Como este tema funciona no porte da sua empresa
O diagnóstico é simples — poucas dimensões a avaliar e a maioria das respostas vai revelar ausência de controles formais. O valor está em identificar as duas ou três lacunas mais críticas e ter um plano concreto para endereçá-las em 90 dias. A autoavaliação pode ser feita pelo próprio sócio ou pelo gestor administrativo em meio período.
O diagnóstico já é mais estruturado — existem controles, mas a qualidade e a consistência variam por área. O gestor precisa avaliar cada dimensão com base em evidências concretas e identificar onde os controles são mais frágeis ou onde a documentação está desatualizada. O processo leva de 1 a 2 semanas e resulta em um plano de evolução para 6 a 12 meses.
O diagnóstico é formal, com testes de controles e entrevistas com responsáveis por área. A autoavaliação do gestor de controles é complementada pela auditoria interna — que valida ou questiona a pontuação declarada. O resultado é um relatório de efetividade que vai ao comitê de auditoria.
Avaliar a maturidade de governança é o processo de verificar, dimensão por dimensão, se os controles e processos existem, se estão documentados, se são seguidos na prática e se estão produzindo o resultado esperado. O diagnóstico não é um julgamento — é um mapa que permite ao gestor saber onde a empresa está hoje e o que priorizar para evoluir.
Por que o diagnóstico de governança é o ponto de partida obrigatório
Saber o nível atual de governança é o ponto de partida para evoluir — mas a maioria das empresas nunca fez essa avaliação de forma estruturada. O gestor administrativo tem uma percepção dos controles que gerencia, mas essa percepção tende a ser otimista: quem criou o controle tem dificuldade de ver onde ele falha na prática.
O diagnóstico estruturado força uma avaliação baseada em evidências, não em intenções. A pergunta não é "temos uma política de compras?" — é "a política está escrita, foi comunicada, é seguida e há evidência de que funciona?" Cada uma dessas quatro perguntas pode ter uma resposta diferente, e é a combinação delas que define o nível real de maturidade.
Além disso, o diagnóstico permite priorizar. Tentar resolver todas as lacunas ao mesmo tempo leva ao abandono de todas — os recursos do gestor são limitados e a operação consome atenção. O diagnóstico identifica as duas ou três lacunas que representam maior risco e concentra o esforço onde o impacto é maior.
As seis dimensões do diagnóstico de governança
O diagnóstico é estruturado em seis dimensões — cada uma com perguntas que avaliam se o controle existe, se é documentado, se é seguido e se tem evidência. Para cada dimensão, o resultado é uma classificação na escala de maturidade.
-
Estrutura de decisão e alçadas:
- Há critérios definidos sobre quem pode autorizar pagamentos, contratos e compras acima de determinados valores?
- Esses critérios estão documentados por cargo (não por nome de pessoa)?
- Há evidência de que as alçadas são seguidas na prática — aprovações registradas, não apenas verbais?
-
Controles financeiros e de caixa:
- Há conciliação bancária periódica feita por pessoa diferente de quem realiza os pagamentos?
- Há separação entre quem solicita, quem aprova e quem paga?
- Há verificação de nota fiscal antes de qualquer pagamento?
-
Políticas e normas documentadas:
- Existem políticas escritas de compras, pagamentos, reembolso e acesso a sistemas?
- As políticas foram comunicadas formalmente aos responsáveis?
- Há ciclo de revisão periódica das políticas — com data da última revisão registrada?
-
Prestação de contas e reporting:
- Há ritual periódico de reporte financeiro para sócios ou diretoria — com frequência e formato definidos?
- As reuniões de gestão têm ata com deliberações, responsáveis e prazos?
- Há acompanhamento das deliberações anteriores na reunião seguinte?
-
Conformidade fiscal e legal:
- As obrigações acessórias estão sendo cumpridas no prazo — sem atraso e sem multa?
- As certidões negativas de débito estão válidas?
- Há mapeamento das contingências conhecidas (fiscais, trabalhistas, contratuais)?
-
Gestão de riscos e auditoria:
- Os principais riscos do negócio estão identificados e documentados?
- Houve revisão independente dos controles nos últimos 12 meses (auditor externo, consultor ou auditor interno)?
- Os achados anteriores têm plano de ação com responsável e prazo?
