. Conciliar os valores recebidos com as faturas emitidas, de forma a verificar o recebimento total, parcial ou com juros. . Conciliação

. Manual

. Detectivo

Em um mundo cada vez mais competitivo e com ambientes econômicos mais desafiadores e exigentes, as organizações, principalmente as de pequeno e médio porte, não precisam apenas de uma boa estratégia de negócio, mas também de uma gestão de riscos eficiente. A gestão de riscos, além de reduzir perdas financeiras, proteger ativos e a reputação e otimizar processos, não ajudará a organização apenas a se destacar, mas em algumas situações, a sobreviver.


Fabiana Copello é gerente de Compliance na Brookfield Brasil.


[1] Sistema integrado de gestão empresarial (em inglês, Enterprise Resource Planning – ERP) é um sistema de informação que integra todos os dados e processos de uma organização em um único sistema.

Compartilhe nas redes sociais!