Boas Prticas para o Uso Estratgico de Controles Internos

Boas Prticas para o Uso

Estratgico de Controles Internos

Apresentao ........................................................................................................2
I. Planejamento das matrizes de risco e controle .............................................3
II. Construo da estrutura de controles e aplicao do RCSA.........................13
III. Aes de melhoria da estrutura de controle................................................18
IV. Anexo I Parametrizando a matriz de controle na prtica .........................20

Agosto 2007. ELO Group www.elogroup.com.br

Otimize sua estrutura de controles
Pgina 1
 Boas Prticas para o Uso Estratgico de Controles Internos

Apresentao

O presente artigo rene o conjunto de melhores prticas observadas ao longo das

experincias dos consultores da ELO Group em projetos de gesto de risco
operacional e controles internos para empresas nacionais e multinacionais.

De forma objetiva, estas melhores prticas devem ser entendidas pelo leitor como
insights, aprendidos ao longo dos projetos realizados, que impactam
significativamente no resultado de aes de construo e manuteno de estruturas
controles internos.

Tais melhores prticas incluem o planejamento prvio de aes, construo das

matrizes de risco e elaborao de planos de aes, devendo apoiar substancialmente
organizaes que estejam nos mais distintos estgios de implantao da estrutura de
controles internos, maximizando seu valor percebido e otimizando o esforo
necessrio.

Finalmente, observa-se que os projetos analisados possuram os mais distintos

objetivos desde simples aplicaes do mtodo de RCSA (risk control self-
assessment), passando por atendimento a resoluo 3380/Basilia II (especfico para
instituies financeiras), at casos de adequao as sees 302 e 404 da SOX
(especfico para empresas de capital aberto na bolsa de Nova York).

Agosto 2007. ELO Group www.elogroup.com.br

Pgina 2
 Boas Prticas para o Uso Estratgico de Controles Internos

I - Planejamento das matrizes de risco e controle

1. Definir claramente o que est sendo entendido por risco,

explicitando possveis confuses com outras referncias

Para minimizar o re-trabalho e evitar erros de comunicao dentro da empresa

essencial que se delimite o que est sendo entendido por risco. No que diz respeito s
matrizes de risco, esse entendimento ser um fator chave para o seu
desenvolvimento.

Um exemplo de definio a proposta da IIA (Institute of Internal Auditors) que

considera o risco como qualquer coisa que possa impedir o alcance dos objetivos.
Essa definio normalmente utilizada em abordagens de RCSA.

Outro exemplo de definio para risco baseado na futura norma ISO 31.000, seria
efeito da incerteza nos objetivos. Nesse caso, cabe ressaltar que tanto incertezas
que impactam os resultados da organizao negativamente quanto positivamente so
considerados pela norma.

Em ambos os casos o risco entendido como um conjunto de diversos componentes,

incluindo causa (fontes de risco ou vulnerabilidades, existentes na organizao, que
podem dar origem a um evento), evento (contexto ou situao em que a perda ou
ganho ocorre) e conseqncias (diferentes tipos de perdas causadas pelo evento).

Essa descrio ampla do risco permite entender como os controles poderiam atuar:
(1) minimizando a probabilidade das causas efetivamente provocarem o evento, ou,
(2) minimizando o impacto das conseqncias dado que o evento j ocorreu.

Outra abordagem dada pela aplicao dos conceitos de risco operacional nas
instituies financeiras. Essas, direcionadas pela Basilia, tendem a interpretar o
risco operacional como a possibilidade de ocorrncia de perdas resultantes de
falha, deficincia ou inadequao de processos internos, pessoas e sistemas, ou de
eventos externos.

Alm disto, neste segmento muito comum que os profissionais associem

diretamente o risco aos eventos de risco operacional listados pela Basilia
II/Resoluo 3380 (fraudes internas; fraudes externas; prticas inadequadas com
clientes; etc).

Agosto 2007. ELO Group www.elogroup.com.br

Pgina 3
 Boas Prticas para o Uso Estratgico de Controles Internos

Passando para empresas sujeitas SOX, observa-se uma tendncia ao entendimento

dos riscos como eventos que levem a perda de confiabilidade ou credibilidade de um
determinado report ou divulgao financeira. Formalmente, um risco operacional
relativo a report financeiro pode ser definido como: um evento ou condio que
pode afetar negativamente a habilidade de uma determinada organizao de
produzir relatrios financeiros de uma maneira tempestiva e confivel.

Na prtica, para projetos de adequao as sees 302 e 404 da SOX, o risco

operacional tratado como um evento ou um conjunto de eventos indesejados que
possam ocorrer na preparao e divulgao de relatrios financeiros. Em particular,
estes eventos indesejados representam erros em contas que possuem materialidade
para a organizao e que possam ferir um conjunto de assertivas realizadas pela
gesto da empresa, como ocorrncia e existncia, completude/integridade; alocao e
mensurao, direitos e obrigaes e apresentao e divulgao.

Em suma, fundamental que a organizao defina claramente o que ser entendido

por risco em sua ao de gesto de controles internos, apoiando a utilizao de
diversos instrumentos de trabalho, entre eles, a matriz de risco.

