Conceitos: Controles Internos

Controles Internos

O controle interno é definido como um processo conduzido pela estrutura de governança, administração e outros profissionais da entidade, e desenvolvido para proporcionar segurança razoável com respeito à realização dos objetivos relacionados a operações, divulgação e conformidade. 

Essa definição reflete alguns conceitos fundamentais, destacando que o controle interno é um processo com as seguintes características:  

  • Conduzido para atingir objetivos em uma ou mais categorias – operacional, divulgação e conformidade. 
  • Um processoque consiste em tarefas e atividades contínuas – um meio para um fim, não um fim em si mesmo. 
  • Realizado por pessoas– não se trata simplesmente de um manual de políticas e procedimentos, sistemas e formulários, mas diz respeito a pessoas e às ações que elas tomam em cada nível da organização para realizar o controle interno. 
  • Capaz de proporcionar segurança razoável– mas não absoluta, para a estrutura de governança e alta administração de uma entidade. 
  • Adaptável à estrutura da entidade– flexível na aplicação para toda a entidade ou para uma subsidiária, divisão, unidade operacional ou processo de negócio em particular. 

Essa definição é intencionalmente abrangente. Ela captura conceitos importantes que são fundamentais para a forma como as organizações desenvolvem, implementam e conduzem o controle interno, proporcionando uma base para aplicação a todas as organizações que operam em diferentes estruturas de entidades, indústrias e regiões geográficas. 


Objetivos
 

A Estrutura apresenta três categorias de objetivos, o que permite às organizações se concentrarem em diferentes aspectos do controle interno: 

  • Operacional

Esses objetivos relacionam-se à eficácia e à eficiência das operações da entidade, inclusive as metas de desempenho financeiro e operacional e a salvaguarda de perdas de ativos. 

  • Divulgação

Esses objetivos relacionam-se a divulgações financeiras e não financeiras, internas e externas, podendo abranger os requisitos de confiabilidade, oportunidade, transparência ou outros termos estabelecidos pelas autoridades normativas, órgãos normatizadores reconhecidos, ou às políticas da entidade. 

  • Conformidade

Esses objetivos relacionam-se ao cumprimento de leis e regulamentações às quais a entidade está sujeita. 


Componentes do controle interno
 

O controle interno consiste em cinco componentes integrados: 


Ambiente de controle
 

O ambiente de controle é um conjunto de normas, processos e estruturas que fornece a base para a condução do controle interno por toda a organização. A estrutura de governança e a alta administração estabelecem uma diretriz sobre a importância do controle interno, inclusive das normas de conduta esperadas. 


Avaliação de riscos
 

Define-se risco como a possibilidade de que um evento ocorra e afete adversamente a realização dos objetivos. A avaliação de riscos envolve um processo dinâmico e iterativo para identificar e avaliar os riscos à realização dos objetivos. Esses riscos de não atingir os objetivos em toda a entidade são considerados em relação às tolerâncias aos riscos estabelecidos. Dessa forma, a avaliação de riscos estabelece a base para determinar a maneira como os riscos serão gerenciados. 


Atividades de controle
 

Atividades de controle são ações estabelecidas por meio de políticas e procedimentos que ajudam a garantir o cumprimento das diretrizes determinadas pela administração para mitigar os riscos à realização dos objetivos. As atividades de controle são desempenhadas em todos os níveis da entidade, em vários estágios dentro dos processos corporativos e no ambiente tecnológico.  


Informação e comunicação
 

A informação é necessária para que a entidade cumpra responsabilidades de controle interno a fim de apoiar a realização de seus objetivos. A comunicação é o processo contínuo e iterativo de proporcionar, compartilhar e obter as informações necessárias.  


Atividades de monitoramento
 

Uma organização utiliza avaliações para se certificar da presença e do funcionamento de cada um dos cinco componentes de controle interno, inclusive a eficácia dos controles nos princípios relativos a cada componente. Os resultados são avaliados em relação a critérios estabelecidos pelas autoridades normativas, órgãos normatizadores reconhecidos ou pela administração e a estrutura de governança, sendo que as deficiências são comunicadas à estrutura de governança e administração, conforme aplicável. 


Relação entre objetivos e componentes
 

Existe uma relação direta entre os objetivos, que são o que a entidade busca alcançar, os componentes, que representam o que é necessário para atingir os objetivos, e a estrutura organizacional da entidade (as unidades operacionais e entidades legais, entre outras).  

