CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES

Sobre a ACCA
A ACCA (Association of Chartered Certified Accountants) é o órgão global para contadores profissionais.

Somos uma comunidade crescente de 233.000 membros e 536.000 futuros membros de 178 países e regiões, trabalhando
em uma ampla gama de setores e indústrias. Defendemos os mais elevados valores profissionais e éticos.

Oferecemos a todos, de todos os lugares, a oportunidade de experimentar uma carreira gratificante em contabilidade,
finanças e gestão. Nossas qualificações e oportunidades de aprendizado desenvolvem líderes empresariais
estratégicos, profissionais com visão de futuro, com a experiência financeira, comercial e digital essencial para a
criação de organizações sustentáveis e sociedades prósperas.

Desde 1904, ser uma força para o bem público está incorporado em nosso propósito. Em dezembro de 2020, fizemos
compromissos com os Objetivos de Desenvolvimento Sustentável da ONU, que mensuramos e reportaremos em
nosso relatório integrado anual. Acreditamos que a contabilidade é uma profissão fundamental da sociedade e é vital
para ajudar economias, organizações e indivíduos a crescer e prosperar. Ela faz isso criando uma gestão financeira e
comercial robusta e confiável, combatendo a corrupção, garantindo que as organizações sejam geridas com ética,
impulsionando a sustentabilidade e oferecendo oportunidades de carreira gratificantes.

E por meio de pesquisas de ponta, lideramos a profissão, respondendo às perguntas de hoje e nos preparando para
o amanhã. Somos uma organização sem fins lucrativos.

Saiba mais sobre nós em www.accaglobal.com

Sobre a Internal Audit Foundation

e o Institute of Internal Auditors
A Internal Audit Foundation é um recurso global essencial para o avanço da profissão de auditoria interna.

A pesquisa financiada pela Foundation fornece aos profissionais de auditoria interna e seus stakeholders uma visão
sobre tópicos emergentes, e promove e aprimora o valor da profissão de auditoria interna globalmente. Além disso,
por meio de seu Fundo Acadêmico, a Foundation apoia o futuro da profissão, concedendo subsídios a estudantes
e educadores que participam do Internal Auditing Education Partnership Program do Institute of Internal Auditors.

Para mais informações, visite www.theiia.org/Foundation

O Institute of Internal Auditors (IIA) é o defensor, educador e criador de normas, orientações e certificações mais
amplamente reconhecido da profissão de auditoria interna. Fundado em 1941, o The IIA hoje atende a mais de
210.000 membros de mais de 170 países e territórios.

Para mais informações, visite www.theiia.org

Sobre o IMA® Institute of Management

Accountants
O IMA® é uma das maiores e mais respeitadas associações focadas exclusivamente no avanço da profissão
de contabilidade gerencial.

Globalmente, o IMA apoia a profissão por meio de pesquisas, dos programas CMA® (Certified Management
Accountant) e CSCA® (Certified in Strategy and Competitive Analysis), educação continuada, networking e promoção
das mais altas práticas éticas de negócios. Duas vezes nomeado Professional Body of the Year pelo The Accountant/
International Accounting Bulletin, o IMA tem uma rede global de cerca de 140.000 membros em 150 países e 350
filiais profissionais e estudantis. Com sede em Montvale, N.J., EUA, o IMA presta serviços localizados em suas quatro
regiões globais: Américas, Ásia/Pacífico, Europa e Oriente Médio/Índia.

Para mais informações sobre o IMA, visite www.imanet.org

Copyright © Julho de 2022, Association of Chartered Certified Accountants (ACCA), The Internal Audit Foundation (IAF) e The Institute of Management
Accountants (IMA).
Todos os direitos reservados. Usado com permissão da ACCA, IAF e IMA. Contate insights@accaglobal.com para obter permissão para reproduzir, armazenar
ou transmitir, ou para fazer outros usos similares deste documento.
CONTROLE INTERNO E A
TRANSFORMAÇÃO DAS ENTIDADES
O controle interno é um dos conceitos fundamentais utilizados pelas
entidades para atingir objetivos importantes, melhorar o desempenho
e construir reputação, especialmente em tempos de turbulência
e incerteza. O controle interno constitui uma parte essencial das
atividades dos profissionais de contabilidade, finanças e auditoria
interna, auxiliando-os a garantir que as entidades operem de forma
eficaz. No entanto, a natureza do modelo de negócios está mudando
para muitos. A transformação, incluindo a adoção de capacitadores
digitais, está mudando a forma como os processos são realizados. A
resposta rápida às mudanças nos fatores econômicos e do cliente é
uma realidade. Neste relatório, exploramos essas e outras tendências
emergentes, seu impacto no controle interno e a necessidade de que
os controles internos sejam ágeis e estejam prontos para o futuro,
para apoiar a transformação e o crescimento dos negócios.

A pesquisa é baseada em uma série de mesas redondas e entrevistas

com mais de 80 profissionais de finanças e auditoria interna, de
várias entidades do mundo todo. O feedback da mesa redonda é
anonimizado; no entanto, a localização geográfica é frequentemente
citada, para ajudar os leitores a identificar comentários onde as
diferenças nos regulamentos ou normas culturais podem variar devido
à localização. As mesas redondas foram apoiadas por uma pesquisa
com membros da ACCA, IIA e IMA, que recebeu mais de 1.950
respostas (uma visão geral dos dados demográficos da pesquisa pode
ser encontrada no Anexo).
Prefácio

O controle interno eficaz é um dos capacitadores essenciais para que as entidades

cresçam com confiança e integridade em um mundo multistakeholder cheio de
volatilidade, incerteza, disrupção e complexidade. O controle interno vai além
dos requisitos de conformidade estatutária; ele ajuda as entidades a construir
confiabilidade, confiança e uma reputação positiva na obtenção de resultados
estratégicos de negócios.

Profissionais de contabilidade, finanças e auditoria interna, qualquer que seja sua função, são partes
fundamentais, juntamente com outros, nos frameworks de controle de suas entidades. No ambiente
atual em rápida evolução, as entidades enfrentam muitos desafios. Elas precisam se transformar contínua
e rapidamente, para garantir que atendam a um ambiente operacional cada vez mais complexo. As
entidades estão usando tecnologia e dados cada vez mais. Insights baseados em dados são essenciais
para permitir que a gestão reaja rapidamente e tome decisões em um horizonte cada vez mais amplo.
Os stakeholders estão buscando divulgações que abranjam não apenas os objetivos financeiros, mas
também aquelas que abordem áreas não financeiras, como ações em relação às mudanças climáticas e
capital humano. Essas mudanças trazem para o jogo um escopo mais amplo de atividades de negócios
que exigem um controle interno eficaz. Os stakeholders estão buscando confiança além do reporte
financeiro, por exemplo, por meio de divulgações ambientais, sociais e relacionadas à governança.
Agora, são necessárias amplitude e profundidade nos conjuntos de habilidades essenciais para adotar
o controle interno em todo esse conjunto mais amplo de objetivos.

O controle interno eficaz requer a combinação adequada de pessoas, processos, tecnologia e dados,
sustentada por um compromisso inabalável com a confiança e a ética. Para profissionais de contabilidade,
finanças e auditoria interna, é importante ter uma avaliação detalhada das oportunidades que a
tecnologia pode apresentar; como estas são traduzidas em processos executados e formas otimizadas
de trabalhar. Por meio das qualificações profissionais e do aprendizado contínuo, esses profissionais
precisam garantir que possam manter a relevância, capacitando-os a orientar os tomadores de decisão
no atendimento aos requisitos ampliados de governança e controle. Dessa forma, os profissionais
de contabilidade, finanças e auditoria interna estão prontos e aptos a orientar suas entidades e os
stakeholders em uma nova era de controle interno.

Helen Brand OBE Anthony J. Pugliese, Jeffrey Thomson,

Chief Executive, ACCA
CIA, CPA, CGMA, CITP
Presidente e Chief
Executive Officer do IIA,
Conselho de Curadores da
Internal Audit Foundation
CMA, CSCA, CAE
Chief Executive Officer e
Presidente do Institute of
Management Accountants

4
Conteúdos

Sumário executivo 6

Sumário das principais ações 9

1. Propósito do controle interno 13

1.1 Origens do controle interno 13
1.2 Percepções de seu propósito 15
1.3 O Modelo das Três Linhas 16

2. Desafios e oportunidades atuais 19

2.1 Impacto da transformação 19
2.2 Adoção da tecnologia 24
2.3 Fluxos de dados, big data e monitoramento contínuo 25
2.4 Evolução das formas de trabalhar 26
2.5 Reporte não-financeiro 27

3. Evoluindo nossa mentalidade 29

3.1 Traçando o caminho à frente 29
3.2 Evolução da tecnologia e dos dados 29
3.3 A entidade ágil 31
3.4 Considerações de reporte não-financeiro 33
3.5 Detalhes das consequências para o controle interno 34
Por volta ou por dentro 34
Mudando o ambiente de trabalho 35
Avanços para o usuário final e uso de soluções Lo-code / No-code 35
Controles gerais de TI 35
Blockchain 36
Machine learning e inteligência artificial 36
3.6 Conjuntos de habilidades 36
3.7 Considerações de dados em tempo real 38
3.8 Governança de dados – uma questão de controle interno? 39
3.9 Uma questão de estratégia e cultura 39
3.10 Consequências para os frameworks de controle interno 41

Conclusão 43

Glossário 44

Anexo – Dados demográficos da pesquisa 45

Agradecimentos 46

Referências 47

5
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | SUMÁRIO EXECUTIVO
Sumário executivo
Os controles internos são fundamentais para permitir que as entidades cresçam com
confiança e integridade. Desde os desafios corporativos da década de 1970, os reguladores
têm se concentrado em garantir que controles apropriados sejam implantados em
entidades onde há interesse público significativo. Essa combinação de requisitos
regulatórios e de investidores gera a necessidade de investir em processos e controles.
Os modelos operacionais de muitas entidades têm
sofrido mudanças, à medida que o foco mudou da
concorrência baseada em modelos de planejamento
de recursos empresariais (ERP) personalizados e sob
medida para aqueles baseados em insights e análises
do comportamento do cliente. O mantra de ‘cinco anos
em cinco meses’ refletiu a aceleração da transformação
das entidades, capacitada pela tecnologia durante a
pandemia, e espera-se que essa tendência continue a
acelerar, conforme avançam para um novo conjunto de
desafios econômicos.
Como o controle interno foi impactado por essas
mudanças? As entidades devem buscar reavaliar seus
frameworks e aproveitar as oportunidades que essas
transformações tecnológicas oferecem? Este é o foco da
presente pesquisa.
Aproximadamente 1.950 membros da ACCA, do Institute
of Internal Auditors (IIA) e do Institute of Management
Accountants (IMA) responderam a uma pesquisa e mais
de 80 participaram de uma série de mesas redondas e
entrevistas realizadas em todo o mundo.
O propósito do controle interno foi reforçado por esses
contribuintes (conforme explorado no Capítulo 1). Houve
um forte alinhamento com o Modelo das Três Linhas do
The IIA, demonstrando os papéis de governança inter-
relacionados do conselho, da gestão e dos auditores
internos em assegurar e obter controles internos eficazes
sobre o reporte financeiro – e mais recentemente – de
sustentabilidade. No entanto, conforme as entidades
trilham suas jornadas de transformação, foi destacada
uma escassez de habilidades importantes entre aqueles
que implantam os controles internos.
A transformação tem um claro impacto nos controles
internos. O Capítulo 2 explora várias dessas questões.
Ela mudou os modelos operacionais da maioria das
entidades, mas a natureza do impacto no ambiente de
controle interno tem sido diversa, com claras diferenças
regionais na gama de impactos positivos e negativos
sobre as entidades. O que está claro nas respostas da
pesquisa é que os frameworks e processos de controle
interno precisam ser incorporados desde o início, como
parte das transformações de negócios ou iniciativas
estratégicas para alcançar maior crescimento e valor
para diversos stakeholders. Não se deve esquecer que a
transformação tem quatro aspectos: pessoas, processos,
6
tecnologia e dados. Isso vale para a transformação do
controle interno e é importante não perder de vista todos
esses componentes nesta discussão.
A própria transformação está se transformando. Não
é mais impulsionada apenas por projetos de grande
escala, mas o uso de soluções baseadas em nuvem e
outras abordagens significa que, cada vez mais, é um
processo iterativo e ágil. Microsserviços para lidar com
oportunidades e desafios imediatos estão na ordem do
dia. Como resultado, os frameworks de controle precisam
se flexibilizar e mudar. No entanto, há uma aparente
relutância em relação ao novo ambiente de negócios, por
exemplo, adotar controles internos e gerenciamento de
riscos ágeis, monitoramento contínuo e em tempo real,
digitalização e controles automatizados (incluindo o uso
de XBRL).
O Capítulo 3 explora esses desafios e oferece percepções
e observações sobre possíveis próximos passos para
as entidades. É necessário garantir que os controles
internos e os frameworks de gerenciamento de riscos
sejam ágeis e adequados ao propósito em um ambiente
de negócios que está se expandindo cada vez mais
(por exemplo, a necessidade de gerenciar e contabilizar
questões de sustentabilidade) com tecnologias em rápida
evolução, como computação na nuvem, inteligência
artificial, blockchain e mineração de processos. A natureza
da mudança rápida requer uma liderança adaptável e
ágil e foco no projeto (consulte as seções 3.2 e 3.3). O
controle interno deve ser parte integrante desses avanços.
A aplicação da tecnologia também está evoluindo
conforme as entidades adotam a ‘quarta revolução
industrial’ e tecnologias conectadas. Essa transição tem
consequências para as habilidades e controles (consulte a
seção 3.5).
É uma mudança não apenas na natureza do controle,
mas uma mudança de uma visão mais estática para uma
que se concentra mais em fluxos de dados quase em
tempo real, contínuos e automatizados. Há também o
reconhecimento de objetivos compartilhados, como
aqueles relacionados à governança sobre a integridade
dos dados e alinhamento a uma cultura de risco dinâmica,
que reage a modelos operacionais em rápida evolução
(seção 3.7). As entidades bem-sucedidas provavelmente
serão aquelas que adotam o uso de dados, inovação e
agilidade.
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | SUMÁRIO EXECUTIVO
A combinação de habilidades necessárias para abordar
o controle interno está mudando e requer uma gama
de conhecimentos mais ampla do que antes (conforme
discutido na seção 3.6) em todas as funções focadas
em controles internos (consulte a seção 1.3). O controle
interno só pode ser eficaz se aqueles que o exercem
tiverem a devida combinação de competências, tanto
técnicas como interpessoais. Os recursos e a composição
das equipes de segunda e terceira linha serão um
problema, conforme o escopo do controle interno se
expandir. O propósito do controle interno é discutido na
seção 1.2.
Conforme aumentam as demandas de divulgação de
informações sobre aspectos das agendas ambiental, social
e de governança (ESG) e outras, aumenta também o nível
de avaliação exigido nessas divulgações, que passam a
ser objeto do controle interno (seção 3.4). No entanto,
atualmente, os dados são menos robustos do que os de
sua contrapartida financeira: derivam de fontes mais
variadas e são, muitas vezes, menos estruturados. Para
lidar com essa preocupação, é necessário investir tanto
nos dados quanto nas habilidades e, portanto, como em
muitos aspectos do controle interno, é necessário
automatizar os controles e reduzir a duplicação; para
abranger os elementos da tecnologia e olhar para frente.
Qualquer parte dessa agenda requer a orientação dos
órgãos competentes e o investimento em iniciativas de
educação continuada por parte de entidades e indivíduos.
7
Principais Observações
n A evolução da tecnologia e do controle significa
que as lacunas de habilidades dos envolvidos
no controle interno são questões importantes,
especialmente quanto à amplitude de habilidades
em todas as linhas.
n A tecnologia continuará a avançar e há um risco
de que o controle interno se torne ineficaz se
não aceitar as mudanças e automatizar quando
apropriado.
n Se o reporte não-financeiro deve ser incluído
no escopo do controle interno, então, há uma
necessidade entender que:
n os dados são menos robustos e novos métodos
de controle precisam ser desenvolvidos
n as fontes desses dados são mais variadas
n a incorporação de controles é essencial
n níveis de expertise precisam ser abordados.
n Para abranger todos esses fatores, é necessário
um investimento em tecnologia e habilidades de
dados para os responsáveis pelo controle interno;
deve haver uma orientação mais relevante, que
reflita os modelos operacionais atuais, bem como
oportunidades de aprendizado apropriadas para
apoiar aqueles que trabalham em todos os níveis.
Controle interno e a transformação das entidades
Este infográfico apresenta um resumo dos resultados da pesquisa conjunta de controle interno (CI) e
entidades em transformação realizada em março de 2022.

Propósito do controle interno

O que vemos como propósito do CI em uma entidade? Principais ações
Detecção de fraude, 66% O controle interno nas entidades em transformação dá origem às
100% seguintes principais ações:
Melhora da qualidade 80% Prevenção de fraude,
dos dados, 54% 84% 1. Reconhecer o avanço da tecnologia e dos dados junto com o
60%
impacto no controle interno.
40%
Proteção das 20% Minimização 2. Buscar oportunidades de adotar a tecnologia por meio da
informações, 65% dos riscos, 88% automação e do monitoramento contínuo.
3. Reconhecer a necessidade de incluir elementos não financeiros no
Adesão a requisitos Proteção dos controle interno, aceitando a necessidade de desenvolver novas
legais, 69% ativos, 77% competências e os desafios dos diferentes formatos de dados.
4. Desenvolver as competências necessárias, técnicas e interpessoais,
Adesão a regulamentos, 74% Promoção da eficiência, 55% para poder implantar o controle interno na entidade em transformação.
5. Implantar atividades de desenvolvimento de habilidades focadas
no controle na segunda e terceira linhas.
Desafios no controle interno
O que vemos como desafios no CI em nossas entidades?
Falta de equipe devidamente capacitada, 50% Esforço significativo necessário
100%
Falta de supervisão Quais áreas parecem exigir esforço significativo pós-transformação?
do conselho de
80% Não ter os dados
60% certos, 20% 70%
governança, 26%
40% 60%
20%
50% 52%
Falta de custo- Não ter acesso 40% 43%
benefício na aos dados certos, 36%
30% 35% 33% 34% 33%
conformidade, 31% 22% 32%
26% 27%
20% 22%
Avanços tecnológicos 19%
Falta de ênfase 10%
comprometem controles
executiva, 32% internos existentes, 41% 0%

s–O iro

Ox ue
e

co

rna

ção

rce

de

de
y)

)
sit

ud

eir

tin

ley
ne nce

es– (q
Ris

ida

ida
xle

me
nte

ma
b

fra

nc

rke

an iro
We

rba fina

rm

bil
for
na

om
ai
Ma
de

arb nce

nta
nfo
a in
o-fi

ori

Impacto da transformação na eficácia (Sa orte

E-c
co

o S na

Co
dit

Co
ia d
nã
ris

nã rte fi
Au

Re

O que vemos como o impacto da transformação na eficácia do

rte

log
zir

po

no

po
du

controle interno?
Tec
Re

Re
Re

Pré-transformação Altamente ineficaz, 6% 2% 2%

Agora 60%
Pós-transformação

Não sei, 40%

Ineficaz, 21% Como as tecnologias melhoram o controle interno
4% 2% 9% 10% 5% Até que ponto as seguintes tecnologias melhoram, ou melhoram
20%
significativamente, os controles internos?
100%
Não se aplica, Satisfatório,
3% 2% 7% 43% 40% 23% 80%
60% 65%
60%
40% 49% 47%
35% 40% 36%
Altamente eficaz, 5% 9% 21% Eficaz, 18% 35% 33% 20% 33% 33%
18%
0%
an cess e

tifi a

nu os

ce de
AI

ing

PIs

os

ID
da de
d

Ar nci
alít os

s
s
cia

na cativ

RF
ad

sso
do
s
A/

eA
pro o

arn

pro ção
ão
ve
ico

gê
ã

Impacto da transformação no risco

ed
aç
RP

raç
od
Le

eli

ra
li
tom

Ap

ed

ne
ne
Int
ine

Us

O que vemos como o impacto da transformação nos riscos

Mi
Mi
ális
Au

ch

An

de controle interno?
Ma

50%
40%
30% Trabalho híbrido
29% Como o trabalho híbrido afetou a eficácia dos controles internos?
20% 26%
21%
10%
Aumentou significativ. 7%
7% 8%
0%
Diminuiu Diminuiu Permaneceu Aumentou Aumentou
significativ. significativ. Aumentou 24%

Permaneceu 32%

Controle interno e ESG

80%
Diminuiu 20%
Aqueles que concordam, ou concordam fortemente,
que precisam aplicar seu framework de controle Diminuiu significativ. 8%

interno ao reporte não financeiro e ESG: 0% 10% 20% 30% 40% 50%

8
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | SUMÁRIO DAS PRINCIPAIS AÇÕES

Sumário das
Principais
Ações
Este relatório faz várias recomendações
de ações a serem tomadas para melhorar
o controle interno. Elas são explicadas no
contexto da discussão detalhada no Capítulo
3 e estão agrupadas na tabela abaixo, que
também as compara com os fatores que
estão impulsionando a mudança no controle
interno de muitas entidades (Figura ES1).

