O ambiente corporativo contemporâneo exige das organizações muito mais do que bons resultados financeiros e eficiência operacional. A ausência de mecanismos sólidos de controle interno é hoje reconhecida pelos reguladores, pelos investidores e pelos tribunais como fator de risco que pode converter lucros em passivos expressivos, reputações em escândalos e trajetórias de crescimento em episódios de crise. No Brasil, o conjunto normativo que regula o dever de prevenção de desvios nas organizações é plural e exigente, abrangendo a Lei Anticorrupção, Lei nº 12.846/2013, o Decreto nº 11.129/2022 que a regulamentou, as normas da Comissão de Valores Mobiliários para companhias abertas, as exigências do Banco Central para instituições financeiras e as normas setoriais que cobrem seguradoras, operadoras de saúde e concessionárias de serviços públicos. Cada um desses diplomas normativos atribui peso diferente ao tema da prevenção, mas todos convergem em reconhecer que o controle interno eficaz reduz a responsabilidade da organização quando irregularidades ocorrem e que sua ausência agrava essa responsabilidade de forma que os reguladores não ignoram e que os tribunais têm punido com severidade crescente. "O controle interno não é linha de despesa no orçamento. É linha de sobrevivência da organização quando a crise chega sem aviso."
O Que Define um Controle Interno Verdadeiramente Eficaz
A eficácia de um sistema de controles internos não se mede pelo volume de documentos que o descrevem nem pelo número de políticas aprovadas pelo conselho de administração. Mede-se pela capacidade concreta de prevenir, detectar e corrigir desvios antes que produzam dano irreversível para a organização, para terceiros ou para o erário público. O modelo de referência mais amplamente adotado no mundo para estruturação de controles internos é o COSO, Committee of Sponsoring Organizations of the Treadway Commission, que organiza o sistema em cinco componentes interdependentes, todos igualmente indispensáveis. O ambiente de controle, primeiro componente, reflete a cultura ética da organização e o comprometimento genuíno da liderança com a integridade, sendo o terreno sobre o qual todos os demais controles se assentam. Uma liderança que viola as próprias regras enquanto exige compliance dos subordinados cria ambiente em que os controles são letra morta. A avaliação de riscos é o componente que identifica onde os desvios são mais prováveis, considerando a natureza das operações, o perfil dos processos e as vulnerabilidades históricas da organização. As atividades de controle são os procedimentos específicos que reduzem a probabilidade de ocorrência dos riscos mapeados. A informação e comunicação garantem que as regras e os resultados dos controles sejam conhecidos e utilizados por todos os envolvidos. E o monitoramento assegura que o sistema continue funcionando adequadamente ao longo do tempo, mesmo quando o ambiente muda. "Um sistema de controles que não monitora a si mesmo é sistema que não sabe se está funcionando, o que é quase tão perigoso quanto não ter sistema algum."
Mapeamento de Riscos Como Ponto de Partida
A estruturação de controles para prevenção de desvios começa necessariamente pelo mapeamento dos riscos específicos de cada organização, tarefa que exige conhecimento profundo dos processos operacionais, dos fluxos financeiros, das relações com fornecedores e clientes e do ambiente regulatório em que a empresa atua. Um mapeamento genérico, que identifica riscos abstratos sem ancoragem na realidade operacional concreta da organização, produz controles igualmente abstratos que não alcançam os pontos reais de vulnerabilidade. A experiência forense demonstra que as fraudes mais custosas raramente ocorrem nos processos mais vigiados, ocorrem nas interfaces entre departamentos, nos processos considerados de baixo risco por nunca terem gerado problema, nos fluxos que envolvem terceiros de confiança consolidada ou nos sistemas antigos cujas permissões de acesso nunca foram revisadas. O mapeamento de riscos eficaz inclui a análise de incidentes históricos, a comparação com os tipos de fraude mais comuns no setor de atuação da empresa, a avaliação de pontos cegos dos controles existentes e a consideração dos incentivos que cada posição cria para o desvio. Esse diagnóstico informado é a base sobre a qual os controles preventivos precisam ser construídos para que sejam relevantes onde os riscos realmente existem, e não apenas onde seria mais fácil ou mais barato controlá-los. "A fraude que não estava no mapa de riscos é a fraude que o controle não preveniu porque a organização escolheu não enxergar onde ela poderia crescer."