Como classificar o resultado: a escala de maturidade por dimensão
Para cada dimensão, o resultado das três perguntas determina o nível de maturidade atual. A classificação é baseada em evidências — não em percepção ou intenção.
| Classificação | Critério de classificação | O que isso significa na prática |
|---|---|---|
| Inexistente | Nenhuma das três perguntas tem resposta "sim" | Não há controle, política ou ritual para esta dimensão — o risco está totalmente exposto |
| Inicial | A primeira pergunta tem resposta "sim" parcial — existe, mas de forma informal | O controle existe na cabeça das pessoas, mas não está documentado e não funciona quando a pessoa não está presente |
| Estruturado | As duas primeiras perguntas têm resposta "sim" — existe e está documentado | O controle está documentado e tem responsável, mas a consistência de aplicação ainda varia — funciona na maioria das vezes |
| Gerenciado | As três perguntas têm resposta "sim" — existe, está documentado e tem evidência | O controle funciona de forma consistente, há evidências de aplicação e exceções são registradas e tratadas |
| Otimizado | As três perguntas têm resposta "sim" e há ciclo de melhoria contínua | O controle é revisado periodicamente com base nos resultados — melhora com o tempo e funciona independentemente de pessoas |
Como priorizar as lacunas identificadas
O diagnóstico vai revelar múltiplas lacunas — em empresas que nunca fizeram essa avaliação, é comum encontrar dimensões no nível 1 ou 2 em praticamente todas. A tentação é querer resolver tudo ao mesmo tempo, o que invariavelmente leva ao abandono de todas as iniciativas. O critério de prioridade é o risco de impacto.
- Risco financeiro direto: lacunas em controles financeiros e de alçadas têm prioridade máxima — são as que expõem a empresa a fraude, pagamento indevido e perda de patrimônio sem supervisão.
- Frequência de ocorrência de problemas: se uma dimensão já gerou incidente (pagamento duplicado, desvio, multa por atraso), ela sobe na prioridade — independentemente do valor envolvido.
- Probabilidade de impacto iminente: se a empresa está em processo de captação, due diligence ou auditoria, as dimensões que serão avaliadas no processo sobem para a primeira posição.
Na prática, o gestor deve selecionar as três lacunas prioritárias — não mais do que isso — e definir um plano de ação concreto para cada uma antes de avançar para as demais.
Como transformar o diagnóstico em plano de ação
O diagnóstico só tem valor se resultar em ação. A sequência lógica de transformar o resultado em plano de implementação segue três horizontes de tempo:
- Em 30 dias — endereçar os riscos críticos imediatos: as lacunas nas dimensões com maior risco financeiro direto — tipicamente controles financeiros e alçadas. O objetivo não é perfeição, é ter o mínimo funcionando para reduzir a exposição imediata.
- Em 90 dias — estruturar as políticas e documentação: as políticas mínimas documentadas, comunicadas e com responsáveis definidos. Não criar políticas longas que ninguém vai ler — começar com uma ou duas páginas por política.
- Em 6 meses — implantar rituais e revisões: o calendário de conciliações, o ciclo de reporte, a ata de reuniões, a revisão anual de políticas. A consistência no tempo é o que transforma uma política em controle real.
O plano de ação tem duas ou três iniciativas concretas para 30 a 90 dias. O objetivo é ter os controles financeiros mínimos funcionando e um ritual básico de reporte. Evitar incluir mais do que o time consegue implementar de verdade.
O plano de ação cobre as seis dimensões, com priorização por risco, responsável por dimensão e prazo de implementação para cada iniciativa. O gestor administrativo é o coordenador do plano e reporta o progresso para a diretoria mensalmente.
O plano de ação é formalizado como relatório para o comitê de auditoria, com responsável por dimensão, marcos de implementação e ciclo de revisão. O gestor de controles monitora o progresso e reporta ao comitê trimestralmente.
Quando fazer o diagnóstico com apoio externo
A autoavaliação pelo gestor administrativo é suficiente na maioria dos casos — e é o ponto de partida adequado. Mas há situações em que o diagnóstico externo é necessário ou mais adequado:
- Suspeita de fraude ou incidente financeiro relevante: o gestor que opera os controles não tem a independência necessária para investigar — o diagnóstico externo garante credibilidade ao resultado.
- Processo de captação de investimento ou due diligence iminente: o investidor vai conduzir seu próprio diagnóstico — conhecer o resultado antes que ele o faça permite corrigir lacunas que influenciariam o valuation ou as condições do investimento.
- Auditoria externa chegando: o diagnóstico externo prévia permite identificar os pontos que o auditor vai questionar e preparar as evidências com antecedência.
- Os sócios não confiam no diagnóstico interno: quando há conflito entre os sócios sobre o nível de controle atual, uma avaliação independente oferece base objetiva para a discussão.
Sinais de que a empresa precisa fazer um diagnóstico de governança
Se você se reconhece em três ou mais cenários abaixo, o diagnóstico de governança provavelmente está atrasado — e há lacunas que o gestor não conhece até que apareçam de forma inconveniente.
- A empresa nunca fez uma avaliação formal ou estruturada de seus controles e estrutura de governança — o gestor não sabe em que nível cada dimensão está.
