Controladoria Aula 04

Prévia do material em texto

CONTROLADORIA 
AULA 4 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Profª Edenise Aparecida dos Anjos 
 
 
2 
CONVERSA INICIAL 
Esta aula tem como objetivo apresentar uma das mais importantes 
funções da controladoria, os sistemas de controles, e a importância da 
implantação de controles internos para a gestão de riscos. Para isso, vamos 
estudar os seguintes temas: 
1. Controles internos; 
2. Lei Sarbanes-Oxley (SOX); 
3. Diretrizes para a implantação ou a revisão de um sistema de controles 
internos; 
4. Função da controladoria na gestão de riscos; 
5. Programa estruturado para o gerenciamento de riscos. 
CONTEXTUALIZANDO 
“Um sistema de controle é um modo predeterminado de se realizar uma 
atividade ou um conjunto de atividades. É um processo pelo qual os gerentes 
influenciam outros membros da organização para implementarem as 
estratégias da organização” (Anthony; Govindarajan, 2008, p. 30). Trata-se de 
um sistema formalizado, essencial para o controle de tarefas e resultados nas 
organizações. 
De acordo com Atkinson et al. (2011), o controle é o processo que as 
empresas usam para se manter na trajetória correta e atingir suas metas e 
seus objetivos. É um processo para monitorar o desempenho efetivo com o 
desempenho planejado, podendo ser definido como um processo de 
mensuração e avaliação de desempenho. 
Nesse entendimento, independentemente do porte ou ramo de 
atividades, os sistemas de controles são fundamentais para orientar o processo 
de gestão. Para Viana (2018), a “criação e a estruturação de controles internos 
deixam de ser um diferencial para se tornarem um quesito fundamental, 
atendendo às necessidades da organização, de acordo com a missão e a visão 
estabelecidas”. Vamos a nossa aula – bons estudos! 
 
 
3 
TEMA 1 – CONTROLES INTERNOS 
Antes de apresentar os conceitos e as funções dos controles internos 
nas organizações, é imperativo entender o que é controle e como ele pode 
ser visto nas organizações. Vamos ao exemplo: uma organização é 
composta de um grupo de pessoas que trabalham juntas com um único 
objetivo, atingir as metas comuns da empresa e obter um lucro satisfatório, por 
meio da eficácia operacional. Para isso: 
 São estruturadas de modo hierárquico – os gestores da alta 
administração (Chief Executive Officer – CEO – e diretores executivos), 
na parte superior do organograma, e, na sequência, supervisores, 
gerentes de unidade, departamento, funções e/ou subunidades; 
 Todos os gestores, exceto o CEO, são superiores e subordinados; eles 
supervisionam pessoas em suas próprias unidades e estas, por sua vez, 
são supervisionadas pelos gerentes, a quem se reportam; 
 A equipe de gestores da alta administração decide sobre as estratégias 
gerais que permitirão à empresa alcançar suas metas. Os gerentes das 
diversas unidades de negócio formulam estratégias de negócios 
adicionais, que são submetidas à aprovação do CEO e que permitirão 
que suas unidades de negócio alcancem as referidas metas (Anthony; 
Govindarajan, 2008). 
Observe, nesse exemplo, que, para manter a unidade organizacional, é 
preciso estabelecer sistemas de controle, ou seja, processos e procedimentos 
pelos quais os gestores de todos os níveis possam garantir que as pessoas 
supervisionadas por eles possam implementar as estratégias pretendidas, de 
modo a garantir que o planejamento estratégico seja executado. 
Para Anthony e Govindarajan (2008), o controle é um mecanismo de 
gestão, definido como o processo pelo qual os gestores influenciam os outros 
membros de uma organização para implementar as estratégias desta. O 
processo de formulação de estratégias está mais relacionado a atividades de 
planejamento, os processos de controle são mais importantes no controle de 
tarefas e o controle gerencial encaixa-se entre os dois, conforme apresentado 
na Figura 1: 
 
 
4 
Figura 1 – Atividades e funções do controle 
 
Fonte: Adaptado de Anthony; Govindarajan, 2008, p. 19-20. 
Embora a formulação da estratégia esteja associada a atividades de 
longo prazo e o controle de tarefas a atividades de curto prazo, o controle 
gerencial atribui o mesmo grau de importância para ambos, entendendo-os 
como atividades essenciais para o desempenho organizacional. 
Desse modo, define-se o controle como um conjunto de métodos e 
ferramentas que os membros da empresa usam para mantê-la na 
trajetória e alcançar seus objetivos (Atkinson et al., 2011). Isso posto, vamos 
tratar agora dos controles internos, suas funções e seus objetivos. 
1.1 Controle interno 
O controle interno é entendido como um procedimento permanente 
adotado pelas organizações para cumprir os planos da empresa. Para o comitê 
American Institute of Certified Public Accountants (AICP), 
o controle interno compreende o plano de organização e o conjunto 
coordenado dos métodos e medidas, adotados pela empresa, para 
proteger seu patrimônio, verificar a exatidão e a fidedignidade de 
seus dados contábeis, promover a eficiência operacional e encorajar 
a adesão à política traçada pela administração. (Attie, 2018, p. 188) 
A definição apresentada é mais ampla do que se possa atribuir à 
realidade: ela reconhece que um sistema de controle interno se projeta além 
daquelas questões relacionadas com as atividades contábeis, estende-se às 
políticas e diretrizes organizacionais e a todas as atividades administrativas 
(Attie, 2018). Dessa perspectiva, entende-se que o controle interno gira em 
torno dos aspectos administrativos, com relação direta sobre os aspectos 
contábeis, sendo, então, uma das atribuições da controladoria. 
A importância do controle interno evidencia-se ao observar a 
impossibilidade de uma empresa manter-se em continuidade sem a utilização 
Formulação da 
Estratégia
•Metas, 
estratégias e 
diretrizes
Controle 
Gerencial
•Implementação 
de estratégias
Controle de 
tarefas
•Desempenho 
eficiente e 
eficaz de tarefas 
individuais 
 
 
5 
de controles dos fluxos de informações e operações. Portanto, a função de 
controle deve ser preocupação contínua dos responsáveis pelo destino das 
organizações, visto que nenhum planejamento, por melhor que seja, pode 
assegurar o cumprimento dos objetivos da organização (Oliveira; Perez Junior; 
Silva, 2015). Desse modo, os sistemas de controles internos assumem vital 
importância. 
Em síntese, todas as empresas têm controles internos, no entanto, o 
porte e o nível de complexidade definem a função e os tipos de controles a 
serem utilizados. Assim, o controle interno é parte integrante da organização, e 
cada procedimento corresponde a uma parte de seu conjunto. 
Vejamos um exemplo simplista de controle de vendas a prazo: 
 O departamento de vendas emite um pedido a prazo; habitualmente, a 
empresa tem procedimentos que permitem assegurar se o cliente 
poderá quitar seus compromissos junto à companhia. 
 Por sua vez, o setor de expedição terá de saber se a venda foi realizada 
para fazer seu despacho e solicitar a emissão da documentação 
comprobatória, que compulsoriamente terá de ser contabilizada. 
Observa-se o modo genérico de vendas, definido nesse contexto como 
um controle interno de transações ou de tarefas, uma vez que a empresa tem 
procedimentos que permitem aos subordinados, no caso de uma venda a 
prazo, emitir um pedido, analisar o cadastro do cliente e, posteriormente, 
autorizar ou não a venda. Se autorizada a venda, inicia-se outro procedimento, 
a distribuição ou entrega do produto. 
1.2 Característica de um controle interno 
Assim como as organizações, os controles internos são entendidos sob 
o enfoque sistêmico.Desse modo, um sistema de controle interno bem-
desenvolvido pode incluir controle orçamentário, custos-padrão, relatórios 
operacionais periódicos, análises estatísticas, programas de treinamento do 
pessoal e, inclusive, auditoria interna (Attie, 2018). A partir dessa visão, o 
controle interno, sob o enfoque da controladoria, pode ser classificado em: 
 Controles contábeis: compreendem todos os métodos e procedimentos 
diretamente relacionados à salvaguarda do patrimônio e à fidedignidade 
dos registros contábeis. Alguns exemplos podem ser os seguintes 
 
