Como este tema funciona no porte da sua empresa
Para empresa pequena, a governança corporativa formal ainda não é o estágio adequado — o foco é nos controles mínimos. O próximo passo é o artigo sobre controles internos na empresa pequena, que cobre o que é esperado e viável neste porte.
Para empresa média, a governança envolve políticas formalizadas, alçadas documentadas e conselho consultivo. O próximo passo é o artigo sobre como estruturar a governança na empresa média, que cobre a sequência lógica de implementação para esse porte.
Artigo focado exclusivamente neste porte. A grande empresa tem governança corporativa formal: conselho de administração, comitê de auditoria, auditoria interna estruturada, auditoria externa anual, relatório de riscos e sistema de controles internos testado periodicamente. Este artigo é escrito para o gestor de controles internos ou controller que opera essa estrutura no dia a dia.
Governança corporativa na grande empresa é o sistema formal pelo qual a empresa é dirigida e monitorada, envolvendo o conselho de administração, a diretoria, os acionistas e os órgãos de controle — com regras claras sobre quem decide o quê, como se presta contas e como se gerencia o risco. Para o gestor de controles internos, governança corporativa não é um conjunto de princípios abstratos: é o sistema que ele opera, testa, evidencia e reporta ao comitê de auditoria.
Os órgãos da estrutura de governança na grande empresa
A estrutura de governança corporativa na grande empresa é composta por seis órgãos com funções distintas e fluxo de informação definido entre eles. O gestor de controles internos opera dentro dessa estrutura — não acima dela — e precisa entender o que cada órgão espera receber e em que formato.
| Órgão | Função principal | O que recebe do gestor de controles | Frequência de interação |
|---|---|---|---|
| Assembleia de acionistas | Delibera sobre temas societários e aprova demonstrações do exercício | Demonstrações financeiras auditadas, relatório de administração | Anual |
| Conselho de administração | Define a estratégia, supervisiona a gestão e toma decisões de maior alçada | Relatório de riscos, situação de controles críticos, atualizações sobre conformidade | Trimestral ou bimestral |
| Comitê de auditoria | Supervisiona o sistema de controles internos, a auditoria interna e a auditoria externa | Relatório de efetividade dos controles, achados da auditoria interna, planos de ação | Trimestral |
| Diretoria executiva | Opera o negócio e responde ao conselho | Relatórios de controles por área, status de conformidade, alertas de risco | Mensal |
| Auditoria interna | Revisão independente de controles e processos | Cooperação no plano de auditoria, suporte a testes, implementação de recomendações | Contínua |
| Auditoria externa | Emite parecer sobre as demonstrações financeiras | Documentação de controles, acesso a evidências, esclarecimentos sobre processos | Anual (com pontos de contato trimestrais) |
O papel do gestor de controles internos na grande empresa
O gestor de controles internos na grande empresa é o responsável por implantar, manter e evidenciar o sistema de controles — não o responsável por defini-lo (esse papel é do conselho) nem por auditá-lo (esse papel é da auditoria interna). A distinção é importante: o gestor de controles opera dentro da segunda linha de defesa, enquanto a auditoria interna representa a terceira.
As responsabilidades concretas do gestor de controles internos incluem:
- Manter a matriz de riscos e controles atualizada: documento que lista os processos críticos, os riscos identificados em cada um, os controles-chave para mitigá-los, os responsáveis, a frequência de aplicação e o resultado dos últimos testes.
- Coordenar o ciclo anual de avaliação de controles: avaliação de riscos no início do ciclo, definição dos controles-chave a serem testados, coordenação dos testes com os responsáveis de cada área, consolidação dos resultados e relatório de efetividade.
- Ser ponto focal para a auditoria interna: fornecer o acesso e a documentação solicitados, esclarecer o design dos controles, acompanhar as recomendações e garantir que os planos de ação sejam implementados dentro do prazo.
- Preparar o reporte para o comitê de auditoria: status dos controles por dimensão, achados do ciclo de auditoria interna, planos de ação com responsáveis e prazos, situação das recomendações anteriores e alertas sobre riscos emergentes.
- Garantir que os controles evoluem com o negócio: novos processos, novas áreas, aquisições e mudanças regulatórias precisam ser incorporados à matriz de riscos e controles — o sistema que não acompanha o negócio fica obsoleto e ineficaz.
