Compreendendo os controles internos no setor financeiro
Nesta era da banca digital, as organizações devem implementar arquiteturas de segurança robustas para manter os dados dos seus clientes seguros. O cibercrime e a supervisão de dados internos podem deixar as instituições financeiras com enormes perdas e com a perda de credibilidade. É por esta razão que as questões de segurança devem ser abordadas em todas as frentes, tanto interna como externamente.
Os controles internos são essenciais para reduzir riscos no departamento de TI de qualquer organização financeira.
O que são controles internos?
Proteger sua organização contra riscos financeiros e de reputação é fundamental em todos os momentos. Os controles internos são um conjunto de medidas implementadas por uma empresa para rastrear riscos de crédito, capital e investimento, bem como garantir a conformidade com vários padrões do setor.
Por exemplo, a Lei Sarbanes-Oxley de 2002 (SOX) destina-se a proteger os investidores de perderem o seu dinheiro. De acordo com a lei, as empresas cotadas na bolsa são obrigadas a fornecer os seus dados financeiros todos os anos e a provar que criaram sistemas internos de dissuasão de fraudes.
Objetivos dos controles internos
Para criar controles internos eficazes, você deve compreender os riscos específicos que sua empresa enfrenta. Compreender os riscos o ajudará a definir objetivos apropriados para mitigá-los.
Aqui, seus objetivos dependerão principalmente do seu setor. Por exemplo, as organizações financeiras precisam pensar no risco de os dados dos cartões dos clientes caírem nas mãos de terceiros mal-intencionados. Portanto, as empresas devem explorar os controles internos recomendados pelas autoridades reguladoras e pelos padrões do setor, como o PCI DSS. As empresas que desejam entrar no setor de saúde devem considerar o risco das informações eletrônicas pessoais de saúde (ePHI).
Conhecer os objetivos dos seus sistemas de controle interno abrirá caminho para a definição dos riscos.
Gerenciamento de riscos e controles internos
Após definir suas metas e objetivos, o próximo passo é avaliar os riscos a serem mitigados.
Compreender os riscos que sua empresa enfrenta o ajudará a determinar os padrões e regulamentos a serem cumpridos. Além disso, você pode monitorar continuamente os riscos para garantir o funcionamento dos controles internos.
Por exemplo, sua empresa pode correr risco tanto de invasões quanto de acesso físico. Dado que estes riscos são diferentes, têm de ser abordados de formas diferentes. Os riscos de intrusão exigirão o uso de tecnologia de criptografia e firewalls, enquanto os riscos de acesso físico exigirão credenciamento de pessoal.
Para implementar uma estratégia eficaz de gestão de riscos, é importante criar estruturas que apoiem os procedimentos que serão seguidos para proteger ativos e recursos.
Criando controles internos eficazes
Existem cinco tipos de controles internos que você pode definir para sua empresa. Esses controles são informados pela Estrutura COSO e são:
1. Ambiente de controle
O Conselho de Administração e a Alta Direcção devem atribuir aos sistemas de controlo interno a importância que estes merecem. Isso pode ser feito analisando a conscientização e as ações tomadas pela empresa. A Alta Administração deve implementar as recomendações dos controles internos em sua estrutura organizacional e estilos de atuação.
2. Avaliação de risco
As empresas não devem apenas identificar os riscos, mas também implementar estratégias para os prevenir. A administração precisa considerar os riscos internos e externos. Os riscos internos podem ser apresentados pelos funcionários, enquanto os riscos externos podem ser causados por fornecedores, vendedores e outras partes que fazem negócios com a empresa.
3. Atividades de controle
As atividades de controle referem-se a políticas internas, mecanismos de ação e procedimentos que o negócio segue. As organizações são obrigadas não apenas a agir, mas também a documentar as estratégias que implementaram para mitigar os riscos.
4. Informação e Comunicação
A gestão não deve limitar-se à revisão dos riscos e ao estabelecimento de políticas, mas continuar a monitorizar os controlos internos. Estratégias adequadas devem ser implementadas para abordar múltiplas políticas do negócio, tais como políticas de denúncias, segregação de funções e assim por diante.
É fundamental garantir que a comunicação transmitida aos funcionários seja adequada ao seu nível na empresa.
