Por Eduardo Person Pardini, CICP (artigo escrito com ajuda da inteligência humana)
Ao longo da minha trajetória profissional, tenho presenciado um cenário se repetir com alarmante frequência: equipes de auditoria e especialistas em controles internos gastando horas preciosas testando exaustivamente processos que, desde a sua concepção, não mitigam a causa do risco de forma efetiva.
Sempre costumo provocar a seguinte reflexão:
“De que adianta um controle ser executado 100% das vezes, com perfeição, se ele foi mal desenhado para o risco que deveria mitigar?”
Uma das etapas mais vitais — e ironicamente mais negligenciadas — na avaliação de um Sistema de Controles Internos é o Teste de Desenho (eficiência). É ele que atesta a robustez teórica e estrutural do controle. Sem um desenho eficiente, qualquer teste de efetividade operacional é puro desperdício de tempo e recursos.
Mas, na prática, como testamos a eficiência do desenho de um controle? A resposta está em dissecar o "DNA" desse controle, analisando rigorosamente os seus atributos fundamentais por meio de um bom Walkthrough (teste de mesa). Vejamos os 5 passos essenciais:
- 1. Objetivo do Controle (O "Porquê"): O primeiro passo é questionar se o objetivo declarado do controle está diretamente alinhado com a causa-raiz do risco. Se o fator de risco é o "pagamento em duplicidade a fornecedores", o objetivo não pode ser apenas "assegurar o pagamento da nota fiscal", mas sim "garantir que a nota fiscal não tenha sido processada anteriormente". Se o objetivo nasce desalinhado, o controle já nasce ineficiente.
- 2. Ação e Execução (O "Como" e o "Quem"): A mecânica da atividade faz sentido lógico? Precisamos analisar se a ação do controle é a correta e se é robusta o suficiente para mitigar o fator de risco, mantendo-o dentro dos níveis aceitáveis de risco da organização. Além disso, sua forma de execução deve ser capaz de identificar a não conformidade ou fator de risco. Se a ação descrita não for clara ou depender puramente do "bom senso" do executor, sem parâmetros efetivos de validação, o desenho é falho.
- 3. Evidência (O Rastro): Em auditoria, temos uma regra de ouro: o que não está documentado, não foi feito. Um controle pode ser maravilhosamente pensado, mas se sua execução não gera um rastro verificável (um log de sistema, uma assinatura digital, um relatório validado), ele não poderá ser testado operacionalmente depois. O teste de desenho deve confirmar se a ação de controle gera uma evidência clara e irrefutável de que a validação de fato ocorreu.
- 4. Periodicidade (O "Quando"): O timing do controle conversa com a exposição ao fator de risco? Esse é um erro clássico de desenho. Se a empresa está exposta a um risco financeiro diário por conta de flutuações de mercado, mas o controle associado a ele é desenhado para ser executado mensalmente, temos uma lacuna grave. O risco já se materializou e causou estragos semanas antes do controle "acordar" para detectá-lo.
- 5. Suficiência e Risco Residual: Por último, é preciso avaliar a suficiência teórica do controle para manter os riscos dentro dos níveis aceitáveis (apetite a risco) da organização. Isso é feito por meio do cálculo e análise do risco residual — ou seja, a parcela do risco que permanece mesmo após a mitigação proposta pelo controle. Este item é crucial para qualquer teste de controle, inclusive para o teste de eficácia, pois, se não verificarmos se o controle pode ser suficiente, ou se está sendo suficiente, não faz sentido nenhum testar o controle.
A maturidade de um ambiente de controles internos dá um salto gigantesco quando a organização entende que o desenho de um controle importa tanto quanto a disciplina de sua execução. Avaliar a eficiência com base nesses atributos é o filtro que separa a burocracia inútil da verdadeira governança.
Importante salientar: quando a organização conta com um time de especialistas em controles internos, garantir esse teste de eficiência (desenho) deve ser uma de suas responsabilidades centrais.
Bom, espero que daqui para frente, antes de pedir a próxima amostra de dezenas de evidências para testar a eficácia operacional do controle, pare e faça a pergunta fundamental: O desenho deste controle se sustenta?
Seja Feliz!
(02.04.2026)