Académique Documents
Professionnel Documents
Culture Documents
Carlos Santos
ISCA-UA/CEO-INESC, Aveiro, Portugal carlos.santos@isca.ua.pt
Andr Vasconcelos
CEO-INESC, Lisboa, Portugal andre.vasconcelos@ceo.inesc.pt
Jos Tribolet
CEO-INESC, Lisboa, Portugal jose.tribolet@ceo.inesc.pt
Resumo
Neste trabalho debruamo-nos sobre a problemtica do controlo interno dos processos de negcio com recurso a mecanismos de controlo externos aos processos. Estes mecanismos tm como objectivo assegurar a auditabilidade dos processos de negcio, garantindo que os seus objectivos so atingidos com razovel certeza. A ateno crescente que tem vindo a ser dada ao controlo interno motivada por vrios factores internos e externos s organizaes devido principalmente aos escndalos financeiros que tm surgido, um pouco por todo o mundo, e proliferao das novas tecnologias de informao como suporte aos sistemas de informao. A evoluo que se tem vindo a verificar no controlo interno, designadamente a alterao no seu comportamento organizacional, de estrutura para processo, tem-no tornado mais abrangente e dinmico. Esta tendncia evolutiva, em nossa opinio, permite-nos propor que a engenharia organizacional se comece a preocupar com o estudo do controlo interno numa perspectiva cientfica, com recurso a modelos consistentes e coerentes. Neste trabalho fazemos inicialmente uma breve exposio sobre o controlo interno e a sua evoluo, propondo de seguida a extenso da framework CEO com recurso ao modelo COSO para que possa suportar a modelao de mecanismos de controlo interno. Palavras-chave: Framework CEO; COSO; Processos de negcio; Sistema de controlo interno; Auditoria de sistemas de informao.
1 INTRODUO
De acordo com a teoria de auditoria, uma organizao no s precisa de um sistema de informao, mas tambm de um sistema de controlo interno para assegurar a credibilidade da informao registada e para controlo de potenciais erros. Face ao exposto podemos concluir que uma organizao, em simultneo com os objectivos estratgicos e operacionais, precisa de cumprir objectivos de controlo suportados por processos de controlo. Com este trabalho pretende-se contribuir para promoo da auditabilidade dos sistemas de informao numa perspectiva holstica do negcio utilizando a framework CEO [FCEO]. Embora o metamodelo da FCEO proposto por [Sinogas 2002] especifique uma associao controls, necessrio proceder a ligeiras alteraes, no sentido da evoluo da referida framework, para que a mesma possa passar a suportar a modelao de mecanismos de controlo interno. A utilizao da FCEO acontece na sequncia do trabalho realizado por diversos investigadores [Castela 2001; Mendes 2001; Vasconcelos 2001; Aveiro 2002; Sinogas 2002] em que demonstrado que a FCEO suficientemente consistente e coerente, satisfazendo um requisito fundamental para poder suportar um sistema de controlo interno. O presente artigo est assim estruturado: na seco seguinte fazemos uma breve exposio sobre o controlo interno e a sua evoluo; na seco 3 fazemos uma reviso do estado da arte da modelao do controlo interno; na seco 4 apresentado o modelo COSO; a relao entre a framework CEO e o controlo interno de processos de negcio mostrada na seco 5;
finalmente, na seco 6 so apresentadas as concluses a que chegaram os autores e so estabelecidas linhas orientadoras que podero ser teis em futuros trabalhos de investigao relacionados com esta problemtica.
<<Process>>
Processo de Negcio
Objectivo Operacional
Mecanismos de Controlo
Figura 1 Os processos de negcio que permitem atingir um objectivo operacional necessitam de ser controlados atravs de mecanismos de controlo externos ao processo.
Embora o princpio da conservao da energia e da matria ...nada se cria, nada se perde, tudo se transforma... tenha directo significado nas organizaes e consequentemente nos seus sistemas de informao, o mesmo no tem sido completamente entendido, muito menos aplicado, no controlo dos sistemas de informao. Se tivermos presente este princpio fundamental da fsica e se fizermos a sua transposio para os sistemas de informao deveremos considerar que a uma transaco directa corresponder sempre uma transaco indirecta para garantir o equilbrio do sistema de informao figura 2.
compensado por:
Compensa:
Figura 2 O processo de controlo para produzir um recurso de controlo recebe informao de duas transaces a transaco directa e a transaco indirecta.