Uma ltima ressalva relativa ao perigo de se considerar o risco como qualquer coisa
que possa interferir no atingimento de um objetivo. Embora a definio de risco
esteja relacionada aos objetivos, associar qualquer coisa que impacte nestes no
necessrio, e torna o trabalho menos eficiente. Ao invs de contemplar qualquer coisa
que poderia dar errado, a identificao dos riscos deve ser direcionada pela
compreenso de eventos inesperados, ocorridos na prtica da operao e que
impactem no atendimento dos objetivos. Isso permite a restrio do escopo da
anlise; focando-a sobre os problemas reais da operao.

Eventos de baixssima probabilidade, como catstrofes climticas, pandemias, etc,

no so foco de ateno especfico em um CSA, sendo melhor analisados em tcnicas
de maior poder preditivo, como a anlise de cenrios. Desta forma, o contedo do
CSA deve ser direcionado pelo que efetivamente d errado na organizao e no por
qualquer coisa que poderia dar errado.

Agosto 2007. ELO Group www.elogroup.com.br

Pgina 4
 Boas Prticas para o Uso Estratgico de Controles Internos

2. Planejar com cautela quais sero os instrumentos utilizados para

criao e validao das matrizes de riscos e controles

Dos mtodos usados para criao da estrutura de controles internos, trs so mais
freqentemente abordados pela literatura: questionrios; entrevistas e workshops.
Como era de se esperar, a deciso pela utilizao de cada um desses mtodos ir
depender das particularidades de cada empresa e de cada projeto. Contudo,
sugerimos a utilizao de um hbrido destes trs mtodos, para gerao de resultados
mais completos, rpidos e efetivos.

Questionrio ideal para a coleta extensiva e rpida de informao. Podem

ser utilizados para um diagnstico relativamente superficial da estrutura de
controles e/ou quando a empresa possui informaes suficientemente
estruturadas sobre riscos; controles e objetivos. Outra forte indicao para o
seu uso no momento de priorizao de processos a serem avaliados
(podendo inclusive restringir a anlise mais detalhada dos processos mais
crticos). Finalmente, trata-se de uma ferramenta interessante para monitorar
mudanas na estrutura de controles j mapeada (reviso das matrizes de
risco)

Entrevistas ferramenta indicada para o primeiro levantamento da

estrutura de controles internos de uma empresa, j que permite a interao
entre quem detm o mtodo da construo da matriz de risco (consultores
externos ou reas especficas da organizao) e quem possui o conhecimento
profundo da operao (executores e gerentes). Sua aplicao demanda mais
tempo do que os questionrios, mas produz informaes significativamente
mais detalhadas. Entrevistas costumam ser feitas em duas etapas: uma
primeira entrevista de levantamento e uma segunda de validao. Cabe
ressaltar que o levantamento extensivo de controles existentes, realizado
atravs de entrevistas, deve seguir um padro para o registro e detalhamento
das informaes, permitindo a gerao de um relatrio final homogneo e
uma anlise da viabilidade para manuteno da base de dados gerada.

Workshops ferramentas indicadas para situaes que exigem decises

importantes e a participao de mltiplos stakeholders com tempo disponvel
limitado, como gerentes e diretores. Workshops so ideais para dois
momentos: primeiro, no momento de identificao dos objetivos e principais
riscos no incio da ao; e, segundo, para validao do resultado geral de uma

Agosto 2007. ELO Group www.elogroup.com.br

Pgina 5
 Boas Prticas para o Uso Estratgico de Controles Internos

ao de controles internos, na qual planos de ao e respostas de tratamento

aos riscos so aprovados e priorizados.

3. Definir um dicionrio de riscos que efetivamente possa ser utilizado

como linguagem nica da organizao

Uma primeira definio, crucial para o bom andamento do processo, a formalizao

do dicionrio de riscos (ou universo de riscos). Ele deve descrever todas as categorias
de risco s quais a organizao est exposta. Categorias de risco comuns so: riscos
operacionais, riscos de mercado; riscos de crdito; riscos de underwriting, riscos de
liquidez, risco estratgico, etc.

Em muitos casos, faz-se necessrio o detalhamento de categorias de riscos

operacionais em subcategorias, de modo a refletir os eventos de risco operacional que
realmente podem ocorrer em uma organizao. Exemplos desses detalhamentos so
as categorias de fraudes, demandas trabalhistas, etc. para a Basilia e as categorias
relacionadas s assertivas das contas materiais existentes nos relatrios financeiros
(existncia e ocorrncia, completude/integrao, avaliao e alocao, direitos e
obrigaes e apresentao e divulgao para SOX)

A definio de um dicionrio de risco importante por duas razes. Por um lado, a

definio do dicionrio garante a robustez no levantamento de riscos, assegurando
que todos os riscos pertinentes empresa sero mapeados. Por outro lado, se bem
aplicada, ela ajuda a gerenciar o esforo da organizao ao garantir que a construo
das matrizes de risco est focada nos problemas centrais da empresa.