 
6 
controles: sistema de autorização e aprovação; separação das funções 
de escrituração e elaboração dos relatórios contábeis daquelas ligadas 
às operações ou à custódia dos valores; controles físicos sobre esses 
valores (Attie, 2018, p. 243). 
 Controles gerenciais: compreendem o plano de organização e todos os 
métodos e procedimentos que dizem respeito à eficiência operacional e 
à decisão política traçada pela administração, relacionados 
indiretamente com os controles financeiros. São exemplos: análises 
estatísticas, estudos de tempo e movimentos, relatórios de desempenho, 
programas de treinamento e controle de qualidade (Attie, 2018, p. 243). 
Entende-se, assim, que, no ambiente organizacional interno de uma 
empresa, existe uma infinidade de procedimentos de controles internos em 
todas as atividades, independentemente do nível hierárquico. Nesse sentido, 
os controles são classificados de acordo com sua natureza e função em dois 
tipos: controle de resultados e controle de tarefas. 
1.3 Natureza e função dos controles 
Quanto à natureza e à função do controle, Anthony e Govindarajan 
(2008) destacam a necessidade de uma empresa ser controlada, ou seja, ter 
mecanismos que assegurem que está na direção correta, de acordo com o 
planejado. Nesse contexto, o controle assume como função: 
 Ajudar a manter uma empresa sob controle; 
 Identificar o quanto o processo está fora do controle; 
 Dar suporte à aprendizagem da empresa; 
 Apoiar o planejamento e a tomada de decisão. 
No entanto, para manter uma empresa sob controle, é importante 
conhecer o ciclo do controle e sua função. O processo de controle compreende 
cinco passos, conforme exposto por Anthony e Govindarajan (2008) na Figura 
2: 
 
 
 
7 
Figura 2 – Ciclo do controle 
 
Fonte: Anthony; Govindarajan, 2008, p. 582. 
1. Planejar: consiste no desenvolvimento dos objetivos primários e 
secundários da organização e na identificação dos processos que os 
completam. 
2. Executar: consiste na implementação do plano. 
3. Monitorar: consiste em mensurar o nível atual de desempenho do 
sistema. 
4. Avaliar: consiste na comparação do nível atual de desempenho do 
sistema com o desempenho previsto, avaliando se as variações foram 
positivas ou negativas. 
5. Corrigir: consiste na realização de qualquer ação corretiva necessária 
para colocar o sistema sob controle. 
Para que a empresa mantenha o controle, é necessário que conheça e 
mensure cada etapa, pois, do contrário, o controle é inócuo, não tem utilidade 
prática. Desse modo, o processo de planejar, executar, monitorar, avaliar e 
corrigir para melhorar o desempenho da empresa, com vistas a alcançar seus 
objetivos, é denominado controle organizacional (Atkinson et al., 2011). 
O controle pode ser definido ainda quanto à sua duração, ou seja, a 
relação na dimensão do tempo entre o sistema que está sendo controlado e a 
aplicação do controle. Assim, os controles podem ser avaliados e monitorados 
de modo permanente, esporadicamente ou quando do fechamento do exercício 
social. Nesse sentido, Atkinson et al. (2011) classificam os controles como: 
Planejamento
Execução
MonitoramentoAvaliação
Correção
 
 
8 
 Controle reativo ou retroalimentação: informa sobre as atividades 
realizadas para compará-las com as atividades planejadas, atuando 
como forma de feedback no apoio à tomada de decisão. Exemplo: para 
avaliar o desempenho de um orçamento, compara-se o orçado com o 
realizado, e as variações são utilizadas para elaborar o orçamento do 
próximo período. 
 Controle concomitante: opera monitorando as atividades enquanto 
estão sendo realizadas. Exemplo: em um processo de envasamento de 
determinado produto, o sistema de controle confere, imediatamente após 
as unidades estarem cheias, se o peso unitário em litros está adequado, 
e, se sim, o processo continua. Se o processo estiver fora do controle, é 
interrompido e corrigido. 
 Controle preventivo: atua de forma preventiva, ou seja, analisa o 
processo antes da atividade ser realizada. Tem como objetivo o controle 
de resultados indesejados. Exemplo: as organizações consideram que 
os custos de projetar sistemas de controle para identificar e corrigir erros 
são menores que os custos para corrigi-los posteriormente (Atkinson et 
al., 2011). 
1.4 Tipos de controles 
No que tange aos tipos de controles, as empresas utilizam os controles 
por tarefa (processos) e por resultados (Atkinson et al., 2011). O controle por 
tarefa é o processo que certifica se uma tarefa está sendo executada da 
maneira predeterminada. Pode ser categorizado em controle preventivo e 
monitoramento. 
De acordo com Atkinson et al. (2011), esse tipo controle é adequado: 
 Em situações com exigência legal para seguir normas ou procedimentos 
específicos para proteger a segurança pública, como na fabricação de 
medicamentos de prescrição e componentes críticos de aeronaves e na 
operação de instalações de energia nuclear. 
 Quando os funcionários lidam com ativos líquidos (ou outros ativos 
preciosos) para reduzir a oportunidade de tentação ou fraude. 
 Quando a organização pode controlar seu meio ambiente e eliminar a 
incerteza e a necessidade de julgamento. Nessas situações, a 
 
 
9 
organização pode desenvolver normas e procedimentos específicos que 
os funcionários devem seguir. 
Já os controles por resultado são projetados para motivar o 
comportamento de tomada de decisão, e primam pelo melhor desempenho e 
eficiência. Assim, a empresa declara seus objetivos para que seus funcionários 
entendam o que é importante e como contribuir para atingi-los. 
Compreendem, então, o processo de monitorar e avaliar, e, segundo 
Atkinson et al. (2011), são mais efetivos nas seguintes situações: 
 Quando os membros da organização entendem seus objetivos e sua 
contribuição para alcançá-los. 
 Quando os membros da organização têm o conhecimento e a habilidade 
de responder às situações de mudança ao adotar ações corretivas e 
tomar decisões importantes. 
 Quando o sistema de medição do desempenho é projetado para avaliar 
as contribuições individuais, de modo que um indivíduo possa ser 
motivado a adotar uma ação e a tomar decisões que refletem seu 
interesse e os interesses da organização. 
Nesse contexto, os sistemas de controles são estruturados de acordo 
com os subsistemas, formando uma cadeia de procedimentos destinados a 
gerar e registrar informações finais. Depreende-se, assim, que os sistemas de 
controles organizacionais podem atuar em conjunto como controles por tarefas 
e resultados. 
TEMA 2 – LEI SARBANES-OXLEY (SOX) 
A Lei Sarbanes-Oxley, conhecida como SOX, é uma lei aplicável às 
empresas com valores mobiliários emitidos nos Estados Unidos, bem como 
suas subsidiárias de grupos norte-americanos. Foi promulgada como reação a 
uma onda de escândalos contábeis envolvendo grandes corporações 
americanas (Oliveira; Perez Junior; Silva, 2015). 
Nas palavras de Pizo (2018), a promulgação da lei tem como premissa 
responsabilizar a alta administração pela emissão,elaboração e divulgação dos 
relatórios financeiros, passando a responder criminalmente por possíveis 
irregularidades nos controles internos, com vistas a coibir fraudes 
administrativas. 
 
