Publicação

LAB GSTI 2.0: Mais G$vernança, C$ntr$l$ e M$nit$rizaçã$

foto de
Bruno Horta Soares CONTEÚDO EM DESTAQUE
LAB GSTI 2.0: Mais G$vernança, C$ntrole e M$nitorização
Bruno Horta Soares, CISA®, CGEIT®, CRISC™, PMP®, COBIT 5 | bruno.soares@govaas.com


Depois de nos últimos anos muitas Organizações terem investido avultados recursos nos requisitos de conformidade, existem algumas palavras que parecem ter sido reescritas nos dicionários corporativos: G$vernança, C$ntrolo ou M$nitorização ... Hoje vamos ver de que forma a tecnologia poderá ter um papel determinante no reposicionamento do controlo interno como uma atividade estratégica nas Organiações, nomeadamente através da automatização da monitorização.

Nas últimas décadas a confiança e transparência passaram a ser dois dos principais requisitos das Organizações. Este “movimento” começou com a necessidade de mais e melhores mecanismos de governança corporativa, tendo posteriormente evoluído para um aumento dos requisitos de controlo interno, sobretudo para efeitos de gestão de risco operacional e proteção de ativos, em grande parte motivado por requisitos legais e normativos impostos por entidades reguladoras/supervisoras (exemplo Lei Sarbanes-Oxley).

As constantes mudanças verificadas nos ambientes internos e externos das Organizações colocaram enormes pressões nos modelos de controlo internos , verificando-se com alguma frequência o desalinhamento do desenho dos controlos com as necessidades das Organizações , bem como uma deterioração da efetividade dos controlos ao longo do tempo .

Depois de tanto esforço e dinheiro gasto pelas Empresas para garantirem a sua conformidade através do desenho e implementação de manuais de controlo interno (eu próprio contribuí para a documentação de kilos e kilos deles), eis que surge uma nova “onda”: a monitorização .

A única maneira de garantir sistematicamente a eficácia dos controles internos e combater os riscos de degradação ou inefetividade é monitorá-los continuamente, periodicamente, ou ambos. Mas como demonstrar o valor da monitoração do controlo interno? A optimização dos riscos e recursos disponíveis são dois dos princípios para a criação de valor, e é sobretudo no aspeto da otimização dos recursos que poderá estar a chave para a demonstração do valor estratégico da monitoração: o uso de tecnologia .

Falar de tecnologia não é necessariamente falar de instalar um “software milagroso” que irá resolver todos os males. A adoção de novas tecnologias tem sobretudo a ver com o papel que estas poderão ter no potenciar dos processos e no maximizar das capacidades dos recursos humanos, e nunca a substituição de processos e pessoas . Esse é na verdade um dos maiores erros que assisti ao longo da minha carreira e que deve ser a todo o custo evitado.

Neste sentido, a tecnologia poderá significar um ganho para as Organizações se de facto permitir uma melhor otimização dos recursos, nomeadamente através da automatização. Mais replicação de procedimentos, maior consistência, maior capacidade para tratamento de grandes volumes de informação e maior rapidez no tratamento da informação e apresentação de resultados, levará certamente a um maior controlo dos riscos de fraude e, sobretudo, a uma eliminação do desperdício.

A implementação de uma estratégia de automatização da monitorização dos controlos deverá ter 4 principais etapas, das quais destaco alguns fatores críticos para duas etapas:
1. Entender e prioritizar os riscos para enfocar nas áreas críticas da Organização

2. Identificar controlos chave e desenvolver uma estratégia
a. A classificação dos controlos é um fator crítico, sendo muitas vezes necessária uma classificação que vá mais longe do binómio Manual-Automático. Utilize pelo menos as seguintes classificações: 1) Controlos TI-inerentes ; 2) Controlos TI-configuráveis; 2) Controlos TI-dependentes; e 4) Manual;
b. Após a classificação, analise a % de controlos de cada tipo e ajuste a estratégia de acordo com o ambiente de controlo;
c. Se tiver muitos controlos Manuais, desconfie! Muitas das vezes os controlos manuais são predominantes pois são os mais fáceis de identificar e desenhar. Confira se não existem controlos “escondidos” nas aplicações de suporte ao processo. Estes são de facto muitas vezes os verdadeiros controlos chave, e as estratégias para a sua monitorização poderão permitir maiores sinergias e poupança de recursos.

3. Identificar a informação eletrónica que deverá ser utilizada

4. Desenhar e implementar uma monitorização com uma boa relação custo-benefício
a. Um dos aspetos a ter em consideração é sem dúvida a adoção de boas práticas e reutilização das mais-valias de cada ambiente. Ou seja, antes de comprar ou investir em novos processos, pessoas ou tecnologias, que tal olhar primeiros para dentro?

i. Avaliar capacidade e qualidade de reporting dos recursos existentes
ii. Envolver os colaboradores adequados… mesmo que sejam do IT!
iii. Utilizar as ferramentas pela sua funcionalidade e não pelo seu nome.

Conclusão
A tecnologia não deve ser vista como a salvação para todos os males, mas bem utilizada poderá ser um fator crítico de sucesso para a melhoria dos ambientes de controlo interno . Para tal será necessário racionalizar os ambientes de controlo interno, focando as atenções e os esforços nos controlos chave dos processos críticos, nomeadamente através da utilização de tecnologias para uma maior automatização dos processos de monitorização .

Desta forma, será possível uma maior agilidade, otimização de recursos e um maior contributo do controlo interno não apenas para a conformidade mas também para a criação de valor na Organização .

Comentários