Uma abordagem para avaliar os processos de governança, riscos e controles de uma organização é por meio de um processo de autoavaliação dos controles (CSA – Control Self-Assessment). Embora existam muitas definições de CSA, o Instituto de Auditores Internos (IIA – The Institute of Internal Auditors) assim a descreve:
Um processo pelo qual o controle interno é testado e avaliado com o objetivo de fornecer uma garantia razoável de que todos os objetivos operacionais serão alcançados.
Um pouco de história
O CSA não é um conceito novo. Em 1987, a primeira aplicação de um CSA foi documentada por um departamento de auditoria interna canadense que estava insatisfeito com as técnicas de auditoria padrão utilizadas.
O IIA começou a patrocinar uma conferência anual de CSA em 1993 e também a oferecer a Certificação em Autoavaliação de Controle (CCSA) em 1999. Finalmente, a Lei Sarbanes-Oxley (SOX) de 2002 solidificou a exigência da avaliação da administração sobre o sistema de controles internos de uma empresa, inclusive na identificação dos processos e controles-chave significativos da organização.
Por que usar Control Self-Assessment (CSAs)?
Há uma série de benefícios intangíveis obtidos por empresas que realizam autoavaliações de controle.
Os CSAs fornecem uma estrutura para analisar o perfil de risco de uma empresa. Ele é uma metodologia que assegura aos stakeholders que o sistema de controles internos é confiável. Os CSAs criam uma linha clara de responsabilidade, reduzem o risco de fraude e fortalecem o perfil geral de risco. Eles integram fundamentalmente os objetivos estratégicos de negócios aos processos de risco e controle.
Mas para que eles tragam estes benefícios para a organização, alguns cuidados precisam ser tomados, e estas três perguntas podem ajudar:
Os controles internos estão operando conforme foram projetados?
Isso revela o quão bem a propriedade e a responsabilidade estão incorporadas nos processos de risco e controle.
Como a eficácia dos controles está sendo monitorada?
Isso ajuda a identificar riscos e oportunidades adicionais de melhoria nas atividades de controle.
Como as deficiências de controle são relatadas e remediadas?
Isso ajuda a entender e resolver os problemas identificados.
5 fatores críticos de um programa de CSA eficaz
Vários fatores são críticos para o sucesso da implementação de um programa Control Self-Assessment eficaz. Estes são os principais:
1. Assegure-se de ter as partes interessadas apropriadas envolvidas para apoiar e ser o suporte dessa iniciativa
Os auditores, por si só, não podem avaliar suficientemente essa perspectiva ampla de controles. Todas as partes interessadas precisam participar e contribuir. Comece com os donos dos processos de negócio e dos controles.
2. Crie uma cultura de melhoria contínua
Sua cultura está em constante evolução, por isso certifique-se de ter tempo e recursos suficientes para conduzir a avaliação completamente.
3. Envolva profissionais altamente qualificados e treinados para facilitar o processo
O termo “controle” no CSA insinua uma estrutura ampla que engloba as inúmeras variáveis que contribuem para a capacidade de uma empresa em alcançar seus objetivos, sendo as pessoas o fator mais significativo em uma organização. Aproveite as equipes existentes, como o departamento de auditoria interna, por exemplo.
4. Defina as técnicas que serão utilizadas para execução do CSA
Existem vários formatos e técnicas que os profissionais podem escolher implementar o CSA. Os modelos mais comuns são workshops e questionários. É importante definir claramente como o CSA será implementado na prática.
5. Tenha tanto métricas quantitativas como avaliações qualitativas
A última coisa que uma organização precisa é de outro exercício de verificação. Embora as métricas sejam necessárias para avaliação, elas não são mutuamente exclusivas do julgamento exigido como base final para avaliação.
Quer conhecer mais sobre riscos, controles internos e auditorias? Dê uma olhada nestes posts que já escrevemos sobre o assunto: