Não existe, na bibliografia sobre controles internos, uma padronização para os atributos e classificação do controle interno. Cada instituição profissional e/ou cada autor, acabam utilizando o seu entendimento sobre a categorização do controle, os quais, não necessariamente seguem o mesmo padrão.

Esta falta de padronização gera alguns entendimentos equivocados, o que impacta negativamente o entendimento da primeira linha de gestão sobre este importante instrumento para a mitigação dos fatores de riscos.

Este artigo, tem como objetivo, trazer para nossa reflexão, uma visão mais estruturada para o tema controles internos, e quem sabe iniciar uma padronização conceitual.

Para que possamos iniciar esta jornada, vamos, primeiro, com base no COSO ICF, relembrar o conceito de controle interno.

Ele diz que:

“Controle interno é um evento ou ação, formalizada em políticas e procedimentos, a qual tem como objetivo a mitigação da probabilidade do evento de riscos se materializar e impactar adversamente a capacidade do processo em alcançar seus objetivos.”

Analisando esta definição, dois pontos ficam claros:

·         A existência de um controle interno está intimamente relacionada com seu alinhamento na mitigação de um ou mais fatores de riscos,

·         E que ele somente é efetivo quando existe condição da gestão da probabilidade. Ele não é adequado e nem efetivo para a mitigação do impacto.

Agora vamos entender a diferença entre o controle e uma tarefa. Ainda encontro muita confusão no entendimento destes conceitos nas organizações. É muito importante, para a qualidade do gerenciamento de riscos e dos processos, saber identificar de forma clara o controle, diferenciando-o de uma tarefa, principalmente quando estamos modelando ou mapeando um processo operacional.

Vejamos o conceito de tarefas:

·         Tarefa – Por conceito, uma tarefa é uma atividade que deve ser realizada para auxiliar o processo operacional alcançar seus objetivos e entregas. Pode ser uma emissão, registro, cálculo, listagem, arquivamento, elaboração, preenchimento e outros,

Agora, vejamos o controle:

·         Controle – É uma ação que visa mitigar a materialização de um evento de risco que impactará adversamente a realização de uma tarefa, processamento de dados e/ou informações, ou na qualidade do produto objeto do processo. Pode ser uma revisão, conferência, recálculo, aprovação, validação, autorização e outros.

Em tese, a atividade de controle é a ação que confirma que a tarefa ou processamento foi realizada em conformidade com os procedimentos pré-estabelecido.

Qualquer não conformidade na tarefa executada é prontamente identificada pelo controle, solicitando assim, que a tarefa seja retrabalhada. Não permitindo que esta não conformidade contamine o processo e impacte na qualidade do produto do processo.

Esta dinâmica de “Fazer” e “Revisar”, durante o processamento das atividades, aumenta a capacidade do processo em alcançar seus objetivos e entregar produtos com a qualidade requerida.

Prosseguindo em nossa caminhada, precisamos agora, conhecer os atributos do controle interno. Estes atributos são importantes para que possamos modelar ou avaliar um controle interno, principalmente na avaliação do desenho (eficiência) do controle.

De forma objetiva, os atributos básicos do controle são: objetivo, ação, evidência e periodicidade.

Vejamos estes atributos com um pouco mais de detalhe:

·         Atributo I - Objetivo: Se relaciona com o fator de risco que mitiga, é possível dizer que ele é a visão positiva do fator de risco, exemplo:

o   Fator de Risco: registro errado, no sistema, das informações da nota fiscal.

o   Objetivo do Controle: Assegurar a consistência do registro da nota fiscal no sistema eletrônico. 

·         Atributo II - Ação: é a atividade de execução do controle, pode ser uma revisão, uma conferência, um recálculo, uma aprovação e etc. Levando em conta o exemplo no item I, podemos exemplificar a ação:

o   Ação do controle: Conferência dos dados registrados no sistema em comparação com a nota fiscal. 

·         Atributo III - Evidência: é a “marca” que demonstra que o controle foi executado, podendo ser um carimbo, um visto, um tick, um check box no sistema, um log, um e-mail e outros. Considerando o exemplo acima, podemos dizer que a evidência é:

o   Evidência: Marca de conferido, em um check box na tela do sistema onde acontece o registro da nota fiscal.

·         Atributo IV - Periodicidade: Refere-se quando o controle precisa ser executado, o qual pode ser diário, semanal, mensal, por evento e outros.

o   Periodicidade: A conferência do registro da nota fiscal no sistema deve acontecer a cada evento de registro.

Observe que estes atributos nos proporciona uma visão mais detalhada do controle, o que para os profissionais especialistas em controles internos e/ou os auditores internos, é essencial para que possam modelar, avaliar a eficiência e/ou eficácia do controle.

Agora, para a complementarmos este entendimento, é importante também definirmos os tipos de controle, tomando como base as características de execução. Podemos classificar o controle em: manual, eletrônico e automático.

·         O controle manual é aquele que precisa apenas do indivíduo para ser executado,

·         Enquanto que o controle eletrônico precisa do indivíduo interagindo com o sistema eletrônico,

·         E o controle automático, precisa apenas do sistema para ser executado.

Antes dos sistemas eletrônicos, os controles eram manuais. Com a aplicação dos sistemas eletrônicos nos processos corporativos, os controles migraram para controles eletrônicos. Agora, com a convergência da automação e digitalização dos processos operacionais, estamos vivenciando a segunda onda dos controles, também convergindo para controles automatizados, baseados principalmente em algoritmos.

Para complementar nosso estudo sobre controles internos, precisamos trabalhar o entendimento sobre a natureza do controle.

A visão que trazemos sobre a natureza do controle é baseada em uma visão de processo, o qual tem o início, o processamento e no final a entrega de seus produtos.

Considerando isto, definimos a natureza conforme a essência do controle, podendo ser: preventivos, detectivos e corretivos.

Vejamos o conceito e a definição de cada uma delas:

·         Os controles preventivos são aqueles localizados antes do inicio do processo. Eles têm como objetivo prevenir o acesso de pessoas sem perfil ou autorização, documentos incompletos ou errados, dados ou informações não autorizadas e etc.

·         Os controles detectivos são os controles existentes durante o processamento das atividades do processo, após do início até o final do processo. O objetivo destes controles é mitigar a probabilidade de a tarefa ser executada fora do previsto e/ou das informações ou dados serem processados sem consistência e/ou integridade. Eles detectam, e solicitam a correção, antes de passar para a próxima tarefa.

·         Já os controles corretivos, são os controles executados sob o produto oriundo do processo, os quais tem o objetivo de solicitar a correção do produto do processo, se for identificado alguma anomalia ou problemas de qualidade, de integridade e/ ou de consistência do produto do processo.

Lembre-se que a efetividade do controle interno está relacionada com sua capacidade de trazer o fator de risco para um nível aceitável de risco, o qual deve estar alinhado ao apetite a risco definido pela corporação.

Agora já temos uma visão mais estruturada sobre os atributos e natureza dos controles internos, entretanto, é importante salientar que estes controles devem fazer parte de um conjunto sistêmico e integrado aplicado no processo operacional, o qual chamamos de sistema e controle interno, mas isto será tema para um outro artigo

Espero que este artigo o ajude a se aprofundar no estudo sobre controle interno e com isto consolidar sua compreensão sobre o tema, mas no final de tudo, o que importa é que você,

Seja Feliz!