Atividades de Controle

O terceiro componente diz respeito às atividades de controle, definidas nos seguintes termos pelo COSO (2013):

Atividades de controle são ações estabelecidas por políticas e procedimentos que ajudam a assegurar que as diretrizes da administração para mitigar os riscos à realização dos objetivos sejam cumpridas. As atividades de controle são realizadas em todos os níveis da entidade em vários estágios dentro dos processos corporativos, assim como no ambiente de tecnologia. Podem ser de natureza preventiva ou de detecção e podem abranger uma série de atividades manuais e automáticas, como autorizações e aprovações, verificações, reconciliações e revisões de desempenho dos negócios. Normalmente, a segregação de funções é incorporada à seleção e ao desenvolvimento das atividades de controle. Quando a segregação de funções não é viável, a administração seleciona e desenvolve atividades alternativas de controle. (COSO, 2013, p. 92)

Esse componente engloba todas as atividades materiais e formais implementadas pela gestão para garantir que as respostas aos riscos sejam executadas com eficácia e que a organização consiga realizar seus objetivos (SANTO; SOUZA, 2017). Ressalta que “se não houver riscos, não há sentido em estabelecer controles, até porque todo controle envolve algum custo para a organização. Nesse sentido, o estabelecimento de atividades de controle depende da identificação prévia dos objetivos e dos riscos relacionados” (CAPOVILLA, 2016, p. 37). Assim, a Administração deve identificar as atividades de controle necessárias, e executá-las de forma adequada e oportuna, para mitigar os riscos e garantir que os objetivos sejam alcançados.

Nesse sentido, as atividades de controle incluem dois elementos: uma política, que estabelece aquilo que deverá ser feito e os procedimentos para fazê-la ser cumprida. O nível de formalização é diferente entre as organizações, variando de acordo com o tamanho, a complexidade e os níveis hierárquicos existentes, desde que os conceitos implícitos não tenham diferenças significativas. As atividades de controle devem ser aplicadas em todos os níveis e funções da organização, de acordo com a necessidade de resposta a riscos (COSO, 2013).

Elas incluem uma gama de controles preventivos e detectivos. São exemplos de atividades de controle mais comuns realizadas pelos indivíduos nos vários níveis de uma organização: atribuição de autoridade e limites de alçada (prevenção), procedimentos de autorização e aprovação (prevenção/detecção), segregação de funções ou atividades (prevenção), rotatividade de pessoas em funções (prevenção), revisões independentes, verificações e conciliações (detecção), avaliações de desempenho operacional (detecção), avaliações de operações, processos e atividades (detecção), supervisão direta (prevenção/detecção), controles de acesso a recursos e registros (prevenção) (COSO, 2013; TCU, 2012).

Por fim, as atividades de controle compõem o sistema de controle interno, na perspectiva de conjunto, mas não devem ser confundidas com ele próprio. As atividades de controle são um dos cinco componentes do sistema conforme o modelo COSO 2013.

Os princípios 10 a 12 estão associados ao componente Atividades de Controle e são descritos nos itens a seguir:

2.7.3.1 - Princípio 10: A organização seleciona e desenvolve atividades de controle que contribuem para a redução, em níveis aceitáveis, dos riscos à realização dos objetivos.

As atividades de controle são a maneira de materializar as respostas aos riscos da organização. Para isso, é fundamental que a escolha e o desenvolvimento de atividades de controle estejam integrados com a avaliação de riscos. Segundo a INTOSAI (2004), geralmente, controles são elaborados no momento em que as organizações escolhem reduzir, tratar, compartilhar, ou transferir o risco. É a oportunidade para desenvolver controles internos para evitar riscos. As especificidades de uma organização como o seu ambiente, a complexidade, a natureza e o escopo de suas operações, o nível da regulação aplicável, as operações regionais e multinacionais e a utilização de um sistema sofisticado de planejamento de recursos podem influenciar seus controles (COSO, 2013).

Segundo o COSO (2013), as atividades de controle precisam ser inseridas nos processos essenciais para a consecução dos objetivos da organização, para que todas as transações (atividades) sejam efetivamente registradas em sua completude (todas devem ser registradas), de forma precisa (valor correto, data real, rubrica certa, quando ocorrer), e que sejam válidas (autorizadas e aprovadas por quem detenha a competência).

Os controles em nível de atividades podem incluir: autorizações e aprovações; verificações; controles físicos; controles sobre dados constantes; reconciliações; e controles da supervisão. Também é necessário desenvolver controles em nível de entidade, em níveis organizacionais mais altos. Em geral, esses controles se configuram como revisões de desempenho ou revisões analíticas do negócio da organização. Assim, a administração deve ter a preocupação de desenvolver uma variedade de atividades de controle, manuais e automáticas, preventivas e detectivas, eficazes para a redução dos riscos ao nível aceitável (COSO, 2013).

No ANEXO A, apresenta-se uma lista de tipos de atividades de controle desenvolvidas pelo GAO (2001, 2014), e organizada por Capovilla (2016), que adiciona: controles sobre a gestão do capital humano; estabelecimento e revisão de medidas e indicadores de desempenho; restrições de acesso e accountability por recursos e registros; e a adequada documentação das transações e do controle interno.

