Os controles internos são a primeira linha de defesa de qualquer organização contra fraudes, erros e ineficiências operacionais. No Brasil, embora não exista uma réplica exata da norte-americana Sarbanes-Oxley Act (SOX), diversas normas regulatórias — especialmente da Comissão de Valores Mobiliários (CVM) e do Banco Central — estabelecem exigências equivalentes que configuram o que o mercado convencionou chamar de “SOX brasileira”.
A AUDÍPER atua na avaliação e no desenho de controles internos para empresas de diferentes portes, garantindo que suas estruturas de controle atendam às melhores práticas e às exigências regulatórias aplicáveis.
O que são controles internos
Controles internos são o conjunto de políticas, procedimentos e mecanismos estabelecidos pela administração para assegurar que os objetivos da organização sejam alcançados de forma eficiente e em conformidade com a legislação. Os principais objetivos dos controles internos incluem:
- Confiabilidade das demonstrações financeiras: garantir que os registros contábeis reflitam fielmente a realidade econômica da empresa.
- Eficiência e eficácia operacional: otimizar processos e reduzir desperdícios.
- Conformidade legal: assegurar o cumprimento de leis, regulamentos e políticas internas.
- Proteção de ativos: salvaguardar o patrimônio contra perdas, fraudes e uso não autorizado.
Controles internos não são sinônimo de burocracia. Quando bem desenhados, eles agilizam processos, reduzem riscos e conferem segurança à tomada de decisão.
O framework COSO como referência
O COSO (Committee of Sponsoring Organizations of the Treadway Commission) é o framework mais utilizado mundialmente para estruturar controles internos. Ele organiza os controles em 5 componentes inter-relacionados:
- Ambiente de controle: a cultura organizacional, os valores éticos e o comprometimento da alta administração com a integridade.
- Avaliação de riscos: a identificação e análise dos riscos relevantes para o atingimento dos objetivos.
- Atividades de controle: as políticas e procedimentos que asseguram a execução das diretrizes de gestão (aprovações, autorizações, verificações, conciliações, segregação de funções).
- Informação e comunicação: a geração e o fluxo de informações relevantes, tempestivas e acessíveis.
- Monitoramento: a avaliação contínua da qualidade e efetividade dos controles ao longo do tempo.
Princípio fundamental
A segregação de funções é um dos controles mais importantes: quem autoriza uma transação não deve ser a mesma pessoa que a executa ou que a registra. Esse princípio, quando violado, está presente em mais de 60% dos casos de fraude corporativa.
A “SOX brasileira”: exigências regulatórias
Embora o Brasil não tenha uma lei única equivalente à SOX americana, diversas normas criam um arcabouço regulatório que impõe obrigações similares:
CVM — Companhias de capital aberto
A Instrução CVM nº 480/2009 e a Resolução CVM nº 80/2022 exigem que companhias abertas divulguem em seu Formulário de Referência informações sobre a estrutura de controles internos, incluindo deficiências identificadas pelo auditor independente. A administração deve declarar que revisou e aprovou as demonstrações financeiras e as opiniões expressas no relatório de auditoria.
Banco Central — Instituições financeiras
A Resolução CMN nº 4.968/2021 e normativos complementares exigem das instituições financeiras uma estrutura de controles internos proporcional à natureza, ao porte e à complexidade de suas operações. A auditoria interna deve ser independente e reportar diretamente ao conselho de administração ou órgão equivalente.
Lei das S.A. e governança
A Lei nº 6.404/1976 (Lei das Sociedades por Ações) estabelece deveres de diligência e lealdade dos administradores, que incluem a manutenção de controles internos adequados. A combinação com as normas de governança da B3 (Novo Mercado, Nível 2) reforça essas obrigações.
Controles internos na prática
Na experiência da AUDÍPER, os processos que demandam maior atenção em termos de controles internos são:
- Ciclo de receitas: emissão de notas fiscais, reconhecimento de receita, gestão de crédito e cobrança.
- Ciclo de compras e pagamentos: cotações, aprovações de compra, recebimento de mercadorias, conciliação de faturas e liberação de pagamentos.
- Folha de pagamento: admissões, alterações salariais, cálculo de benefícios e encargos.
- Gestão de estoques: contagem física, movimentações, obsolescência e valorização.
- Tesouraria: conciliações bancárias, aplicações financeiras, controle de fluxo de caixa.
- Tecnologia da informação: controles de acesso a sistemas, backups, logs de auditoria e segurança cibernética.
Caso prático
Em uma auditoria recente conduzida pela AUDÍPER, identificamos que a ausência de conciliação bancária diária em uma empresa de médio porte permitiu que desvios no valor de R$ 1,2 milhão passassem despercebidos por mais de seis meses. A implementação de controles automatizados resolveu o problema definitivamente.
Avaliando a maturidade dos controles
A avaliação da maturidade dos controles internos segue uma escala progressiva:
- Nível 1 — Inexistente: processos informais, sem documentação ou padronização.
- Nível 2 — Inicial: controles existem, mas dependem de iniciativas individuais.
- Nível 3 — Definido: processos documentados e padronizados, com responsáveis designados.
- Nível 4 — Gerenciado: controles monitorados com indicadores de desempenho.
- Nível 5 — Otimizado: melhoria contínua baseada em dados, com automação e inteligência artificial.
A maioria das empresas de médio porte no Brasil situa-se entre os níveis 2 e 3. O objetivo é evoluir progressivamente, priorizando os processos de maior risco.
O papel da auditoria interna e externa
A auditoria interna é a função responsável por avaliar continuamente a efetividade dos controles internos, reportando à alta administração e ao comitê de auditoria. Já a auditoria externa (independente) avalia os controles no contexto de sua opinião sobre as demonstrações financeiras, identificando deficiências significativas e fraquezas materiais que possam afetar a confiabilidade das informações contábeis.
Ambas as funções são complementares e indispensáveis. A auditoria interna atua de forma contínua e aprofundada, enquanto a auditoria externa confere uma visão independente e periódica.
Como a AUDÍPER pode ajudar
A AUDÍPER oferece serviços de avaliação, desenho e monitoramento de controles internos, utilizando o framework COSO como referência e ferramentas de inteligência artificial para análise de dados transacionais. Nosso trabalho abrange desde o diagnóstico de maturidade até a implementação de controles automatizados, passando pela capacitação das equipes internas.
Com 40 anos de atuação em auditoria independente, entendemos que controles internos sólidos são o alicerce da boa governança e da sustentabilidade empresarial. Entre em contato para uma avaliação dos controles internos da sua empresa.