 
10 
Assim, a SOX veio estabelecer critérios de controle rigorosos para 
assegurar às partes interessadas o acesso à informação adequada, assim 
como punições rigorosas para casos de fraude, no intuito de enfatizar a 
importância, agora prevista em lei, de elevados padrões éticos (Bermudo; 
Vertamatti, 2016). 
Para Bermudo e Vertamatti (2016, p. 68), a SOX promoveu mudanças 
que fomentaram um maior nível de controle nas organizações, como: 
 Restrição do trabalho das empresas de auditoria; 
 Aumento das penalidades criminais para os empresários e executivos 
que cometam irregularidades; 
 Elevação do grau de responsabilidade dos diretores de empresas 
públicas com ações em bolsa, no que tange à divulgação de 
informações; 
 Instituição de novas proteções para os investidores; 
 No caso dos Estados Unidos, criação de um conselho de supervisão 
contábil para fiscalizar os auditores da bolsa de valores mobiliários. 
As mudanças impostas pela SOX vão além de controles mais rigorosos, 
e despertam a preocupação da administração em relação às práticas de 
governança corporativa, no sentido de conquistar a confiança dos investidores 
e conseguir recursos no mercado. Desse modo, entende-se por governança 
corporativa o conjunto de mecanismos internos e externos que visam 
harmonizar e compatibilizar a relação entre gestores e acionistas, dada a 
natural separação entre controle e propriedade (Oliveira; Perez Junior; Silva, 
2015). 
Sob essa ótica, após a promulgação da SOX, a governança corporativa 
passou de opcional à mandatória, alcançando não só as empresas norte-
americanas com ações nas bolsas de valores, como, por exemplo, a americana 
General Electric, como também as empresas estrangeiras com recibos de 
ações American Depositary Receipt (ADR) negociados na bolsa dos Estados 
Unidos, como a brasileira Natura Cosméticos (Bermudo; Vertamatti, 2016). 
2.1 Principais aspectos da Lei Sarbanes-Oxley 
A SOX tem 11 Capítulos e 69 Seções, estabelecidos como a 
formalização do controle e da influência no comportamento organizacional por 
 
 
11 
meio de seus requerimentos em termos de certificação, criação de mecanismos 
de fiscalização e monitoramento, bem como estabelecimento de multas 
pecuniárias e possibilidade de prisão de infratores (Bermudo; Vertamatti, 2016). 
O Quadro 1 apresenta os capítulos e seus respectivos títulos: 
Quadro 1 – Lei Sarbanes-Oxley 
 CAPÍTULOS TÍTULO 
CAPÍTULO I Criação do Órgão de Supervisão do Trabalho dos Auditores 
Independentes 
CAPÍTULO II Independência do Auditor 
CAPÍTULO III Responsabilidade Corporativa 
CAPÍTULO IV Aumento do Nível de Divulgação de Informações Financeiras 
CAPÍTULO V Conflito de Interesses de Analistas 
CAPÍTULO VI Comissão de Recursos e Autoridade 
CAPÍTULO VII Estudos e Relatórios 
CAPÍTULO VIII Prestação de Contas das Empresas e Fraudes Criminais 
CAPÍTULO IX Aumento das Penalidades para Crimes de Colarinho Branco 
CAPÍTULO X Restituição de Impostos Corporativos 
CAPÍTULO XI Fraudes Corporativas e Prestação de Contas 
Fonte: Adaptado de Bermudo; Vertamatti, 2016, p. 60-72. 
Entre os capítulos promulgados pela SOX, o terceiro versa sobre a 
responsabilidade corporativa. A seção 302, segundo registram Bermudo e 
Vertamatti (2016), versa sobre a certificação dos controles internos, na qual o 
Presidente (CEO) e o Diretor Financeiro (CFO) precisam, a cada trimestre, 
assinar uma carta, chamada de certificação, e apresentá-la com a divulgação 
de seus relatórios financeiros à Securities Exchange Commission – SEC 
(Comissão de Valores Mobiliários Americana), atestando para o público 
interessado (investidores, credores, fornecedores, empregados e governo) que: 
 Ambos conhecem e revisaram as informações fornecidas pela 
companhia; 
 Essas informações correspondem à verdade, sendo elaboradas de boa-
fé e sem qualquer interesse de enganar ou ludibriar; 
 Todas as informações apresentadas representam todos os aspectos 
relevantes a serem conhecidos sobre a companhia, incluindo suas 
subsidiárias; 
 Como administradores da empresa, têm consciência de sua 
responsabilidade em estabelecer e prezar pela manutenção efetiva de 
seus controles internos, avaliando essa efetividade periodicamente a 
 
 
12 
cada trimestre antes de assinar essa certificação e divulgar informações 
relevantes sobre a empresa; 
 Fizeram chegar aos membros da auditoria externa e do Comitê de 
Auditoria todos os fatores relevantes referentes a deficiências em seus 
controles internos que pudessem, de forma material, impactar nas 
informações divulgadas, e, dessa forma, induzir o público interessado 
em uma ação adversa, assim como qualquer tipo de fraude, material ou 
não, envolvendo qualquer empregado que tenha participação ou 
ingerência nos controles internos (Bermudo; Vertamatti, 2016). 
Por sua vez, a seção 404 demanda que as empresas incluam em seus 
relatórios anuais um relatório sobre os controles e procedimentos internos 
para emissão dos relatórios financeiros, no qual a administração declara 
sua responsabilidade pelo estabelecimento e pela manutenção desses 
controles, declarando ainda que avalia e que informa sobre a sua efetividade, 
bem como que o auditor independente da companhia atestou e reportou a 
avaliação feita pela administração (Bermudo; Vertamatti, 2016). 
A SOX trouxe mudanças comportamentais que estimularam o 
desenvolvimento da controladoria estratégica nas organizações, enfatizando a 
importância da boa governança corporativa (Bermudo; Vertamatti, 2016). 
Passou a exigir o estabelecimento de controles internos sobre as 
demonstrações financeiras pelas empresas e auditorias sobre os controles 
internos implementados, e a atividade deixou de ser uma boa prática de 
mercado para tornar-se uma obrigatoriedade, sendo uma exigência requerida 
por outros mercados de capitais de seus respectivos países (Pizo, 2018). 
TEMA 3 – DIRETRIZES PARA A IMPLANTAÇÃO OU A REVISÃO DE UM 
SISTEMA DE CONTROLES INTERNOS 
A implementação de controles internos, por mais que melhore a 
confiabilidade dos processos organizacionais, não erradica todos os erros e 
problemas das empresas. Portanto, para que a implementação de um sistema 
de controle interno funcione, deve haver uma adesão total da organização, de 
modo a fazer parte da cultura organizacional (Gonçalves; Riccio, 2009). 
Para Oliveira, Perez Junior e Silva (2015), o sucesso da implementação 
dos sistemas de controle precisa atender às seguintes diretrizes: 
 