FIGURA ES1: Drivers de mudança no controle interno

Estratégico

CONTROLE
INTERNAL

Transfor-
mação

Pessoas Processo Tecnologia Dados

9
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | SUMÁRIO DAS PRINCIPAIS AÇÕES

As principais ações são as seguintes.

PRINCIPAL AÇÃO DRIVER(S) SEÇÃO

Considerar as transições de tecnologia e dados que as entidades integraram ao modelo

3.2
operacional e que estão replicando nos controles internos.

Certificar-se de entender a tecnologia e os drivers de dados no modelo operacional da

3.2
entidade. Certificar-se de estar familiarizado com o uso de tecnologias emergentes.

Mapear o uso de tecnologias emergentes para controles internos e identificar oportunidades

3.2
para aumentar a eficácia do controle.

Reconhecer que os avanços de modelos operacionais são cada vez mais propensos a serem
conduzidos de forma ágil e garantir que os responsáveis pelo controle interno em todos os 3.3
níveis do Modelo das Três Linhas estejam preparados para se envolver devidamente.

Reconfigurar o modelo de risco, para refletir as práticas tecnológicas alteradas que surgem
da adoção de aplicativos baseados na nuvem. Entender a natureza diferente da tecnologia e 3.3
do relacionamento com o fornecedor.

Reconhecer as considerações de controle interno decorrentes do perfil alterado de risco em

qualquer cenário baseado na nuvem. Reconhecer que os controles gerais de tecnologia da 3.3
informação tradicionais (ITGCs) mudaram.

Implantar uma solução de GRC que aborde todos os elementos de risco e controle interno
3.3
em toda a entidade.

Incorporar controles internos automatizados e baseados em parâmetros em aplicativos

3.3
baseados na nuvem, especialmente no ponto de iniciação.

Trabalhar para identificar as fontes de dados relevantes, para permitir que a entidade atenda
3.4
aos requisitos de divulgações não financeiras.

Desenvolver uma estratégia para integrar os dados não financeiros necessários ao framework
3.4
de controle interno e estar preparado para documentar conforme apropriado.

Fazer contato com os responsáveis pela governança de dados, para garantir o alinhamento
3.4
entre esses conjuntos de dados.

Reavaliar a abordagem de controles automatizados dentro da entidade. 3.5

Identificar áreas com controles manuais que possam duplicar os controles automatizados e
3.5
eliminá-los conforme apropriado.

10
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | SUMÁRIO DAS PRINCIPAIS AÇÕES

PRINCIPAL AÇÃO DRIVER(S) SEÇÃO

Entender o escopo da computação do usuário final (incluindo o que estiver fora da

definição tradicional) e garantir que todos os aplicativos desenvolvidos e que façam parte
3.5
dos controles internos tenham o nível apropriado de controles de desenvolvimento e teste
aplicados a eles.

Reconhecer que a transformação ágil exigirá cada vez mais, para gerar melhorias nos
processos operacionais, o uso de aplicativos que não estão sujeitos aos ciclos de vida de 3.5
desenvolvimento de aplicativos tradicionais e garantir que o risco consequente seja tratado.

Avaliar o ambiente de controle geral de TI no contexto do modelo operacional atual,

identificando onde os controles são gerenciados por meio de aplicativos baseados na nuvem, 3.5
em vez de no local, e as mudanças resultantes nos perfis de risco.

Reconhecer o papel que o aprendizado de máquina (machine learning - ML) e a inteligência

3.5
artificial (IA) podem desempenhar no ambiente de controle.

Identificar as habilidades e recursos necessários para sustentar a eficácia do controle

interno em toda a entidade transformada, incluindo as habilidades necessárias para abordar 3.6
objetivos não financeiros. Desenvolver planos apropriados de gestão de talentos.

Considerar seu próprio nível de tecnologia e habilidades relacionadas a dados no contexto

3.6
do controle interno e identificar oportunidades de desenvolvimento relevantes.

Reconhecer que as habilidades precisam ser atualizadas continuamente, tanto as

tecnológicas quanto as interpessoais e de tino comercial. Certificar-se de que as iniciativas 3.6
relevantes estejam em vigor.

Desenvolver e implantar uma estratégia de monitoramento contínuo alinhada ao volume de

3.7
dados esperado.

Certificar-se de que haja um equilíbrio adequado entre controles manuais e automatizados, e

3.7
buscar evitar redundância e duplicação de controles.

Garantir um alinhamento entre a governança de dados e os objetivos de controle interno

da entidade, e fortalecer os procedimentos que regem a integridade e precisão dos dados 3.8
financeiros e não financeiros.

Reforçar a importância do gerenciamento de riscos e do controle interno de forma contínua

3.9
em toda a entidade.

Reforçar a necessidade de otimizar o desenvolvimento e a implantação de um framework de

3.9
controle interno, especialmente por ser cada vez mais habilitado pela tecnologia.

Questionar a premissa de que o ‘computador está certo’ em todas as circunstâncias ao

3.9
considerar os controles internos.

11
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | SUMÁRIO DAS PRINCIPAIS AÇÕES

A TRANSFORMAÇÃO TEM QUATRO

ASPECTOS: PESSOAS, PROCESSOS,
TECNOLOGIA E DADOS. ISSO VALE PARA
A TRANSFORMAÇÃO DO CONTROLE
INTERNO E É IMPORTANTE NÃO PERDER
DE VISTA TODOS ESSES COMPONENTES
NESTA DISCUSSÃO.

12
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | 1. PROPÓSITO DO CONTROLE INTERNO

1. Propósito do
controle interno
‘MANTER OS CONTROLES INTERNOS EFICAZES, DO PONTO DE VISTA
OPERACIONAL E DE DESIGN NESTE MUNDO EM RÁPIDA MUDANÇA,
COM [ABORDAGENS] ÁGEIS SENDO CENTRAIS À TRANSFORMAÇÃO
QUE AS ENTIDADES DEVEM IMPLANTAR, COLOCA MUITA PRESSÃO
PARA QUE OS AMBIENTES DE CONTROLE INTERNO SEJAM RELEVANTES
E MONITOREM OS PRINCIPAIS RISCOS DE FORMA CONTÍNUA.’
PARTICIPANTE DA MESA REDONDA DA TURQUIA

1.1 Origens do controle interno framework, atualizado em 2013. Um resumo do framework

O termo ‘controle interno’ foi definido pela primeira vez COSO é mostrado abaixo (Figura 1.1).
pelo American Institute of Accountants (agora, American
Institute of Certified Public Accountants) em 1949. O
Instituto refinou ainda mais essa definição em 1958 e 1972 FIGURA 1.1: Framework COSO
(Lauren 2017). A definição oferecida foi:
‘O controle interno compreende o plano da organização e
todos os métodos coordenados e medidas adotadas
em uma empresa para salvaguardar seus ativos, verificar
a precisão e confiabilidade de seus dados contábeis,
promover a eficiência operacional e incentivar a adesão às
políticas gerenciais prescritas’ (citado em Heier et al. 2005).
Uma série de desafios corporativos na década de 1970
levou a Securities and Exchange Commission (SEC) e o
Congresso dos EUA a promulgar a lei Foreign Corrupt
Practices Act em 1977. Em resposta a isso, várias
entidades nos EUA, incluindo The IIA e IMA, trabalharam
juntos sob a presidência de James C. Treadway, Jr.,
então vice-presidente executivo e conselheiro geral
da Paine Webber e ex-comissário da SEC dos EUA, Fonte: COSO (2013)
para desenvolver um framework de controle interno. O
Committee of Sponsoring Organizations of the Treadway A revisão de 2013 do framework fornece a seguinte
Commission (conhecido como COSO) desenvolveu seu definição atualizada.

O controle interno é um processo, executado pelo conselho de administração, gestão e outro pessoal de uma entidade, criado
para fornecer garantia razoável quanto ao atingimento dos objetivos relacionados às operações, reporte e conformidade.
Esta definição reflete certos conceitos fundamentais. Controle interno é:
n Voltado para o atingimento de objetivos em uma ou mais categorias – operações, reporte e conformidade
n Um processo que consiste em tarefas e atividades contínuas – um meio para um fim, não um fim em si mesmo
n Executado por pessoas – não apenas sobre manuais de políticas e procedimentos, sistemas e formulários, mas sobre
pessoas e ações que realizam em todos os níveis de uma organização para executar o controle interno
n Capaz de fornecer garantia razoável – mas não garantia absoluta, à alta administração e ao conselho de administração
de uma entidade
n Adaptável à estrutura da entidade – flexível na aplicação em toda a entidade ou subsidiária, divisão, unidade
operacional ou processo de negócios específico.
Fonte: COSO (2013)

13
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | 1. PROPÓSITO DO CONTROLE INTERNO

Como observado, o Internal Control Integrated
Framework do COSO 2013 possui cinco componentes
(Ambiente de Controle; Avaliação de Riscos;
Atividades de Controle; Informação e Comunicação;
e Monitoramento), sendo o último especialmente
importante para dar suporte à agilidade, pontualidade e
automação em um ambiente de negócios disruptivo e de
rápida mudança.
O framework do COSO também possui 17 princípios
(Figura 1.2). Geralmente, para que os controles internos
sejam eficazes, esses princípios devem estar presentes,
funcionando e integrados.
Ao atualizar o framework histórico de controle interno
de 1992, o framework COSO 2013 foi aprimorado,
com a expansão da categoria de objetivos de reporte
financeiro, para incluir outras formas importantes de
reporte, como o reporte não financeiro e interno (p. ex.,
reporte e análises de sustentabilidade).
Outras jurisdições desenvolveram definições
semelhantes do conceito. Como exemplo, no Reino
Unido, o Internal Control: Guidance for Directors on
the Combined Code (conhecido como Turnbull Report,
FRC 2005), publicado pela primeira vez em 1999, definiu
o controle interno e seu escopo da seguinte forma:
‘As políticas, processos, tarefas, comportamentos e outros
aspectos de uma organização que, juntos:
n ‘Facilitam a operação eficaz, permitindo-lhe responder
de forma adequada aos riscos significativos de
negócios, operacionais, financeiros, de conformidade e
outros para atingir seus objetivos. Isso inclui a proteção
de ativos e a garantia de que as responsabilidades
sejam identificadas e gerenciadas.
n ‘Garantem a qualidade do reporte interno e externo
que, por sua vez, requer a manutenção de registros
e processos que geram um fluxo de informações
tempestivas, relevantes e confiáveis de fontes internas e
externas.
n ‘Garantem a conformidade com as leis e regulamentos
aplicáveis, e também com as políticas internas’ (ICAEW
1999).
É neste contexto que este relatório analisa o controle
interno e como este é afetado pelas diversas mudanças
que as entidades enfrentam. A intenção desses frameworks
e orientações permanece válida, mas a próxima e mais
desafiadora etapa é a implantação prática. O relatório não
busca comparar modelos, mas sim é agnóstico quanto
aos próprios modelos e se concentra nas experiências de
implantação dos profissionais participantes e entrevistados.

FIGURA 1.2: Princípios do Framework Internal Control – Integrated Framework do COSO

1. Demonstra compromisso com a integridade e valores éticos

2. Exerce responsabilidade de supervisão
AMBIENTE
3. Estabelece estrutura, autoridade e responsabilidade
DE CONTROLE
4. Demonstra compromisso com a competência
5. Aplica a prestação de contas

6. Especifica objetivos adequados

AVALIAÇÃO 7. Identifica e analisa o risco
DE RISCOS 8. Avalia o risco de fraude
9. Identifica e analisa mudanças significantes

10. Seleciona e desenvolve atividades de controle

ATIVIDADES DE CONTROLE 11.Seleciona e desenvolve controles gerais sobre tecnologia
12. Implanta por meio de políticas e procedimentos

13. Usa informações relevantes

INFORMAÇÃO E
14. Comunica-se internamente
COMUNICAÇÃO
15. Comunica-se externamente

16. Conduz avaliações contínuas e/ou separadas

ATIVIDADES DE MONITORAMENTO
17. Avalia e comunica deficiências

Fonte: COSO (2013)

14
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | 1. PROPÓSITO DO CONTROLE INTERNO

1.2 Percepções de seu propósito
A pesquisa começou considerando o que os participantes
da pesquisa percebiam como propósito do controle
interno em suas entidades (Figura 1.3).
Os participantes apontaram a prevenção de fraudes
(84%) e a minimização de riscos (88%) como os principais
fatores que descreviam o propósito do controle interno.
A qualidade dos dados foi o fator com classificação
mais baixa entre aqueles que os participantes puderam
escolher (54%), embora a conexão entre controle
interno e governança de dados tenha sido uma questão
frequentemente levantada nas discussões da mesa
redonda e seja um tema que será retomado mais adiante
neste relatório (veja a seção 3.8). Uma análise regional das
respostas confirmou um padrão semelhante.2
Um participante da mesa redonda da Austrália descreveu
o controle interno da seguinte forma. ‘Na verdade, cobre
três coisas, em minha opinião. Trata-se de garantir que,
em primeiro lugar, as informações sejam confiáveis e
precisas. Precisamos garantir que estamos cumprindo
com as normas contábeis, regulamentos, políticas, etc. A
terceira coisa é a confiabilidade em relação ao reporte
financeiro. Além desses três atributos estão os dados e a
tecnologia, que estão impulsionando as mudanças
regulatórias’.
Pedimos que os participantes considerassem os desafios
enfrentados por sua entidade com o controle interno3
(Figura 1.4). No nível global, a falta de pessoal
devidamente qualificado foi classificada como o desafio
mais significativo, escolhido por 50% dos participantes
(habilidades são discutidas em mais detalhes na seção
3.6). Houve contrastes nas respostas por região, com 42%
dos participantes na Europa Ocidental escolhendo esse
fator, em contraste com 56% na América do Norte e 58%
na Ásia-Pacífico, 50% na África e 54% no Caribe.
As habilidades, especialmente no contexto de tecnologia
e na pauta de ESG, também foram levantadas por vários
participantes da mesa redonda.

FIGURA 1.3: Em sua opinião, quais destes fatores descreve o propósito do controle interno? Escolha todos os
aplicáveis. (n = 1.956)1
Detecção de fraude, 66%
100

Melhora da qualidade dos dados, 54% 80 Prevenção de fraude, 84%

60

40

Proteção das informações, 65% 20 Minimização dos riscos, 88%

Adesão a requisitos legais, 69% Proteção dos ativos, 77%

Adesão a regulamentos, 74% Promoção da eficiência, 55%

FIGURE 1.4: Quais dos seguintes desafios em um framework de controle interno sua entidade encara
atualmente? Escolha todos os aplicáveis. (n = 1.956)
Falta de equipe devidamente capacitada, 50%
50

Nenhum dos anteriores, 12% 40 Não ter os dados certos, 20%

30

20

Outros, 4% 10 Não ter acesso aos dados certos, 22%

Falta de supervisão do conselho Avanços tecnológicos comprometem

de governança, 26% controles internos existentes, 41%

Falta de custo-benefício na conformidade, 31% Falta de ênfase executiva, 32%

1 Todas as estatísticas usadas neste relatório vêm da pesquisa da ACCA / IIA / IMA Transformation of Internal Control, de março de 2022, salvo indicado em contrário.
2 Diversas análises de resultados da pesquisa selecionados por localidade ou setor acompanham este relatório em uma série de infográficos.
3 As definições dos principais termos usados neste relatório são fornecidas no Glossário.

15
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | 1. PROPÓSITO DO CONTROLE INTERNO

Entre nossos participantes, 41% consideram que os
avanços tecnológicos comprometem os controles
internos. Isso foi amplamente similar em todas as regiões.
Considerando o impacto da tecnologia e dos dados nas
entidades, isso não surpreendeu, embora apenas uma
pequena proporção (20%) afirme não ter os dados certos
e apenas 22% considere não ter acesso a esses dados.
Relatos de falta de supervisão do conselho de
administração, citados por 26% no geral, mostraram certa
variação quando considerados por região. Na Europa
Ocidental (20%) e América do Norte (17%), houve uma
sensação mais forte de falta de supervisão do que no
Oriente Médio (que registrou 37%), Sul da Ásia (30%)
e Ásia-Pacífico (33%) . A variação pode, em parte, ser
devida a variações na cultura de controle interno e
gerenciamento de riscos entre as regiões (a importância
da cultura e sua relação com o controle interno é
considerada mais adiante neste relatório, na seção 3.9).
Comentando sobre a falta de pessoal devidamente
qualificado, um chefe executivo de auditoria da
Europa explicou que ‘o maior desafio que enfrentamos
atualmente é que não há pessoas [suficientes]
devidamente qualificadas para acompanhar o ritmo das
mudanças tecnológicas’.
Um participante da mesa redonda australiana explicou sua
percepção dos desafios: ‘o que muitas empresas estão
enfrentando agora é um desafio de auditoria, em que
corremos o risco de automatizar processos ineficientes,
porque é assim que sempre fizemos. Não estamos
acompanhando o ritmo da mudança’. Uma possível
fraqueza quanto às transformações é simplesmente
automatizar um processo existente sem otimizar o
processo primeiro. A simples aplicação da tecnologia
nunca pode, por si só, melhorar um processo. O mesmo
pode ser inferido quanto à automação de controles.
1.3 O Modelo das Três Linhas
Em 2008–2010, a Federation of the European Risk
Management Associations e a European Confederation
of Institutes of Internal Accounting publicaram uma
declaração de posicionamento sobre as três linhas de
defesa, para melhorar a compreensão da governança,
gerenciamento de riscos e controle, esclarecendo papéis
e deveres. Ela foi criada como orientação para a 8ª
Diretiva da UE Art. 41 2b4. Em 2020, o IIA refinou ‘As Três
Linhas’, que podem ser brevemente descritas a seguir.
O Modelo das Três Linhas ajuda as organizações a
identificar estruturas e processos que melhor auxiliem
no atingimento de seus objetivos e que facilitem
uma forte governança e gerenciamento de riscos.
O modelo aplica-se a todas as organizações e é
otimizado por:
n Adoção de uma abordagem baseada em princípios
e adaptação do modelo para atender aos objetivos
e circunstâncias organizacionais.
n Foco na contribuição do gerenciamento de riscos
para o atingimento dos objetivos e criação de valor,
e para questões de “defesa” e proteção do valor.
n Entendimento claro dos papéis e responsabilidades
representados no modelo e das relações entre eles.
n Implantar medidas para garantir que as atividades
e os objetivos estejam alinhados com os interesses
prioritários dos stakeholders.
Fonte: IIA (2020)
As Três Linhas estão representadas na figura a seguir
(Figura 1.5).

