CONTROLES INTERNOS: CONTRIBUIÇÃO AO ESTUDO DE UMA METODOLOGIA

147 

Full text

(1)

JULIANE CANDIDO

LEVANTAMENTO DE RISCO OPERACIONAL E AVALIAÇÃO DOS

CONTROLES INTERNOS: CONTRIBUIÇÃO AO ESTUDO DE UMA

METODOLOGIA

FLORIANÓPOLIS (SC)

(2)

UNIVERSIDADE DO ESTADO DE SANTA CATARINA

CENTRO DE CIÊNCIAS DA ADMINISTRAÇÃO – CCA/ESAG

MESTRADO EM ADMINISTRAÇÃO

JULIANE CANDIDO

LEVANTAMENTO DE RISCO OPERACIONAL E AVALIAÇÃO DOS

CONTROLES INTERNOS: CONTRIBUIÇÃO AO ESTUDO DE UMA

METODOLOGIA

Dissertação apresentada como requisito parcial

à obtenção do grau de Mestre ao Curso em

Administração, Centro de Ciências da

Administração – ESAG – Universidade

Estadual de Santa Catarina UDESC. Área de

Concentração:

Gestão

Estratégica

de

Organizações, Linha de Pesquisa: Gestão de

Inovações e Tecnologias Organizacionais.

Orientador: Julibio David Ardigo, Dr

FLORIANÓPOLIS (SC)

(3)

JULIANE CANDIDO

LEVANTAMENTO DE RISCO OPERACIONAL E AVALIAÇÃO DOS

CONTROLES INTERNOS: CONTRIBUIÇÃO AO ESTUDO DE UMA

METODOLOGIA

Esta dissertação foi julgada adequada para a obtenção do Título de Mestre em Administração,

na área de concentração Gestão Estratégica de Organizações, linha de pesquisa: Gestão de

Inovações e Tecnologias Organizacionais, e aprovada em sua forma final pelo Curso de

Mestrado em Administração da Universidade do Estado de Santa Catarina, em 26 de julho de

2007.

Apresentada à Comissão Examinadora, integrada pelos professores:

Julibio David Ardigo, Dr.

Orientador

Luis Gonzaga Mattos Monteiro, Dr.

Membro

Júlio da Silva Dias, Dr.

Membro

FLORIANÓPOLIS (SC)

(4)

As pessoas criam organizações e podem destruí-las. A mercadoria mais valiosa nos negócios

não é a tecnologia nem o capital, são as pessoas.

Se as pessoas não acreditam no mensageiro, elas não acreditarão na mensagem.

O Contador tem preparo e conhecimento para se um bom mensageiro.

Para isso, devemos mudar da cabeça para o coração e buscar a afeição,

a intuição e o desejo das pessoas

(5)

AGRADECIMENTOS

A realização de um curso superior no Brasil por si só já é uma vitória singular.

Chegar a um mestrado é uma vitória mais difícil ainda de ser alcançada. Para conquistá-la

precisamos de muito apoio das pessoas que nos cercam e agora é momento de agradecer a

estes seres tão especiais que Deus coloca em nosso caminho:

- A família, base e fortaleza para suportar todo este tempo em que temos que dedicar à

leitura e a confecção da dissertação, abrindo mão da atenção que devíamos ter para com eles.

- Aos professores que não se intimidam ao nos passar o que conhecem e em especial

ao meu orientador professor Julibio, que teve muita paciência em me orientar. E aos demais

professores que compuseram a banca, que dedicaram seu tempo para ler e avaliar este

trabalho, professores Luis Gonzaga Mattos Monteiro, Dr. e Júlio da Silva Dias, Dr.

(6)

RESUMO

CÂNDIDO, Juliane.

LEVANTAMENTO DE RISCO OPERACIONAL E AVALIAÇÃO DOS

CONTROLES INTERNOS: CONTRIBUIÇÃO AO ESTUDO DE UMA METODOLOGIA.

2007.

147f.

Dissertação. Programa de Mestrado Acadêmico em Administração, Escola Superior de

Administração e Gerência, Universidade do Estado de Santa Catarina, UDESC, Santa Catarina, 2007.

Tais como os seres vivos, todas as empresas são expostas a riscos durante sua existência.

Entre estes figuram os riscos internos, denominados de má gestão ou fraude. Com o objetivo

de minorar estes riscos operacionais são estabelecidos controles internos que são utilizados

tanto para a organização dos procedimentos como para a proteção de seus ativos. Os controles

internos têm sido aprimorados e regulamentados não apenas devido a sua funcionalidade, mas

em decorrência de escândalos de instituições outrora consideradas acima de qualquer suspeita.

A regulamentação mais conhecida é a Lei Sarbanes Oxley (SOX), do congresso

norte-americano, requisito para as empresas que operam na bolsa de Nova York e suas subsidiárias,

que tem sido adotada como padrão internacional. Esta lei, entre outras, regulamenta a atuação

dos auditores externos, cria regras de conduta e estabelece penalidades para os dirigentes das

empresas e demanda a avaliação dos processos e controles internos. Dada esta exigência legal,

metodologias como a COSO (

Committee of Sponsoring Organizations of the Treadway

Commission

), que se constitui em um rol de recomendações, passaram a ser adotadas com

mais freqüência com o objetivo de atender a legislação e minimizar os riscos operacionais. A

COSO aponta a necessidade de se mapear os processos organizacionais, identificando todas as

tarefas, cada qual com os seus responsáveis, e avaliar os controles internos para saber se os

mesmos estão adequados à empresa. Entretanto, ela não estabelece um modelo funcional de

aplicação. Neste trabalho, se propõe um modelo para a implementação da COSO em uma

organização. O modelo proposto foi aplicado parcialmente em cinco empresas e, depois de

completo, em uma sexta empresa brasileira, todas usuárias do ERP (

Enterprise Resources

Planning

) EMS, da DATASUL. Como resultado, a empresa, além de possuir seus principais

processos mapeados, aperfeiçoou sua mão-de-obra e minimizou vários riscos operacionais.

(7)

ABSTRACT

CÂNDIDO, Juliane.

SURVEY OF OPERATIONAL RISK AND EVALUATION OF THE

INTERNAL CONTROLS: CONTRIBUTION TO THE STUDY OF METHODOLOGY

. 2007.

147f. Essay. Master Program for Business Administration University of Administration and

Management, Universidade do Estado de Santa Catarina, UDESC, Santa Catarina, 2007.

Such as the beings livings creature, all the companies are displayed the risks during

its existence. Between these they appear the internal, called risks of bad

management or fraud. With the objective of diminish these operational risks internal

controls are established that are used in such a way for the organization of the

procedures as for the protection of its asset. The internal controls have been

improved and regulated not only had its functionality, but in result of scandals of

institutions long ago considered above of any suspicion. The known regulation more

is the Law Sarbanes Oxley (SOX), of the North American, requisite congress for the

companies who operate in the subsidiary stock market of New York and its, that she

has been adopted as international standard. This law, among others, regulates the

performance of the external auditors, it creates behavior rules and it establishes

penalties for the controllers of the companies and demands the internal evaluation of

the processes and controls. Given to this legal requirement, methodologies as COSO

(Committee of Sponsoring Organizations of the Tread way Commission), that

consists in a roll of recommendations, had passed to be adopted with more

frequency with the objective to take care of the legislation and to minimize the

operational risks. COSO points the necessity of if limit the organizational processes,

identifying to all the tasks, each one with its responsible ones, and evaluating the

internal controls to know if the same ones are adjusted the company. However, it

does not establish a functional model of application. In this work, if she considers a

model for the implementation of COSO in an organization. The considered model

was applied partially in five companies and, after complete in one sixth Brazilian

company, all users of ERP (Enterprise Resources Planning) EMS, of the DATASUL.

