Boas Prticas para o Uso Estratgico de Controles Internos

Boas Prticas para o Uso Estratgico de Controles Internos

Apresentao ........................................................................................................2 I. II. Planejamento das matrizes de risco e controle .............................................3 Construo da estrutura de controles e aplicao do RCSA.........................13

III. Aes de melhoria da estrutura de controle................................................18 IV. Anexo I Parametrizando a matriz de controle na prtica .........................20

Otimize sua estrutura de controles

Pgina 1

Agosto 2007. ELO Group

www.elogroup.com.br

Boas Prticas para o Uso Estratgico de Controles Internos

Apresentao

O presente artigo rene o conjunto de melhores prticas observadas ao longo das experincias dos consultores da ELO Group em projetos de gesto de risco operacional e controles internos para empresas nacionais e multinacionais. De forma objetiva, estas melhores prticas devem ser entendidas pelo leitor como insights, aprendidos ao longo dos projetos realizados, que impactam significativamente no resultado de aes de construo e manuteno de estruturas controles internos. Tais melhores prticas incluem o planejamento prvio de aes, construo das matrizes de risco e elaborao de planos de aes, devendo apoiar substancialmente organizaes que estejam nos mais distintos estgios de implantao da estrutura de controles internos, maximizando seu valor percebido e otimizando o esforo necessrio. Finalmente, observa-se que os projetos analisados possuram os mais distintos objetivos desde simples aplicaes do mtodo de RCSA (risk control selfassessment), passando por atendimento a resoluo 3380/Basilia II (especfico para instituies financeiras), at casos de adequao as sees 302 e 404 da SOX (especfico para empresas de capital aberto na bolsa de Nova York).

Agosto 2007. ELO Group

Pgina 2

www.elogroup.com.br

Boas Prticas para o Uso Estratgico de Controles Internos

I - Planejamento das matrizes de risco e controle

1. Definir

claramente

que

est

sendo

entendido

por

risco,

explicitando possveis confuses com outras referncias

Para minimizar o re-trabalho e evitar erros de comunicao dentro da empresa essencial que se delimite o que est sendo entendido por risco. No que diz respeito s matrizes de risco, esse entendimento ser um fator chave para o seu desenvolvimento. Um exemplo de definio a proposta da IIA (Institute of Internal Auditors) que considera o risco como qualquer coisa que possa impedir o alcance dos objetivos. Essa definio normalmente utilizada em abordagens de RCSA. Outro exemplo de definio para risco baseado na futura norma ISO 31.000, seria efeito da incerteza nos objetivos. Nesse caso, cabe ressaltar que tanto incertezas que impactam os resultados da organizao negativamente quanto positivamente so considerados pela norma. Em ambos os casos o risco entendido como um conjunto de diversos componentes, incluindo causa (fontes de risco ou vulnerabilidades, existentes na organizao, que podem dar origem a um evento), evento (contexto ou situao em que a perda ou ganho ocorre) e conseqncias (diferentes tipos de perdas causadas pelo evento). Essa descrio ampla do risco permite entender como os controles poderiam atuar: (1) minimizando a probabilidade das causas efetivamente provocarem o evento, ou, (2) minimizando o impacto das conseqncias dado que o evento j ocorreu. Outra abordagem dada pela aplicao dos conceitos de risco operacional nas instituies financeiras. Essas, direcionadas pela Basilia, tendem a interpretar o risco operacional como a possibilidade de ocorrncia de perdas resultantes de falha, deficincia ou inadequao de processos internos, pessoas e sistemas, ou de eventos externos. Alm disto, neste segmento muito comum que os profissionais associem diretamente o risco aos eventos de risco operacional listados pela Basilia II/Resoluo 3380 (fraudes internas; fraudes externas; prticas inadequadas com clientes; etc).

Agosto 2007. ELO Group

Pgina 3

www.elogroup.com.br

Boas Prticas para o Uso Estratgico de Controles Internos

Passando para empresas sujeitas SOX, observa-se uma tendncia ao entendimento dos riscos como eventos que levem a perda de confiabilidade ou credibilidade de um determinado report ou divulgao financeira. Formalmente, um risco operacional relativo a report financeiro pode ser definido como: um evento ou condio que pode afetar negativamente a habilidade de uma determinada organizao de produzir relatrios financeiros de uma maneira tempestiva e confivel. Na prtica, para projetos de adequao as sees 302 e 404 da SOX, o risco operacional tratado como um evento ou um conjunto de eventos indesejados que possam ocorrer na preparao e divulgao de relatrios financeiros. Em particular, estes eventos indesejados representam erros em contas que possuem materialidade para a organizao e que possam ferir um conjunto de assertivas realizadas pela gesto da empresa, como ocorrncia e existncia, completude/integridade; alocao e mensurao, direitos e obrigaes e apresentao e divulgao. Em suma, fundamental que a organizao defina claramente o que ser entendido por risco em sua ao de gesto de controles internos, apoiando a utilizao de diversos instrumentos de trabalho, entre eles, a matriz de risco. Uma ltima ressalva relativa ao perigo de se considerar o risco como qualquer coisa que possa interferir no atingimento de um objetivo. Embora a definio de risco esteja relacionada aos objetivos, associar qualquer coisa que impacte nestes no necessrio, e torna o trabalho menos eficiente. Ao invs de contemplar qualquer coisa que poderia dar errado, a identificao dos riscos deve ser direcionada pela compreenso de eventos inesperados, ocorridos na prtica da operao e que impactem no atendimento dos objetivos. Isso permite a restrio do escopo da anlise; focando-a sobre os problemas reais da operao. Eventos de baixssima probabilidade, como catstrofes climticas, pandemias, etc, no so foco de ateno especfico em um CSA, sendo melhor analisados em tcnicas de maior poder preditivo, como a anlise de cenrios. Desta forma, o contedo do CSA deve ser direcionado pelo que efetivamente d errado na organizao e no por qualquer coisa que poderia dar errado.

