Como Configurar e Monitorar Controles Internos para Garantir a Conformidade

O termo “controles“, originalmente usado no domínio GRC (Governança, Risco, Conformidade) para descrever mecanismos de gestão de riscos e garantia de conformidade, agora é aplicado de forma mais ampla ao planejamento estratégico.

Infográfico: Implementando 5 Elementos Essenciais de Controles Internos para GRC

Neste artigo, compartilharemos as melhores práticas para configuração de controles e seu uso prático.

Introdução aos Controles Internos

Em essência, um “controle” é um mecanismo de resposta ou prevenção usado para gerenciar riscos e garantir a conformidade.

Exemplo de controle: “Funcionário saiu da empresa

  • Plano de ação: Redirecionar e-mails
  • Plano de ação: Notificar clientes
  • Métrica de eficácia: Logins desativados [Baseado em Evidências]
  • Métrica de eficácia: % de clientes notificados
  • Risco: Interrupção do Fluxo de Trabalho
Automating Internal Controls with Functional Scorecards

Componentes do Controle

Os controles têm componentes específicos:

Exemplo de Implementação

Do ponto de vista da automação, um controle pode ser:

  • Tão simples quanto um plano de ação com métricas de progresso alinhadas ou
  • Tão complexo quanto um conjunto hierárquico de controles e subcontroles, cada um com seu próprio conjunto de métricas, estimativas de risco, planos de mitigação, dependências contextuais e responsáveis.

Os controles têm áreas de aplicação específicas, definindo quando certos controles devem ser ativados.

Vamos explorar as ferramentas que podemos usar para implementar controles no planejamento estratégico.

1. Definição do Controle

Na etapa inicial, nosso objetivo é mapear adequadamente as experiências passadas da equipe de gestão em controles ou mecanismos de resposta formal.

Propriedades Gerais

O básico para identificar um controle inclui dar-lhe um nome significativo e explicar seu propósito na descrição. Defina:

  • Condições que acionam o controle,
  • Escopo do controle.
Exemplo de Implementação

No BSC Designer:

  1. Use o botão Adicionar para criar um novo item.
  2. Identifique o controle por meio dos campos de nome e descrição.
  3. Crie vínculos do controle com metas, eventos ou requisitos regulamentares passados relevantes.
How to Describe Goals and Indicators in a Scorecard
Strategy Cascading or Alignment on Practical Level

Documentação de Apoio

Controles mais complexos requerem documentação de apoio, como políticas e procedimentos. Vincule aos documentos relevantes ou faça o upload deles no controle.
Exemplo de Implementação

No BSC Designer:

  • Adicione documentos a um controle por meio do diálogo de Descrição.
  • Adicione documentos ao plano de ação do controle por meio do diálogo de Iniciativas.
How to Describe Goals and Indicators in a Scorecard

Propriedades Personalizadas

As organizações seguem seus próprios padrões de definição de controle, implicando propriedades específicas para controles ou planos de ação associados.
Exemplo de Implementação

No BSC Designer:

  • Defina as propriedades necessárias dos controles por meio de campos personalizados.
  • Os novos campos estarão disponíveis para controles, métricas e iniciativas.
How to Define Custom Fields for a KPI or Initiative on the Scorecard

Propriedade

A maioria dos controles requer algum nível de intervenção humana. Mesmo que um controle seja configurado para operar de forma autônoma, a supervisão continua sendo essencial.
Exemplo de Implementação

Por exemplo, controles de manutenção de software podem automatizar atualizações, mas é necessário um especialista em TI para resolver conflitos se uma atualização falhar. No BSC Designer:

  1. Adicione pessoas responsáveis pelo controle como usuários; atribua a pessoa a uma equipe.
  2. Atribua a pessoa ou equipe como responsável pelo controle por meio do campo Proprietário.

Os responsáveis receberão notificações relevantes ao controle.

Assign Owners for Goals, KPIs, and Initiatives to Ensure Accountability

Certificação / Aprovação

Para completar a definição de um controle ou indicador, pode ser necessária a certificação ou aprovação formal. A gestão atesta que o controle interno está em conformidade com os requisitos regulamentares e internos.
Exemplo de Implementação

No BSC Designer:

  • Use campos personalizados para definir propriedades do controle, como “Estado de Certificação” e “Certificado por.”
  • Ao atestar os controles, a equipe de gestão pode atualizar essas propriedades.
  • Use filtros em relatórios para identificar controles sem a devida certificação.
How to Define Custom Fields for a KPI or Initiative on the Scorecard

Para desativar o controle não certificado, mas mantê-lo no scorecard:

  1. Selecione um controle.
  2. Vá para a aba Desempenho.
  3. Ative a caixa de seleção Indicador de dados brutos.

Alinhamento de Controles

Os controles não existem isoladamente. Estabele

ça as conexões contextuais necessárias entre vários controles, metas, riscos e eventos. Conforme discutido no Sistema de Implantação de Estratégia, os controles são implementados na estratégia por meio de scorecards funcionais.

