21 de junho de 2013
Control Self Assessment no processo
de Gestão de Contrato de Terceiros
Fernando Lage
Sócio-Diretor KPMG Risk Advisory Services
Definição
A definição de Control Self Assessment (Auto Avaliação de Controles ou CSA) como encontrada na literatura do IIA é:
Um processo através do qual a eficácia do controle interno é examinada e avaliada. Este objetivo é prover segurança razoável de que todos os objetivos de negócio serão alcançados.
A mesma literatura declara: O CSA é uma técnica que agrega valor à profissão de auditoria interna. O CSA pode adicionar valor ao aumentar a participação de uma unidade operacional no desenho e manutenção de controles e de sistemas de riscos, como também, na identificação de exposições a risco e na definição de ação corretiva.
Propriedade e Responsabilidade
pelo Controle
No modelo de Três Linhas de Defesa (Posicionamento do IIA emitido em Janeiro de 2013), o controle da unidade é a primeira linha de defesa no
gerenciamento de riscos; as diversas funções de controle de riscos e
supervisão de conformidade estabelecidas pela administração são a segunda linha de defesa e a avaliação independente (auditoria interna) é a terceira. Cada uma dessas três “linhas” desempenha um papel distinto dentro da estrutura mais ampla de governança da organização.
Como primeira linha de defesa, os gerentes operacionais gerenciam os riscos e têm propriedade sobre eles. Eles também são os responsáveis por implementar as ações corretivas para resolver deficiências em processos e controles.
Propriedade e Responsabilidade
pelo Controle
A gerência operacional identifica, avalia, controla e mitiga os riscos, guiando o desenvolvimento e a implementação de políticas e procedimentos internos e garantindo que as atividades estejam de acordo com as metas e objetivos.
Por meio de uma estrutura de responsabilidades em cascata, os gerentes do nível médio desenvolvem e implementam procedimentos detalhados que servem como controles e supervisionam a execução, por parte de seus funcionários, desses procedimentos. A adoção do CSA é uma ferramenta
Confiança no Conhecimento das
Operações
O CSA promove a avaliação dos riscos e controle pelo pessoal que realmente executa o trabalho. Nesta ótica, o auditor interno atua como um facilitador para orientar os empregados na identificação, avaliação e remediação das deficiências de risco e controle. A auditoria interna pode então proceder a
validação da informação gerada pelo processo de CSA, utilizando a
abordagem de auditoria mais tradicional.
Para obter o sucesso do CSA, as organizações devem assegurar que todos os participantes estejam cientes e adotem os conceitos de controle e risco. Para isto, é necessário que o pessoal envolvido: compreenda o seu papel e responsabilidade e tenha no mínimo o conhecimento adequado dos vários tipos de controle gerencial, operacional e técnico.
Abordagens do CSA
Não há uma abordagem considerada “melhor” para o CSA. O que há na realidade são diversas abordagens que podem ser utilizadas conforme circunstâncias. Cada organização deve decidir qual abordagem é a mais desejável com base nas metas e escopo do processo, na disponibilidade de recursos e no conhecimento e habilidades do pessoal nomeado.
De acordo com o IIA, as organizações frequentemente combinam uma ou mais das três formas primárias do CSA, que seguem:
• Sessões Facilitadas de Equipes (com base em: objetivo, riscos, controles e processos)
• Pesquisas
Abordagens do CSA
O formato com base em controle foca na adequação de como os controles
existentes estão funcionando. Neste formato, o facilitador (auditor interno) identifica os riscos-chave e os controles de mitigação antes da sessão. Durante a sessão, a equipe de trabalho avalia a adequação dos controles para mitigar os riscos e promover o cumprimento dos objetivos.
As pesquisas frequentemente são utilizadas quando aqueles que devem
responder são em número demasiadamente grande ou estão dispersos para participar de uma sessão de avaliação. Elas também são preferidas caso a cultura da organização possa prejudicar discussões abertas, honestas nos moldes da sessão ou caso a administração deseje minimizar o tempo gasto e os custos incorridos na coleta das informações.