As result, the company, beyond possessing its main limits processes, it optimized its

man power and it minimized some operational risks.

(8)

LISTA DE ILUSTRAÇÕES

Quadro 1 - Comparação controle gerencial x controle de tarefas ... 18

Quadro 2 - Artigos de maior relevância da SOX... 38

Figura 1 – Ferramentas ao longo dos anos ... 43

Figura 2 - Os cincos componentes essenciais da estrutura de um controle interno de

(9)

LISTA DE TABELAS

(10)

LISTA DE ABREVIATURAS

AAA

– American Accouting Association (Associação Americana de Contadores)

ADRs

- American Depositary Receipts

AICPA

– American Institute of Certified Public Accounts (Instituto Americano de

Contadores Públicos)

ACC

– AUSTRALIAN CRITERIA OF CONTROL

CEO

- Chief Executive Officer (Principal Executivo)

CFO

- Chief Financial Officer (Principal Executivo de Finanças)

CICA

- The Canadian Institute of Chartered Accountants

COCO

– Criteria of Control

CSA

– Control Self Assessment

ERP

- (Enterprise Resources Planning)

FEI

– Financial Executives Internacional (Executivos Financeiros Internacional)

IBRACON

- Instituto de Auditores Internos do Brasil-

ISO

- International Standards Organization

IIA

– The Institute of Internal Auditors (Instituto dos Auditores Internos)

IMA

– Institute of Management Accountants (Instituto dos Contadores Gerenciais)

ISACA

- Information Systems Audit and Control Foundation,

NYSE

- New York Stock Exchange

PCAOB

- Public Company Accounting Oversight Board

SEC

- U.S. Securities and Exchange Commission

SOX

- Sarbanes-Oxley

(11)

SUMÁRIO

1 INTRODUÇÃO

... 12

1.1OBJETIVOS... 14

1.1.1 Objetivo geral ... 14

1.1.2 Objetivos específicos... 14

1.2 JUSTIFICATIVA ... 14

1.3 ORGANIZAÇÃO DO TRABALHO ... 16

2 FUNDAMENTAÇÃO TEÓRICA

... 17

2.1 CONTROLES... 17

2.1.1 Controles de tarefas e controles gerenciais... 17

2.1.2 Controles manuais e controles automatizados... 18

2.2 CONTROLE INTERNO ... 19

2.2.1 Controles Internos Contábeis e Controles Internos Administrativos ... 20

2.2.2 Importância do Controle Interno ... 21

2.3 FRAUDES ... 22

2.3.1 Grandes escândalos de fraudes ... 25

2.3.1.1 Enron

... 25

2.3.1.2 Banco Barings

... 25

2.3.1.3 Worldcom

... 26

2.3.1.4 Banco Nacional

... 26

2.3.1.5 Parmalat

... 26

2.4 RISCOS ... 27

2.4.1 Tipos de Riscos... 28

2.4.1.1 Risco de Mercado

... 28

2.4.1.2

Risco de Crédito

... 29

2.4.1.3 Risco Legal

... 29

2.4.1.4 Risco Liquidez

... 29

2.4.1.5 Risco de Imagem

... 29

2.4.1.6 Risco Operacional

... 30

2.4.2 Gestão de Riscos... 31

2.4.3 Análise de risco operacional... 33

2.4.3.1 Análise de Risco Quantitativo ... 34

2.5 ERP (Enterprise Resources Planning) ... 35

2.6 SARBANES OXLEY... 35

2.7 GOVERNANÇA CORPORATIVA... 39

2.7.1 Objetivos e princípios básicos da Governança Corporativa... 39

2.8 METODOLOGIAS DE AVALIAÇÃO E IMPLANTAÇÃO DE CONTROLES

INTERNOS (FRAMEWORKS) ... 43

2.8.1 COSO ... 43

2.8.1.1 Ambiente de Controle (

Control environment

)

... 45

(12)

2.8.1.3 Controle de Atividades (

Control activies

)

... 46

2.8.1.4 Informação e comunicação

... 47

2.8.1.5 Monitoração

... 48

2.8.1.6 Princípios COSO de Controle Interno

... 48

2.8.2 COBIT (

Control Objectives for Information and Related Technologies

)... 49

2.8.3 COCO (

Criteria of Control

)... 50

2.8.4 TURNBULL REPORT ... 51

2.8.5 KING REPORT... 51

2.8.6 ACC (

Australian Criteria of Control

)... 53

2.8.7 Control Self Assessment (CSA) ... 53

2.8.8 Metodologia Interna do Banco do Brasil... 54

2.8.9 Resolução 3380 Bacen ... 55

3 ASPECTOS METODOLÓGICOS

... 56

3.1 PROCEDIMENTOS METODOLÓGICOS ... 56

3.2 CARACTERIZAÇÃO E DELIMITAÇÃO DA PESQUISA... 57

3.2.1 Trajetória da pesquisa... 57

3.2.2 Levantamentos preliminares (

design

e perspectiva da pesquisa) ... 58

4 MODELO INTEGRADO PARA PREVENÇÃO DE RISCOS OPERACIONAIS E

ANALISE DOS CONTROLES INTERNOS, APLICANDO A METODOLOGIA COSO

59

4.1 CONTEXTO DATASUL... 59

4.2 METODOLOGIA BASE ... 60

4.2.1 Entendendo o Processo... 61

4.2.2 Avaliando os controles ... 64

4.2.3 Avaliar os riscos inerentes aos processos ... 67

4.2.4 Apresentação dos resultados... 71

4.3 ESTUDO DE CASO ... 73

4.3.1 Pesquisa aplicada... 73

4.3.2 Aplicação do Modelo ... 75

4.3.2.1 Aplicações iniciais

... 76

4.3.2.2 Aplicação Final

... 79

5 CONSIDERAÇÕES FINAIS

... 84

5.1 RECOMENDAÇÕES PARA NOVOS ESTUDOS ... 85

REFERÊNCIAS BIBLIOGRÁFICAS

... 86

APÊNDICES

... 90

(13)

1

INTRODUÇÃO

As organizações buscam minimizar seu potencial de perdas, que podem advir de riscos

originados de fatores internos ou externos. Enquanto os fatores externos, em geral, não são de

controle da empresa os internos são passíveis de identificação e controle.

O mapeamento dos processos identificando todas as tarefas e seus responsáveis é o

primeiro e primordial passo para avaliar os controles internos, saber se os mesmos estão

adequados para a empresa e assim poder avaliar os riscos operacionais, gerar um índice que

identifique como estão interagindo os fatores pessoas, ferramentas e processos.

O mapeamento de risco operacional ainda gera dúvidas e questionamentos quanto a

sua avaliação, mensuração e também quanto às análises dos controles internos desses

processos. Que tipo de ferramenta e metodologia usar? A subjetividade desta análise levou à

criação de metodologias e mereceu ainda mais atenção dos estudiosos após os escândalos de

fraudes de grandes empresas multinacionais.

Como garantir que as informações geradas estão de acordo com as leis e qual o risco

de estarem sendo geradas informações erradas? Identificar os pontos frágeis nos processos,

podendo assim aumentar ou melhorar os controles internos em determinadas fases do mesmo,

poderá garantir maior tranqüilidade aos responsáveis por esta tarefa.

A necessidade das empresas em saber o nível de risco dos seus processos operacionais,

a existência de empresas que não conhecem a fragilidade de seus processos e assim possuem

controles internos mal aplicados, e ainda a obrigatoriedade legal, com padrões cada vez mais

elevados, demandam metodologias e ferramentas que gerem essas informações.

Assim, em qualquer situação que a empresa necessite ou simplesmente opte por

levantar os seus possíveis riscos operacionais, precisará de uma ferramenta que a auxilie.

O assunto abordado trata parcialmente dos novos tratamentos a serem aplicados à

atuação dos órgãos de Controladoria e Governança Corporativa (

Corporate Governance

) das

organizações empresariais e a adequação às novas normas internacionais de transparência.

Essas normas exigem que as empresas possuam seus controles internos mapeados, mantendo

assim o conhecimento do nível de risco operacional de seus processos, entre outras

exigências.

(14)

está sendo aplicada internacionalmente, poderá ser demorada e dispendiosa.

Em 16/08/2006 foi formado oficialmente no Brasil o Comitê de Pronunciamentos

Contábeis, com a função de estudar, preparar e emitir pronunciamentos técnicos, orientações e

interpretações. O Comitê vai centralizar e uniformizar a produção de procedimentos

contábeis, a fim de estabelecer, em médio prazo, um único conjunto de normas para aplicação

no Brasil, adequado aos padrões internacionais.

Por meio dessas ações, vai revisar as normas brasileiras de contabilidade à luz das

regras internacionais e avaliar quais já estão de acordo com esses padrões e quais, dentre as

que se encontram em desenvolvimento, têm potencial de convergência.

O alto custo para a adaptação as Leis em questão está levando muitas empresas a

questionar a implantação da mesma, uma vez que a maioria não possui processos mapeados e

controles internos definidos de acordo com o artigo mais problemático da Lei Sarbanes

Oxley, o artigo 404.

As empresas brasileiras geram suas demonstrações contábeis, na maioria somente para

atender as exigências governamentais, sempre baseadas nas leis e normas impostas por eles.

Porém, muitas vezes sem conhecimento suficiente da avaliação dos controles internos e do

nível de risco operacional da empresa para gerá-las de forma fidedigna. Assim, mesmo que as

leis brasileiras sejam atendidas a maioria delas satisfará demandas exclusivas do governo e

não dos sócios e administradores da empresa, que é a preocupação atual do mercado.

Tratando-se das demonstrações contábeis, a legislação é comum a todas às empresas.

Porém, excluindo as estas de cunho obrigatório, as empresas não são adeptas voluntariamente

a outras normas mais abrangentes e adequadas a outros interessados que não o governo.

Muitas vezes os números gerados não são confiáveis ou não são claros.

Dado esta exigência legal, metodologias como a COSO (Committee of Sponsoring

Organizations of the Treadway Commission), que se constitui em um rol de recomendações,

passaram a ser adotadas com mais freqüência com o objetivo de atender a legislação e

minimizar os riscos operacionais.

(15)

1.1 OBJETIVOS

1.1.1

Geral

O objetivo geral do presente trabalho é propor um modelo para implementação da

metodologia COSO no levantamento de risco operacional e avaliação dos controles internos

aos clientes Datasul.

1.1.2

Específicos

Para alcançar o objetivo geral, é necessário atingir os seguintes objetivos específicos:

Identificar metodologias existentes para levantamento do risco

operacional;

Levantar a legislação vigente sobre o tema;

Demonstrar a importância dos Controles Internos na prevenção dos riscos

operacionais;

Propor sugestão de uma metodologia a para o levantamento do risco

operacional inerente a cada processo, para melhorar o entendimento

relativo da vulnerabilidade correspondente;

Testar a metodologia.

1.2

JUSTIFICATIVA

Este estudo será realizado levando em consideração a metodologia criada pela autora

para ser implantada na atividade de levantamento do risco operacional nos clientes Datasul,

através da qual, mapeiam-se os processos, avaliam seus controles internos e mensuram-se os

riscos operacionais.

Para a Datasul ter um estudo aprofundado da metodologia por ela aplicada em seus

trabalhos

é garantia de funcionalidade.

(16)

soluções para facilitar os controles da empresa.

Nesse processo de adaptação às leis e até mesmo aos processos de governança

demandam uma abrangente avaliação do ambiente tecnológico para reavaliar a expectativa de

falhas nos processos operacionais. As solicitações do artigo 404 da SOX refletem essa

importância, pois interfere em todos os processos operacionais da empresa.

Assim, conhecendo muito dos sistemas operacionais das empresas, a Datasul poderá

oferecer um diferencial para ajudar seus clientes nessa adaptação. Outras adaptações serão

necessárias, mas as da área de TI constituirão a maior e mais dispendiosa tarefa.

A automação dos controles otimizando os processos é sem dúvida o que mais se tem

discutido, fazendo com que as empresas desenvolvedoras de ERPs ganhem forças à medida

que surjam as necessidades de seus clientes, sempre atentando para a redução de riscos, e,

conseqüentemente, gerando economia de valores.

Mudanças no âmbito dos conselhos administrativos de grandes organizações

brasileiras, e ainda os escândalos de grandes empresas internacionais que abalaram o mercado

financeiro como Enron, Worldcom e Parmalat que, pela falta de controle, levou ao mercado

informações distorcidas, também justificam a escolha deste tema.

Para uma organização, ter todo o processo definido é um grande auxílio quando da

necessidade de divulgar informações com fidelidade, transparência, qualidade, pontualidade e

consistência. Uma divulgação confiável gerará maior garantia e passará mais tranqüilidade ao

mercado e aos acionistas.

Nos últimos anos os grandes escândalos de fraudes geraram um estudo mais

consistente e também a elaboração de muitas regras. De fato, muitos dos fracassos de

empresas que se conhece hoje ocorrem por falhas não identificadas de controles internos, ou

ainda avaliação ineficiente dos riscos operacionais. Este trabalho pode subsidiar a elaboração

de novas regras brasileiras que gerem mais detalhes em relação aos trabalhos de avaliação de

riscos de controles internos e assim melhor orientar os profissionais que desenvolvem esse

trabalho.

(17)

1.3 ORGANIZAÇÃO DO TRABALHO

Após esta introdução, apresenta-se a fundamentação teórica, onde se buscou

apresentar as normas e legislações que regem o tema, bem como as metodologias mais

adotadas, como a COSO, e casos clássicos de fraudes que poderiam ser evitados pela adoção

dos procedimentos recomendados.

A seguir é apresentada a metodologia adotada neste trabalho, o modelo proposto e os

resultados de sua aplicação em várias empresas.

(18)

2

FUNDAMENTAÇÃO TEÓRICA

Para alcançar o objetivo proposto para este trabalho será necessária uma ampla

pesquisa bibliográfica de diversas áreas que interagem entre si. Temas atuais, como as normas

e legislações, a metodologia COSO, que será base do nosso trabalho, passando por conceitos

históricos como o papel dos controles na administração.

