Controle Interno e A Transformação Das Entidades

CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES
Sobre a ACCA
A ACCA (Association of Chartered Certified Accountants) é o órgão global para contadores profissionais.
Somos uma comunidade crescente de 233.000 membros e 536.000 futuros membros de 178 países e regiões, trabalhando
em uma ampla gama de setores e indústrias. Defendemos os mais elevados valores profissionais e éticos.
Oferecemos a todos, de todos os lugares, a oportunidade de experimentar uma carreira gratificante em contabilidade,
finanças e gestão. Nossas qualificações e oportunidades de aprendizado desenvolvem líderes empresariais
estratégicos, profissionais com visão de futuro, com a experiência financeira, comercial e digital essencial para a
criação de organizações sustentáveis e sociedades prósperas.
Desde 1904, ser uma força para o bem público está incorporado em nosso propósito. Em dezembro de 2020, fizemos
compromissos com os Objetivos de Desenvolvimento Sustentável da ONU, que mensuramos e reportaremos em
nosso relatório integrado anual. Acreditamos que a contabilidade é uma profissão fundamental da sociedade e é vital
para ajudar economias, organizações e indivíduos a crescer e prosperar. Ela faz isso criando uma gestão financeira e
comercial robusta e confiável, combatendo a corrupção, garantindo que as organizações sejam geridas com ética,
impulsionando a sustentabilidade e oferecendo oportunidades de carreira gratificantes.
E por meio de pesquisas de ponta, lideramos a profissão, respondendo às perguntas de hoje e nos preparando para
o amanhã. Somos uma organização sem fins lucrativos.
Saiba mais sobre nós em www.accaglobal.com
Sobre a Internal Audit Foundation

e o Institute of Internal Auditors
A Internal Audit Foundation é um recurso global essencial para o avanço da profissão de auditoria interna.
A pesquisa financiada pela Foundation fornece aos profissionais de auditoria interna e seus stakeholders uma visão
sobre tópicos emergentes, e promove e aprimora o valor da profissão de auditoria interna globalmente. Além disso,
por meio de seu Fundo Acadêmico, a Foundation apoia o futuro da profissão, concedendo subsídios a estudantes
e educadores que participam do Internal Auditing Education Partnership Program do Institute of Internal Auditors.
Para mais informações, visite www.theiia.org/Foundation

O Institute of Internal Auditors (IIA) é o defensor, educador e criador de normas, orientações e certificações mais
amplamente reconhecido da profissão de auditoria interna. Fundado em 1941, o The IIA hoje atende a mais de
210.000 membros de mais de 170 países e territórios.
Para mais informações, visite www.theiia.org
Sobre o IMA® Institute of Management

Accountants
O IMA® é uma das maiores e mais respeitadas associações focadas exclusivamente no avanço da profissão
de contabilidade gerencial.
Globalmente, o IMA apoia a profissão por meio de pesquisas, dos programas CMA® (Certified Management
Accountant) e CSCA® (Certified in Strategy and Competitive Analysis), educação continuada, networking e promoção
das mais altas práticas éticas de negócios. Duas vezes nomeado Professional Body of the Year pelo The Accountant/
International Accounting Bulletin, o IMA tem uma rede global de cerca de 140.000 membros em 150 países e 350
filiais profissionais e estudantis. Com sede em Montvale, N.J., EUA, o IMA presta serviços localizados em suas quatro
regiões globais: Américas, Ásia/Pacífico, Europa e Oriente Médio/Índia.
Para mais informações sobre o IMA, visite www.imanet.org
Copyright © Julho de 2022, Association of Chartered Certified Accountants (ACCA), The Internal Audit Foundation (IAF) e The Institute of Management
Accountants (IMA).
Todos os direitos reservados. Usado com permissão da ACCA, IAF e IMA. Contate [email protected] para obter permissão para reproduzir, armazenar
ou transmitir, ou para fazer outros usos similares deste documento.
CONTROLE INTERNO E A
TRANSFORMAÇÃO DAS ENTIDADES
O controle interno é um dos conceitos fundamentais utilizados pelas
entidades para atingir objetivos importantes, melhorar o desempenho
e construir reputação, especialmente em tempos de turbulência
e incerteza. O controle interno constitui uma parte essencial das
atividades dos profissionais de contabilidade, finanças e auditoria
interna, auxiliando-os a garantir que as entidades operem de forma
eficaz. No entanto, a natureza do modelo de negócios está mudando
para muitos. A transformação, incluindo a adoção de capacitadores
digitais, está mudando a forma como os processos são realizados. A
resposta rápida às mudanças nos fatores econômicos e do cliente é
uma realidade. Neste relatório, exploramos essas e outras tendências
emergentes, seu impacto no controle interno e a necessidade de que
os controles internos sejam ágeis e estejam prontos para o futuro,
para apoiar a transformação e o crescimento dos negócios.
A pesquisa é baseada em uma série de mesas redondas e entrevistas

com mais de 80 profissionais de finanças e auditoria interna, de
várias entidades do mundo todo. O feedback da mesa redonda é
anonimizado; no entanto, a localização geográfica é frequentemente
citada, para ajudar os leitores a identificar comentários onde as
diferenças nos regulamentos ou normas culturais podem variar devido
à localização. As mesas redondas foram apoiadas por uma pesquisa
com membros da ACCA, IIA e IMA, que recebeu mais de 1.950
respostas (uma visão geral dos dados demográficos da pesquisa pode
ser encontrada no Anexo).
Prefácio
O controle interno eficaz é um dos capacitadores essenciais para que as entidades

cresçam com confiança e integridade em um mundo multistakeholder cheio de
volatilidade, incerteza, disrupção e complexidade. O controle interno vai além
dos requisitos de conformidade estatutária; ele ajuda as entidades a construir
confiabilidade, confiança e uma reputação positiva na obtenção de resultados
estratégicos de negócios.
Profissionais de contabilidade, finanças e auditoria interna, qualquer que seja sua função, são partes
fundamentais, juntamente com outros, nos frameworks de controle de suas entidades. No ambiente
atual em rápida evolução, as entidades enfrentam muitos desafios. Elas precisam se transformar contínua
e rapidamente, para garantir que atendam a um ambiente operacional cada vez mais complexo. As
entidades estão usando tecnologia e dados cada vez mais. Insights baseados em dados são essenciais
para permitir que a gestão reaja rapidamente e tome decisões em um horizonte cada vez mais amplo.
Os stakeholders estão buscando divulgações que abranjam não apenas os objetivos financeiros, mas
também aquelas que abordem áreas não financeiras, como ações em relação às mudanças climáticas e
capital humano. Essas mudanças trazem para o jogo um escopo mais amplo de atividades de negócios
que exigem um controle interno eficaz. Os stakeholders estão buscando confiança além do reporte
financeiro, por exemplo, por meio de divulgações ambientais, sociais e relacionadas à governança.
Agora, são necessárias amplitude e profundidade nos conjuntos de habilidades essenciais para adotar
o controle interno em todo esse conjunto mais amplo de objetivos.
O controle interno eficaz requer a combinação adequada de pessoas, processos, tecnologia e dados,
sustentada por um compromisso inabalável com a confiança e a ética. Para profissionais de contabilidade,
finanças e auditoria interna, é importante ter uma avaliação detalhada das oportunidades que a
tecnologia pode apresentar; como estas são traduzidas em processos executados e formas otimizadas
de trabalhar. Por meio das qualificações profissionais e do aprendizado contínuo, esses profissionais
precisam garantir que possam manter a relevância, capacitando-os a orientar os tomadores de decisão
no atendimento aos requisitos ampliados de governança e controle. Dessa forma, os profissionais
de contabilidade, finanças e auditoria interna estão prontos e aptos a orientar suas entidades e os
stakeholders em uma nova era de controle interno.
Helen Brand OBE Anthony J. Pugliese, Jeffrey Thomson,

Chief Executive, ACCA CIA, CPA, CGMA, CITP CMA, CSCA, CAE
Presidente e Chief Chief Executive Officer e
Executive Officer do IIA, Presidente do Institute of
Conselho de Curadores da Management Accountants
Internal Audit Foundation
4
Conteúdos
Sumário executivo 6
Sumário das principais ações 9
1. Propósito do controle interno 13

1.1 Origens do controle interno 13
1.2 Percepções de seu propósito 15
1.3 O Modelo das Três Linhas 16
2. Desafios e oportunidades atuais 19

2.1 Impacto da transformação 19
2.2 Adoção da tecnologia 24
2.3 Fluxos de dados, big data e monitoramento contínuo 25
2.4 Evolução das formas de trabalhar 26
2.5 Reporte não-financeiro 27
3. Evoluindo nossa mentalidade 29

3.1 Traçando o caminho à frente 29
3.2 Evolução da tecnologia e dos dados 29
3.3 A entidade ágil 31
3.4 Considerações de reporte não-financeiro 33
3.5 Detalhes das consequências para o controle interno 34
Por volta ou por dentro 34
Mudando o ambiente de trabalho 35
Avanços para o usuário final e uso de soluções Lo-code / No-code 35
Controles gerais de TI 35
Blockchain 36
Machine learning e inteligência artificial 36
3.6 Conjuntos de habilidades 36
3.7 Considerações de dados em tempo real 38
3.8 Governança de dados – uma questão de controle interno? 39
3.9 Uma questão de estratégia e cultura 39
3.10 Consequências para os frameworks de controle interno 41
Conclusão 43
Glossário 44
Anexo – Dados demográficos da pesquisa 45
Agradecimentos 46
Referências 47
5
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | SUMÁRIO EXECUTIVO
Sumário executivo
Os controles internos são fundamentais para permitir que as entidades cresçam com
confiança e integridade. Desde os desafios corporativos da década de 1970, os reguladores
têm se concentrado em garantir que controles apropriados sejam implantados em
entidades onde há interesse público significativo. Essa combinação de requisitos
regulatórios e de investidores gera a necessidade de investir em processos e controles.
Os modelos operacionais de muitas entidades têm tecnologia e dados. Isso vale para a transformação do
sofrido mudanças, à medida que o foco mudou da controle interno e é importante não perder de vista todos
concorrência baseada em modelos de planejamento esses componentes nesta discussão.
de recursos empresariais (ERP) personalizados e sob A própria transformação está se transformando. Não
medida para aqueles baseados em insights e análises é mais impulsionada apenas por projetos de grande
do comportamento do cliente. O mantra de ‘cinco anos
escala, mas o uso de soluções baseadas em nuvem e
em cinco meses’ refletiu a aceleração da transformação
outras abordagens significa que, cada vez mais, é um
das entidades, capacitada pela tecnologia durante a
processo iterativo e ágil. Microsserviços para lidar com
pandemia, e espera-se que essa tendência continue a
oportunidades e desafios imediatos estão na ordem do
acelerar, conforme avançam para um novo conjunto de
dia. Como resultado, os frameworks de controle precisam
desafios econômicos.
se flexibilizar e mudar. No entanto, há uma aparente
Como o controle interno foi impactado por essas relutância em relação ao novo ambiente de negócios, por
mudanças? As entidades devem buscar reavaliar seus exemplo, adotar controles internos e gerenciamento de
frameworks e aproveitar as oportunidades que essas riscos ágeis, monitoramento contínuo e em tempo real,
transformações tecnológicas oferecem? Este é o foco da digitalização e controles automatizados (incluindo o uso
presente pesquisa. de XBRL).
Aproximadamente 1.950 membros da ACCA, do Institute O Capítulo 3 explora esses desafios e oferece percepções
of Internal Auditors (IIA) e do Institute of Management e observações sobre possíveis próximos passos para
Accountants (IMA) responderam a uma pesquisa e mais as entidades. É necessário garantir que os controles
de 80 participaram de uma série de mesas redondas e internos e os frameworks de gerenciamento de riscos
entrevistas realizadas em todo o mundo. sejam ágeis e adequados ao propósito em um ambiente
O propósito do controle interno foi reforçado por esses de negócios que está se expandindo cada vez mais
contribuintes (conforme explorado no Capítulo 1). Houve (por exemplo, a necessidade de gerenciar e contabilizar
um forte alinhamento com o Modelo das Três Linhas do questões de sustentabilidade) com tecnologias em rápida
The IIA, demonstrando os papéis de governança inter- evolução, como computação na nuvem, inteligência
relacionados do conselho, da gestão e dos auditores artificial, blockchain e mineração de processos. A natureza
internos em assegurar e obter controles internos eficazes da mudança rápida requer uma liderança adaptável e
sobre o reporte financeiro – e mais recentemente – de ágil e foco no projeto (consulte as seções 3.2 e 3.3). O
sustentabilidade. No entanto, conforme as entidades controle interno deve ser parte integrante desses avanços.
trilham suas jornadas de transformação, foi destacada A aplicação da tecnologia também está evoluindo
uma escassez de habilidades importantes entre aqueles conforme as entidades adotam a ‘quarta revolução
que implantam os controles internos. industrial’ e tecnologias conectadas. Essa transição tem
consequências para as habilidades e controles (consulte a
A transformação tem um claro impacto nos controles
seção 3.5).
internos. O Capítulo 2 explora várias dessas questões.
Ela mudou os modelos operacionais da maioria das É uma mudança não apenas na natureza do controle,
entidades, mas a natureza do impacto no ambiente de mas uma mudança de uma visão mais estática para uma
controle interno tem sido diversa, com claras diferenças que se concentra mais em fluxos de dados quase em
regionais na gama de impactos positivos e negativos tempo real, contínuos e automatizados. Há também o
sobre as entidades. O que está claro nas respostas da reconhecimento de objetivos compartilhados, como
pesquisa é que os frameworks e processos de controle aqueles relacionados à governança sobre a integridade
interno precisam ser incorporados desde o início, como dos dados e alinhamento a uma cultura de risco dinâmica,
parte das transformações de negócios ou iniciativas que reage a modelos operacionais em rápida evolução
estratégicas para alcançar maior crescimento e valor (seção 3.7). As entidades bem-sucedidas provavelmente
para diversos stakeholders. Não se deve esquecer que a serão aquelas que adotam o uso de dados, inovação e
transformação tem quatro aspectos: pessoas, processos, agilidade.
6
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | SUMÁRIO EXECUTIVO
A combinação de habilidades necessárias para abordar

