Queria abordar hoje o tema da implementação de um sistema eficaz de controle interno alinhado com a gestão de riscos, que acredito ser fundamental para qualquer empresa, e para ajudar com isto vou tentar detalhar abaixo os principais componentes dessa implementação e os conceitos envolvidos:
Framework e Escopo do Controle Interno
Comeli falando sobre o "framework" de controle interno é uma estrutura que abrange todas as atividades de uma empresa, não se limitando apenas às operações financeiras, normalmente seguindo uma metodologia padrão como a do COSO, aonde o controle interno é definido como um processo que fornece garantia razoável para a eficácia das operações, confiabilidade dos relatórios financeiros e conformidade com leis e regulamentos aplicáveis.
Para quem não conhece ainda a metodologia do COSO, até porque muito do que vou falar abaixo será baseado nele, fica a dica de ler no link:
Voltando ao escopo do controle interno deve ser amplo, englobando controles incorporados aos processos estratégicos, de governança e de gestão, cobrindo toda a gama de atividades e operações da empresa. Ele deve ser responsivo às necessidades específicas do negócio, refletir boas práticas empresariais e permitir que a empresa responda às necessidades específicas do setor em que atua.
Entendendo a Diferença entre Controle e Gestão
O controle interno não é sinônimo de gestão e não abrange todas as atividades envolvidas na administração de uma empresa, aonde seu objetivo é apenas apoiar a realização dos objetivos empresariais e servir como um sistema de alerta precoce para possíveis impedimentos ao alcance desses objetivos.
No entanto, o controle interno não determina quais objetivos devem ser estabelecidos, mas pode ajudar a garantir que informações confiáveis estejam disponíveis para a tomada de decisões, implementação e monitoramento, além de facilitar a avaliação e o relatório dos resultados das ações tomadas.
Porém ele não substitui a gestão na tomada de decisões estratégicas e operacionais, aonde as decisões sobre se devem agir e quais ações tomar estão fora do escopo do controle interno.
Limitações Inerentes do Controle Interno
Importante que se entenda logo algumas das limitações inerentes ao controle interno:
Julgamento Errôneo: Um sistema bem desenhado de controle interno pode reduzir, mas não eliminar, a possibilidade de erros de julgamento na tomada de decisões.
Erro Humano: Erros ou falhas humanas podem ocorrer, mesmo em um sistema robusto.
Fraudes: Atividades de controle podem ser deliberadamente contornadas pela conluio entre empregados ou outras partes.
Sobrecarga da Gestão: A gestão pode sobrepor-se aos controles estabelecidos, comprometendo sua eficácia.
Circunstâncias Imprevisíveis: Eventos inesperados podem ocorrer e não podem ser completamente previstos ou evitados pelo sistema de controle interno.
Garantia Razoável e Não Absoluta
Um sistema de controle interno bem estruturado ajuda a proporcionar uma garantia razoável, mas não absoluta, de que a empresa evitará ser impedida de alcançar seus objetivos empresariais ou de conduzir seus negócios de maneira ordenada e legítima por circunstâncias previsíveis.
No entanto, um sistema de controle interno não pode garantir com certeza de que uma empresa atingirá seus objetivos empresariais ou que evitará todos os erros materiais, perdas, fraudes ou violações de leis e regulamentos.
Personalização do Sistema de Controle Interno
Nenhuma empresa terá, ou mesmo deve ter, sistemas de controle interno idênticos, pois as empresas e seus controles variam conforme o setor, tamanho, estrutura organizacional, cultura e filosofia de gestão.
Portanto embora todas as empresas precisem dos componentes de controle para garantir uma supervisão adequada de suas atividades, cada uma terá um sistema de controle interno único, adaptado às suas próprias circunstâncias.
A gestão precisará exercer seu julgamento, impulsionado pelas necessidades particulares da empresa, para determinar a natureza dos controles que devem ser implementados e se eles estão funcionando efetivamente para alcançar os objetivos da empresa.