Como exemplo consideremos o procedimento de delegao de competncias frequentemente usado nas organizaes e gerador de desequilbrios. O acto de delegar configura uma transaco directa que deve ser compensada por um acto de controlo sobre os agentes que passam a ter a responsabilidade da execuo da tarefa. O acto de controlo configura uma transaco indirecta. Se o acto de delegar no for acompanhado do acto de controlo, no existe compensao e o sistema deixa de estar em equilbrio.
4 O MODELO COSO
O modelo COSO Internal Control Integrated Framework editado por Committee of Sponsoring Organizations of the Treadway Commission estabelece uma sequncia de eventos para a gesto de processos de negcio em ambiente de controlo [Namee 1997]:
Definio dos objectivos da organizao; Avaliao do risco; Determinao dos controlos necessrios. Um modelo de controlo interno quando aplicado com cuidado, discernimento e viso pode ser a base de um sistema de controlo interno que suporte directamente o sucesso da organizao. Se aplicado mecanicamente, o sistema de controlo interno resultante pode suportar um bom controlo, mas no suportar necessariamente o sucesso organizacional [Galloway 1994]. O modelo COSO define o controlo interno como sendo um processo, constitudo por cinco subprocessos, figura 3, desenvolvido para garantir, com razovel certeza, que sejam atingidos os objectivos perseguidos por uma organizao, nas seguintes categorias: eficincia e efectividade operacional; confiana nos registos contabilsticos/financeiros e conformidade. Entre Julho e Outubro de 2003 foi submetido discusso pblica o documento Enterprise Risk Management Framework, pelo Committee of Sponsoring Organizations of the Treadway Commission.
COSO Internal Control: Integrated Framework
1 1..* Ambiente de Controlo 1..* Avaliao e Gesto do Risco 1..* Actividades de Controlo 1..* Comunicao e Informao 1..*
Monitorizao
Figura 3 O modelo de controlo interno Integrated Control: Integrated Framework, proposto por the Comitee of Sponsoring Organizations, um processo constitudo por cinco elementos.
1.5.1 Objectivos Semntica Os objectivos determinam e controlam o comportamento do negcio e revelam os estados desejveis de alguns recursos do negcio. Restries Cada objectivo deve corresponder no mnimo a um processo. Notao Grfica A notao grfica de objectivo usa o cone descrito na figura 4 para representar o esteretipo objectivo <<goal>>.
<<Goal>>
Objectivo
Classes Predefinidas Um objectivo estratgico deve ser composto por objectivos operacionais e objectivos de controlo [Weigand and Moor 2001]. Os objectivos operacionais podem por sua vez ser especializados em objectivos quantitativos e objectivos qualitativos. Os objectivos de controlo podem ser especializados em objectivos especficos, figura 5.
Objectivo Estratgico
1
Extenso
Objectivo Operacional
Objectivo de Controlo
1..*
Quantitativo
Qualitativo
Objectivo especfico A
...
Objectivo especfico N
Figura 5 Classes de objectivos predefinidas. Este modelo evoluiu relativamente ao proposto originalmente com a agregao e composio de um objectivo de controlo.
1.5.2 Processos Semntica Um processo representa uma unidade de trabalho, podendo a sua execuo estar relacionada com a execuo de outros processos atravs de fluxos de recursos. Um desses processos ser certamente um processo de controlo. Restries Um processo deve corresponder a um ou mais objectivos. Notao Grfica A notao grfica de processo usa o cone descrito na figura 6 para representar o esteretipo de processo <<process>>.