 
13 
1. Desenvolver o próprio sistema de controles. 
2. Por melhor que seja, nenhum sistema de controles poderá compensar 
ou neutralizar as incompetências dos executivos da empresa. 
3. Complexidade dos sistemas de controles internos não representa 
garantia de eficácia e eficiência. 
4. Devem ser fixados prazos realistas e exequíveis no processo de 
implantação do sistema de controles. 
5. É decisiva a participação das pessoas na implantação ou no 
aprimoramento dos controles internos e na futura manutenção e 
operacionalização sistêmica. 
6. Sistemas complexos e impraticáveis são inúteis. 
7. No processo de implantação ou reformulação, devem ser consideradas 
também as perspectivas futuras da empresa. 
As diretrizes são fundamentais para a definição da função do controle na 
organização, uma vez que cada empresa tem sua própria cultura, crenças e 
valores. Nesse contexto, a primeira diretriz está relacionada com as 
especificidades do controle emcada companhia. 
Na sequência, deve-se levar em consideração a complexidade do 
sistema de controle e as habilidades e competências dos gestores e 
executivos, considerando que o nível de complexidade do sistema de controle 
não garante eficiência e eficácia operacional. 
Quanto mais burocrático um sistema, menos habilitante ele se torna. 
Isso posto, as metas e os objetivos do sistema de controle devem ser passíveis 
de serem atingidos, com risco de comprometer o desempenho da empresa. 
A quinta diretriz, refere-se à participação dos colaboradores. Nesse 
sentido, Oliveira, Perez Junior e Silva (2015, p. 79) citam um exemplo 
considerando a seguinte situação: 
A empresa dispõe de uma eficiente e moderna controladoria, dispõe 
de rotinas e formulários de orçamento e de informação à gerência, 
conta com um manual de normas e procedimentos, descrição de 
cargos, adequadas tecnologias de informática etc., mas não tem o 
pessoal apto a elaborar, interpretar e aperfeiçoar todo esse conjunto 
de documentos e quadros demonstrativos com as explicações das 
variações. 
Observa-se, então, que a organização não pode negligenciar a 
dimensão de recursos humanos ao desenvolver um projeto de sistema de 
controle, pois são as pessoas, e não os processos, que irão executar as 
 
 
14 
tarefas. Assim, para evitar resistências quanto à implementação de sistemas de 
controles, deve-se primar pela capacitação da equipe. 
Por fim, os sistemas de controles não se criam, sequer se alteram com 
facilidade, por isso o desenho dos sistemas de controles deve levar em 
consideração a complexidade e os planos de curto e de longo prazo, ou seja, 
estar alinhado à missão e às metas organizacionais (Oliveira; Perez Junior; 
Silva, 2015). 
TEMA 4 – FUNÇÃO DA CONTROLADORIA NA GESTÃO DE RISCOS 
As atividades de gerenciamento do risco são estratégicas, mas os riscos 
podem ser de diversos tipos, podendo ser classificados, numa primeira análise, 
em riscos estratégicos, riscos de gestão e riscos operacionais (Padoveze, 
2016). 
O risco é definido como “eventos futuros incertos que podem influenciar 
o alcance dos objetivos estratégicos, operacionais e financeiros da 
organização” Padoveze (2016, p. 125). Dessa perspectiva, vamos à gestão de 
riscos e aos tipos de riscos aos quais as empresas estão sujeitas. 
4.1 Gestão de riscos 
A gestão de riscos é um tema comumente estudado em finanças, 
associado à teoria de risco e retorno de investimentos (Padoveze, 2012). No 
entanto, as empresas estão sujeitas há diversos outros tipos de riscos, que não 
necessariamente financeiros, como, por exemplo, investir, comprar, produzir, 
fabricar, vender, contratar e pagar funcionários (Oliveira; Perez Junior; Silva, 
2015). 
Assim entende-se que assumir risco faz parte da atividade de qualquer 
empresa. Nesse contexto, Oliveira, Perez Junior e Silva (2015) entendem a 
gestão de riscos como um processo determinado pela alta administração e 
executado pelos gestores da empresa – entre os quais inclui-se a equipe da 
controladoria –, aplicado à estratégia do negócio e desenhado para identificar 
eventos que possam afetar a sua continuidade. 
A gestão de riscos objetiva, então, minimizar o risco de grandes perdas 
e melhorar a compreensão e o controle das operações nos diversos mercados 
 
 
15 
de atuação. Como pode ser vista sob diversos enfoques, vamos estudá-la, a 
princípio, a partir da teoria de finanças, que segrega os riscos em: 
 Risco de crédito: possibilidade de a companhia vir a incorrer em perdas 
decorrentes de problemas financeiros de seus clientes que os obriguem 
a não honrar seus compromissos assumidos. 
 Risco de taxa de câmbio: possibilidade de a companhia vir a sofrer 
perdas por conta de flutuações nas taxas de câmbio que reduzam 
valores nominais de suas contas a receber ou aumentem os valores de 
suas contas a pagar e empréstimos captados no mercado internacional. 
 Risco de preço: possibilidade de a companhia vir a sofrer perdas por 
conta de flutuações de preços de seus produtos ou serviços nos 
mercados interno ou externo (Oliveira; Perez Junior; Silva, 2015). 
Essa segregação considera a possibilidade de futuros ganhos ou fluxos 
de caixa líquido, ou seja, do ponto de vista do retorno financeiro. Todavia, do 
ponto de vista da controladoria, a gestão de riscos pode ser vista sob o 
enfoque sistêmico, a partir da perspectiva de conformidade (compliance), por 
meio da análise do ambiente interno e externo do controle e retorno do 
investimento, conforme ilustrado na Figura 3: 
Figura 3 – Conciliação das perspectivas 
 
Fonte: Padoveze, 2016, p. 216. 
A partir dessas perspectivas de conformidade e desempenho, Padoveze 
(2016) classifica os riscos em: 
Controle de 
Ameaças/Riscos 
internos 
Retorno de 
Oportunidades 
externas 
GESTÃO DE RISCOS 
Conformidade Desempenho 
 