As fraudes que ocorreram por falhas dos controles, os

frameworks

existentes também

serão citadas.

2.1

CONTROLES

Esse assunto tem sido amplamente estudado na atualidade e divulgado na mídia

especializada, gerando discussões em eventos relacionados à área. Apesar de configurar com

maior ênfase na contabilidade está inserido em toda a empresa, fazendo parte das funções da

Administração. DRAFT (1999) relaciona o processo da administração como:

- Planejamento: seleção de objetivos e maneiras de realizá-los;

- Organização: designação das responsabilidades para a execução das tarefas;

- Liderança: uso da influência para motivar funcionários;

- Controle: monitoramento de atividades e execução de correções, recursos,

pessoas, financeiros, matérias-primas, tecnológicos e informações.

Desta forma, o controle está incluso no processo de administração e, para Atkinson

(2000, p. 581), controle “[...] é o conjunto de métodos que os membros da empresa usam para

mantê-la na trajetória para alcançar seus objetivos. Um sistema está sob controle se ele está no

caminho para alcançar seus objetivos”.

2.1.1

Controles de tarefas e controles gerenciais

(19)

compreendem o comportamento de executivos e comportamentos que não podem ser

expressos em equações. Após a leitura destes conceitos identificou-se que o tipo de controle

utilizado para este trabalho é o controle de tarefas.

Atkinson (2000, p. 583) assinala que o “controle por tarefas é o processo que certifica

se uma tarefa está completa da maneira predeterminada”.

Para ilustrar e melhor diferenciar controle gerencial de controle de tarefas, observe-se

o quadro a seguir:

Formulação de estratégia Controle Gerencial

Controle de tarefas

Adquirir negócio de outro

ramo

Introduzir novos produtos ou

uma nova marca em linha

existente

Coordenar a entrada de

pedidos

Entrar em novo negócio.

Expandir a fabrica

Planejar a produção

Adotar vendas por mala

direta

Definir

orçamento

de

publicidade

Encomendar comerciais

de TV

Alterar

o

índice

de

endividamento

Contratar novo empréstimo

Gerir fluxo de caixa

Adotar

uma

política

afirmativa de ação

Implementar programa de

recrutamento de minorias.

Manter

pessoal

registro

de

Delinear uma política de

especulação com estoques

Determinar

estoques

níveis

de

Pedir itens faltantes

Determinar a magnitude e

a direção da pesquisa

Controlar a organização da

pesquisa

Executar os projetos de

pesquisa

Quadro 1 - Comparação controle gerencial x controle de tarefas Fonte: Anthony (2002, p. 41)

Os controles gerenciais abrangem tarefas mais amplas, nas quais os executivos irão

atuar. Mas os controles de tarefas são atividades específicas, determinadas, com regulamento

e regras a serem seguidas.

Os controles de tarefas, por serem científicos, são possíveis de serem avaliados.

Dificilmente uma empresa sobreviverá sem algum tipo de controle de tarefas.

2.1.2

Controles manuais e controles automatizados

Os controles no dia a dia da empresa são aplicados de duas maneiras: manuais ou

automatizados. Conforme Oliveira Junior (2005, p. 36):

(20)

Implicitamente os controles automatizados são fundamentais no atendimento de

exigências da Lei Sarbanes Oxley (SOX), pois, os mesmos são menos suscetíveis a mudança

de pessoal. Já os controles manuais estão normalmente relacionados a pessoas que podem sair

da empresa colocando em risco a continuidade dos controles.

Outro aspecto relevante dos controles automatizados é a geração de informações

consistentes de forma ágil. Através da SOX busca-se eliminar os riscos no momento da

geração das informações, impedindo que informações incorretas sejam alimentadas no

sistema, colocando em vantagem ao controle automatizado, pela sua agilidade.

As organizações financeiras, principalmente bancos, foram os que apontaram em

primeiro lugar para estes controles. Há diversas empresas já especializadas nesse tipo de

controle direcionado para as instituições financeiras. E que estão tendendo para executar este

trabalho para empresas também.

2.2

CONTROLE INTERNO

Diversos são os conceitos encontrados para Controle Interno. Para o Instituto

Brasileiro de Auditores Internos do Brasil (IBRACON, 1988, p. 261) "O controle interno

compreende o plano de organização e o conjunto ordenado dos métodos e medidas, adotado

pela entidade para proteger seu patrimônio e verificar a exatidão e o grau de confiança de seus

dados contábeis”.

Buscando a proteção aos ativos, o controle interno atuará contra a fraude de forma

quase total, protegendo a empresa das ações que de forma aparentemente correta são

aplicadas para enganar alguém causando prejuízo a terceiros em beneficio próprio. Descobrir

que a empresa possui controles internos falhos aumenta a tentação do funcionário a fraudar.

Os controles, além da prevenção, colocarão organização em seu processo funcional.

O controle interno é um processo executado pela diretoria, pelo conselho de

administração ou por outras pessoas da companhia que impulsionam o sucesso dos negócios

em três categorias:

- Eficácia e eficiência das operações;

- Confiabilidade dos relatórios financeiros;

- Cumprimento de leis e regulamentos aplicáveis (DELLOITE, 2003).

(21)

pela verificação se está sendo seguido pelos funcionários e por sua modificação no sentido de

adaptá-lo às novas circunstâncias”. Assim, um controle interno que hoje seja eficiente para

determinada empresa, amanhã poderá não mais o ser.

Cada empresa tem objetivos operacionais específicos que, de acordo com as

suas atividades, deverão utilizar procedimentos de controle internos

distintos em função do ramo de atividades, volume das operações e riscos

envolvidos; assim, não existe um modelo padrão de controle interno que se

adapte às reais necessidades de qualquer empresa. (OLIVEIRA JUNIOR,

2005, p. 182

apud

GUIMARÃES, 2001).

Além das diferenças de cada empresa, deverá ser observado o custo-benefício para a

implantação de cada controle interno, já que "o custo do controle interno não deve exceder

aos benefícios que dele se espera obter” (ALMEIDA, 1996, p. 57). Assim, a previsão da

quantidade de recursos financeiros que a organização deve disponibilizar para a monitoração

dos controles será ponto básico para a decisão de sua implantação. Não compensará manter

grandes esquemas de controle, deixando “pesado” o sistema funcional da empresa, quando a

área pretendida possuir mínima influência nos processos.

O controle interno usufruirá de todos os documentos e instrumentos que a empresa

dispuser, como observa Marra (1991, p. 207):

São, portanto meios de Controle Interno todos os registros, livros,

fichas, mapas, boletins, papéis, formulários, pedidos, notas, faturas,

documentos, guias impressos, ordens internas, regulamentos e

demais instrumentos de organização administrativa que formam o

sistema de vigilância, fiscalização e verificação utilizada pelos

administradores para exercer o controle sobre todos os fatos

ocorridos na empresa e sobre todos os atos praticados por aqueles

que exercem a organização do patrimônio e do funcionamento da

empresa.

2.2.1

Controles Internos Contábeis e Controles Internos Administrativos

Antes de descrever as metodologias mais atuais de controles internos numa visão mais

teórica e acadêmica pode-se dizer que eles dividem-se em: Controles Internos Administrativos

e Controles Internos Contábeis. Os administrativos:

(22)

de treinamento de empregados, controles de qualidade, e outros. Já

os Controles Internos Contábeis são os planos de organização

ligados diretamente com a proteção dos ativos e aos diversos

sistemas de informações contábeis. Incluindo sistemas de

autorizações e aprovações, segregação de funções relacionadas aos

lançamentos contábeis daquelas relacionadas com o manuseio ou

custódia de um determinado ativo, controle físico dos ativos e

auditoria interna (CARVALHO, 2006, p. 66).