4. Planejar anteriormente quais atributos devem ser utilizados para

avaliar os riscos

Outra questo chave para a criao da estrutura de controles internos a definio

dos atributos a serem avaliados para cada um dos riscos operacionais. Certos
atributos podem, por exemplo, ser avaliados em relao a escalas (como alto, mdio e
baixo), outros sero avaliados atravs da classificao dos riscos em diferentes
categorias (como pessoa, processo ou sistema). As classificaes mais utilizadas para
risco so:

Risco inerente x Risco residual: Uma deciso importante est em optar

por uma avaliao separada dos riscos em relao ao risco inerente e risco

Agosto 2007. ELO Group www.elogroup.com.br

Pgina 6
 Boas Prticas para o Uso Estratgico de Controles Internos

residual. De maneira prtica, avaliar o risco inerente significa avaliar a

probabilidade e severidade da ocorrncia de um risco, desconsiderando-se a
estrutura de controles atual. A avaliao de risco residual anloga, exceto
por considerar a existncia da estrutura de controles atual.

A realizao de ambas as avaliaes indicada quando se deseja medir a

efetividade da estrutura de controles, j que esta exatamente a diferena
entre o risco inerente e residual. Alm disso, a anlise do risco inerente e
residual promove uma compreenso da eficincia da estrutura de controles
permitindo a identificao de possveis excessos na estrutura de controles
internos (por exemplo, se existem muitos controles para mitigar um risco que
inerentemente j baixo).

Vale ressaltar, entretanto, que esta distino no um consenso entre as

normas e muitas organizaes possuem grandes dificuldades em avaliar o que
seria risco inerente, pois no conseguem visualizar sua operao sem os
controles existentes.

Cdigo de referncia Um outro insight prtico importante a criao de

cdigos de referncia para os riscos identificados. A criao destes cdigos,
associados ao dicionrio de risco, permite a realizao de consultas e queries
por risco nas matrizes de risco. Isso se mostra particularmente relevante
porque as matrizes de risco so normalmente feitas por processo, e muitos
riscos aparecem em mais de um processo (e, portanto mais de uma matriz).

5. Planejar anteriormente quais escalas de severidade e probabilidade

sero utilizadas

Na prtica, grande parte das empresas se utiliza de trs dimenses ou parmetros

para a avaliao de um risco. A primeira delas a probabilidade de uma determinada
fonte de risco gerar um evento, ou a probabilidade de um determinado evento de
risco ocorrer. A segunda a severidade de suas conseqncias, dado que um evento
de risco ocorreu. E a terceira uma escala que consolida os parmetros de severidade
e probabilidade em um s parmetro (alto, mdio ou baixo, por exemplo), o que
possibilita a comparao entre diversos riscos de forma mais direta. A deciso de que

Agosto 2007. ELO Group www.elogroup.com.br

Pgina 7
 Boas Prticas para o Uso Estratgico de Controles Internos

escalas utilizar importante, pois deve estar alinhada a exposio real ao risco da
organizao e ao seu apetite ao risco.

Um ponto importante a ser ressaltado que avaliar os riscos de acordo com escalas
permite compara-los entre si. Para isso necessrio definir quais propriedades sero
avaliadas atravs dessas escalas.

A probabilidade de um evento de risco ocorrer est normalmente liga a

complexidade, subjetividade e necessidade de julgamento das atividades de cada
processo. Alm disso, a probabilidade de cada risco ocorrer guarda forte relao com
a efetividade dos controles preventivos (controles preventivos e detectivos sero
abordados posteriormente neste documento). A correlao entre riscos outro fator
que afeta a probabilidade de um determinado risco ocorrer de maneira significativa.
Na prtica, as empresas adotam escalas de 3 ou 5 nveis associadas probabilidades
(10%; 20%; 30% de chance de ocorrncia; etc) ou freqncias de ocorrncias (1 vez
por dia; 1 vez por semana, 1 vez por ms; etc).

J a severidade de um evento de risco operacional costuma depender do volume de

transaes de cada processo e do montante de dinheiro movimentado por este. Na
prtica, as empresas adotam escalas de severidade em diversas dimenses: impacto
financeiro (escala de valor monetrio), impacto na reputao (escalas de clientes
impactados ou quantidade de divulgao do evento de risco), escalas de segurana
(nmero de mortes ou ferimentos), etc.

A prtica mostra que a utilizao de diversas dimenses nas escalas de severidade

pode trazer um retrato mais fidedigno da importncia dos riscos para a organizao.
Entretanto, a utilizao de muitas dimenses tende a complexificar
significativamente a anlise, tornando-a mais difcil, demorada e, consequentemente,
onerosa.

Outro insight importante referente a construo de uma avaliao para o risco,

dado uma determinada probabilidade e severidade. Este instrumento unificado de
avaliao interessante, pois facilita a ordenao dos riscos em listas e sua
comunicao para a organizao. Entretanto, deve-se ter especial ateno quanto a
classificao dos riscos que possuem alta severidade e baixa probabilidade, bem como
os riscos de baixa severidade e alta probabilidade.