o controle interno está mudando e requer uma gama Principais Observações
de conhecimentos mais ampla do que antes (conforme
discutido na seção 3.6) em todas as funções focadas
n A evolução da tecnologia e do controle significa
em controles internos (consulte a seção 1.3). O controle
que as lacunas de habilidades dos envolvidos
interno só pode ser eficaz se aqueles que o exercem
no controle interno são questões importantes,
tiverem a devida combinação de competências, tanto
especialmente quanto à amplitude de habilidades
técnicas como interpessoais. Os recursos e a composição
em todas as linhas.
das equipes de segunda e terceira linha serão um
problema, conforme o escopo do controle interno se n A tecnologia continuará a avançar e há um risco
expandir. O propósito do controle interno é discutido na de que o controle interno se torne ineficaz se
seção 1.2. não aceitar as mudanças e automatizar quando
apropriado.
Conforme aumentam as demandas de divulgação de n Se o reporte não-financeiro deve ser incluído
informações sobre aspectos das agendas ambiental, social no escopo do controle interno, então, há uma
e de governança (ESG) e outras, aumenta também o nível necessidade entender que:
de avaliação exigido nessas divulgações, que passam a
n os dados são menos robustos e novos métodos
ser objeto do controle interno (seção 3.4). No entanto,
de controle precisam ser desenvolvidos
atualmente, os dados são menos robustos do que os de
sua contrapartida financeira: derivam de fontes mais n as fontes desses dados são mais variadas
variadas e são, muitas vezes, menos estruturados. Para n a incorporação de controles é essencial
lidar com essa preocupação, é necessário investir tanto n níveis de expertise precisam ser abordados.
nos dados quanto nas habilidades e, portanto, como em
muitos aspectos do controle interno, é necessário
n Para abranger todos esses fatores, é necessário
automatizar os controles e reduzir a duplicação; para um investimento em tecnologia e habilidades de
abranger os elementos da tecnologia e olhar para frente. dados para os responsáveis pelo controle interno;
deve haver uma orientação mais relevante, que
Qualquer parte dessa agenda requer a orientação dos reflita os modelos operacionais atuais, bem como
órgãos competentes e o investimento em iniciativas de oportunidades de aprendizado apropriadas para
educação continuada por parte de entidades e indivíduos. apoiar aqueles que trabalham em todos os níveis.
7
Controle interno e a transformação das entidades
Este infográfico apresenta um resumo dos resultados da pesquisa conjunta de controle interno (CI) e
entidades em transformação realizada em março de 2022.
Propósito do controle interno

O que vemos como propósito do CI em uma entidade? Principais ações
Detecção de fraude, 66% O controle interno nas entidades em transformação dá origem às
100% seguintes principais ações:
Melhora da qualidade 80% Prevenção de fraude,
dos dados, 54% 84% 1. Reconhecer o avanço da tecnologia e dos dados junto com o
60%
impacto no controle interno.
40%
Proteção das 20% Minimização 2. Buscar oportunidades de adotar a tecnologia por meio da
informações, 65% dos riscos, 88% automação e do monitoramento contínuo.
3. Reconhecer a necessidade de incluir elementos não financeiros no
Adesão a requisitos Proteção dos controle interno, aceitando a necessidade de desenvolver novas
legais, 69% ativos, 77% competências e os desafios dos diferentes formatos de dados.
4. Desenvolver as competências necessárias, técnicas e interpessoais,
Adesão a regulamentos, 74% Promoção da eficiência, 55% para poder implantar o controle interno na entidade em transformação.
5. Implantar atividades de desenvolvimento de habilidades focadas
no controle na segunda e terceira linhas.
Desafios no controle interno
O que vemos como desafios no CI em nossas entidades?
Falta de equipe devidamente capacitada, 50% Esforço significativo necessário
100%
Falta de supervisão Quais áreas parecem exigir esforço significativo pós-transformação?
do conselho de
80% Não ter os dados
60% certos, 20% 70%
governança, 26%
40% 60%
20%
50% 52%
Falta de custo- Não ter acesso 40% 43%
benefício na aos dados certos, 36%
30% 35% 33% 34% 33%
conformidade, 31% 22% 32%
26% 27%
20% 22%
Avanços tecnológicos 19%
Falta de ênfase 10%
comprometem controles
executiva, 32% internos existentes, 41% 0%
s–O iro
Ox ue
e
co
rna
ção
rce
de
de
y)
)
sit
ud
eir
tin
ley
ne nce
es– (q
Ris
ida
ida
xle
me
nte
ma
b
fra
nc
rke
an iro
We
rba fina
rm
bil
for
na
om
ai
Ma
de
arb nce
nta
nfo
a in
o-fi
ori
Impacto da transformação na eficácia (Sa orte
E-c
co
o S na
Co
dit
Co
ia d
nã
ris
nã rte fi
Au
Re
O que vemos como o impacto da transformação na eficácia do

rte
log
zir
po
no
po
du
controle interno?
Tec
Re
Re
Re
Pré-transformação Altamente ineficaz, 6% 2% 2%

Agora 60%
Pós-transformação
Não sei, 40%

Ineficaz, 21% Como as tecnologias melhoram o controle interno
4% 2% 9% 10% 5% Até que ponto as seguintes tecnologias melhoram, ou melhoram
20%
significativamente, os controles internos?
100%
Não se aplica, Satisfatório,
3% 2% 7% 43% 40% 23% 80%
60% 65%
60%
40% 49% 47%
35% 40% 36%
Altamente eficaz, 5% 9% 21% Eficaz, 18% 35% 33% 20% 33% 33%
18%
0%
an cess e
tifi a
nu os
ce de
AI
ing
PIs
os
ID
da de
d
Ar nci
alít os
s
s
cia
na cativ
RF
ad
sso
do
s
A/
eA
pro o
arn
pro ção
ão
ve
ico
gê
ã
Impacto da transformação no risco

ed
aç
RP
raç
od
Le
eli
ra
li
tom
Ap
ed
ne
ne
Int
ine
Us
O que vemos como o impacto da transformação nos riscos