2.2.2

Importância do Controle Interno

Os controles internos são convenientes, em primeiro lugar, para reduzir a

probabilidade de erros, sejam eles intencionais ou não. Um sistema de controle interno bem

estruturado e implementado fornece um ambiente correto para que as operações de uma

companhia sejam eficazes, bem como reduz o risco das informações financeiras serem

apresentadas de maneira significativamente incorretas (GUIA DAS MELHORES PRÁTICAS

DE GOVERNAÇA CORPORATIVA, 2005).

São utilizados pela administração como um instrumento para manter a organização da

empresa, para certificar-se de que as transações estão sendo executadas de acordo com os

princípios aplicados. Com o uso dos controles internos, essas transações somente serão

finalizadas mediante autorizações, e que sejam específicas. Usando os controles internos

como base para a preparação das demonstrações financeiras, o contador terá a certeza de que

estarão em conformidade com os princípios contábeis. Desse modo, a empresa saberá também

que determinados registros estarão resguardados, pois somente pessoas autorizadas terão

acesso a eles.

O controle interno com inspeções físicas periódicas ou com intervalos irregulares é de

suma importância para a empresa, pois ocorrendo diferenças entre o saldo físico e o saldo

registrado, poderá imediatamente implantar uma ação corretiva. Ressalte-se novamente que o

controle interno é um meio empregado para “tranqüilizar” a administração, uma vez que

protege os elementos do patrimônio contra erros, desvios e fraudes, evitando desperdícios e

alcance de terceiros.

(23)

Também para os auditores, os controles internos são de grande valor, pois conforme

Sá (1994, p. 109) “quanto melhor o controle, mais segurança para o trabalho e quanto menor o

controle mais cuidado será exigido na execução de tarefas.” Para Carvalho (2006, p. 40) “[...]

onde o controle interno existir (não somente no papel e em manuais) e este for considerado

adequado, em função disto o risco diminui e assim o auditor fará menos testes”.

O auditor, ao encontrar em uma empresa um esquema de controle interno que

passando por sua avaliação lhe inspire confiança, diminuirá com relevância o número de

testes, a aplicar.

2.3

FRAUDES

De acordo com Castelo Branco

apud

Cabral (1992, p. 130) "Fraude é uma lesão

prejudicial a interesses patrimoniais de terceiros". Fraude não deve ser confundida com furto,

mesmo que a pessoa esteja se apropriando de algo que não lhe pertença pela fraude. Isso se dá

por meios aparentemente legais, e para esse fim o fraudador utiliza diversos artifícios.

Também é diferente de erro, pois esse identifica o que não é exato ou verdadeiro, havendo

para tanto um conceito de inexatidão e, na fraude um conceito de má fé, intencionalidade

imoral.

Dentro do controle interno, a fraude e o erro também se apresentam de formas

distintas. Tão distintas que, com relação à sua prevenção e detecção, ressalta o IBRACON

(1988) que o risco de não detectar informações enganosas significativas resultantes de fraude,

é maior que o risco de não se detectar uma informação enganosa significativa de erro, porque

a fraude, normalmente, envolve atos planejados no sentido de escondê-la.

Para o Conselho Federal de Contabilidade

1

também há diferença entre fraudes e erros:

a)

Fraude, o ato intencional de omissão ou manipulação de transações

adulteração de documentos, registros e demonstrações contábeis;

b)

Erro, o ato não-intencional, resultante de omissão, desatenção ou má

interpretação de fatos na elaboração de registros e demonstrações contábeis.

As normas brasileiras de contabilidade na interpretação técnica NBC T 11 – IT – 03

também falam de fraude e erro. O termo fraude refere-se ao ato intencional de omissão ou

(24)

manipulação de transações, adulteração de documentos, registro e demonstrações contábeis. A

fraude pode ser caracterizada por:

a)

Manipulação, falsificação ou alteração de registros ou documentos, de modo a

modificar os registros de ativos, passivos e resultados;

b)

Apropriação indébita de ativos;

c)

Supressão ou omissão de transações nos registros contábeis

d)

Registro de transações sem comprovação; e

e)

Aplicação de práticas contábeis indevidas.

O termo erro também está referenciado nesta mesma norma. Nela, o erro refere-se ao

ato não-intencional na elaboração de registros e demonstrações contábeis que resultem em

incorreções, consistentes em:

a) erros aritméticos na escrituração contábil ou nas demonstrações contábeis;

b) aplicação incorreta das normas contábeis;

c) interpretação errada das variações patrimoniais.

Diversos são os motivos que levam um empregado a cometer fraude contra a empresa

em que trabalha. Contudo, o fato é que se sentirá mais encorajado a fazê-lo se descobrir que

tal empresa mantém controles ineficientes ou insuficientes, estimulando suas ações. Assim,

tendo em mente que não será facilmente punido e, uma vez diante da oportunidade para

efetuar a fraude, não se intimidará, podendo acobertar-se por meio das falhas dos controles

internos da empresa.

Numa tentativa de disfarçar os benefícios advindos das fraudes, o empregado, por

vezes, trabalha muitas horas extras, não tira férias e, em alguns casos, chega a alegar que

“ganhou na loteria”.

Para Carvalho (2006, p. 45) exemplos de fraudes e erros são:

a)

Omissão de receitas (caixa dois)

b)

Transações super(sub)faturadas

c)

Uso de documentos fiscais frios;

d)

Contabilização de operações fictícias etc.

De acordo com dados do IBRACON (1988), a responsabilidade pela prevenção e

detecção de fraude e erro cabe à administração, através de implantação e operação contínua de

um sistema adequado de controle interno.

(25)

empresa, e sua ocorrência é questão de oportunidade, podendo ser perpetrada pela operação,

documentação e contabilização. Na operação pode-se aproveitar do ciclo operacional da

empresa para fraudar, na documentação pode-se alterar ou criar documentos fictícios e, na

contabilização, sabe-se que a fraude pode se concretizar por meio de escrituração parcial ou

totalmente falsa.

“As fraudes são praticadas quase sempre por pessoas que possuem autoridade,

sobretudo quando acumula funções, e se necessário envolvem mais pessoas (conluio) assim

dificultando a detecção” (SÁ, 1982, p. 222)

As áreas mais expostas a fraudes, segundo dados oriundos de trabalhos já realizados,

são as áreas de compras, financeiro e recursos humanos. Em compras, a alteração de valores

e o conluio com fornecedores. No financeiro, a alteração de valores é o tipo de fraude mais

encontrado, assim como a falsificação de assinaturas. E em Recursos Humanos é normal

acontecer o registro de funcionários fantasmas, alteração de valores ou contas correntes nas

planilhas de pagamentos.

Quando uma empresa está em crise ou recessão, as chances de fraudes ocorrerem

aumentam já que na maioria dos casos o quadro de funcionários diminui e conseqüentemente

os controles tendem a enfraquecerem, gerando lacunas para ações de fraudes dos funcionários

remanescentes. A descoberta de fraudes é constrangedora, tanto para a empresa como para o

profissional fraudador, porém não é ideal tomar atitudes radicais quando da descoberta, como

demitir sem ter a confirmação final do delito ou também antes de descobrir se há mais

envolvidos no caso.