Agosto 2007. ELO Group

Pgina 4

www.elogroup.com.br

Boas Prticas para o Uso Estratgico de Controles Internos

2. Planejar com cautela quais sero os instrumentos utilizados para criao e validao das matrizes de riscos e controles

Dos mtodos usados para criao da estrutura de controles internos, trs so mais freqentemente abordados pela literatura: questionrios; entrevistas e workshops. Como era de se esperar, a deciso pela utilizao de cada um desses mtodos ir depender das particularidades de cada empresa e de cada projeto. Contudo, sugerimos a utilizao de um hbrido destes trs mtodos, para gerao de resultados mais completos, rpidos e efetivos. Questionrio ideal para a coleta extensiva e rpida de informao. Podem ser utilizados para um diagnstico relativamente superficial da estrutura de controles e/ou quando a empresa possui informaes suficientemente estruturadas sobre riscos; controles e objetivos. Outra forte indicao para o seu uso no momento de priorizao de processos a serem avaliados (podendo inclusive restringir a anlise mais detalhada dos processos mais crticos). Finalmente, trata-se de uma ferramenta interessante para monitorar mudanas na estrutura de controles j mapeada (reviso das matrizes de risco) Entrevistas ferramenta indicada para o primeiro levantamento da estrutura de controles internos de uma empresa, j que permite a interao entre quem detm o mtodo da construo da matriz de risco (consultores externos ou reas especficas da organizao) e quem possui o conhecimento profundo da operao (executores e gerentes). Sua aplicao demanda mais tempo do que os questionrios, mas produz informaes significativamente mais detalhadas. Entrevistas costumam ser feitas em duas etapas: uma primeira entrevista de levantamento e uma segunda de validao. Cabe ressaltar que o levantamento extensivo de controles existentes, realizado atravs de entrevistas, deve seguir um padro para o registro e detalhamento das informaes, permitindo a gerao de um relatrio final homogneo e uma anlise da viabilidade para manuteno da base de dados gerada. Workshops ferramentas indicadas para situaes que exigem decises importantes e a participao de mltiplos stakeholders com tempo disponvel limitado, como gerentes e diretores. Workshops so ideais para dois momentos: primeiro, no momento de identificao dos objetivos e principais riscos no incio da ao; e, segundo, para validao do resultado geral de uma

Agosto 2007. ELO Group

Pgina 5

www.elogroup.com.br

Boas Prticas para o Uso Estratgico de Controles Internos

ao de controles internos, na qual planos de ao e respostas de tratamento aos riscos so aprovados e priorizados.

3. Definir um dicionrio de riscos que efetivamente possa ser utilizado como linguagem nica da organizao

Uma primeira definio, crucial para o bom andamento do processo, a formalizao do dicionrio de riscos (ou universo de riscos). Ele deve descrever todas as categorias de risco s quais a organizao est exposta. Categorias de risco comuns so: riscos operacionais, riscos de mercado; riscos de crdito; riscos de underwriting, riscos de liquidez, risco estratgico, etc. Em muitos casos, faz-se necessrio o detalhamento de categorias de riscos operacionais em subcategorias, de modo a refletir os eventos de risco operacional que realmente podem ocorrer em uma organizao. Exemplos desses detalhamentos so as categorias de fraudes, demandas trabalhistas, etc. para a Basilia e as categorias relacionadas s assertivas das contas materiais existentes nos relatrios financeiros (existncia e ocorrncia, completude/integrao, avaliao e alocao, direitos e obrigaes e apresentao e divulgao para SOX) A definio de um dicionrio de risco importante por duas razes. Por um lado, a definio do dicionrio garante a robustez no levantamento de riscos, assegurando que todos os riscos pertinentes empresa sero mapeados. Por outro lado, se bem aplicada, ela ajuda a gerenciar o esforo da organizao ao garantir que a construo das matrizes de risco est focada nos problemas centrais da empresa.

4. Planejar anteriormente quais atributos devem ser utilizados para avaliar os riscos

Outra questo chave para a criao da estrutura de controles internos a definio dos atributos a serem avaliados para cada um dos riscos operacionais. Certos atributos podem, por exemplo, ser avaliados em relao a escalas (como alto, mdio e baixo), outros sero avaliados atravs da classificao dos riscos em diferentes categorias (como pessoa, processo ou sistema). As classificaes mais utilizadas para risco so: Risco inerente x Risco residual: Uma deciso importante est em optar por uma avaliao separada dos riscos em relao ao risco inerente e risco

Agosto 2007. ELO Group

Pgina 6

www.elogroup.com.br

Boas Prticas para o Uso Estratgico de Controles Internos

residual. De maneira prtica, avaliar o risco inerente significa avaliar a probabilidade e severidade da ocorrncia de um risco, desconsiderando-se a estrutura de controles atual. A avaliao de risco residual anloga, exceto por considerar a existncia da estrutura de controles atual. A realizao de ambas as avaliaes indicada quando se deseja medir a efetividade da estrutura de controles, j que esta exatamente a diferena entre o risco inerente e residual. Alm disso, a anlise do risco inerente e residual promove uma compreenso da eficincia da estrutura de controles permitindo a identificao de possveis excessos na estrutura de controles internos (por exemplo, se existem muitos controles para mitigar um risco que inerentemente j baixo). Vale ressaltar, entretanto, que esta distino no um consenso entre as normas e muitas organizaes possuem grandes dificuldades em avaliar o que seria risco inerente, pois no conseguem visualizar sua operao sem os controles existentes. Cdigo de referncia Um outro insight prtico importante a criao de cdigos de referncia para os riscos identificados. A criao destes cdigos, associados ao dicionrio de risco, permite a realizao de consultas e queries por risco nas matrizes de risco. Isso se mostra particularmente relevante porque as matrizes de risco so normalmente feitas por processo, e muitos riscos aparecem em mais de um processo (e, portanto mais de uma matriz).

5. Planejar anteriormente quais escalas de severidade e probabilidade sero utilizadas

Na prtica, grande parte das empresas se utiliza de trs dimenses ou parmetros para a avaliao de um risco. A primeira delas a probabilidade de uma determinada fonte de risco gerar um evento, ou a probabilidade de um determinado evento de risco ocorrer. A segunda a severidade de suas conseqncias, dado que um evento de risco ocorreu. E a terceira uma escala que consolida os parmetros de severidade e probabilidade em um s parmetro (alto, mdio ou baixo, por exemplo), o que possibilita a comparao entre diversos riscos de forma mais direta. A deciso de que

Agosto 2007. ELO Group

Pgina 7

www.elogroup.com.br

Boas Prticas para o Uso Estratgico de Controles Internos

escalas utilizar importante, pois deve estar alinhada a exposio real ao risco da organizao e ao seu apetite ao risco. Um ponto importante a ser ressaltado que avaliar os riscos de acordo com escalas permite compara-los entre si. Para isso necessrio definir quais propriedades sero avaliadas atravs dessas escalas. A probabilidade de um evento de risco ocorrer est normalmente liga a complexidade, subjetividade e necessidade de julgamento das atividades de cada processo. Alm disso, a probabilidade de cada risco ocorrer guarda forte relao com a efetividade dos controles preventivos (controles preventivos e detectivos sero abordados posteriormente neste documento). A correlao entre riscos outro fator que afeta a probabilidade de um determinado risco ocorrer de maneira significativa. Na prtica, as empresas adotam escalas de 3 ou 5 nveis associadas probabilidades (10%; 20%; 30% de chance de ocorrncia; etc) ou freqncias de ocorrncias (1 vez por dia; 1 vez por semana, 1 vez por ms; etc). J a severidade de um evento de risco operacional costuma depender do volume de transaes de cada processo e do montante de dinheiro movimentado por este. Na prtica, as empresas adotam escalas de severidade em diversas dimenses: impacto financeiro (escala de valor monetrio), impacto na reputao (escalas de clientes impactados ou quantidade de divulgao do evento de risco), escalas de segurana (nmero de mortes ou ferimentos), etc. A prtica mostra que a utilizao de diversas dimenses nas escalas de severidade pode trazer um retrato mais fidedigno da importncia dos riscos para a organizao. Entretanto, onerosa. Outro insight importante referente a construo de uma avaliao para o risco, dado uma determinada probabilidade e severidade. Este instrumento unificado de avaliao interessante, pois facilita a ordenao dos riscos em listas e sua comunicao para a organizao. Entretanto, deve-se ter especial ateno quanto a classificao dos riscos que possuem alta severidade e baixa probabilidade, bem como os riscos de baixa severidade e alta probabilidade. Estes dois tipos de riscos representam trade-offs entre dimenses de severidade e probabilidade, e por isso devem ser analisados de forma distinta. Para instituies a utilizao de muitas dimenses tende a complexificar significativamente a anlise, tornando-a mais difcil, demorada e, consequentemente,

Agosto 2007. ELO Group

Pgina 8

www.elogroup.com.br

Boas Prticas para o Uso Estratgico de Controles Internos

financeiras em particular, riscos de alta severidade e baixa probabilidade tendem a ser classificados como altos, pois estes dominam o clculo de seu capital econmico alocado. J riscos de alta probabilidade e baixa severidade, tendem a ser classificados como mdios, pois so naturalmente mais perceptveis e normalmente possuem uma quantidade razovel de controles associados.