Mi
Mi
ális
Au
ch
An
de controle interno?
Ma
50%
40%
30% Trabalho híbrido
29% Como o trabalho híbrido afetou a eficácia dos controles internos?
20% 26%
21%
10%
Aumentou significativ. 7%
7% 8%
0%
Diminuiu Diminuiu Permaneceu Aumentou Aumentou
significativ. significativ. Aumentou 24%
Permaneceu 32%
Controle interno e ESG
80%
Diminuiu 20%
Aqueles que concordam, ou concordam fortemente,
que precisam aplicar seu framework de controle Diminuiu significativ. 8%
interno ao reporte não financeiro e ESG: 0% 10% 20% 30% 40% 50%
8
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | SUMÁRIO DAS PRINCIPAIS AÇÕES
Sumário das
Principais
Ações
Este relatório faz várias recomendações
de ações a serem tomadas para melhorar
o controle interno. Elas são explicadas no
contexto da discussão detalhada no Capítulo
3 e estão agrupadas na tabela abaixo, que
também as compara com os fatores que
estão impulsionando a mudança no controle
interno de muitas entidades (Figura ES1).
FIGURA ES1: Drivers de mudança no controle interno
Estratégico
CONTROLE
INTERNAL
Transfor-
mação
Pessoas Processo Tecnologia Dados
9
As principais ações são as seguintes.
PRINCIPAL AÇÃO DRIVER(S) SEÇÃO
Considerar as transições de tecnologia e dados que as entidades integraram ao modelo

3.2
operacional e que estão replicando nos controles internos.
Certificar-se de entender a tecnologia e os drivers de dados no modelo operacional da

3.2
entidade. Certificar-se de estar familiarizado com o uso de tecnologias emergentes.
Mapear o uso de tecnologias emergentes para controles internos e identificar oportunidades

3.2
para aumentar a eficácia do controle.
Reconhecer que os avanços de modelos operacionais são cada vez mais propensos a serem
conduzidos de forma ágil e garantir que os responsáveis pelo controle interno em todos os 3.3
níveis do Modelo das Três Linhas estejam preparados para se envolver devidamente.
Reconfigurar o modelo de risco, para refletir as práticas tecnológicas alteradas que surgem
da adoção de aplicativos baseados na nuvem. Entender a natureza diferente da tecnologia e 3.3
do relacionamento com o fornecedor.
Reconhecer as considerações de controle interno decorrentes do perfil alterado de risco em

qualquer cenário baseado na nuvem. Reconhecer que os controles gerais de tecnologia da 3.3
informação tradicionais (ITGCs) mudaram.
Implantar uma solução de GRC que aborde todos os elementos de risco e controle interno
3.3
em toda a entidade.
Incorporar controles internos automatizados e baseados em parâmetros em aplicativos

3.3
baseados na nuvem, especialmente no ponto de iniciação.
Trabalhar para identificar as fontes de dados relevantes, para permitir que a entidade atenda
3.4
aos requisitos de divulgações não financeiras.
Desenvolver uma estratégia para integrar os dados não financeiros necessários ao framework
3.4
de controle interno e estar preparado para documentar conforme apropriado.
Fazer contato com os responsáveis pela governança de dados, para garantir o alinhamento
3.4
entre esses conjuntos de dados.
Reavaliar a abordagem de controles automatizados dentro da entidade. 3.5
Identificar áreas com controles manuais que possam duplicar os controles automatizados e
3.5
eliminá-los conforme apropriado.
10
PRINCIPAL AÇÃO DRIVER(S) SEÇÃO
Entender o escopo da computação do usuário final (incluindo o que estiver fora da

definição tradicional) e garantir que todos os aplicativos desenvolvidos e que façam parte
3.5
dos controles internos tenham o nível apropriado de controles de desenvolvimento e teste
aplicados a eles.
Reconhecer que a transformação ágil exigirá cada vez mais, para gerar melhorias nos
processos operacionais, o uso de aplicativos que não estão sujeitos aos ciclos de vida de 3.5
desenvolvimento de aplicativos tradicionais e garantir que o risco consequente seja tratado.
Avaliar o ambiente de controle geral de TI no contexto do modelo operacional atual,

identificando onde os controles são gerenciados por meio de aplicativos baseados na nuvem, 3.5
em vez de no local, e as mudanças resultantes nos perfis de risco.
Reconhecer o papel que o aprendizado de máquina (machine learning - ML) e a inteligência

3.5
artificial (IA) podem desempenhar no ambiente de controle.
Identificar as habilidades e recursos necessários para sustentar a eficácia do controle

interno em toda a entidade transformada, incluindo as habilidades necessárias para abordar 3.6
objetivos não financeiros. Desenvolver planos apropriados de gestão de talentos.
Considerar seu próprio nível de tecnologia e habilidades relacionadas a dados no contexto

3.6
do controle interno e identificar oportunidades de desenvolvimento relevantes.
Reconhecer que as habilidades precisam ser atualizadas continuamente, tanto as

tecnológicas quanto as interpessoais e de tino comercial. Certificar-se de que as iniciativas 3.6
relevantes estejam em vigor.
Desenvolver e implantar uma estratégia de monitoramento contínuo alinhada ao volume de

3.7
dados esperado.
Certificar-se de que haja um equilíbrio adequado entre controles manuais e automatizados, e

3.7
buscar evitar redundância e duplicação de controles.
Garantir um alinhamento entre a governança de dados e os objetivos de controle interno

da entidade, e fortalecer os procedimentos que regem a integridade e precisão dos dados 3.8
financeiros e não financeiros.
Reforçar a importância do gerenciamento de riscos e do controle interno de forma contínua

3.9
em toda a entidade.
Reforçar a necessidade de otimizar o desenvolvimento e a implantação de um framework de

3.9
controle interno, especialmente por ser cada vez mais habilitado pela tecnologia.
Questionar a premissa de que o ‘computador está certo’ em todas as circunstâncias ao

3.9
considerar os controles internos.
11
A TRANSFORMAÇÃO TEM QUATRO

ASPECTOS: PESSOAS, PROCESSOS,
TECNOLOGIA E DADOS. ISSO VALE PARA
A TRANSFORMAÇÃO DO CONTROLE
INTERNO E É IMPORTANTE NÃO PERDER
DE VISTA TODOS ESSES COMPONENTES
NESTA DISCUSSÃO.
12
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | 1. PROPÓSITO DO CONTROLE INTERNO
1. Propósito do
controle interno
‘MANTER OS CONTROLES INTERNOS EFICAZES, DO PONTO DE VISTA
OPERACIONAL E DE DESIGN NESTE MUNDO EM RÁPIDA MUDANÇA,
COM [ABORDAGENS] ÁGEIS SENDO CENTRAIS À TRANSFORMAÇÃO
QUE AS ENTIDADES DEVEM IMPLANTAR, COLOCA MUITA PRESSÃO
PARA QUE OS AMBIENTES DE CONTROLE INTERNO SEJAM RELEVANTES
E MONITOREM OS PRINCIPAIS RISCOS DE FORMA CONTÍNUA.’
PARTICIPANTE DA MESA REDONDA DA TURQUIA
1.1 Origens do controle interno framework, atualizado em 2013. Um resumo do framework