- Dicas de Etapas de uma Implementação Prática
A implementação prática de um sistema de controle interno deve passar pelas seguintes etapas:
Avaliação das Necessidades e Identificação dos riscos: Analisar as necessidades específicas da empresa e identificar os riscos relevantes.
Desenho dos Controles e Mitigadores: Desenvolver políticas e procedimentos que respondam aos riscos identificados.
Implementação dos Controles: Colocar em prática os controles desenhados, integrando-os aos processos operacionais da empresa.
Monitoramento e Avaliação: Monitorar continuamente a eficácia dos controles e fazer ajustes conforme necessário.
Relatório e Comunicação: Assegurar que informações sobre a eficácia dos controles sejam comunicadas às partes relevantes, incluindo a alta administração e o conselho de administração
Elementos de um Sistema Sólido de Controle Interno
Um sistema eficaz de controle interno é composto por cinco elementos inter-relacionados que servem como critérios para sua eficácia:
1) Ambiente de Controle:
A base para os demais componentes, que proporciona disciplina e estrutura. Inclui os valores éticos, a competência do pessoal, a direção fornecida pelo conselho e a eficácia da gestão.
O ambiente de controle é o alicerce sobre o qual os outros componentes do controle interno se baseiam, fornecendo disciplina e estrutura, que envolve diversos fatores, incluindo valores éticos, competência do pessoal, direção fornecida pelo conselho de administração e a eficácia da gestão.
Bom então detalhar mais alguns dos principais aspectos que compõem o ambiente de controle, como os valores éticos e a integridade. Pois sabemos bem de que um compromisso forte com a integridade e altos valores éticos é crucial para um ambiente de controle eficaz. A alta administração deve comunicar explicitamente os valores e padrões de comportamento da empresa aos empregados, por meio de um código de conduta formal. A conformidade com esse código deve ser incentivada por meio das ações e exemplos da liderança, além da imposição de penalidades apropriadas para aqueles que violarem as normas de conduta. Isso ajuda a garantir que esses valores sejam internalizados na cultura corporativa.
A competência dos funcionários é outro elemento importante do ambiente de controle, aonde a alta administração deve especificar os níveis de competência necessários para cada função e traduzi-los em conhecimentos e habilidades necessárias. Isso envolve não apenas a contratação de pessoal qualificado, mas também a implementação de programas contínuos de educação e treinamento para manter e desenvolver as competências necessárias ao longo do tempo.
Outro elemento é que o conselho de administração e o comitê de auditoria devem ser ativos e envolvidos, possuindo um grau adequado de expertise em gestão, técnica e outras áreas relevantes. Os membros do conselho devem ser objetivos e dispostos a questionar as atividades da administração, e o comitê de auditoria deve incluir membros qualificados, independentes e ativos, que desempenhem um papel importante na supervisão da eficácia dos controles internos e na gestão de riscos.
Outro elemento está na atribuição de autoridade e responsabilidade, juntamente com a responsabilidade por ações, que é essencial, em especial o estabelecimento de relações de reporte e protocolos de autorização. Um grande desafio é delegar apenas na medida necessária para alcançar os objetivos, o que requer práticas sólidas de identificação e minimização de riscos. Também é importante garantir que todos os funcionários compreendam os objetivos da empresa e saibam que serão responsabilizados pelo cumprimento de suas funções.
Mais um elemento é a forma com que a estrutura organizacional deve ser desenhada para melhor executar as estratégias destinadas a alcançar objetivos específicos, permitindo um fluxo de informações adequado para gerenciar efetivamente as atividades da empresa. Uma estrutura bem organizada facilita a comunicação, a supervisão e a implementação de controles internos eficazes.
Outro ponto importante está nas políticas e práticas de recursos humanos, que são componentes críticos do ambiente de controle, começando pela educação e treinamento contínuos em relação à conduta ética, funções e responsabilidades, bem como desenvolvimentos tecnológicos e de mercado. Feedback de desempenho e avaliações regulares, além de pacotes de compensação competitivos, são importantes para contratar e manter funcionários competentes. Tais práticas ajudam a garantir que o pessoal esteja bem equipado para cumprir suas funções e contribuir para um ambiente de controle robusto.
