Auditoria, Riscos e Fraudes: Uma Visão Sistêmica da Governança

🔊 Aprofunde seu conhecimento com nosso comentário em áudio!

Vivemos em um cenário de transformação acelerada, onde a digitalização, as crises econômicas e climáticas, as pressões regulatórias e sociais remodelam o ambiente de negócios. Nesse contexto, a gestão de riscos, a auditoria, a prevenção de fraudes e a governança corporativa tornam-se mais do que obrigações: são ferramentas estratégicas para sustentabilidade e crescimento.

Este artigo integra conceitos fundamentais com aplicações práticas, voltadas tanto para profissionais de auditoria, compliance, controladoria e gestão estratégica quanto para empresários, gestores, executivos, profissionais de RH e empreendedores que desejam fortalecer suas organizações frente às incertezas e desafios contemporâneos.

Risco, Incerteza e Apetite: Entendendo os Fundamentos

Risco é a possibilidade de que um evento interno ou externo afete negativamente os objetivos da organização. Incerteza, por sua vez, é a incapacidade de prever os desdobramentos futuros. Ambos exigem gestão estratégica.

Conceitos-Chave que Estruturam a Tomada de Decisão:

• Capacidade de risco: representa o quanto de impacto a empresa pode suportar sem comprometer sua continuidade operacional e financeira.

• Apetite ao risco: é o nível de exposição ao risco que a empresa está disposta a aceitar para alcançar seus objetivos.

• Tolerância ao risco: define o limite entre o risco assumido e o aceitável, antes que seja necessária alguma intervenção ou ação corretiva.

• Perfil de risco: resulta da interação entre a capacidade e o apetite ao risco da organização, refletindo sua postura geral diante dos riscos.

• Mapa de riscos: é a lista completa de todos os riscos identificados no negócio.

• Matriz de riscos: ferramenta que classifica os riscos em níveis alto, moderado ou baixo, considerando a probabilidade de ocorrência e a magnitude do impacto.

Definições importantes:

• Risco é a possibilidade de que um evento, interno ou externo, afete negativamente os objetivos da organização.

• Incerteza é a incapacidade de prever com precisão os desdobramentos futuros.

A Política de Gerenciamento de Riscos

A empresa deve contar, além da estrutura de gerenciamento de riscos, com uma política formal de gerenciamento de riscos. Para a B3, a política de gerenciamento de riscos das companhias listadas no Novo Mercado deve contemplar, no mínimo, os responsáveis e os processos de identificação, avaliação e monitoração dos riscos da companhia.

Já o Código Brasileiro de Governança Corporativa estabelece que essa política deve conter o perfil de risco da empresa, os riscos identificados e contra os quais a organização atua, bem como a estrutura de gerenciamento de riscos da instituição. Adicionalmente, a companhia deve realizar, anualmente, uma avaliação da eficácia da política de gerenciamento de riscos e garantir sua atualização contínua.

A Gestão de Riscos é um processo estruturado de identificação, avaliação, monitoramento e resposta a ameaças, com o objetivo de proteger o negócio e gerar valor sustentável. Segundo o COSO ERM, o gerenciamento de riscos faz parte do planejamento estratégico de uma organização e é definido pela sua administração. Tem como objetivo a identificação de potenciais situações que possam prejudicar o planejamento da empresa e gerenciar seus riscos.

Há três formas de identificação de riscos:

• Como um problema, que deve ser respondido;

• Como algo não prioritário, que deve ser ignorado;

• Como uma oportunidade, que deve ser endereçada.

Os fatores de risco podem ser classificados em três categorias, de acordo com o nível estratégico:

• Riscos estratégicos: atrelados ao longo prazo, com foco na perpetuação do negócio e seu modelo; devem ser monitorados. Devem ser endereçados mudando-se a rota ou fazendo-se ajustes na estratégia. Estão sob responsabilidade do CEO e do Conselho de Administração.