Estes dois tipos de riscos representam trade-offs entre dimenses de severidade e

probabilidade, e por isso devem ser analisados de forma distinta. Para instituies

Agosto 2007. ELO Group www.elogroup.com.br

Pgina 8
 Boas Prticas para o Uso Estratgico de Controles Internos

financeiras em particular, riscos de alta severidade e baixa probabilidade tendem a

ser classificados como altos, pois estes dominam o clculo de seu capital econmico
alocado. J riscos de alta probabilidade e baixa severidade, tendem a ser classificados
como mdios, pois so naturalmente mais perceptveis e normalmente possuem uma
quantidade razovel de controles associados.

6. Planejar com antecedncia quais atributos devem ser utilizados para

analisar os controles

De forma anloga ao que foi comentado para o risco operacional, deve-se definir
quais atributos sero utilizados para classificar os controles possudos pela
organizao e como essa caracterizao ser feita (em escalas, qualificaes, etc.). Na
prtica, essas classificaes auxiliam no entendimento de diversas propriedades de
controle, apoiando discusses de priorizao de aes de melhoria e anlises de gaps
de controle. As classificaes mais utilizadas de controle so:

Controle manual x Controle automtico Uma operao suportada por

sistemas mais robustos de TI (como pacotes prontos ou ERPs) est sujeita a
falhas nos sistemas, falta de disponibilidade ou erros lgicos dentro do
sistema. J uma operao mais manual exposta a erros de informaes, falta
de disponibilidade de dados, etc. Dessa forma, a classificao do controle em
manual e automtico facilita o entendimento de como as deficincias de
controle podem impactar a operao, apoiando assim o projeto de testes de
controles e a avaliao de possveis gaps da operao.

Detectivo, preventivo e compensatrio Um controle preventivo tende

a agir sobre a probabilidade de ocorrncia de um determinado evento,
impedindo que este acontea. J um controle detectivo visa mitigar a
severidade de um evento j ocorrido. Um controle compensatrio tende a
existir para contrabalancear uma falha na estrutura de controles, impedindo
que eventos de risco ocorram, ou diminuindo sua severidade.

Esta classificao facilita distinguir se um determinado controle atua sobre a

probabilidade da ocorrncia de um evento de risco ou sobre a severidade da
mesma. O uso de controles compensatrios tambm se mostra uma opo
interessante para firmas menores que desejam diminuir o custo da estrutura
de controles. Desta maneira, uma anlise interessante da estrutura de

Agosto 2007. ELO Group www.elogroup.com.br

Pgina 9
 Boas Prticas para o Uso Estratgico de Controles Internos

controles pode ser realizada atravs da categorizao de controles associada

avaliao dos riscos existentes.

Primrio e secundrio Um controle primrio aquele que constitudo

das atividades ou tarefas realizadas que so particularmente crticas para a
mitigao do risco associado. Controles primrios provem garantia razovel
de que os objetivos da operao sero atingidos, atravs da reduo do risco
de um resultado indesejado a um nvel aceitvel. Alm disso, esses controles
so confiveis do ponto de vista de seu design e efetividade.

J controles secundrios so controles que no so considerados to

importantes em relao a sua contribuio para a mitigao do risco em
questo. Muitas vezes estes controles no so totalmente confiveis do ponto
de vista de seu design e efetividade, sendo frequentemente associados a
controles compensatrios.

A identificao dos controles que melhor mitigam cada risco importante

para a priorizao de gaps, deficincias e melhorias da estrutura de controle,
assim, como para agilizar processos de testes e de auditoria de controles. Em
uma ao de melhoria da estrutura de controles internos, por exemplo, filtrar
a anlise da populao de controles para uma amostra de controles crticos
essencial para garantir resultados rpidos e de baixo custo.

Periodicidade essa classificao visa explicitar que os diversos controles

existentes para mitigar um determinado risco podem estar sendo executados
muitas vezes em tempos diferentes.

Cdigo de referncia de forma anloga aos riscos, um cdigo de

referncia para cada controle importante para habilitar queries e consultas
na estrutura de controles. Como um controle normalmente mitiga mais de um
risco, queries de riscos mitigados por controle podem ser muito teis ao se
considerar uma alterao na estrutura de controle.

7. Planejar como considerar as questes de compliance interno e

externo

A adequao com normas e rgos reguladores uma preocupao to relevante para

as empresas que o COSO criou uma categoria de objetivos relacionados

Agosto 2007. ELO Group www.elogroup.com.br

Pgina 10
 Boas Prticas para o Uso Estratgico de Controles Internos

exclusivamente a riscos de no compliance com normas e rgos reguladores

existentes.

Muitas vezes, no ambiente de rpida mudana em que s empresas se inserem, o

risco de no adequao com normas reguladoras est associado a no aderncia a
polticas; procedimentos e manuais internos de operao ou padres tcnicos de
referncia (como padres ISO; British Standards, etc). Com isso, pode-se replicar o
conceito de compliance com normas e rgos reguladores para entender que o
compliance deve acontecer tambm internamente.

Desta forma, as matrizes de risco devem apontar os itens de compliance externo

(regulaes, normas e leis) e compliance interno (procedimentos; manuais; polticas
e normas tcnicas) relacionados a cada item identificado. Isso permite o
entendimento de como cada evento de risco pode implicar tambm em um evento de
no compliance.