Por fim, os incentivos e tentações podem minar uma cultura ética forte. Pressões para atingir metas de desempenho irrealistas, especialmente para resultados de curto prazo, e recompensas elevadas baseadas no desempenho são exemplos de incentivos que podem levar a comportamentos antiéticos. Além disso, controles não eficazes, como a má segregação de funções em áreas sensíveis que oferecem tentações para apropriação indevida ou ocultação de desempenho insatisfatório, um departamento de auditoria interna fraco que não consegue detectar e relatar comportamentos impróprios e um conselho ineficaz que não fornece supervisão objetiva à alta administração, são armadilhas que podem comprometer a ética organizacional.
2) Avaliação de Riscos:
Identificação e análise dos riscos que podem afetar a realização dos objetivos, considerando as mudanças no ambiente regulatório e operacional.
A avaliação de riscos envolve a identificação e análise dos riscos que podem impactar a realização dos objetivos da empresa, o que inclui riscos relacionados ao ambiente regulatório e operacional em constante mudança, bem como à estratégia de negócios. A avaliação de riscos é essencial para determinar como esses riscos devem ser mitigados e gerenciados.
A definição de objetivos é uma condição prévia para a avaliação e gestão de riscos, por isto que é necessário que o conselho de administração e a gestão decidam quanto risco pode ser prudentemente aceito e se esforcem para manter o risco dentro desse nível. A definição de objetivos claros, focados no futuro e em metas alcançáveis, é fundamental para permitir a avaliação de riscos e o estabelecimento de controles internos.
Os objetivos podem ser separados em:
Objetivos Operacionais: Relacionam-se à missão fundamental da entidade e abrangem a eficácia e eficiência das operações, incluindo metas de desempenho e lucratividade e a proteção dos recursos contra perdas.
Objetivos de Relatórios Financeiros: Referem-se à preparação de demonstrações financeiras publicadas de forma confiável, incluindo relatórios financeiros intermediários e sumários.
Objetivos de Conformidade: Relacionam-se à adesão às leis, regras e regulamentos aplicáveis à entidade, como requisitos de mercados, impostos, meio ambiente, bem-estar dos empregados e comércio internacional.
Os objetivos definidos em nível macro da empresa devem ser desdobrados em sub-objetivos menores, consistentes com a estratégia geral e vinculados às atividades ao longo da empresa, que devem ser claros, compreensíveis e mensuráveis pelos funcionários responsáveis pelas atividades relevantes.
A identificação de riscos pode ser realizada através de diversas técnicas, incluindo aquelas desenvolvidas por auditores externos e internos para definir o escopo de suas atividades, revisões periódicas de fatores econômicos e do setor, conferências de alta administração e reuniões com analistas do setor. A alta administração deve considerar cuidadosamente os fatores que contribuem para o aumento do risco, como experiências passadas de falha em atingir objetivos, qualidade do pessoal, mudanças significativas (por exemplo o aumento da concorrência), mudanças legislativas, regulatórias e de pessoal, desenvolvimentos de mercado e a importância e complexidade de atividades específicas para a entidade.
A identificação de riscos também deve ser realizada no nível das atividades, o que pode ajudar a focar a avaliação de riscos em unidades de negócios ou funções importantes e contribuir para a manutenção de níveis aceitáveis de risco em toda a entidade.
Após a identificação inicial dos riscos significativos para a empresa na realização de seus objetivos, é útil realizar consultas em toda a empresa sobre questões como: consciência dos objetivos empresariais, estratégia de negócios e riscos significativos relacionados, política de gestão de riscos da empresa, eficácia das estratégias de controle adotadas e o que precisa ser feito para implementá-las, fundamentos de boa gestão de riscos e controle interno, formas de melhoria para mitigar os riscos significativos que afetam a capacidade da empresa de atingir seus objetivos empresariais e mudança de comportamento.
Essa consulta pode ajudar a identificar se a alta administração detectou todos os riscos significativos relevantes para os objetivos e proporcionar uma base sólida para a revisão da eficácia do controle interno pelo conselho e seu relatório aos acionistas.