• Riscos operacionais: riscos que precisam ser cuidados no dia a dia, para que o estratégico funcione. Devem ser consertados se não estiverem funcionando corretamente. Estão sob responsabilidade da gestão.

• Riscos de fatores externos: riscos que estão fora da empresa, não são de controle dos colaboradores. Devem ser monitorados. Estão sob responsabilidade da área de inteligência ou de mercado, ou de uma consultoria contratada.

Como Mapear os Riscos?

Mapear os riscos é uma das etapas mais críticas e desafiadoras da gestão corporativa, pois exige visão sistêmica e profundo conhecimento sobre o negócio. Esse processo permite identificar vulnerabilidades que podem comprometer a estratégia, a operação e a reputação da empresa, além de orientar ações preventivas e corretivas.

Para uma abordagem eficaz, recomenda-se seguir as seguintes etapas:

1. Riscos Estratégicos: identificar e monitorar os riscos que impactam diretamente os objetivos de longo prazo, o modelo de negócio e a sustentabilidade da organização. Esses riscos geralmente estão relacionados a decisões de alto nível, mudanças no mercado, inovação, posicionamento e regulamentações.

2. Riscos Operacionais: mapear os riscos que afetam os processos internos e a eficiência operacional da empresa, como falhas em sistemas, interrupções logísticas, baixa produtividade, retrabalho ou ausência de padronização.

3. Riscos Financeiros e de Transações: analisar os riscos vinculados às transações financeiras, contratos, investimentos e à integridade das informações contábeis e fiscais. A detecção precoce desses riscos é fundamental para evitar perdas, fraudes e problemas de conformidade.

4. Riscos de Informação e Relatórios: avaliar os riscos relacionados à produção, disseminação e integridade de relatórios internos e externos, incluindo demonstrações financeiras, relatórios regulatórios e informações para stakeholders. A falta de confiabilidade pode comprometer a tomada de decisão e a imagem da empresa.

Esse mapeamento deve ser conduzido de forma contínua, com participação das lideranças e das áreas técnicas, utilizando ferramentas como matrizes de risco, entrevistas, análises de cenário, auditorias internas e indicadores-chave (KPIs). É essencial que os riscos identificados sejam priorizados de acordo com sua probabilidade de ocorrência e impacto, permitindo que a organização adote respostas adequadas e mantenha uma postura proativa na gestão de riscos.

A Evolução da Percepção de Riscos

A compreensão organizacional sobre riscos se transformou nas últimas décadas:

• 1994: Início das discussões sobre gerenciamento de risco por causa dos aspectos de risco financeiro relacionado ao uso de derivativos. Neste caso, o gerenciamento de riscos é associado à Tesouraria.

• 1998: Juntamente com a discussão sobre globalização a partir da queda das barreiras nacionais comerciais, vem a transformação dos modelos de negócios tradicionais. A discussão sobre o risco aqui é sobre o risco operacional do negócio.

• 2002: Fraudes contábeis ocorridas em empresas estadunidenses como Enron e a WorldCom revelaram problemas de risco nas informações financeiras comunicadas ao mercado. O gerenciamento de risco é repassado aos CEOs e CFOs.

• 2008: A crise econômica mundial e a crise de derivativos no Brasil desnudaram os riscos de estratégias financeiras utilizadas pelos bancos. O Conselho de Administração da empresa é responsabilizado com a gestão dos riscos.

• 2016: Operação Lava-jato e a lei anticorrupção revelam os riscos de suborno nas empresas. O acionista passa a preocupar-se com a gestão de riscos.

• Atualidade: riscos ESG, pandemias, ataques cibernéticos e tensões geopolíticas.

O gerenciamento de riscos agora é uma competência transversal, presente em todas as áreas e níveis da organização.

Auditoria: Muito Além da Fiscalização

A auditoria é um processo sistemático e independente de avaliação das atividades de uma organização, com o objetivo de verificar se elas estão sendo conduzidas de acordo com normas, políticas internas, regulamentos e objetivos estabelecidos. Vai além da simples fiscalização: trata-se de uma ferramenta estratégica que oferece uma visão crítica e construtiva sobre a gestão.