Em alguns casos, podem surgir dvidas tcnicas como: Um procedimento deve ser
considerado um controle ou como um documento que grupa um conjunto de
controles a serem realizados? Para resolver estes problemas, fundamental a
associao do procedimento ao risco envolvido, podendo-se assim entender o grau de
granularidade/detalhamento necessrio.

8. Definir claramente como as responsabilidades sero delegadas entre

risk owner, control owner e process owner

A discusso da gesto de riscos traz a tona uma pergunta interessante, que muitas
vezes no era abordada de forma sistemtica e estruturada nas organizaes: quem
dentro da organizao responsvel por um determinado risco operacional quem
o risk owner?

O significado do que seria um risk owner pode ser melhor compreendido abordando
a idia da criao de um representante da organizao que responsvel pela
avaliao do risco e pela definio da suficincia e robustez do conjunto de controles
existente na mitigao de um risco de forma satisfatria.

Contudo, a aplicao prtica do conceito de risk owner revela uma grande restrio:
como convencer um determinado risk owner a aceitar a responsabilidade pela gesto
de uma srie de controles que provavelmente esto fora de sua rea funcional de
ascendncia gerencial?
Agosto 2007. ELO Group www.elogroup.com.br
Pgina 11
 Boas Prticas para o Uso Estratgico de Controles Internos

No h dvidas que todo risk owner inevitavelmente acaba sendo um funcionrio

(com certo nvel hierrquico) responsvel por gerenciar a grande maioria dos
controles que mitigam um determinado risco em questo. Entretanto, como lidar
com os controles presentes em outros processos e em outras reas funcionais sem
causar desconforto ou conflitos? Este problema tende a se agravar na medida em que
os risk owners se constituem em uma posio de responsabilidade com baixo grau de
autoridade associado.

De forma a materializar esta discusso, sugerimos algumas solues distintas para

esse problema, como pode-se ser observar abaixo. Importante ressaltar que ambas as
sugestes podem ser utilizadas de forma hbrida, customizando a ao de gesto de
riscos para as caractersticas das reas e processos da organizao.

Definio do risk owner como algum que efetivamente tem a viso completa
do processo atravessando todas as reas funcionais. Estes risk owners devem
possuir autoridade formal e documentada para que de fato tenham algum
mecanismo para acompanhamento, cobrana e punio da correta execuo
dos controles nas diversas funes em que o risco est associado.

Definio do risk owner como algum que avalia se o conjunto de controles

existente o mais eficiente possvel para mitigao do risco, sendo
responsvel apenas por mobilizar a organizao para este determinado fim.
Contudo, a anlise da confiabilidade de cada controle, assim como cobrana
para sua manuteno, execuo e melhoria fica distribuda em cada uma das
reas que o risco abrange.

No existe a figura do risk owner. A anlise da conformidade e eficincia do

conjunto de controles para mitigao de um determinado risco deve ser
definida colaborativamente pelos gestores das reas envolvidas neste
processo.

Agosto 2007. ELO Group www.elogroup.com.br

Pgina 12
 Boas Prticas para o Uso Estratgico de Controles Internos

Construo da estrutura de controles e aplicao do RCSA

9. Analisar a estrutura de controles internos por uma lente de riscos

Recentes manuais e normalizaes que fazem referncia a adoo de prticas de

controles internos vm recomendando uma abordagem orientada a riscos. Desta
forma, a quantidade de esforo empregado por uma determinada organizao para
construo e manuteno de uma estrutura de controles internos (leia-se
mapeamento de processos, documentao de controles e construo de matrizes de
risco) deve estar alinhada a uma avaliao prvia dos riscos enfrentados por esta
organizao.

Um risco mais significativo exige controles mais formais e processos mais detalhados,
que produzam evidncias expressivas de sua adoo. J riscos com menor relevncia
podem ser mitigados por controles mais tcitos e menos precisos, exigindo um menor
esforo de documentao e explicitao de evidncias.

10.Adequar a estrutura de controles organizao, e no a organizao

estrutura de controles

O impacto de exigncias de controles internos em organizaes de menor porte tende

a ser maior do que nas organizaes de maior porte. Por exemplo, um comit de
auditoria que custe 100 mil reais ao ano poderia onerar significativamente o
oramento de uma empresa que fatura 100 milhes de reais, no entanto, o mesmo
no ocorreria em uma que faturasse 1 bilho. Alm disso, empresas maiores podem
fazer uso de economias de escala em seus controles usando, por exemplo,
procedimentos e polticas mais formalizados e sistemas mais robustos.

A estrutura de controles deve se adequar a organizao, e no o contrrio. A estrutura

de controles internos no deve ser um fardo, mas um instrumento de gesto
poderoso.