Após a identificação dos riscos, deve-se realizar uma análise para avaliar sua significância e probabilidade, para que a alta administração precise considerar como os riscos devem ser gerenciados, e assim definir as ações para reduzir a significância ou a probabilidade de ocorrência de um risco variam conforme a natureza do risco e podem incluir desde a identificação de fornecedores alternativos até a obtenção de relatórios operacionais mais relevantes e a melhoria dos programas de treinamento.
A avaliação de riscos deve incluir um processo para identificar mudanças nas condições e agir conforme necessário. As mudanças relevantes podem incluir:
Mudanças nas Condições Operacionais: Por exemplo, devido à desregulamentação ou aumento da pressão pública sobre preços.
Novo Pessoal: Mudanças em pessoal-chave ou alta rotatividade, aumentando a pressão sobre treinamento e supervisão.
Novos Sistemas de Informação: Controles normalmente eficazes podem falhar quando novos sistemas são desenvolvidos, especialmente sob restrições de tempo.
Crescimento Rápido e Inesperado: Quando as operações se expandem significativamente e rapidamente, os sistemas de controle existentes podem ser sobrecarregados.
Novas Linhas de Produtos ou Atividades: Quando a entidade entra em negócios ou realiza transações com as quais não está familiarizada, os controles existentes podem ser inadequados.
Reestruturação Corporativa: Programas de reestruturação e redução de custos podem resultar na perda de pessoal e supervisão inadequada e/ou segregação de funções.
Os riscos podem ser priorizados de acordo com seu impacto e probabilidade, por exemplo:
A = Exige ação imediata.
B = Considerar ação e ter um plano de contingência.
C = Considerar ação.
D = Manter sob revisão periódica.
O impacto deve ser considerado não apenas em termos financeiros, mas, mais importante, em termos do efeito potencial na realização dos objetivos da empresa, assim como nem todos os riscos serão identificados como significativos, mesmo assim os riscos não significativos também devem ser revisados regularmente, especialmente à luz de eventos externos em mudança, para verificar se permanecem não significativos.
Para cada risco identificado e priorizado, a administração deve considerar as seguintes questões:
Aceitar o Risco: O conselho decide se os riscos identificados excedem os benefícios obtidos ao alcançar os objetivos.
Estratégias de Controle: Incluem aceitar o risco, transferir o risco (por exemplo, passando-o para outra parte através de alterações contratuais), eliminar o risco (adotando uma estratégia de saída), controlar o risco (integrando controles ao processo operacional, controle de qualidade adicional, envolvendo os melhores profissionais na gestão), compartilhar o risco com outra parte e assegurar-se contra parte ou todo o risco.
Responsabilidade pela Gestão do Risco: A responsabilidade pela gestão do risco não deve ser alocada a um único indivíduo, mas deve ser distribuída entre os responsáveis pelas diferentes atividades empresariais.
Nível de Risco Residual: Considerar o nível de risco restante após a aplicação da estratégia de controle, aonde a empresa precisa conhecer seu perfil de risco e como gerenciá-lo.
Mecanismos de Alerta Precoce: Processos de relatórios que permitem à administração ser alertada antes que um problema se torne um desastre, em um estágio em que ações podem ser tomadas para mitigar ou superar a situação. Indicadores-chave de risco (KRI) podem ser estabelecidos para dar indicação precoce de problemas potenciais.
Embora a avaliação de riscos faça parte do sistema de controle interno, os planos, programas e outras ações necessárias para abordar os riscos são uma parte essencial do processo de gestão geral, mas não são considerados elementos do sistema de controle interno.
3) Atividades de Controle
Políticas e procedimentos que garantem que as diretrizes da gestão sejam cumpridas e que ações sejam tomadas para mitigar os riscos.
As atividades de controle compreendem uma variedade de políticas e procedimentos destinados a garantir que as diretrizes da gestão sejam executadas e que as ações necessárias para enfrentar os riscos na realização dos objetivos da empresa sejam tomadas.
Essas atividades podem incluir aprovações e verificações, revisões, salvaguarda de ativos e segregação de funções, e podem ser classificadas em operações, relatórios financeiros e conformidade, embora possa haver sobreposição entre elas.