O ciclo de controles internos na grande empresa
O ciclo de controles internos segue uma sequência anual com pontos de interação trimestrais com o comitê de auditoria. O gestor de controles é o responsável por coordenar cada etapa e garantir que o ciclo fecha — que as recomendações têm plano, o plano tem responsável e o responsável cumpre o prazo.
- Avaliação de riscos (anual — início do ciclo): levantamento dos processos críticos e dos riscos mais relevantes — atualizados com base nas mudanças do negócio, nos achados do ciclo anterior e nos riscos emergentes do setor.
- Definição dos controles-chave: para cada risco prioritário, identificação do controle que mitiga, do responsável pela aplicação e da frequência de execução.
- Teste dos controles (auditoria interna): a auditoria interna testa se os controles-chave estão sendo aplicados conforme desenhados — com base em amostragem e evidências concretas.
- Relatório de efetividade: resultado dos testes consolidado por dimensão — controles efetivos, controles com exceções, controles inefetivos.
- Plano de ação para falhas: para cada controle inefetivo ou com exceções, um plano de ação com causa raiz identificada, ação corretiva, responsável e prazo.
- Relatório para o comitê de auditoria: síntese do ciclo — o que foi testado, o que foi encontrado, o que está sendo feito e o status das recomendações anteriores.
A matriz de riscos e controles: como estruturar e manter
A matriz de riscos e controles é o documento central do sistema de controles internos na grande empresa. É o instrumento que o gestor de controles usa para acompanhar o que existe, o que está funcionando e o que precisa de ação — e que o comitê de auditoria usa para entender a exposição atual da empresa.
A estrutura mínima da matriz inclui:
- Processo: nome do processo ou área (ex: pagamentos a fornecedores, folha de pagamento, fechamento contábil).
- Risco: o que pode dar errado neste processo (ex: pagamento sem aprovação, nota fiscal fictícia, erro de lançamento).
- Controle-chave: o mecanismo que mitiga o risco (ex: aprovação em dois níveis, verificação da nota antes do pagamento, conciliação mensal).
- Responsável: quem aplica o controle no dia a dia.
- Frequência: diária, semanal, mensal, por transação.
- Resultado do último teste: efetivo, com exceções ou inefetivo — com data do teste.
- Status do plano de ação: para controles com falha — ação definida, responsável, prazo e status de implementação.
A matriz precisa ser revisada sempre que há mudança relevante de processo, nova área incorporada ou achado de auditoria. Uma matriz desatualizada é pior do que não ter matriz — sugere controle onde não há.
O que o comitê de auditoria espera do gestor de controles
O comitê de auditoria é o órgão que supervisiona o sistema de controles internos na grande empresa. O gestor de controles é o principal interlocutor para essa supervisão — e o que o comitê espera é informação objetiva, completa e no formato adequado para deliberação.
Os quatro elementos que o comitê espera receber em cada reunião trimestral:
- Status dos controles-chave: quantos foram testados, quantos estão efetivos, quantos têm exceções, quantos estão inefetivos — por dimensão e por processo crítico.
- Achados da auditoria interna e planos de ação: cada achado relevante com causa identificada, ação corretiva, responsável e prazo — e o status de implementação dos planos da reunião anterior.
- Riscos relevantes em aberto: riscos que surgiram no período ou que evoluíram — com avaliação de probabilidade e impacto e ação em andamento.
- Situação das recomendações anteriores: o que foi implementado, o que está em andamento e o que está atrasado — com justificativa para os atrasos.
O que o comitê não quer é relatório extenso sem síntese objetiva, achados apresentados sem causa identificada ou planos de ação sem responsável e prazo definidos.
Sinais de que o sistema de controles internos precisa de atenção
Se você se reconhece em três ou mais cenários abaixo, o sistema de controles internos provavelmente tem lacunas que o próximo ciclo de auditoria vai revelar — e é melhor identificar e corrigir antes.
- O gestor de controles não tem clareza do que o comitê de auditoria espera receber em cada reunião e em que formato.
- Recomendações de auditoria interna ficam abertas por tempo indeterminado sem responsável definido e sem prazo de fechamento.
- A matriz de riscos e controles existe mas não foi atualizada nos últimos 12 meses — está desconectada da realidade atual dos processos.
- Não há processo formal de teste periódico dos controles-chave — assume-se que os controles funcionam sem verificar evidências concretas.
- O plano de auditoria interna não foi construído com base nos riscos prioritários do negócio — é um ciclo de revisão de processos sem priorização por risco.
- O reporte ao comitê de auditoria é inconsistente — cada área reporta de um jeito diferente, sem padrão definido pelo gestor de controles.