 
16 
 Risco de oportunidade: quanto maior o risco, maior o potencial de 
retorno, e, necessariamente, maior o potencial de perda. 
 Risco como perigo ou ameaça: refere-se a eventos potencialmente 
negativos, tais como perdas financeiras, fraudes, danos à reputação, 
roubo ou furto, morte ou injúria, falha de sistemas ou demandas judiciais. 
 Risco como incerteza: refere-se à distribuição de todos os resultados 
possíveis, sejam positivos ou negativos, procurando reduzir a variância 
entre os resultados antecipados e os resultados reais (Padoveze, 2012). 
Em suma, entende-se a gestão de riscos como um processo aplicado à 
estratégia do negócio e desenhado para identificar eventos que possam afetar 
a sua continuidade, permitindo prover, com razoável segurança, a realização 
dos objetivos empresariais e medidas corretivas que proporcionarão adequado 
alinhamento da estratégia com o apetite aos riscos assumidos pela empresa e 
seus responsáveis (Oliveira; Perez Junior; Silva, 2015). 
4.2 Identificação e classificação de riscos 
O processo de identificação dos riscos de uma empresa leva em 
consideração a análise do ambiente interno e externo (variáveis, conformidade 
e desempenho). De acordo com Padoveze (2016), consiste na mais importante 
etapa do processo de gerenciamento de riscos, pois cada risco deve ser 
identificado e explicado de acordo com os níveis de planejamento e o controle 
deve atuar em todas as direções. 
O Quadro 2 sistematiza os riscos relacionando-os a áreas/funções: 
Quadro 2 – Riscos e funções 
RISCOS ÁREAS/FUNÇÕES 
Produção 
Produção ineficiente; padrões de produção não confiáveis; Produção não 
autorizada; roubo de bens; alinhamento inadequado entre produção e 
demanda; troca de custos entre projetos. 
Compras 
Influência dos fornecedores em relação aos compradores; comprar quantidade 
excessiva; comprar bens a preços inflacionados; comprar bens de qualidade 
inferior; comprar quantidade insuficiente; pagar por bens ou serviços não 
recebidos. 
Estoques 
Depreciação, obsolescência ou perda de qualidade dos bens; Recebimento de 
bens com qualidade ou quantidade inferior; atraso no registro de bens 
recebidos (lapping); registros de estoque não atualizados; flutuação na 
demanda por produtos. 
Engenharia Tempo excessivo de processamento de projetos. 
(continua) 
 
 
 
17 
(continuação do Quadro 2) 
Vendas 
Descontos excessivos; uso de preços incorretos; transações em moeda 
estrangeira; vendas a prazo a clientes com situação de crédito desfavorável; 
posição muito alta de contas a receber; fraude no faturamento e liberação das 
mercadorias. 
Recursos 
Humanos 
Falta de treinamento e capacitação; alocação inadequada de tarefas; turnover. 
Tecnologia 
da 
Informação 
(Segurança 
da 
Informação 
 Confidencialidade:controle de acessos; análise de tráfego de informações; 
reprodução não autorizada de software. 
 Integridade: destruição ou modificação não autorizada de dados e 
programas; sequenciamento inválido de mensagens. 
 Disponibilidade: negação de serviços como resultado de defeitos e 
sobrecarga de sistemas; uso não autorizado de 
software. 
 Autenticidade: falsificação de informações. 
Fonte: Adaptado de Vaassen; Meuwissen; Schelleman, 2013, p. 155-194. 
Os riscos aos quais as organizações são expostas são diversos. Desse 
modo, cabe aos gestores identificar e definir os riscos que realmente podem 
impactar a empresa, para constar no sistema de informação, bem como à 
controladoria o acompanhamento, o controle, a identificação e a gestão dos 
riscos envolvidos em todas as etapas. 
Nesse contexto, os riscos podem ser de longo prazo e de operações, de 
modo que, independentemente do seu tipo, podem impactar os fluxos de caixa 
futuros da organização. Padoveze (2016, p. 227) registra alguns exemplos 
representativos de riscos genéricos: 
 Riscos relacionados a manutenção, criação ou perda de clientes; 
 Riscos relacionados aos mercados interno e externo; 
 Riscos relacionados aos produtos e seus respectivos mercados e 
clientes; 
 Riscos relacionados a manutenção, perda ou criação de tecnologia 
produtiva, comercial e administrativa; 
 Riscos relacionados aos concorrentes atuais e potenciais; 
 Riscos relacionados a manutenção, perda ou criação de fornecedores 
estratégicos etc. 
Em síntese, os riscos de longo prazo são os possíveis riscos que a 
empresa pode correr, como, por exemplo, os riscos de investimento de longo 
prazo e os riscos de operação, que são decorrentes da estrutura existente 
(Padoveze, 2016). São vistos nas demonstrações contábeis, no balanço 
patrimonial e na demonstração de resultados. 
 
 
18 
4.3 Avaliação dos riscos 
Após as etapas de identificação e classificação, os riscos devem ser 
avaliados. Desse modo, deve haver uma avaliação do seu possível impacto e 
correspondente probabilidade de ocorrência, a partir de parâmetros 
consistentes que deverão possibilitar o desenvolvimento de um mapa de risco 
priorizado (Padoveze, 2012). 
Os critérios de avaliação de riscos são o impacto e a probabilidade, 
classificados da seguinte forma: 
 Impacto alto, moderado e baixo. 
 Probabilidade de ocorrência alta – provável, moderada – possível e 
baixa – remota. 
Temos, na Figura 4, uma representação da avaliação de riscos e de 
seus critérios: 
Figura 4 – Critérios de avaliação de riscos 
 
Fonte: Pizo, 2018, p. 104. 
Assim, quanto maior for o impacto e a probabilidade de ocorrência, 
maior será a preocupação com o risco. A probabilidade e o impacto podem ser 
trabalhados em diversas escalas, desde o nível de risco “muito baixo” até o 
“risco crítico”, variando conforme a extensão e os objetivos da organização 
(Pizo, 2018, p. 104). 
Vejamos um exemplo de aplicação proposto por Pizo (2018, p. 104), 
adaptado do Committee of Sponsoring Organizations of the Treadway 
Commission (Coso, 2007) – em português, “Comitê das Organizações 
Patrocinadoras da Comissão Treadway”: 
 
 
19 
 Critério de avaliação de risco referenciado ao impacto adverso na 
receita, embora outros indicadores (custos ou ativos) possam ser 
utilizados em relação às operações da empresa (Figura 5): 
Figura 5 – Avaliação de riscos – receitas 
 
Fonte: Pizo, 2018, p. 104. 
 A estimativa de impacto para a classificação do risco como alto é 
aplicada aos riscos que superem 20% da receita de vendas, logo todos 
os riscos em que o impacto potencial, ou pior cenário, está projetado a 
valor igual ou superior a 20% das receitas são considerados riscos 
altos. 
Da mesma forma: 
 Os riscos serão classificados como médios quando o impacto potencial 
estiver entre 5% e 20% da receita; 
 Os riscos serão classificados como baixos quando o impacto potencial 
for inferior a 5% da receita. 
Outro exemplo: 
 Em um processo de Folha de Pagamento que envolve um total de R$ 
3.850.000,00 ao ano, consideramos também três níveis de risco (alto, 
médio e baixo) e consideramos hipoteticamente que esse processo 
contempla apenas três grandes operações: 
 O pagamento de bônus na ordem de R$ 2.000.000,00 ao ano; 
 O pagamento de salários na ordem de R$ 1.500.000,00 ao ano; 
 
 
20 
 O pagamento de benefícios na ordem de R$ 350.000,00 ao ano. 
Aplicando na pirâmide de risco, temos a Figura 6: 
Figura 6 – Avaliação de risco em Folha de Pagamento 
 