Vou então agora tentar resumir abaixo algumas destas principais atividades de controle comuns realizadas por pessoal em diferentes níveis da empresa, começando com as chamadas: revisões de nível superior, que envolvem a realização de revisões de desempenho real em comparação com orçamentos, previsões, períodos anteriores e concorrentes, que ajudam a identificar desvios e áreas que necessitam de correção, garantindo que a empresa esteja no caminho certo para alcançar seus objetivos.
Outra é a gestão direta de funções ou atividades inclui revisões de relatórios de desempenho realizadas por gestores responsáveis por funções ou atividades específicas. Isso garante que cada área da empresa esteja cumprindo suas metas e operando de maneira eficaz e eficiente.
Já o processamento de informações envolve a execução de uma variedade de controles para verificar a precisão, completude e autorização de transações, como relatórios de exceção, que são importantes para garantir a integridade dos dados financeiros e operacionais.
Enquanto que os controles físicos garantem que equipamentos, inventários, títulos e outros ativos estejam protegidos e sujeitos a verificações periódicas, o que ajuda a prevenir a perda ou uso inadequado dos ativos da empresa.
Os indicadores de desempenho envolvem a realização de análises de diferentes conjuntos de dados, operacionais ou financeiros, e das relações entre eles, além de ações investigativas e/ou corretivas, assim ao investigar resultados inesperados ou tendências incomuns, a gestão pode identificar circunstâncias em que os objetivos subjacentes da atividade estão em perigo de não serem alcançados.
Outro ponto importante é a segregação de funções, que divide e separa tarefas entre diferentes pessoas para fortalecer os cheques e minimizar o risco de erros ou abusos, o que é particularmente importante em áreas sensíveis onde a falta de segregação pode levar a fraudes ou outras irregularidades.
Embora, em geral, os processos de controle interno de entidades menores possam ser menos formais e mais flexíveis, é essencial que as políticas relevantes e os procedimentos para implementá-las sejam realizados de maneira cuidadosa, consciente e consistente. Avaliar o risco é apenas uma parte do quadro geral, e juntamente com a avaliação de riscos, a gestão precisa identificar e implementar ações necessárias para enfrentar os riscos. Essas ações também servem para focar a atenção nas atividades de controle, cujo objetivo é garantir que as ações necessárias sejam executadas de maneira eficaz e oportuna.
Dada a dependência crítica dos sistemas de informação para dados financeiros e outros, são necessários controles sobre esses sistemas, e neste sentido os controles deles podem ser divididos em:
Controles Gerais: Garantem a operação contínua do sistema, incluindo procedimentos de backup e recuperação, planejamento de contingência ou recuperação de desastres e segurança do sistema, garantindo assim que o sistema de informações esteja protegido contra falhas e ameaças, mantendo a integridade e disponibilidade dos dados.
Controles de Aplicação: Incluem etapas dentro do software aplicativo e procedimentos manuais relacionados para controlar o processamento de vários tipos de transações, garantindo assim que as transações sejam processadas corretamente, de forma completa e autorizada, minimizando o risco de erros e fraudes.
Para exemplificar isto vou tentar dar exemplos específicos de atividades de controle comumente implementadas nas empresas:
Aprovações e Autorizações: Processos que exigem aprovação prévia de transações ou atividades por um nível apropriado de autoridade, o que ajuda a garantir que todas as ações sejam revisadas e aprovadas antes de serem executadas.
Verificações e Reconciliações: Procedimentos para verificar e reconciliar registros financeiros e operacionais para garantir que estejam corretos e completos, em especial a conciliação de contas bancárias, inventários de estoque e registros de vendas.
Revisões de Desempenho: Revisões periódicas de desempenho financeiro e operacional em relação aos objetivos, metas e padrões estabelecidos, o que permite à gestão identificar desvios e tomar medidas corretivas conforme necessário.
Proteção de Ativos: Medidas para proteger ativos físicos e intangíveis da empresa contra roubo, perda ou uso não autorizado, em especial os controles de acesso físico e lógico, bem como políticas de segurança da informação.