Na governança corporativa, a auditoria moderna representa a terceira linha de defesa, atuando como um mecanismo essencial de controle e confiança. Sua função é avaliar a eficácia dos processos, políticas e controles internos, assegurando que estejam em conformidade com a legislação e que contribuam para a integridade, a transparência e a eficiência organizacional.

Principais funções da auditoria:

• Identificação de riscos prioritários e temas sensíveis;

• Avaliação dos controles internos e seus resultados;

• Geração de recomendações acessíveis e aplicáveis;

• Promoção da transparência e conformidade regulatória.

Organizações que valorizam a atuação da auditoria tornam-se mais resilientes, apresentam melhor performance operacional e conquistam maior credibilidade junto ao mercado, investidores e demais partes interessadas.

Fraudes Corporativas: Um Risco Sempre Presente

Fraudes comprometem a integridade organizacional. Mesmo com canais de ética e códigos de conduta, se os colaboradores não forem treinados e engajados, os riscos persistem. Segundo a Transparency International (2024), o Brasil ocupa a 107ª posição entre 180 países no Índice de Percepção da Corrupção, com 34 pontos em 100. Treinamento, cultura de controle, segregacão de funções e vigilância ativa são essenciais.

Os 10 fatores de risco mais citados pelas empresas abertas brasileiras de acordo com a 10ª edição do relatório de Gerenciamento de Riscos da KPMG, publicado em 2025:

1. Riscos regulatórios;

2. Condições econômicas e de mercado;

3. Riscos aos acionistas;

4. Riscos operacionais;

5. Riscos financeiros e de caixa;

6. Concorrência;

7. Riscos jurídicos;

8. Riscos associados à execução da estratégia de negócios e/ou plano de investimentos;

9. Riscos associados à atuação do acionista controlador;

10. Risco de mudança nas políticas governamentais sobre o setor.

    
    

O relatório detalha as principais categorias de risco por setor, sendo base para o mapeamento dos riscos mais recorrentes, como:

1. Consumo cíclico: concorrência e condições econômicas/de mercado.

2. Financeiro: riscos regulatórios e condições econômicas/de mercado.

3. Utilidade pública: riscos jurídicos, regulatórios, associados à ação da natureza e concessões.

4. Bens industriais: execução de estratégia de negócios/plano de investimentos e riscos regulatórios.

5. Materiais básicos: variação de preços/disponibilidade de insumos e riscos financeiros/caixa.

6. Consumo não cíclico: condições econômicas/de mercado e riscos aos acionistas.

7. Saúde: condições econômicas/de mercado e concorrência.

8. Petróleo, gás e combustíveis: condições econômicas/de mercado nacionais e internacionais.

9. Tecnologia da informação: concorrência e condições econômicas/de mercado.

10. Comunicação: concorrência e risco de falta de inovação/obsolescência tecnológica.

ESG, Capital Humano e Riscos Emergentes

Tópicos como Meio Ambiente, Social e Governança (ESG) e Diversidade, Equidade e Inclusão (DEI) se consolidaram como exigências dos stakeholders. O não cumprimento de metas sociais e ambientais pode comprometer o acesso a financiamentos e a reputação da marca.

Riscos ligados ao Capital Humano (escassez de talentos, adoecimento emocional, alta rotatividade) ganharam espaço nas pautas de liderança. Organizações que não se adaptam podem perder competitividade e legitimidade.

O risco de capital humano, apontado como prioridade, pode ser mitigado seguindo algumas estratégias. São elas:

1. Incutir a cultura corporativa no novo funcionário;

2. Trazer gente nova já adaptada às mudanças, como disrupção tecnológica, ESG e questões regulatórias;

3. Desenvolver os funcionários atuais;

4. Investir em uma estratégia de retenção de talentos, alinhada com a expectativa das pessoas em relação à empresa, considerando valores como remuneração, identidade com a organização e o quanto a empresa se preocupa com questões sociais e ambientais.

