Suporte Okai

Tudo o que você precisa para tirar dúvidas sobre cursos, certificados, pontuação do CRC e OK.

Índice da coleção

Registrar controles

Aplica-se a: Controles preventivos, detectivos ou corretivos usados para mitigar riscos, atender requisitos regulatórios, sustentar auditorias e orientar execuções periódicas na Okai.

Controle precisa ser executável

Um controle bem registrado não é uma intenção de governança. Ele descreve uma verificação, aprovação, reconciliação, bloqueio, revisão ou ação recorrente que alguém consegue executar e comprovar. Se o registro diz apenas que a área deve monitorar um risco, ainda falta transformar a intenção em um mecanismo observável.

Na Okai, o controle conecta a obrigação ou o risco ao trabalho real: o que será feito, quando, por quem, sobre qual escopo e com qual evidência. Essa clareza ajuda a explicar por que determinada tarefa existe e como a mitigação será demonstrada.

Antes de preencher, teste a frase principal: este controle reduz este risco porque esta atividade acontece nesta frequência e deixa esta evidência. Se a frase não fecha, o desenho operacional ainda precisa amadurecer.

Critério de qualidade: Quem abrir o controle depois deve conseguir entender o que ele mitiga e como confirmar que foi executado, sem depender de memória da equipe ou de explicação fora da plataforma.

Quando registrar e quando esperar

Registre um controle quando já existe uma prática definida ou uma decisão clara de implementação. Se a resposta ao risco ainda está em discussão, comece por uma tarefa, plano de ação, análise ou decisão de aplicabilidade.

  • Registre como controle quando houver uma atividade repetível, uma pessoa ou papel responsável e um critério objetivo de execução.
  • Use controle preventivo quando a ação evita a ocorrência do problema, como aprovação prévia, bloqueio de operação ou validação antes de envio.
  • Use controle detectivo quando a ação identifica desvios depois que eles podem ter ocorrido, como conciliação, revisão amostral ou monitoramento periódico.
  • Use controle corretivo quando a ação trata um desvio identificado, reduz impacto ou restabelece conformidade.
  • Evite registrar como controle uma política ampla sem execução associada. A política pode ser fonte ou requisito, mas o controle precisa operar.

Não esconda incerteza no cadastro: Se ninguém sabe qual evidência comprova o controle ou qual área responde pela execução, resolva essa definição antes de marcar o controle como pronto.

Decisões que sustentam o registro

O preenchimento deve explicar o desenho do controle. Os campos formam o contrato de execução entre risco, obrigação, responsável e evidência.

  • Objetivo: descreva o que o controle pretende impedir, detectar ou corrigir. Prefira uma frase ligada ao risco, não uma descrição vaga de rotina.
  • Escopo: indique processo, produto, área, base de dados, obrigação ou conjunto de casos cobertos. Sem escopo, não dá para saber se uma falha está dentro ou fora do controle.
  • Natureza: classifique como preventivo, detectivo ou corretivo conforme o momento em que o controle atua sobre o risco.
  • Frequência: defina quando a execução ocorre, como diária, mensal, trimestral, por evento ou antes de uma entrega regulatória.
  • Responsável: escolha quem tem capacidade de operar, cobrar ou atestar a execução. Se a responsabilidade é de uma área, deixe claro quem movimenta o registro na prática.
  • Evidência esperada: registre o artefato que comprova execução, como relatório, log, aprovação, ata, planilha conciliada, protocolo, captura, formulário ou anexo.
  • Critério de conclusão: explique quando a execução pode ser considerada concluída e o que torna a evidência suficiente.
  • Vínculos: associe riscos, requisitos, obrigações ou tarefas que explicam por que o controle existe.

Frequência por evento: Quando o controle não tem calendário fixo, descreva o gatilho. Por exemplo: antes de publicar uma divulgação, sempre que houver alteração normativa aplicável ou após abertura de incidente crítico.

Registrar o controle na Okai

  1. Comece pela origem: Abra o risco, requisito, obrigação ou projeto que motivou o controle. O registro deve nascer perto da causa para preservar relevância, prioridade e impacto.
  2. Dê um título operacional: Use um nome que revele a ação controlada. Títulos como revisão mensal de acessos administrativos ou conciliação de protocolos enviados ao regulador são mais úteis que monitoramento de conformidade.
  3. Descreva objetivo e escopo: Explique qual exposição o controle mitiga e onde ele se aplica. Inclua limites importantes, como sistemas cobertos, período analisado, população revisada ou exceções conhecidas.
  4. Defina natureza, frequência e responsável: Classifique o tipo de controle, escolha a periodicidade ou gatilho e atribua o responsável pela operação. Essas escolhas determinam como a rotina será cobrada e revisada.
  5. Informe a evidência esperada: Descreva o material que deve ficar anexado, preenchido ou referenciado depois da execução. Se houver aprovação ou revisão secundária, registre também essa expectativa.
  6. Relacione itens dependentes: Associe riscos, requisitos, tarefas, formulários ou projetos que dependem desse controle. O vínculo evita que a execução fique isolada e facilita demonstrar cobertura.