Segregação de Funções: Divisão de responsabilidades entre diferentes indivíduos para reduzir o risco de erros ou fraudes, em especial a separação entre as funções de autorização, processamento e revisão de transações.
Controles de TI: Controles específicos para sistemas de tecnologia da informação, incluindo controle de acesso, segurança cibernética, manutenção de hardware e software, e monitoramento de sistemas para detectar e responder a incidentes de segurança.
4) Informação e Comunicação:
Processos eficazes que identificam, capturam e reportam informações relevantes em tempo hábil.
Informação e comunicação referem-se a processos e sistemas eficazes que identificam, capturam e reportam informações operacionais, financeiras e de conformidade em um formato e prazo que permitem às pessoas desempenhar suas responsabilidades, e forma ampla, a comunicação de cima para baixo sobre a importância das questões relacionadas ao controle e o papel dos indivíduos, canais para comunicar informações significativas ascendentemente e comunicação eficaz com partes externas.
A informação relevante deve ser identificada, capturada e comunicada de forma e em tempo que permitam às pessoas tomar decisões e agir sobre elas. Os sistemas de informação fornecem dados operacionais, financeiros e de conformidade, tanto internos quanto externos, que facilitam a operação e o controle de um negócio, sendo necessários para a tomada de decisões informadas e relatórios externos.
Esses sistemas precisam ser capazes de se adaptar à necessidade de apoiar novos objetivos da entidade diante de mudanças fundamentais na indústria, particularmente em setores muito inovadores e dinâmicos. Os sistemas de informação podem ser formais ou informais. Os informais podem incluir discussões com clientes, fornecedores, reguladores e empregados, que podem fornecer informações úteis para auxiliar na identificação de riscos e oportunidades. A participação em seminários empresariais e a associação a entidades comerciais, profissionais e outras também podem fornecer fontes de informações relevantes.
A qualidade da informação gerada pelo sistema afeta a capacidade da gestão de tomar decisões apropriadas. É crucial que os relatórios contenham dados suficientes e relevantes para apoiar um controle eficaz e que o design do sistema aborde essa necessidade.
Já a comunicação eficaz deve fluir em todas as direções dentro da organização. Os empregados devem receber uma mensagem clara da alta administração de que as responsabilidades de controle devem ser levadas a sério. Eles devem entender seu próprio papel no sistema de controle interno e como suas atividades individuais se relacionam com o trabalho dos outros. Eles também devem ter meios de comunicar informações significativas para os níveis superiores, o que implica ter canais de comunicação abertos e uma disposição por parte dos gestores seniores para ouvir. Um ambiente em que os empregados temam represálias por reportar informações relevantes anulará o objetivo dos controles.
O pessoal deve estar ciente de que, sempre que ocorrer algo inesperado, a atenção deve ser dada não apenas ao evento em si, mas também à determinação da causa. Eles precisam saber como suas atividades se relacionam com o trabalho dos outros, o comportamento esperado ou aceitável e o que não é aceitável.
A comunicação entre a alta gestão e o conselho e os comitês do conselho é crítica, neste sentido a alta gestão deve manter o conselho atualizado sobre desempenho, desenvolvimentos, riscos significativos, iniciativas importantes e outras questões relevantes, enquanto que o conselho, por sua vez, deve comunicar à gestão as informações que necessita e fornecer orientação e feedback.
Também é necessário haver comunicação eficaz com partes externas, como acionistas, clientes, fornecedores e reguladores. Clientes e fornecedores podem fornecer informações muito úteis sobre, por exemplo, o design e a qualidade de produtos e serviços. Comunicações de partes externas, como auditores externos e reguladores, podem fornecer feedback valioso sobre o funcionamento do sistema de controle interno de uma entidade. A comunicação aberta com acionistas, analistas financeiros etc., pode indicar quais informações são relevantes para suas necessidades.
Abaixo alguns exemplos de práticas de comunicação eficazes:
Relatórios Regulares: Estabelecer relatórios periódicos detalhados sobre o desempenho operacional, financeiro e de conformidade, que são revisados pela alta administração e pelo conselho de administração.