FIGURA 1.5: Modelo das Três Linhas do IIA

Fonte: IIA 2020

4 A evolução do Modelo das Três Linhas é considerada em Sheen (2020). Um comentário foi fornecido pela ACCA em Ashby et al (2019).

16
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | 1. PROPÓSITO DO CONTROLE INTERNO

Pedimos que os participantes classificassem a eficácia de
cada um dos envolvidos quanto às suas funções (Figura
1.6). Os resultados mostram um padrão amplamente
consistente, com forte suporte a cada um dos elementos
do modelo. No nível regional, houve uma ampla
consistência em relação aos resultados globais.
O Modelo das Três Linhas não sugere dar prioridade
a uma função de negócios em detrimento de outra,
mas, para dar uma noção melhor das áreas nas quais os
participantes geralmente colocam maior ênfase, também
pedimos que classificassem as funções de negócios em
ordem de importância para sua entidade numa escala de
1 a 5, onde 1 representou a mais importante e 5 a menos
importante (Tabela 1.1).
Os resultados mostram que o cumprimento com leis e
regulamentos estatutários é um requisito, no entanto,
há um foco adicional no aumento da integridade
financeira. Os procedimentos de monitoramento
obtiveram a pontuação mais baixa, mas ainda assim foram
considerados relevantes.
Para muitos participantes e entrevistados da mesa
redonda, o custo-benefício do controle interno foi uma
consideração importante. O fato de o controle interno
ser percebido por sua liderança como um custo e não
um benefício, especialmente em ambientes menos
regulamentados, criou muitos desafios. Um chief
financial officer (CFO) dos EUA comentou que educar as
pessoas sobre o propósito e os benefícios era essencial,
acrescentando que ‘isso precisa acontecer desde a
terceira linha de defesa? Ou segunda linha. Você conhece
a primeira linha do negócio e precisa informá-los sobre a
importância de fazer isso e como’.
Um auditor líder do setor de serviços financeiros
comentou: ‘O controle tende a ser a parte chata, porque
consome tempo, é oneroso e [as pessoas] querem
fazer outras coisas menos invasivas, para que possam
ser eficazes em seu dia. A tecnologia é uma forma de
capacitá-los a superar isso’.

FIGURA 1.6: Considerando o Modelo das Três Linhas do The Institute of Internal Auditors (2020), por favor,
classifique a respectiva eficácia de cada linha quanto ao seu papel. (n = 1.956)
Órgão de governança Gestão Auditoria Interna
40%

35%
35%
33% 33%
30% 31%
30%
25% 27%

20%
19%
15% 16%
15%
10%
10%
9%
8%
5%
2%
3% 3%
0%
1 – Altamente ineficaz 2 – Ineficaz 3 – Satisfatória 4 – Eficaz 5 – Altamente eficaz

TABELA 1.1: Por favor, classifique os seguintes elementos das Três Linhas, na ordem de mais importante até
menos importante para sua entidade, onde 1= mais importante; 5 = menos importante. (n = 1.956)

PONTUAÇÃO MÉDIA

Estabelecer procedimentos de monitoramento 3,43

Garantir o cumprimento das leis e regulamentos estatutários 2,49

Aumentar a confiabilidade e integridade financeira 2,85

Ajudar a proteger ativos e reduzir a possibilidade de fraude 3,06

Melhorar a eficiência nas operações 3,11

17
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | 1. PROPÓSITO DO CONTROLE INTERNO

UMA POSSÍVEL
FRAQUEZA
QUANTO ÀS
TRANSFORMAÇÕES
É SIMPLESMENTE
AUTOMATIZAR
UM PROCESSO
EXISTENTE SEM
OTIMIZAR O
PROCESSO PRIMEIRO.

18
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | 2. DESAFIOS E OPORTUNIDADES ATUAIS

2. Desafios e
oportunidades atuais
‘DEVEMOS SER CAPAZES DE ENTENDER O QUÃO ABRANGENTES NOSSOS
CONTROLES PRECISAM SER. DEVEMOS IMPLANTAR MONITORAMENTO E
ANÁLISE CONTÍNUOS. DEVEMOS AUTOMATIZAR O MÁXIMO POSSÍVEL.’
CHIEF AUDIT EXECUTIVE PARTICIPANTE DA MESA REDONDA DO CARIBE

2.1 Impacto da transformação rapidamente os desafios atuais. O ciclo contínuo de

As entidades passaram por uma quantidade significativa
de disrupção nos últimos dois anos. A pandemia criou
muitos desafios e, em muitos casos, forçou mudanças
necessárias nos modelos de negócios. Há muitas formas
de visualizar a transformação nas entidades e a ACCA
(ACCA / CA ANZ / Generation CFO 2021), o IIA (IAF /
Auditboard 2020) e o IMA (Jiles 2021) exploraram esse
tópico em seus trabalhos de pesquisa. Esses relatórios
enfatizam a natureza contínua da transformação das
entidades e a necessidade de garantir que elas possam
se beneficiar de abordagens ágeis, para enfrentar
transformação abrange a aplicação de tecnologias e
abordagens baseadas em dados, aceitando que nenhuma
delas pode ser o principal driver da transformação em si.
O controle interno, assim como as próprias entidades
e seus objetivos transformacionais, está sujeito a uma
complexa rede de drivers de mudança (Figura 2.1).
Embora cada um deles, individualmente, possa ter um
impacto substancial, quando em conjunto, representam
um período de turbulência para a maioria das entidades.
Este é um momento em que os riscos são altos e a
necessidade de controles eficazes é fundamental.

FIGURA 2.1: Drivers de mudança que potencialmente causam disrupção no controle interno

Geopolítico Clima

Cadeia de Pressões
suprimentos econômicas

Regulamentos Dados

Padrões do Tecnologia
consumidor

19
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | 2. DESAFIOS E OPORTUNIDADES ATUAIS

Este relatório aborda o impacto dessas atividades de
transformação nos controles internos das entidades.
Como referência, foi importante entender a amplitude
das atividades transformacionais nas entidades dos
participantes (Figura 2.2).
Na maioria dos casos, os participantes tinham alguma
forma de atividade transformacional em andamento
ou planejada. Para quase um quarto dos entrevistados,
sua jornada de transformação da contabilidade havia
começado quatro ou mais anos antes, enquanto apenas
16% não tinham qualquer atividade planejada ou não
tinham ciência de alguma. Esses resultados reforçam
a mudança que as entidades estão realizando para se
manter relevantes.
Qualquer transformação é composta por vários
elementos: pessoas, processos, dados e tecnologia. As
definições de controle interno refletem uma amplitude
semelhante e, portanto, é inevitável que o próprio
ambiente de controle interno de uma entidade seja
mudado por essas atividades transformacionais.
Os participantes da pesquisa responderam como
consideravam que o risco de controle interno pode ter
mudado, devido a essas atividades de transformação
(Figura 2.3).
Os resultados mostram que 36% globalmente
afirmaram que a transformação diminuiu ou diminuiu
significativamente o risco de controle interno em suas
entidades, embora 34% afirmem que aumentou ou
aumentou significativamente o risco. Em parte, esse
equilíbrio pode ser devido a outros fatores, como o nível
de compreensão das tecnologias implantadas e o impacto
das mudanças nas formas de trabalho e na eficácia das
atividades de gestão de mudanças. Transformações são
desafiadoras. Ter um alinhamento claro com os objetivos
estratégicos da entidade e comunicar a mudança de
forma eficaz são essenciais para o sucesso de qualquer
atividade desse tipo. Permitir o impacto dessas atividades
no ambiente de controle pode ser um desafio.

FIGURA 2.2: Por favor, indique se alguma atividade de transformação ocorreu, ou está planejada, nas
seguintes áreas de sua entidade. (n = 1.956)
+4 anos atrás 1 a 3 anos atrás Em progresso/contínua Planejada para os próx 3 anos Nenhuma planejada Não se aplica Não sei

Contabilidade 23% 11% 41% 6% 9% 2% 8%

Conformidade 17% 11% 47% 6% 8% 2% 9%

E-Commerce 8% 10% 27% 8% 14% 21% 12%

Reporte financeiro (não Sarbanes–Oxley) 16% 9% 36% 5% 13% 9% 12%

Reporte financeiro (Sarbanes–Oxley) 11% 5% 17% 4% 15% 37% 11%

Tecnologia da informação 16% 11% 52% 8% 5% 2% 6%

Auditoria interna 18% 11% 35% 7% 15% 6% 8%

Marketing 12% 10% 33% 6% 12% 12% 15%

Reporte não-financeiro 12% 9% 35% 9% 16% 7% 12%

Redução do risco de fraude 15% 12% 43% 6% 13% 3% 8%

Riscos 14% 11% 47% 7% 10% 2% 9%

Website 18% 14% 35% 6% 11% 5% 11%

0% 20% 40% 60% 80% 100%

FIGURA 2.3: No geral, por fim, o risco de controle interno aumentou, diminuiu ou permaneceu, por conta das
atividades de transformação? (n = 1.833)

Aumentou significativ. 8%

Aumentou 26%

Permaneceu 21%

Diminuiu 29%

Diminuiu significativ. 7%

Não sei 6%

Não se aplica 3%

0% 5% 10% 15% 20% 25% 30%

20
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | 2. DESAFIOS E OPORTUNIDADES ATUAIS

Uma análise das diferenças do impacto final no risco
de transformação do controle interno entre diferentes
regiões mostra algumas variações (Figura 2.4).
A natureza das variações pode, em parte, ser devida
às diferentes atitudes culturais em relação ao controle
interno, quanto a se ele é visto principalmente como
uma atividade voltada para a conformidade ou voltada
para a eficácia. A própria natureza das transformações
e a natureza diversificada dos ambientes de negócios
também serão fatores contribuintes.
Os participantes consideraram a eficácia geral do controle
interno durante um processo de transformação (Figura 2.5).
A partir dos resultados, pode-se ver que os participantes
reportaram que houve uma mudança na percepção geral
da eficácia do controle interno, por causa das atividades
transformacionais que suas entidades realizaram. Embora
isso possa ser antecipado e, de fato, um resultado
que indicasse o contrário seria um resultado notável,
os participantes da mesa redonda e os entrevistados
refletiram sobre vários desafios, conforme descrito na
seção 3.5.

FIGURA 2.4: No geral, por fim, o risco de controle interno aumentou, diminuiu ou permaneceu, por conta das
atividades de transformação? Análise por região. (n = 1.833)
Redução líquida do risco Aumento líquido do risco
60%

Sul da Ásia
50%
África

Oriente Médio
40% Europa Central e Oriental Caribe
Ásia-Pacífico

Ásia-Pacífico Europa Ocidental

Sul da Ásia África
Oriente Médio
30% América do Norte
Europa Central e Oriental
América do Norte
Caribe
Europa Ocidental

20%

10%

0%
0 1 2 3 4 5 6 7 8 9

FIGURA 2.5: Como você classificaria a eficácia geral do framework de controle interno em sua entidade, ao
longo do processo de transformação? (n = 1.833)
Pré-transformação Agora Pós-transformação
50%

43%
40%
40%

35%
33%
30%

23%
20% 21% 21%
18%

10%
10% 9% 9%
6% 3% 7%
2% 2% 5% 5% 2% 2%
4%
0%
Altamente ineficaz Ineficaz Satisfatória Eficaz Altamente eficaz Não se aplica Não sei

21
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | 2. DESAFIOS E OPORTUNIDADES ATUAIS

Uma análise mais aprofundada dos resultados enfoca a Uma pergunta adicional (Figura 2.6) pedia aos
mudança reportada pelos participantes em um cenário participantes que considerassem a extensão do esforço
pré-transformação em relação aos participantes em um necessário para melhorar os controles internos por
cenário pós-transformação (Tabela 2.1). causa das atividades de transformação. Como pode ser
visto na figura, em todas as áreas, foi necessário algum
Os resultados da pesquisa sugerem que a percepção geral esforço. Por exemplo, para a contabilidade, 33% dos
é que as atividades transformacionais têm um benefício participantes reportaram que foi necessário um esforço
positivo no ambiente de controle interno, pois o número significativo e outros 49% consideraram necessário algum
daqueles que as avaliam como altamente ineficazes diminui esforço. Marketing (19%) foi a área avaliada como menos
por causa da atividade; enquanto o número que as vê significativa.
como eficazes aumenta.

TABELA 2.1: Comparação das avaliações de eficácia pré e pós-transformação

(Para interpretar esta tabela, como exemplo, 7% daqueles que classificaram seu framework de controle interno como
altamente eficaz pré-transformação não sabem sua avaliação pós-transformação; enquanto 68% daqueles que classificaram
o framework de controle pré-transformação como altamente eficaz deram a mesma classificação pós-transformação).

PRÉ-TRANSFORMAÇÃO REALOCADA À CLASSIFICAÇÃO PÓS-TRANSFORMAÇÃO

Altamente ineficaz Ineficaz Satisfatória Eficaz Altamente eficaz
PÓS-TRANSFORMAÇÃO

Altamente ineficaz 20% 2% 1% 1% 0%

Ineficaz 15% 14% 1% 1% 2%
Satisfatória 24% 26% 32% 10% 8%
Eficaz 21% 36% 32% 51% 13%
Altamente eficaz 8% 10% 23% 29% 68%
Não se aplica 7% 9% 4% 2% 2%
Não sei 5% 3% 7% 6% 7%

FIGURA 2.6: Quanto esforço (tempo e complexidade) foi necessário para atualizar os controles internos em
resposta às atividades de transformação em cada uma das áreas a seguir?
Esforço significativo Algum esforço Nenhum esforço / nenhuma mudança necessária Não se aplica Não sei

Tecnologia da informação 52% 35% 5% 2% 6%

Risco 43% 46% 6% 1% 4%

Conformidade 36% 50% 9% 1% 4%

Redução do risco de fraude 35% 49% 11% 1% 4%

E-Commerce 34% 43% 10% 4% 9%

Contabilidade 33% 49% 13% 1% 4%

Reporte financeiro (Sarbanes–Oxley) 33% 46% 12% 5% 4%

Auditoria interna 32% 52% 11% 2%3%

Reporte financeiro (não Sarbanes–Oxley) 27% 45% 11% 12% 5%

Reporte não-financeiro 26% 53% 12% 3% 6%

Website 22% 46% 18% 5% 9%

Marketing 19% 50% 17% 6% 8%

0% 20% 40% 60% 80% 100%

As respostas para cada uma das subperguntas foram as seguintes (n=)

Contabil. Conform. E-commerce Reporte financeiro Reporte financeiro Reporte Redução Tecnologia Audit. Marketing Risco Website
(Sarbanes–Oxley) (que não não- do risco da interna
Sarbanes–Oxley) financeiro de fraude informação

1.469 1.469 874 638 1.206 1.089 1.352 1.551 1.237 1.071 1.410 1.310

22
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | 2. DESAFIOS E OPORTUNIDADES ATUAIS

Os participantes também responderam sobre a extensão
dos desafios na atualização de seus controles internos
(Figura 2.7). Reportaram que cada uma das áreas
sugeridas foi um desafio. A falta de conhecimento
técnico foi reportada como desafiadora ou extremamente
desafiadora por 45% dos entrevistados, enquanto 41%
consideraram que a falta de foco no controle interno
também foi um problema. No sul da Ásia, 57% dos
entrevistados e 54% no Oriente Médio consideraram
a falta de conhecimento técnico um desafio, em
comparação com 35% no Caribe, 38% na Europa
Ocidental e 40% na América do Norte.
Um líder de auditoria interna dos EUA comentou:
‘realmente precisamos voltar [a conversa sobre] controle
para o início: [para] refletir e garantir que seja implantado
sempre que houver um novo processo ou serviço.’
Um chefe executivo de auditoria da África do Sul
comentou: ‘tendemos a ver investimentos em processos
de negócios e investimentos em controle interno como
duas coisas separadas, do ponto de vista tecnológico.
Não os vejo tão separados quanto talvez costumássemos
vê-los tradicionalmente. É mais [uma questão de] como
você está melhorando seu ambiente de processos de
negócios com a tecnologia e como ela funciona? Estamos
pensando o suficiente em melhorar os controles internos
toda vez que fazemos um investimento em tecnologia?’
Um participante da mesa redonda australiana comentou:
‘Como auditores internos, precisamos estar sempre
conscientes, pois [os tecnólogos] geralmente não pensam
do ponto de vista dos controles’.
Operar em um mundo em constante mudança tem outros
impactos que podem afetar o ambiente de controle
interno. O modelo tradicional de planejamento e previsão
tem sido questionado em muitas entidades. A capacidade
de modelar diversos cenários usando dados de muitas
fontes serviu bem aos envolvidos durante a pandemia.5
Classicamente, os ciclos mensais de reporte têm sido uma
área com controles internos muito focados. Embora tenha
havido discussão sobre a otimização de alguns desses
processos (veja Krumwiede 2016), muitas das atividades
tradicionais permanecem, embora em um cronograma
mais curto. Os participantes (Figura 2.8) indicaram que,
por causa da pandemia, os ciclos mensais de reporte, de
fato, continuaram se tornando mais relevantes.

FIGURA 2.7: Até que ponto cada um dos seguintes fatores causou desafios ao atualizar seus controles
internos como resultado de transformação? (n = 1.836)
30%  alta de
F
28% conhecimento de
25% 26% auditoria interna
25% 25%
24%
23%  alta de
F
20% 22% 22% 22%
21% conhecimento
19%
18% técnico
15% 16% 16% 16%
15%  alta de inclusão
F
13% 13% 13%
10% 12% 12% no projeto
11% 11%
10% 10%
 alta de interação
F
5% com a equipe do
projeto
0%
2 3 4 5 – Nem um pouco desafiador  alta de foco no
F
1 – Extremamente desafiador
controle interno

FIGURA 2.8: Conforme muitas entidades buscam uma tomada de decisões mais ‘em tempo real’, como você
consideraria a relevância de ciclos mensais de reporte em comparação com 2019? (n = 1.956)
40%

35%
30%

26%

20%
18%

10%
9%
3% 3% 6%

0%
Diminuiu Diminuiu Permaneceu Aumentou Aumentou Não se aplica Não sei
significativ. significativ.