Exemplo de Implementação

No BSC Designer:

  • Copie e cole itens entre os scorecards.
  • Quando solicitado, use a opção de conexão por contexto para vincular dois itens.
Strategy Cascading or Alignment on Practical Level

Catálogo de Controles

Para controles repetitivos, crie uma biblioteca de controles. No caso de um determinado evento, você pode facilmente implantar um controle copiando-o da biblioteca.
Exemplo de Implementação

No BSC Designer:

  1. Crie um scorecard dedicado aos controles.
  2. Use uma estrutura hierárquica para organizar os controles.
  3. Quando necessário, copie o controle para o scorecard ativo.
Automating Internal Controls with Functional Scorecards

2. Quantificação dos Controles

Métricas de Eficácia

Usar métricas para os controles torna o controle mais específico e evita diferentes interpretações. Defina métricas para rastrear:

  • Adesão aos padrões
  • Eficácia do controle
  • Progresso dos planos de ação
Exemplo de Implementação

Por exemplo, em relatórios de incidentes:

  • A métrica de eficiência pode ser “% de pessoal treinado em relatórios de incidentes.”
  • A métrica de eficácia pode ser “% de incidentes não comunicados corretamente.”

No BSC Designer:

  • Use o botão Adicionar para adicionar métricas dentro do item de Controle.

Desempenho Geral

Quando as métricas de eficácia são definidas para o controle, a eficácia total da aplicação do controle pode ser calculada usando a média ponderada do desempenho das métricas individuais.
Exemplo de Implementação

No BSC Designer:

  1. Selecione uma métrica
  2. Vá para a aba Desempenho
  3. Altere o peso da métrica

O desempenho/progresso do controle será exibido na coluna correspondente.

Creating an Index Indicator with Weighted Metrics

Métricas de Eficiência

Dependendo do contexto, use métricas de tendência. Ao contrário das métricas de resultado, as métricas de tendência não contribuirão diretamente para o desempenho geral do controle, mas fornecerão insights valiosos para entender a eficiência do controle.

Exemplo de Implementação

No BSC Designer:

  1. Selecione uma métrica
  2. Vá para o Contexto
  3. Altere o tipo da métrica para Indicador de tendência
Leading vs. Lagging Indicators in BSC Designer

Estimativa de Riscos

Um controle pode incluir uma definição de risco ou ser alinhado com riscos de um registro de risco.

A estimativa de risco pode ser:

  • Um gatilho para a execução do controle ou
  • Uma condição para selecionar um determinado curso de ação.
Exemplo de Implementação

No BSC Designer:

  1. Crie um novo indicador
  2. Altere seu tipo para ‘Risco’
  3. Atualize os indicadores de Probabilidade e Impacto do risco
Steps to Add a Risk to an Objective in BSC Designer

Controle Binário

Os possíveis estados dos indicadores binários:

  • Não atribuído – a parte do controle ainda não foi executada
  • Sim – para indicar que a parte do controle foi executada com sucesso
  • Não – para indicar que a parte do controle não foi executada com sucesso
Exemplo de Implementação

Exemplo: “Plano de continuidade de negócios atualizado considerando uma nova ameaça identificada” pode ser automatizado com um indicador binário. No BSC Designer:

  1. Selecione um indicador
  2. Vá para a aba ‘Geral’
  3. Altere suas unidades de medida para “Sim/Não”
Binary Indicators: An Example of Usage for Internal Controls

Controle Qualitativo

Indicadores qualitativos são usados para os controles quando uma estimativa quantitativa mais específica ainda não foi desenvolvida ou não é economicamente viável desenvolver uma.

Exemplo de Implementação

Exemplo: um controle Gestão e Comunicação de Políticas pode ser avaliado com uma métrica qualitativa Eficácia da Comunicação das Políticas de Conformidade com possíveis estados:

  • Altamente Eficaz (100): Funcionários entendem claramente as políticas de conformidade.
  • Moderadamente Eficaz (60): Alguns funcionários entendem as políticas.
  • Ineficaz (10): Funcionários geralmente desconhecem as políticas.