6. Planejar com antecedncia quais atributos devem ser utilizados para analisar os controles

De forma anloga ao que foi comentado para o risco operacional, deve-se definir quais atributos sero utilizados para classificar os controles possudos pela organizao e como essa caracterizao ser feita (em escalas, qualificaes, etc.). Na prtica, essas classificaes auxiliam no entendimento de diversas propriedades de controle, apoiando discusses de priorizao de aes de melhoria e anlises de gaps de controle. As classificaes mais utilizadas de controle so: Controle manual x Controle automtico Uma operao suportada por sistemas mais robustos de TI (como pacotes prontos ou ERPs) est sujeita a falhas nos sistemas, falta de disponibilidade ou erros lgicos dentro do sistema. J uma operao mais manual exposta a erros de informaes, falta de disponibilidade de dados, etc. Dessa forma, a classificao do controle em manual e automtico facilita o entendimento de como as deficincias de controle podem impactar a operao, apoiando assim o projeto de testes de controles e a avaliao de possveis gaps da operao. Detectivo, preventivo e compensatrio Um controle preventivo tende a agir sobre a probabilidade de ocorrncia de um determinado evento, impedindo que este acontea. J um controle detectivo visa mitigar a severidade de um evento j ocorrido. Um controle compensatrio tende a existir para contrabalancear uma falha na estrutura de controles, impedindo que eventos de risco ocorram, ou diminuindo sua severidade. Esta classificao facilita distinguir se um determinado controle atua sobre a probabilidade da ocorrncia de um evento de risco ou sobre a severidade da mesma. O uso de controles compensatrios tambm se mostra uma opo interessante para firmas menores que desejam diminuir o custo da estrutura de controles. Desta maneira, uma anlise interessante da estrutura de

Agosto 2007. ELO Group

Pgina 9

www.elogroup.com.br

Boas Prticas para o Uso Estratgico de Controles Internos

controles pode ser realizada atravs da categorizao de controles associada avaliao dos riscos existentes. Primrio e secundrio Um controle primrio aquele que constitudo das atividades ou tarefas realizadas que so particularmente crticas para a mitigao do risco associado. Controles primrios provem garantia razovel de que os objetivos da operao sero atingidos, atravs da reduo do risco de um resultado indesejado a um nvel aceitvel. Alm disso, esses controles so confiveis do ponto de vista de seu design e efetividade. J controles secundrios so controles que no so considerados to importantes em relao a sua contribuio para a mitigao do risco em questo. Muitas vezes estes controles no so totalmente confiveis do ponto de vista de seu design e efetividade, sendo frequentemente associados a controles compensatrios. A identificao dos controles que melhor mitigam cada risco importante para a priorizao de gaps, deficincias e melhorias da estrutura de controle, assim, como para agilizar processos de testes e de auditoria de controles. Em uma ao de melhoria da estrutura de controles internos, por exemplo, filtrar a anlise da populao de controles para uma amostra de controles crticos essencial para garantir resultados rpidos e de baixo custo. Periodicidade essa classificao visa explicitar que os diversos controles existentes para mitigar um determinado risco podem estar sendo executados muitas vezes em tempos diferentes. Cdigo de referncia de forma anloga aos riscos, um cdigo de referncia para cada controle importante para habilitar queries e consultas na estrutura de controles. Como um controle normalmente mitiga mais de um risco, queries de riscos mitigados por controle podem ser muito teis ao se considerar uma alterao na estrutura de controle.

7. Planejar como considerar as questes de compliance interno e externo

A adequao com normas e rgos reguladores uma preocupao to relevante para as empresas que o COSO criou uma categoria de objetivos relacionados

Agosto 2007. ELO Group

Pgina 10

www.elogroup.com.br

Boas Prticas para o Uso Estratgico de Controles Internos

exclusivamente a riscos de no compliance com normas e rgos reguladores existentes. Muitas vezes, no ambiente de rpida mudana em que s empresas se inserem, o risco de no adequao com normas reguladoras est associado a no aderncia a polticas; procedimentos e manuais internos de operao ou padres tcnicos de referncia (como padres ISO; British Standards, etc). Com isso, pode-se replicar o conceito de compliance com normas e rgos reguladores para entender que o compliance deve acontecer tambm internamente. Desta forma, as matrizes de risco devem apontar os itens de compliance externo (regulaes, normas e leis) e compliance interno (procedimentos; manuais; polticas e normas tcnicas) relacionados a cada item identificado. Isso permite o entendimento de como cada evento de risco pode implicar tambm em um evento de no compliance. Em alguns casos, podem surgir dvidas tcnicas como: Um procedimento deve ser considerado um controle ou como um documento que grupa um conjunto de controles a serem realizados? Para resolver estes problemas, fundamental a associao do procedimento ao risco envolvido, podendo-se assim entender o grau de granularidade/detalhamento necessrio.