5 Uma consideração do impacto da pandemia sobre o planejamento e previsão pode ser encontrada em ACCA / PwC (2021).

23
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | 2. DESAFIOS E OPORTUNIDADES ATUAIS

Uma análise regional das respostas a esta pergunta
mostra variação ao comparar o aumento líquido e a
diminuição líquida da relevância (Figura 2.9).
2.2 Adoção da tecnologia
As atividades de transformação de uma entidade têm
impacto nas finanças de várias formas. A realidade da
transformação é que não é uma atividade no nível do
departamento, mas em toda a entidade, com impactos
diversos em diferentes áreas. Os desafios pós-pandemia
para entidades em certas economias podem se refletir
em escassez de talentos, pois os indivíduos buscam
reavaliar suas expectativas quanto à vida. Também com o
crescimento das pressões inflacionárias, os drivers para a
automação aumentam e a capacidade das iniciativas de
transformação para habilitar isso está se tornando cada
vez mais importante.
Foi neste contexto que os participantes avaliaram o
impacto de uma série de tecnologias6 nos controles
internos de suas entidades (Figura 2.10).

FIGURA 2.9: Conforme muitas entidades buscam uma tomada de decisões mais ‘em tempo real’, como você
consideraria a relevância de ciclos mensais de reporte em comparação com 2019? Análise por região (n=1.956)
Redução líquida Aumento líquido
80%

70% Oriente Médio

Sul da Ásia
África Caribe
60%

50% Ásia-Pacífico

Europa Central e Oriental Europa Ocidental

América do Norte
40%

30%

20%
Europa Central e Oriental África
Ásia-Pacífico Europa Ocidental
América do Norte
10% Oriente Médio
Sul da Ásia Caribe

0%
0 1 2 3 4 5 6 7 8 9

FIGURA 2.10: Como você avaliaria o impacto das seguintes tecnologias nos controles internos de sua
entidade? (n = 1.956)
Não se aplica Não sei 1 – Deteriorou significativ. 2 – Deteriorou 3 – Sem impacto 4 – Melhorou 5 – Melhorou significativ.

Aplicativos baseados na nuvem 14% 9% 2% 4% 11% 40% 20%

Análise de dados 12% 8% 2% 3% 10% 45% 20%

Automação de Processos Analíticos 22% 13% 1%3% 12% 36% 13%

Mineração de dados 24% 14% 1% 4% 12% 33% 12%

RPA / IA 36% 12% 2%3% 13% 24% 11%

Uso de APIs 25% 18% 2% 3% 12% 30% 10%

Inteligência artificial 35% 13% 2% 3% 14% 24% 9%

Machine Learning 34% 15% 1% 3% 14% 25% 8%

Mineração de processos 28% 17% 1%3% 15% 28% 8%

RFID (Identif. por Radiofrequência) 43% 22% 1%2% 14% 13% 5%

0% 20% 40% 60% 80% 100%

6 Explicações de diversos desses termos, assim como outros termos essenciais usados neste relatório, podem ser encontradas no Glossário.

24
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | 2. DESAFIOS E OPORTUNIDADES ATUAIS

Os resultados são variáveis. Em certos casos, ferramentas
como a automação robótica de processos e a automação
inteligente (RPA/AI) não são aplicáveis ou seu impacto
é desconhecido para 48% dos entrevistados, enquanto
34% dos entrevistados consideram que as mesmas
tecnologias melhoraram seus controles internos. Um
padrão semelhante aparece para muitas das tecnologias
mencionadas nesta pergunta. Apenas a análise de
dados e aplicativos baseados na nuvem pontuam
significativamente mais alto, com 65% registrando uma
melhoria ou melhoria significativa devido à análise de
dados e 60% para aplicativos baseados na nuvem. As
grandes diferenças nas respostas sobre tecnologias
específicas revelam os diversos estágios de exposição
e implantação de cada uma delas em iniciativas de
transformação digital. Junto com os comentários dos
participantes da mesa redonda, os resultados da pesquisa
indicam que, para profissionais de contabilidade,
finanças e auditoria interna, ainda há uma jornada para
entender e aplicar a tecnologia em nossas entidades.7 As
consequências disso são consideradas mais adiante no
Capítulo 3.
2.3 Fluxos de dados, big data e
monitoramento contínuo
De acordo com uma previsão da Statista em 2021, o
mundo criará 97 zettabytes8 de dados em 2022 e isso
aumentará para 181 zettabytes em 2025 (Statista 2021).
Essa explosão de dados é um aspecto da jornada de
transformação para muitas entidades, pois buscam usar os
dados de forma que lhes permitam entender melhor seus
clientes, entre outras atividades, e simplificar seus
processos. Esse aumento de dados é impulsionado pela
chamada ‘quarta revolução industrial’9 e pelo mundo
conectado. Cada uma dessas atividades pode, em parte,
ser apoiada pelas tecnologias citadas na Figura 2.10.
Os participantes consideraram se esse grande aumento
nos dados disponíveis havia alterado a eficácia dos
controles internos de sua entidade (Figura 2.11).
Entre os participantes, 52% reportaram que o aumento
da disponibilidade de dados ajudou a melhorar a eficácia
do controle interno. Esse nível de melhoria foi maior na
Ásia-Pacífico (57%), Sul da Ásia (60%) e Oriente Médio
(63%), enquanto os números foram menores na Europa
Ocidental (44%) e América do Norte (37%).

FIGURA 2.11: Muitas entidades capturam mais dados do que cinco anos atrás. Grande parte desses dados é
relevante para o reporte financeiro e não-financeiro. Esse aumento no volume de dados impactou a eficácia
dos controles internos? (n = 1.956)
40%
39%

30%

20% 22%

13%
10% 11%
9%

1% 5%
0%
Deteriorou Deteriorou Sem impacto Melhorou Melhorou Não se aplica Não sei
significativ. significativ.

ENTRE OS PARTICIPANTES, 52% REPORTARAM

QUE O AUMENTO DA DISPONIBILIDADE
DE DADOS AJUDOU A MELHORAR A EFICÁCIA
DO CONTROLE INTERNO.

7 As consequências da tecnologia para as habilidades dos profissionais de contabilidade e finanças são discutidas na ACCA (2020).
8 Um zettabyte é um múltiplo da unidade de byte, que mede o armazenamento digital, e é equivalente a 1.000.000.000.000.000.000.000 [1021] bytes.
9 O termo ‘quarta revolução industrial’ foi usado pela primeira vez para um amplo público por Klaus Schwab, em um artigo na revista Foreign Affairs, em 2015 (Schwab 2015).

25
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | 2. DESAFIOS E OPORTUNIDADES ATUAIS

Um dos desafios de tais volumes de dados é que as
técnicas tradicionais de amostragem são desafiadas a
garantir que as conclusões apropriadas sejam tiradas
dos testes – vários participantes da mesa redonda se
referiram a isso. A oportunidade de usar o poder da
computação para revisar constantemente a totalidade
de uma população, chamada de ‘monitoramento
contínuo’, pode oferecer vantagens no monitoramento
do controle interno. Dos participantes, 28% já estavam
usando essa técnica e outros 36% a consideravam (Figura
2.12). As consequências do monitoramento contínuo são
consideradas no Capítulo 3.
2.4 Evolução das formas de trabalhar
Mudanças transformacionais não estão relacionadas
apenas a tecnologia e dados. Muitas vezes, são mudanças
fundamentais nas formas de trabalhar. Uma lição da
pandemia é que as entidades que administraram os
desafios de forma mais eficaz são aquelas que adotaram
culturas colaborativas e inovadoras.
Outro aspecto foi a mudança para o trabalho híbrido,
observada em muitas entidades, especialmente para
funcionários mais baseados em escritórios. No início da
pandemia, o impacto do trabalho doméstico ou híbrido
no ambiente de controle interno foi questionado. Seria
robusto? Embora tenha havido desafios (e alguns deles
e suas consequências de controle serão explorados
no Capítulo 3), os participantes consideraram que, em
geral, a eficácia dos controles aumentou ou permaneceu,
com apenas 31% reportando que diminuiu ou diminuiu
significativamente (Figura 2.13). No entanto, enquanto na
Ásia-Pacífico (30%), Sul da Ásia (33%) e Europa Ocidental
(25%) houve uma impressão de que os controles tinham
melhorado, apenas 15% dos entrevistados na América do
Norte consideraram que esse foi o caso.
Um participante da mesa redonda da Turquia comentou:
‘trabalhar em casa, em vez de no escritório, não traria
grandes mudanças do ponto de vista do controle. Acho
que a avaliação pode ser diferente, porque tudo depende
de quão bem o ambiente de controle está estruturado. Se
você tem muito mais controles automatizados em vigor do
que controles manuais, e se seus sistemas estão
integrados, trabalhar de qualquer lugar não tem nada a ver
com o ambiente de controle’.

FIGURA 2.12: Com a crescente disponibilidade de Big Data, sua entidade está considerando o uso, ou está
usando técnicas de auditoria contínua e/ou monitoramento como parte de seus controles internos? (n = 1.956)
40%

36%

30%
28%

20%
20%

10%
10%

6%

0%
Sim – já estamos usando Sim – estamos considerando Não Não se aplica Não sei

FIGURA 2.13: Como você avaliaria o impacto do trabalho remoto / híbrido sobre a eficácia dos controles
internos? (n = 1.956)
40%

30% 32%

24%
20%
20%

10%
8%
7%
5% 4%
0%
Diminuiu Diminuiu Permaneceu Aumentou Aumentou Não se aplica Não sei
significativ. significativ.

26
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | 2. DESAFIOS E OPORTUNIDADES ATUAIS

Trabalhar em casa aumentou o perfil de risco para muitas
entidades em relação à perda de propriedade intelectual.
Estudos mostram um aumento no alcance de ataques de
phishing, por exemplo, desde o início da pandemia. A
VentureBeat faz referência a um estudo da SonicWall que
sugere um aumento de 231% nos ataques de phishing
desde o início da pandemia até o fim de 2021 (Alspach
2022). A proteção cibernética está se movendo em direção
a um modelo Zero Trust (conforme discutido em ACCA
/ Chartered Accountants Australia and New Zealand /
Macquarie University 2019), que define o perímetro da
ciberameaça de forma diferente. O uso de técnicas como o
Zero Trust Model ajuda a redefinir o perfil de risco.
2.5 Reporte não-financeiro
A consideração final da pesquisa foi se os participantes
acreditavam que os controles internos deveriam ser
estendidos para informações não financeiras e para o
reporte relacionado aos objetivos de ESG (Figura 2.14).
No geral, 80% dos participantes concordaram ou
concordaram fortemente com essa afirmação. Este
resultado mostrou apenas uma variação regional
marginal.
Em fevereiro de 2022, o Conselho do COSO aprovou um
estudo de pesquisa para demonstrar como o controle
interno eficaz sobre o reporte de sustentabilidade pode
ser alcançado por meio da aplicação do Internal Control
Integrated Framework de 2013.10 É muito importante
para os investidores e outros stakeholders que haja
confiabilidade e confiança nas divulgações de ESG/
sustentabilidade, como aquelas sobre risco climático,
emissões de carbono, cibersegurança, inovação e
capital humano. Esses dados, reporte e análises são
diferentes dos dados financeiros, porque tendem a
ser mais desestruturados, qualitativos e estimados a
partir de diferentes fontes. A governança, qualidade,
modelagem e análise dos dados são extremamente
importantes.

FIGURA 2.14: Até que ponto você concorda ou discorda que há uma necessidade de aplicar o framework de
controle interno ao reporte não-financeiro e de ESG? (n = 1.956)
50%

44%
40%

36%
30%

20%

10% 11%
3% 3% 3%
0%
Discordo fortemente Discordo Não concordo Concordo Concordo fortemente Não sei
nem discordo

NO GERAL, 80% DOS PARTICIPANTES CONCORDARAM

OU CONCORDARAM FORTEMENTE QUE HÁ UMA
NECESSIDADE DE APLICAR O FRAMEWORK DE
CONTROLE AO REPORTE NÃO-FINANCEIRO E DE ESG.

10 COSO (2022)

27
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | 2. DESAFIOS E OPORTUNIDADES ATUAIS

A MENOS QUE MUDEMOS NOSSA

ABORDAGEM À IDENTIFICAÇÃO DE
RISCOS E À METODOLOGIA DO PONTO
DE VISTA DO CONTROLE INTERNO,
ACREDITO QUE AS ABORDAGENS
TRADICIONAIS NÃO SERÃO MAIS
RELEVANTES.

