Observei que muitas organizações ainda não compreendem ou aplicam corretamente os controles internos. Mesmo auditores internos e especialistas em controles internos frequentemente têm dúvidas sobre o conceito e o uso prático dos controles internos.
Primeiro, vamos definir controle interno — ou, mais precisamente, atividades de controle, conforme definido pelo Internal Control–Integrated Framework (ICIF) do COSO:
“As atividades de controle são as ações estabelecidas por meio de políticas e procedimentos que ajudam a garantir que as diretrizes da administração para mitigar riscos à consecução dos objetivos sejam cumpridas. As atividades de controle são executadas em todos os níveis da entidade, em várias etapas dos processos de negócios e em todo o ambiente tecnológico. Podem ter natureza preventiva ou detetiva e podem abranger uma série de atividades manuais e automatizadas, como autorizações e aprovações, verificações, reconciliações e análises de desempenho do negócio.”
Para tornar esse conceito mais acessível, defino controle interno como:
“Ações baseadas em políticas e procedimentos destinadas a mitigar a probabilidade de materialização de um fator de risco.”
Na minha visão, as atividades de controle interno só são eficazes se estivermos gerenciando a probabilidade de risco, especialmente quando o fator de risco é de origem interna. Portanto, não faz sentido usar controles internos para mitigar o impacto de um evento de risco. No máximo, podemos ter um processo de monitoramento — que é um componente de um sistema de controle interno — projetado para detectar a materialização desses impactos.
Outro ponto importante é que uma atividade de controle deve sempre estar vinculada à mitigação de um ou mais fatores de risco.
Como sabemos, nenhum controle interno é absoluto. Os controles podem falhar, seja porque são executados por pessoas, seja porque são configurados por pessoas. E as pessoas podem cometer erros, omitir etapas ou até fraudar. Portanto, uma falha de controle não significa necessariamente que ele seja ineficaz. Se ele falhar dentro da margem esperada pelo avaliador e o risco residual após a aplicação do controle permanecer dentro do apetite de risco definido pela organização, então o controle ainda pode ser considerado adequado.
Agora estamos prontos para explorar a estrutura interna das atividades de controle e entender o que chamo de seus atributos-chave.
Esses atributos definem a estrutura e as condições sob as quais uma atividade de controle pode ser considerada eficaz. Eu os divido em cinco elementos essenciais:
Objetivo da Atividade de Controle
É a razão pela qual o controle existe. Está diretamente relacionado ao fator de risco associado. De fato, podemos dizer que o objetivo do controle é a “visão positiva” do fator de risco.
Exemplo: Se o fator de risco é que uma requisição de compra possa ser emitida sem aprovação do gerente responsável, possivelmente resultando em compras desnecessárias, então o objetivo do controle no início do processo de compras é: “Garantir que todas as requisições recebidas estejam assinadas por um gerente responsável autorizado.”
Ação de Controle
Todo controle é uma ação, mais especificamente, uma ação que confirma se uma tarefa previamente executada está adequada. Os controles são sempre pontos de decisão, razão pela qual são representados em fluxos de processo como losangos (gateways).
As ações de controle podem incluir: revisões, recálculos, verificações, confirmações físicas, reconciliações, validações, autorizações, aprovações etc.
Compreender essa distinção é crucial para especialistas em controle interno e auditores diferenciarem uma ação de controle de uma tarefa operacional durante entrevistas ou walkthroughs. No exemplo anterior: a ação de controle para garantir que as requisições estejam devidamente assinadas seria uma revisão ou verificação.
Execução da Ação de Controle
Esse atributo refere-se a como a ação de controle é realmente realizada. Compreender o método de execução é fundamental para avaliar a capacidade do controle de mitigar o risco associado.
Isso também é essencial para realizar testes de eficácia e eficiência. Exemplo: Quando uma requisição de compra é recebida pelo sistema de e-mail da empresa, o PDF anexado é aberto e verificado quanto à evidência de aprovação em um campo designado. Se faltar aprovação, a requisição é devolvida ao solicitante. Se houver aprovação, ela é comparada com a política e a matriz de aprovações da empresa. Se o signatário não tiver autoridade adequada, a requisição é devolvida. Se tudo estiver válido, o revisor envia um e-mail de confirmação para que a requisição prossiga no processo de compras.
Evidência de Execução
Esse atributo é essencial porque é por meio da evidência que podemos confirmar se um controle foi executado. Em auditoria, um controle sem evidência é considerado inexistente. No passado, a evidência era muitas vezes física — assinaturas, carimbos, rubricas. Hoje, pode ser digital — logs de sistema, anexos de e-mail, execuções de algoritmos, caixas de seleção em interfaces de sistema etc.
No nosso exemplo: a evidência da execução do controle é o e-mail de confirmação enviado pelo revisor.
Frequência de Execução
Esse atributo refere-se a quão frequentemente o controle deve ser executado para ser eficaz. A frequência depende da natureza do fator de risco e da atividade operacional que se pretende controlar. Os controles podem ser executados por evento (como no exemplo da requisição de compra) ou diariamente, semanalmente, mensalmente e assim por diante.
O ponto importante é que a frequência deve estar alinhada ao nível de risco envolvido e à necessidade de mitigação.
Compreender os cinco atributos das atividades de controle interno é essencial — tanto para projetar novos controles quanto para avaliar os já existentes.
É aqui que a Matriz de Controles Internos entra em cena. Ela formaliza esses atributos, fornecendo uma base para que auditores internos e especialistas avaliem a adequação e a eficácia dos controles.
Por fim, lembre-se:
Um controle só pode ser considerado eficaz se o risco residual (isto é, o risco remanescente após a aplicação dos controles) estiver alinhado ao apetite de risco da organização.
Também vale notar que, embora um único controle possa ser eficaz, isso não significa automaticamente que todo o sistema de controles internos seja eficaz. O sistema compreende o desempenho combinado de múltiplas atividades de controle.
Espero que este artigo ajude você a entender melhor o que são as atividades de controle interno e como elas devem ser estruturadas.
Be happy!