- Há percepção de que os controles existem no papel mas não na prática — sem saber com precisão onde está a falha.
- Um incidente recente (fraude, erro financeiro, achado de auditoria) revelou lacuna que o gestor não sabia que existia.
- A empresa está em processo de captação e o investidor pediu informações sobre governança que o gestor não consegue responder com evidências concretas.
- Os sócios questionam o nível de controle e o gestor não tem argumentos objetivos — apenas a percepção de que "está funcionando".
- Há iniciativa de estruturar a governança, mas sem saber por onde começar ou quais lacunas priorizar.
Caminhos para conduzir o diagnóstico de governança
Há dois caminhos para realizar o diagnóstico, e a escolha depende da urgência, do contexto e do nível de independência necessário.
Conduzir a autoavaliação com o roteiro de seis dimensões, classificar o resultado e estruturar o plano de ação.
- Perfil necessário: gestor administrativo capaz de avaliar cada dimensão com base em evidências concretas e não apenas em percepções.
- Tempo estimado: 1 a 2 semanas para a avaliação, mais 1 a 2 semanas para estruturar o plano de ação priorizado.
- Faz sentido quando: a empresa quer se autodiagnosticar antes de envolver consultoria, ou usar o modelo como ferramenta de acompanhamento periódico.
- Risco principal: avaliação otimista — o gestor que criou os controles tende a superestimar a qualidade deles e subestimar as lacunas.
Diagnóstico externo independente, especialmente em situações de captação, due diligence ou auditoria.
- Tipo de fornecedor: Consultoria de Governança, Auditoria.
- Vantagem: independência da avaliação, benchmarking com empresas do mesmo porte e setor, resultado com credibilidade para apresentar a investidores ou ao conselho.
- Faz sentido quando: há processo de due diligence iminente, incidente que exige investigação independente, ou os sócios precisam de uma avaliação objetiva antes de definir prioridades de investimento em governança.
- Resultado típico: diagnóstico entregue em 2 a 3 semanas com mapa de maturidade por dimensão e plano de evolução priorizado por risco.
Precisa de apoio para fazer um diagnóstico de governança e definir o plano de evolução da sua empresa?
Se conduzir um diagnóstico independente de governança é prioridade — especialmente antes de uma captação, due diligence ou auditoria —, o oHub conecta a sua empresa, de forma gratuita, a consultorias de governança e auditoria com experiência nesse processo. Em menos de 3 minutos você descreve a necessidade e recebe propostas, sem compromisso.
Encontrar fornecedores de Gestão no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Como avaliar o nível de governança de uma empresa?
Avaliando seis dimensões com três perguntas cada: estrutura de decisão e alçadas, controles financeiros e de caixa, políticas documentadas, prestação de contas e reporting, conformidade fiscal e legal, e gestão de riscos e auditoria. Para cada dimensão, a resposta às três perguntas determina o nível na escala de maturidade (inexistente, inicial, estruturado, gerenciado ou otimizado).
O que é diagnóstico de governança corporativa?
É o processo de verificar, dimensão por dimensão, se os controles existem, se estão documentados, se são seguidos na prática e se têm evidência de funcionamento. O diagnóstico produz um mapa do nível atual de maturidade em cada dimensão e permite identificar e priorizar as lacunas mais críticas para ação.
Quais são os critérios para avaliar controles internos?
Quatro critérios em ordem de exigência: o controle existe (mesmo que informalmente), está documentado (política escrita e comunicada), é seguido na prática (há consistência de aplicação) e tem evidência (há registros concretos de execução, não apenas descrição verbal). Um controle que passa pelos quatro critérios está no nível gerenciado — o objetivo para as dimensões mais críticas.
Como fazer uma autoavaliação de governança?
Avalie cada uma das seis dimensões com base em evidências concretas — não na intenção. Para cada dimensão, responda as três perguntas de diagnóstico e classifique o nível atual na escala. Identifique as três lacunas prioritárias com base no critério de risco. Defina um plano de ação com 30 dias, 90 dias e 6 meses para as iniciativas prioritárias.
Quais perguntas fazer para diagnosticar a governança?
Para cada dimensão, as três perguntas são: o controle existe? (mesmo que informalmente) o controle está documentado e comunicado? o controle é seguido na prática e há evidência concreta disso? As respostas "sim" a cada uma avançam o nível de maturidade. Resposta "não" à primeira pergunta indica nível inexistente — ponto de partida para a ação.
Fontes e referências
- Instituto Brasileiro de Governança Corporativa (IBGC). Código das Melhores Práticas de Governança Corporativa. 5ª edição. São Paulo: IBGC, 2015.
- Committee of Sponsoring Organizations of the Treadway Commission (COSO). Internal Control — Integrated Framework. 2013.