O termo ‘controle interno’ foi definido pela primeira vez COSO é mostrado abaixo (Figura 1.1).
pelo American Institute of Accountants (agora, American
Institute of Certified Public Accountants) em 1949. O
Instituto refinou ainda mais essa definição em 1958 e 1972 FIGURA 1.1: Framework COSO
(Lauren 2017). A definição oferecida foi:
‘O controle interno compreende o plano da organização e
todos os métodos coordenados e medidas adotadas
em uma empresa para salvaguardar seus ativos, verificar
a precisão e confiabilidade de seus dados contábeis,
promover a eficiência operacional e incentivar a adesão às
políticas gerenciais prescritas’ (citado em Heier et al. 2005).
Uma série de desafios corporativos na década de 1970
levou a Securities and Exchange Commission (SEC) e o
Congresso dos EUA a promulgar a lei Foreign Corrupt
Practices Act em 1977. Em resposta a isso, várias
entidades nos EUA, incluindo The IIA e IMA, trabalharam
juntos sob a presidência de James C. Treadway, Jr.,
então vice-presidente executivo e conselheiro geral
da Paine Webber e ex-comissário da SEC dos EUA, Fonte: COSO (2013)
para desenvolver um framework de controle interno. O
Committee of Sponsoring Organizations of the Treadway A revisão de 2013 do framework fornece a seguinte
Commission (conhecido como COSO) desenvolveu seu definição atualizada.
O controle interno é um processo, executado pelo conselho de administração, gestão e outro pessoal de uma entidade, criado
para fornecer garantia razoável quanto ao atingimento dos objetivos relacionados às operações, reporte e conformidade.
Esta definição reflete certos conceitos fundamentais. Controle interno é:
n Voltado para o atingimento de objetivos em uma ou mais categorias – operações, reporte e conformidade
n Um processo que consiste em tarefas e atividades contínuas – um meio para um fim, não um fim em si mesmo
n Executado por pessoas – não apenas sobre manuais de políticas e procedimentos, sistemas e formulários, mas sobre
pessoas e ações que realizam em todos os níveis de uma organização para executar o controle interno
n Capaz de fornecer garantia razoável – mas não garantia absoluta, à alta administração e ao conselho de administração
de uma entidade
n Adaptável à estrutura da entidade – flexível na aplicação em toda a entidade ou subsidiária, divisão, unidade
operacional ou processo de negócios específico.
Fonte: COSO (2013)
13
Como observado, o Internal Control Integrated ‘As políticas, processos, tarefas, comportamentos e outros
Framework do COSO 2013 possui cinco componentes aspectos de uma organização que, juntos:
(Ambiente de Controle; Avaliação de Riscos;
n ‘Facilitam a operação eficaz, permitindo-lhe responder
Atividades de Controle; Informação e Comunicação;
de forma adequada aos riscos significativos de
e Monitoramento), sendo o último especialmente
negócios, operacionais, financeiros, de conformidade e
importante para dar suporte à agilidade, pontualidade e
outros para atingir seus objetivos. Isso inclui a proteção
automação em um ambiente de negócios disruptivo e de
de ativos e a garantia de que as responsabilidades
rápida mudança.
sejam identificadas e gerenciadas.
O framework do COSO também possui 17 princípios n ‘Garantem a qualidade do reporte interno e externo
(Figura 1.2). Geralmente, para que os controles internos que, por sua vez, requer a manutenção de registros
sejam eficazes, esses princípios devem estar presentes, e processos que geram um fluxo de informações
funcionando e integrados. tempestivas, relevantes e confiáveis de fontes internas e
externas.
Ao atualizar o framework histórico de controle interno
de 1992, o framework COSO 2013 foi aprimorado, n ‘Garantem a conformidade com as leis e regulamentos
com a expansão da categoria de objetivos de reporte aplicáveis, e também com as políticas internas’ (ICAEW
financeiro, para incluir outras formas importantes de 1999).
reporte, como o reporte não financeiro e interno (p. ex.,
reporte e análises de sustentabilidade). É neste contexto que este relatório analisa o controle
interno e como este é afetado pelas diversas mudanças
Outras jurisdições desenvolveram definições que as entidades enfrentam. A intenção desses frameworks
semelhantes do conceito. Como exemplo, no Reino e orientações permanece válida, mas a próxima e mais
Unido, o Internal Control: Guidance for Directors on desafiadora etapa é a implantação prática. O relatório não
the Combined Code (conhecido como Turnbull Report, busca comparar modelos, mas sim é agnóstico quanto
FRC 2005), publicado pela primeira vez em 1999, definiu aos próprios modelos e se concentra nas experiências de
o controle interno e seu escopo da seguinte forma: implantação dos profissionais participantes e entrevistados.
FIGURA 1.2: Princípios do Framework Internal Control – Integrated Framework do COSO
1. Demonstra compromisso com a integridade e valores éticos

2. Exerce responsabilidade de supervisão
AMBIENTE
3. Estabelece estrutura, autoridade e responsabilidade
DE CONTROLE
4. Demonstra compromisso com a competência
5. Aplica a prestação de contas
6. Especifica objetivos adequados

AVALIAÇÃO 7. Identifica e analisa o risco
DE RISCOS 8. Avalia o risco de fraude
9. Identifica e analisa mudanças significantes
10. Seleciona e desenvolve atividades de controle

ATIVIDADES DE CONTROLE 11.Seleciona e desenvolve controles gerais sobre tecnologia
12. Implanta por meio de políticas e procedimentos
13. Usa informações relevantes

INFORMAÇÃO E
14. Comunica-se internamente
COMUNICAÇÃO
15. Comunica-se externamente
16. Conduz avaliações contínuas e/ou separadas

ATIVIDADES DE MONITORAMENTO
17. Avalia e comunica deficiências
Fonte: COSO (2013)
14
1.2 Percepções de seu propósito precisas. Precisamos garantir que estamos cumprindo
A pesquisa começou considerando o que os participantes com as normas contábeis, regulamentos, políticas, etc. A
da pesquisa percebiam como propósito do controle terceira coisa é a confiabilidade em relação ao reporte
interno em suas entidades (Figura 1.3). financeiro. Além desses três atributos estão os dados e a
tecnologia, que estão impulsionando as mudanças
Os participantes apontaram a prevenção de fraudes regulatórias’.
(84%) e a minimização de riscos (88%) como os principais
fatores que descreviam o propósito do controle interno. Pedimos que os participantes considerassem os desafios
A qualidade dos dados foi o fator com classificação enfrentados por sua entidade com o controle interno3
mais baixa entre aqueles que os participantes puderam (Figura 1.4). No nível global, a falta de pessoal
escolher (54%), embora a conexão entre controle devidamente qualificado foi classificada como o desafio
interno e governança de dados tenha sido uma questão mais significativo, escolhido por 50% dos participantes
frequentemente levantada nas discussões da mesa (habilidades são discutidas em mais detalhes na seção
redonda e seja um tema que será retomado mais adiante 3.6). Houve contrastes nas respostas por região, com 42%
neste relatório (veja a seção 3.8). Uma análise regional das dos participantes na Europa Ocidental escolhendo esse
respostas confirmou um padrão semelhante.2 fator, em contraste com 56% na América do Norte e 58%
Um participante da mesa redonda da Austrália descreveu na Ásia-Pacífico, 50% na África e 54% no Caribe.
o controle interno da seguinte forma. ‘Na verdade, cobre As habilidades, especialmente no contexto de tecnologia
três coisas, em minha opinião. Trata-se de garantir que, e na pauta de ESG, também foram levantadas por vários
em primeiro lugar, as informações sejam confiáveis e participantes da mesa redonda.
FIGURA 1.3: Em sua opinião, quais destes fatores descreve o propósito do controle interno? Escolha todos os
aplicáveis. (n = 1.956)1
Detecção de fraude, 66%
100
Melhora da qualidade dos dados, 54% 80 Prevenção de fraude, 84%