Reuniões de Feedback: Realizar reuniões regulares entre a gestão e os empregados para discutir feedback sobre processos e operações, identificando áreas de melhoria e compartilhando melhores práticas.
Sistemas de Denúncia: Implementar canais seguros e confidenciais para que os empregados possam reportar preocupações ou violações de forma anônima, sem medo de represálias.
Uso de Tecnologia: Utilizar sistemas de TI para facilitar a comunicação e a disponibilidade de informações relevantes em tempo real, permitindo uma resposta rápida a questões emergentes.
Transparência com Partes Externas: Manter uma comunicação aberta e transparente com acionistas e outras partes interessadas, fornecendo informações claras e precisas sobre a saúde financeira e operativa da empresa.
5) Monitoramento:
Processo que avalia a adequação e qualidade do desempenho do sistema de controle interno ao longo do tempo.
Os sistemas de controle interno precisam ser monitorados para garantir que continuem operando de maneira eficaz, o que envolve um processo contínuo de avaliação da qualidade do desempenho do sistema de controle interno ao longo do tempo. Isso é realizado através de atividades de monitoramento contínuo e/ou avaliações separadas, e as deficiências no controle interno devem ser reportadas ao nível apropriado na hierarquia, que pode ser, por exemplo, a alta administração, o comitê de auditoria ou o conselho de administração.
As atividades de monitoramento contínuo são incorporadas às atividades operacionais recorrentes da entidade e são realizadas em tempo real, reagindo às mudanças conforme elas ocorrem. Esse tipo de monitoramento é geralmente mais eficaz do que as avaliações separadas, pois permite uma resposta rápida a problemas emergentes. O monitoramento contínuo envolve a avaliação, por pessoal apropriado, do design e da operação dos controles, bem como a tomada de ações de acompanhamento adequadas.
As avaliações separadas são realizadas periodicamente e são necessárias para fornecer à gestão uma garantia razoável sobre a eficácia do sistema de controle interno. A frequência dessas avaliações é uma questão de julgamento e depende de vários fatores, incluindo a natureza e o grau das mudanças ocorridas e seus riscos associados, a competência e experiência do pessoal que implementa os controles e os resultados do monitoramento contínuo.
Frequentemente, as avaliações assumem a forma de autoavaliação, onde as pessoas responsáveis por uma unidade ou função específica determinam a eficácia dos controles para suas atividades. Por exemplo, o diretor executivo de uma divisão pode iniciar a avaliação e avaliar pessoalmente os fatores do ambiente de controle. Os gerentes de linha podem se concentrar principalmente nos objetivos operacionais e de conformidade, enquanto o controlador divisional pode se concentrar nos objetivos de relatórios financeiros. A gestão corporativa revisa a avaliação da divisão, juntamente com as avaliações de outras divisões.
Os auditores internos normalmente realizam avaliações de controle interno como parte de suas funções regulares ou a pedido do conselho ou da alta administração, assim como o trabalho dos auditores externos também pode ser considerado ao avaliar a eficácia do controle interno.
A documentação do sistema de controle interno pode variar de acordo com o tamanho e a complexidade da entidade, onde em empresas maiores são mais propensas a ter manuais de políticas escritos, organogramas formais, descrições de cargos por escrito, instruções operacionais, fluxogramas de sistemas de informação, entre outros, enquanto que em empresas menores tendem a ter menos documentação, embora isso não signifique necessariamente que seu controle interno seja menos eficaz. No entanto, um nível adequado de documentação pode tornar a avaliação mais eficiente, facilitar a compreensão dos empregados sobre como o sistema funciona e seu papel nele, e tornar mais fácil a modificação do sistema quando necessário.
