Escolar Documentos
Profissional Documentos
Cultura Documentos
Boas Práticas - Controles Internos PDF
Boas Práticas - Controles Internos PDF
Apresentao ........................................................................................................2
I. Planejamento das matrizes de risco e controle .............................................3
II. Construo da estrutura de controles e aplicao do RCSA.........................13
III. Aes de melhoria da estrutura de controle................................................18
IV. Anexo I Parametrizando a matriz de controle na prtica .........................20
Apresentao
De forma objetiva, estas melhores prticas devem ser entendidas pelo leitor como
insights, aprendidos ao longo dos projetos realizados, que impactam
significativamente no resultado de aes de construo e manuteno de estruturas
controles internos.
Outro exemplo de definio para risco baseado na futura norma ISO 31.000, seria
efeito da incerteza nos objetivos. Nesse caso, cabe ressaltar que tanto incertezas
que impactam os resultados da organizao negativamente quanto positivamente so
considerados pela norma.
Essa descrio ampla do risco permite entender como os controles poderiam atuar:
(1) minimizando a probabilidade das causas efetivamente provocarem o evento, ou,
(2) minimizando o impacto das conseqncias dado que o evento j ocorreu.
Outra abordagem dada pela aplicao dos conceitos de risco operacional nas
instituies financeiras. Essas, direcionadas pela Basilia, tendem a interpretar o
risco operacional como a possibilidade de ocorrncia de perdas resultantes de
falha, deficincia ou inadequao de processos internos, pessoas e sistemas, ou de
eventos externos.
Uma ltima ressalva relativa ao perigo de se considerar o risco como qualquer coisa
que possa interferir no atingimento de um objetivo. Embora a definio de risco
esteja relacionada aos objetivos, associar qualquer coisa que impacte nestes no
necessrio, e torna o trabalho menos eficiente. Ao invs de contemplar qualquer coisa
que poderia dar errado, a identificao dos riscos deve ser direcionada pela
compreenso de eventos inesperados, ocorridos na prtica da operao e que
impactem no atendimento dos objetivos. Isso permite a restrio do escopo da
anlise; focando-a sobre os problemas reais da operao.
Dos mtodos usados para criao da estrutura de controles internos, trs so mais
freqentemente abordados pela literatura: questionrios; entrevistas e workshops.
Como era de se esperar, a deciso pela utilizao de cada um desses mtodos ir
depender das particularidades de cada empresa e de cada projeto. Contudo,
sugerimos a utilizao de um hbrido destes trs mtodos, para gerao de resultados
mais completos, rpidos e efetivos.
escalas utilizar importante, pois deve estar alinhada a exposio real ao risco da
organizao e ao seu apetite ao risco.
Um ponto importante a ser ressaltado que avaliar os riscos de acordo com escalas
permite compara-los entre si. Para isso necessrio definir quais propriedades sero
avaliadas atravs dessas escalas.
De forma anloga ao que foi comentado para o risco operacional, deve-se definir
quais atributos sero utilizados para classificar os controles possudos pela
organizao e como essa caracterizao ser feita (em escalas, qualificaes, etc.). Na
prtica, essas classificaes auxiliam no entendimento de diversas propriedades de
controle, apoiando discusses de priorizao de aes de melhoria e anlises de gaps
de controle. As classificaes mais utilizadas de controle so:
Em alguns casos, podem surgir dvidas tcnicas como: Um procedimento deve ser
considerado um controle ou como um documento que grupa um conjunto de
controles a serem realizados? Para resolver estes problemas, fundamental a
associao do procedimento ao risco envolvido, podendo-se assim entender o grau de
granularidade/detalhamento necessrio.
A discusso da gesto de riscos traz a tona uma pergunta interessante, que muitas
vezes no era abordada de forma sistemtica e estruturada nas organizaes: quem
dentro da organizao responsvel por um determinado risco operacional quem
o risk owner?
O significado do que seria um risk owner pode ser melhor compreendido abordando
a idia da criao de um representante da organizao que responsvel pela
avaliao do risco e pela definio da suficincia e robustez do conjunto de controles
existente na mitigao de um risco de forma satisfatria.
Contudo, a aplicao prtica do conceito de risk owner revela uma grande restrio:
como convencer um determinado risk owner a aceitar a responsabilidade pela gesto
de uma srie de controles que provavelmente esto fora de sua rea funcional de
ascendncia gerencial?
Agosto 2007. ELO Group www.elogroup.com.br
Pgina 11
Boas Prticas para o Uso Estratgico de Controles Internos
Definio do risk owner como algum que efetivamente tem a viso completa
do processo atravessando todas as reas funcionais. Estes risk owners devem
possuir autoridade formal e documentada para que de fato tenham algum
mecanismo para acompanhamento, cobrana e punio da correta execuo
dos controles nas diversas funes em que o risco est associado.
Um risco mais significativo exige controles mais formais e processos mais detalhados,
que produzam evidncias expressivas de sua adoo. J riscos com menor relevncia
podem ser mitigados por controles mais tcitos e menos precisos, exigindo um menor
esforo de documentao e explicitao de evidncias.
Muitas vezes, empresas orientam a anlise de seus controles internos somente aos
seus processos, pois nestes reside o maior trabalho e os controles mais facilmente
identificveis. No entanto, necessrio analisar os controles que atuam em
A importncia deste assessment est no fato de que, muitas vezes, uma deficincia de
controles internos de um processo pode ser suprida por um controle existente na rea
que o executa. Um determinado processo pode, por exemplo, no ter controles anti-
fraude suficientemente bons, mas se a gerncia onde for executado possuir bons
instrumentos de punio e um bom cdigo de tica (controles da entidade), o risco de
fraude pode se mostrar tratado de forma suficiente.
Controles compensatrios podem ser uma boa sada para minimizar este custo. Em
um processo de fechamento contbil, por exemplo, uma empresa pode no contar
com mltiplos executores, mas realizar uma anlise amostral do processo e uma
conciliao, substituindo, de maneira efetiva, o controle de segregao de atividades.
Outro desafio encontrado na prtica a prpria descrio de cada risco. Alguns erros
mais comuns so descrever o risco como a ausncia de controles ou o risco como o
inverso de um objetivo:
Erros na estrutura de controle devem ser analisados contra critrios de (1) adequao
do design ou projeto e (2) adequao da implementao. Tais critrios geram
decises diferentes em relao melhoria da estrutura de controles.
A estrutura de controles no deve ser abordada apenas por um projeto isolado. Ela
deve estar ligada a um processo que ajude a organizao a entender os riscos de sua
operao e mitig-los de maneira satisfatria. Para tal, um processo sistmico e
peridico de documentao e reviso de controles deve ser estabelecido.
Vale lembrar que os mecanismos que acionaro a reviso de controles podem variar
de acordo com os processos. Diversas alternativas podem ser consideradas como:
ocorrncias de perdas, reviso anual, mudanas em processos ou tecnologias, etc.
De uma maneira geral, esse desafio foi abordado ao longo deste documento, aonde
foram discutidas todas as possibilidades de parametrizaes da matriz. Desta forma,
o objetivo deste anexo prover ao leitor um resumo breve das decises que
necessitam ser tomadas para a parametrizao de uma matriz de risco na conduo
do RCSA. Este resumo pode se encontrado na tabela abaixo, que sumariza as
principais decises a serem tomadas. Estas decises ainda foram alocadas em uma
matriz de risco genrica (na seqncia) para facilitar sua visualizao.
a) Qual ser a classificao dos riscos (quanto aos fatores de risco, eventos ou consequncia)?
h) Haver avaliao dos riscos ser feita de acordo com o conceito de risco inerente?
j) Quem avalia cada risco (executor, gerente, diretor, grupo de trabalho, etc)?
Avaliao do Avaliao do
risco inerente risco residual
Consolidaddo
Probabilidade
Probabilidade
Consolidado
Severidade
Severidade
Categoria de Primrio/Sec Frequncia do Efetividade Efetividade Mecanismo de
Objetivo Risco Risk Owner Controle Control Owner Tipo de controle Plano de ao
controle undrio controle Design Operao tratamento
H G
Baixo
Baixo
Baixo
Baixo
Baixo
Risco 1 Gerente X controle B Executor X Detectivo Automtico Primrio Constante Suficiente Suficiente NA NA
Objetivo 1
controle C Executor Y Preventivo Automtico Secundrio
F
Constante
Mdio
Mdio
Baixo
Alto
Alto
Alto
Alto
Alto
Alto
Alto
K Risco 3 Gerente W controle E Executor X Detectivo Manual Primrio Semanal Insuficiente Insuficiente Compartilhar Plano de ao 1
controle A Executor Z C
Preventivo Manual Secundrio Constante
Mdio
Mdio
Baixo
Baixo
Baixo
Baixo
Risco 6 Gerente W Razovel Suficiente Compartilhar Plano de ao 1
controle F Gerente W Detectivo Automtico Primrio Constante
Objetivo 2 O N
Mdio
Diminuir
Alto
Alto
Alto
Alto
Alto
Risco 7 Executor Z controle G Executor Z Preventivo Manual Primrio Dirio Razovel Insuficiente Plano de ao 3
severidade
J J