Fonte: Pizo, 2018, p. 105. 
 A criticidade, a priorização e o apetite ao risco classificam o nível dos 
riscos: 
a. Folha de Pagamento – bônus em um nível de risco alto. 
b. Folha de Pagamento – salários em um nível de risco médio. 
c. Folha de Pagamento – benefícios em um nível de risco baixo. 
De acordo com Pizo (2018), ainda que não esteja especificada a 
probabilidade do risco, nesse caso, o volume de transações de bônus, os 
salários e benefícios e os esforços serão concentrados na etapa do processo 
do risco alto para o risco baixo. 
A avaliação de risco também terá uma importância significativa em 
relação à natureza dos controles, durante a criação da matriz de riscos e 
controles. 
TEMA 5 – PROGRAMA ESTRUTURADO PARA O GERENCIAMENTO DE 
RISCOS 
Estabelecer uma estrutura de gerenciamento de riscos é um dos 
desafios das organizações na busca de processos cada vez mais eficientes, 
competitivos e seguros (Padoveze, 2016). Normalmente, as empresas 
implementam a gestão de riscos, mas, de acordo com Oliveira, Perez Junior e 
Bônus 
$ 2.000.000 ao ano.
Salários $ 1.500.000 ao ano.
Benefícios de funcionários $ 350.000 ao ano.
Alto 
Médio 
Baixo 
 
 
21 
Silva (2015), são mal estruturadas, não definem questões básicas e funções, 
assim como não avaliam o impacto e a probabilidade do risco. 
5.1 Estrutura de gerenciamento de riscos 
Com base na estrutura do modelo de gerenciamento do Coso (2007) – 
Gerenciamento de Riscos Corporativos – Estrutura Integrada – a estrutura de 
gerenciamento de riscos deve ser orientada de modo que a organização 
aumente a probabilidade de alcançar seus objetivos (Padoveze, 2016). 
Nesse contexto, para analisar os níveis de avaliação de riscos, os níveis 
organizacionais são classificados em quatro categorias: 
1. Estratégicas: metas gerais alinhadas à missão e à visão da empresa. 
2. Operações: utilização eficaz e eficiente dos recursos. 
3. Comunicação: confiabilidade dos relatórios. 
4. Conformidade: cumprimento de leis e regulamentos aplicáveis. 
Nesse modelo, o processo de gerenciamento de riscos corporativos é 
desmembrado em oito componentes inter-relacionados e integrados com o 
processo de gestão: ambiente interno, fixação de objetivos, avaliação de riscos, 
resposta ao risco, atividade de controle, informações, comunicações e 
monitoramento. 
A leitura do ambiente interno leva a empresa a fixar seus objetivos, 
identificar eventos negativos e oportunidades, avaliar riscos, implementar 
respostas aos riscos, executar as atividades de controle interno, comunicar os 
interessados e monitorar continuamente esse processo para que ele seja 
sempre aprimorado, a fim de atender aos objetivos da organização (Padoveze, 
2016). 
Tomando como premissa os modelos de estrutura do Coso, Prado 
(2014) propõe um modelo de estrutura de gestão de riscos que poderá́ ser 
praticado em todas as áreas de negócio, para que a empresa tenha uma visão 
completa dos riscos que cercam seu ambiente. O modelo inclui: 
a. Identificação e classificação de riscos: identificação anual. 
Recomendações de auditoriasinternas e externas. Questionários de 
autoavaliação de controles. Periodicidade anual. 
 
 
22 
b. Avaliação e mensuração de riscos: baseadas em impacto e 
probabilidade. Periodicidade anual. Mensuração por métodos 
quantitativos. 
c. Tratamento e mitigação dos riscos: priorização dos riscos com maior 
impacto/probabilidade e seleção de ações – evitar, controlar, transferir e 
aceitar. Periodicidade anual. 
d. Monitoramento dos riscos: donos dos riscos tomam as ações 
acordadas no item c. Periodicidade a depender do indicador para 
monitoramento dos riscos. 
e. Testes por área especializada: área especializada de apoio à gestão 
de riscos testa os principais indicadores/controles para monitoramento 
dos riscos. 
f. Divulgação para a administração: para que avaliem a consistência do 
programa (alinhamento à estratégia e política de riscos) e implementem 
ações de melhoria contínua. Periodicidade trimestral. 
A estrutura do gerenciamento de riscos contempla todas as atividades 
organizacionais, destacando-se, nesse ponto, a importância dos sistemas de 
controle para mensurar os riscos por grupos ou individualmente. 
5.2 Elaboração do mapa de riscos para mensuração 
A elaboração de mapas de riscos permite que a organização mapeie 
seus processos e defina funções. Para essa elaboração, deve-se começar pela 
descrição dos processos, da identificação e codificação dos riscos, dos 
descritivos do risco em formato de pergunta e das respectivas assertivas 
(explícitas ou implícitas) para identificar a que o risco está associado (Pizo, 
2018). 
Propõe-se, para isso, a separação em quatro etapas (Pizo, 2018): 
1. Nomenclatura, risco, assertivas: a nomenclatura da empresa, do 
megaprocesso, do processo, dos responsáveis e dos descritivos de risco 
e a especificação das assertivas a que os riscos estão associados. 
2. Avaliação do risco: a avaliação individual de cada risco identificado, por 
meio de aplicação de critérios e premissas para priorizar os riscos 
selecionados para o monitoramento. 
 
 
23 
3. Controles versus assertivas: a especificação da numeração do 
controle, do descritivo do controle e da resposta ou associação do 
controle à assertiva do risco. 
4. Controles: a continuidade sobre a especificação do controle por meio da 
aplicação da abordagem técnica e operacional do controle que 
especificará os requisitos necessários para monitorar e testar os 
controles identificados. 
A elaboração do mapa de risco é apresentada em forma de documentos 
e relatórios, para promover a compreensão e a comparabilidade das práticas 
de controle. A Figura 7 apresenta a combinação das ações com relação à 
classificação do impacto e à probabilidade do risco: 
Figura 7 – Ações de respostas aos riscos 
 
Fonte: Prado, 2014, p. 78. 
A gestão de riscos é classificada quanto ao nível de avaliação da 
probabilidade e do impacto do risco existente. Assim, para mensurar o risco, 
são desenvolvidos diversos modelos de avaliação quantitativa ou qualitativa, de 
modo que o mapa de riscos identificados pode ser expresso em forma de 
relatórios para acompanhar os riscos. 
No entanto, para fazer um mapeamento mais específico dos riscos da 
empresa, buscando elementos mais objetivos para a mensuração dos riscos 
identificados, Padoveze (2016) propõe como parâmetro classificar os riscos em 
dois grupos, conforme exposto no Quadro 3: 
 
 
 