Todas as deficiências de controle interno que possam afetar a realização dos objetivos da entidade devem ser reportadas àqueles que estão em posição de tomar as ações necessárias. As informações geradas pelos empregados ao realizar atividades operacionais regulares são normalmente reportadas através de canais normais a seu supervisor, que pode, por sua vez, reportá-las ascendentemente ou lateralmente, conforme apropriado. Deve haver um canal alternativo para reportar informações muito sensíveis, como atos ilegais ou inadequados. As constatações de deficiências devem geralmente ser reportadas não apenas ao indivíduo responsável pela função ou atividade envolvida, que é capaz de tomar medidas corretivas, mas também a pelo menos um nível de gestão acima dessa pessoa. Esse procedimento permite uma supervisão de nível mais alto e suporte para a tomada de medidas corretivas, facilitando a comunicação com outras partes da organização cujas atividades também podem ser afetadas.
Prover informações sobre deficiências de controle interno à parte correta é crítico para a eficácia contínua do sistema. Protocolos podem ser estabelecidos para identificar quais informações são necessárias em um determinado nível para a tomada de decisões. As partes a quem as deficiências devem ser comunicadas podem prescrever diretrizes específicas sobre as informações a serem reportadas. O conselho ou o comitê de auditoria, por exemplo, pode solicitar à gestão, ou aos auditores internos ou externos, que comuniquem apenas aquelas constatações de deficiências que atingem um certo limiar de seriedade ou importância.
Abaixo alguns exemplos de monitoramento eficaz:
Revisões de Desempenho Regular: Realização de revisões periódicas das operações e conformidade com as políticas internas para identificar quaisquer desvios ou áreas que necessitem de melhoria.
Auditorias Internas: Execução de auditorias internas regulares para avaliar a eficácia dos controles internos e garantir que estejam funcionando conforme planejado.
Relatórios de Exceção: Utilização de relatórios de exceção para identificar transações ou atividades que não atendem aos critérios estabelecidos, permitindo uma análise e correção imediata.
Feedback Contínuo: Implementação de mecanismos de feedback contínuo, onde os funcionários podem reportar problemas ou preocupações diretamente à gestão.
Avaliações de Risco: Realização de avaliações de risco periódicas para identificar novos riscos ou mudanças em riscos existentes, ajustando os controles conforme necessário.
Necessidade de Treinamento:
Para garantir a eficácia do sistema de controle interno, é essencial que diretores e gestores recebam treinamento adequado. Esse treinamento deve abranger a compreensão dos controles internos, sua função e escopo, incluindo a conformidade com requisitos regulatórios e a garantia de que os objetivos empresariais sejam alcançados. Programas de treinamento podem ser fornecidos internamente ou por meio de instituições de treinamento e órgãos profissionais.
Gestão de Riscos:
A gestão de riscos é um processo contínuo que envolve a compreensão dos objetivos organizacionais, a identificação dos riscos associados, a avaliação da probabilidade e impacto desses riscos, o desenvolvimento de programas para endereçá-los e o monitoramento e avaliação das estratégias de mitigação adotadas.
Os riscos podem afetar diversas áreas, como estratégia, operações, finanças, tecnologia e meio ambiente. A gestão eficaz de riscos ajuda a reduzir a probabilidade de que os objetivos corporativos sejam comprometidos por eventos imprevistos. A diretoria deve determinar o tipo e a extensão dos riscos aceitáveis para a empresa e trabalhar para mantê-los dentro desses níveis.
Integração do Processo:
Para que o controle interno e a gestão de riscos sejam eficazes, eles devem estar integrados aos processos de negócios da empresa. Isso significa que os mecanismos de controle e os processos de gestão de riscos devem ser incorporados aos sistemas de informações gerenciais existentes. A implementação de controles e a gestão de riscos não devem ser vistos como uma carga adicional, mas como parte integrante da operação diária, permitindo que cada funcionário esteja focado em atingir os objetivos empresariais e gerenciar os riscos significativos relacionados às suas tarefas.
A integração eficaz proporciona a remoção de controles duplicados ou desnecessários, criando um ambiente onde, sujeita a práticas sólidas de gestão de riscos, há mais capacitação para os funcionários trabalharem visando atender às necessidades dos clientes. A alta administração e o conselho devem assegurar que tenham relatórios oportunos, relevantes e confiáveis sobre o progresso em relação aos objetivos empresariais e aos riscos significativos.