Por Eduardo Person Pardini, CICP (artigo escrito com ajuda da inteligência humana)
Certa vez, em um projeto de consultoria, ouvi de um gestor uma frase que parecia reconfortante: "Nós temos um controle de saída de mercadorias, ele é feito todos os dias". No entanto, ao mergulhar no processo, descobri a dura realidade por trás daquelas palavras. O tal controle era apenas um funcionário anotando o que saía em um caderno, sem qualquer conferência, assinatura ou revisão. Na cabeça do gestor, o risco estava coberto; na prática, ele tinha um procedimento vazio, mas não tinha efetivamente um controle.
Muitos confundem controle com burocracia, e é comum ouvir que a burocracia mata o negócio. Mas isso não é verdade. A burocracia, em sua essência, não é ruim. Se olharmos para a teoria de Max Weber, entendemos que ela foi concebida como uma forma de organização baseada na racionalidade, garantindo impessoalidade, hierarquia clara e meritocracia. Ela serve para que o processo dependa da regra, e não do humor de quem o executa.
Eu sempre digo que burocracia é, simplesmente, formalizar aquilo que está dando certo.
O problema real não é a burocracia, mas o exagero burocrático, que ocorre quando o rito se torna mais importante que o resultado. Um sistema de controle interno baseado em boas práticas, desenhado no tamanho certo para manter os fatores de risco dentro de níveis aceitáveis, é essencial para a eficiência operacional. Ele cria ordem e evita aquele "engessamento" que acaba cegando a operação.
Sabemos que o controle interno é uma ação que visa mitigar a causa de um risco antes que ele se materialize. Ele se manifesta no fazer: na revisão, na conferência, no recálculo e na aprovação criteriosa. Se não há o confronto entre o que deveria ser e o que realmente é, o risco continua caminhando livremente pelos corredores da empresa.
Para que uma ação de controle não seja meramente figurativa, ela precisa de quatro atributos inegociáveis:
- Primeiro, o objetivo, que é a própria razão de sua existência e deve atacar o fator de risco; por exemplo, se o risco é o uso de dados equivocados de horas trabalhadas, o objetivo será assegurar que as horas na folha de pagamento estejam consistentes com o sistema de ponto.
- Segundo a ação prática, como uma conferência desses dados. Importante formalizar como está ação é executada, de forma que uma pessoa prudente possa reexecutá-la.
- Terceiro, a evidência, pois controle sem rastro é invisível; pode ser um visto, um log no sistema ou um e-mail. Para o auditor ou o especialista em controles internos, a falta de evidência subentende que o controle não existe.
- Por fim, a quarta, a periodicidade, que deve acompanhar a velocidade do risco, seja ela diária, mensal ou por evento.
Ao falarmos de modelagem do controle, o ponto de partida é conhecer o fator de risco e sua magnitude que será mitigado, de forma que possamos para definir atributos necessário que mantenham está operação dentro do apetite a risco da organização.
Estes mesmos atributos, é base que nos permite avaliar a eficiência do desenho, concluindo se o controle tem capacidade teórica de mitigação. Já quando passamos para a avaliação da eficácia — o teste de controle propriamente dito —, o foco muda para dois pontos cruciais: a disciplina, observando se a evidência existe dentro da periodicidade definida, e a qualidade, reexecutando a ação para garantir que ela não foi apenas formal.
É por isso que esses atributos devem estar formalizados, ao menos, em uma matriz de controle interno.
Também é fundamental entender que o controle não é absoluto nem infalível, pois ele é desenhado e executado por pessoas. E onde há humanos, há vulnerabilidade, seja por erro de julgamento, ou, em casos graves, omissão, fraude e conluio. Por isso, a eficácia do controle não reside apenas no que está no papel, mas na disciplina e na postura ética de sua execução.
Recentemente, o mercado assistiu a um depoimento que serve de alerta. Um ex-diretor de um banco admitiu que assinava documentos sem ler. Mais do que uma falha pontual, sua confissão revelou um abismo: apesar de chefiar a área, ele não exercia funções de monitoramento ou prevenção. Temos aqui o perfeito "controle de fachada", onde a evidência e a periodicidade existem, mas a execução da ação é nula.
Infelizmente, isso não é um caso isolado e está presente em muitas corporações que ainda enxergam o controle como burocracia.
Para finalizar, deixo uma frase para sua reflexão:
"A eficácia de um controle depende de ação, evidência e periodicidade, mas ele só deixa de ser um castelo de cartas quando a integridade de quem o executa é maior do que a conveniência de apenas assinar."
Seja Feliz!
(05.03.2026)