60
40
Proteção das informações, 65% 20 Minimização dos riscos, 88%
Adesão a requisitos legais, 69% Proteção dos ativos, 77%
Adesão a regulamentos, 74% Promoção da eficiência, 55%
FIGURE 1.4: Quais dos seguintes desafios em um framework de controle interno sua entidade encara
atualmente? Escolha todos os aplicáveis. (n = 1.956)
Falta de equipe devidamente capacitada, 50%
50
Nenhum dos anteriores, 12% 40 Não ter os dados certos, 20%

30
20
Outros, 4% 10 Não ter acesso aos dados certos, 22%
Falta de supervisão do conselho Avanços tecnológicos comprometem

de governança, 26% controles internos existentes, 41%
Falta de custo-benefício na conformidade, 31% Falta de ênfase executiva, 32%
1 Todas as estatísticas usadas neste relatório vêm da pesquisa da ACCA / IIA / IMA Transformation of Internal Control, de março de 2022, salvo indicado em contrário.
2 Diversas análises de resultados da pesquisa selecionados por localidade ou setor acompanham este relatório em uma série de infográficos.
3 As definições dos principais termos usados neste relatório são fornecidas no Glossário.
15
Entre nossos participantes, 41% consideram que os 1.3 O Modelo das Três Linhas
avanços tecnológicos comprometem os controles Em 2008–2010, a Federation of the European Risk
internos. Isso foi amplamente similar em todas as regiões. Management Associations e a European Confederation
Considerando o impacto da tecnologia e dos dados nas
of Institutes of Internal Accounting publicaram uma
entidades, isso não surpreendeu, embora apenas uma
declaração de posicionamento sobre as três linhas de
pequena proporção (20%) afirme não ter os dados certos
e apenas 22% considere não ter acesso a esses dados. defesa, para melhorar a compreensão da governança,
gerenciamento de riscos e controle, esclarecendo papéis
Relatos de falta de supervisão do conselho de e deveres. Ela foi criada como orientação para a 8ª
administração, citados por 26% no geral, mostraram certa Diretiva da UE Art. 41 2b4. Em 2020, o IIA refinou ‘As Três
variação quando considerados por região. Na Europa Linhas’, que podem ser brevemente descritas a seguir.
Ocidental (20%) e América do Norte (17%), houve uma
sensação mais forte de falta de supervisão do que no
Oriente Médio (que registrou 37%), Sul da Ásia (30%) O Modelo das Três Linhas ajuda as organizações a
e Ásia-Pacífico (33%) . A variação pode, em parte, ser identificar estruturas e processos que melhor auxiliem
devida a variações na cultura de controle interno e no atingimento de seus objetivos e que facilitem
gerenciamento de riscos entre as regiões (a importância
uma forte governança e gerenciamento de riscos.
da cultura e sua relação com o controle interno é
O modelo aplica-se a todas as organizações e é
considerada mais adiante neste relatório, na seção 3.9).
otimizado por:
Comentando sobre a falta de pessoal devidamente
n Adoção de uma abordagem baseada em princípios
qualificado, um chefe executivo de auditoria da
e adaptação do modelo para atender aos objetivos
Europa explicou que ‘o maior desafio que enfrentamos
e circunstâncias organizacionais.
atualmente é que não há pessoas [suficientes]
devidamente qualificadas para acompanhar o ritmo das n Foco na contribuição do gerenciamento de riscos
mudanças tecnológicas’. para o atingimento dos objetivos e criação de valor,
e para questões de “defesa” e proteção do valor.
Um participante da mesa redonda australiana explicou sua
n Entendimento claro dos papéis e responsabilidades
percepção dos desafios: ‘o que muitas empresas estão
enfrentando agora é um desafio de auditoria, em que representados no modelo e das relações entre eles.
corremos o risco de automatizar processos ineficientes, n Implantar medidas para garantir que as atividades
porque é assim que sempre fizemos. Não estamos e os objetivos estejam alinhados com os interesses
acompanhando o ritmo da mudança’. Uma possível prioritários dos stakeholders.
fraqueza quanto às transformações é simplesmente Fonte: IIA (2020)
automatizar um processo existente sem otimizar o
processo primeiro. A simples aplicação da tecnologia
nunca pode, por si só, melhorar um processo. O mesmo As Três Linhas estão representadas na figura a seguir
pode ser inferido quanto à automação de controles. (Figura 1.5).
FIGURA 1.5: Modelo das Três Linhas do IIA
Fonte: IIA 2020
4 A evolução do Modelo das Três Linhas é considerada em Sheen (2020). Um comentário foi fornecido pela ACCA em Ashby et al (2019).
16
Pedimos que os participantes classificassem a eficácia de Para muitos participantes e entrevistados da mesa
cada um dos envolvidos quanto às suas funções (Figura redonda, o custo-benefício do controle interno foi uma
1.6). Os resultados mostram um padrão amplamente consideração importante. O fato de o controle interno
consistente, com forte suporte a cada um dos elementos
ser percebido por sua liderança como um custo e não
do modelo. No nível regional, houve uma ampla
um benefício, especialmente em ambientes menos
consistência em relação aos resultados globais.
regulamentados, criou muitos desafios. Um chief
O Modelo das Três Linhas não sugere dar prioridade financial officer (CFO) dos EUA comentou que educar as
a uma função de negócios em detrimento de outra,
pessoas sobre o propósito e os benefícios era essencial,
mas, para dar uma noção melhor das áreas nas quais os
participantes geralmente colocam maior ênfase, também acrescentando que ‘isso precisa acontecer desde a
pedimos que classificassem as funções de negócios em terceira linha de defesa? Ou segunda linha. Você conhece
ordem de importância para sua entidade numa escala de a primeira linha do negócio e precisa informá-los sobre a
1 a 5, onde 1 representou a mais importante e 5 a menos importância de fazer isso e como’.
importante (Tabela 1.1).
Um auditor líder do setor de serviços financeiros
Os resultados mostram que o cumprimento com leis e comentou: ‘O controle tende a ser a parte chata, porque
regulamentos estatutários é um requisito, no entanto,
consome tempo, é oneroso e [as pessoas] querem
há um foco adicional no aumento da integridade
financeira. Os procedimentos de monitoramento fazer outras coisas menos invasivas, para que possam
obtiveram a pontuação mais baixa, mas ainda assim foram ser eficazes em seu dia. A tecnologia é uma forma de
considerados relevantes. capacitá-los a superar isso’.
FIGURA 1.6: Considerando o Modelo das Três Linhas do The Institute of Internal Auditors (2020), por favor,
classifique a respectiva eficácia de cada linha quanto ao seu papel. (n = 1.956)
Órgão de governança Gestão Auditoria Interna
40%
35%
35%
33% 33%
30% 31%
30%
25% 27%
20%
19%
15% 16%
15%
10%
10%
9%
8%
5%
2%
3% 3%
0%
1 – Altamente ineficaz 2 – Ineficaz 3 – Satisfatória 4 – Eficaz 5 – Altamente eficaz
TABELA 1.1: Por favor, classifique os seguintes elementos das Três Linhas, na ordem de mais importante até
menos importante para sua entidade, onde 1= mais importante; 5 = menos importante. (n = 1.956)
PONTUAÇÃO MÉDIA
Estabelecer procedimentos de monitoramento 3,43
Garantir o cumprimento das leis e regulamentos estatutários 2,49
Aumentar a confiabilidade e integridade financeira 2,85
Ajudar a proteger ativos e reduzir a possibilidade de fraude 3,06
Melhorar a eficiência nas operações 3,11
17
UMA POSSÍVEL
FRAQUEZA
QUANTO ÀS
TRANSFORMAÇÕES
É SIMPLESMENTE
AUTOMATIZAR
UM PROCESSO
EXISTENTE SEM
OTIMIZAR O
PROCESSO PRIMEIRO.
18
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | 2. DESAFIOS E OPORTUNIDADES ATUAIS
2. Desafios e
oportunidades atuais
‘DEVEMOS SER CAPAZES DE ENTENDER O QUÃO ABRANGENTES NOSSOS
CONTROLES PRECISAM SER. DEVEMOS IMPLANTAR MONITORAMENTO E
ANÁLISE CONTÍNUOS. DEVEMOS AUTOMATIZAR O MÁXIMO POSSÍVEL.’
CHIEF AUDIT EXECUTIVE PARTICIPANTE DA MESA REDONDA DO CARIBE
2.1 Impacto da transformação rapidamente os desafios atuais. O ciclo contínuo de