Essa relação pode ser ilustrada na forma de um cubo. 

  • As três categorias de objetivos – operacional, divulgação e conformidade – são representadas pelas colunas.
  • Os cinco componentes são representados pelas linhas.
  • A estrutura organizacional da entidade é representada pela terceira dimensão.

As definições apresentadas acima estão em conformidade com o COSO 2013 – Internal Control Integrated Framework. O COSO (The Comitee of Sponsoring Organizations ) é uma entidade sem fins lucrativos que foi criada em 1985 a fim de assessorar a Comissão Nacional sobre Relatórios financeiros fraudulentos. É dedicada à melhoria dos relatórios financeiros através da ética, efetividade dos controles internos e governança corporativa.  Conheça mais sobre o assunto clicando aqui

Modelo das Três Linhas do IIA  

O Modelo de Três Linhas elaborado pelo IIA (The Institute of Internal Auditors) ajuda as organizações a identificar estruturas e processos que melhor auxiliam no atingimento dos objetivos e facilitam uma forte governança e gerenciamento de riscos. O modelo é aplicável a todas as organizações e é otimizado por: 

  • Adotar uma abordagem baseada em princípios e adaptar o modelo para atender aos objetivos e circunstâncias organizacionais; 
  • Focar na contribuição que o gerenciamento de riscos oferece para atingir objetivos e criar valor, bem como questões de “defesa” e proteção de valor; 
  • Compreender claramente os papéis e responsabilidades representados no modelo e os relacionamentos entre eles; 
  • Implantar medidas para garantir que as atividades e os objetivos estejam alinhados com os interesses priorizados dos stakeholders.  
Três Linhas IIA

Princípios do modelo das três linhas  

As definições apresentadas acima estão em conformidade com o Modelo das “Três Linhas do IIA”. The Institute of Internal Auditors (The IIA) é o mais reconhecido educador e fornecedor de normas, orientações e certificações da profissão de auditoria interna. Fundado em 1941, o The IIA atende, atualmente, mais de 200.000 membros de mais de 170 países e territórios. A sede global da associação fica em Lake Mary, na Flórida, EUA  (www.globaliia.org). Conheça mais sobre o “As Três Linhas do The IIA”, clicando aqui.

Controles Internos na Copel   

A Coordenadoria de Controles Internos – CCOI é a área responsável pela coordenação e manutenção do ambiente de controles internos da Copel, com o objetivo do atendimento à Lei americana Sarbanes Oxley – SOXO cumprimento a esta lei é uma exigência das autoridades daquele país para todas as empresas que comercializam papéis na Bolsa de Nova York. Em decorrência disso, a Copel anualmente precisa revisar e avaliar seus controles internos e emitir um certificado declarando a conformidade dos mesmos às normas da seção 404 da SOX. O que é feito desde o ano de 2005. 

Como modelo de trabalho, a Copel adota a estrutura de controles internos estabelecida pelo “COSO 2013 – Internal Control Integrated Framework”, o qual define Controle Interno como um processo conduzido pela estrutura de governança, administração e outros profissionais da entidade, e desenvolvido para proporcionar segurança razoável com respeito à realização dos objetivos relacionados a operações, divulgação e conformidade”. 

Os controles internos proporcionam segurança razoável (mas não absoluta) em relação aos objetivos de operações, divulgações e conformidade, pois dependem de pessoas e das ações que elas tomam em cada nível da organização para realizá-los, e nesse caso, sempre existirá o risco de os controles efetivos serem ‘burlados/deixados de lado’ (“management override of controls”). 

Ainda, além da existência dos controles de alçada, reportes e monitoramento de deficiências pela alta administração, para a mitigação do risco de “management override of controls”, a Companhia conta com um processo robusto e consolidado de incentivo de denúncias ao Canal de Denúncias.  

Conforme estabelecido na NPC 0104 – Política de Gestão Integrada de Riscos Corporativos, a Companhia também adota o modelo das “Três Linhas do IIA” no gerenciamento eficaz de riscos e controles, por meio do qual as responsabilidades de cada uma das partes interessadas estão delimitadas, de modo a não haver lacunas durante a realização do processo. 

A seguir, o detalhamento das Três Linhas para entendimento quanto às responsabilidades de acordo com a estrutura da Companhia: