Oportunidades Identificadas pela maior integração

Embora se possa depreender que no contexto de uma entidade tomada como um todo existe um nível importante de cobertura aos elementos do COSO. As evidências coletadas em campo demonstram que as funções de controle aproveitam muito pouco dos trabalhos realizados pelas outras funções, o que se designa neste estudo como falta de integração.

Integrar no contexto deste estudo é permitir uma visão sistêmica e de processo único às funções de controle, em substituição a uma visão de silo. A integração pode variar de um cenário de completa independência entre as funções, para um cenário de atividades compartilhadas, mas mantendo certa independência; até um cenário de integração total com uma única área responsável pelo controle.

A integração pode ser concebida de duas formas: integração total ou integração parcial. Em oposição à integração tem-se a possibilidade da completa independência das funções de controle. Os exemplos demonstrados a seguir demonstram que a instituição objeto do estudo opera quase na “completa independências das funções de controle”.

A integração total seria a hipótese de todas as funções de controle serem fundidas e gerenciadas através de um único departamento, o qual concentraria a um só tempo todas as responsabilidades de “controles internos”, “gestão de riscos operacionais” e “SOX Compliance”.

A integração parcial é a forma de integração onde são mantidas as responsabilidades nas suas áreas de origem, entretanto, com maior compartilhamento de informações e adoção de abordagens unificadas pelas diferentes funções de controle, com o objetivo de reduzir os custos destes processos.

São oportunidades de compartilhamento de atividades que ficam visíveis das análises realizadas:

• Exercícios de “risk and control self assessment” poderiam contar com a participação também das áreas de controles internos e gestão de riscos operacionais. Da forma como executado somente a área de SOX Compliance se beneficia deste processo;

• Foi identificado que as áreas de Gestão de Riscos Operacionais e SOX Compliance documentam em bases distintas seus riscos e controle. Enquanto a área de Gestão de Riscos Operacionais documenta a avaliação de riscos e controle com uso do sistema Gordon, a área de SOX Compliance documenta os riscos e controle em ferramentas do Microsoft Office. Existe oportunidade de melhoria ao em ampliar o “escopo” do sistema Gordon fazendo-o também tratar de riscos relacionados à Compliance e SOX Compliance, em benefício da área de Gestão de Riscos

Operacionais que passaria a ter uma visão mais abrangente sobre riscos ao processo de reporte financeiro, enquanto a função de SOX Compliance se beneficiaria de maior controle sobre a integridade dos dados.

• SOX Compliance, Gestão de Riscos Operacionais e Controles Internos possuem uma linguagem diferenciada para ranquear os assuntos. SOX Compliance apenas considera os controles-chave como “efetivos” ou “não efetivos”, as fraquezas de controle são avaliados em “abaixo do reportável”, “acima do reportável”, “significante”, “material”. Enquanto a área de Gestão de Riscos Operacionais gradua os riscos em função do valor da perda estimada em função da severidade e freqüência em que o evento pode ocorrer. A área de Controles Internos, assim como a Auditoria Interna graduam os riscos por critérios subjetivos em “baixo”, “médio” ou “alto” risco. As diferenças de critérios de reporte podem fazer dar origem à má compreensão da real “criticidade” de um problema de controles internos levantado por estas áreas. Neste ponto cabe esclarecer que as funções de controle, em geral são responsáveis por capturar as informações sobre o estado atual em que se encontram os controles, no âmbito de suas responsabilidades, e desenvolver um processo de reporte estruturado tanto aos gestores dos processos, focais nas respectivas áreas, quanto à alta administração da Instituição. Se não estruturado um processo de reporte integrado, mensagens conflitantes sobre o estado geral dos controles de uma área podem estar sendo levadas à alta administração. Esta situação é comum quando, por exemplo, as funções de controles internos, riscos operacionais, auditoria interna e SOX Compliance, cada uma trabalha com níveis de materialidade distintos e ranqueiam seus issues de forma distinta. Em geral o destinatário final dos relatórios produzidos por estas funções de controle é o mesmo, o “Comitê de Gestão de Riscos Operacionais e Controles Internos”, entretanto, não existe um processo único para categorizar e filtrar os assuntos pelo impacto potencial de sua materialidade.

• Foi identificado que o “Comitê de Gestão de Riscos Operacionais e Controles Internos” precisaria estar mais representado por pessoas-chave das áreas de negócios. Conforme mencionado as áreas de negócios são quem arcam com os ônus e bônus decorrentes das deficiências de

controle, portanto, estas áreas deveriam ser as destinatárias das análises feitas pelas funções de controle.

• As áreas de SOX Compliance e de Controles Internos, são áreas de suporte dentro das Diretorias de Finanças e de Operações e Tecnologia, respectivamente, assim em geral não realizam atividades consideradas como “fundamentais” para que estas diretorias atinjam seus objetivos. Assim, tendem a não ser priorizadas. Enquanto a área de Gestão de Riscos Operacionais, a partir de que passou a ter uma linha de reporte ao Chief Risk Officer, passou a integrar uma preocupação fundamental do mesmo, assim tende a ter mais priorização de suas iniciativas.

• Implementar um sistema de monitoramento contínuo da execução de controles internos-chave que permita a um só tempo atender necessidades de Controles Internos, Compliance, SOX Compliance e Gestão de Riscos Operacionais seria de grande valor, principalmente para área de SOX Compliance a qual poderia reduzir a abrangência de testes de SOX baseado na existência e funcionamento do mencionado sistema. Além disto, enquanto a aquisição de um sistema desta magnitude fica restrita ao Departamento de Finanças ou ao Departamento de Operações e Tecnologia, estas áreas têm dificuldades em obter aprovação para um gasto maior. Entretanto, se estas áreas discutissem de forma integrada a aquisição de um software que vai beneficiar a todas elas, ganhariam mais força política para ter o seu pleito atendido. Um sistema desta natureza teria como principal usuário, os “gestores de processos” e “áreas de negócios” que poderiam monitorar “on-line” o estado geral em que se encontram os controles.

• Todas estas funções de controle, ocasionalmente, encontram-se envolvidas em questões políticas sobre ownership (propriedade, responsabilidade) e accountability (prestação de contas) pelos gestores de processos e áreas de negócios com relação a questões relacionadas a controles internos. As áreas de negócios tendem a afirmar que estas questões relacionadas a controles internos são responsabilidade das áreas de Operações, quando não tentam responsabilizar as próprias funções de controle, quando são as próprias áreas de negócios que tem o “orçamento” e alçada de aprovação para projetos maiores que visem a melhorar

processos. Assim, os canais de comunicação sobre questões relacionadas a controles internos não poderiam estar restritos a Comitês de Controle, por exemplo: Comitê de Gestão de Riscos Operacionais e Controles Internos; Comitê Local de SOX Compliance e Comitê de Legal e Compliance. Seria mais eficiente um reporte direto às linhas de negócios, que são os verdadeiramente impactados pelas falhas de controle e têm o poder para priorizar e decidir sobre os recursos a serem alocados.

• As áreas de Controles Internos, Gestão de Riscos Operacionais e SOX Compliance cada uma elaborou seu modelo de Certificado que deve ser assinado pelos respectivos Focais e Diretores das áreas de negócios. Um modelo único que atenda as três necessidades seria mais efetivo em termos de comunicação. As áreas de negócios quando assinam três certificados apenas relembram três vezes de como é burocrática a estrutura de controle da instituição (um único certificado contribuiria para reduzir esta percepção).

• As áreas de SOX Compliance, Controles Internos e Auditoria Interna realizam testes de controle. Entretanto, não se conversam para planejar em conjunto os testes, assim uma área que vai realizar um teste poderia estender seus procedimentos para contemplar preocupações específicas de outra área de controle, diminuindo a chance de retrabalho, ou a percepção da área sob revisão de que está “super-auditada”. Foi identificado que a área atualmente conhecida como controles internos em Operações, também chamada de “revisores de processos” pode ter seu escopo ampliado de forma a incluir em seus testes, também testes para checar a efetividade operacional de controles-chave para fins de SOX Compliance.

• As áreas de Auditoria Interna e SOX Compliance realizam “mapeamento de processos” (emissão de fluxograma e memorandos descritivos e matrizes de riscos e controle) em conjunto com os focais e gestores de processos. A O mapeamento de processos precisaria ser um processo único para atender às diversas finalidades e de responsabilidade do gestor do processo (e não das funções de controle).