8. Definir claramente como as responsabilidades sero delegadas entre risk owner, control owner e process owner

A discusso da gesto de riscos traz a tona uma pergunta interessante, que muitas vezes no era abordada de forma sistemtica e estruturada nas organizaes: quem dentro da organizao responsvel por um determinado risco operacional quem o risk owner? O significado do que seria um risk owner pode ser melhor compreendido abordando a idia da criao de um representante da organizao que existente na mitigao de um risco de forma satisfatria. Contudo, a aplicao prtica do conceito de risk owner revela uma grande restrio: como convencer um determinado risk owner a aceitar a responsabilidade pela gesto de uma srie de controles que provavelmente esto fora de sua rea funcional de ascendncia gerencial? responsvel pela avaliao do risco e pela definio da suficincia e robustez do conjunto de controles

Agosto 2007. ELO Group

Pgina 11

www.elogroup.com.br

Boas Prticas para o Uso Estratgico de Controles Internos

No h dvidas que todo risk owner inevitavelmente acaba sendo um funcionrio (com certo nvel hierrquico) responsvel por gerenciar a grande maioria dos controles que mitigam um determinado risco em questo. Entretanto, como lidar com os controles presentes em outros processos e em outras reas funcionais sem causar desconforto ou conflitos? Este problema tende a se agravar na medida em que os risk owners se constituem em uma posio de responsabilidade com baixo grau de autoridade associado. De forma a materializar esta discusso, sugerimos algumas solues distintas para esse problema, como pode-se ser observar abaixo. Importante ressaltar que ambas as sugestes podem ser utilizadas de forma hbrida, customizando a ao de gesto de riscos para as caractersticas das reas e processos da organizao. Definio do risk owner como algum que efetivamente tem a viso completa do processo atravessando todas as reas funcionais. Estes risk owners devem possuir autoridade formal e documentada para que de fato tenham algum mecanismo para acompanhamento, cobrana e punio da correta execuo dos controles nas diversas funes em que o risco est associado. Definio do risk owner como algum que avalia se o conjunto de controles existente o mais eficiente possvel para mitigao do risco, sendo responsvel apenas por mobilizar a organizao para este determinado fim. Contudo, a anlise da confiabilidade de cada controle, assim como cobrana para sua manuteno, execuo e melhoria fica distribuda em cada uma das reas que o risco abrange. No existe a figura do risk owner. A anlise da conformidade e eficincia do conjunto de controles para mitigao de um determinado risco deve ser definida colaborativamente pelos gestores das reas envolvidas neste processo.

Agosto 2007. ELO Group

Pgina 12

www.elogroup.com.br

Boas Prticas para o Uso Estratgico de Controles Internos

Construo da estrutura de controles e aplicao do RCSA

9. Analisar a estrutura de controles internos por uma lente de riscos

Recentes manuais e normalizaes que fazem referncia a adoo de prticas de controles internos vm recomendando uma abordagem orientada a riscos. Desta forma, a quantidade de esforo empregado por uma determinada organizao para construo e manuteno de uma estrutura de controles internos (leia-se mapeamento de processos, documentao de controles e construo de matrizes de risco) deve estar alinhada a uma avaliao prvia dos riscos enfrentados por esta organizao. Um risco mais significativo exige controles mais formais e processos mais detalhados, que produzam evidncias expressivas de sua adoo. J riscos com menor relevncia podem ser mitigados por controles mais tcitos e menos precisos, exigindo um menor esforo de documentao e explicitao de evidncias.

10.Adequar a estrutura de controles organizao, e no a organizao estrutura de controles

O impacto de exigncias de controles internos em organizaes de menor porte tende a ser maior do que nas organizaes de maior porte. Por exemplo, um comit de auditoria que custe 100 mil reais ao ano poderia onerar significativamente o oramento de uma empresa que fatura 100 milhes de reais, no entanto, o mesmo no ocorreria em uma que faturasse 1 bilho. Alm disso, empresas maiores podem fazer uso de economias de escala em seus controles usando, por exemplo, procedimentos e polticas mais formalizados e sistemas mais robustos. A estrutura de controles deve se adequar a organizao, e no o contrrio. A estrutura de controles internos no deve ser um fardo, mas um instrumento de gesto poderoso.