28
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | 3. EVOLUINDO NOSSA MENTALIDADE
3. Evoluindo nossa
mentalidade
‘A MUDANÇA ESTÁ CHEGANDO EM UMA VELOCIDADE MAIOR E
COM IMPACTO MAIS SIGNIFICATIVO DO QUE NUNCA. A TECNOLOGIA
QUE ESTAMOS USANDO E OS RISCOS E REQUISITOS ENFRENTADOS,
PRINCIPALMENTE POR PARTE DOS REGULADORES, ESTÃO CRESCENDO.’
CONSULTOR DE AUDITORIA INTERNA NA MESA REDONDA DO REINO UNIDO E IRLANDA
3.1 Traçando o caminho à frente
Tendo considerado a posição atual através dos resultados
da pesquisa e avaliado as percepções dos entrevistados
e participantes da mesa redonda, é importante traçar
um caminho para o controle interno, dadas as influências
sobre ele. Neste capítulo, são explorados vários dos
drivers. Avançar requer ação – os pontos de ação
sugeridos são destacados com um ícone ‘!’. A discussão
se desenvolve em torno de vários fatores (Figura 3.1).
Compreender o perfil de risco é essencial. Os controles
monitoram os riscos e esse vínculo na entidade
transformada continua sendo essencial (conforme
discutido na seção 3.9). A automação dos controles,
incluindo o uso do machine learning e outras técnicas,
FIGURA 3.1: Traçando o caminho à frente
Evolução da
Entidade ágil Reporte não-
tecnologia
financeiro
e dos dados
CONSEQUÊNCIAS PARA O CONTROLE INTERNO
Habilidades Tempo real Governança
dos dados
Estratégia e cultura
29
exige que isso esteja em vigor. Isso, por sua vez,
deve se integrar à plataforma de governança, risco
e conformidade (GRC) que faz parte da arquitetura
tecnológica geral (ver seção 3.5).
3.2 Evolução da tecnologia e dos dados
Não há como escapar do fato de que a tecnologia e os
dados estão mudando o cenário dos negócios. Antes
da pandemia, as entidades focavam cada vez mais em
entender como criar valor e insights a partir dos dados à
sua disposição e atingir esses objetivos. A ideia de que
a pandemia acelerou a taxa de adoção da tecnologia foi
amplamente aceita pelos participantes e entrevistados da
mesa redonda. A expressão ‘cinco anos em cinco meses’
tem sido frequentemente usada como mantra para essa
aceleração tecnológica. Um sócio de uma empresa de
contabilidade na Índia comentou que, ‘quer se queira ou
não, a tecnologia dominou as operações de negócios nos
últimos 10 a 20 anos. Eu diria mais nos últimos dois anos.
O impacto pós-COVID da tecnologia foi bastante forte e,
mesmo onde as pessoas estavam relutantes em aceitar a
mudança, foram forçadas a tal’. Ele acrescentou que, em
sua opinião, ‘a menos que mudemos nossa abordagem
à identificação de riscos e à metodologia do ponto de
vista do controle interno, acredito que as abordagens
tradicionais não serão mais relevantes’. Na visão de
um chefe executivo de auditoria dos EUA, ‘o que está
acontecendo no mundo da auditoria é [que] os processos
de negócios estão se movendo, mas a função de auditoria
não está se movendo tão rapidamente’.
Conforme demonstrado pelos resultados da pesquisa na
Figura 2.13, a percepção inicial de que a mudança na
forma de trabalhar poderia resultar no enfraquecimento
do ambiente de controle interno pode não ter ocorrido.
Um CFO comentou que, para a primeira linha, ‘está se
tornando muito difícil para alguém entender o processo
de ponta a ponta e, se você não está conseguindo
entender o processo, geralmente, a segunda ou terceira
linha enfrentará um desafio ao tentar entender o processo
e, em seguida, tentar ver se os controles estão
funcionando corretamente ou se podemos auditá-los’. Em
sua visão, a natureza dos processos está se tornando mais
fragmentada e informal. Da perspectiva da primeira linha,
é mais desafiador obter a visão de ponta a ponta.
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | 3. EVOLUINDO NOSSA MENTALIDADE
Entre muitos dos participantes da mesa redonda, havia a
opinião de que a informalidade das formas de trabalho
exigidas pela pandemia, por exemplo, usando métodos
informais para aprovar transações, como aprovação por
e-mail ou mensagens do WhatsApp, pode ter resultado
na perda do rastro de auditoria. Um entrevistado que
trabalha em um setor regulamentado aceitou que,
embora muitas dessas mudanças sociais tenham chegado
para ficar, visto que as mudanças de estilo de vida entre a
força de trabalho foram aceitas, agora era a hora de as
entidades reavaliarem alguns dos novos processos
‘temporários’ implantados rapidamente no início da
pandemia, que agora se tornaram permanentes e podem
precisar de revisão adicional. Este entrevistado
acrescentou que havia um equilíbrio a ser alcançado,
entre a necessidade do controle e a evolução do
ambiente de trabalho. Havia o risco, em sua visão, de que
um controle só era visto como eficaz quando o indivíduo
estava realizando a tarefa apenas no escritório, o que
pode não ser o caso.
Um chefe executivo de auditoria do Reino Unido tinha
uma perspectiva diferente, comentando que: ‘Não
acho que se trate de mais controle. Acho que é sobre
um controle mais ágil e [avaliar] onde provavelmente
estávamos supercontrolados. Nosso apetite a risco estava
um pouco fora de sintonia’.
CONSIDERAR AS TRANSIÇÕES DE
TECNOLOGIA E DADOS QUE AS ENTIDADES
INTEGRARAM AO MODELO OPERACIONAL E
QUE ESTÃO REPLICANDO NOS CONTROLES
INTERNOS.
FIGURA 3.2: Componentes da ‘Indústria 4.0’
Simulação
Sistemas autônomos
Computação na nuvem
Indústria
4.0
Manufatura aditiva
Realidade
aumentada
11 Como exemplo, o impacto da Indústria 4.0 sobre as Cadeias de Suprimentos é considerada em ACCA / IMA / Chartered Institute of Procurement and Supply (CIPS) (2022).
30
Embora tenha havido uma aceleração do ritmo de
mudança na tecnologia e dados, é improvável que isso
seja o fim da história. O impacto da ‘quarta revolução
industrial’ nas entidades está aumentando, especialmente
porque buscam lidar com o clima econômico que está
surgindo em 2022. Um aumento do uso da automação
no ciclo de produção afetará não apenas as entidades de
manufatura, mas também aquelas em todos os setores,
em todas as áreas de atuação.11
Os componentes dessa revolução, denominada ‘Indústria
4.0’, são mostrados na Figura 3.2.
Quando considerada em combinação com as percepções
dos participantes sobre os impactos tecnológicos no
controle interno (Figura 2.10), sugere que uma proporção
razoável não está ciente dos impactos dessas tecnologias
em suas entidades ou das consequências de controle
interno. Ficar parado não é uma opção, nem ‘auditar
ao redor da caixa’ (isto é, adotar abordagens novas/
não convencionais). Os envolvidos no controle interno
precisam estar mais conscientes desses drivers de
tecnologia e dados.
Um participante da mesa redonda australiana comentou:
‘a velocidade com que [a mudança tecnológica] está
chegando é cada vez mais rápida do que vimos antes. A
forte dependência da tecnologia também está ficando
cada vez mais pesada, conforme avançamos. O desafio
para o nosso ambiente de controle interno... [é] lidar com
isso em qualquer situação que olharmos’. Relacionando
isso ao número de participantes que não entenderam o
impacto das tecnologias emergentes em relação ao
controle interno, conforme o uso de uma variedade de
tecnologias aumenta, a lacuna potencial aumenta.
Integração vertical e horizontal
Internet of Things (IoT)
Cibersegurança
Big data
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | 3. EVOLUINDO NOSSA MENTALIDADE
CERTIFICAR-SE DE ENTENDER A TECNOLOGIA
E OS DRIVERS DE DADOS NO MODELO
OPERACIONAL DA ENTIDADE. CERTIFICAR-SE
DE ESTAR FAMILIARIZADO COM O USO DE
TECNOLOGIAS EMERGENTES.
MAPEAR O USO DE TECNOLOGIAS
EMERGENTES PARA CONTROLES INTERNOS
E IDENTIFICAR OPORTUNIDADES PARA
AUMENTAR A EFICÁCIA DO CONTROLE.
Um participante sul-africano da mesa redonda levou a
discussão adiante. ‘A quinta revolução industrial terá
humanos e máquinas coexistindo juntos, nos dando a
oportunidade de mudar a mentalidade, mudar a cultura.
Podemos usar a tecnologia para garantir que tenhamos
eficiência operacional’.
3.3 A entidade ágil
Os drivers econômicos para 2022 e além provavelmente
significarão que as entidades precisarão ser ágeis
na adaptação de seus modelos operacionais.
Agilidade significa que é necessário atualizar e mudar
constantemente o modelo de operação, para poder
explorar as oportunidades e gerir as limitações da
conjuntura econômica. Isso significa que os controles
internos precisam ser adaptativos e dinâmicos. Os
resultados da pesquisa sugerem que as considerações
de controle interno continuam sendo uma possível
reflexão tardia no processo de transformação (Figura
2.7). Conforme as entidades migram cada vez mais para
a tecnologia baseada na nuvem e arquiteturas de dados
construídas em torno de aplicativos ‘best of breed’, a
FIGURA 3.3: O ‘Núcleo Digital’
Colaboração
e inovação
Núcleo digital
IoT e dispositivos
conectados
Análise de dados
e insights
12 Os termos ‘cascata’ e ‘ágil’ são definidos no Glossário.
necessidade de explorar essa agilidade aumentará.
O conceito de ‘Núcleo Digital’ (Figura 3.3) facilita esse
rápido senso de mudança (consulte ACCA / CA ANZ /
Generation CFO 2021).
É importante que os responsáveis pelo controle interno,
em todos os níveis de operação dentro do Modelo
das Três Linhas, assegurem que essas considerações
sejam incluídas nas equipes de projeto responsáveis por
conduzir essas mudanças ágeis. Frequentemente, essas
equipes são criadas para atividades de curto prazo e
são retiradas com a mesma rapidez. Não é possível fazer
alterações para acomodar considerações de controle
interno como uma reflexão tardia, como foi destacado por
vários participantes da mesa redonda e confirmado por
suas experiências. A mentalidade dos responsáveis pelo
controle interno precisa mudar de uma abordagem de
‘cascata’ para uma abordagem ‘ágil’12 e proatividade em
se envolver, em vez de esperar ser convidado.
RECONHECER QUE OS AVANÇOS DE
MODELOS OPERACIONAIS SÃO CADA VEZ
MAIS PROPENSOS A SEREM CONDUZIDOS
DE FORMA ÁGIL E GARANTIR QUE OS
RESPONSÁVEIS PELO CONTROLE INTERNO
EM TODOS OS NÍVEIS DO MODELO DAS TRÊS
LINHAS ESTEJAM PREPARADOS PARA SE
ENVOLVER DEVIDAMENTE.
Conforme a amplitude do controle interno aumenta,
incluindo mais aspectos não financeiros e financeiros
da entidade, há também a necessidade de uma visão
integrada dos dados de riscos. Embora, como McPherson
et all apontam, isso ‘leve a dados de risco fragmentados,
desalinhados e dispersos em silos organizacionais, o
Envolvimento da
força de trabalho
Experiência do
consumidor
Redes sociais
GRC Finanças e operações
31
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | 3. EVOLUINDO NOSSA MENTALIDADE
que impede os líderes de obter a visão panorâmica
necessária do cenário de risco para que ajam com ousadia
e propósito’ (McPherson et al 2022). Essa progressão do
controle interno exige a adoção de soluções de GRC
eficazes e eficientes.
IMPLANTAR UMA SOLUÇÃO DE GRC QUE
ABORDE TODOS OS ELEMENTOS DE RISCO E
CONTROLE INTERNO EM TODA A ENTIDADE.
Vários participantes da mesa redonda destacaram os
desafios da migração de dados, conforme as entidades
fazem a transição para o núcleo digital. Embora a
migração de dados nunca possa ser ignorada, são as
mudanças inerentes ao uso de TI introduzidas por esse
modelo operacional que devem ser consideradas. As
soluções baseadas na nuvem exigem uma abordagem
diferente para o aprimoramento de aplicativos. As
mudanças são liberadas pelos fornecedores de acordo
com seus próprios cronogramas e os modelos
operacionais precisam se adaptar. A visão tradicional dos
controles gerais de TI não se aplica. Nos modelos
operacionais tecnológicos tradicionais, as entidades
competiam na modificação do aplicativo, para adequá-lo
ao seu próprio modelo operacional. No mundo baseado
na nuvem, os modelos operacionais precisam se adaptar
ao modelo definido pelo fornecedor e o cenário
competitivo mudou, pois as entidades competem para
obter insights a partir dos dados disponíveis. Os controles
internos precisam ser adaptados para refletir essa
mudança de modelo, com foco nos diferentes perfis de
risco operacional. Um CFO no Oriente Médio comentou
que: ‘o maior desafio é somente por conta da tecnologia
evoluir tão rápido: uma vez que você cria um controle, de
repente esse controle não é mais relevante e, em alguns
casos, os controles deixam de ser comercialmente viáveis’,
observando que, em sua organização, não há exigência
legislativa ou regulatória para a implantação de tal ambiente.
RECONFIGURAR O MODELO DE RISCO, PARA
REFLETIR AS PRÁTICAS TECNOLÓGICAS
ALTERADAS QUE SURGEM DA ADOÇÃO DE
APLICATIVOS BASEADOS NA NUVEM. ENTENDER
A NATUREZA DIFERENTE DA TECNOLOGIA E DO
RELACIONAMENTO COM O FORNECEDOR.
Embora essa abordagem possa ser relativamente fácil
de adotar para entidades maiores, para as de médio
porte, onde o controle interno é igualmente importante,
a adoção de novas tecnologias pode ser limitada pela
disponibilidade de fundos e pela falta de capacidade
técnica para implantar as mudanças necessárias, tanto na
tecnologia quanto no controle interno. Isso, por si só, é
uma barreira que essas entidades precisam superar, ou
perderão a vantagem competitiva.
13 SOC 2 é a norma de conformidade voluntária do AICPA para organizações de serviços.
32
Em julho de 2021, o COSO publicou um guia, Enterprise
Risk Management for Cloud Computing (Grob e Cheng
2021), que fornece uma perspectiva sobre essa área. Isso
estende os 17 princípios (consulte a seção 1.1, Figura 1.2)
para um cenário baseado na nuvem, fornece um roteiro
para implantar a computação na nuvem e descreve os
devidos papéis e responsabilidades.
A importância do reporte SOC 2 para prestadores de
serviços na nuvem foi enfatizada por muitos participantes
da mesa redonda.13 Entender quais riscos essa entidade
precisa gerenciar na interação com um prestador de
serviços é essencial. Uma das lições aprendidas pelas
entidades na década de 1990, durante a rodada inicial
de terceirização de TI, foi que você não pode revogar
a responsabilidade pelo risco e, na verdade, é preciso
tanto esforço para gerenciar o relacionamento com o
prestador de serviços quanto para executar a operação de
TI internamente. O que muda é o perfil de risco. A mesma
mensagem permanece verdadeira hoje, com a iteração de
aplicativos baseados na nuvem.
Um chefe executivo de auditoria dos EUA comentou: ‘[as
entidades tradicionalmente] têm seu próprio conjunto
de controles sobre os controles de gestão de acesso,
seus próprios controles de governança e de gestão
de mudanças. E estamos vendo [entidades], incluindo
departamentos de TI, tornando-se mais dependentes do
framework de controle [do provedor de nuvem]. [Como
auditores,] estamos questionando se está tudo bem.
Sabemos que é uma grande empresa e serviço, mas o
quanto vamos confiar em seu framework, seus controles e
suas estruturas e dizer que estamos bem com isso?’
RECONHECER AS CONSIDERAÇÕES DE
CONTROLE INTERNO DECORRENTES DO PERFIL
ALTERADO DE RISCO EM QUALQUER CENÁRIO
BASEADO NA NUVEM. RECONHECER QUE
OS CONTROLES GERAIS DE TECNOLOGIA DA
INFORMAÇÃO TRADICIONAIS (ITGCS) MUDARAM.
Os aplicativos baseados na nuvem oferecem acessibilidade
ao usuário final, seja ele um cliente ou um membro da
equipe, vendedor ou fornecedor. Muitas vezes, a captação
de dados é via dispositivo móvel e ocorre próximo ao
momento da transação. O controle interno abordado por
revisões periódicas detectivas está muito afastado do início
da transação. A transação já passou. O uso de controles
automatizados com base nos parâmetros matemáticos do
sistema ou do modelo fornece um feedback mais relevante.
INCORPORAR CONTROLES INTERNOS
AUTOMATIZADOS E BASEADOS EM PARÂMETROS
EM APLICATIVOS BASEADOS NA NUVEM,
ESPECIALMENTE NO PONTO DE INICIAÇÃO.
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | 3. EVOLUINDO NOSSA MENTALIDADE
Em fevereiro de 2022, o COSO publicou orientações
sobre a aplicação de metodologias ágeis ao controle
interno (Walker 2022). A orientação descreve como uma
abordagem de gerenciamento de riscos corporativos
(ERM) pode ser adotada em um ambiente de negócios
ágil. A orientação faz 20 recomendações para fortalecer o
ERM em um ambiente ágil.
3.4 Considerações de reporte não-
financeiro
O perfil de reporte das entidades está mudando. Os
stakeholders estão exigindo uma visão mais ampla
do desempenho, incluindo considerações de ESG;
na verdade, a própria gama de stakeholders está
aumentando. Em março de 2022, a SEC dos EUA publicou
seu rascunho deThe Enhancement and Standardization
of Climate-Related Disclosures for Investors (SEC 2022),
no qual, no parágrafo E, comenta ‘Como parte das
demonstrações financeiras do registrante, as métricas das
demonstrações financeiras estariam sujeitas a auditoria
por uma empresa de contabilidade pública registrada
independente e estão dentro do escopo do controle
interno do registrante sobre reporte financeiro (“ICFR”)’.14
O European Financial Reporting Advisory Group (EFRAG)
também publicou, em março de 2022, um projeto de
orientação sobre reporte de sustentabilidade que
inclui aspectos de controle interno (EFRAG 2022). O
parágrafo 43 sugere que ‘o empreendimento deve
fornecer informações sobre seus processos de controle
interno, inclusive em relação ao processo de reporte de
sustentabilidade’. O parágrafo 44 fornece um comentário
afirmando que ‘o princípio a ser seguido sob este
requisito de divulgação é informar sobre os aspectos
relacionados aos fatores de governança que afetam os
processos de controle interno do empreendimento,
inclusive quanto ao reporte de sustentabilidade,
e fornecer uma compreensão da supervisão e do
monitoramento desses processos pelo órgão de
governança do empreendimento’.
Além disso, em março de 2022, o International
Sustainability Standards Board (ISSB) publicou seus
rascunhos de exposição sobre os requisitos gerais de
divulgação relacionados à sustentabilidade (ISSB 2022a),
especificando os requisitos de divulgação relacionados ao
clima (ISSB 2022b). Combinados, delineiam as normas de
reporte interno propostas nesta área.
Independentemente do resultado dessas consultas,
o escopo do reporte e os controles internos exigidos
de entidades maiores serão expandidos, passando a
incluir componentes não financeiros. Isso era claramente
esperado pelos participantes da pesquisa (Figura 2.14).
Muitos dos participantes da mesa redonda também
abordaram esta área. Para muitos, embora já esperassem
incluir dados não financeiros em seu ambiente de controle
interno, também havia a noção de que isso apresenta
desafios que as entidades precisarão enfrentar em breve.
14 SEC (2022) seção E p. 43; referência à seção II F 2 e 3 do mesmo documento.
15 Em fevereiro de 2022, o conselho do COSO aprovou um estudo sobre Sustentabilidade / ESG (COSO 2022), com a intenção de publicar o resultados no fim do ano.
33
Em primeiro lugar, como comentaram os participantes
da mesa redonda e entrevistados, muitas entidades não
coletam hoje toda a gama de dados que podem ser
exigidos por tais divulgações. Muitos dos componentes
de dados estão fora das próprias entidades, em suas
cadeias de suprimentos. Obter e gerir esses dados é
claramente uma questão que precisará ser abordada.
Em segundo lugar, os aplicativos ainda não estão prontos
para gerenciar esses dados. Embora os fornecedores de
software possam desenvolver novos aplicativos, muito do
reporte atual é desenvolvido com aplicativos baseados
no usuário final, como planilhas, já considerados pontos
fracos nos ambientes de controle interno.
Em terceiro lugar, em contraste com os dados de reporte
financeiro, muitos dos dados não financeiros necessários
não são estruturados e são de natureza qualitativa. Isso
apresenta desafios no desenvolvimento de um nível de
avaliação de controle interno sobre os dados. Conforme
discutido na seção 3.8, houve um forte sentimento entre
os participantes da mesa redonda de que é necessário
entender o alinhamento cada vez maior entre a
governança de dados e os objetivos de controle interno.
Esta área é um driver principal.
Um chefe executivo de auditoria da Europa Central e
Oriental observou que: ‘os dados [não financeiros] estão
obviamente localizados principalmente fora dos sistemas
de ERP [planejamento de recursos empresariais]. São
coletados de forma ad hoc, na verdade, apenas quando
necessários para reporte. Dá para imaginar, se [necessário]
compilar manualmente, como é difícil de auditar. É uma
espécie de trabalho criativo e, às vezes, acho que é
apenas uma estimativa grosseira’.
TRABALHAR PARA IDENTIFICAR AS FONTES
DE DADOS RELEVANTES, PARA PERMITIR QUE
A ENTIDADE ATENDA AOS REQUISITOS DE
DIVULGAÇÕES NÃO FINANCEIRAS.
DESENVOLVER UMA ESTRATÉGIA PARA
INTEGRAR OS DADOS NÃO FINANCEIROS
NECESSÁRIOS AO FRAMEWORK DE CONTROLE
INTERNO E ESTAR PREPARADO PARA
DOCUMENTAR CONFORME APROPRIADO.
FAZER CONTATO COM OS RESPONSÁVEIS
PELA GOVERNANÇA DE DADOS, PARA
GARANTIR O ALINHAMENTO ENTRE ESSES
CONJUNTOS DE DADOS.
Um entrevistado com ampla experiência em controle
interno e que presta consultoria a muitas grandes
empresas ponderou se os responsáveis em todo o
Modelo das Três Linhas do IIA estariam prontos para
adotar fluxos de dados de reporte não financeiro em seus
objetivos. ‘Não, não agora, pelo menos’.15
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | 3. EVOLUINDO NOSSA MENTALIDADE
3.5 Detalhes das consequências para o
controle interno
Cada uma das tendências descritas nas seções
anteriores tem uma consequência para o ambiente de
controle interno de uma entidade. Essas consequências
continuarão se expandindo, e a realidade do ambiente em
mudança é algo que as entidades precisam se certificar de
abordar. Esta seção considera algumas das consequências
com mais detalhes e considera várias consequências
tecnológicas e de dados para finanças (Figura 3.4).
Por volta ou por dentro
Uma pergunta clássica de auditoria é se devemos auditar
por volta ou por dentro do computador.16 Você trata
o algoritmo do computador como uma caixa preta?
A dependência substancial das entidades quanto à
TI significa que as tentativas de auditar ‘por volta’ do
computador não refletem como a entidade opera. Existe
um desalinhamento potencial dos perfis de risco. Parte da
discussão nas mesas redondas refletiu que, para muitas
equipes de auditoria interna, ainda havia uma tendência
de auditar ‘por volta’ do computador, simplesmente
pela falta de habilidades (consulte a seção 3.6) ou por
conveniência. Houve um sentimento, em muitas das
discussões, de que as entidades dependiam de controles
manuais e tinham muitos processos manuais duplicados
que faziam parte do framework de controle interno, pois
isso era mais fácil do que entender e implantar controles
automatizados. Como comentou um entrevistado, é mais
fácil documentar e comprovar um controle manual do que
um automatizado.
Ainda assim, para vários participantes da mesa redonda,
houve a aceitação de que, se as entidades desejam
gerenciar com sucesso os volumes cada vez maiores
de dados que suas entidades originam ou precisam
gerenciar17, controles automatizados são essenciais. Um
entrevistado baseado na Índia comentou: ‘Você verifica
uma amostra em um controle automatizado e pronto.
Porque, se funciona em um ponto no tempo, é para
FIGURA 3.4: Tecnologias que afetam as finanças e o controle interno
CONTROLE INTERNO
Soluções Automação Dados e
na nuvem insights
Controles gerais de TI em mudança
Aplicativos tradicionais
16 O termo ‘computador’ refere-se à totalidade de seus aplicativos e hardware.
17 Um exemplo de onde uma entidade pode, cada vez mais, precisar processar e validar informações sobre outras entidades está relacionado à sua habilidade de
abordar as divulgações de cadeia de suprimento propostas pela União Europeia, conforme discutido em ACCA / IMA / CIPS (2022).
34
funcionar sempre [presumindo que a programação esteja
correta]. E você poderia ter cinco amostras. Precisamos
avançar para controles automatizados’.
Um CFO do Reino Unido destacou uma dicotomia. ‘Nós
meio que nos tornamos mais confiantes ou tivemos que
confiar mais na nossa equipe, e isso também é uma
dicotomia com o controle interno, porque, de certa forma,
o controle interno diz: “Não confio em você o suficiente,
portanto, quero proteger você e preciso envolver mais
pessoas neste processo”, e acho que isso pode exigir
certa reflexão’.
Um colaborador da República da Irlanda comentou, ‘as
pessoas não entendem como documentar controles
automatizados ou [sabem] que... controles automatizados
podem economizar muito tempo e podem... aprofundar
em muitos outros riscos do sistema, em vez de voltar a
marcar checklists e controles manuais’.
Um chefe executivo de auditoria europeu alertou que,
conforme as entidades avançam em direção a processos
globais e controles padronizados, pode haver desafios
para entender como são aplicados em locais específicos.
Ele acrescentou, ‘encontrar... o denominador comum que
poderia ser usado para um controle automatizado em
termos de “tamanho único” é difícil’.
REAVALIAR A ABORDAGEM DE CONTROLES
AUTOMATIZADOS DENTRO DA ENTIDADE.
IDENTIFICAR ÁREAS COM CONTROLES
MANUAIS QUE POSSAM DUPLICAR OS
CONTROLES AUTOMATIZADOS E ELIMINÁ-LOS
CONFORME APROPRIADO.
O uso de controles automatizados pode envolver
um elemento de monitoramento contínuo (conforme
discutido na seção 3.7).
Avanços Machine Blockchain
Lo/No code learning
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | 3. EVOLUINDO NOSSA MENTALIDADE
Mudando o ambiente de trabalho
As entidades ainda estão lutando com as mudanças no
local de trabalho que resultaram da pandemia. Mesmo
antes do COVID-19, o modelo de negócios tradicional
baseado na presença física estava sendo substituído
por um baseado na contribuição para a entidade, e essa
tendência se acelerou. Em muitas entidades, tempo e
localização não são mais problemas, valor e eficiência
são os principais drivers. A colaboração é a ordem do
dia, se as entidades quiserem sobreviver em tempos
turbulentos. Vários dos participantes da mesa redonda
questionaram se os controles internos baseados em
procedimentos manuais ou presença física podem ser
considerados eficazes para o futuro. Alguns participantes
da mesa redonda que representavam a comunidade de
auditoria interna comentaram que, em suas revisões de
processos e controles, tinham adotado procedimentos
mais substantivos para compensar parte da informalidade
introduzida pelo trabalho remoto.
Um CFO que contribuiu para este relatório considerou
essas consequências juntamente com as do ambiente
econômico desafiador de 2022, observando que,
conforme os custos [e lucros] das entidades se tornam
mais comprimidos e as formas de trabalhar mais informais:
‘você descobre que tem desafios até mesmo em coisas
básicas como a segregação de deveres. Quando alguém
tira licença, torna-se um desafio muito difícil. Então, você
descobre que os controles podem ser violados’.
Outro CFO comentou sobre as preocupações com a
dispersão de dados por e-mail. Conforme os e-mails de
phishing se tornam mais sofisticados, os riscos aumentam.
A integridade e confidencialidade dos dados não são
mais funções de controles físicos, por exemplo, estar
em um escritório e conectado a uma rede, mas sim
de controles lógicos de autenticação, redes privadas
virtuais e criptografia. Algumas de nossas bases para a
confidencialidade mudaram.
Conforme as formas de trabalhar mudam, precisamos
reavaliar os fundamentos do controle interno, desde a
percepção da presença física da equipe até uma aceitação
mais orientada por valores de como as funções são
desempenhadas. Muitos controles tradicionais (e, talvez,
mais manuais) agora não são mais eficazes. Automação é
uma necessidade.
Avanços para o usuário final
e uso de soluções Lo-code / No-code
A ferramenta tradicional de computação do usuário final
era a planilha. Estudos, como o conduzido pela ACCA
(2020), indicam que, como profissionais de contabilidade
e finanças, continuamos a depender de planilhas e
demoramos a adotar outras formas de ferramentas
analíticas ou de eficiência de processos, como ferramentas
analíticas e RPA (ACCA et al. 2018, ou Jiles 2020). Cada
uma delas é, essencialmente, uma solução desenvolvida
pelo usuário final. Como comentou um chefe executivo
de auditoria, essas soluções desenvolvidas pelo usuário
final precisam estar sujeitas ao mesmo nível de controles
de desenvolvimento que os aplicativos de computação
de usuário final mais tradicionais. No entanto, para que
as entidades sejam ágeis, elas precisam, cada vez mais,
adotar e não evitar essas soluções.
35
ENTENDER O ESCOPO DA COMPUTAÇÃO
DO USUÁRIO FINAL (INCLUINDO O QUE
ESTIVER FORA DA DEFINIÇÃO TRADICIONAL)
E GARANTIR QUE TODOS OS APLICATIVOS
DESENVOLVIDOS E QUE FAÇAM PARTE
DOS CONTROLES INTERNOS TENHAM O
NÍVEL APROPRIADO DE CONTROLES DE
DESENVOLVIMENTO E TESTE APLICADOS A ELES.
Esta é apenas uma etapa da jornada. A entidade
ágil usará cada vez mais soluções que podem ser
desenvolvidas e implantadas rapidamente, muitas
vezes usando ferramentas de desenvolvimento No-
code ou Lo-code para aprimorar o modelo operacional.
Essas soluções são usadas pelo usuário final, não
pelo departamento de TI, e podem ser desenvolvidas
e implantadas rapidamente. Existe o risco de não
reconhecimento formal das considerações de controles
internos em tais cenários, mas são parte fundamental dos
modelos operacionais das entidades, usando ao máximo
o ambiente baseado na nuvem.
RECONHECER QUE A TRANSFORMAÇÃO
ÁGIL EXIGIRÁ CADA VEZ MAIS, PARA GERAR
MELHORIAS NOS PROCESSOS OPERACIONAIS, O
USO DE APLICATIVOS QUE NÃO ESTÃO SUJEITOS
AOS CICLOS DE VIDA DE DESENVOLVIMENTO DE
APLICATIVOS TRADICIONAIS E GARANTIR QUE O
RISCO CONSEQUENTE SEJA TRATADO.
Mesmo na aplicação de tecnologias, a tendência é vê-las
através de uma lente de processo, e não olhar para as
oportunidades de controle que podem apresentar. Como
comentou um entrevistado da Índia, para cada processo
ao qual aplicamos RPA, é possível considerar um método
paralelo baseado em controle. Ele considerou que
não havia ênfase suficiente no uso de RPA para fins de
controle interno.
Controles gerais de TI
A visão tradicional dos controles gerais de TI (ITCGs) é
que aplicam-se a todos os sistemas de computador e ao
ambiente em que operam. Há várias fontes de orientação
nesta área.
n O IIA lançou uma série de Global Technology Audit
Guides que apoiam o entendimento de diversas áreas
relevantes para a auditoria desse ambiente.
n A Information Systems Audit and Control Association
(ISACA) publicou seu framework Control Objectives
for Information Technology (COBIT), que alinha os
objetivos de tecnologia ao framework COSO.
n AXELOS, propriedade conjunta da Capita e do
Gabinete do governo do Reino Unido, tem um
conjunto de normas de TI conhecidas como IT
Infrastructure Library (ITIL).
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | 3. EVOLUINDO NOSSA MENTALIDADE
Cada uma dessas formas de orientação é regularmente
revisada e atualizada. Mesmo assim, a visão tradicional
dos ITGCs, expressa pelos participantes da mesa redonda,
é que são aplicáveis ao ambiente de computação legado.
Com o avanço das tecnologias ‘as-a-service’, as formas
pelas quais as entidades consomem e usam os serviços
de TI estão mudando. Isso apoia o desenvolvimento da
entidade ágil e transformadora. Ao desenvolver controles
internos, é importante entender como o ambiente de TI
está mudando. Como comentou um participante da mesa
redonda da América do Norte, em sua empresa, ‘é quase
cômico que... apliquemos a mesma metodologia de
controles gerais de TI que usávamos há 20 ou 30 anos’.
Como aponta o comentarista Matt Kelly: ‘ITGCs
funcionam fora da vista da maioria dos funcionários,
mas são incrivelmente importantes para segurança,
conformidade e sucesso operacional. O único fato
primordial, no entanto, é que a empresa moderna só
dependerá mais da tecnologia conforme avançamos para
o futuro. Quanto mais forte for sua compreensão sobre
os ITGCs que apoiam seu negócio, melhor sua empresa
será capaz de competir em nosso mundo altamente
regulamentado e altamente arriscado’ (Kelly 2022).
AVALIAR O AMBIENTE DE CONTROLE
GERAL DE TI NO CONTEXTO DO MODELO
OPERACIONAL ATUAL, IDENTIFICANDO ONDE
OS CONTROLES SÃO GERENCIADOS POR
MEIO DE APLICATIVOS BASEADOS NA NUVEM,
EM VEZ DE NO LOCAL, E AS MUDANÇAS
RESULTANTES NOS PERFIS DE RISCO.
Blockchain
As tecnologias Blockchain são frequentemente citadas
como ambientes dos quais os objetivos de controle são
parte integrante. Até o momento, o uso dessa tecnologia
tem sido limitado a certas circunstâncias, como aquelas
em que a proveniência de bens ou dados financeiros é de
importância crítica. Conforme a proveniência se torna um
risco crescente no nível da entidade, por exemplo, para
auxiliar na abordagem dos objetivos de ESG, é provável
que aumente o uso desta e de tecnologias semelhantes.
Avaliar como essa tecnologia pode ajudar a abordar
objetivos de controle definidos com precisão é importante
para as entidades.
Em julho de 2020, o COSO publicou uma orientação
sobre a aplicação do controle interno em um cenário de
blockchain (Burns et al. 2020), no qual os autores avaliam o
impacto potencial do blockchain no controle interno.
Machine learning e inteligência artificial
A inspeção de dados requer cada vez mais a detecção
de padrões aprendidos na prática. Este não é o único
caso do uso de machine learning (ML) e inteligência
artificial (IA) em entidades. Como técnicas de controle,
elas apresentam desafios, pois, conforme os algoritmos
aprendem durante o uso, torna-se desafiador entender se
verdadeiros ou falsos positivos estão sendo detectados
em conjuntos de dados, ou desenvolver projeções mais
36
focadas. Requer uma habilidade profunda, como as de
um auditor de algoritmos, para avaliar sua eficácia. No
entanto, muitos ciclos de planejamento e previsão centrais
aos controles de revisão gerencial estão usando elementos
de ML para melhorar a precisão de suas previsões.
Para os responsáveis pelos controles internos, em
qualquer parte da entidade, um dos ITGCs fundamentais,
a gestão de mudanças, precisa ser aplicado em um
sentido diferente do algoritmo. No ambiente tradicional,
as mudanças foram documentadas e avaliadas. O
ML não cria esse rastro de auditoria. Ele aprende
conforme avança. O potencial de viés em algoritmos
é bem compreendido – ainda não é possível aplicar
procedimentos convencionais de gestão de mudanças.
Existe a tentação de tratar o algoritmo como uma ‘caixa
preta’, no entanto, mesmo isso requer análises habilidosas
dos resultados esperados em relação aos resultados reais.
Mas o ML chegou para ficar e é importante aprimorar
habilidades de acordo.
RECONHECER O PAPEL QUE O MACHINE
LEARNING E A INTELIGÊNCIA ARTIFICIAL PODEM
DESEMPENHAR NO AMBIENTE DE CONTROLE.
Todas essas tendências detalhadas têm consequências
para as habilidades daqueles em cada uma das três linhas.
Em setembro de 2021, o COSO publicou uma orientação
sobre ML e relaciona o framework do COSO ao seu uso
(Calagna et al. 2021). Ela mapeia os 17 princípios para sua
aplicabilidade à IA e seus usos potenciais nas entidades.
3.6 Conjuntos de habilidades
A questão de quais habilidades devem ser desenvolvidas
para permanecer relevante na contabilidade e finanças,
auditoria interna ou outras áreas é frequentemente
levantada. Charlie Wright, presidente do Conselho Global
de 2021–2022 do IIA, em uma discussão sobre as futuras
habilidades do auditor interno, fez o seguinte comentário.
‘Apesar desse potencial, apenas 38% dos chefes
executivos de auditoria ou chefes de auditoria interna
que participaram de um estudo global de outubro de
2020 [conduzido pelo IIA e pela Deloitte] explorando
a competência de auditoria interna disseram que
sentiam que suas funções tinham a capacidade de
auditar mais de três de seis áreas críticas relacionadas
à tecnologia e inovação. Essas áreas incluíam:
n Tecnologias disruptivas
n Nuvem e ambientes de computação virtual
n ERM estendido
n Cibersegurança
n Avaliação dinâmica de riscos
n Continuidade dos negócios e gestão de crises.’
Fonte: Wright 2021
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | 3. EVOLUINDO NOSSA MENTALIDADE

