Como configurar e monitorar controles internos para garantir conformidade

Melhores práticas para configurar uma estrutura de controles internos e sua implementação prática com software especializado.

O termo “controles“, originalmente utilizado no domínio GRC (Governança, Risco, Conformidade) para descrever mecanismos de gestão de riscos e garantia de conformidade, agora é aplicado de forma mais ampla ao planejamento estratégico.

Infográfico: Implementação de 5 Elementos Centrais de Controle Interno para GRC

Neste artigo, compartilharemos as melhores práticas para configurar controles e seu uso prático.

Introdução aos controlos internos

Em essência, um “controlo” é uma resposta ou mecanismo de prevenção utilizado para gerir o risco e assegurar a conformidade.

Exemplo de controlo: “O colaborador saiu da empresa

  • Plano de ação: Redirecionar e-mails
  • Plano de ação: Notificar clientes
  • Métrica de eficácia: Logins desativados [Evidence-Driven]
  • Métrica de eficácia: % de clientes notificados
  • Risco: Interrupção do fluxo de trabalho
Policy and Control Implementation in Strategic Planning

Componentes de controle

Os controles têm componentes específicos:

Exemplo de Implementação

Do ponto de vista da automação, um controle pode ser:

  • Tão simples quanto um plano de ação com métricas de progresso alinhadas ou
  • Tão complexo quanto um conjunto hierárquico de controles e subcontroles, cada um com seu próprio conjunto de métricas, estimativas de risco, planos de mitigação, dependências contextuais e responsáveis.

Os controles têm áreas de aplicação específicas, definindo quando certos controles devem ser ativados.

Vamos explorar as ferramentas que podemos usar para implementar controles no planejamento estratégico.

1. Definição de controle

Na etapa inicial, nosso objetivo é mapear adequadamente as experiências passadas da equipe de gerenciamento em controles ou mecanismos formais de resposta.

Propriedades gerais

Os conceitos básicos para identificar um controle incluem atribuir a ele um nome significativo e explicar seu propósito na descrição. Defina:

  • Condições que disparam o controle,
  • Escopo do controle.
Exemplo de implementação

No BSC Designer:

  1. Utilize o botão Adicionar para criar um novo item.
  2. Identifique o controle pelos campos nome e descrição.
  3. Vincule o controle com metas anteriores relevantes, eventos ou requisitos regulatórios.
Como descrever metas e indicadores em um scorecard
Cascading de estratégia ou alinhamento no nível prático

Documentação de suporte

Controles mais complexos exigem documentação de suporte, como políticas e procedimentos. Faça o link para os documentos relevantes ou envie-os para o controle.
Exemplo de implementação

No BSC Designer:

  • Adicionar documentos a um controle por meio da caixa de diálogo Descrição.
  • Adicionar documentos ao plano de ação do controle por meio da caixa de diálogo Iniciativas.
Como descrever metas e indicadores em um scorecard

Propriedades personalizadas

As organizações seguem seus próprios padrões de definição de controle, implicando propriedades específicas para controles ou planos de ação associados.
Exemplo de implementação

Em BSC Designer:

  • Defina as propriedades exigidas dos controles via campos personalizados.
  • Os novos campos estarão disponíveis para controles, métricas e iniciativas.
Como definir campos personalizados para um KPI ou iniciativa no scorecard

Propriedade

A maioria dos controles requer algum nível de intervenção humana. Mesmo que um controle esteja configurado para operar de forma autônoma, a supervisão continua sendo essencial.
Exemplo de Implementação

Por exemplo, os controles de manutenibilidade de software podem automatizar atualizações, mas é necessário um especialista em TI para resolver conflitos se uma atualização falhar. No BSC Designer:

  1. Adicione pessoas responsáveis pelo controle como usuários; atribua a pessoa a uma equipe.
  2. Atribua a pessoa ou equipe como proprietário do controle através do campo Proprietário.

Os proprietários receberão notificações relevantes ao controle.

