Componentes do Controlo Interno

No seguimento da análise da ISA 315, Apêndice 1, e após a explicitação de diversos conceitos e a importância do CI, importa enquadrar o mesmo no seio das organizações, tipificando as suas componentes: o ambiente de controlo, a avaliação do risco, o sistema de informação e comunicação, as atividades de controlo e a monitorização dos controlos, as quais se interligam, conforme a Figura 14, demonstrando um ciclo, à semelhança do PDCA.

51 Figura 14 – Cinco componentes do controlo interno

Fonte: Adaptado de PricewaterhouseCoopers (2005)

Segundo Costa (2014, p. 235), a primeira componente do CI, o ambiente de controlo, “inclui as funções de governação e de gestão e as atitudes, a consciência e as ações dos responsáveis pelas referidas funções em relação ao controlo interno da entidade e à sua importância para a mesma”.

A ISA 315 (IFAC, 2009, pp. 305-306) enumera os seguintes elementos do ambiente de controlo:

a) “Comunicação e fazer cumprir valores éticos e de integridade” – a eficácia esperada dos controlos não pode ser sobreposta aos valores éticos e integridade das pessoas;

b) “Compromisso com a competência” – envolve os requisitos e qualidades inerentes ao cumprimento do trabalho de todos os indivíduos;

c) “Participação dos responsáveis pela governação” – necessariamente é imposta uma responsabilidade superior aos órgãos de gestão, quer pelo caráter das suas funções e responsabilidades, quer pelo exemplo esperado. São eles os principais impulsionadores e responsáveis do processo de funcionamento e eficácia do CI; d) “Filosofia de gestão e estilo operacional” – a estratégia definida deverá ser

partilhada e responsabilidade de toda a organização, sendo necessariamente do conhecimento geral;

e) “Estrutura organizacional” – é fundamental que toda a cadeia de autoridade, de responsabilidade e de relato sejam eficazes e funcionais;

f) “Atribuição de autoridade e de responsabilidade” – fixar a delimitar as funções de cada um dentro da organização;

O ambiente de controlo Avaliação do risco As atividades de controlo Sistema de informação e comunicação A monitorização dos controlos

52 g) “Politicas e práticas de recursos humanos” – sentimento de unidade e missão é fundamental dentro da organização, onde a gestão de recursos humanos deve ser potenciadora de tal união e objetivos comuns.

Como refere Gomes (2014, p. 13), o ambiente de controlo “define o nível de influência de uma organização na consciência dos seus colaboradores sobre o controlo interno”. Os fatores do ambiente de CI incluem “integridade e valores éticos, competência, forma de atribuição de autoridade e responsabilidade”. Além disso, é focado também por esta autora, de uma forma bastante incisiva, que o ambiente de controlo é a componente “base para todos os outros componentes”, a qual faz transparecer a consciência e ações da gestão de topo e a importância depositada no controlo interno.

Segundo IFAC (IFAC, 2009) na ISA 315 e a OROC (2000) na DRA 410, a avaliação dos riscos (segunda componente) decorre de várias circunstâncias, nomeadamente, do meio envolvente e as suas mudanças, de novos trabalhadores, das caraterísticas do sistema de informação (novos ou a sua revisão), de um crescimento acelerado, do surgimento de novas tecnologias, de novos modelos de negócio, produtos ou atividades, de reestruturação da empresa, de expansão de operações no estrangeiro e de novas normas contabilísticas. Tendo em conta a avaliação do risco necessária para um CI de sucesso, Gomes (2014, p. 13) refere 3 tópicos essenciais: estabelecimento de “objetivos ligados a diferentes níveis e consistentes internamente”; “identificação e análise de riscos relevantes para atingir os objetivos”; “definição de uma base para determinar como os riscos deverão ser tratados”. Perante a avaliação dos riscos torna-se pertinente tomar atitudes, as quais cruzam diretamente com o ciclo PDCA retratado no capítulo anterior, ou seja, é imperativo que a identificação do risco resulte na produção de um ciclo PDCA de forma a eliminar ou minimizar o respetivo risco

A terceira componente, as atividades de controlo, compreende as políticas e os procedimentos que permitem assegurar que as orientações da gestão são executadas e suportam-se em sistemas manuais ou de tecnologias de informação que contribuem para a redução de riscos e salvaguardam a entidade (IFAC, 2009). Gomes (2014, p. 13) enumera em dois pontos os procedimentos de controlo: “procedimentos que asseguram que as diretivas da gestão são efetuadas; as atividades envolvidas centram-se em aprovações, autorizações, revisões de desempenho, segurança dos bens e segregação de funções, para minimizar os riscos”.

53 Para Costa (2014), as atividades de controlo, quer sejam em sistemas manuais quer em sistemas de tecnologias de informação, conforme anteriormente referido, podem ser classificadas como politicas e procedimentos, como sejam: autorização; revisão da execução; processamento da informação; controlos físicos e segregação de funções.

Considerando esta enumeração, assim como a ISA 315, Gomes (2014) resume as politicas e procedimentos, no seu nível mais básico e essencial, a três grupos de atividades:

 Revisões de desempenho – comparabilidade entre os conjuntos de informação

existentes (operacional e financeira), a análise das relações internas, as medidas de investigação existentes e a informação de fontes externas;

 Processamento da informação – englobam os controlos aplicacionais, quer ao nível

do processamento individual de informação, quer ao nível macro, incluindo políticas e procedimentos gerais de funcionamento, assegurando a eficácia e a continuidade;

 Controlos físicos – nomeadamente a segurança física de ativos, autorizações de acessos físicos e informáticos, contagens periódicas e comparação com os registos e a segregação de funções.

Segundo Costa (2014, p. 239), o sistema de informação (quarta componente) adotado por uma entidade “consiste em procedimentos e registos estabelecidos não só para iniciar, registar, processar e relatar as transações, acontecimentos e condições da entidade como também para manter responsabilidade sobre os ativos, passivos e capital próprio relacionados”. Já Gomes (2014, p. 13) indica dois pontos pertinentes relativamente ao sistema de informação:

 “Informação pertinente é identificada, compreendida e comunicada num período de

tempo adequado, para permitir às pessoas efetuarem em tempo útil todas as suas responsabilidades;

 Fluxos de informação que permitem um controlo efetivo (instruções sobre funções e

responsabilidades, relatórios de deficiências identificadas) ”.

A comunicação deve ser eficaz e no sentido amplo, segundo McNally (2013), fluindo do topo para a base, mas também, de modo transversal e no seio de toda a entidade.

A quinta e última componente do controlo interno, a monitorização dos controlos, é a avaliação da qualidade do desempenho do CI, de modo a aferir se os controlos estão a operar

54 como o previsto e se são modificados de forma apropriada quando as condições se alteram, conforme ISA 315 do IFAC (IFAC, 2009) e na DRA 410 da OROC (2000).

Gomes (2014, p. 13) refere quatro pontos inerentes à monitorização, sendo: “avaliação do desempenho do Sistema de Controlo Interno (SCI); a combinação de avaliação continua e pontual que certifica que o sistema de controlo funciona em tempo oportuno; análise das deficiências em tempo útil para as ações corretivas; controlo sobre controlos”.

Em resumo, a relevância, interligação e combinação destes cinco componentes será mais notória quanto maior e mais complexa for a entidade. É de extrema importância que estes cinco componentes estejam evidentes dentro da organização e que sejam fluentes entre si, promovendo um CI eficaz e eficiente, evitando “ruídos” e fatores limitativos de sucesso.