<<Process>>
Processo
Classes Predefinidas As actividades de um negcio podem ser classificadas como actividades principais core, actividades de suporte support e actividades de controlo control. As actividades principais e de suporte dependem do tipo de negcio que est a ser modelado podendo obviamente variar de organizao para organizao. As actividades de controlo so as actividades necessrias para garantir que os processos principais ou de suporte so executados de acordo com as boas prticas. Estas actividades devem ter presente o suporte necessrio boa execuo do processo de negcio, figura 7.
<<Process>>
Processo de Negcio
Extenso
<<Process>>
<<Process>>
Processo Operacional
Processo de Controlo
<<Process>>
<<Process>>
Processo Quantitativo
Processo Qualitativo
Figura 7 Classes de processos predefinidas. Propomos que um processo de negcio seja especializado em processo operacional e processo de controlo, sendo este, sujeito simultaneamente a uma composio.
1.5.3 Recursos Semntica Os recursos so objectos do negcio que so manipulados atravs dos processos. Os recursos podem ser ordenados ou estruturados e ter relaes entre eles. Os recursos podem ser produzidos, consumidos, usados ou refinados pelos processos. Restries Um recurso tem de ser produzido, consumido, usado ou refinado em pelo menos um processo. Notao Grfica A notao grfica para recurso usa o cone mostrado na figura 8 para representar o esteretipo recurso <<resource>>.
<<Resource>>
Recurso
Figura 8 Notao grfica de recurso.
Classes Predefinidas Os recursos de negcio de uma organizao podem ser operacionais e de controlo. Os operacionais podem ser coisas ou informao e dividem-se em abstractos e fsicos. Uma classe particular de recurso fsico pessoa ou entidade, figura 9. Os recursos de controlo so definidos em funo da anlise de risco feita aos processos de negcio operacionais e aos sistemas que os suportam.
<<Resource>>
Recurso de Negcio
Extenso
1..*
<<Resource>>
<<Resource>>
Recurso Operacional
Recurso de Controlo
<<Resource>>
<<Resource>>
<<Resource>>
Information
Thing
Agente Digital
<<Resource>>
<<Resource>>
Abstract
Physical
<<Resource>>
People
1.5.4 Sistemas de Informao No que respeita aos sistemas de informao no h qualquer proposta de extenso relativamente ao proposto por [Sinogas 2002].
<<Goal>>
Achieves
Goal
<<Resource>> Controls, Executes
<<Process>>
Process
Resource
Extenso
<<System>>
Suports
System
Figura 10 Metamodelo da evoluo da framework CEO. Verifica-se que o recurso pode passar a controlar os sistemas.
A tabela 1 apresenta de forma sistemtica as restries impostas pelo metamodelo acima s subclasses e objectos com os esteretipos definidos na framework CEO.
Goal Contradicts Achieves Process Resource Produces, Consumes, Uses, Refines Controls, Executes Supports Sends, Receives System Extenso Controls
Tabela 1 Associaes do metamodelo da evoluo da framework CEO. Conforme se pode ver a evoluo reside na generalizao da associao controls entre recurso e sistema.
Sistema Y Tarefa Y
Recurso de Controlo
Conforme referido na seco 5.1.1, associado aos objectivos operacionais de qualquer organizao h sempre um objectivo de controlo [Weigand and Moor 2001]. Este objectivo deve garantir com razovel certeza que todos os objectivos operacionais so atingidos satisfatoriamente. Por outro lado, para que se atinjam os objectivos de controlo especficos deve ser garantido que os processos que os suportam utilizam adequados recursos de controlo. Estes recursos so identificados em funo do risco que se pretende minimizar ou mesmo eliminar figura 12.
COSO
Recurso de controlo A
...
Recurso de Controlo N
Figura 12 Processo de controlo que consome ou produz recursos de controlo para todos os outros processos. Se se garantir que todas as actividades esto controladas os processos que as referidas actividades suportam esto igualmente controladas.