Assign Owners for Goals, KPIs, and Initiatives to Ensure Accountability

Certificação / Aprovação

Para concluir a definição de um controle ou indicador, pode ser necessária certificação ou aprovação formal. A gestão atesta que o controle interno está em conformidade com os requisitos regulatórios e internos.
Exemplo de implementação

No BSC Designer:

  • Use campos personalizados para definir propriedades do controle, como “Estado da certificação” e “Certificado por”.
  • Ao atestar os controles, a equipe de gestão pode atualizar essas propriedades.
  • Use filtros em relatórios para identificar controles sem a devida certificação.
Como definir campos personalizados para um KPI ou iniciativa no scorecard

Para desativar um controle não certificado, mas mantê-lo no scorecard:

  1. Selecione um controle.
  2. Vá para a guia Desempenho.
  3. Ative a caixa de seleção Indicador de dados brutos.

Alinhar controles

Os controles não existem de forma isolada. Estabeleça as conexões contextuais necessárias entre diversos controles, metas, riscos e eventos. Conforme discutido no Sistema de Implantação de Estratégia, os controles são implementados na estratégia por meio de scorecards funcionais.
Exemplo de implementação

No BSC Designer:

  • Copie e cole itens entre scorecards.
  • Quando solicitado, utilize a opção de conexão por contexto para vincular dois itens.
Cascading de estratégia ou alinhamento no nível prático

Catálogo de controles

Para controles repetitivos, crie uma biblioteca de controles. No caso de um determinado evento, você pode facilmente implantar um controle copiando-o da biblioteca. Para manter a implementação de controles sincronizada com o modelo predefinido, use a função de sincronização disponível na plataforma.
Exemplo de implementação

No BSC Designer:

  1. Crie um scorecard dedicado a controles.
  2. Use uma estrutura hierárquica para organizar os controles.
  3. Quando necessário, copie o controle para o scorecard ativo.
Automating Internal Controls with Functional Scorecards

2. Quantificação dos controles

Métricas de eficácia

Usar métricas para os controles torna o controle mais específico e evita diferentes interpretações. Defina métricas para acompanhar:

  • Adesão aos padrões
  • Eficácia do controle
  • Progresso dos planos de ação
Exemplo de implementação

Por exemplo, no relato de incidentes:

  • A métrica de eficiência pode ser “% de pessoal treinado em relato de incidentes.”
  • A métrica de eficácia pode ser “% de incidentes não comunicados corretamente.”

No BSC Designer:

  • Use o botão Adicionar para adicionar métricas dentro do item Controle.

Desempenho geral

Quando as métricas de efetividade são definidas para o controle, a efetividade total da aplicação do controle pode ser calculada usando a média ponderada do desempenho das métricas individuais.
Exemplo de implementação

No BSC Designer:

  1. Selecione uma métrica
  2. Alterne para a aba Desempenho
  3. Altere o peso da métrica

O desempenho/progresso do controle será exibido na coluna correspondente.

Creating an Index Indicator with Weighted Metrics

Métricas de eficiência

Dependendo do contexto, utilize métricas de tendência. Diferente das métricas de resultado, as métricas de tendência não contribuirão diretamente para o desempenho geral do controle, mas sugerirão insights valiosos para entender a eficiência do controle.

Exemplo de implementação

No BSC Designer:

  1. Selecione uma métrica
  2. Altere para o Contexto
  3. Altere o tipo da métrica para De tendência
Indicadores de tendência vs. indicadores de resultado no BSC Designer

Estimar riscos

Um controle pode incluir uma definição de risco ou estar alinhado com riscos de um registro de riscos.

A estimativa de risco pode ser:

  • Um gatilho para a execução do controle ou
  • Uma condição para selecionar um determinado curso de ação.
Exemplo de implementação

No BSC Designer:

  1. Criar um novo indicador
  2. Alterar seu tipo para ‘Risco’
  3. Atualizar os indicadores de Probabilidade e Impacto do risco
Etapas para adicionar um risco a um objetivo no BSC Designer

Controle Binário

Os possíveis estados dos indicadores binários:

  • Não atribuído – a parte do controle ainda não foi executada
  • Sim – para indicar que a parte do controle foi executada com sucesso
  • Não – para indicar que a parte do controle não foi executada com sucesso
Exemplo de Implementação

Exemplo: “Plano de continuidade de negócios atualizado levando em conta uma ameaça recém-identificada” pode ser automatizado com um indicador binário. No BSC Designer:

  1. Selecione um indicador
  2. Alterne para a aba ‘Geral’
  3. Altere suas unidades de medida para “Sim/Não”
Binary Indicators: An Example of Usage for Internal Controls

Controle qualitativo

Indicadores qualitativos são usados para os controles quando uma estimativa quantitativa mais específica ainda não foi desenvolvida ou não é economicamente viável desenvolver uma.

Exemplo de implementação

Exemplo: um controle Gestão e Comunicação de Políticas pode ser avaliado com uma métrica qualitativa Eficácia da Comunicação de Políticas de Conformidade com possíveis estados:

  • Altamente Eficaz (100): Os funcionários entendem claramente as políticas de conformidade.
  • Moderadamente Eficaz (60): Alguns funcionários entendem as políticas.
  • Ineficaz (10): Os funcionários geralmente desconhecem as políticas.