Ao descobrir/desconfiar de uma situação de fraude o ideal é chamar um auditor para

levantar o caso e a responsabilidade dos envolvidos. Esconder a fraude ou tentar demitir as

pessoas desonestas sem alarde irá resolver pontualmente aquele caso, porém poderão

incentivar outros a cometerem o mesmo delito. Já que por trás da ação do fraudador há um

fundamento psicológico que poderá ser abolido por ações claras de defesa da empresa.

(26)

2.3.1

Grandes escândalos de fraudes

Nos últimos anos vieram à tona diversos casos de fraudes abalando a situação no

mercado mundial. Esses casos além de abalar a própria empresa afetaram também o

sentimento de confiança dos investidores.

Eventos desse gênero foram os impulsionadores a criação da Lei Sarbanes Oxley, tema

que será melhor abordado no item 2.6. A manipulação de balanços, com a intenção de mostrar

uma situação irreal da empresa, foi citada em muitos casos como uma das principais fraudes

destes escândalos.

2.3.1.1

Enron

Empresa conhecida nos EUA por seu dinamismo e lucratividade, na época do

escândalo, 2001, era a sétima maior empresa daquele país, pediu concordata em 02 de

dezembro de 2001. O próprio Congresso Americano analisou as causas de sua quebra e a

empresa apresentava em seu balanço uma dívida de US$ 22 bilhões.

Uma das maiores empresas de auditoria, a Arthur Andersen, era a responsável pela

auditoria da Enron na época e foi arrolada pelo departamento de justiça norte-americano já

que houve provas de que autorizou a destruição de documentos comprobatórios.

Muitos foram os pontos que levaram a Enron a passar por todo este processo:

Práticas contábeis confusas e complexas, (republicaram suas informações

contábeis desde 1997).

Conflito de interesse inapropriado (estratégia de bônus alta e agressiva).

Práticas questionáveis de negócios, como as chamadas SPE, (Sociedades

de Propósitos Específicos), não são proibidas, porém envolvem muitos

controles e alto risco (SILVA, 2006, p. 103)

2.3.1.2

Banco Barings

Uma das instituições financeiras mais antigas da Inglaterra, criado em 1763, possuía

controles internos frágeis e em 1995 fechou suas portas.

(27)

2.3.1.3

Worldcom

Empresa de telecomunicações, teve de admitir um erro de quase 4 bilhões de dólares

no balanço. Foi o maior escândalo e afetou fortemente o sentimento de confiança dos

investidores. Aumentando o lucro da empresa em 4 bilhões fez com que suas ações subissem

no mercado financeiro, inclusive as que o ex-presidente da empresa, Bernie Ebbers, tinha

adquirido com os US$ 360 milhões que pegou emprestado da empresa para investir em ações

da própria empresa.

Foram diversos escândalos envolvendo a Worldcom, inclusive a empresa responsável

pela auditoria dos balanços a exemplo da Enron também foi acionada. Os administradores da

Worldcom foram condenados a prisão.

2.3.1.4

Banco Nacional

Algum tempo antes da descoberta de fraude, esse banco demonstrava um balanço

patrimonial saudável, mas quando o escândalo foi descoberto, muitas irregularidades estavam

por trás dos números que lá apareciam. A empresa de auditoria responsável pela análise

recebia altos honorários para forjar os números.

A fraude fiscal promovida por executivos do Banco Nacional gerou um rombo de R$

9,2 bilhões em 1995. A contabilidade era fraudada desde 1986 por meio de lançamentos de

créditos fictícios em mais de mil contas inativas ou fantasmas. Em novembro de 1995, a

situação que já era insustentável fez o Banco Central decretar sua intervenção.

2.3.1.5

Parmalat

Não muito diferente das outras empresas aqui expostas, o caso Parmalat também levou

para a prisão seus principais executivos por seus envolvimentos nas fraudes contabilísticas

como balancetes falsos, lucros fictícios, camuflagem de despesas, lançamento de despesas

como investimento e omissão da verdade, enfim falta de ética total, que levaram à falência a

empresa de origem italiana produtora alimentícia. Esse escândalo envolveu funcionários,

auditores e bancos de investimento.

(28)

trabalhavam com a Parmalat Finanziaria SpA, como o Citigroup Inc. e o UBS AG, permitiram

que a fabricante de alimentos italiana concordatária ocultasse a verdadeira situação de suas

finanças por mais de uma década, de acordo com um relatório solicitado pelos promotores

públicos de Milão, que investigaram o colapso da empresa. A Bloomberg News obteve uma

cópia do relatório de 445 páginas que registra cerca de 14 bilhões (US$ 17 bilhões) em

vendas de bônus, colocações privadas e empréstimos feitos à empresa de laticínios fundada

pela família Tanzi em Parma, na Itália. A Parmalat entrou em colapso em dezembro de 2003,

após revelar que uma conta com 3,95 bilhões no Bank of America Corp. dos EUA não

existia (Gazeta Mercantil, Legislação, 22/7/2004, p. A-8).

2.4

RISCOS

Risco é a condição que aumenta ou diminui o potencial de perdas, ou seja, o risco é a

condição existente na atividade de qualquer organização. Com base nessa situação de

segurança ou insegurança é que há maior ou menor chance dele se concretizar. Esse fato é

incerto, fortuito e de conseqüências negativas ou danosas. O risco então é uma possibilidade

(BRASILIANO, 2006).

Paula (2005) define risco como condições ou fatos significativos que podem criar uma

situação de impossibilidade para a consecução dos objetivos estabelecidos pela empresa.

Os riscos se originam de fatores internos ou externos. Aos externos muitas vezes a

empresa não possui ferramentas de controle ou defesa, já os internos são mais previsíveis e

possíveis de se controlar. Diante da identificação, a empresa deve estimar sua importância,

valorizá-la e tomar medidas possíveis de prevenção, para minimizar seus efeitos.

O conceito de risco não é moderno. A Moderna Teoria das Carteiras, que se originou

do trabalho pioneiro de Harry Markowitz, em 1952, já existe por mais de cinco décadas. Essa

teoria está baseada nos conceitos de retorno e risco. O risco assumiu sua justa posição de

destaque mais recentemente, seguindo-se a escândalos internacionais como os do Barings

Bank, Procter&Gamble, Bankers Trust, Gibson Greetings, Orange Country,

Metallgesellschaft e outros como exemplos já citados. Na maioria desses casos, o conceito de

risco esteve ligado a alterações de informações de forma tendenciosa. A verdade é que estas

alterações de informações foram usadas para fins de aumento do lucro da empresa, na maioria

dos casos e também para criar uma tendência ao mercado para investir nelas. Ou podem ser

usados tanto para fins de alavancagem (aumentando o risco), quanto para fins de

hedge

(29)

Para riscos aceitos, ou seja, aqueles que não se podem eliminar, a administração

deve estabelecer um sistema de controle, pois o risco está presente em qualquer

operação da empresa.