11.Analisar os riscos em controles nas diversas camadas da organizao

Muitas vezes, empresas orientam a anlise de seus controles internos somente aos
seus processos, pois nestes reside o maior trabalho e os controles mais facilmente
identificveis. No entanto, necessrio analisar os controles que atuam em

Agosto 2007. ELO Group www.elogroup.com.br

Pgina 13
 Boas Prticas para o Uso Estratgico de Controles Internos

determinadas reas da empresa (ou nela toda) e no necessariamente na execuo

dos processos. Essa anlise focada em reas especficas chamada pelo COSO de
Entity Assessment e pode ser realizada atravs de um questionrio.

A importncia deste assessment est no fato de que, muitas vezes, uma deficincia de
controles internos de um processo pode ser suprida por um controle existente na rea
que o executa. Um determinado processo pode, por exemplo, no ter controles anti-
fraude suficientemente bons, mas se a gerncia onde for executado possuir bons
instrumentos de punio e um bom cdigo de tica (controles da entidade), o risco de
fraude pode se mostrar tratado de forma suficiente.

12.Entender a estrutura de controles como um todo e no como

componentes separados

O entendimento e avaliao de uma estrutura de controles devem ser realizados de

forma holstica e integrada. O foco deve ser avaliar se um conjunto de controles
mitiga os riscos existentes adequadamente ou no.

Por diversas vezes ainda valida a discusso da eficincia de um determinado

conjunto de controles. Ou seja, mesmo que um conjunto mitigue inteiramente um
determinado risco, possvel que um outro conjunto de controles o possa faz-lo a
um custo menor? Ou, ser que algum dos controles existentes excessivo, podendo
ser descontinuado sem que se altere significativamente o risco residual?

13.Aplicar benchmarkings internos para alavancar a estrutura de

controles

Muitas vezes, timas solues de controle existentes dentro da organizao, por no

serem devidamente reconhecidas, acabam subutilizadas. O entendimento da
estrutura de controles habilita a descoberta de excelentes solues dentro da empresa
permitindo a replicao destas para outras reas, processos, produtos e servios.

Alm disto, deve-se sempre ter em mente a possibilidade de maximizar o nmero de

riscos mitigados por um determinado controle, otimizando assim os ganhos gerados
por sua execuo.

Agosto 2007. ELO Group www.elogroup.com.br

Pgina 14
 Boas Prticas para o Uso Estratgico de Controles Internos

14.Utilizar controles compensatrios, sempre que aplicvel, para reduzir

o custo da estrutura de controles

Muitas vezes uma empresa no tem condies de implementar a estrutura de

controles desejada. Controles de segregao de atividades, por exemplo, geram altos
custos por incharem a folha de pagamento devido criao de novos postos de
trabalho.

Controles compensatrios podem ser uma boa sada para minimizar este custo. Em
um processo de fechamento contbil, por exemplo, uma empresa pode no contar
com mltiplos executores, mas realizar uma anlise amostral do processo e uma
conciliao, substituindo, de maneira efetiva, o controle de segregao de atividades.

15.Otimizar, sempre que possvel, o esforo no mapeamento dos

controles

Alguns insights importantes da prtica podem levar a uma otimizao do esforo de

mapeamento dos controles e construo das matrizes de risco:

No necessrio detalhar riscos no significativos. Uma boa prtica agregar

riscos at obter uma significncia razovel. Na prtica isso significa que riscos
excessivamente pequenos podem ser agregados para entrar de forma mais
significativa na anlise. Excesso de detalhe eleva muito o custo de
manuteno da documentao associada.

No necessrio descrever dois riscos que possuem conjuntos de controles

associados idnticos. Agregar esses riscos em uma mesma descrio uma
boa sada para evitar redundncias na matriz de risco.

importante avaliar sempre o custo beneficio da construo de matrizes de

riscos distintas para produtos ou servios muito semelhantes. Embora a
orientao pela reduo de esforo sempre possvel seja importante, juntar
riscos com controles associados sensivelmente diferentes pode distorcer a
anlise.

Por fim, recomenda-se o descarte de riscos irrelevantes para a empresa, que

na prtica s implicam em um aumento do custo de manuteno das matrizes
de risco. A chave para tanto est em fazer matrizes focadas nos problemas da
operao.
Agosto 2007. ELO Group www.elogroup.com.br
Pgina 15
 Boas Prticas para o Uso Estratgico de Controles Internos

16.No confundir riscos com ausncia de controles ou com o no

atingimento de objetivos

Outro desafio encontrado na prtica a prpria descrio de cada risco. Alguns erros
mais comuns so descrever o risco como a ausncia de controles ou o risco como o
inverso de um objetivo:

Risco como ausncias de controles o risco no pode ser um no

controle. Como regra genrica, risco deve representar o problema e o controle
a soluo. Dessa forma a ausncia de uma determinada soluo no pode se
constituir em um problema, at porque, na grande maioria das vezes, existem
mais de uma soluo possvel para o mesmo problema. Por exemplo, para o
processo de faturamento de produto, a ausncia de segregao de
atividades no um risco, mas o faturamento de um produto que no
possui nota fiscal .