No BSC Designer:

  1. Selecione um indicador
  2. Clique no botão Editar ao lado das unidades de medida para adicionar unidades de medida personalizadas
Using Qualitative and Quantitative Measurement Units on Scorecards

Controle quantitativo

Para tornar os controles mais específicos, são usados indicadores quantitativos ou numéricos. Para indicadores quantitativos, podemos definir sua fórmula de desempenho, por exemplo, como o estado atual de um indicador impacta o desempenho do resultado.

Exemplo de implementação

Exemplo: para avaliar a eficácia da implementação de um controle específico, fazemos uma auditoria interna para rastrear o % de Conformidade com a Política. Nesse caso, a fórmula de desempenho é maximização linear, com alvo = 100%. Outro exemplo pode ser a métrica Tempo Médio para Detectar, configurada como minimização linear com alvo de 24 horas.

No BSC Designer:

  • Alterne para a guia ‘Desempenho’ para definir a função de desempenho.
  • Alterne para a guia ‘Dados’ para definir o estado atual do indicador, a linha de base e a meta.
Practical Use of the Optimization Function for KPIs in BSC Designer

Controle orientado por evidências

Indicadores de evidência alterarão seu estado de acordo com o número de documentos/evidências enviados.

Exemplo de implementação

Por exemplo, o controle de teste de backup e recuperação pode exigir o envio de resultados de testes ou logs como prova da execução bem-sucedida do controle.

No BSC Designer:

  1. Selecione um indicador
  2. Altere suas unidades de medida para Evidência
  3. Enviar documento para o indicador para alterar seu estado

3. Iniciativas para controles

Planos de ação

Aplicar controles envolve seguir ações específicas de prevenção ou resposta, semelhante ao gerenciamento de projetos clássico com datas de vencimento, orçamentos e pessoas responsáveis.
Exemplo de Implementação

No BSC Designer:

  • Use a ferramenta Iniciativa para adicionar planos de ação aos controles.
  • Alinhe riscos e métricas de eficiência com a iniciativa.
  • Atribua um responsável à iniciativa; a pessoa receberá notificações quando o status mudar.
How to Add an Initiative to a Goal in Strategic Planning

Acompanhar plano de ação

Acompanhar a execução do plano de ação é normalmente parte do escopo do controle. Uma das métricas alinhadas com o controle pode ser utilizada para acompanhar o progresso do plano de ação.
Exemplo de implementação

No BSC Designer:

  1. Adicione uma nova iniciativa ao controle.
  2. Abra o diálogo da iniciativa.
  3. Selecione o KPI de progresso no campo ‘KPI Alinhado’.
Using KPIs to Track the Progress of an Initiative

4. Controlar rastreamento ao longo do tempo

Controles periódicos

Alguns controles exigem revisão periódica. Essas revisões envolvem a mecânica do controle, bem como a aplicação periódica do controle. Certos controles precisam ser ativados apenas uma vez.
Exemplo de implementação

Exemplo de revisão da mecânica do controle:

  • Revisão de listas de verificação de conformidade – revisão anual
  • Retenção de conhecimento, % – revisão trimestral

Exemplos de aplicação periódica do controle:

  • Varredura de vulnerabilidades – revisão/atualização mensal

Exemplos de controle iniciado uma vez:

  • Avaliação inicial de risco – atualizar uma vez

No BSC Designer:

Assegurar a Consistência dos Dados com Intervalos de Atualização

Atualizar estado do controle

Para controles periódicos, atualize o estado das métricas que foram definidas para o controle.
Exemplo de implementação

No BSC Designer:

  1. Selecione a métrica de um controle
  2. Selecione uma data no calendário interno
  3. Altere para a guia ‘Dados’
  4. Insira o novo estado no campo ‘Valor’
Monitoramento Contínuo de KPIs no BSC Designer

Herança do estado do controle

Alguns indicadores usados para controles herdarão seu estado previamente conhecido, enquanto outros utilizarão apenas as atualizações inseridas especificamente.

Exemplo de implementação

Por exemplo:

  • % de funcionários treinados – provavelmente será um indicador inerente, pois podemos assumir que o percentual de funcionários treinados em maio permanecerá o mesmo ou aumentará em junho.
  • Receita de vendas mensal – provavelmente será um indicador não inerente, pois estamos interessados em acompanhar os dados reais de vendas ao longo dos meses.

