Erros comuns em governança e controles

Por que os erros de governança são silenciosos antes de se tornarem graves

A característica mais perigosa dos erros de governança é que eles não geram sinal imediato — a empresa funciona normalmente por meses ou anos com controles ausentes ou falhos, até que algo muda e o risco se materializa. O pagamento duplicado que ninguém percebeu. O acesso ao sistema que não foi revogado quando o colaborador saiu. A política de compras que está no servidor mas nunca foi lida.

Segundo a Association of Certified Fraud Examiners (ACFE), no Report to the Nations — pesquisa que mapeia fraudes ocupacionais em empresas de diferentes portes —, a mediana do tempo entre o início de uma fraude e a sua detecção é de 12 meses. Isso significa que, em metade dos casos, a fraude acontece por ao menos um ano antes de alguém perceber. E a causa mais frequente em empresas pequenas e médias é a ausência de controles básicos.

O gestor administrativo que conhece os erros mais comuns está em melhor posição para identificá-los antes que causem problema maior. A lista abaixo não é teórica — é o padrão observado em empresas de diferentes portes, e cada erro tem análise de causa e abordagem de correção.

Os 10 erros mais comuns em governança e controles

Os erros abaixo estão ordenados por frequência de ocorrência entre empresas pequenas e médias. Para cada um, a análise de causa identifica por que o erro acontece — e a abordagem de correção indica o que o gestor pode fazer para eliminar ou reduzir o risco.

1. Acumular funções incompatíveis na mesma pessoa (custódia + autorização + registro):
   O que é: a mesma pessoa solicita a compra, aprova, paga e registra no sistema — sem que nenhum outro agente revise. Qualquer erro (ou fraude) passa sem supervisão.
   Causa: falta de pessoal ou desconhecimento de que a acumulação é um risco — "confiamos nela há anos".
   Correção: controle compensatório mínimo — o sócio revisa o extrato quinzenalmente, o contador concilia mensalmente, um segundo usuário aprova transferências acima do limite.
2. Controles documentados que ninguém segue:
   O que é: a política existe, foi escrita e publicada, mas na prática o processo acontece de forma diferente — e ninguém atualiza a política para refletir a realidade.
   Causa: processo desenhado sem envolvimento de quem executa; política criada como requisito burocrático, não como instrumento de controle real.
   Correção: construir a política com o time que vai executá-la, testar antes de formalizar, revisar anualmente com base no que acontece na prática.
3. Aprovações por mensagem sem registro formal:
   O que é: compras, pagamentos e contratos são aprovados por WhatsApp — e as mensagens se perdem na conversa, não há evidência organizada de que a aprovação aconteceu.
   Causa: agilidade sem controle — o processo informal é mais rápido, e ninguém questionou até aparecer uma auditoria ou um problema.
   Correção: e-mail de aprovação com cópia arquivada, aprovação em sistema com log, ou ata de reunião com a deliberação — qualquer das três gera evidência.
4. Alçadas vinculadas a nomes, não a cargos:
   O que é: a matriz de alçadas diz "o João aprova até R$ 50 mil" — mas o cargo do João é Gerente Financeiro. Quando o João sai, as alçadas ficam sem responsável até que alguém decida o que fazer.
   Causa: personalização natural — alçadas foram criadas quando as pessoas que ocupam os cargos estavam definidas, e nunca foram formalizadas por cargo.
   Correção: reformular a matriz de alçadas por cargo, revisá-la a cada mudança relevante de estrutura.
5. Políticas criadas e nunca revisadas:
   O que é: a política de compras foi escrita há três anos, o processo mudou duas vezes desde então, mas o documento continua igual. Quando alguém segue a política, segue um processo desatualizado.
   Causa: ciclo de revisão inexistente — ninguém é responsável por manter as políticas atualizadas.
   Correção: designar responsável por cada política, incluir data da última revisão e data da próxima no próprio documento, criar ciclo anual de revisão no calendário.
6. Acesso a sistemas não revisto quando colaborador muda de função ou sai:
   O que é: o colaborador que saiu ainda tem usuário ativo no ERP, no internet banking e no e-mail corporativo — ou o colaborador que mudou de cargo ainda tem permissões do cargo anterior que já não são adequadas.
   Causa: ausência de processo de offboarding de acesso — o TI revoga o e-mail, mas não os outros sistemas; o RH não comunica o TI e o financeiro.
   Correção: checklist de desligamento obrigatório com item específico de revogação de acesso a cada sistema, responsável designado e prazo.
7. Confiança excessiva em pessoa chave sem supervisão:
   O que é: "ele está aqui há 15 anos, é de confiança" — e por isso não há nenhum controle sobre o que ele faz. A maioria das fraudes internas é cometida por colaboradores de longa data com acesso irrestrito.
   Causa: cultura de confiança sem controle — a empresa trata o controle como desconfiança, em vez de como proteção mútua.
   Correção: controle compensatório independente da confiança na pessoa — conciliação por terceiro, revisão periódica do extrato pelo sócio, auditoria eventual.
8. Relatórios de prestação de contas que omitem problemas reais:
   O que é: o pacote de informações para os sócios apresenta os resultados positivos com destaque e minimiza ou omite os problemas — por medo de represália ou para "não preocupar".
   Causa: cultura em que o mensageiro de notícia ruim sofre consequências; sócios que reagem mal a problemas em vez de tratar a informação como insumo para decisão.
   Correção: sócios precisam ser explícitos sobre a cultura de transparência esperada — e demonstrá-la na prática ao receber notícia ruim sem punir o portador.
9. Controles criados como resposta a incidente sem análise de causa raiz:
   O que é: houve um pagamento duplicado e a resposta foi "vamos exigir duas aprovações para todo pagamento". O controle resolve o sintoma sem entender a causa — e pode ser burocrático demais para o processo real.
   Causa: gestão reativa — o incidente gera urgência, a urgência gera solução rápida, a solução rápida não resolve o problema estrutural.
   Correção: antes de definir o controle, identificar a causa raiz: por que o pagamento duplicado aconteceu? Foi erro de registro? Ausência de conciliação? Acesso compartilhado a conta? O controle deve resolver a causa, não o sintoma.
10. Mistura de patrimônio PF/PJ com ausência de conta separada:
    O que é: a conta da empresa é usada para despesas pessoais dos sócios — aluguel, supermercado, viagem de férias — e despesas pessoais passam como despesa da empresa.
    Causa: conveniência e ausência de cultura de separação desde o início; muitas vezes começa na pessoa jurídica individual do empreendedor e nunca é corrigido com o crescimento.
    Correção: conta PJ exclusiva desde o início, pro-labore formalizado para a retirada do sócio, distribuição de lucros registrada em ata — qualquer retirada deve ter registro e denominação adequada.

Padrão de consequência por porte

O tipo de consequência dos erros de governança varia com o porte — não porque os erros sejam diferentes, mas porque o contexto de supervisão e a escala das transações são diferentes.

• Empresa pequena: os erros estruturais (acumulação de funções, mistura PF/PJ) costumam resultar em fraude direta ou em perda financeira que só é descoberta quando o caixa aperta. A detecção é tardia porque não há outro agente que supervisione.
• Empresa média: as falhas de implementação (controles no papel que não são seguidos) costumam resultar em fraude por pessoa de confiança que percebeu a lacuna, ou em desvios que aparecem na auditoria — com impacto de imagem e custo de correção.
• Empresa grande: os erros de efetividade e cultura (relatórios que omitem problemas, planos de ação que não fecham) costumam aparecer em auditorias externas com ressalva, em investigações regulatórias ou em processos de due diligence que revelam lacunas que o gestor de controles não identificou.