Resultados


Desenvolvimento de Controles Internos: A Literatura

Uma revisão da literatura levanta a seguinte questão: existe uma diferença entre controles internos e gestão de controles? Existem diferentes definições (Rikhardsson et al. 2005), mas esses dois conceitos estão intimamente relacionados. Ambos estão focados na competência dos gestores para conduzir as organizações na direção especificada pela estratégia e pelos objetivos organizacionais, bem como identificar e reagir a mudanças internas e externas que talvez afetem esse curso. Uma definição muito usada para gestão de controles é “...as rotinas formais e baseadas em informações que gestores usam para manter ou alterar padrões em atividades organizacionais” (Simons 1995: p. 5). No entanto, a definição de controles internos da COSO (1992) também inclui compliance e report externo como objetivos de controle específicos, bem como de estratégia e operações. Além disso, controle interno, enquanto um conceito, é mais específico do que a mais acadêmica definição de gestão de controles.

A revisão da literatura relevante mostra que a evolução de um entendimento acadêmico de gestão de controles e controles internos já passou por, pelo menos, duas etapas evolucionárias nas últimas décadas. Essas etapas são vistas como complementares e não como resultantes de um entendimento mutuamente exclusivo de controles internos.

Da década de 1960 em diante, a gestão de controles é vista como um sistema de gestão cibernético, incluindo impulsos ambientais, respostas organizacionais e alcance de objetivos organizacionais. A gestão de controles é vista, principalmente, como um processo de informação em que gestores planejam, agem e reagem a impulsos externos e internos (e. g. Ittner & Larcker 2001; Otley & Berry 1980; Flamholtz et al. 1985). Na década de 1990, começa a surgir a visão de que a gestão de controles é um sistema ou processo focado em estratégia de implementação em um ambiente em que a estratégia precisa ser revisada sob uma base em andamento (e. g. Simons, 1995; 2000; Kaplan e Norton 1996, Chenhall 2003; Anthony & Govindarajan 2003; Merchant & Van der Stede 2003).

Uma revisão de uma literatura mais recente, entretanto, sugere que o entendimento prático e acadêmico está entrando em uma terceira fase em que o foco é mais em um conceito específico de controles internos. Essa fase vê os controles internos como um sistema objetivando estudar, minimizar e controlar riscos associados a processos de negócio de empresas, transações de negócio, aplicações de tecnologia de informação e disseminação de informação para tomadores de decisão internos e externos (e.g. ITGI 2004; COSO 2004; zur Mehlen & Rosemann 2005; Rikhardsson et. al. 2005).

Esse foco em riscos e gestão de riscos de controles internos é aparente em alguns frameworks influentes que têm sido publicados recentemente nesse campo. Um framework desse tipo é o COSO Enterprise Risk Management (ERM) (de 2004, mas iniciado em um framework anterior, da COSO, de 1992).

No framework da COSO Enterprise Risk Management (ERM), ERM é definido da seguinte forma (COSO 2004, p. 2): “Enterprise Risk Management é um processo, efetuado pelos diretores, gestores e outros funcionários de uma empresa, aplicado para o estabelecimento da estratégia e para toda a empresa, projetado para identificar eventos em potencial que possam afetar a entidade, e gerir riscos para que ele esteja dentro do seu apetite, a fim de fornecer uma segurança razoável relacionada com o cumprimento dos objetivos da entidade”.

Diferentemente dos frameworks anteriores e das ferramentas desenvolvidas nas últimas duas etapas evolucionárias, frameworks de controles internos atuais e suas ferramentas estão surgindo como conectores entre gestão de riscos com controles internos. Eles podem ser classificados em frameworks gerais como COSO ERM (COSO 2004) e frameworks específicos ou estudos sob medida para vários contextos incluindo tecnologia da informação (Shue 2004; Cannon & Growe 2004; Hamaker & Hutton 2004; CFO 2005), compliance corporativo (CRA 2005, Stephens 2005; Markham & Hamerman 2005; Byington & Christenssen 2005; Waldman 2005; Matyjewicz & D’Arcangelo 2004) e BPM (Zur Muellen & Rosemann 2005).

Existem mais pesquisas sobre as relações entre gestão de riscos e controles internos. Entretanto, para a maioria dos casos, parece existir um foco em desenvolver frameworks e interpretar desenvolvimentos institucionais. Existe uma grande necessidade de pesquisas em larga escala documentando similaridades e diferenças entre companhias, o que influencia o desenvolvimento de controles internos para dadas situações, assim como para as características da indústria. Existe, também, uma necessidade para estudos de caso documentando as práticas nas companhias e experiências com o objetivo de mais práticas serem desenvolvidas.