11.Analisar os riscos em controles nas diversas camadas da organizao

Muitas vezes, empresas orientam a anlise de seus controles internos somente aos seus processos, pois nestes reside o maior trabalho e os controles mais facilmente identificveis. No entanto, necessrio analisar os controles que atuam em

Agosto 2007. ELO Group

Pgina 13

www.elogroup.com.br

Boas Prticas para o Uso Estratgico de Controles Internos

determinadas reas da empresa (ou nela toda) e no necessariamente na execuo dos processos. Essa anlise focada em reas especficas chamada pelo COSO de Entity Assessment e pode ser realizada atravs de um questionrio. A importncia deste assessment est no fato de que, muitas vezes, uma deficincia de controles internos de um processo pode ser suprida por um controle existente na rea que o executa. Um determinado processo pode, por exemplo, no ter controles antifraude suficientemente bons, mas se a gerncia onde for executado possuir bons instrumentos de punio e um bom cdigo de tica (controles da entidade), o risco de fraude pode se mostrar tratado de forma suficiente.

12.Entender a estrutura de controles como um todo e no como componentes separados

O entendimento e avaliao de uma estrutura de controles devem ser realizados de forma holstica e integrada. O foco deve ser avaliar se um conjunto de controles mitiga os riscos existentes adequadamente ou no. Por diversas vezes ainda valida a discusso da eficincia de um determinado conjunto de controles. Ou seja, mesmo que um conjunto mitigue inteiramente um determinado risco, possvel que um outro conjunto de controles o possa faz-lo a um custo menor? Ou, ser que algum dos controles existentes excessivo, podendo ser descontinuado sem que se altere significativamente o risco residual?

13.Aplicar controles

benchmarkings

internos

para

alavancar

estrutura

de

Muitas vezes, timas solues de controle existentes dentro da organizao, por no serem devidamente reconhecidas, acabam subutilizadas. O entendimento da estrutura de controles habilita a descoberta de excelentes solues dentro da empresa permitindo a replicao destas para outras reas, processos, produtos e servios. Alm disto, deve-se sempre ter em mente a possibilidade de maximizar o nmero de riscos mitigados por um determinado controle, otimizando assim os ganhos gerados por sua execuo.

Agosto 2007. ELO Group

Pgina 14

www.elogroup.com.br

Boas Prticas para o Uso Estratgico de Controles Internos

14.Utilizar controles compensatrios, sempre que aplicvel, para reduzir o custo da estrutura de controles

Muitas vezes uma empresa no tem condies de implementar a estrutura de controles desejada. Controles de segregao de atividades, por exemplo, geram altos custos por incharem a folha de pagamento devido criao de novos postos de trabalho. Controles compensatrios podem ser uma boa sada para minimizar este custo. Em um processo de fechamento contbil, por exemplo, uma empresa pode no contar com mltiplos executores, mas realizar uma anlise amostral do processo e uma conciliao, substituindo, de maneira efetiva, o controle de segregao de atividades.

15.Otimizar, sempre que possvel, o esforo no mapeamento dos controles

Alguns insights importantes da prtica podem levar a uma otimizao do esforo de mapeamento dos controles e construo das matrizes de risco: No necessrio detalhar riscos no significativos. Uma boa prtica agregar riscos at obter uma significncia razovel. Na prtica isso significa que riscos excessivamente pequenos podem ser agregados para entrar de forma mais significativa na anlise. Excesso de detalhe eleva muito o custo de manuteno da documentao associada. No necessrio descrever dois riscos que possuem conjuntos de controles associados idnticos. Agregar esses riscos em uma mesma descrio uma boa sada para evitar redundncias na matriz de risco. importante avaliar sempre o custo beneficio da construo de matrizes de riscos distintas para produtos ou servios muito semelhantes. Embora a orientao pela reduo de esforo sempre possvel seja importante, juntar riscos com controles associados sensivelmente diferentes pode distorcer a anlise. Por fim, recomenda-se o descarte de riscos irrelevantes para a empresa, que na prtica s implicam em um aumento do custo de manuteno das matrizes de risco. A chave para tanto est em fazer matrizes focadas nos problemas da operao.

Agosto 2007. ELO Group

Pgina 15

www.elogroup.com.br

Boas Prticas para o Uso Estratgico de Controles Internos

16.No confundir riscos com ausncia de controles ou com o no atingimento de objetivos

Outro desafio encontrado na prtica a prpria descrio de cada risco. Alguns erros mais comuns so descrever o risco como a ausncia de controles ou o risco como o inverso de um objetivo: Risco como ausncias de controles o risco no pode ser um no controle. Como regra genrica, risco deve representar o problema e o controle a soluo. Dessa forma a ausncia de uma determinada soluo no pode se constituir em um problema, at porque, na grande maioria das vezes, existem mais de uma soluo possvel para o mesmo problema. Por exemplo, para o processo de faturamento de produto, a ausncia de segregao de atividades no um risco, mas o faturamento de um produto que no possui nota fiscal . Riscos como no atingimento de objetivos o risco tambm no pode ser descrito como a negao de um objetivo. Se um objetivo da operao obter 95% de satisfao de clientes, um risco no pode ser descrito como no obter 95% de satisfao de clientes ou obter um ndice de satisfao de clientes abaixo de 95%. A descrio do risco deve prover insights sobre o que pode dar errado na operao, sobre que tipos de eventos podem levar ao no atendimento do objetivo. No exemplo anterior, poderamos escrever alguns riscos como perda de dados relativos a clientes; entrega de produtos fora do prazo ou fora de conformidade com as especificaes ou violao de nveis de servio acordados.