CSA na Gestão de Contrato de Terceiros
Objetivos:
Implantar, a partir de projeto piloto de auto-avaliação dos riscos operacionais, boas práticas de Gestão de Riscos e Controles para os processos de Compras e Gestão de Contratos de Serviços Terceirizados na empresa.
Prover as áreas operacionais de metodologia e ferramenta com objetivo de aprimorar a gestão dos contratos, mitigando riscos e subsidiando o processo de avaliação do fornecimento de serviços.
Riscos Operacionais (exemplos)
Vulnerabilidade Im pac to 1 2 4 5 6 7 8 9 10 3 REF RISCOS 1 Contratação em condições desfavoráveis2 Autuação e/ou multas por não cumprimento de exigências legais
3 Dependência de fornecedor único 4 Insuficiência de garantias financeiras
5 Contratação de fornecedores com passivos
6 Interrupção do fornecimento de serviços continuados / críticos
7 Segurança, Saúde e Meio Ambiente
8 Contratação de fornecedores não qualificados
9 Execução de serviços sem contrato assinado
10 Fraudes e pagamentos indevidos
Mitigar Certificar Otimizar Acompanhar 11 12 13 14 17 18 15 16
Questionário
Requisição deCompras
1 - A Requisição de Compra de serviços de natureza continuada está aprovada com antecedência
mínima de 90 dias do término da contratação vigente?
Evidência esperada:
Requisição de Compra aprovada pela gerência da área requisitante ou tela do sistema indicando a aprovação.
2 - A especificação do serviço está completa, de forma a permitir uma correta contratação (ex.:
prazos, escopo detalhado, local de aplicação ou execução, se há necessidade de visita técnica à área, outros detalhes considerados pertinentes)?
Evidência esperada:
Questionário
Solicitação daCotação
1 - Foram selecionados para o processo de cotação, a quantidade mínima de fornecedores, conforme
definido na Norma de Suprimentos? Evidência esperada: Lista dos fornecedores convidados x propostas recebidas.
2 - Foram enviadas aos participantes da concorrência, cartas convites contendo as mesmas
informações? No caso de serviços críticos (de natureza continuada), foi enviada Carta Convite com Condições Gerais (simplificada ou detalhada), Requisitos Gerais e Específicos de Saúde e Segurança Ocupacional? Evidência esperada: Comprovante de envio (e-mail, fax, sedex) das Cartas Convite e demais documentações enviadas aos fornecedores selecionados
3 - Nos casos de prorrogação do prazo de recebimento das propostas e/ou solicitação de
esclarecimentos adicionais, houve notificação a todos os fornecedores participantes? Evidência esperada: Comprovante de envio da prorrogação do prazo de cotação e/ou esclarecimentos a todos fornecedores selecionados (e-mail, fax, sedex).
Questionário
NegociaçãoDireta
1 - A dependência da Contratante em relação a contratada é justificada pelas condições do mercado
(por exemplo, fornecedor exclusivo)? Evidência esperada: FJC (Formulário de justificativa de contratação) e/ou RJP (Relatório de julgamento de Proposta).
2 - Caso haja alta dependência não justificada em relação a contratada, a Contratante desenvolve
parceiros com o intuito de minimizar o grau de dependência em relação a contratada? Evidência esperada: Formalização de plano de ação para desenvolvimento de novos fornecedores.
3 - É desenvolvida uma gestão diferenciada em Saúde e Segurança Ocupacional, de acordo com o grau
de risco das atividades do escopo do contrato, caso haja dependência da Contratante em relação à Contratada, e esta não atenda os Requisitos Gerais e Específicos de Saúde e Segurança Ocupacional estabelecidos pela empresa? Evidência esperada: Plano de monitoramento de Saúde e Segurança Ocupacional, com medidas de contenção, estabelecido para a Contratada.
Questionário
1 - Existe acompanhamento periódico dos serviços e fornecimentos contratados, incluindo prazos,
custos, segurança, desempenho, produtividade e qualidade estabelecidos, e, nos casos de divergências, existe aprovação e justificativa formalizada da unidade gestora? Evidência esperada: Documento que comprove o acompanhamento periódico dos serviços e fornecimentos em consonância com o contrato.