Riscos como no atingimento de objetivos o risco tambm no pode

ser descrito como a negao de um objetivo. Se um objetivo da operao
obter 95% de satisfao de clientes, um risco no pode ser descrito como
no obter 95% de satisfao de clientes ou obter um ndice de satisfao
de clientes abaixo de 95%. A descrio do risco deve prover insights sobre o
que pode dar errado na operao, sobre que tipos de eventos podem levar ao
no atendimento do objetivo. No exemplo anterior, poderamos escrever
alguns riscos como perda de dados relativos a clientes; entrega de
produtos fora do prazo ou fora de conformidade com as especificaes ou
violao de nveis de servio acordados.

17.No deixar de mapear as EUC (End User Computing) Tools utilizadas,

como tabelas em Access e planilhas em Excel

Um fator de risco importante para a grande maioria das empresas a quantidade de

informaes crticas presentes em aplicativos e sistemas pessoais que apresentam um
baixo grau de confiabilidade de dados e de modelos lgicos de processamento. Um
bom insight da prtica mapear todas as planilhas Excel, base de dados em Access e
sistemas legados que contm informaes cruciais para a empresa. Esse mapeamento
uma importante fonte de informao para analisar as vulnerabilidades de TI e os
gaps existentes na estrutura de controles.

Agosto 2007. ELO Group www.elogroup.com.br

Pgina 16
 Boas Prticas para o Uso Estratgico de Controles Internos

18.Atentar para os direcionadores que alertem para uma expectativa de

mudana na exposio ao risco

Outro desafio que necessita de ateno a mudana do nvel de exposio a risco de

cada processo. Na prtica, alguns direcionadores podem fazer com que um processo
cujos riscos estiveram sob controle durante muito tempo, passe a ter uma nvel de
exposio acima do desejado, mesmos sem o aparecimento de novos riscos. Alguns
sinais podem alertar para alteraes significativas no nvel de exposio a risco de um
determinado processo e, conseqentemente, na efetividade de sua estrutura de
controles internos:

Mudanas recentes no processo;

Alteraes no volume de transao;

Alteraes em caractersticas especficas de processos rotineiros (manuais,

polticas e procedimentos), caractersticas de processos de fim de perodo
(freqncia e mtodo) e pressupostos existentes (regras de negcios,
estimativas, etc).

Influncia de fatores externos (taxas de cmbio, competidores, ambiente

regulatrio, etc.)

Alteraes representativas na fora de trabalho disponvel existente ou nas

condies de trabalho dos funcionrios atuais.

Agosto 2007. ELO Group www.elogroup.com.br

Pgina 17
 Boas Prticas para o Uso Estratgico de Controles Internos

Aes de melhoria da estrutura de controle

19.Compreender a diferena entre possuir o controle e poder demonstr-

lo

Muitas vezes a necessidade de se demonstrar a existncia de um controle atravs de

documentos, histricos e evidncias, onera mais a organizao do que o prprio
controle. Para o COSO, existem trs nveis de formalizao, em ordem crescente: (1)
aquele que satisfaz a gerncia/diretoria para conduzir o negcio; (2) aquele que
necessrio para que a diretoria se responsabilize formalmente pelos erros na
operao e (3) aquele necessrio para que a companhia possa ser auditada.

Entender os objetivos da estrutura de controle e definir o grau de formalizao

necessrio para cada risco fundamental para uma implantao eficiente de uma
estrutura de controles internos.

20.Tratar erros de design e erros de implementao de forma

diferenciada

Erros na estrutura de controle devem ser analisados contra critrios de (1) adequao
do design ou projeto e (2) adequao da implementao. Tais critrios geram
decises diferentes em relao melhoria da estrutura de controles.

Notadamente, uma falha de design indica a necessidade de adio e/ou substituio

de controles, e uma falha de implementao indica a necessidade de aprimoramento
da execuo e reforo de mecanismos de monitoramento.

21.Desenvolva um processo sistmico de documentao e reviso da

estrutura de controles internos

A estrutura de controles no deve ser abordada apenas por um projeto isolado. Ela
deve estar ligada a um processo que ajude a organizao a entender os riscos de sua
operao e mitig-los de maneira satisfatria. Para tal, um processo sistmico e
peridico de documentao e reviso de controles deve ser estabelecido.

Vale lembrar que os mecanismos que acionaro a reviso de controles podem variar
de acordo com os processos. Diversas alternativas podem ser consideradas como:
ocorrncias de perdas, reviso anual, mudanas em processos ou tecnologias, etc.

Agosto 2007. ELO Group www.elogroup.com.br

Pgina 18
 Boas Prticas para o Uso Estratgico de Controles Internos

22.Planejar antecipadamente como os planos de ao deliberados sero

geridos

A gesto dos planos de ao para tratamento de riscos e gaps na estrutura de controle

deve prioriz-los de acordo com a probabilidade e severidade de cada risco e com a
agenda das reas internas. Muitas vezes, planos de ao acabam sobrecarregando
diversas reas que no possuem a capacidade ou o oramento para realizao de
todas as aes desejadas. Tal fato tende a ocorrer fortemente nas reas de suporte das
empresas, como por exemplo, a rea de Tecnologia da informao, que tende a
receber muitas demandas de automatizaes e desenvolvimento de funcionalidades.