Estrutura, Políticas e Cultura de Riscos

A governança efetiva exige políticas estruturadas de risco, conforme as exigências da B3 e do Código Brasileiro de Governança Corporativa:

• Comitês independentes de riscos e auditoria;

• Compliance desvinculado da operação;

• Revisão periódica das políticas;

• Cultura organizacional voltada à responsabilidade e à aprendizagem.

Essas práticas são reconhecidas pela B3 e pelo Código Brasileiro de Governança.

Ferramentas, Indicadores e Suporte à Decisão

A gestão de riscos exige análises quantitativas e qualitativas, baseadas em:

1. Indicadores-Chave de Risco (KRIs)

KRIs são ferramentas essenciais para o monitoramento contínuo da exposição aos riscos mais relevantes. Eles identificam, em tempo real ou periodicamente, sinais de que um risco pode estar se manifestando ou agravando.

Funcionam como alertas antecipados, permitindo decisões proativas antes que os problemas se agravem. Os KRIs devem estar alinhados aos objetivos estratégicos e ao apetite ao risco da organização.

Exemplos comuns de Indicadores-Chave de Risco (KRIs):

• Variações anormais em indicadores financeiros: alterações inesperadas em margens de lucro, liquidez ou endividamento podem sinalizar problemas operacionais, fraudes ou mudanças no ambiente de negócios que exigem atenção imediata da gestão.

• Aumento de incidentes de segurança da informação: crescimento no número de tentativas de invasão, vazamento de dados ou falhas nos sistemas pode indicar vulnerabilidades tecnológicas que expõem a organização a riscos cibernéticos e prejuízos reputacionais.

• Crescimento da inadimplência na carteira de clientes: elevações fora do padrão no nível de inadimplência podem refletir deterioração na qualidade do crédito, mudanças no perfil dos clientes ou instabilidade econômica, afetando diretamente o fluxo de caixa e a saúde financeira da empresa.

Usados de forma inteligente, os KRIs ajudam a antecipar problemas, alocar recursos eficientemente e responder rapidamente a desafios.

2. Mapas e Matrizes de Risco

Mapas e matrizes são representações gráficas fundamentais para a gestão estratégica de riscos. Auxiliam na visualização integrada da probabilidade e impacto dos riscos. Mapas oferecem uma visão geral dos riscos distribuídos por processos ou unidades, enquanto matrizes classificam eventos segundo gravidade e probabilidade, facilitando a priorização das ações necessárias.

Esses instrumentos fortalecem uma cultura organizacional proativa, alinhada ao apetite ao risco, e melhoram a tomada de decisões estratégicas.

3. Análise de Demonstrações Contábeis: Balanço Patrimonial (BP) e Demonstração de Resultados do Exercício (DRE)

Demonstrações contábeis como BP e DRE são essenciais para avaliar a saúde financeira da empresa, mostrando ativos, passivos, receitas, despesas e resultados. O BP revela a posição financeira em um momento específico, evidenciando capacidade de honrar compromissos e estrutura de capital. A DRE mostra o desempenho operacional ao longo do tempo, indicando lucro, prejuízo e eficiência.

A análise integrada dessas demonstrações oferece insights para decisões estratégicas, alocação de recursos, definição de metas e avaliação de riscos financeiros. É fundamental para empresas de todos os portes que buscam transparência e profissionalização.

4. Ferramentas Digitais

A transformação digital tem revolucionado a gestão de riscos. Ferramentas digitais como por exemplo a Becompliance e Clickcompliance que utilizam inteligência artificial, machine learning, big data e automação para coletar e processar dados em tempo real, oferecendo visão precisa e atualizada dos riscos.

Principais funcionalidades:

• Monitoramento contínuo: acompanhamento em tempo real de indicadores e métricas para identificar desvios rapidamente.

• Análise preditiva: algoritmos que prevêem tendências e impactos futuros para decisões baseadas em cenários.

• Centralização das informações: consolidação de dados de diversas fontes em um único ambiente digital.