Há uma clara necessidade de desenvolver uma ampla gama A importância do Big Data e do processo de
de habilidades técnicas e de natureza mais interpessoal. transformação exige que cada linha do Modelo das
Três Linhas assegure que a equipe tenha as habilidades
Estudos separados da ACCA (2020 e 2021) e IMA
apropriadas para gerenciar os riscos. Em um momento em
(Krumwiede 2017) concordam com esta análise para
que, para muitas entidades, os recursos são limitados por
todos os profissionais de contabilidade e finanças. diversos motivos, isto representa um desafio significativo,
Essa capacitação pode ser alcançada apenas através mas que não pode ser ignorado.
da aprendizagem contínua, mas não se trata apenas
de aprender habilidades técnicas: o profissional de Um chefe executivo de auditoria de uma empresa
contabilidade, finanças e auditoria interna também precisa multinacional global na Índia comentou que há um
ser um conselheiro confiável.18 nível de expectativa quanto às habilidades necessárias
para oferecer suporte a análises e consultas de dados,
Conforme o controle interno continua se transformando, opinando que as habilidades de planilhas não são mais
os conjuntos de habilidades de seus responsáveis suficientes. ‘Existe agora uma certa quantidade de
precisam se expandir. Um entendimento da tecnologia programação básica esperada. Pelo menos, cada membro
e dos dados não é mais ‘bom ter’, mas sim uma da equipe precisa ser capaz de aplicar certo nível básico
necessidade. O desafio dessa afirmação pode ser visto de programação e, em seguida, procurar um especialista,
refletido nos resultados da pesquisa na Figura 1.4 e 2.7, porque você ainda não é chamado de especialista. Essa é
que indicam o nível de escassez de habilidades e seu a nova realidade de hoje e amanhã, que você precisa ter
impacto no trabalho relacionado a projetos. esse básico. Essas habilidades não são mais vistas como
especializadas.’ O participante apontou que habilidades
de programação agora são tão necessárias quanto as
IDENTIFICAR AS HABILIDADES E RECURSOS habilidades de Excel foram no passado.
NECESSÁRIOS PARA SUSTENTAR A EFICÁCIA DO
Um CFO refletiu sobre o impacto da automação nos
CONTROLE INTERNO EM TODA A ENTIDADE
fluxos de processo e as habilidades que serão necessárias
TRANSFORMADA, INCLUINDO AS HABILIDADES
para um ambiente de controle interno eficaz no futuro.
NECESSÁRIAS PARA ABORDAR OBJETIVOS
‘Há uma incompatibilidade de habilidades: a eficiência
NÃO FINANCEIROS. DESENVOLVER PLANOS
aumentou, no geral, em cargos de nível inferior, liberando
APROPRIADOS DE GESTÃO DE TALENTOS.
capacidade; mas as habilidades de que você precisa estão
em cargos de nível superior. Criou-se espaço, mas há uma
CONSIDERAR SEU PRÓPRIO NÍVEL DE incompatibilidade de habilidades, o que acho que é um
desafio para nós na forma como abordamos o controle’.
TECNOLOGIA E HABILIDADES RELACIONADAS
A DADOS NO CONTEXTO DO CONTROLE Um entrevistado sugeriu o seguinte modelo para
INTERNO E IDENTIFICAR OPORTUNIDADES DE descrever as habilidades necessárias em uma entidade a
DESENVOLVIMENTO RELEVANTES. partir de uma perspectiva de controle interno (Figura 3.5).
Como indica a Figura 3.5, apenas habilidades técnicas não
RECONHECER QUE AS HABILIDADES PRECISAM são mais suficientes. Em um ambiente em transformação,
SER ATUALIZADAS CONTINUAMENTE, TANTO AS é fundamental ter conhecimento operacional robusto da
TECNOLÓGICAS QUANTO AS INTERPESSOAIS E entidade e de sua indústria, bem como competências
DE TINO COMERCIAL. CERTIFICAR-SE DE QUE AS interpessoais para poder comunicar esse conhecimento
INICIATIVAS RELEVANTES ESTEJAM EM VIGOR. de forma eficaz e, assim, estabelecer relações de confiança
com stakeholders em todos os níveis.

FIGURA 3.5: Possível modelo de conjunto de habilidades no contexto do controle interno

Cultura de risco Tecnologia Dados Transformação ESG Agilidade

Conhecimento da entidade e da indústria

Habilidades interpessoais

18 Conceito desenvolvido por Maister et al. em seu livro de 2002, The Trusted Advisor, atualizado desde então (Maister et al. 2021).

37
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | 3. EVOLUINDO NOSSA MENTALIDADE

3.7 Considerações de dados em tempo real
A capacidade de revisar grandes volumes de transações
em tempo real pode ser uma necessidade para muitas
entidades, mas é um desafio conforme os volumes de
dados aumentam e o potencial perfil de risco se amplia. O
controle interno tem sido tradicionalmente uma atividade
reativa. Ele revisa as transações em cada linha do Modelo
das Três Linhas, conforme acontecem ou em um ponto
no tempo depois de terem ocorrido. Com o aumento
da velocidade e da veracidade das transações, para
muitos participantes da mesa redonda e entrevistados,
isso se tornou cada vez mais desafiador. Para alguns,
especialmente na terceira linha, oferecer observações
sobre transações que já ocorreram há muito tempo parecia
levantar questões sobre sua relevância para a entidade.
O potencial de usar técnicas de inspeção de dados, como
código embutido, para identificar possíveis padrões em
transações em tempo real, traz a oportunidade não apenas
de tornar o desempenho de um controle mais proativo,
mas também de aumentar o valor agregado às entidades.
Para entidades em um ambiente operacional em rápido
movimento, a mudança é uma constante. Os processos
de negócios estão sendo constantemente refinados e
adaptados. Para muitas entidades, o ciclo tradicional de
mudanças operacionais e de processos periódicos foi
substituído por mudanças contínuas. O desafio para os
responsáveis pelo controle interno é que qualquer revisão
retrospectiva pode ser irrelevante, pois o processo pode
ter mudado desde que os dados foram coletados.
É importante encontrar um equilíbrio entre o
monitoramento contínuo dos dados e a identificação de
transações que possam precisar de investigação mais
aprofundada, com a avaliação dos riscos estratégicos e
trabalho posterior de auditoria. Separar esses dois canais
da segunda e terceira linhas pode se tornar essencial.
Alguns dos participantes da mesa redonda comentaram
que o monitoramento contínuo é uma atividade de
segunda linha. Só é eficaz, no entanto, se uma ação for
tomada assim que houver um alerta vermelho. A terceira
linha deve considerar o quanto os procedimentos de
monitoramento são eficazes.
Um entrevistado da Índia refletiu sobre o desafio de
amostras ou seleções pequenas, em relação aos grandes
volumes de dados mantidos pelas entidades. ‘A cobertura
e as variações existentes dificultam que você conclua que
os controles internos são apropriados e que foram criados
devidamente. Como você chega a essa conclusão com
uma amostra tão pequena, que é o que é defendido em
muitas das observações de orientação? Acho que é aí que
entra a importância da análise. Isso oferece uma cobertura
mais ampla e de forma muito mais científica [em vez de
seleção] e focada’.
A automação eficiente dos controles depende de diversos
fatores:
n um entendimento dos recursos do aplicativo, para
validar transações como parte do fluxo de trabalho
n implantar nesse fluxo de trabalho os níveis apropriados
de supervisão
n usar relatórios para monitorar o desempenho do
processo, identificar tendências e isolar discrepâncias
para investigação
n usar o fluxo de trabalho de forma inteligente, para
documentar as atividades de controle
n usar desenvolvimentos e ferramentas de usuário final
personalizados, como RPA, para desenvolver controles
de monitoramento.
Diversos participantes da mesa redonda destacaram
a falta de evidências robustas como uma barreira à
automação.
A integração do monitoramento contínuo e dos controles
automatizados à estrutura geral de controle interno é
essencial para que as entidades gerenciem os volumes
crescentes de dados de forma eficaz em um ambiente
operacional transformado. A Figura 3.6 fornece uma visão
que vincula os componentes de controles automatizados
(no nível de validação de dados), análises e insights em
tempo real (monitoramento do desempenho no nível
de negócios) e monitoramento contínuo (oferecendo
certificação). A combinação dessas três técnicas será
essencial para um esquema de controle integrado nas
entidades do futuro.
FIGURA 3.6: Papel do monitoramento contínuo e
análise em tempo real
Controles integrados
Análises e
Monitoramento
insights em
contínuo
tempo real
Controles
automatizados
Fluxos de dados em tempo real
DESENVOLVER E IMPLANTAR UMA ESTRATÉGIA
DE MONITORAMENTO CONTÍNUO ALINHADA
AO VOLUME DE DADOS ESPERADO.
CERTIFICAR-SE DE QUE HAJA UM EQUILÍBRIO
ADEQUADO ENTRE CONTROLES MANUAIS
E AUTOMATIZADOS, E BUSCAR EVITAR
REDUNDÂNCIA E DUPLICAÇÃO DE CONTROLES.