24 
Quadro 3 – Classificação dos riscos identificados 
Riscos do que existe em operação 
(curto prazo) 
Riscos do que vai existir 
(longo prazo) 
 Riscos associados a aplicações financeiras 
e concentração de operações bancárias; 
 Riscos associados a valores em moeda 
estrangeira e sua exposição à volatilidade 
das taxas de câmbio; 
 Riscos de obsolescência de estoques; 
 Riscos de concentração de vendas para 
clientes; 
 Riscos de perdas com inadimplência; 
 Riscos com passivos trabalhistas e 
contingências tributárias; 
 Riscos com tecnologia e obsolescência das 
plantas fabris; 
 Riscos com aumento de custos dos 
fornecedores de bens e serviços; 
 Riscos de mudança de políticas tributárias e 
trabalhistas; 
 Riscos de perda de controle interno; 
 Riscos de fraudes etc. 
 Riscos relacionados a manutenção, criação 
ou perda de clientes; 
 Riscos relacionados aos mercados interno e 
externo; 
 Riscos relacionados aos produtos e seus 
respectivos mercados e clientes; 
 Riscos relacionados a manutenção, perda 
ou criação de tecnologia produtiva, 
comercial e administrativa; 
 Riscos relacionados aos concorrentes 
atuais e potenciais; 
 Riscos relacionados a manutenção, perda 
ou criação de fornecedores estratégicos etc. 
Fonte: Padoveze, 2016, p. 228. 
Como exemplo, vejamos o Tabela 1: 
Tabela 1 – Modelo de avaliação da gestão de riscos 
RISCOS IDENTIFICADOS 
D
A
D
O
 
V
A
R
IA
Ç
Ã
O
 
P
O
S
S
ÍV
E
L
 
VALOR 
NOMINAL 
AVALIAÇÃO 
SISTEMA DE 
PROTEÇÃO 
C
O
N
T
A
B
IL
IZ
A
Ç
Ã
O
 
Probabilidade 
Im
p
a
c
to
 
Valor 
do 
Risco 
A
v
a
li
a
ç
ã
o
 
% 
Riscos correntes 
Patrimoniais 
Aplicações Financeiras 20.000 B 1% A 200 Hedge Sim 
Créditos em moeda estrangeira 2,9 20% 10.000 M 50% A -2.900 Securitização Não 
Débitos em moeda estrangeira 2,9 20% 25.000 M 50% A 7.250 Securitização Não 
Perdas de estoque não contabilizadas 10.000 A 90% A 9.000 Não Não 
Créditos com clientes concentrados 20.000 B 10% A 2.000 SIG Não 
Inadimplências – atrasos existentes 5.000 A 99% A 4.950 SIG Sim 
Imobilizados – Passíveis de furtos 2.000 B 10% B 200 Seguro Não 
Imobilizados Obsolescência 50.000 B 2% A 1.000 SIG Sim 
Subtotal 142.000 
Contingentes 
Processo trabalhista 1 4.000 B 2% B 80 Não Sim 
Processo trabalhista N 2.500 A 95% A 2.375 Não Não 
Risco Trabalhista N 30.000 A 5% A 1.500 Liminar Não 
Risco Procedimento ICMS 50.000 M 50% A 25.000 Liminar Sim 
Risco Procedimento IR/CSLL 150.000 M 50% A 75.000 Não Não 
Subtotal 236.500 103.955 
Riscos futuros 
Patrimoniais 
Resultados de controladas 1 20% 200.000 M 50% A 20.000 SIG Não 
Perda de Controle Interno 1 2% 800.00 B 20% M 3.200 SIG Não 
Subtotal 1.000.000 23.200 
Operacionais 
Aumento de custos dos fornecedores 1 15% 800.000 B 20% A 24.000 SIG Não 
Perda de Market Share 1 10% 4.000.000 B 5% A 20.000 SIG Não 
Subtotal 4.800.000 44.000 
Total geral 6.178.500 192.855 
A=alto / M= moderado / B= baixo 
SIG = Sistema de informação geral 
Fonte: Padoveze; Bertolucci, 2008, p. 155. 
 
 
25 
No modelo apresentado por Padoveze (2016) no Quadro 3, o valor de 
todos os riscos identificados foi avaliado por probabilidade simples. 
Ressalta-se que os riscos podem ser avaliados e mitigados por diversos tipos 
de metodologias, estatísticas e de simulação. 
A maioria dos riscos é conhecida e as práticas internacionais de 
contabilidade exigem sua contabilização, que deve constar no modelo de 
relatório de avaliação de riscos (Padoveze, 2016). Na elaboração de um 
modelo, Padoveze (2016, p. 230) explicita que é preciso contemplar riscos 
conhecidos como: 
 Perdas estimadas para créditos incobráveis; 
 Perdas estimadas com estoques deterioráveis ou obsoletos; 
 Provisão para passivos contingentes prováveis etc. 
Ao elaborar um mapa de riscos, as organizações são capazes de 
mensurar o impacto e a probabilidade dos riscos, bem como eventuais 
provisões contábeis que poderão ser realizadas para trazer maior acuracidade 
das demonstrações financeirasquanto aos riscos identificados (Prado, 2014). 
Em síntese, as organizações devem buscar modelos de gerenciamento 
de riscos que apresentem o máximo de proteção possível para cada risco 
identificado, devendo considerar, na escolha de um modelo, a necessidade de 
realizar a análise de custo-benefício, de modo a otimizar os investimentos na 
atividade de gerenciamento. 
TROCANDO IDEIAS 
Maturidade do processo de gestão de riscos no Brasil 
De acordo com estudo da KPMG (2018), fraudes, desobediência a normas 
básicas de compliance, riscos à imagem, desgastes desnecessários: não faltam 
motivos para as empresas aderirem à gestão de riscos. O estudo, realizado no 
Brasil entre novembro e dezembro de 2017, deu origem à primeira edição da Pesquisa 
Maturidade do Processo de Gestão de Riscos no Brasil, e consultou 204 respondentes 
de diferentes segmentos – serviços financeiros, saúde, agronegócio, varejo, energia, 
saneamento, construção civil e diversos outros – para avaliar o grau de maturidade do 
processo de gestão de riscos. 
Os respondentes foram convidados a responder a 38 perguntas, com foco nos 
sete elementos da Metodologia de Gestão de Riscos da KPMG, que são: Apetite a 
Risco & Estratégia; Governança de Riscos; Cultura de Riscos; Avaliação & 
Mensuração; Gestão & Acompanhamento de Riscos; Dados & Tecnologia; e 
Relatórios & Análise de Riscos. 
 