• Automação de processos: diminuição de intervenções manuais, aumentando eficiência e reduzindo erros.

• Relatórios dinâmicos e dashboards: visualização clara e objetiva para facilitar a comunicação com gestores e stakeholders.

Além disso, essas ferramentas promovem maior colaboração entre equipes, facilitam o alinhamento das ações de mitigação e garantem conformidade regulatória por meio do registro completo das atividades e controles.

Ao adotar soluções digitais, as organizações aumentam sua adaptabilidade em ambientes complexos, melhoram a alocação de recursos e elevam seu nível de governança corporativa.

Transferência de Riscos e Seguro D&O

O risco, se efetivamente ocorrer, pode trazer prejuízos significativos à empresa e gerar efeitos diretos sobre seus administradores. A Lei nº 6.404, de 15 de dezembro de 1976, estabelece as responsabilidades dos administradores — aqui entendidos como a diretoria, o conselho de administração e os gestores de uma forma geral. Entre essas responsabilidades estão: agir com cuidado e diligência na administração dos negócios, manter o sigilo de informações estratégicas, divulgar fatos relevantes ao mercado, entre outras obrigações legais.

Nesse contexto, uma forma de mitigar os impactos financeiros decorrentes de falhas no exercício dessas responsabilidades é por meio do seguro D&O (Directors and Officers). Trata-se de uma apólice contratada pelas empresas para proteger seus administradores contra eventuais penalidades civis, administrativas ou indenizações resultantes de decisões tomadas no desempenho de suas funções.

Esse tipo de seguro cobre, por exemplo, custos com processos judiciais, honorários advocatícios e possíveis condenações financeiras. No entanto, é fundamental destacar que o seguro D&O não substitui a existência de controles internos eficazes nem isenta a empresa de sua responsabilidade coletiva. Ele deve ser entendido como um instrumento complementar, inserido em uma cultura organizacional preventiva, ética e comprometida com boas práticas de governança corporativa.

Controladoria: Alinhando Estratégia e Execução

A controladoria é responsável por apoiar a gestão por meio da geração, análise e interpretação de informações econômico-financeiras, orientando a tomada de decisões. Atua como guardiã da racionalidade econômica, assegurando o uso eficiente dos recursos e o alinhamento aos objetivos estratégicos.

Mais que uma função contábil ou financeira, exerce papel integrador entre planejamento e execução, acompanhando a estratégia, monitorando indicadores-chave e sinalizando desvios que possam comprometer os resultados.

Ao promover ajustes ágeis e garantir decisões íntegras, funciona como um freio que permite acelerar com segurança, oferecendo à liderança confiança para inovar e investir, amparada por uma estrutura de controle que reduz riscos e evita desvios prejudiciais.

Com isso, a controladoria deixa de ser apenas um centro de controle e torna-se um agente estratégico do crescimento sustentável, da longevidade dos negócios e da geração de valor.

Conclusão

Empresas do século XXI precmisam ir além do cumprimento legal. A governança moderna exige liderança consciente, cultura ética, estrutura organizacional sólida e integração real entre gestão de riscos, auditoria e capital humano. Este artigo reafirma que investir em auditoria, controles, cultura de risco e prevenção é estratégico. Não apenas protege o que foi conquistado, mas prepara o terreno para crescer com sustentabilidade, reputação e inovação duradoura.

Podcast

Sugestão de Leitura:

• Análise de Riscos (Fabiano Guasti Lima);

• Governança, Riscos e Compliance: Mudando a Conduta nos Negócios (Marcos Assi);

• Gestão de Riscos com Controles Internos - Ferramentas, Certificações e Métodos Para Garantir a Eficiência dos Negócios 2° Edição (Marcos Assi);

• Governança corporativa: o essencial para líderes (Alexandre Di Miceli);

• Compliance, controles internos e riscos: A importância da area de gestão de pessoas (Célia Lima Negrão, Juliana Pontelo);

• Compliance - gestão de riscos e combate a corrupção (Marco Aurélio Borges De Paula).