38
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | 3. EVOLUINDO NOSSA MENTALIDADE
3.8 Governança de dados – uma questão
de controle interno?
Para o controle interno ampliar seu escopo para abranger
dados usados para objetivos de desempenho e reporte
financeiro e não financeiro, a integridade desses dados
se torna cada vez mais importante. No entanto, sob outra
perspectiva, esse também é o objetivo dos responsáveis
pela governança de dados. Um chefe executivo de
auditoria dos EUA que participou da mesa redonda
da América do Norte comentou: ‘a governança de
dados é uma questão real e, até que você tenha uma
governança de dados adequada, todas os frameworks,
todos os controles ou princípios abordados por qualquer
framework de controle interno... não serão relevantes’.
Um participante da mesa redonda do Reino Unido
comentou que: ‘[é necessária] uma tecnologia de
alicerce com dados consistentes ou estruturas de dados
consistentes, capaz de oferecer a mensuração dos
resultados [estratégicos]. Então, o que os conselhos e
comitês de auditoria querem saber é: onde estamos
nessa jornada para entregar esses resultados? O que está
atrapalhando isso? Quais são os riscos e de que tipo de
ambiente de controle precisamos, se quisermos gerenciar
e mitigar isso da forma mais econômica, eficiente e
eficaz?’.
A Tabela 3.1 fornece uma comparação dos objetivos de
controle interno e governança de dados nas entidades.
Ela demonstra áreas significantes de interesse comum.
TABELA 3.1: Princípios de controle interno x Princípios de governança de dados
PRINCÍPIOS DE CONTROLE INTERNO
n Estabelecer responsabilidades
n Manter registros
n Assegurar ativos, vinculando funcionários essenciais
n Segregar deveres
n Rotação obrigatória de funcionários
n Dividir a responsabilidade da parte relacionada
n Usar controles tecnológicos
n Realizar revisões independentes regulares
FIGURA 3.7: Framework de Gerenciamento de Riscos Corporativos do COSO
Fonte: COSO (2017)
39
Para muitos participantes da mesa redonda, um
alinhamento mais próximo entre os responsáveis pela
entrega dos objetivos de controle interno e aqueles que
asseguram a governança de dados na entidade seria
essencial para o futuro.
Enquanto os responsáveis pela governança de dados
respondem, perante a gestão, pela integridade dos fluxos
de dados, os responsáveis pelo controle interno (e
auditoria interna) prestam contas a grupos como o comitê
de auditoria. Ambos têm interesses em comum quanto à
integridade e precisão dos dados e, conforme os
requisitos de controle interno aumentam, tanto para
dados não financeiros quanto para financeiros, as áreas de
interesse comum se sobrepõem cada vez mais.
GARANTIR UM ALINHAMENTO ENTRE A
GOVERNANÇA DE DADOS E OS OBJETIVOS
DE CONTROLE INTERNO DA ENTIDADE, E
FORTALECER OS PROCEDIMENTOS QUE
REGEM A INTEGRIDADE E PRECISÃO DOS
DADOS FINANCEIROS E NÃO FINANCEIROS.
3.9 Uma questão de estratégia e cultura
A consideração final para muitos dos participantes da
mesa redonda foi o alinhamento do controle interno
com a estratégia da entidade e sua cultura. Isso pode ser
encontrado no framework Enterprise Risk Management
(ERM) do COSO, de 2017 (Figura 3.7).
PRINCÍPIOS DE GOVERNANÇA DE DADOS
n Assegurar a prestação de contas
n Aplicar regras e regulamentos padronizados
n Garantir a administração dos dados
n Estabelecer normas de qualidade de dados
n Garantir a transparência
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | 3. EVOLUINDO NOSSA MENTALIDADE
Vários expressaram a opinião de que as atividades de
controle interno estavam sendo realizadas em prol da
conformidade, e não porque havia um risco específico
sendo controlado. Argumentaram que um equilíbrio
precisava ser alcançado. Um chefe executivo de auditoria
do Reino Unido forneceu uma perspectiva ligeiramente
diferente, comentando que: ‘[como] funções de controle,
esquecemos [o] elemento de apetite a risco do controle,
e é cuidado redobrado o tempo todo, e acho que a
pandemia nos ajudou a ter um pouco mais de perspectiva
sobre isso’.
Havia uma sensação de que a lacuna entre o controle de
riscos reais e as atividades de conformidade aumentava
de acordo com o aumento dos fluxos de dados e a
implantação da tecnologia. Se os controles manuais forem
repetidos por controles automatizados, essa duplicação
reduzirá a eficácia do ambiente de controle em geral. O
controle precisa ser econômico.
Há um framework de controle interno para ‘fornecer
garantia razoável em relação ao alcance dos objetivos
relacionados a operações, reporte e conformidade’
(COSO 2013). Implícito nisso está o vínculo com o
gerenciamento de riscos. Isso só pode ser alcançado
por uma forte cultura de gerenciamento de riscos e um
reforço do propósito do controle interno. Essa cultura
deve ser estabelecida pela alta liderança da entidade.
Alguns participantes da mesa redonda argumentaram
que esse vínculo estava enfraquecendo. A importância
do gerenciamento eficaz de riscos corporativos e seu
forte vínculo com os objetivos de controle interno foram
destacados por muitos. Um chefe executivo de auditoria
do Reino Unido comentou: ‘As pessoas geralmente têm
uma visão de que os controles tornam as coisas mais
difíceis, e para mim... um dos desafios que acho que
temos a enfrentar como profissionais em nossa disciplina
é realmente tentar mudar essa cultura e encorajar as
pessoas… [para entender] que os controles, na verdade,
os ajudam’.
Os participantes reportaram uma crescente suspeita sobre
o propósito do controle interno entre as gerações que
estão entrando agora no mercado de trabalho. Seu nível
de alfabetização tecnológica e sua familiaridade com
a tecnologia eram uma parte essencial de suas vidas, e
sua crença de que ‘o computador está sempre certo’ foi
40
considerada um risco potencial de enfraquecimento do
controle interno. Para que o controle interno seja eficaz,
é preciso entender que ele requer uma combinação de
pessoas, processos, tecnologia e dados. Se somente
um desses componentes não for eficaz, a eficácia do
framework de controle interno será reduzida.
Um participante australiano da mesa redonda comentou:
‘Acho que na era digital, com a governança de dados e
controles internos, a cultura será mais importante, pois os
controles se tornarão realmente incorporados em sistemas
e tecnologias automatizadas’.
Diversos participantes da mesa redonda e entrevistados
compararam as atitudes culturais em relação ao controle
interno com seu impacto nas entidades. Em parte, isso
pode ser visto nas variações das respostas à pesquisa,
especialmente quando correlacionadas com a falta de
supervisão do conselho (Figura 1.4), onde as opiniões
divergem entre a Europa Ocidental e a América do Norte,
e entre Oriente Médio, Sul da Ásia e Ásia-Pacífico. Isso
também pode ser atribuído a diferentes percepções
de regulamentação e variações nas estruturas de
propriedade.
REFORÇAR A IMPORTÂNCIA DO GERENCIAMENTO
DE RISCOS E DO CONTROLE INTERNO DE
FORMA CONTÍNUA EM TODA A ENTIDADE.
REFORÇAR A NECESSIDADE DE OTIMIZAR O
DESENVOLVIMENTO E A IMPLANTAÇÃO DE
UM FRAMEWORK DE CONTROLE INTERNO,
ESPECIALMENTE POR SER CADA VEZ MAIS
HABILITADO PELA TECNOLOGIA.
QUESTIONAR A PREMISSA DE QUE O
‘COMPUTADOR ESTÁ CERTO’ EM TODAS
AS CIRCUNSTÂNCIAS AO CONSIDERAR OS
CONTROLES INTERNOS.
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | 3. EVOLUINDO NOSSA MENTALIDADE

3.10 Consequências para os frameworks
de controle interno
Nesta discussão sobre considerações futuras de controle
interno, é importante refletir sobre os frameworks usados
como base para estabelecer o ambiente de controle.
A Figura 3.8 mostra que os entrevistados em geral
(62%) concordaram ou concordaram fortemente que a
orientação regulatória atual refletia a natureza de seu
modelo operacional.
Uma análise das respostas daqueles que concordam
ou concordam fortemente com essa afirmação mostra
alguma variação por região (Figura 3.9).
Muitos dos participantes da mesa redonda e entrevistados
concordaram com essa perspectiva. Os principais
frameworks a que se referiram foram o COSO Internal
Control – Integrated Framework, o Control Objectives
for Information Technology (COBIT®) da ISACA e o
framework SOC 2 do AICPA.
Conforme mostrado neste relatório, é no nível prático
que os indivíduos são desafiados. Um participante
da mesa redonda dos EUA e Canadá perguntou: ‘[as
pessoas acham] que o framework de Controle Interno do
COSO precisa ser completamente ampliado e refeito?
Não. Acho que a maior deficiência que vejo quanto a
frameworks é [que] a aplicação prática a [possivelmente]
áreas mais complexas [está] mesmo ficando para trás’.
Um participante da mesa redonda australiana comentou
que: ‘os controles são implantados por meio de
procedimentos, promulgados em uma [entidade]. Hoje, a
maioria dos procedimentos reside em caixas eletrônicas e,
com o custo de modificar os sistemas de computador, os
procedimentos internos não vão mudar muito dentro dos
sistemas de computador, para que o negócio possa seguir
em frente. Procedimentos que poderiam estar corretos
quando foram escritos nunca mudam. Isso pode ser um
problema significativo [para a entidade]’.
Há uma valorização da necessidade de abraçar
a digitalização e a transformação, mas a falta de
compreensão de como fazer isso foi citada como barreira.
Qualquer orientação será, inevitavelmente, genérica
e, embora possa fornecer um elemento de suporte,
não pode fornecer o contexto específico em que um
profissional de contabilidade e finanças, onde quer que
opere em qualquer linha, precisará aplicá-la. Isso deve vir,
em parte, de uma compreensão das próprias tecnologias
e da gestão de dados.

FIGURA 3.8: Até que ponto você concorda ou discorda que a orientação regulatória sobre controle interno
reflete a natureza do modelo operacional atual? (n = 1.956)
50%
48%

40%

30%

20% 21%

14%
10%
7% 8%
2%
0%
Discordo fortemente Discordo Não concordo Concordo Concordo fortemente Não sei
nem discordo

FIGURA 3.9: Até que ponto você concorda ou discorda que a orientação regulatória sobre controle interno
reflete a natureza do modelo operacional atual? Análise regional de ‘Concordo’ e ‘Concordo Fortemente’. (n=1.950)

África 71%

Sul da Ásia 70%

Oriente Médio 70%

Ásia-Pacífico 66%

Europa Central e Oriental 60%

Caribe 57%

Ámerica do Norte 55%

Europa Ocidental 48%

0% 10% 20% 30% 40% 50% 60% 70% 80%

41
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | 3. EVOLUINDO NOSSA MENTALIDADE

A IMPORTÂNCIA DO GERENCIAMENTO
EFICAZ DOS RISCOS CORPORATIVOS E
SEU FORTE VÍNCULO COM OS OBJETIVOS
DE CONTROLE INTERNO FORAM
ENFATIZADOS POR MUITOS.

42
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | CONCLUSÃO
Conclusão
O controle interno continua sendo um conceito
fundamental para as entidades e para os responsáveis
pela governança. Os stakeholders estão cada vez
mais buscando avaliação para uma ampla gama de
divulgações das entidades, o que, por sua vez, requer
a extensão do framework de controle interno em mais
fluxos de processos, alguns dos quais não estavam
anteriormente no escopo do Modelo das Três Linhas do IIA.
A disponibilidade das habilidades certas é fundamental
para a manutenção de controles internos eficazes. Estas
competências estão a expandir para além do puramente
financeiro e deve-se reconhecer esta necessidade
ampliada e o consequente investimento exigido, tanto
por entidades como por indivíduos.
A tecnologia continua avançando. Esse avanço mostra
sinais de aceleração conforme os dados e aplicativos,
e os processos para apoiá-los, se tornam essenciais
no ambiente de negócios ágeis. O controle interno
precisa ser parte fundamental dessa transformação;
não uma reflexão tardia compensada por controles
manuais. As entidades operam em tempo real; assim, os
controles devem operar por meio de abordagens como
monitoramento contínuo para acompanhar as atividades
das entidades que os operam.
Se as entidades pretendem integrar objetivos de reporte
não-financeiro em seus controles internos, deve-se
reconhecer que os dados para tal são menos robustos e
PARA APOIAR A TRANSFORMAÇÃO DOS NEGÓCIOS
E AUMENTAR O VALOR DA EMPRESA, O PRÓPRIO
CONTROLE INTERNO DEVE SE TRANSFORMAR
CONSTANTEMENTE, PARA SE ADEQUAR AO PROPÓSITO
EM UM AMBIENTE DIGITAL E DISRUPTIVO, E ISSO
REQUER TREINAMENTO E APRIMORAMENTO.
43
mais variados em sua natureza e em suas fontes do que os
dados financeiros. A tecnologia é necessária, bem como
uma forte gestão de dados e um vínculo estreito com os
objetivos de governança de dados.
Para apoiar todos esses aspectos da transformação
e continuar tendo controles internos eficazes, é
necessária uma orientação mais relevante para apoiar os
profissionais, e iniciativas de educação continuada são
necessárias para desenvolver as habilidades essenciais.
Isso se aplica não apenas ao uso das próprias tecnologias
transformadoras, mas também ao nosso entendimento do
ambiente de controle de TI que as apoia.
O resultado final é que o valor do controle interno vai
muito além do reporte estatutário e da conformidade,
englobando também divulgações financeiras externas
complementares. Em um ambiente de negócios em
rápida mudança e expansão (incluindo fatores como
avanços tecnológicos e ESG), o controle interno eficaz
ajuda a construir confiança, credibilidade e reputação.
Além disso, para apoiar a transformação dos negócios e
aumentar o valor da empresa, o próprio controle interno
deve se transformar constantemente, para se adequar
ao propósito em um ambiente digital e disruptivo, e isso
requer treinamento e aprimoramento. Esta é uma grande
oportunidade para os profissionais de contabilidade,
finanças e auditoria interna aumentarem sua relevância e
influência.
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | GLOSSÁRIO

Glossário
Additive manufacturing Manufatura aditiva, ou additive layer manufacturing (ALM) é a produção industrial para impressão 3D, um processo
(AM) controlado por computador que cria objetos tridimensionais depositando materiais, geralmente em camadas.
Ágil No desenvolvimento de software, práticas ágeis (ou Ágeis) incluem a descoberta de requisitos e melhoria de
soluções, por meio do esforço colaborativo entre equipes auto-organizadas e multifuncionais e seus clientes/
usuários finais, planejamento adaptativo, desenvolvimento evolucionário, entrega antecipada, melhoria contínua e
respostas flexíveis a mudanças de requisitos, capacidade e compreensão dos problemas a serem resolvidos.
Ambiente de controle A atitude geral, conscientização e ações dos diretores e gerentes (ou seja, ‘responsáveis pela governança’) em
interno relação ao sistema de controle interno e sua importância para a entidade. Expressa-se no estilo de gestão, na
cultura corporativa, nos valores, na filosofia e no estilo operacional, na estrutura da entidade e nas políticas e
procedimentos de recursos humanos.
Analytics process APA, automação de processos analíticos, é uma tecnologia que permite que qualquer pessoa em uma entidade
automation (APA) facilmente compartilhe dados, automatize processos tediosos e complexos, e transforme dados em resultados.
Application API é uma conexão entre computadores ou entre programas de computador. É um tipo de interface de software,
programming oferecendo um serviço para outros softwares.
interface (API)
Automação robótica de RPA é uma forma de automação de processos de negócios que permite a qualquer pessoa definir um conjunto
processos (RPA) de instruções para um robô ou ‘bot’ executar. Os bots de RPA são capazes de imitar a maioria das interações
humano-computador, para realizar rapidamente tarefas de alto volume sem erros.
Autonomous system Um sistema autônomo, em redes, é uma coleção de um ou mais prefixos de Protocolo de Internet (IP) associados
(AS) a uma política de roteamento claramente definida, que controla como o AS troca informações de roteamento
com outros sistemas autônomos.
COBIT Framework criado pela ISACA para gestão de TI e governança de TI. <https://www.isaca.org/resources/cobit>.
Controle interno Processo para assegurar os objetivos de uma entidade em eficácia e eficiência operacional, reporte financeiro
confiável e conformidade com leis, regulamentos e políticas. Um conceito amplo, o controle interno envolve tudo
o que controla o risco para uma entidade.
Controles gerais de TI ITGCs são controles que se aplicam a todos os sistemas, componentes, processos e dados para uma determinada
(ITGCs) entidade ou ambiente de tecnologia da informação (TI). Os objetivos dos ITGCs são garantir o desenvolvimento
e implantação adequados de aplicativos, bem como a integridade de programas, arquivos de dados e operações
de computador.
COSO Internal control Ajuda as entidades a criar e implantar controles internos considerando as muitas mudanças nos ambientes de
– integrated framework negócios e operacionais. <https://www.coso.org/Pages/default.aspx>.
Framework de controle Guia estruturado que sistematicamente organiza e classifica os controles esperados ou tópicos de controle.
interno
Identificação por A RFID (radio frequency identification) usa campos eletromagnéticos para identificar e rastrear automaticamente
radiofrequência (RFID) etiquetas anexadas a objetos.
Intelligent automation Automação inteligente, ou automação de inteligente de processos (intelligent process automation – IPA), é um
(IA) termo de software que se refere a uma combinação de IA e automação robótica de processos (RPA – q.v.).
Lo-Code / No-code Plataformas de desenvolvimento Lo-code/No-code são tipos de ambientes visuais de desenvolvimento de
software, que permitem que desenvolvedores corporativos e desenvolvedores cidadãos arrastem e soltem
componentes de aplicativos, conectem-nos e criem aplicativos móveis ou aplicativos web.
Microsserviços Uma parte independente da funcionalidade de negócios com interfaces claras, que pode, por meio de seus próprios
componentes internos, implantar uma arquitetura em camadas. Microsserviços podem ser implantados para atender a
uma necessidade de negócios de curto prazo, geralmente envolvendo desenvolvimentos rápidos usando componentes.
Modelagem de Modelagem de processos é a representação gráfica de processos de negócios ou fluxos de trabalho. Como em
processos um fluxograma, as etapas individuais do processo são criadas para que haja uma visão geral completa das tarefas
do processo, dentro do contexto do ambiente de negócios.