As entidades passaram por uma quantidade significativa transformação abrange a aplicação de tecnologias e
de disrupção nos últimos dois anos. A pandemia criou abordagens baseadas em dados, aceitando que nenhuma
muitos desafios e, em muitos casos, forçou mudanças delas pode ser o principal driver da transformação em si.
necessárias nos modelos de negócios. Há muitas formas O controle interno, assim como as próprias entidades
de visualizar a transformação nas entidades e a ACCA e seus objetivos transformacionais, está sujeito a uma
(ACCA / CA ANZ / Generation CFO 2021), o IIA (IAF / complexa rede de drivers de mudança (Figura 2.1).
Auditboard 2020) e o IMA (Jiles 2021) exploraram esse Embora cada um deles, individualmente, possa ter um
tópico em seus trabalhos de pesquisa. Esses relatórios impacto substancial, quando em conjunto, representam
enfatizam a natureza contínua da transformação das um período de turbulência para a maioria das entidades.
entidades e a necessidade de garantir que elas possam Este é um momento em que os riscos são altos e a
se beneficiar de abordagens ágeis, para enfrentar necessidade de controles eficazes é fundamental.
FIGURA 2.1: Drivers de mudança que potencialmente causam disrupção no controle interno
Geopolítico Clima
Cadeia de Pressões
suprimentos econômicas
Regulamentos Dados
Padrões do Tecnologia
consumidor
19
Este relatório aborda o impacto dessas atividades de Os participantes da pesquisa responderam como
transformação nos controles internos das entidades. consideravam que o risco de controle interno pode ter
Como referência, foi importante entender a amplitude mudado, devido a essas atividades de transformação
das atividades transformacionais nas entidades dos (Figura 2.3).
participantes (Figura 2.2).
Os resultados mostram que 36% globalmente
Na maioria dos casos, os participantes tinham alguma
afirmaram que a transformação diminuiu ou diminuiu
forma de atividade transformacional em andamento
significativamente o risco de controle interno em suas
ou planejada. Para quase um quarto dos entrevistados,
sua jornada de transformação da contabilidade havia entidades, embora 34% afirmem que aumentou ou
começado quatro ou mais anos antes, enquanto apenas aumentou significativamente o risco. Em parte, esse
16% não tinham qualquer atividade planejada ou não equilíbrio pode ser devido a outros fatores, como o nível
tinham ciência de alguma. Esses resultados reforçam de compreensão das tecnologias implantadas e o impacto
a mudança que as entidades estão realizando para se das mudanças nas formas de trabalho e na eficácia das
manter relevantes. atividades de gestão de mudanças. Transformações são
desafiadoras. Ter um alinhamento claro com os objetivos
Qualquer transformação é composta por vários estratégicos da entidade e comunicar a mudança de
elementos: pessoas, processos, dados e tecnologia. As
forma eficaz são essenciais para o sucesso de qualquer
definições de controle interno refletem uma amplitude
atividade desse tipo. Permitir o impacto dessas atividades
semelhante e, portanto, é inevitável que o próprio
ambiente de controle interno de uma entidade seja no ambiente de controle pode ser um desafio.
mudado por essas atividades transformacionais.
FIGURA 2.2: Por favor, indique se alguma atividade de transformação ocorreu, ou está planejada, nas
seguintes áreas de sua entidade. (n = 1.956)
+4 anos atrás 1 a 3 anos atrás Em progresso/contínua Planejada para os próx 3 anos Nenhuma planejada Não se aplica Não sei
Contabilidade 23% 11% 41% 6% 9% 2% 8%
Conformidade 17% 11% 47% 6% 8% 2% 9%
E-Commerce 8% 10% 27% 8% 14% 21% 12%
Reporte financeiro (não Sarbanes–Oxley) 16% 9% 36% 5% 13% 9% 12%
Reporte financeiro (Sarbanes–Oxley) 11% 5% 17% 4% 15% 37% 11%
Tecnologia da informação 16% 11% 52% 8% 5% 2% 6%
Auditoria interna 18% 11% 35% 7% 15% 6% 8%
Marketing 12% 10% 33% 6% 12% 12% 15%
Reporte não-financeiro 12% 9% 35% 9% 16% 7% 12%
Redução do risco de fraude 15% 12% 43% 6% 13% 3% 8%
Riscos 14% 11% 47% 7% 10% 2% 9%
Website 18% 14% 35% 6% 11% 5% 11%
0% 20% 40% 60% 80% 100%
FIGURA 2.3: No geral, por fim, o risco de controle interno aumentou, diminuiu ou permaneceu, por conta das
atividades de transformação? (n = 1.833)
Aumentou significativ. 8%
Aumentou 26%
Permaneceu 21%
Diminuiu 29%
Diminuiu significativ. 7%
Não sei 6%
Não se aplica 3%
0% 5% 10% 15% 20% 25% 30%
20
Uma análise das diferenças do impacto final no risco Os participantes consideraram a eficácia geral do controle
de transformação do controle interno entre diferentes interno durante um processo de transformação (Figura 2.5).
regiões mostra algumas variações (Figura 2.4). A partir dos resultados, pode-se ver que os participantes
reportaram que houve uma mudança na percepção geral
A natureza das variações pode, em parte, ser devida da eficácia do controle interno, por causa das atividades
às diferentes atitudes culturais em relação ao controle transformacionais que suas entidades realizaram. Embora
interno, quanto a se ele é visto principalmente como isso possa ser antecipado e, de fato, um resultado
uma atividade voltada para a conformidade ou voltada que indicasse o contrário seria um resultado notável,
para a eficácia. A própria natureza das transformações os participantes da mesa redonda e os entrevistados
e a natureza diversificada dos ambientes de negócios refletiram sobre vários desafios, conforme descrito na
também serão fatores contribuintes. seção 3.5.
FIGURA 2.4: No geral, por fim, o risco de controle interno aumentou, diminuiu ou permaneceu, por conta das
atividades de transformação? Análise por região. (n = 1.833)
Redução líquida do risco Aumento líquido do risco
60%
Sul da Ásia
50%
África
Oriente Médio
40% Europa Central e Oriental Caribe
Ásia-Pacífico
Ásia-Pacífico Europa Ocidental