Controles Específicos Para Processos de Alto Risco
O princípio da proporcionalidade orienta a alocação de recursos de controle nos processos de maior risco, evitando tanto o subdimensionamento de controles em áreas críticas quanto o desperdício de recursos em processos de baixíssimo risco potencial. Os processos de compras e contratação de fornecedores, que historicamente concentram a maior parte dos desvios financeiros em organizações de todos os setores, exigem controles específicos que incluem a aprovação por múltiplos níveis hierárquicos conforme o valor da operação, a verificação de antecedentes dos fornecedores por meio de due diligence documental e de pesquisa de cadastros de entidades sancionadas, a comparação de preços com referenciais de mercado e a revisão periódica da lista de fornecedores ativos para identificar relacionamentos que possam mascarar conflito de interesses. Os processos de pagamento, que representam o momento de saída dos recursos da organização, exigem segregação entre quem autoriza e quem executa, revisão de beneficiários contra cadastros de empregados para identificar esquemas de folha fantasma, e monitoramento de padrões incomuns como pagamentos em valores logo abaixo de alçadas de aprovação, o que indica tentativa de burlar controles por fracionamento. O acesso privilegiado a sistemas de informação, especialmente os que permitem alteração de cadastros de fornecedores, de beneficiários de pagamento ou de registros contábeis, deve ser rigorosamente controlado, auditado e revisado periodicamente para eliminar permissões acumuladas que já não se justificam pela função atual do usuário.
Cultura de Integridade Como Alicerce dos Controles
A mais sofisticada arquitetura de controles internos pode ser sistematicamente burlada por pessoas suficientemente motivadas e suficientemente criativas se a cultura organizacional não valoriza a integridade como princípio inegociável. A cultura de integridade não se implanta por decreto de política corporativa nem por treinamento anual de compliance ministrado de forma mecânica, é construída ao longo do tempo pela consistência entre o que a liderança declara e o que efetivamente pratica, pelo tratamento dado às violações quando identificadas, independentemente do nível hierárquico do infrator, e pelo reconhecimento explícito de comportamentos que demonstram comprometimento com os valores da organização mesmo quando esse comprometimento tem custo pessoal. Organizações em que líderes de alto escalão são poupados de consequências por irregularidades que puniriam implacavelmente nos subordinados não têm cultura de integridade, têm cultura de aparência cujos controles são palco de teatro institucional. A pesquisa de clima organizacional com perguntas específicas sobre percepção de integridade, sobre o funcionamento dos canais de denúncia e sobre a disposição de reportar irregularidades é termômetro valioso que permite à liderança identificar fragilidades culturais antes que se manifestem em desvios. "A organização que pune o denunciante mais severamente do que o infrator está comunicando de forma inequívoca que o controle que importa é o do silêncio, não o da integridade."
Auditoria Interna e Revisão Independente dos Controles
A auditoria interna é o mecanismo que verifica periodicamente se os controles implementados estão de fato funcionando como planejado, identificando deficiências, vulnerabilidades e desvios que o monitoramento cotidiano pode ter deixado escapar. Para cumprir essa função com efetividade, a auditoria interna precisa de independência real em relação às áreas auditadas, o que significa reporte direto ao conselho de administração ou ao comitê de auditoria em vez de subordinação à diretoria executiva que é responsável pelos processos auditados. O Institute of Internal Auditors, o IIA, estabelece padrões internacionais para a prática da auditoria interna que incluem exigências de independência, de competência técnica e de qualidade das avaliações, padrões que as organizações com maturidade em governança adotam voluntariamente e que os reguladores de setores como o financeiro exigem de forma obrigatória. Além da auditoria interna, a revisão de controles por auditores externos independentes agrega perspectiva de quem não está imerso na cultura e nos processos da organização, frequentemente identificando pontos cegos que os auditores internos, por proximidade, deixaram de notar. As recomendações produzidas por auditorias internas e externas precisam ser acompanhadas de planos de ação com responsáveis e prazos definidos, pois o relatório de auditoria que não gera ação corretiva é documento sem consequência que os devedores usam para argumentar que a organização foi diligente sem que a diligência tenha produzido melhoria real.