17.No deixar de mapear as EUC (End User Computing) Tools utilizadas, como tabelas em Access e planilhas em Excel

Um fator de risco importante para a grande maioria das empresas a quantidade de informaes crticas presentes em aplicativos e sistemas pessoais que apresentam um baixo grau de confiabilidade de dados e de modelos lgicos de processamento. Um bom insight da prtica mapear todas as planilhas Excel, base de dados em Access e sistemas legados que contm informaes cruciais para a empresa. Esse mapeamento uma importante fonte de informao para analisar as vulnerabilidades de TI e os gaps existentes na estrutura de controles.

Agosto 2007. ELO Group

Pgina 16

www.elogroup.com.br

Boas Prticas para o Uso Estratgico de Controles Internos

18.Atentar para os direcionadores que alertem para uma expectativa de mudana na exposio ao risco

Outro desafio que necessita de ateno a mudana do nvel de exposio a risco de cada processo. Na prtica, alguns direcionadores podem fazer com que um processo cujos riscos estiveram sob controle durante muito tempo, passe a ter uma nvel de exposio acima do desejado, mesmos sem o aparecimento de novos riscos. Alguns sinais podem alertar para alteraes significativas no nvel de exposio a risco de um determinado processo e, conseqentemente, na efetividade de sua estrutura de controles internos: Mudanas recentes no processo; Alteraes no volume de transao; Alteraes em caractersticas especficas de processos rotineiros (manuais, polticas e procedimentos), caractersticas de processos de fim de perodo (freqncia e mtodo) e pressupostos existentes (regras de negcios, estimativas, etc). Influncia de fatores externos (taxas de cmbio, competidores, ambiente regulatrio, etc.) Alteraes representativas na fora de trabalho disponvel existente ou nas condies de trabalho dos funcionrios atuais.

Agosto 2007. ELO Group

Pgina 17

www.elogroup.com.br

Boas Prticas para o Uso Estratgico de Controles Internos

Aes de melhoria da estrutura de controle

19.Compreender a diferena entre possuir o controle e poder demonstrlo

Muitas vezes a necessidade de se demonstrar a existncia de um controle atravs de documentos, histricos e evidncias, onera mais a organizao do que o prprio controle. Para o COSO, existem trs nveis de formalizao, em ordem crescente: (1) aquele que satisfaz a gerncia/diretoria para conduzir o negcio; (2) aquele que necessrio para que a diretoria se responsabilize formalmente pelos erros na operao e (3) aquele necessrio para que a companhia possa ser auditada. Entender os objetivos da estrutura de controle e definir o grau de formalizao necessrio para cada risco fundamental para uma implantao eficiente de uma estrutura de controles internos.

20.Tratar

erros

de

design

erros

de

implementao

de

forma

diferenciada

Erros na estrutura de controle devem ser analisados contra critrios de (1) adequao do design ou projeto e (2) adequao da implementao. Tais critrios geram decises diferentes em relao melhoria da estrutura de controles. Notadamente, uma falha de design indica a necessidade de adio e/ou substituio de controles, e uma falha de implementao indica a necessidade de aprimoramento da execuo e reforo de mecanismos de monitoramento.

21.Desenvolva um processo sistmico de documentao e reviso da estrutura de controles internos

A estrutura de controles no deve ser abordada apenas por um projeto isolado. Ela deve estar ligada a um processo que ajude a organizao a entender os riscos de sua operao e mitig-los de maneira satisfatria. Para tal, um processo sistmico e peridico de documentao e reviso de controles deve ser estabelecido. Vale lembrar que os mecanismos que acionaro a reviso de controles podem variar de acordo com os processos. Diversas alternativas podem ser consideradas como: ocorrncias de perdas, reviso anual, mudanas em processos ou tecnologias, etc.

Agosto 2007. ELO Group

Pgina 18

www.elogroup.com.br

Boas Prticas para o Uso Estratgico de Controles Internos

22.Planejar antecipadamente como os planos de ao deliberados sero geridos

A gesto dos planos de ao para tratamento de riscos e gaps na estrutura de controle deve prioriz-los de acordo com a probabilidade e severidade de cada risco e com a agenda das reas internas. Muitas vezes, planos de ao acabam sobrecarregando diversas reas que no possuem a capacidade ou o oramento para realizao de todas as aes desejadas. Tal fato tende a ocorrer fortemente nas reas de suporte das empresas, como por exemplo, a rea de Tecnologia da informao, que tende a receber muitas demandas de automatizaes e desenvolvimento de funcionalidades. Alguns pontos devem ser ressaltados nesse sentido: Considere a capacidade das reas internas em relao

