Como configurar e monitorar controles internos para garantir conformidade

Melhores práticas para configurar uma estrutura de controles internos e sua implementação prática com software especializado.

O termo “controles“, originalmente utilizado no domínio GRC (Governança, Risco, Conformidade) para descrever mecanismos de gestão de riscos e garantia de conformidade, agora é aplicado de forma mais ampla ao planejamento estratégico.

Infográfico: Implementação de 5 Elementos Centrais de Controle Interno para GRC

Neste artigo, compartilharemos as melhores práticas para configurar controles e seu uso prático.

Introdução aos controles internos

Em essência, um “controle” é um mecanismo de resposta ou prevenção usado para gerenciar riscos e garantir a conformidade.

Exemplo de controle: “Funcionário saiu da empresa

  • Plano de ação: Redirecionar e-mails
  • Plano de ação: Notificar clientes
  • Métrica de eficácia: Logins desativados [Baseado em Evidências]
  • Métrica de eficácia: % de clientes notificados
  • Risco: Interrupção do fluxo de trabalho
Automating Internal Controls with Functional Scorecards

Componentes de controle

Os controles têm componentes específicos:

Exemplo de Implementação

Do ponto de vista da automação, um controle pode ser:

  • Tão simples quanto um plano de ação com métricas de progresso alinhadas ou
  • Tão complexo quanto um conjunto hierárquico de controles e subcontroles, cada um com seu próprio conjunto de métricas, estimativas de risco, planos de mitigação, dependências contextuais e responsáveis.

Os controles têm áreas de aplicação específicas, definindo quando certos controles devem ser ativados.

Vamos explorar as ferramentas que podemos usar para implementar controles no planejamento estratégico.

1. Definição de controle

Na etapa inicial, nosso objetivo é mapear adequadamente as experiências passadas da equipe de gerenciamento em controles ou mecanismos formais de resposta.

Propriedades gerais

O básico para identificar um controle inclui dar a ele um nome significativo e explicar seu propósito na descrição. Defina:

  • Condições que acionam o controle,
  • Escopo do controle.
Exemplo de implementação

No BSC Designer:

  1. Use o botão Adicionar para criar um novo item.
  2. Identifique o controle através dos campos de nome e descrição.
  3. Interligue o controle com metas, eventos ou requisitos regulatórios passados relevantes.
How to Describe Goals and Indicators in a Scorecard
Strategy Cascading or Alignment on Practical Level

Documentação de suporte

Controles mais complexos exigem documentação de suporte, como políticas e procedimentos. Vincule aos documentos relevantes ou faça o upload deles para o controle.
Exemplo de Implementação

No BSC Designer:

  • Adicione documentos a um controle através do diálogo de Descrição.
  • Adicione documentos ao plano de ação do controle através do diálogo de Iniciativas.
How to Describe Goals and Indicators in a Scorecard

Propriedades personalizadas

As organizações seguem seus próprios padrões de definição de controle, implicando propriedades específicas para controles ou planos de ação associados.
Exemplo de implementação

No BSC Designer:

  • Defina as propriedades necessárias dos controles por meio de campos personalizados.
  • Os novos campos estarão disponíveis para controles, métricas e iniciativas.
How to Define Custom Fields for a KPI or Initiative on the Scorecard

Propriedade

A maioria dos controles requer algum nível de intervenção humana. Mesmo que um controle esteja configurado para operar de forma autônoma, a supervisão continua sendo essencial.
Exemplo de Implementação

Por exemplo, os controles de manutenibilidade de software podem automatizar atualizações, mas é necessário um especialista em TI para resolver conflitos se uma atualização falhar. No BSC Designer:

  1. Adicione pessoas responsáveis pelo controle como usuários; atribua a pessoa a uma equipe.
  2. Atribua a pessoa ou equipe como proprietário do controle através do campo Proprietário.

Os proprietários receberão notificações relevantes ao controle.

Assign Owners for Goals, KPIs, and Initiatives to Ensure Accountability

Certificação / Aprovação

Para completar a definição de um controle ou indicador, pode ser necessário uma certificação ou aprovação formal. A administração atesta que o controle interno está em conformidade com os requisitos regulamentares e internos.
Exemplo de Implementação

No BSC Designer:

  • Use campos personalizados para definir propriedades de controle, como “Estado da certificação” e “Certificado por”.
  • Ao atestar os controles, a equipe de gestão pode atualizar essas propriedades.
  • Use filtros em relatórios para identificar controles sem certificação adequada.
How to Define Custom Fields for a KPI or Initiative on the Scorecard

Para desativar controle não certificado, mas mantê-lo no scorecard:

  1. Selecione um controle.
  2. Alterne para a aba Desempenho.
  3. Ative a caixa de seleção Indicador de dados brutos.

Alinhamento de controles

Os controles não existem isoladamente. Estabeleça as conexões contextuais necessárias entre os vários controles, metas, riscos e eventos. Conforme discutido no Sistema de Implementação de Estratégia, os controles são implementados na estratégia através de scorecards funcionais.
Exemplo de implementação

No BSC Designer:

  • Copie e cole itens entre scorecards.
  • Quando solicitado, use a opção de conexão por contexto para vincular dois itens.
Strategy Cascading or Alignment on Practical Level

Catálogo de controles

Para controles repetitivos, crie uma biblioteca de controles. No caso de um determinado evento, você pode facilmente implantar um controle copiando-o da biblioteca. Para manter a implementação de controles sincronizada com o modelo predefinido, use a função de sincronização disponível na plataforma.
Exemplo de implementação

No BSC Designer:

  1. Crie um scorecard dedicado a controles.
  2. Use uma estrutura hierárquica para organizar os controles.
  3. Quando necessário, copie o controle para o scorecard ativo.
Automating Internal Controls with Functional Scorecards

2. Quantificação dos controles

Métricas de eficácia

Usar métricas para os controles torna o controle mais específico e evita diferentes interpretações. Defina métricas para acompanhar:

  • Adesão aos padrões
  • Eficácia do controle
  • Progresso dos planos de ação
Exemplo de implementação

Por exemplo, no relato de incidentes:

  • A métrica de eficiência pode ser “% de pessoal treinado em relato de incidentes.”
  • A métrica de eficácia pode ser “% de incidentes não comunicados corretamente.”

No BSC Designer:

  • Use o botão Adicionar para adicionar métricas dentro do item Controle.

Desempenho geral

Quando as métricas de efetividade são definidas para o controle, a efetividade total da aplicação do controle pode ser calculada usando a média ponderada do desempenho das métricas individuais.
Exemplo de implementação

No BSC Designer:

  1. Selecione uma métrica
  2. Alterne para a aba Desempenho
  3. Altere o peso da métrica

O desempenho/progresso do controle será exibido na coluna correspondente.

Creating an Index Indicator with Weighted Metrics

Métricas de eficiência

Dependendo do contexto, utilize métricas de tendência. Ao contrário das métricas de resultado, as métricas de tendência não contribuirão diretamente para o desempenho geral do controle, mas sugerirão insights valiosos para entender a eficiência do controle.

Exemplo de implementação

No BSC Designer:

  1. Selecione uma métrica
  2. Altere para o Contexto
  3. Mude o tipo da métrica para Tendência
Leading vs. Lagging Indicators in BSC Designer

Estimativa de riscos

Um controle pode incluir uma definição de risco ou estar alinhado com riscos de um registro de riscos.

A estimativa de risco pode ser:

  • Um gatilho para a execução do controle ou
  • Uma condição para a seleção de um determinado curso de ação.
Exemplo de implementação

No BSC Designer:

  1. Crie um novo indicador
  2. Altere seu tipo para ‘Risco’
  3. Atualize os indicadores de Probabilidade e Impacto do risco
Steps to Add a Risk to an Objective in BSC Designer

Controle Binário

Os estados possíveis dos indicadores binários:

  • Não atribuído – a parte do controle ainda não foi executada
  • Sim – para indicar que a parte do controle foi executada com sucesso
  • Não – para indicar que a parte do controle não foi executada com sucesso
Exemplo de Implementação

Exemplo: “Plano de continuidade de negócios atualizado levando em conta uma ameaça recém-identificada” pode ser automatizado com um indicador binário. No BSC Designer:

  1. Selecione um indicador
  2. Alterne para a guia ‘Geral’
  3. Altere suas unidades de medida para “Sim/Não”
Binary Indicators: An Example of Usage for Internal Controls

Controle qualitativo

Os indicadores qualitativos são usados para os controles quando uma estimativa quantitativa mais específica ainda não foi desenvolvida ou não é economicamente viável desenvolver uma.

Exemplo de implementação

Exemplo: um controle Gestão e Comunicação de Políticas pode ser avaliado com uma métrica qualitativa Eficácia na Comunicação das Políticas de Conformidade com estados possíveis:

  • Altamente eficaz (100): Os funcionários entendem claramente as políticas de conformidade.
  • Moderadamente eficaz (60): Alguns funcionários entendem as políticas.
  • Ineficaz (10): Os funcionários geralmente desconhecem as políticas.