2 - A medição de serviço registrada no sistema (incluindo adiantamentos, glosas, multas, bônus e
variações de pagamento) está suportada por documentação do gestor do contrato que comprove a execução dos serviços prestados e também o correto valor a ser pago ao fornecedor (memória de cálculo, planilhas, cláusulas contratuais, etc.) e devidamente revisada e assinada observando os limites de alçada? Evidência esperada: Dados dos serviços executados incluídos no sistema e memórias de cálculo (documentação que detalha e comprova a prestação do serviço contratado e permita identificar a quantidade medida, a sua coerência em relação ao contrato, o responsável pela medição e responsável pela aprovação).
Medição dos Serviços
Resultados Alcançados
1º Ciclo do CSA:
Áreas Gestoras
Gerência I Gerência II Gerência III Gerência IV Gerência V
Compra de Serviços - Projeto Piloto 70,00% 85,00% 100,00% 55,56% 56,45% 1 - Requisição de Serviço 100,00% 100,00% 100,00% 0,00% 71,43%
2 - Solicitação de Cotação 100,00% 0,00% 100,00% 100,00% 40,00%
4 - Efetivação da Compra 40,00% 100,00% 100,00% 40,00% 60,00%
Gestão de Contratos - Projeto Piloto 91,46% 73,15% 84,40% 73,58% 45,53% 2 - Mobilização 100,00% 64,78% 67,65% 75,00% 28,26%
3 - Medição dos Serviços 97,06% 66,78% 85,71% 66,67% 62,50%
5 - Aditamento contratual N/A N/A 100,00% 100,00% N/A
6 - Encerramento de Contratos N/A 100,00% N/A 100,00% 0,00%
7 - Avaliação de Desempenho do Forn. 80,00% 87,50% 100,00% 66,67% 46,67%
Total Área 80,73% 75,00% 87,02% 70,97% 47,81% Atividade
Resultados Alcançados
1º Ciclo do CSA:
Áreas Gestoras
Os resultados da auto-avaliação acima refletem a percepção de controles dos gestores de contratos.
Suas notas não espelham com fidelidade a aderência dos processos, para isso, é necessário um maior aculturamento e melhor compreensão, por todos os envolvidos, na utilização da ferramenta, formalização das evidências de controles, assim como refinamento das questões da apresentadas.
A expectativa é que esse objetivo seja atingido a partir do terceiro ciclo do CSA.
Resultados Alcançados
1º Ciclo do CSA:
Após revisão Auditoria
Gerência I Gerência II Gerência III Gerência IV Gerência V
Compra de Serviços - Projeto Piloto 7,69% 55,49% 53,85% 9,52% 31,25% 1 - Requisição de Serviço 50,00% 100,00% 100,00% 0,00% 33,33%
2 - Solicitação de Cotação 0,00% 0,00% 50,00% 0,00% 40,00%
4 - Efetivação da Compra 0,00% 53,98% 43,75% 12,50% 27,91%
Gestão de Contratos - Projeto Piloto 50,00% 70,98% 66,23% 56,25% 38,80% 2 - Mobilização 50,00% 51,43% 24,32% 57,14% 21,74%
3 - Medição dos Serviços 64,86% 68,95% 76,19% 54,93% 50,65%
5 - Aditamento contratual N/A 100,00% 100,00% 100,00% 0,00%
6 - Encerramento de Contratos 0,00% - N/A 0,00% 0,00%
7 - Avaliação de Desempenho do Forn. 20,00% 87,50% 87,50% 50,00% 35,29%
Total Área 42,47% 69,39% 64,41% 48,87% 37,47% Atividade
Resultados Alcançados
1º Ciclo do CSA:
Após revisão Auditoria
Acima são apresentados os resultados da auto-avaliação recalculadas após a análise das respostas e evidências inseridas no sistema.
Em sua maioria, a revisão das notas deve-se ao fato dos auto-avaliadores não anexarem a evidência, por anexarem evidências que não condizem com aquelas esperadas ou ainda por anexarem evidências não compreensíveis aos revisores externos, e também a não compreensão do questionamento realizado.
Contatos
Fernando Lage
KPMG Risk Advisroy Services (61) 2104-2400
(31) 2128-5700
flage@kpmg.com.br kpmg.com/BR