• Artigo Traduzido
  > Resumo > Introdução > Metodologia > Resultados > Discussão > Conclusões e Agenda de Pesquisa > Referências



• Download do material:
• em inglês
• em português

Discussão

Geralmente, poucos estudos acadêmicos têm se focado explicitamente na integração de gestão de riscos, compliance e controles internos. Jornais voltados para a realidade desse campo de estudos (tais como Accountancy, Internal Auditor and The Information System and Control Journal) têm se concentrado nesses problemas por algum tempo.

A revisão da literatura mostra que riscos e controles internos em processos de negócio estão sendo integrados em muitos frameworks, tais como o modelo ERM da COSO (2004) e o COBIT do ITGI (2005). A integração de compliance, controles internos e análises de risco estão presentes na aplicação do framework da COBIT para compliance com a SOX em ITGI (2004).

1. Controle de comportamento, tais como uso de salvaguardas de recursos e ativos para que alguns objetivos sejam alcançados (estratégico, operacional, report e compliance);

2. Controle sobre a qualidade da informação que gestores usam na tomada de decisão (por exemplo, relacionados a uso de recursos) ou report a atores sociais externos (por exemplo, relacionados a compliance).

Dada a importância da informação e da tecnologia de informação para alcançar os objetivos da empresa (ITGI 2004), essa dimensão precisa ser incluída quando se for definir e pesquisar controles internos (Granlund & Mouritsen 2003, Sutton 2005). A perspectiva da gestão de riscos inerente ao COSO vê uma informação como crítica se a organização deseja atingit seus objetivos através da tomada de decisão em todos os níveis, assim como o report de informações de qualidade para atores sociais externos. A qualidade da informação para tomada de decisão interna e externa e os controles para se assegurar a qualidade dessa informação são cruciais se a companhia deseja atingir seus objetivos definidos no framework da COSO. Qualidade da informação não é um conceito de um objetivo mas inclui características do usuário da informação, além do contexto ser usado em acurácia, integridade, confiabilidade, temporalidade e acessibilidade da informação (Wang & Strong 1996). Outros frameworks que têm lidado com qualidade da informação e sistemas de informação são SysTrust e WebTrust do American Institute for Certified Public Accountants (AICPA) (AICPA & CICA 2003).

A revisão da literatura e as entrevistas mostram a gestão de riscos de processos de negócio e controles internos sendo relacionados, geralmente, com tecnologia de informação e com sistemas de Enterprise Source Planning (ERP), especificamente. Por exemplo, incluir sistemas ERP e sistemas de informação de prestação de contas em gestão de compliance é crucial, particularmente em relação ao compliance com Sarbanes-Oxley Act. O PCAOB Auditing Standard⁴ declara que “a natureza e as características do uso de uma companhia de tecnologia de informação em seu sistema de informação afeta os controles internos de uma companhia em reports financeiros” (ITGI 2004: p. 12). Questões integrando gestão de riscos, compliance e controles internos, nesse contexto, incluem:

1. Integração entre análises de risco de controles, falhas intencionais e não intencionais em processos de negócios, levando a dados incorretos sendo incluídos no sistema;

2. Consideração da possibilidade de controles automatizados em sistemas ERP, substituindo ou implementando controles manuais;

3. Consideração de mais controles preventivos, substituindo ou implementando controles que possam detectar problemas;

4. Foco em documentação de controles como um ingrediente crucial em análise de controles;

5. Consideração do papel de auditores internos e externos, levando em conta, por exemplo, teste de controles.

Resumindo, a gestão de riscos em processos de negócio, controles internos e compliance estão intimamente relacionados. A gestão de riscos tem uma grande aplicabilidade para desenvolvimento, implementação e operação de controles para mitigar, evitar ou transferir riscos. Todos eles estão relacionados com a estratégia corporativa e objetivos corporativos (estratégicos, operacionais, de report e compliance). A gestão de riscos e controles internos estão alocados no contexto de processos de negócio e de ambientes de sistema de informação. Isso é visto na Figura 1.

Figura 1 - Integração entre Gestão de Riscos, Compliance e Controles Internos no contexto de Processos de Negócio

_____________________________

⁴4Responsáveis pela definição dos critérios de aplicação e auditoria da SOX.