No BSC Designer:

  1. Selecione um indicador
  2. Clique no botão Editar ao lado das unidades de medida para adicionar unidades de medida personalizadas
Using Qualitative and Quantitative Measurement Units on Scorecards

Controle quantitativo

Para tornar os controles mais específicos, são utilizados indicadores quantitativos ou numéricos. Para indicadores quantitativos, podemos definir sua fórmula de desempenho, por exemplo, como o estado atual de um indicador impacta o desempenho do resultado.

Exemplo de implementação

Exemplo: para avaliar a eficácia da implementação de um controle específico, fazemos uma auditoria interna para rastrear o % de Conformidade com a Política. Nesse caso, a fórmula de desempenho é maximização linear, com alvo = 100%. Outro exemplo pode ser a métrica Tempo Médio para Detectar, configurada como minimização linear com um alvo de 24 horas.

No BSC Designer:

  • Alterne para a aba ‘Desempenho’ para definir a função de desempenho.
  • Alterne para a aba ‘Dados’ para definir o estado atual do indicador, a linha de base e o alvo.
Practical Use of the Optimization Function for KPIs in BSC Designer

Controle baseado em evidências

Indicadores de evidência mudarão seu estado de acordo com o número de documentos/evidências carregados.

Exemplo de implementação

Por exemplo, o controle de teste de backup e recuperação pode exigir o upload de resultados de teste ou logs como prova da execução bem-sucedida do controle.

No BSC Designer:

  1. Selecione um indicador
  2. Altere suas unidades de medida para Evidência
  3. Carregue o documento no indicador para mudar seu estado
Automate Evidence Tracking in a GRC Scorecard with Controls

3. Iniciativas para controles

Planos de ação

Aplicar controles envolve seguir ações específicas de prevenção ou resposta, semelhante ao gerenciamento de projetos clássico com datas de vencimento, orçamentos e pessoas responsáveis.
Exemplo de Implementação

No BSC Designer:

  • Use a ferramenta Iniciativa para adicionar planos de ação aos controles.
  • Alinhe riscos e métricas de eficiência com a iniciativa.
  • Atribua um responsável à iniciativa; a pessoa receberá notificações quando o status mudar.
How to Add an Initiative to a Goal in Strategic Planning

Acompanhar plano de ação

Acompanhar a execução do plano de ação é normalmente parte do escopo do controle. Uma das métricas alinhadas com o controle pode ser utilizada para acompanhar o progresso do plano de ação.
Exemplo de implementação

No BSC Designer:

  1. Adicione uma nova iniciativa ao controle.
  2. Abra o diálogo da iniciativa.
  3. Selecione o KPI de progresso no campo ‘KPI Alinhado’.
Using KPIs to Track the Progress of an Initiative

4. Controlar rastreamento ao longo do tempo

Controles periódicos

Alguns controles exigem revisão periódica. Tais revisões envolvem a mecânica do controle, assim como a aplicação periódica do controle. Certos controles precisam ser ativados apenas uma vez.
Exemplo de implementação

Exemplo de revisão da mecânica do controle:

  • Revisão de Listas de Verificação de Conformidade – revisão anual
  • Retenção de Conhecimento, % – revisão trimestral

Exemplos de aplicação periódica do controle:

  • Varredura de Vulnerabilidades – revisão/atualização mensal

Exemplos de controle iniciado uma vez:

  • Avaliação Inicial de Risco – para ser atualizado uma vez

No BSC Designer:

Ensure Data Consistency with Update Intervals

Atualizar estado de controle

Para controles periódicos, atualize o estado das métricas que foram definidas para o controle.
Exemplo de implementação

No BSC Designer:

  1. Selecione a métrica de um controle
  2. Selecione uma data no calendário interno
  3. Alterne para a aba ‘Dados’
  4. Insira o novo estado no campo ‘Valor’
Continuous Monitoring of KPIs in BSC Designer

Herança do estado do controle

Alguns indicadores usados para controles herdarão seu estado previamente conhecido, enquanto outros usarão apenas atualizações especificamente inseridas.

Exemplo de implementação

Por exemplo:

  • % de funcionários treinados – é provavelmente um indicador inerente, pois podemos presumir que o percentual de funcionários treinados em maio permanecerá o mesmo ou aumentará em junho.
  • Receita de vendas mensais – é provavelmente um indicador não inerente, pois estamos interessados em acompanhar os dados reais de vendas ao longo dos meses.