Modelo Cascata O modelo cascata é uma divisão das atividades do projeto em fases sequenciais lineares, onde cada fase
depende das entregas da anterior e corresponde a uma especialização de tarefas. O Ciclo de Vida de
Desenvolvimento de Sistemas é um exemplo disso.
Modelo das Três Linhas Ajuda as entidades a identificar estruturas e processos que auxiliem da forma mais eficaz no atingimento dos
objetivos e facilitem uma forte governança e gerenciamento de riscos. <https://www.theiia.org/globalassets/site/
about-us/advocacy/three-lines-model-updated.pdf>.
SOC 2® – SOC for Esses relatórios destinam-se a atender às necessidades de uma ampla gama de usuários que precisam de
Service Organizations: informações detalhadas e avaliação dos controles de um prestador de serviços, relevantes para segurança,
Trust Services Criteria disponibilidade e integridade de processamento dos sistemas que o prestador de serviços usa para processar os
dados dos usuários e a confidencialidade e privacidade da informação processada por estes sistemas. <https://
us.aicpa.org/interestareas/frc/assuranceadvisoryservices/aicpasoc2report>.

44
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | ANEXO – DADOS DEMOGRÁFICOS DA PESQUISA

Anexo – Dados
Demográficos da Pesquisa
O questionário que fez parte das atividades de pesquisa deste relatório recebeu 1.956 respostas de membros da ACCA,
IMA e IIA do mundo todo. Uma análise dessas respostas é apresentada nos gráficos a seguir.

Premissas gerais
n Para fins de consistência, a maior parte da análise usou dados globalmente agregados, que incluíram informações
de toda a população da pesquisa.
n O questionário foi preenchido online em março de 2022.

Análise das respostas

Figura A1: Respostas por região (n = 1,956) Figura A4: Respostas por participante (n = 1,956)
 Europa Ocidental, 24%  Principalmente em negócios
 África, 21% (como em equipe de finanças,
contabilidade ou auditoria
 Ásia-Pacífico, 19%
interna, ou prestação de serviços
 América do Norte, 12% financeiros na organização), 80%
 Sul da Ásia, 10%  Principalmente em prática
 Oriente Médio, 6% pública ou outra (como firma de
 Caribe, 4% contabilidade e auditoria,
 Europa Central e Oriental, 3% certificação, consultoria e/ou
fiscal), 20%
 América Central e do Sul, 1%

Figura A2: Respostas por setor (n = 1,816) Figura A5: Respostas por cargo (n = 1,854)

 Setor corporativo –  Auditor Interno /

pequeno/médio porte, 20% Conformidade Financeira, 13%
 Setor corporativo – grande, 20%  Contador Financeiro, 11%
 Setor público, 13%  Gerente de Finanças/Operações, 8%
 Serviços financeiros –  Chief Financial Officer (CFO), 7%
pequeno/médio porte, 9%  Gerente de Auditoria, 7%
 Serviços financeiros – grande, 8%
 Controlador Financeiro /
 Sem fins lucrativos, 7% Chefe de Compliance, 6%
 Escritórios de pequeno
 Chefe / Diretor de Finanças, 6%
ou médio porte, 7%
 Outros, 6%  Gerente Sênior de Auditoria, 4%
 Empresa de contabilidade Big Four, 4%  Consultor, 4%
 Não está trabalhando/pausa na carreira/  Contador Gerencial, 4%
aposentado, 3%  Auditor Externo, 3%
 Empresa média de contabilidade, 2%  Outros, 27%
 Outra empresa de contabilidade internacional, 1%

Figura A3: Respostas por porte da entidade (n = 1,850)

 0 – 9 funcionários, 8%
 10 – 49 funcionários, 14%
 50 – 249 funcionários, 21%
 250 – 999 funcionários, 20%
 mais de 1.000, 37%

45
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | AGRADECIMENTOS
Agradecimentos
As contribuições das seguintes pessoas no desenvolvimento desta pesquisa são destacadas com agradecimentos.
Khyam Abdulah, Pan-American Life Assurance Group,
Trindade e Tobago
Hashim Ahmed, Jaguar Mining Inc, Canadá
Alper Alptekin, SOCAR Türkiye, Turquia
Sandy Ardern, TD Asset Management, Canadá
Victoria Armitage, GT, República da Irlanda
Eban Bari, Triple Flag Precious Metals, Canadá
Val Baynes, Commonwealth Bank, Austrália
Robert Belle, Smip Consultancy, Quênia
Michael Bencsik, Cacel Pty Limited, Nova Zelândia
Stan Bigford, Trenton Cold Storage Inc, Canadá
Ruxandra Bilius, Baker Tilly Klitou & Partners SRL e
IIA România, România
Harry Briggs, KPMG LLP, Reino Unido
Dermot Byrne, An Roinn Caiteachais Phoiblí agus
Athchóirithe, República da Irlanda
Ömer Çetin, KPMG, Turquia
Lisa Coulman, Nobul Corporation, Canadá
Niko Džepina, Asseco Central Europe, Eslováquia
Carly Eaton, Provident Financial Group, Reino Unido
Andrew Elsby-Smith, Amtico, Reino Unido
Alex Falcon Heurta, Soaring Falcon, Reino Unido
Rashika Fernando, MDC Computers, Canadá
Krystal George, TTPOST, Trindade e Tobago
Anirban Ghosh, Wipro Ltd, Índia
Lee Glover, Haines Watson Controls & Assurance, Reino Unido
James Heather, Blackrock, Reino Unido
Hussein Hussein, Deloitte, Austrália
Paul D. Hyman, Kingston Freeport Terminal, Jamaica
Mir Fahad Iqbal, Northern Trust Corporation, EUA
Ashish Jhaver, Barclays, Índia
Jodi Joseph, Adapt IT, África do Sul
Javier Jurado, U S Bank, EUA
Paul Kaczmar, Michael Page, Reino Unido
Stephen Kenny, Bank of Ireland, República da Irlanda
Paula Kensington, PK Advisory, Austrália
Rahul Kumar, EY, Índia
Jaishree Lam, Guyana Power and Light, Guiana
Leong, Singapura
Thea J Lowe, TJL Consulting Services, Barbados
Olga Lukashenko, Reanda Netherlands, Países Baixos
Reshma Mahase, Davidson & Co LLP, Canadá
Natalie Makoni, Servest, África do Sul
Luka Matkovic, República Tcheca
Nauman Mian, bayt.net, Emirados Árabes Unidos
Maja Milosavljevic, OMV, Áustria
46
David Minas, Discount Car and Truck Rentals. Canadá
Thapelo Modisagae, FNB Enablement Segment, África do Sul
Julius Mojapelo, The Institute of Internal Auditors África do
Sul, África do Sul
Brad Montierio, The Institute of Internal Auditors, EUA
Kelvin Musana, Standard Chartered, Uganda
Av. Murali, Standard Chartered Bank, Índia
Ian Ng, AMMEGA, China continental
Ebuka (Raphael) Nkemdilim, Wilfrid Laurier University, Canadá
Joyce Nkini-Iwisi, Control Risks, Nigéria
Rolanke Oladapo, Control Risks, África do Sul
Joseph Owolabi, Rubicola, Austrália
Shreyash Pai, Livspace, Índia
Siobhan Pandya, Mary Kay Inc, EUA
Michael Parkinson, Michael Parkinson Consultancy, Austrália
Ann Patterson, St. Felix Centre, Canadá
Atif Perez, Athabasca University, Canadá
Juzar Pirbhai, Canadian Public Accountability Board, Canadá
Mihaela Pop, WPP, Austrália
Melanie Proffitt, Farncombe Estate, Reino Unido
Jürgen Pühler, BASF SE, Alemanha
Parthasarathy Ramaswamy, RGN Price & Co, Índia
Beate Randulf, National Bank of Greece, Grécia
Rahul Ranjan, Índia
Simon Rose, Crest Nicholson, Reino Unido
Brendan Sheehan, White Squires, Austrália
Heather Smith, ANISE Consulting, Austrália
Mustafa Sönmez, ÜNLÜ & Co, Turquia
Neville de Spretter, AdLibero2 Ltd, Reino Unido
Saravanan Srinivasan, Super Stahl Private Limited, Índia
Dirk Strydom, The Institute of Internal Auditors África do Sul,
África do Sul
Sachin Tayal, Protiviti, Índia
Leslie Thompson, TRG, EUA
Senol Toygar, TEB, Turquia
Brian Tremblay, Onapsis Inc, EUA
Engin Turan, Alternafi Bank, Turquia
Robert van der Klauw, Munich Re, Emirados Árabes Unidos
A ACCA, o IMA e a IAF também gostariam de agradecer a
todos aqueles que gentilmente responderam à pesquisa.
Autores
Clive Webb, Chefe de Gestão Comercial, ACCA
Laura LeBlanc, Diretora – Pesquisa & Insights, Institute of
Internal Auditors
Loreal Jiles, Vice-Presidente, Pesquisa e Liderança Criativa,
Institute of Management Accountants
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | REFERÊNCIAS
Referências
ACCA (2020), The Digital Accountant: Digital Skills in a
Transformed World, <https://www.accaglobal.com/gb/en/
professional-insights/technology/The_Digital_Accountant.html>,
acessado em 1º de abril de 2022.
ACCA (2021), Professional accountants at the heart of
sustainable organisations, <https://www.accaglobal.com/
gb/en/professional-insights/pro-accountants-the-future/pro-
accountants-heart-sustainable-orgs.html>, acessado em 3 de
abril de 2022.
ACCA / CA ANZ (Chartered Accountants Austrália e Nova
Zelândia) / Generation CFO (2021), Transformational Journeys:
Finance and the Agile Organisation, <https://www.accaglobal.
com/gb/en/professional-insights/technology/transformational-
journeys.html>, acessado em 1º de abril de 2022.
ACCA / CA ANZ / KPMG (2018), Embracing robotic automation
during the evolution of finance, <https://www.accaglobal.com/
gb/en/professional-insights/technology/embracing-robotic-
automation-during-the-evolution-of-finance.html>, acessado em
3 de abril de 2022.
ACCA / CA ANZ / Macquarie University (2019), Cyber and the
CFO, <https://www.accaglobal.com/gb/en/professional-insights/
technology/cyber-and-the-cfo.html>, acessado em 3 de maio de 2022.
ACCA / IMA / CIPS (Chartered Institute of Procurement and
Supply) (2022), Supply Chains – A Finance Professional’s
Perspective, <https://www.accaglobal.com/gb/en/professional-
insights/global-profession/supply-chains-post-pandemic-world.
html>, acessado em 3 de abril de 2022.
ACCA / PwC (2021), Finance Functions: Seizing the Opportunity,
<https://www.accaglobal.com/gb/en/professional-insights/
pro-accountants-the-future/finance-functions-seize-opportunity.
html>, acessado em 1º de abril de 2022.
Alspach, K, (2022), Ransomware attacks surged 2X in 2021,
SonicWall reports, <https://venturebeat.com/2022/02/17/
ransomware-attacks-surged-2x-in-2021-sonicwall-reports/>,
acessado em 3 de maio de 2022.
Ashby, S., Bryce. C., e Ring, P. (2019), Risk and performance: Embedding
risk management, <https://www.accaglobal.com/content/dam/
ACCA_Global/professional-insights/embedding-risk/pi-embedding-
risk-management.pdf>, acessado em 3 de maio de 2022.
Burns, J., Steele, A., Cohen, E. E. e Ramamoorti, S. (2021), Blockchain
and Internal Control – the COSO Perspective, <https://www.coso.
org/Documents/Blockchain-and-Internal-Control-The-COSO-
Perspective-Guidance.pdf>, acessado em 19 de abril de 2022.
Calagna, K., Cassidy, B., e Park, A. (2021), Realize the Full Potential
of Artificial Intelligence – Applying the COSO Framework and
Principles to Help Implement and Scale Artificial Intelligence,
<https://www.coso.org/Documents/Realize-the-Full-Potential-of-
Artificial-Intelligence.pdf>, acessado em 19 de abril de 2022.
COSO (2013), Internal Control – Integrated Framework: Executive
Summary, <https://www.coso.org/Documents/990025P-Executive-
Summary-final-may20.pdf>, acessado em 1º de abril de 2022.
COSO (2017), Enterprise Risk Management—Integrating with
Strategy and Performance, <https://www.coso.org/Pages/ERM-
Framework-Purchase.aspx>, acessado em 19 de abril de 2022.
COSO (2022), COSO-Board-Approves-Study-on-Sustainability-ESG,
<https://www.coso.org/news/Pages/COSO-Board-Approves-Study-
on-Sustainability-ESG.aspx>, acessado em 19 de abril de 2022.
47
EFRAG (2022), [Draft] European Sustainability Reporting Standard
G1: Governance, risk management and internal control, <https://
www.efrag.org/Assets/Download?assetUrl=%2Fsites%2Fweb
publishing%2FSiteAssets%2FFinal%2520Draft%2520ESRS%
2520G1_22-03-14.pdf&AspxAutoDetectCookieSupport=1>,
acessado em 3 de maio de 2022.
FRC (Financial Reporting Council) (2005), Internal Control: Revised
Guidance for Directors on the Combined Code. Download
disponível em <https://www.icaew.com/technical/corporate-
governance/codes-and-reports/turnbull-report>, acessado em
20 de abril de 2022.
Grob, M. e Cheng, V. (2021), Enterprise Risk Management for
Cloud Computing, <https://www.coso.org/Documents/COSO-
ERM-for-Cloud-Computing.pdf>, acessado em 19 de abril de 2022.
Heier, J. R. Dugan, M. T. e Sayers, D. (2005), ‘A Century of Debate
for Internal Controls and their Assessment: a Study of Reactive
Evolution’, Accounting History, 10 (3) <https://citeseerx.ist.psu.
edu/viewdoc/download?doi=10.1.1.1023.3544&rep=
rep1&type=pdf>, acessado em 1º de abril de 2022.
ICAEW (Institute of Chartered Accountants of England and Wales)
(1999), Internal Control: Guidance for Directors on the Combined
Code, <https://ecgi.global/download/file/fid/9442>, acessado
em 1º de abril de 2022.
IIA (2020), The IIA’s Three Lines Model – An update of the Three
Lines of Defense, <https://www.theiia.org/globalassets/site/
about-us/advocacy/three-lines-model-updated.pdf>, acessado
em 1º de abril de 2020.
IIA / Auditboard (2020), Internal Audit’s Digital Transformation
Imperative: Advances Amid Crisis, Analyzing the Impact of 2020
on Internal Audit Functions’ Implementation of Technology,
<https://web.theiia.org/cn/atxbg/Dig_Transform_Imperative>,
acessado em 8 de abril de 2022.
ISSB (2022a), [Draft] IFRS S1 General Requirements for Disclosure
of Sustainability-related Financial Information, <https://www.
ifrs.org/content/dam/ifrs/project/general-sustainability-related-
disclosures/exposure-draft-ifrs-s1-general-requirements-for-
disclosure-of-sustainability-related-financial-information.pdf>,
acessado em 3 de abril de 2022.
ISSB (2022b), [Draft] IFRS S2 Climate-related Disclosures,
<https://www.ifrs.org/content/dam/ifrs/project/climate-
related-disclosures/issb-exposure-draft-2022-2-climate-related-
disclosures.pdf>, acessado em 3 de abril de 2022.
Jiles, L. (2020), Transforming the Finance Function with RPA,
<https://www.imanet.org/-/media/8530486050e34be392772
caa088f1162.ashx?la=en>, acessado em 3 de abril de 2022.
Jiles, L. (2021), An Agile Approach to Finance Transformation,
<https://www.imanet.org/-/media/imanet-org/files/insights-
and-trends/thought-leadership/the-future-role-of-management-
accounting/agileandscrum_sma_report_final.ashx>, acessado
em 1º de abril de 2022.
Kelly, M. (2022), ‘Why IT General Controls are Important for
Compliance and Cybersecurity’ [artigo do site], <https://
hyperproof.io/resource/it-general-controls-compliance/>,
acessado em 19 de abril de 2022.
Krumwiede, K. (2016), Process Automation in
Accounting and Finance, <https://www.imanet.org/-/
media/58e1aff5f8d74e4c92ac8f097db88321.ashx>, acessado
em 1º de abril de 2022.
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | REFERÊNCIAS
Krumwiede, K. (2017), How to Keep your Job, <https://www.imanet.
org/insights-and-trends/the-future-of-management-accounting/
how-to-keep-your-job?ssopc=1>, acessado em 3 de abril de 2022.
Lauren, D. (2017), The History of Internal Control Systems,
<https://bizfluent.com/facts-7203983-history-internal-control-
systems.html>, acessado em 1º de abril de 2022.
Maister, D. H., Galford, R., e Green, C. (2021), The Trusted Advisor
– 20th Anniversary Edition, Free Press.
McPherson, A., e Sydney, C., Comprehensive risk data:
The new gold, <https://www.pwc.com/gx/en/issues/
risk-regulation/comprehensive-risk-data-the-new-gold.
html?utm_campaign=5a1d7a5d94a3261aa2024207&utm_
content=6262f8a941a0aa0001902d8e&utm_medium=smarp
share&utm_source=linkedin>, acessado em 3 de maio de 2022.
Schwab, K. (2015), The Fourth Industrial Revolution: What It
Means and How to Respond, Foreign Affairs, <https://www.
foreignaffairs.com/articles/2015-12-12/fourth-industrial-
revolution>, acessado em 3 de abril de 2022.
48
SEC (Securities and Exchange Commission) (2022), The
Enhancement and Standardization of Climate-Related
Disclosures for Investors, <https://www.sec.gov/rules/
proposed/2022/33-11042.pdf>, acessado em 3 de abril de 2022.
Sheen, A., (2020), The Evolution of the Three Lines of Defence,
<https://www.acin.com/the-evolution-of-the-three-lines-of-
defence/>, acessado em 3 de maio de 2022.
Statista (2021), Volume of Data/Information Created, Captured,
Copied, and Consumed Worldwide from 2010 to 2025,
Downloadable from <https://www.statista.com/statistics/871513/
worldwide-data-created/>, acessado em 1º de abril de 2022.
Walker, P. L. (2022), Enabling Organizational Agility in an Age
of Speed and Disruption, <https://www.coso.org/Documents/
Enabling-Organizational-Agility-in-an-Age-of-Speed-and-
Disruption.pdf>, acessado em 18 de abril de 2022.
Wright, C. (2021), Future Ready: Upskilling Today for the
Profession of Tomorrow, <https://www.theiia.org/en/content/
research/foundation/2021/future-ready-upskilling-today-for-
the-profession-of-tomorrow/>, acessado em 3 de abril de 2022
(disponível apenas para membros do IIA).
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | REFERÊNCIAS

49
PI-TRANSFORM-INTERNAL-CONTROL

ACCA The Adelphi 1/11 John Adam Street, Londres WC2N 6AU Reino Unido / +44 (0)20 7059 5000 / www.accaglobal.com