• As funções de controle, Compliance, Gestão de Riscos Operacionais e SOX Compliance se estruturam considerando utilizar alguns recursos

humanos de outras áreas. Estes recursos são os chamados “focais”, pessoas designadas pela administração das áreas para servir como ponto focal para atendimento aos requerimentos estabelecidos pelas áreas de controle. O estudo identificou que os focais designados para Compliance, Gestão de Riscos Operacionais e SOX Compliance são pessoas distintas dentro dos departamentos, o que entendemos ser uma oportunidade de melhoria no processo, dada a similaridade das abordagens de SOX Compliance e Gestão de Riscos Operacionais. A melhoria seria no sentido de montagem de uma estrutura única de focais para atender ambas as funções.

Como pode-se constatar são inúmeras as oportunidades de maior integração na forma de atuação das diferentes funções de controle. Entretanto, ao implementar qualquer ação neste sentido deve-se considerar que tratam-se de funções com objetivos distintos, que requerem linhas de reporte e habilidade distintos para sua estruturação.

Quadro 27 − Componentes COSO e suas Oportunidades de Integração

Fonte: Elaborado pelo Autor

Componente COSO Oportunidade de Integração

Treinamentos conjuntos.

Planejamento de atividades integrado, como forma de reduzir a chance de assuntos não cobertos.

Desafio comum: fazer as áreas de negócios assumir maior responsabilidade pelos processos.

Testes Reporte

Promover para que os mapeamentos de processos realizados pelas áreas de negócios e gestores de processos sejam úteis (a um só tempo) para atender todas as funções de controles.

Promover para que nas reuniões de “auto-avaliação de riscos e controles” coordenadas pela área de SOX Compliance, outras funções de controles também participem e coletem suas informações.

Usar bases de dados comuns para mapeamento de riscos e controles. As áreas utilizam-se de certificações periódicas. Verificada a possibilidade de elaboração de certificado unificado que atenda a um só tempo as necessidades de todas as áreas.

Controle de reconciliação, enquanto somente contábil – freqüência mensal é adequada, mas como medida de prevenção a fraudes, necessária a

freqüência diária (para certos grupos de contas).

Usar um critério / linguagem uniforme para “ranquear” os riscos identificados (de forma a facilitar o entendimento sobre a criticidade dos assuntos).

A estrutura de “focais” para atendimento às funções de controles precisa ser revista e unificada, pois foi identificado que a área de Sarbanes-Oxley Compliance e a área de Gestão de Riscos Operacionais possuem focais distintos, a primeira alocando a pessoas mais seniores da organização. O Chief Risk Officer atualmente está mais afeto as questões reportadas pela área de Gestão de Riscos Operacionais, com a estruturação de uma base única, passaria a acessar volume maior de informações qualitativas sobre riscos, permitindo-lhe visão integrada.

Áreas de negócios devem ser parte importante na comunicação (transparência).

As áreas de Sarbanes-Oxley Compliance, Controles Internos e Auditoria Interna realizam testes, entretanto, não planejam os testes de forma a atender necessidades umas das outras. Assim, ocasionalmente, alguma área é testada em excesso.

Testes realizados pela área de SOX Compliance poderiam ser substituídos por um processo de monitoramento contínuo (via sistema) atrelado a uma atuação da Auditoria Interna na realização dos testes necessários que hoje não são realizados com este propósito.

Um sistema informatizado para monitoramento contínuo dos controles internos se verifica como de grande utilidade para todas as funções de controles. Entretanto, se o pleito para aquisição deste sistema viesse de forma estruturada refletindo a necessidade de todas as funções de controle teria mais chances de ser aprovado.

Ambiente de Controle Identificação e Avaliação de RiscoS Atividades de Controle Informação e Comunicação Monitoramento

Pode-se constatar pela análise das oportunidades de integração apresentadas no quadro acima, que as funções de controle na instituição objeto do estudo foram estruturadas sem considerar as possibilidades de maior integração. São inúmeras as oportunidades que a instituição objeto deste estudo tem para que suas funções de controle se estruturem de forma mais integrada evitando-se as decorrentes ineficiências. Não se propõe a unificação destas funções em um departamento único, mas tanto quanto possível, que estas funções possam trabalhar com maior compartilhamento de informações e utilizando de abordagens que a um só tempo possam atender aos diferentes requisitos, ou seja, reduzindo impacto às áreas de negócios.