5. Monitoramento
É importante realizar auditorias internas e atividades contínuas para garantir que as políticas de governança, gestão de riscos e conformidade sejam implementadas. O monitoramento ajuda os analistas internos a avaliar a eficácia dos controles internos e a reportar à administração com recomendações apropriadas.
Como projetar controles internos
Seus processos de negócios relacionados a sistemas de informação e relatórios financeiros devem ajudá-lo a projetar controles internos. Você deve elaborar procedimentos relacionados ao tratamento de transações financeiras. Por exemplo, você pode criar etapas para acessar, transferir e relatar transações em dinheiro ou eletrônicas de sua empresa. Estes procedimentos devem estar sincronizados com as demonstrações financeiras da empresa.
O desenho do controle também deve explicar como são registrados vários eventos não financeiros pertinentes à operação do negócio. Por exemplo, a produtividade na empresa afeta os resultados financeiros. A baixa produtividade leva à redução de receitas. Portanto, deve haver uma forma de documentar os controles estabelecidos para a produtividade e como as perdas daí resultantes podem ser mitigadas.
Por fim, também é importante registrar as transações não padronizadas do seu negócio. Embora os relatórios financeiros sejam o principal motivo para a implementação de controles internos, sua empresa funciona com base em software e hardware. Esses ativos podem ser usados para rastrear informações importantes que indicam a relação entre os controles internos e a TI.
Requisitos para uma auditoria de controle interno
A Norma de Auditoria nº 5 (AS5) define a revisão padrão para controles internos. Você deve compreender os termos e conceitos do AS5 para preparar melhor sua empresa para uma auditoria interna ou externa.
A auditoria da Seção 404 exigirá documentação comprovativa dos controles internos de sua empresa. Em particular, os auditores procurarão provas do processo de avaliação. Portanto, é importante comunicar-se frequentemente com seus auditores externos para confirmar se sua organização está seguindo os controles internos conforme necessário.
Desenvolvimento e monitoramento de controles internos
A implementação de controles internos envolve muita papelada. Nas fases iniciais de uma empresa, o uso de planilhas pode ser suficiente. No entanto, à medida que uma empresa cresce, é provável que os acionistas internos e externos aumentem e isso exigirá uma melhor forma de acompanhar os controlos.
>Na maioria das empresas, os controles internos são confinados através da autorização de documentos compartilhados. Por exemplo, os administradores podem configurar autorizações para edição e revisão de documentos para garantir a integridade das informações.
Existem várias ferramentas de monitoramento SaaS que permitem aos administradores criar relatórios fáceis de ler que podem fornecer insights sobre áreas que precisam ser monitoradas e controladas. O uso de um software de rastreamento em nuvem tornará mais fácil para a administração avaliar o impacto dos controles internos da empresa e para os auditores realizarem seu trabalho.
O software de controle pode fornecer à sua organização dados precisos de controles internos. A documentação pode ser apresentada a auditores internos e externos para que eles revisem e avaliem esferas de risco invisíveis. Os auditores podem então sugerir políticas internas para mitigar quaisquer riscos descobertos.
O uso de software de rastreamento também ajuda a manter baixos os custos de auditoria. Embora o software não deixe rastros em papel, o rastro digital está lá e é ainda mais preciso e prontamente disponível.
É fundamental que as organizações controlem as ameaças internas e externas para estarem alinhadas com os requisitos regulamentares e dos seus acionistas. Os controles internos devem ser implementados e avaliados regularmente para garantir que a empresa esteja adequadamente preparada para riscos imprevistos. Afinal, os controles ajudam a proteger a saúde financeira de uma empresa.
Sobre o autor
Ken Lynch é um veterano em startups de software empresarial que sempre foi fascinado pelo que leva os trabalhadores a trabalhar e como tornar o trabalho mais envolvente. Ken fundou a Reciprocity para buscar exatamente isso. Ele impulsionou o sucesso da Reciprocity com este objetivo baseado na missão de envolver os funcionários nas metas de governança, risco e conformidade de sua empresa, a fim de criar cidadãos corporativos com mentalidade mais social. Ken obteve seu bacharelado em Ciência da Computação e Engenharia Elétrica pelo MIT.