No BSC Designer:

  1. Selecione um indicador
  2. Clique no botão Editor de valores
  3. Altere o tipo de herança do indicador
Duas opções para herdar o estado anterior de um indicador

5. Controles de relatórios

Controles em dashboards

Crie representações visuais de controles e seus estados. Acompanhe a evolução das métricas ao longo do tempo, o estado dos riscos e os planos de mitigação de riscos.
Exemplo de implementação

No BSC Designer:

  1. Alterne para a guia Dashboard.
  2. Adicione gráficos relevantes, incluindo gráficos de Gantt para iniciativas, diagramas de risco e diagramas listando controles e seus estados.
Adding a Chart to a Dashboard in BSC Designer

Controles para estimativa de risco

Os indicadores de resultado que quantificam a eficácia dos controles podem ser usados para quantificar a probabilidade ou o impacto de um risco.
Exemplo de implementação

No BSC Designer:

  • Conecte a parte de indicador de resultado do controle com as métricas de Impacto do risco ou Estimativa de risco no registro de riscos por meio de dados.
Identificar e avaliar riscos pela eficácia dos controles internos

Controles em relatórios

O estado dos controles, assim como os resultados de sua implementação, podem ser relatados aos stakeholders envolvidos.
Exemplo de implementação

No BSC Designer:

  • Use o menu ‘Relatório’ para gerar vários relatórios
  • Use o botão ‘Agendar’ no menu ‘Relatório’ para enviar relatórios automaticamente aos stakeholders
Report the Status of Goals and KPIs to the Stakeholders

Responsabilidade

Registrar os resultados da execução de um controle é importante para responsabilidade e aprendizado futuro.
Exemplo de Implementação

No BSC Designer:

  • Todas as atividades relacionadas ao design e execução de controles são registradas no log de auditoria.
  • O administrador da conta pode acessar os logs de auditoria via Menu > Usuários > Trilhas de Auditoria.
Accountability and Transparency with Audit Trail in Strategic Planning

Exemplo prático de uso de um controle

Vamos discutir um exemplo prático. Considere o controle ativado quando um funcionário deixa a empresa.

Estrutura do exemplo:
Um exemplo da biblioteca de controles GRC

Um exemplo da estrutura da biblioteca para controles GRC. Fonte: Ver Biblioteca de Controles GRC online no BSC Designer Biblioteca de Controles GRC.

Biblioteca de Controles

Na biblioteca de controles, tenho uma seção de RH onde um dos controles é “Funcionário deixou a empresa.”

Este controle possui três planos de ação:

  • Redirecionar e-mails.
  • Contatar clientes.
  • Plano de transferência de conhecimento.

Também possui duas métricas:

  • Logins desativados (baseado em evidências).
  • Percentual de clientes notificados.

Outra métrica é usada para a revisão periódica dos controles:

  • Retenção de Conhecimento (%)

Um risco é definido para o controle como:

  • Risco: Interrupção do Fluxo de Trabalho
  • Plano de mitigação: Documentar funções críticas

Scorecard de eventos

Tenho um scorecard chamado “Eventos de RH”, onde os eventos relevantes de RH são registrados. O scorecard é organizado por tipo de evento.

Aplicar o controle

Aqui estão os passos a seguir quando um funcionário deixa a empresa:

  1. Crie um novo evento no scorecard de Eventos, por exemplo, “Alex deixou a empresa.”
  2. Copie e cole o controle apropriado da biblioteca de controles para o scorecard de Eventos.
  3. A pessoa responsável pelo controle será automaticamente notificada sobre novos planos de ação criados.
  4. Carregue evidências (capturas de tela) de que os logins foram desativados.
  5. Notifique os clientes e atualize o indicador “% de clientes notificados”.
  6. Atualize o status dos planos de ação para “Em revisão.”

Mais exemplos

Você pode encontrar mais exemplos de uso de controles em artigos sobre:

Use o modelo Biblioteca de Controles de GRC

O BSC Designer ajuda as organizações a implementarem suas estratégias complexas:

  1. Inscreva-se para um plano gratuito na plataforma.
  2. Use o modelo Scorecard Template Biblioteca de Controles de GRC como ponto de partida. Você o encontrará em Novo > Novo Scorecard > Mais Modelos.
  3. Siga o nosso Sistema de Implementação de Estratégia para alinhar as partes interessadas e ambições estratégicas em uma estratégia abrangente.

Comece hoje e veja como o BSC Designer pode simplificar a implementação da sua estratégia!


Citação: BSC Designer, "Como configurar e monitorar controles internos para garantir conformidade", BSC Designer, junho 12, 2024, https://bscdesigner.com/pt/automatizando-controles.htm.