 
26 
A maturidade das empresas foi avaliada em cinco níveis: fraco, 
sustentável, maduro, integrado e avançado. O levantamento permitiu identificar 
que, por um lado, tem aumentado a consciência das empresas sobre a importância de 
trabalhar esse aspecto da gestão de risco, mas os processos, em si, ainda estão 
aquém do nível intermediário: 56% das empresas apresentam nível de maturidade em 
gestão de riscos abaixo da classificação considerada madura (sendo 29% no nível 
fraco e 27% no sustentável), 40% estão no nível maduro, 2% no integrado e apenas 
2% no avançado. Cabe ressaltar que 42% dos respondentes atuam em empresas com 
mais de 3 mil colaboradores e 45% deles falaram em nome de organizações cujo 
faturamento anual no último ano foi igual ou superior a R$ 1 bilhão. 
No que se refere à percepção dos riscos que podem afetar as empresas – 
e que, portanto, motivam a implementação das políticas de gestão –, os respondentes 
destacaram os regulatórios (63%) e os operacionais (60%). Também foram 
mencionados, embora com menos frequência, os riscos associados à tecnologia da 
informação (34%), à execução da estratégia de negócios (31%) e às condições 
econômicas e de mercado (30%). 
Em relação aos principais influenciadores para a implementação da gestão de 
riscos, os mais citados foram a melhoria nas práticas de governança corporativa e sua 
visibilidade interna e para o mercado (70%) e o desejo de reduzir a exposição ao risco 
em toda a empresa (também mencionado por 70% dos entrevistados). A motivação 
para melhorar o desempenho corporativo e a necessidade de evitar escândalos éticos 
e de reputação foram mencionadas por 37% dos entrevistados. 
O que atrapalha a implantação do processo de gestão de riscos? Em 24% 
das empresas que têm processo de gestão de riscos já implementado, as questões 
relativas ao tema são reportadas diretamente ao CEO; em 18%, o assunto fica sob a 
égide do Conselho de Administração; o Comitê de Gestão de Riscos e o CFO foram 
citados, cada um, respectivamente, por 14% dos entrevistados. Apenas 10% 
mencionaram o Comitê de Auditoria, e 7% disseram contar com um CRO (Chief Risk 
Officer). “Outras diretorias” e “outros” foram as respostas de, respectivamente, 10% e 
3% dos participantes do Estudo. Como se vê, a gestão de riscos no Brasil ainda 
não é priorizada a ponto de ter uma estrutura própria na maioria das 
organizações. 
Em relação aos obstáculos mais citados para a implementação da gestão de 
riscos, os entrevistados destacaram ausência de cultura no tema (65%), existência de 
outras prioridades (56%) e falta de clareza em relação aos benefícios potenciais 
(52%). Além disso, 62% dos participantes afirmaram que o nível do entendimento do 
processo de Gestão de Riscos dos colaboradores é baixo ou inexistente, e 56% 
disseram que o tema sequer faz parte dos processos de avaliação de desempenho 
dos executivos e gestores. 
A partir da pesquisa da KPMG (2018) “Maturidade do Processo de 
Gestão de Riscos no Brasil”, procure identificar na sua organização ou em uma 
organização que conhece qual a tratativa dada ao processo de avaliação de 
riscos estruturada, e discuta a importância de uma matriz de gestão de riscos. 
 
 
27 
NA PRÁTICA 
Nesta aula, observamos a importância dos sistemas de controle para as 
organizações. A implantação de controles adequados em todos os níveis 
sistêmicos é fundamental para a implementação, a manutenção e a avaliação 
do gerenciamento de riscos na organização. 
No que se refere à avaliação da gestão de riscos quanto ao impacto e à 
probabilidade, associe os seguintes códigos com as assertivas propostas 
abaixo: 
I. Risco alto 
II. Risco médio 
III. Risco baixo 
( ) Riscos de fraudes nas demonstrações contábeis para a captação de 
recursos financeiros. 
( ) Riscos de perdas estimadas em créditos de liquidação duvidosa de clientes. 
( ) Riscos com perdas de estoques em função de defasagens tecnológicas. 
( ) Riscos com aumento de custos dos fornecedores de bens e serviços. 
( ) Riscos relacionados a manutenção, perda ou criação de fornecedores 
estratégicos. 
FINALIZANDO 
Estudamos aqui a importância e a funcionalidade dos sistemas de 
controle com foco na gestão de riscos, abordando os seguintes tópicos: 
 Controles internos: a importância, a característica e principalmente a 
função dos controles sob o enfoque de tarefas (transações) e resultados, 
pela perspectiva sistêmica. 
 Lei Sarbanes-Oxley (SOX): os principais aspectos da Lei SOX e os 
reflexos nos sistemas de controles internos. 
 Diretrizes para a implantação ou a revisão de um sistema de 
controles internos: os delineamentos que norteiam a implantação de 
sistemas de controles internos na organização, definindo funções e 
atividades. 
 Função da controladoria na gestão de riscos: definição, identificação, 
mensuração e avaliação da gestão de riscos. 
 
 
28 
 Programa estruturado para o gerenciamento de riscos: modelo de 
estrutura e elaboração do mapa da gestão de riscos. 
 
 
29 
REFERÊNCIAS 
ANTHONY, R. A.; GOVINDARAJAN, V. Sistemas de controle gerencial. 
Porto Alegre: AMGH, 2008. 
ATKINSON, A. A. et al. Contabilidade gerencial. 3. ed. São Paulo: Atlas, 
2011. 
ATTIE, W. Auditoria: conceitos e aplicações. 7. ed. São Paulo: Atlas, 2018. 
BERMUDO, V.; VERTAMATTI, R. Controladoria estratégica e seus 
desdobramentos comportamentais: a SOX como apoio à geração de valor 
organizacional. São Paulo: Atlas, 2016. 
CATELLI, A. Controladoria: uma abordagem da gestão econômica – GECON. 
2. ed. São Paulo: Atlas, 2001. 
COSO – Committee of Sponsoring Organizations of the Treadway Commission. 
Enterprise Risk Management: Integrate Framework. New York: 2007. 
GONÇALVES, R. C. M. G.; RICCIO, E. L. Sistemas de informação: ênfase 
em controladoria e contabilidade. São Paulo: Atlas, 2009. 
KPMG. Pesquisa maturidade do processo de gestão de riscos no Brasil. 1. 
ed. 2018. Disponível em: <https://assets.kpmg/content/dam/kpmg/br/pdf/2018/0
7/br-pesquisa-maturidade-de-riscos-2018.pdf>. Acesso em: 23 fev. 2019. 
OLIVEIRA, L. de; PEREZ JUNIOR, J. H.; SILVA, C. A. S. Controladoria 
estratégica – textos e casos práticos com solução. 11. ed. São Paulo: Atlas, 
2015. 
PADOVEZE, C. L. Controladoria estratégica e operacional. São Paulo:Cengage Learning, 2012. 
PADOVEZE, C. L. Controladoria estratégica aplicada: Conceitos, estrutura e 
sistema de informações. São Paulo: Cengage Learning, 2016. 
PADOVEZE, C. L.; BERTOLUCCI, R. G. Gerenciamento de risco 
corporativo em controladoria. 1. ed. São Paulo: Cengage Learning, 2008. 
PIZO, F. Mapeamento de controles internos Sox. São Paulo: Atlas, 2018. 
PRADO, E. V. Práticas de gerenciamento de riscos corporativos: um 
estudo de caso em uma indústria multinacional de autopeças. 150 f. 
 
 
30 
Dissertação (Mestrado em Administração) – Universidade Metodista de 
Piracicaba. Piraicaba, 2014. 
SCHMIDT, P.; SANTOS, J.; MARTINS, M. A. S. Manual de controladoria. São 
Paulo: Atlas, 2014. 
VAASSEN, E.; MEUWISSEN, R.; SCHELLEMAN, C. Controle interno e 
sistemas de informação contábil. São Paulo: Saraiva, 2013. 
VIANA, L. F. O papel do Controle Interno na gestão do Sistema CFC/CRCs. 
Conselho Federal de Contabilidade, 19 out. 2018. Disponível em: 
<https://cfc.org.br/artigos/o-papel-do-controle-interno-na-gestao-do-sistema-cfc-
crcs/>. Acesso em: 23 fev. 2019.