A estrutura de controlo interno e a gestão de risco

Uma estrutura de controlo deve fornecer uma definição comum de controlo interno e proporcionar um padrão para avaliar a eficácia dos controlos internos. O modelo da (COSO, 1992) pretende simplificar a tarefa da administração para gerir e supervisionar todas as atividades que fazem parte de uma estrutura de controlos internos bem sucedida. Este modelo define controlo interno como um processo, constituído por cinco subprocessos, desenvolvido para garantir com segurança razoável que sejam atingidos os objetivos perseguidos por uma organização, nas seguintes categorias: eficiência e efetividade operacional; confiança nos registos contabilísticos/financeiros e no cumprimento das leis e regulamentos aplicáveis.

Na definição dos componentes de controlo: Ambiente de controlo; avaliação de riscos; atividades de controlo; informação e comunicação; e acompanhamento e avaliação, as organizações precisam de ter em conta a sua própria estrutura (objetos de avaliação) e os seus objetivos (atividades de controlo).

FIGURA 12 - MODELO COSO

Fonte: Adaptado de COSO (1992)

.

73

controlo interno forte, através de uma liderança clara, partilha de valores e uma cultura que enfatiza a responsabilidade pelo controlo. Os vários riscos que a organização enfrenta são identificados e avaliados a todos os níveis da organização, tanto a nível estratégico como a nível operacional. As atividades de controlo são proactivamente desenhadas para mitigar os riscos significativos. A informação crítica para a identificação dos riscos e para alcançar os objetivos do negócio é comunicada através de canais ascendentes, descendentes e ao longo da organização e todo o sistema de controlo interno é monitorizado continuamente e os problemas são tratados atempadamente.

Ainda de acordo com o COSO (1992), a tolerância ao risco proporciona à administração uma maior garantia de que a entidade permanece dentro da sua tolerância ao risco, o qual, por sua vez, possibilita uma maior garantia de conforto de que a organização realizará os seus objetivos.

Cada risco tem uma probabilidade de ocorrência e um impacto de maior ou menor intensidade. As organizações devem identificar e avaliar sistematicamente estes riscos tentando gerir os mesmos através da implementação de medidas apropriadas de prevenção e contingência. Assim, o processo de gestão de risco tem como objetivo minimizar o risco de um determinado evento a um nível aceitável em termos da probabilidade de ocorrência e do impacto das suas consequências. (Pickett, 2010)

2.6 As limitações de um Sistema de Controlo Interno

O sistema de controlo interno, independentemente de estar bem implementado e a funcionar eficazmente, pode apenas proporcionar uma segurança aceitável ao órgão de gestão em relação à consecução dos objetivos do controlo interno da entidade.

Não existe um sistema de controlo interno perfeito, sendo a probabilidade de sucesso é afetada por limitações inerentes ao controlo interno. Tais limitações incluem a potencialidade de ocorrerem erros humanos devido à falta de cuidado, distração, fadiga, stress, erros de julgamento ou má compreensão das instruções. Adicionalmente há a possibilidade de se iludirem os controlos internos através do conluio de um membro da gestão ou de um empregado com terceiros, fora ou dentro da entidade, ou a possibilidade

74

de uma pessoa responsável pelo exercício de um controlo interno poder fazer mau uso dessa responsabilidade. (Marçal & Marques, 2011)

Outro fator de limitação é o facto da maioria dos controlos tender a dirigir-se a transações de rotina, e não a transações fora de rotina, e também o usual requisito da gestão de que o custo de um controlo interno não deve exceder os benefícios que se esperam extrair. Embora a relação custo benefício seja um primeiro critério que deve ser considerado na conceção do controlo interno, não é possível a avaliação precisa dos custos e benefícios. Consequentemente, a gestão tanto deve fazer estimativas e julgamentos quantitativos como qualitativos na avaliação da relação custo-benefício. (Marçal & Marques, 2011)

A eficácia do sistema de controlo interno de uma entidade pode também ser afetada por fatores adversos, tais como as mudanças no controlo; as mudanças na gestão e no pessoal; as mudanças nas normas e regulamentos, os quais representam a possibilidade dos procedimentos se poderem tornar inadequados. (Marçal & Marques, 2011)

Na perspectiva de Varela et al. (2009), algumas pessoas consideram o sistema de controlo interno como uma garantia de que a organização não tem falhas, ou seja, consideram que os seus objetivos operacionais, e as informações financeiros estão em conformidade. Esta posição está errada, pois o sistema de controlo interno não é infalível na prossecução dos seus objetivos.

Há uma série de limitações do controlo interno, um dos quais refere-se ao facto de que certos eventos ou situações estão fora do controlo da gestão. O máximo que se pode esperar de um sistema de controlo interno é a obtenção de alguma segurança razoável. Esta não implica que o sistema de controlo Interno por vezes falhe, não existindo garantias de que a segurança razoável seja sinónimo de segurança absoluta. (Varela et al., 2009).

O sistema de controlo interno não pode ser mais eficaz do que os responsáveis pelo seu funcionamento. Mesmo em organizações que tenham um bom ambiente de controlo (altos níveis de integridade e controlo de consciência), existe a possibilidade de algum colaborador ludibriar o sistema de controlo interno. De igual modo, o conluio de duas ou mais pessoas pode causar falhas no sistema. Isso é evidente quando pessoas agindo coletivamente para cometer e ocultar um ato, os dados financeiros e outras informações podem ser alteradas de forma não identificada pelo sistema de controlo. (Varela et al., 2009)

75