|
Eduardo Person Pardini |
O parágrafo segundo do artigo 108 A da circular SUSEP 521, a qual determina a implementação de um processo de gerenciamento dos riscos, especifica que a empresa supervisionada deve ter seu sistema de controles internos alinhado ao processo de gerenciamento de riscos.
Art. 108 A – § 2º A Estrutura de Gestão de Riscos da supervisionada deverá ser alinhada com seu Sistema de Controles Internos, independente da maneira como ambos estejam implementados na estrutura organizacional.
Na realidade este parágrafo não precisaria existir, uma vez que, conceitualmente falando, não é possível ter uma gestão efetiva dos riscos corporativos se a empresa não contar com um sistema de controle interno eficaz, pois o controle interno é uma das modalidades da resposta ao risco.
De forma simples, precisamos entender que para a existência de governança corporativa se faz necessário contar com um bom e eficiente processo estruturado de gerenciamento de riscos, o qual por sua vez, para ser efetivo, deve ser suportado por um estruturado e abrangente sistema de controles internos.
O Committee of Sponsoring Organization of the Treadway Commission (COSO), publicou em 2013, a nova estrutura de boas práticas para a gestão de controles internos, e segundo eles os controles internos são definidos como:
“Controle interno é um processo conduzido pela estrutura de governança, administração e outros profissionais da entidade, e desenvolvido para proporcionar segurança razoável com respeito à realização dos objetivos a operações, divulgação e conformidade”.
Desta forma, posso dizer que o controle interno, independentemente da forma como ele é operacionalizado, somente tem razão de existir se houver um ou mais riscos operacionais relacionados a ele. O claro entendimento deste conceito, pela corporação, permite que o capital de giro aplicado em sua estrutura organizacional seja alocado dentro do conceito positivo de custo e benefício.
Para que possa esclarecer a relação risco versus controle interno, vejamos, de forma resumida, as fases do processo de gerenciamento de riscos corporativos.
Antes preciso lembrar que gerenciar riscos, independentemente do setor onde a empresa atua, é uma responsabilidade do gestor, em seus diversos níveis hierárquicos.
De uma forma simples o processo de gerenciamento de riscos é composto das seguintes etapas:
1. Identificação dos riscos – Inerentes, Tecnologia da Informação, Fraude e Conformidade,
2. Avaliação dos riscos – Mensuração da magnitude do risco através da leitura da matriz probabilidade e impacto,
3. Tratamento dos riscos identificados e mensurados – É dar uma resposta ao risco com base em sua magnitude, a qual pode ser: Evitar, Compartilhar, Aceitar e Mitigar,
4. Criação de plano de contingência – Para redução do impacto do evento,
5. Monitoramento dos riscos e do processo de gestão de riscos – Realizando melhorias ao processo sempre que for necessário.
No quesito tratamento dos riscos, quando definimos que iremos mitigar os riscos operacionais identificados, estamos dizendo que iremos definir um controle interno para minimizar a probabilidade de ocorrência, ou então minimizar o seu impacto.
Fica evidente, desta forma, que o controle interno somente deverá existir se ele estiver alinhado com um ou mais riscos. Se não tiver relacionado a um risco, o controle poderá ser eliminado, trazendo economia para o processo ou para a transação.
Realizar um diagnóstico do sistema de controle interno baseado em riscos permite que a empresa otimize e racionalize os seus processos e transações, além de reduzir o custo com controles internos, trazendo efetividade e economicidade para a gestão operacional.
É preciso compreender que, segundo as melhores práticas:
- Controle interno é um sistema, não um ato isolado,
- Todos, em uma organização, são responsáveis pela efetividade do controle interno, contudo, a alta gestão é e sempre será o principal responsável,
- O controle interno não é absoluto, ele oferece apenas uma razoável segurança de que os objetivos previstos irão ser alcançados,
- Ele precisa ter evidência, supervisão e disciplina.
As empresas, pautadas equivocadamente que controle interno e gerenciamento de riscos são atividades burocráticas e que nada acrescentam para os seus negócios, tem deixado estes temas de lado, permitindo com isto que a ineficiência e ineficácia faça parte de sua gestão.
Esta miopia gerencial, causada na maioria das vezes pelo desconhecimento da gestão das boas práticas, e também pela falta de maturidade para entendê-las, tanto isto é verdade, que os órgãos reguladores setoriais, visando o fortalecimento do setor, se sentem motivados a exigir de suas supervisionadas que façam o trabalho de casa referente ao gerenciamento de riscos e controles internos, como é o caso da circular SUSEP nº 521.
Tanto para controles internos ou para o gerenciamento dos riscos é importante definir uma estrutura de melhores práticas como parâmetros para medição de aderência dos processos corporativos existentes.
Minha sugestão é utilizar a estrutura COSO, seja para controles internos ou para gestão de riscos, pois são maduras e aceitas mundialmente.
É verdade que controle interno é um tema que está presente nas empresas, mesmo naquelas que nunca se tratou dos riscos. O que estas empresas não sabem é se o seu sistema de controle interno é efetivo para mitigar os riscos, e nem se todos os controles existentes fazem sentido ou não. É muito comum as empresas gastarem mais dinheiro do que precisam com seu sistema de controle interno por não alinha-lo ao processo de gestão riscos.
Para o sucesso de ambos os processos é necessário que exista maturidade da organização para gerencia-los, além de forte comprometimento de sua alta administração com a ética e com as boas práticas de gestão, requerendo uma boa dose de comprometimento, disciplina e foco dos seus gestores devido ao forte impacto na cultura organizacional.
De qualquer maneira, para as empresas supervisionadas, o gerenciamento de riscos não deveria ser uma novidade, uma vez que já existia a necessidade de estar em conformidade com a Circular SUSEP nº 249/04, alterada pela Circular SUSEP nº 363/08 que trata da obrigação de contar um sistema de controles interno, a qual define em seu artigo 2º que é responsabilidade da gestão definir, implantar, monitorar e aperfeiçoar o sistema de controle interno nos diversos níveis de operação.
E como já sabemos controles internos não deve existir sem que esteja relacionado com um ou mais riscos.
Fonte: Artigo publicado originalmente na revista Opinião.Seg nº 12 - Agosto de 2016.