Impactos Regulatórios e o Valor Probatório dos Controles
O valor probatório dos controles internos em procedimentos regulatórios, administrativos e judiciais é uma das razões mais objetivas para que organizações invistam nessa área. A Lei Anticorrupção estabelece expressamente, no artigo 7º, inciso VIII, que a existência de mecanismos e procedimentos internos de integridade, auditoria e incentivo à denúncia de irregularidades é circunstância a ser considerada como atenuante na dosimetria das sanções aplicáveis às pessoas jurídicas por atos lesivos à administração pública. O Decreto nº 11.129/2022, que regulamentou a lei, detalhou os parâmetros de avaliação do programa de integridade que influenciam a atenuação da sanção, incluindo o comprometimento da alta direção, a existência e o funcionamento dos canais de denúncia, o treinamento periódico dos colaboradores, a realização de análise de risco e a capacidade de detecção e remediação de irregularidades. Em processos de debarment, que impedem organizações de contratar com o poder público, a existência de programa de integridade robusto pode ser determinante para a concessão de prazo para remediação em vez da exclusão imediata. Em investigações criminais que envolvem pessoas jurídicas, a demonstração de que a organização tinha controles adequados e que o desvio ocorreu a despeito deles, e não por sua ausência, é argumento que pode afastar a responsabilização corporativa pelos atos individuais de seus dirigentes. "O programa de integridade que funciona é defesa na investigação. O que existe apenas no papel é agravante, porque demonstra que a organização sabia o que deveria fazer e optou por não fazer."
Tendências e o Futuro da Prevenção de Desvios
O futuro dos controles para prevenção de desvios é marcado pela integração crescente entre tecnologia analítica, inteligência artificial e gestão de riscos em tempo real. Plataformas de GRC, governança, risco e compliance, que integram o mapeamento de riscos, os controles, o monitoramento e a documentação em um único ambiente digital, permitem às organizações de maior maturidade ter visão consolidada e atualizada de seu exposição a riscos em tempo real. Algoritmos de machine learning treinados com dados históricos de transações da própria organização identificam anomalias que escapariam a qualquer auditoria humana de amostragem, alcançando o universo completo de transações com velocidade e consistência que os controles manuais não conseguem reproduzir. A expansão do conceito de due diligence para toda a cadeia de valor, incluindo fornecedores, distribuidores e parceiros comerciais, é tendência que regulamentações internacionais como a Lei de Diligência Devida Empresarial da União Europeia estão tornando obrigatória para organizações que exportam ou que têm investidores europeus. Essas tendências convergem para um futuro em que os controles preventivos serão mais abrangentes, mais tecnológicos e mais integrados à operação cotidiana das organizações do que são hoje, tornando o investimento nessa área não apenas prudência jurídica mas imperativo de competitividade.
Para qualquer organização que pretenda operar com sustentabilidade no ambiente regulatório e reputacional contemporâneo, a prevenção de desvios por meio de controles internos robustos deixou de ser opção estratégica para se tornar condição de existência no longo prazo. Os custos de construir e manter essa estrutura são reais e exigem investimento de recursos humanos, tecnológicos e financeiros que algumas organizações ainda relutam em fazer. Mas esses custos são previsíveis, controláveis e muito inferiores aos custos de uma crise de integridade que nenhum gestor previu, nenhum seguro cobre completamente e nenhum relações públicas consegue reverter com a velocidade que o ambiente digital de hoje exige. A organização que investe em controles preventivos está pagando hoje para evitar uma conta que, se vier amanhã, terá crescido a um tamanho que pode ser simplesmente impossível de pagar.