complexidade da ao - entenda claramente qual a complexidade de cada ao, os atores envolvido e as restries oramentrias e de capacidade interna das reas, para priorizar adequadamente estas aes. Como mencionado acima, ilusrio designar diversos pontos de melhoria para TI ou processos sem, no entanto, definir devidamente quais sero as prioridades de forma real, baseando-se no oramento e na disponibilidade de pessoal capacitado. Definio de responsveis por plano de ao sem uma definio clara de responsabilidades (e de quem cobra o responsvel), os planos de ao podem cair em vcuos de responsabilidade ou na rotina, levando a sua no implantao adequada. Pode ser interessante definir uma lgica de classificao entre planos de ao por sua abrangncia (se o plano de ao funcional ou corporativo) e uma lgica de prioridade, baseado em critrios objetivos e alinhados aos desejos do corpo de diretores e do conselho de administrao da empresa. Outras consideraes relevantes considere a ligao dos planos de ao com outros mecanismos prprios, como sistema de qualidade, business plan, planejamento esttico, etc.

Agosto 2007. ELO Group

Pgina 19

www.elogroup.com.br

Boas Prticas para o Uso Estratgico de Controles Internos

Anexo I Parametrizando a matriz de controle na prtica

Um desafio bastante prtico e que muitas organizaes enfrentam a parametrizao da matriz de controle, ou seja, decidir quais colunas devem existir em uma determinada matriz para que esta atenda as necessidades da organizao. De uma maneira geral, esse desafio foi abordado ao longo deste documento, aonde foram discutidas todas as possibilidades de parametrizaes da matriz. Desta forma, o objetivo deste anexo prover ao leitor um resumo breve das decises que necessitam ser tomadas para a parametrizao de uma matriz de risco na conduo do RCSA. Este resumo pode se encontrado na tabela abaixo, que sumariza as principais decises a serem tomadas. Estas decises ainda foram alocadas em uma matriz de risco genrica (na seqncia) para facilitar sua visualizao.
Checklist para matrizes de controle a) Qual ser a classificao dos riscos (quanto aos fatores de risco, eventos ou consequncia)? b) Haver classificao de controles entre automtico e manual? c) Haver classificao de controles entre detectivo e preventivo? d) Haver uma avaliao de controles contra design e execuo? e) Haver uma classificao de controle como primrio e secundrio? f) A periodicidade de execuo de cada controle ser avaliada? g) O risco residual ser avaliado? h) Haver avaliao dos riscos ser feita de acordo com o conceito de risco inerente? i) Quais sero as escalas de severidade e probabilidade utilizadas? j) Quem avalia cada risco (executor, gerente, diretor, grupo de trabalho, etc)? k) Sero modelados os riscos para os objetivos de eficincia operacional, de compliance e de report financeiro? l) Haver discusso de formas de tratamento de risco? m) Haver a discusso de plano de ao para riscos no mitigados/controles insuficientes? n) Haver a explicitao do control owner? o) Haver a explicitao do risk owner?

Agosto 2007. ELO Group

Pgina 20

www.elogroup.com.br

Boas Prticas para o Uso Estratgico de Controles Internos

Avaliao do risco inerente Consolidaddo Probabilidade Severidade Objetivo Risco Risk Owner Controle Control Owner Categoria de controle Tipo de controle Primrio/Sec Frequncia do Efetividade Efetividade undrio controle Design Operao

Avaliao do risco residual Probabilidade Consolidado Severidade Mecanismo de tratamento Plano de ao

A
Risco 1 Gerente X

controle A Mdio Baixo Baixo

Executor X Executor X Executor Y Executor Y Executor Z Executor X Executor Z Gerente W

Preventivo Detectivo Preventivo Preventivo Detectivo Detectivo Preventivo Detectivo Preventivo

Automtico Automtico Automtico Automtico Manual Manual Manual Automtico Manual

Primrio Primrio

Constante Constante Constante

D
Suficiente Suficiente

Baixo

Baixo

Baixo

controle B controle C

NA

NA

Secundrio Primrio Primrio Primrio Secundrio Primrio Primrio

Objetivo 1 Mdio Alto Risco 2 Executor Y Alto controle B controle D Alto controle E controle A controle F controle G

Mdio

Mdio

Baixo

Mensal
Suficiente Suficiente

L
NA NA

I
Alto Mdio Baixo

Dirio Semanal Constante

Razovel Suficiente Insuficiente Insuficiente

Alto

Alto

Alto

K
Objetivo 2

Alto

Risco 3 Risco 6

Gerente W Gerente W

M
Compartilhar Compartilhar Plano de ao 1 Plano de ao 1

Mdio

Baixo

O
Risco 7 Executor Z

Constante Dirio
Razovel Insuficiente

Mdio

Baixo

Baixo Alto

Executor Z

Diminuir severidade

Alto

Alto

Alto

Alto

Plano de ao 3

Agosto 2007. ELO Group

www.elogroup.com.br

Pgina 21