Para controlar este processo devero ser seleccionados um ou mais pontos de controlo. Um ponto de controlo qualquer pessoa, coisa, ou evento que em funo das vulnerabilidades que apresenta deve ser sujeito a mecanismos de controlo para minimizar ou, se possvel, anular o risco da eventual concretizao da ameaa. Relativamente aos pontos de controlo seleccionados podemos identificar algumas vulnerabilidades que podem ser exploradas por ameaas, a que possam estar sujeitos, podendo transformar-se em risco que necessrio, obviamente, minimizar, ou se possvel anular. As ameaas referidas potenciam um risco permanente que pode, na ausncia de mecanismos de controlo, manifestar-se com efeitos perniciosos. Assim, necessrio minimizar a permanncia desta ameaa, implementando adequados mecanismos de controlo. Isto conseguido definindo um objectivo especfico de controlo e identificando os adequados mecanismos de controlo, em funo do referido objectivo, que minimizam a ameaa.
6 CONCLUSES
Confirmada a coerncia da FCEO, requisito mnimo para poder suportar a modelao de mecanismos de controlo interno, estudmo-la na perspectiva do controlo interno. Este estudo deu indicaes favorveis utilizao da FCEO na modelao de mecanismos de controlo interno. Para o efeito verificou-se ser necessrio propor ligeiras alteraes ao seu metamodelo. Com recurso teoria do controlo interno e ao modelo COSO Internal Control Integrated Framework editado pelo Committee of Sponsoring Organizations of the Treadway Commission, propomos a evoluo da FCEO para que em qualquer processo de modelao de um negcio eventuais mecanismos de controlo sejam identificados, ou sejam possveis as suas implementaes. O metamodelo da FCEO estendida traduz-se em alteraes mnimas ao metamodelo original da FCEO. Finalmente, com a conscincia de que o que aqui fica proposto um modesto contributo, ainda havendo um longo caminho a percorrer para a modelao efectiva e coerente do controlo interno numa organizao, propomos como trabalho futuro a utilizao do metamodelo da FCEO estendida modelao de processos de negcio, principais e de suporte, em situao real. Fica ainda como proposta de trabalho futuro a investigao relacionada com a implementao ao nvel dos sistemas de mecanismos de controlo que garantam o equilbrio dos sistemas organizacionais.
7 REFERNCIAS
Aveiro, D. (2002). Organizao da Funo Informtica. Instituto Superior Tcnico. Lisboa, Universidade Tcnica de Lisboa. Castela, N. (2001). Recolha, Anlise e Validao de Informao para Modelao de Processos de Negcio. Instituto Superior Tcnico. Lisboa, Universidade Tcnica de Lisboa. Champlain, J. J. (1998). Auditing Information Systems: a comprehensive reference guide. New York, John Wiley & Sons, Inc. Colbert, J. L. and P. L. Bowen, Eds. (2002). A Comparison of Internal Controls: COBIT, SAC, COSO and SAS 55/78, Information Systems Audit and Control Association. Curtis, M. B. and F. H. Wu (2000). "The Components of a Comprehensive Framework of Internal Control." CPA Journal. Galloway, D. J. (1994). Control Models in Perspective. The Internal Auditor. 51: pp. 46-52. Hermanson, H. M. (2003). "COSO: More Relevante Now Than Ever." Internal Auditing 18(4): pp. 3-6. Mendes, R. (2001). Modelao de Estratgia de Negcio: Representao, Alinhamento e Operacionalizao. Instituto Superior Tcnico. Lisboa, Universidade Tcnica de Lisboa. Moran, J. (2001). "Applying Best Practice Internal Control in the European Commission." Accountancy Ireland. Namee, D. M. (1997). Risk-Based Auditing. Internal Auditor. 54: pp. 22-27. O'Connel, P. (1999). Internal Control Standards. Pathak, J. (2003). "Internal Audit E-Commerce Controls." Internal Auditing. Sinogas, P. (2002). Modelao de Processos de Negcio. Instituto Superior Tcnico. Lisboa, Universidade Tcnica de Lisboa. Vasconcelos, A. (2001). Arquitectura de Sistemas de Informao no Contexto do Negcio. Instituto Superior Tcnico. Lisboa, Universidade Tcnica de Lisboa. Weigand, H. and A. d. Moor (2001). A Framework for the Normative Analysis of Workflow Loops. Sixth International Workshop on the Language-Action Perspective on Communication Modelling (LAP 2001), Montreal - Canada.