2.4.1

Tipos de Riscos

Há na literatura algumas divisões de riscos, podendo-se citar entre eles como os mais

relevantes:

- Risco de mercado

- Risco de crédito

- Risco legal

- Risco de liquidez

- Risco de imagem

- Risco operacional

Em sua normalidade os riscos sempre são considerados pela sua negatividade, porém

se trabalhado antevendo a ocorrência do fato que gere este risco negativo, com o trabalho de

prevenção os processos da organização tende a ganhar. Ganham com uma possível melhor

performance, pois as decisões estariam sendo tomadas num cenário mais seguro.

Os riscos citados serão identificados a seguir.

2.4.1.1

Risco de Mercado

Risco de Mercado depende do comportamento do preço do ativo diante das condições

de mercado. Para entender e medir possíveis perdas devido às flutuações do mercado é

importante identificar e quantificar o mais corretamente possível as volatilidades e correlações

dos fatores que impactam a dinâmica do preço do ativo. Risco de Mercado pode ser oriundo

do mercado acionário, de câmbio, de juros e de

commodities

e ainda é possível encontrar

outros tipos.

(30)

afetam especificamente uma empresa ou grupo de empresas, e sim setores econômicos ou

mesmo economias como um todo) e pela disponibilidade de instrumentos financeiros para

adequação das exposições aos níveis desejados pela empresa.

2.4.1.2

Risco de Crédito

Risco de crédito está relacionado a possíveis perdas quando um dos contratantes não

honra seus compromissos. As perdas estão relacionadas aos recursos que não mais serão

recebidos. Podem-se citar como exemplos o risco país, político, falta de pagamento de uma

organização para com a outra.

2.4.1.3

Risco Legal

O risco legal está relacionado a possíveis perdas quando um contrato não pode ser

legalmente amparado. Podem-se incluir aqui riscos de perdas por documentação insuficiente,

insolvência, ilegalidade, falta de representatividade e/ou autoridade por parte de um

negociador etc.

2.4.1.4

Risco Liquidez

É a possibilidade de que um ativo não possa ser liquidado com facilidade a um preço

razoável. A liquidez é significativamente afetada pelo porte e pela oportunidade do mercado

no qual este ativo é costumeiramente negociado (GITMAN, 2004)

2.4.1.5

Risco de Imagem

O risco de imagem é uma das grandes preocupações das organizações, principalmente

as instituições financeiras, por trabalhar com recursos de terceiros, solidez e segurança não

podem impactar na possibilidade nenhuma de gerar risco, pois são predicados bastante

valorizados. Por exemplo:

1) Boatos sobre a saúde de uma instituição desencadeando corrida para

saques.

(31)

3) Envolvimento da instituição em processos de lavagem de dinheiro,

remessas de divisas ilegais etc. Então ações que afetam a reputação

destas organizações diante dos clientes são consideradas riscos,

conforme Manoel Rodrigues Jordão (

apud

por DUARTE Jr., 2003, p.

512).

2.4.1.6

Risco Operacional

“O risco operacional decorre da realização das operações, estando associado às

deficiências nos controles internos” (BERGAMINI JUNIOR, 2005, p. 157) e é inerente a

qualquer atividade.

Os processos não são padrões, eles são próprios para cada instituição, assim como

também não existe uma solução pronta para eliminar os riscos operacionais. A seguir são

citados alguns tipos de causadores de risco operacional:

- Fraude Interna

- Fraude Externa

- Relações Trabalhistas

- Práticas Comerciais

- Danos a Ativos

- Interrupção de Negócio e Falhas de Sistemas

- Execução e Gestão de Processos

O Comitê da Basiléia sobre Supervisão Bancária estabeleceu que “o risco operacional

é definido como o risco de perda resultante de pessoas, sistemas e processos internos

inadequados ou deficientes, ou de eventos externos. Essa definição inclui o risco jurídico,

porém exclui o estratégico e de reputação” (BANK FOR INTERNATIONAL

SETTLEMENTS - BIS, 2004).

Segundo a Câmara para Assuntos de Administração de Risco (CAAR), atuante no

segmento de instituições financeiras, Risco Operacional é aquele que:

decorre da falta de consistência e adequação dos sistemas de

informação, processamento e operações, bem como de falhas nos

controles internos, fraudes ou qualquer tipo de evento não previsto,

como catástrofes, que torne impróprio o exercício das atividades da

instituição, resultando em perdas inesperadas.

Os fatores de risco operacional são pessoas, processos e sistemas.

(32)

ele pode variar dependendo da ótica sob a qual o problema é observado.

A implementação do gerenciamento de risco deve ser uma decisão de quem

efetivamente detém o poder decisório na instituição. Essa é uma necessidade de forma a obter

resultados que tenham impacto imediato, com influência máxima na rotina diária da

instituição. Por exemplo, o gerenciamento de risco pode envolver mudanças internas de

percepção de qualidade e lucratividade, e como tal requer comprometimento total da diretoria.

2.4.2

Gestão de riscos

Gestão de Riscos representa um enfoque estruturado e disciplinado que alinha

estratégia, processos, pessoas, tecnologia e conhecimentos, objetivando avaliar e gerenciar as

incertezas naturais enfrentadas pelas organizações. A gestão de risco é a contraprova de que

não somente os controles internos servem como estratégia para gestão de risco.

Hoje, a gestão de riscos é reconhecida como parte integrante de uma boa

administração. É um processo interativo composto por etapas, que, quando realizadas em

seqüência, possibilita a melhoria da tomada de decisão.

A prática de gestão de riscos foi muito beneficiada a partir das leis criadas que, aliadas

ao desenvolvimento de ferramentas computacionais, possibilitaram o desenvolvimento de

fórmulas matemáticas sofisticadas, e com elas será capaz de fornecer com precisão os riscos

envolvidos nos processos.

O trabalho de gestão de risco tem de ser bem planejado e realizado adequadamente,

pois um mau gerenciamento de risco pode criar numa organização uma falsa sensação de

segurança. Ao desconhecer o real risco a empresa poderá impor controles em pontos não

necessários e deixando vulnerável outros pontos que necessitariam de segurança.

Para um bom gerenciamento de risco a busca por profissionais qualificados e

experientes é uma importante tarefa. Eles devem ter bom conhecimento dos processos

operacionais e das metodologias a serem aplicadas. A seleção do profissional deve levar

diversos fatores em consideração no momento da escolha, pois mesmo utilizando uma

ferramenta de apoio o conhecimento empírico é primordial.

Dificilmente um profissional irá trabalhar sozinho na gestão de risco, ele precisa do

auxilio além dos funcionários das áreas, do auxilio de especialistas, principalmente no

momento de promover as ações a serem tomadas na eliminação dos riscos.

(33)

Caso não elimine o risco ao gerenciamento de riscos é necessária uma insistente ação

de monitoração, tanto para avaliar se as ações propostas para minimizar e mitigar o risco

foram executadas a contento, bem como para mensurar a eficácia dessas ações (NOBREGA,

2005).

A mensuração de risco teve como pioneiro Henry Markowitz que em 1955, apresentou

sua dissertação de mestrado na qual utilizou modelos matemáticos para o cálculo do risco

total de uma carteira de ativos. Para Milton Friedman, que participava da mesa julgadora, a

dissertação não versava sobre economia e quase foi rejeitada. Aos poucos, no entanto,

economistas e bancos de investimento foram aderindo aos matemáticos, físicos e engenheiros

que assumiram as rédeas do mercado financeiro, como evidencia Luchesi (2005).