2.7.3.2 - Princípio 11: A organização seleciona e desenvolve atividades gerais de controle sobre a tecnologia para apoiar a realização dos objetivos.

Segundo o COSO (1992, 2006, 2013), a dependência cada vez maior dos sistemas de informações no auxílio das operações para realizar os objetivos de comunicação e

cumprimento das políticas resulta na necessidade de controles dos sistemas mais significativos da organização. As atividades de controle dos sistemas de informação são divididas em dois grandes grupos:

a) Controles Gerais: aplicados a todos os sistemas contribuindo para assegurar a

realização das operações de forma adequada e contínua. De acordo com o GAO (2014, p. 53), “os controles gerais incluem o gerenciamento de segurança, acesso lógico e físico, gerenciamento de configuração, a segregação de funções e os planos de contingência”.

b) Controles de Aplicativos: controles que avaliam o processo por meio de código de programação dentro dos softwares. Os controles de aplicativos são os controles incorporados diretamente nos computadores para assegurar a validade, a integridade, a precisão e confidencialidade de transações e dados durante o processamento da aplicação. “Os controles de aplicativos incluem controles sobre a entrada, processamento, saída, arquivo mestre, interface e controles de sistemas de gerenciamento de dados” (GAO, 2014, p. 53).

A administração da entidade precisa compreender a dependência e os relacionamentos entre o seu negócio, controles internos automatizados e a tecnologia (COSO, 2013). A tecnologia da informação deve apoiar o funcionamento do sistema de informação da organização atendendo aos requisitos de informações dos processos tempestivamente. A tecnologia da informação pode aumentar o controle interno, proporcionando mais segurança, confidencialidade e restringindo acessos adequadamente. Embora implique atividades de controles específicos, ela deve ser considerada como parte integrante das atividades de controle (GAO, 2014).

Segundo o GAO (2014, p. 53), “a infraestrutura de tecnologia da informação de uma entidade pode ser complexa”. A administração deve avaliar os objetivos e os riscos da entidade para projetar as atividades de controles e prover a infraestrutura tecnológica necessária para atender aos objetivos da entidade e responder aos riscos, de forma que falhas nas redes de comunicação, recursos computacionais ou de eletricidade, incluindo procedimentos de cópia de segurança e planos de continuidade das operações, não impactem as atividades e os objetivos da entidade. Blumen (2015) chama a atenção para o colapso de um sistema de informação que pode colocar a organização em risco de continuidade ou interromper o fornecimento de produtos e serviços, bem como a perda da boa credibilidade e toda sorte de riscos corporativos.

Blumen (2015, p. 45) afirma que atualmente todos os tipos de organizações fazem uso de sistemas automatizados para “gerar relatórios, planilhas e documentos; imputar, compilar, classificar, organizar e extrair dados; processar informações e gerar registros contábeis”.

Destaca o autor que é importante prestar grande atenção ao controle e à gestão dos meios de processamento eletrônico de dados. Assim, é preciso estabelecer um plano diretor de tecnologia da informação (PDTI) que deve ser cumprido por todos. Esse plano inclui regras de segurança, acessibilidade, integridade, rastreabilidade, atualização e confidencialidade, além de plano de contingência e monitoração de dados e informações, em especial, para aqueles considerados estratégicos e sigilosos.

2.7.3.3 - Princípio 12: A organização estabelece atividades de controle por meio de políticas que estabelecem o que é esperado e os procedimentos que colocam em prática essas políticas

As políticas são a declaração formal da Administração da organização sobre o que deve ser feito para efetivar o controle, já os procedimentos são atitudes ou ações que tenham por objetivo implantar as políticas estabelecidas. Ambos devem ser documentados. Nas organizações menores, eles encontram-se estabelecidos nos costumes transmitidos oralmente, entretanto isso favorece a burla e reduz o accountability. De qualquer forma, as políticas devem definir as responsabilidades e a accountability para as atividades de controle dos riscos relevantes a eles associados, e os procedimentos precisam ser realizados de forma tempestiva por pessoas competentes. Outrossim, quando os controles identificarem problemas, eles devem ser investigados e corrigidos. Além disso, em decorrência das mudanças de objetivos e riscos da organização, ela é obrigada a fazer revisão periódica das políticas e procedimentos de controle para manter a sua relevância e eficácia (COSO, 2013).

Para o GAO (2014), cada unidade da organização deve documentar as políticas no nível de detalhe apropriado para permitir que a administração monitore efetivamente a atividade de controle. A gerência comunica ao pessoal as políticas e procedimentos para que o pessoal possa implementar as atividades de controle relacionadas às suas responsabilidades.

Blumen (2015) afirma que nenhuma organização pode deixar de ter um manual de normas, de procedimentos ou rotinas internas, seja físico ou eletrônico. Ele serve principalmente para divulgar as melhores práticas administrativas de execução e controle de processos e operações, como também serve de ferramenta didática de treinamento e orientação para os colaboradores, em especial, para os indivíduos que recentemente ingressaram na organização. Ademais, devem ser incluidos os terceirizados que prestam serviços à organização, que também precisam observar as práticas e rotinas de trabalho estabelecidas, organizadas e controladas dentro de um modelo padrão com regras claras e transparentes.