Alguns pontos devem ser ressaltados nesse sentido:

Considere a capacidade das reas internas em relao

complexidade da ao - entenda claramente qual a complexidade de cada
ao, os atores envolvido e as restries oramentrias e de capacidade
interna das reas, para priorizar adequadamente estas aes. Como
mencionado acima, ilusrio designar diversos pontos de melhoria para TI ou
processos sem, no entanto, definir devidamente quais sero as prioridades de
forma real, baseando-se no oramento e na disponibilidade de pessoal
capacitado.

Definio de responsveis por plano de ao sem uma definio

clara de responsabilidades (e de quem cobra o responsvel), os planos de ao
podem cair em vcuos de responsabilidade ou na rotina, levando a sua no
implantao adequada. Pode ser interessante definir uma lgica de
classificao entre planos de ao por sua abrangncia (se o plano de ao
funcional ou corporativo) e uma lgica de prioridade, baseado em critrios
objetivos e alinhados aos desejos do corpo de diretores e do conselho de
administrao da empresa.

Outras consideraes relevantes considere a ligao dos planos de

ao com outros mecanismos prprios, como sistema de qualidade, business
plan, planejamento esttico, etc.

Agosto 2007. ELO Group www.elogroup.com.br

Pgina 19
 Boas Prticas para o Uso Estratgico de Controles Internos

Anexo I Parametrizando a matriz de controle na prtica

Um desafio bastante prtico e que muitas organizaes enfrentam a parametrizao

da matriz de controle, ou seja, decidir quais colunas devem existir em uma
determinada matriz para que esta atenda as necessidades da organizao.

De uma maneira geral, esse desafio foi abordado ao longo deste documento, aonde
foram discutidas todas as possibilidades de parametrizaes da matriz. Desta forma,
o objetivo deste anexo prover ao leitor um resumo breve das decises que
necessitam ser tomadas para a parametrizao de uma matriz de risco na conduo
do RCSA. Este resumo pode se encontrado na tabela abaixo, que sumariza as
principais decises a serem tomadas. Estas decises ainda foram alocadas em uma
matriz de risco genrica (na seqncia) para facilitar sua visualizao.

Checklist para matrizes de controle

a) Qual ser a classificao dos riscos (quanto aos fatores de risco, eventos ou consequncia)?

b) Haver classificao de controles entre automtico e manual?

c) Haver classificao de controles entre detectivo e preventivo?

d) Haver uma avaliao de controles contra design e execuo?

e) Haver uma classificao de controle como primrio e secundrio?

f) A periodicidade de execuo de cada controle ser avaliada?

g) O risco residual ser avaliado?

h) Haver avaliao dos riscos ser feita de acordo com o conceito de risco inerente?

i) Quais sero as escalas de severidade e probabilidade utilizadas?

j) Quem avalia cada risco (executor, gerente, diretor, grupo de trabalho, etc)?

k) Sero modelados os riscos para os objetivos de eficincia operacional, de compliance e de report

financeiro?

l) Haver discusso de formas de tratamento de risco?

m) Haver a discusso de plano de ao para riscos no mitigados/controles insuficientes?

n) Haver a explicitao do control owner?

o) Haver a explicitao do risk owner?

Agosto 2007. ELO Group www.elogroup.com.br

Pgina 20
 Boas Prticas para o Uso Estratgico de Controles Internos

Avaliao do Avaliao do
risco inerente risco residual

Consolidaddo
Probabilidade

Probabilidade

Consolidado
Severidade

Severidade
Categoria de Primrio/Sec Frequncia do Efetividade Efetividade Mecanismo de
Objetivo Risco Risk Owner Controle Control Owner Tipo de controle Plano de ao
controle undrio controle Design Operao tratamento

A controle A Executor X Preventivo

B
Automtico
E
Primrio Constante
D
Mdio

H G
Baixo

Baixo

Baixo

Baixo

Baixo
Risco 1 Gerente X controle B Executor X Detectivo Automtico Primrio Constante Suficiente Suficiente NA NA

Objetivo 1
controle C Executor Y Preventivo Automtico Secundrio
F
Constante

controle B Executor Y Preventivo Automtico Primrio Mensal L

Mdio

Mdio

Mdio
Baixo
Alto

Alto

Risco 2 Executor Y Suficiente Suficiente NA NA

I controle D Executor Z Detectivo Manual Primrio Dirio

I M
Alto

Alto

Alto

Alto

Alto

Alto
K Risco 3 Gerente W controle E Executor X Detectivo Manual Primrio Semanal Insuficiente Insuficiente Compartilhar Plano de ao 1

controle A Executor Z C
Preventivo Manual Secundrio Constante
Mdio

Mdio
Baixo

Baixo

Baixo

Baixo
Risco 6 Gerente W Razovel Suficiente Compartilhar Plano de ao 1
controle F Gerente W Detectivo Automtico Primrio Constante
Objetivo 2 O N

Mdio
Diminuir
Alto

Alto

Alto

Alto

Alto
Risco 7 Executor Z controle G Executor Z Preventivo Manual Primrio Dirio Razovel Insuficiente Plano de ao 3
severidade
J J

Agosto 2007. ELO Group www.elogroup.com.br Pgina 21