No BSC Designer:

  1. Selecione um indicador
  2. Clique no botão Editor de Valores
  3. Altere o tipo de herança do indicador
Two Options for Inheriting Previous State of an Indicator

5. Controles de relatórios

Controles em dashboards

Crie representações visuais de controles e seus estados. Acompanhe a evolução das métricas ao longo do tempo, o estado dos riscos e os planos de mitigação de riscos.
Exemplo de implementação

No BSC Designer:

  1. Alterne para a guia Dashboard.
  2. Adicione gráficos relevantes, incluindo gráficos de Gantt para iniciativas, diagramas de risco e diagramas listando controles e seus estados.
Adding a Chart to a Dashboard in BSC Designer

Controles para estimativa de risco

As métricas de resultado que quantificam a eficácia dos controles podem ser usadas para quantificar a probabilidade ou impacto de um risco.
Exemplo de implementação

No BSC Designer:

  • Conecte a parte de resultado do controle com as métricas de Impacto do Risco ou Estimativa de Risco no registro de riscos por meio de dados.
Identify and Assess Risks by Effectiveness of Internal Controls

Controles em relatórios

O estado dos controles, assim como os resultados de sua implementação, podem ser relatados aos stakeholders envolvidos.
Exemplo de implementação

No BSC Designer:

  • Use o menu ‘Relatório’ para gerar vários relatórios
  • Use o botão ‘Agendar’ no menu ‘Relatório’ para enviar relatórios automaticamente aos stakeholders
Report the Status of Goals and KPIs to the Stakeholders

Responsabilidade

Registrar os resultados da execução de um controle é importante para responsabilidade e aprendizado futuro.
Exemplo de Implementação

No BSC Designer:

  • Todas as atividades relacionadas ao design e execução de controles são registradas no log de auditoria.
  • O administrador da conta pode acessar os logs de auditoria via Menu > Usuários > Trilhas de Auditoria.
Accountability and Transparency with Audit Trail in Strategic Planning

Exemplo prático de uso de um controle

Vamos discutir um exemplo prático. Considere o controle ativado quando um funcionário deixa a empresa.

Estrutura do exemplo:
Um exemplo da biblioteca de controles GRC

Um exemplo da estrutura da biblioteca para controles GRC. Fonte: Ver Biblioteca de Controles GRC online no BSC Designer Biblioteca de Controles GRC.

Biblioteca de Controles

Na biblioteca de controles, tenho uma seção de RH onde um dos controles é “Funcionário deixou a empresa.”

Este controle possui três planos de ação:

  • Redirecionar e-mails.
  • Contatar clientes.
  • Plano de transferência de conhecimento.

Também possui duas métricas:

  • Logins desativados (baseado em evidências).
  • Percentual de clientes notificados.

Outra métrica é usada para a revisão periódica dos controles:

  • Retenção de Conhecimento (%)

Um risco é definido para o controle como:

  • Risco: Interrupção do Fluxo de Trabalho
  • Plano de mitigação: Documentar funções críticas

Scorecard de eventos

Tenho um scorecard chamado “Eventos de RH”, onde os eventos relevantes de RH são registrados. O scorecard é organizado por tipo de evento.

Aplicar o Controle

Aqui estão os passos a seguir quando um funcionário sai da empresa:

  1. Crie um novo evento no scorecard de Eventos, por exemplo, “Alex saiu da empresa.”
  2. Copie e cole o controle apropriado da biblioteca de controles para o scorecard de Eventos.
  3. A pessoa responsável pelo controle será automaticamente notificada sobre novos planos de ação criados.
  4. Carregue evidências (capturas de tela) de que os logins foram desativados.
  5. Notifique os clientes e atualize o indicador “% de clientes notificados”.
  6. Atualize o status dos planos de ação para “Em revisão.”

Training programSessão de treinamento: 'BSC Designer for Automation of GRC Controls' é oferecida como parte do nosso programa de aprendizado contínuo e incluída com uma assinatura do BSC Designer.

As sessões de treinamento são realizadas semanalmente via Zoom, proporcionando insights práticos e orientação personalizada. Após a conclusão, os participantes recebem um certificado de participação. Explore todas as sessões de treinamento disponíveis aqui.

Mais exemplos

Você pode encontrar mais exemplos de uso de controles em artigos sobre:

Use o modelo Library of GRC Controls

O BSC Designer ajuda as organizações a implementarem suas estratégias complexas:

  1. Inscreva-se para um plano gratuito na plataforma.
  2. Use o modelo Scorecard Template Library of GRC Controls como ponto de partida. Você o encontrará em Novo > Novo Scorecard > Mais Modelos.
  3. Siga o nosso Sistema de Implementação de Estratégia para alinhar as partes interessadas e ambições estratégicas em uma estratégia abrangente.

Comece hoje e veja como o BSC Designer pode simplificar a implementação da sua estratégia!


Citação: BSC Designer, "Como configurar e monitorar controles internos para garantir conformidade", BSC Designer, junho 12, 2024, https://bscdesigner.com/pt/automatizando-controles.htm.