No BSC Designer:

  1. Selecione um indicador
  2. Clique no botão Editar ao lado das unidades de medida para adicionar unidades de medida personalizadas
Using Qualitative and Quantitative Measurement Units on Scorecards

Controle Quantitativo

Para tornar os controles mais específicos, são usados indicadores quantitativos ou numéricos. Para indicadores quantitativos, podemos definir sua fórmula de desempenho, por exemplo, como o estado atual de um indicador impacta o desempenho final.

Exemplo de Implementação

Exemplo: para avaliar a eficácia da implementação de um controle específico, fazemos uma auditoria interna para rastrear o % de Conformidade com a Política. Nesse caso, a fórmula de desempenho é maximização linear, com alvo = 100%. Outro exemplo pode ser a métrica

Tempo Médio para Detectar, configurada como minimização linear com alvo de 24 horas.

No BSC Designer:

  • Vá para a aba ‘Desempenho’ para definir a função de desempenho.
  • Vá para a aba ‘Dados’ para definir o estado atual do indicador, linha de base e alvo.
Practical Use of the Optimization Function for KPIs in BSC Designer

Controle Baseado em Evidências

Indicadores de evidência mudarão seu estado de acordo com o número de documentos/evidências carregados.

Exemplo de Implementação

Por exemplo, o controle de teste de backup e recuperação pode exigir o upload dos resultados do teste ou logs como prova da execução bem-sucedida do controle.

No BSC Designer:

  1. Selecione um indicador
  2. Altere suas unidades de medida para Evidência
  3. Carregue o documento no indicador para mudar seu estado
Automate Evidence Tracking in a GRC Scorecard with Controls

3. Iniciativas para Controles

Planos de Ação

A aplicação de controles envolve seguir ações de prevenção ou resposta específicas, semelhantes à gestão de projetos clássica, com datas de vencimento, orçamentos e pessoas responsáveis.
Exemplo de Implementação

No BSC Designer:

  • Use a ferramenta de Iniciativa para adicionar planos de ação aos controles.
  • Alinhe riscos e métricas de eficiência com a iniciativa.
  • Atribua um responsável pela iniciativa; a pessoa receberá notificações quando o status mudar.
How to Add an Initiative to a Goal in Strategic Planning

Acompanhamento do Plano de Ação

Acompanhar a execução do plano de ação é tipicamente parte do escopo do controle. Uma das métricas alinhadas com o controle pode ser usada para acompanhar o progresso do plano de ação.
Exemplo de Implementação

No BSC Designer:

  1. Adicione uma nova iniciativa ao controle.
  2. Abra o diálogo da iniciativa.
  3. Selecione a métrica de progresso no campo ‘KPI Alinhado’.
Using KPIs to Track the Progress of an Initiative

4. Acompanhamento de Controles ao Longo do Tempo

Controles Periódicos

Alguns controles requerem revisão periódica. Tais revisões envolvem as mecânicas do controle, bem como a aplicação periódica do controle. Certos controles precisam ser ativados apenas uma vez.
Exemplo de Implementação

Exemplo de revisão das mecânicas do controle:

  • Revisão de Checklists de Conformidade – revisão anual
  • Retenção de Conhecimento, % – revisão trimestral

Exemplos de aplicação periódica do controle:

  • Varredura de Vulnerabilidades – revisão/atualização mensal

Exemplos de controle iniciado uma vez:

  • Avaliação Inicial de Risco – a ser atualizada uma vez

No BSC Designer:

Ensure Data Consistency with Update Intervals

Atualizando o Estado do Controle

Para controles periódicos, atualize o estado das métricas que foram definidas para o controle.
Exemplo de Implementação

No BSC Designer:

  1. Selecione uma métrica do controle
  2. Selecione uma data no calendário interno
  3. Vá para a aba ‘Dados’
  4. Insira o novo estado no campo ‘Valor’
Continuous Monitoring of KPIs in BSC Designer

Herança do Estado do Controle

Alguns indicadores usados para controles herdarão seu estado previamente conhecido, enquanto outros usarão apenas atualizações especificamente inseridas.

Exemplo de Implementação

Por exemplo:

  • % de Funcionários Treinados – é provavelmente um indicador inerente, pois podemos assumir que a porcentagem de funcionários treinados em maio permanecerá a mesma ou aumentará em junho.
  • Receita de Vendas Mensal – é provavelmente um indicador não inerente, pois estamos interessados em rastrear dados de vendas reais ao longo dos meses.