Caminhos para estruturar ou revisar o sistema de controles internos da grande empresa
Há dois caminhos para conduzir a estruturação ou revisão do sistema de controles, e a escolha depende do estado atual e da urgência do processo.
Estruturar ou revisar o sistema de controles com a área de controles internos e a auditoria interna existentes.
- Perfil necessário: gestor de controles internos com capacidade de coordenar o ciclo de avaliação de riscos, testes e reporte ao comitê de auditoria; auditoria interna com plano baseado em riscos.
- Tempo estimado: 6 a 12 meses para o primeiro ciclo completo de avaliação, teste e reporte; evolução contínua nos ciclos seguintes.
- Faz sentido quando: a empresa já tem área de controles internos estruturada e o desafio é aprimorar o ciclo existente, não partir do zero.
- Risco principal: avaliação de controles conduzida pela mesma área que os opera — sem independência suficiente para identificar falhas que a área tem interesse em não expor.
Reestruturação do sistema de controles, preparação para abertura de capital ou auditoria de controles por firma especializada.
- Tipo de fornecedor: Auditoria, Consultoria de Governança, Compliance.
- Vantagem: visão independente do sistema atual, metodologia baseada em frameworks reconhecidos (COSO, IBGC), benchmarking com empresas do mesmo setor, credibilidade perante o comitê de auditoria e o auditor externo.
- Faz sentido quando: a empresa está se preparando para abertura de capital, há processo de M&A em andamento, o comitê de auditoria solicitou revisão independente ou há suspeita de fraude que exige investigação.
- Resultado típico: diagnóstico do sistema atual, plano de reestruturação por dimensão e implementação apoiada em 6 a 12 meses.
Precisa de apoio para estruturar ou revisar o sistema de controles internos da sua grande empresa?
Se aprimorar o sistema de controles internos ou preparar a empresa para um processo de auditoria ou abertura de capital é prioridade, o oHub conecta a sua empresa, de forma gratuita, a fornecedores de auditoria e consultoria de governança com experiência nesse processo. Em menos de 3 minutos você descreve a necessidade e recebe propostas, sem compromisso.
Encontrar fornecedores de Gestão no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
O que é governança corporativa em grandes empresas?
É o sistema formal pelo qual a empresa é dirigida e monitorada, com regras claras sobre quem decide o quê, como se presta contas e como se gerencia o risco. Envolve conselho de administração, comitê de auditoria, auditoria interna, auditoria externa e diretoria executiva — cada órgão com função e fluxo de informação definidos.
Quais são os órgãos de governança em uma grande empresa?
Seis órgãos principais: assembleia de acionistas (delibera sobre temas societários), conselho de administração (define estratégia e supervisiona a gestão), comitê de auditoria (supervisiona controles internos e auditoria), diretoria executiva (opera o negócio), auditoria interna (revisão independente de controles e processos) e auditoria externa (emite parecer sobre as demonstrações financeiras).
O que é comitê de auditoria e para que serve?
É o órgão que supervisiona o sistema de controles internos, a auditoria interna e a auditoria externa — reportando ao conselho de administração. Recebe trimestralmente o status dos controles, os achados de auditoria e os planos de ação. O gestor de controles internos é o principal interlocutor do comitê para informações sobre a efetividade dos controles.
Qual o papel da auditoria interna na grande empresa?
A auditoria interna representa a terceira linha de defesa — é independente da gestão e reporta ao comitê de auditoria. Seu papel é testar se os controles-chave estão sendo aplicados conforme desenhados, identificar achados, emitir recomendações e acompanhar a implementação dos planos de ação. Não é responsabilidade do gestor de controles — que opera a segunda linha.
Como funciona o reporte de controles internos para o conselho?
O fluxo vai do gestor de controles para o comitê de auditoria (trimestralmente), que consolida e reporta ao conselho de administração. O reporte ao comitê inclui status dos controles por dimensão, achados da auditoria interna, planos de ação com responsável e prazo, e situação das recomendações anteriores. O que vai para o conselho é uma síntese com os pontos de atenção mais críticos.
Fontes e referências
- Instituto Brasileiro de Governança Corporativa (IBGC). Código das Melhores Práticas de Governança Corporativa. 5ª edição. São Paulo: IBGC, 2015.
- The Institute of Internal Auditors (IIA). Modelo das Três Linhas. Atualização de 2020. Altamonte Springs: IIA, 2020.