Evidência não pode ser improvisada no fim

A evidência esperada deve ser definida junto com o controle, não apenas quando alguém solicita comprovação. Esse cuidado muda a execução: a equipe sabe o que coletar, quais aprovações registrar e onde anexar o resultado.

Pense na evidência como resposta a uma pergunta específica. Para um controle preventivo, ela mostra se a validação ocorreu antes da ação. Para um detectivo, se a revisão encontrou ou descartou exceções. Para um corretivo, se o desvio foi tratado.

  • Boa evidência identifica período, população ou evento analisado.
  • Boa evidência mostra quem executou ou aprovou, quando isso ocorreu e qual foi o resultado.
  • Boa evidência permite rastrear exceções e decisões tomadas.
  • Evidência fraca apenas afirma que o controle foi feito.
  • Evidência incompleta ignora parte do escopo, não mostra data ou não conecta resultado ao risco mitigado.

Exceções fazem parte do controle: Se a execução encontrou falhas, registre exceções e encaminhamentos. Um controle que detecta problema não falhou por isso; o problema é esconder a exceção ou concluir sem tratamento.

Vínculos mostram cobertura

Um controle isolado perde força. Para demonstrar governança, conecte-o aos riscos que mitiga, aos requisitos que atende e às tarefas que executam ou acompanham o ciclo.

  • Relacione o controle ao risco quando ele reduz probabilidade, impacto ou tempo de detecção.
  • Relacione ao requisito quando o controle demonstra cumprimento de uma obrigação normativa, contratual ou interna.
  • Relacione a tarefas quando a execução precisa ser acompanhada por prazo, responsável, comentários e anexos.
  • Revise vínculos depois de mudanças normativas, reorganização de áreas, troca de sistema ou alteração no processo controlado.

Não use vínculo para corrigir classificação errada: Se o controle aparece associado ao risco, requisito ou tarefa incorreta, corrija a origem do vínculo. Não compense com título, comentário ou etiqueta que contradiz o dado principal.

Sinais de que o controle ficou auditável

Depois de registrar, avalie o controle pela capacidade de sobreviver a uma revisão. Um bom registro transforma a execução em histórico verificável.

  • O objetivo explica o risco ou obrigação mitigada, sem linguagem genérica.
  • A frequência ou o gatilho deixa claro quando o controle deve ocorrer.
  • O responsável sabe qual ação precisa realizar e quando deve registrá-la.
  • A evidência esperada comprova execução, resultado e eventuais exceções.
  • Os vínculos levam aos riscos, requisitos, tarefas ou projetos corretos.
  • O controle continua válido depois de mudanças recentes no processo, norma, sistema ou responsável.

Diagnóstico de registros frágeis

Quando o controle não ajuda a demonstrar mitigação, investigue o desenho antes de ajustar texto superficialmente. A causa costuma estar em objetivo amplo demais, evidência fraca, frequência incompatível ou vínculo incorreto.

  1. O controle parece uma intenção: Procure a ação verificável. Se não houver atividade concreta, transforme a decisão em plano de ação ou redesenhe o controle.
  2. A frequência não fecha com a obrigação: Compare calendário regulatório, ciclo interno, gatilhos por evento e prazo de evidência. Ajustar apenas a próxima tarefa pode deixar os ciclos futuros errados.
  3. A evidência existe, mas não comprova: Verifique se o arquivo mostra período, escopo, executor, resultado e aprovação necessária. Se ele apenas menciona a rotina, complemente com a evidência correta.
  4. O responsável não consegue operar: Confirme se a pessoa ou área tem acesso, autoridade e informação para executar o controle. Se a responsabilidade real está em outro ponto do processo, corrija o registro.
  5. A auditoria pede algo que não está no vínculo: Siga a pergunta até a origem: risco, requisito, tarefa ou evidência. Corrija o relacionamento correto em vez de criar uma descrição que prometa cobertura que o dado não sustenta.

O registro deve contar a história do controle: A história mínima é simples: por que o controle existe, como ele opera, quem responde, quando acontece, que evidência fica registrada e qual risco ou obrigação recebe cobertura.