No BSC Designer:

  1. Selecione um indicador
  2. Clique no botão Editor de Valores
  3. Altere o tipo de herança do indicador
Two Options for Inheriting Previous State of an Indicator

5. Relatórios de Controles

Controles em Dashboards

Crie representações visuais dos controles e seus estados. Acompanhe a evolução das métricas ao longo do tempo, o estado dos riscos e os planos de mitigação de riscos.
Exemplo de Implementação

No BSC Designer:

  1. Vá para a aba Dashboard.
  2. Adicione gráficos relevantes, incluindo gráficos de Gantt para iniciativas, diagramas de risco e diagramas listando controles e seus estados.
Adding a Chart to a Dashboard in BSC Designer

Controles para Estimativa de Riscos

As métricas de resultado que quantificam a eficácia dos controles podem ser usadas para quantificar a probabilidade ou o impacto de um risco.
Exemplo de Implementação

No BSC Designer:

  • Conecte a parte de resultado do controle com as métricas de Impacto de Risco ou Estimativa de Risco no registro de riscos por dados.
Identify and Assess Risks by Effectiveness of Internal Controls

Controles em

Relatórios

O estado dos controles, bem como os resultados de sua implementação, podem ser relatados aos stakeholders envolvidos.
Exemplo de Implementação

No BSC Designer:

  • Use o menu ‘Relatório’ para gerar vários relatórios
  • Use o botão ‘Agendar’ no menu ‘Relatório’ para enviar relatórios automaticamente aos stakeholders
Report the Status of Goals and KPIs to the Stakeholders

Responsabilidade

Registrar os resultados da execução de um controle é importante para responsabilidade e aprendizado futuro.
Exemplo de Implementação

No BSC Designer:

  • Todas as atividades relacionadas ao design e execução de controles são registradas no log de auditoria.
  • O administrador da conta pode acessar os logs de auditoria por meio de Menu > Usuários > Trilhas de Auditoria.
Accountability and Transparency with Audit Trail in Strategic Planning

Exemplo Prático de Uso de um Controle

Vamos discutir um exemplo prático. Considere o controle ativado quando um funcionário deixa a empresa.

Estrutura do exemplo:
Um exemplo da biblioteca de controles GRC

Um exemplo da estrutura da biblioteca de controles para GRC. Fonte: Ver Biblioteca de Controles GRC online no BSC Designer Biblioteca de Controles GRC.

Biblioteca de Controles

Na biblioteca de controles, tenho uma seção de RH onde um dos controles é “Funcionário saiu da empresa.”

Este controle tem três planos de ação:

  • Redirecionar e-mails.
  • Entrar em contato com clientes.
  • Plano de transferência de conhecimento.

Ele também tem duas métricas:

  • Logins desativados (baseado em evidências).
  • Percentual de clientes notificados.

Outra métrica é usada para a revisão periódica dos controles:

  • Retenção de Conhecimento (%)

Um risco é definido para o controle como:

  • Risco: Interrupção do Fluxo de Trabalho
  • Plano de mitigação: Documentar funções críticas

Scorecard de Eventos

Tenho um scorecard chamado “Eventos de RH” onde eventos relevantes de RH são registrados. O scorecard é organizado por tipo de evento.

Aplicando o Controle

Aqui estão os passos a seguir quando um funcionário deixa a empresa:

  1. Crie um novo evento no scorecard de Eventos, por exemplo, “Alex saiu da empresa.”
  2. Copie e cole o controle apropriado da biblioteca de controles para o scorecard de Eventos.
  3. A pessoa responsável pelo controle será automaticamente notificada sobre os novos planos de ação criados.
  4. Carregue evidências (capturas de tela) de que os logins foram desativados.
  5. Notifique os clientes e atualize o indicador de “% de clientes notificados.”
  6. Atualize o status dos planos de ação para “Em revisão.”

Mais Exemplos

Você pode encontrar mais exemplos de uso de controles em artigos sobre:

O que se segue?

  • Modelos de acesso. Registe-se com um plano grátis na BSC Designer para ter acesso imediato a 31 modelos de scorecards, incluindo o Biblioteca de Controles GRC discutido neste artigo.
  • Competências Chave. Veja gratuitamente o tutorial em vídeo para a Balanced Scorecard. Domine as suas competências de planeamento e execução de estratégias com a formação Execução Estratégica.
  • Automatizar. Aprenda o que o software Balanced Scorecard é e como pode facilitar a sua vida, automatizando a execução de estratégias, KPIs e mapas de estratégia.

Mais exemplos do Balanced Scorecard

8 PASSOS Para Criar um Mapa de Estratégia do BSC Designer

Citação: BSC Designer, "Como Configurar e Monitorar Controles Internos para Garantir a Conformidade", BSC Designer, junho 12, 2024, https://bscdesigner.com/pt/automatizando-controles.htm.