3. ESTUDO DE CASO
3.4. Abordagem para Coleta e Análise das Evidências
Para a realização da pesquisa obteve-se autorização da Alta Administração da instituição financeira objeto da pesquisa, a qual concordou com a realização da pesquisa desde que mantido sigilo sobre o nome da instituição e das pessoas-chave entrevistadas.
O protocolo do estudo de caso considera que o estudo de caso foi realizado em Instituição Financeira de Grande Porte, onde cada uma das funções de controle “Controles Internos”; “SOX Compliance” e “Gestão de Riscos Operacionais” é analisada verificando a sua contribuição a cada componente de controle definido pelo COSO. Os dados primários são obtidos através de entrevistas e questionários. Os dados secundários são obtidos através de análise documental (políticas, “checklists”, certificados, fluxogramas, atas de reuniões, estatísticas de perdas e
eventos e planos de ação) e observação (através da participação em comitês e reuniões e avaliações de riscos).
Antes mesmo do início dos trabalhos de coleta e análise de evidências uma pesquisa bibliográfica havia sido realizada sobre os temas: Controles Internos; Gestão de Riscos Operacionais; SOX Compliance e Governança Corporativa.
Um primeiro questionário (Apêndice I) foi utilizado como forma de obter um entendimento sobre o histórico da estruturação das funções de controle na instituição. Este questionário, com 48 perguntas abertas, foi direcionado aos Gerentes Seniores responsáveis pelos departamentos de controle: Compliance; Controles Internos / Revisores de Processos; SOX Compliance e Gestão de Riscos Operacionais. O índice de respostas foi de 100%. Através deste questionário foi possível entender a história de criação destas funções, seus principais objetivos, nível de interação com outras áreas, abordagens em uso para melhoria do ambiente de controle, para identificação e avaliação de riscos; para monitoramento de controles internos; processo de informação e comunicação, sistemas utilizados, etc. Após a obtenção de respostas aos questionários, uma entrevista foi realizada com cada um destes gerentes seniores com o objetivo de esclarecer dúvidas e captar um pouco do clima e enriquecer o entendimento sobre as respostas apresentadas.
Deu-se o encaminhamento e entrevistas em torno do primeiro questionário, novas entrevistas foram realizadas com o objetivo de coleta de dados e evidências, ocasião em que se coletou cópia das políticas de gestão de riscos de cada área; organogramas; atas de reuniões dos comitês em que estas áreas participam, como por exemplo: do Comitê de Gestão de Riscos Operacionais e Controles Internos, do Comitê Local de SOX Compliance e do Comitê de “Legal e Compliance”; além de outras evidências como: checklists; certificados; treinamentos “on-line”; documentação de processos; matrizes de riscos e controle; principais apontamentos de auditoria pendentes de solução; estatísticas de perdas operacionais. Este segundo ciclo de entrevistas teve por objetivo reduzir vieses que poderiam ter sido causados pela forma como o questionário foi elaborado.
A participação em cinco visitas feitas pela área de SOX Compliance para a realização das reuniões de Risk and Control Self Assessment e para testes da efetividade de controle permitiu verificar como é o nível de interação entre a área de SOX Compliance e os focais de SOX e gestores de processos. A participação como ouvinte nos Comitês de Legal e Compliance; de Gestão de Riscos Operacionais e
Controle Internos e no Comitê Local de SOX Compliance permitiu entender com maior profundidade a dinâmica de análise e monitoramento exercido por estes Comitês às questões de controles internos.
Com o objetivo de corroborar entendimentos, principalmente relacionados ao nível de integração entre as funções de controle, um segundo questionário (Apêndice II) foi desenvolvido e direcionado para 53 gerentes-seniores de funções de controle, áreas de suporte e áreas de negócios Foram recebidas 34 respostas ao segundo questionário, um índice de respostas de 64%.
Os questionário e entrevistas e coletas de evidências tiveram por objetivo responder às seguintes questões, as quais o autor entende que permitem um encadeamento de conceitos de modo a se concluir sobre a questão de pesquisa (“como e por que integrar as funções de controle?)”.
1. Como as funções de controle capturam informações junto às áreas de negócios? (Avaliação de Riscos – dentro da estrutura do COSO).
2. Como realizam a identificação e avaliação de riscos? (Avaliação de Riscos – dentro da estrutura do COSO).
3. Como se certificam de que os controles internos estão sendo realizados? (Controles Internos e Monitoramento – Dentro da Estrutura do COSO). 4. Como classificam os riscos? (Comunicação e Avaliação de Riscos – do
COSO).
5. A quem reportam os resultados de suas análises? (Comunicação do COSO).
6. Como se dá a participação de outras funções de controle nestas atividades? (Integração, Ambiente de Controle).
7. Como as funções de controle poderiam se aproveitar de uma maior integração? (Integração, Ambiente de Controle).
8. Por que as funções de controle não aproveitam as oportunidades de maior integração? (Ambiente de Controle – COSO).
9. Como são impactadas as áreas de negócios e operações? (Ambiente de Controle – COSO).
As diferentes fontes de evidências foram utilizadas de forma a permitir a “triangulação” (YIN, 2005, p.125) com vistas a confirmar a validade das evidências
identificadas. As evidências obtidas das diversas fontes convergem em relação ao mesmo conjunto de fatos ou descobertas.
Análise foi realizada das evidências obtidas em conjunto com pesquisa bibliográfica os quais permitiram chegar aos entendimentos necessários para construir um encadeamento entre estas evidências, as questões de pesquisa e a teoria geral na qual se baseou o presente estudo, conduzindo-se às conclusões que confirmaram a teoria geral de que as funções de controle poderiam adicionar maior valor através de medidas que se voltassem a uma maior integração entre estas áreas.
O relatório do estudo foi apresentado a diferentes Gerentes Seniores responsáveis pelas funções de controle os quais concordaram com as conclusões do trabalho, o que permitiu confirmar a sua validade externa, tal como descrito por Yin (2005, p.58). Entretanto, salienta-se que as conclusões extraídas deste estudo são pessoais do seu autor, pois refletem sua interpretação aos dados coletados, e não refletem necessariamente a posição oficial da instituição objeto do estudo e nem das pessoas que participaram da pesquisa.
Os resultados das análises às respostas aos questionários I e II (apêndices I e II) deste estudo, das entrevistas, análises de documentos e observação, são apresentados nos próximos capítulos sendo que:
- O capítulo 4 apresenta análise às respostas obtidas do questionário II que trata sobre a percepção existente entre os gerentes seniores sobre o nível de integração das funções de controle.
- Os resultados apresentados no capítulo 5 se fundamentam nas respostas obtidas ao questionário I (apêndice I), o qual apresenta uma análise da forma de atuação de cada uma das funções de controle objeto deste estudo na instituição em estudo.
- O capítulo 6, apresenta os resultados de uma análise comparativa das funções de controle considerando respostas obtidas junto aos gerentes seniores de cada função de controle para as 9 questões relacionadas aos 5 componentes de controles internos do COSO. Os resultados apresentados no capítulo 6 confirmam os entendimentos apresentados no capítulo 5.