Para Almeida (2005, p. 23) “na gestão de risco a globalização expõe as organizações a

uma gama muito maior de riscos e também oferece muito mais oportunidades de realizar

ganhos tomando riscos”. Nesse ambiente, a gestão e mitigação de riscos aumentam de

importância, como atesta o grande desenvolvimento de ferramentas ocorrido nessa área.

Assim como várias mudanças ocorreram nas organizações também a gestão de risco

sofreu contínuas mudanças, pois algum tempo atrás o enfoque tradicional baseava-se na

avaliação abrangente dos controles; os testes aplicados eram elaborados com base em

programa de trabalho endereçado a objetivos de controle padrão; os testes eram aplicados a

todos os controles, a finalidade era a de inspecionar, detectar e reagir aos riscos de negócios, e

muito tempo era gasto em testes, validação e consolidação. Atualmente pode-se direcionar a

avaliação dos controles não somente para o risco do negócio como também para o risco

operacional.

A gestão de riscos aplica testes elaborados com base nas informações dos

processos identificados no levantamento de informações; os testes são

focalizados nos controles que minimizam os riscos relevantes; a finalidade é

antecipar e prevenir riscos na origem; e a maior parte do tempo é gasto em

levantamento e análise de informações

(OLIVEIRA JUNIOR, 2005, p.

165).

A avaliação de risco é iniciada com a identificação dos itens que afetam ou podem vir

a afetar a consecução dos objetivos da entidade, e tem por finalidade o estabelecimento das

possíveis maneiras de neutralizá-los ou controlá-los, ou seja, as ações a serem tomadas.

(34)

É difícil conscientizar o quanto é importante a tarefa de tomar decisões em relação à

gestão de riscos bem como avaliá-la monetariamente. Não há uma solução única em relação à

gestão de riscos. A solução é adjacente ao perfil do administrador.

Alguns pontos devem ser observados para discussão de gestão de risco:

a) Ambiente físico: local de instalação do risco de incêndio, documentos

guardados em lugares de maior proteção, informações sigilosas, senhas,

travas, acesso à empresa etc.

b) Ambiente Tecnológico: confiabilidade dos acessos;

c) Ambiente Administrativo: desvio de recursos ou informação, processos

inadequados etc.

O COSO

(metodologia que será conceituada no subcapítulo 2.8.1)

também sugere que

os riscos sejam analisados, seus impactos apontados, e também a probabilidade de ocorrência

identificada. Esses três atributos é que permitem a gestão de riscos e assim criar suas

possíveis ações.

A tarefa de gestão de riscos nem sempre é fácil, encontrando algumas barreiras, seja

do próprio quadro de funcionários pela cultura, desconfiança, podendo ser até mesmo

considerado de alto custo. Para isso, é importante estabelecer critérios válidos de decisão em

que todos estejam convencidos da importância e do real papel da gestão de risco para a

empresa em questão.

Para Fragoso (2005a, p. 21) Os riscos são naturais às empresas, porém para o

levantamento deste deve considerar a seguinte estrutura baseada nestas três fases: identificá-lo

avaliá-lo e priorizar as ações que podem corrigi-las, e é nesta linha que este o modelo será

realizado.

Há no mercado algumas ferramentas de gestão de riscos. Principalmente aquelas

voltadas para o mercado financeira interligado com empresas desenvolvedoras de ERP e por

empresas de auditoria, ou tendo elas como parceiras. Muitos programas são para risco de

credito.

2.4.3

Análise de risco operacional

(35)

risco operacional.

A técnica de levantamento de risco evoluiu de forma significativa, originando novos

paradigmas: o cenário anterior previa uma postura de inspecionar, detectar e reagir aos riscos;

considerava-se que o pessoal ineficiente era a fonte primária de riscos; e os controles eram

mantidos para os riscos de origem financeira ou vinculados aos resultados escriturais.

O cenário atual contempla uma série de novos desafios: a postura esperada

é de prever e prevenir os riscos inerentes a um conjunto de processos; os

processos ineficientes são, de fato, as fontes primárias de riscos; e os

controles devem ser as ferramentas de gestão e de monitoração de riscos

(OLIVEIRA JUNIOR, 2005, p. 176).

Com a aceitação da máxima “é necessário medir para administrar”, consolidou-se a

idéia de que, para ter utilidade nos negócios, “um determinado evento de risco deve ser

previsível em termos de probabilidade de ocorrência (incidência), e deve ser passível de

estimativa quantitativa (impacto)”, como ainda evidencia Oliveira Júnior, (2005, p. 156).

O levantamento de risco deve ser uma decisão de quem efetivamente detêm o poder

decisório na instituição. Essa é uma necessidade de forma a obter resultados que tenham

impacto imediato, com influência máxima na rotina diária da instituição. Por exemplo, o

levantamento de risco pode envolver mudanças internas de percepção de qualidade e

lucratividade, e como tal requer comprometimento total da diretoria (DUARTE JUNIOR,

2003).

No que se refere às análises de riscos, essas podem ser qualitativos e quantitativos,

como será analisado a seguir.

2.4.3.1

Análise de Risco Quantitativo

Nas avaliações de riscos quantitativos o profissional deve buscar valores para os riscos

inerentes ao processo em questão. Valorar as perdas, assim criando uma melhor análise do

custo benefício do levantamento do risco.

A possibilidade de medir financeiramente o impacto do risco torna o trabalho de

levantamento de risco mais atraente para a administração de uma empresa. Saber

estimativamente o possível valor de uma perda facilita o planejamento da ação da gestão de

risco, facilitando também a decisão.

(36)

A análise de risco qualitativa age diferente da quantitativa, pois não busca valorizar de

forma financeira fixa as perdas esperadas, ou os custos dos seus controles, mas busca sim

identificar os processos vulneráveis, suas possíveis conseqüências e identificar formas para

eliminar, diminuir ou controlar os riscos identificados.

Essa tarefa mesmo que pautada em metodologias cientificas tem uma aparência

subjetiva, e é nessa forma de análise que segue a proposta deste trabalho.

2.5

ERP (

Enterprise Resources Planning

)

Os sistemas integrados foram criados para diminuir o risco de extravio de

informações, garantindo que os registros dos processos fossem feitos instantaneamente e

assim facilitando a tomada de decisão e uma maior interatividade entre as áreas de

manufatura, logística e financeira.

A maioria das empresas utiliza as informações dos sistemas integrados de gestão para

gerar seus relatórios, porém muitas ainda não possuem um único sistema, e ainda usam

ferramentas como Excel ou Access para consolidar esses dados. Ou seja, a informação é

gerada de forma

offline

o que pode acarretar atrasos e gerar desconfiança nas informações, já

que dessa forma é bem maior a interferência humana na manipulação dos dados.

Esse tipo de manipulação é apontado como a maior causa nas considerações da CVM

ou da SEC por materiais deficientes.

2.6

SARBANES OXLEY

Em 2002, após a descoberta de fraudes contábeis/financeiras ocorridas em grandes

empresas mundiais, como as citadas no subitem 2.3.1, numa das poucas vezes em que

republicanos e democratas norte-americanos uniram-se com tanto afinco para sancionar uma

lei. A Sarbanes-Oxley, junção dos dois sobrenomes dos políticos envolvidos na sua

promulgação, modificou as regras para a governança corporativa daquele país e

consequentemente para muitas empresas pelo mundo.

Figure

Updating...

References

Updating...

Download now (147 pages)