Sul da Ásia África
Oriente Médio
30% América do Norte
Europa Central e Oriental
América do Norte
Caribe
Europa Ocidental
20%
10%
0%
0 1 2 3 4 5 6 7 8 9
FIGURA 2.5: Como você classificaria a eficácia geral do framework de controle interno em sua entidade, ao
longo do processo de transformação? (n = 1.833)
Pré-transformação Agora Pós-transformação
50%
43%
40%
40%
35%
33%
30%
23%
20% 21% 21%
18%
10%
10% 9% 9%
6% 3% 7%
2% 2% 5% 5% 2% 2%
4%
0%
Altamente ineficaz Ineficaz Satisfatória Eficaz Altamente eficaz Não se aplica Não sei
21
Uma análise mais aprofundada dos resultados enfoca a Uma pergunta adicional (Figura 2.6) pedia aos
mudança reportada pelos participantes em um cenário participantes que considerassem a extensão do esforço
pré-transformação em relação aos participantes em um necessário para melhorar os controles internos por
cenário pós-transformação (Tabela 2.1). causa das atividades de transformação. Como pode ser
visto na figura, em todas as áreas, foi necessário algum
Os resultados da pesquisa sugerem que a percepção geral esforço. Por exemplo, para a contabilidade, 33% dos
é que as atividades transformacionais têm um benefício participantes reportaram que foi necessário um esforço
positivo no ambiente de controle interno, pois o número significativo e outros 49% consideraram necessário algum
daqueles que as avaliam como altamente ineficazes diminui esforço. Marketing (19%) foi a área avaliada como menos
por causa da atividade; enquanto o número que as vê significativa.
como eficazes aumenta.
TABELA 2.1: Comparação das avaliações de eficácia pré e pós-transformação

(Para interpretar esta tabela, como exemplo, 7% daqueles que classificaram seu framework de controle interno como
altamente eficaz pré-transformação não sabem sua avaliação pós-transformação; enquanto 68% daqueles que classificaram
o framework de controle pré-transformação como altamente eficaz deram a mesma classificação pós-transformação).
PRÉ-TRANSFORMAÇÃO REALOCADA À CLASSIFICAÇÃO PÓS-TRANSFORMAÇÃO

Altamente ineficaz Ineficaz Satisfatória Eficaz Altamente eficaz
PÓS-TRANSFORMAÇÃO
Altamente ineficaz 20% 2% 1% 1% 0%

Ineficaz 15% 14% 1% 1% 2%
Satisfatória 24% 26% 32% 10% 8%
Eficaz 21% 36% 32% 51% 13%
Altamente eficaz 8% 10% 23% 29% 68%
Não se aplica 7% 9% 4% 2% 2%
Não sei 5% 3% 7% 6% 7%
FIGURA 2.6: Quanto esforço (tempo e complexidade) foi necessário para atualizar os controles internos em
resposta às atividades de transformação em cada uma das áreas a seguir?
Esforço significativo Algum esforço Nenhum esforço / nenhuma mudança necessária Não se aplica Não sei
Tecnologia da informação 52% 35% 5% 2% 6%
Risco 43% 46% 6% 1% 4%
Conformidade 36% 50% 9% 1% 4%
Redução do risco de fraude 35% 49% 11% 1% 4%
E-Commerce 34% 43% 10% 4% 9%
Contabilidade 33% 49% 13% 1% 4%
Reporte financeiro (Sarbanes–Oxley) 33% 46% 12% 5% 4%
Auditoria interna 32% 52% 11% 2%3%
Reporte financeiro (não Sarbanes–Oxley) 27% 45% 11% 12% 5%
Reporte não-financeiro 26% 53% 12% 3% 6%
Website 22% 46% 18% 5% 9%
Marketing 19% 50% 17% 6% 8%
0% 20% 40% 60% 80% 100%
As respostas para cada uma das subperguntas foram as seguintes (n=)
Contabil. Conform. E-commerce Reporte financeiro Reporte financeiro Reporte Redução Tecnologia Audit. Marketing Risco Website
(Sarbanes–Oxley) (que não não- do risco da interna
Sarbanes–Oxley) financeiro de fraude informação
1.469 1.469 874 638 1.206 1.089 1.352 1.551 1.237 1.071 1.410 1.310
22
Os participantes também responderam sobre a extensão negócios com a tecnologia e como ela funciona? Estamos
dos desafios na atualização de seus controles internos pensando o suficiente em melhorar os controles internos
(Figura 2.7). Reportaram que cada uma das áreas toda vez que fazemos um investimento em tecnologia?’
sugeridas foi um desafio. A falta de conhecimento
técnico foi reportada como desafiadora ou extremamente Um participante da mesa redonda australiana comentou:
desafiadora por 45% dos entrevistados, enquanto 41% ‘Como auditores internos, precisamos estar sempre
consideraram que a falta de foco no controle interno conscientes, pois [os tecnólogos] geralmente não pensam
também foi um problema. No sul da Ásia, 57% dos do ponto de vista dos controles’.
entrevistados e 54% no Oriente Médio consideraram
Operar em um mundo em constante mudança tem outros
a falta de conhecimento técnico um desafio, em
impactos que podem afetar o ambiente de controle
comparação com 35% no Caribe, 38% na Europa
interno. O modelo tradicional de planejamento e previsão
Ocidental e 40% na América do Norte.
tem sido questionado em muitas entidades. A capacidade
Um líder de auditoria interna dos EUA comentou: de modelar diversos cenários usando dados de muitas
‘realmente precisamos voltar [a conversa sobre] controle fontes serviu bem aos envolvidos durante a pandemia.5
para o início: [para] refletir e garantir que seja implantado
Classicamente, os ciclos mensais de reporte têm sido uma
sempre que houver um novo processo ou serviço.’
área com controles internos muito focados. Embora tenha
Um chefe executivo de auditoria da África do Sul havido discussão sobre a otimização de alguns desses
comentou: ‘tendemos a ver investimentos em processos processos (veja Krumwiede 2016), muitas das atividades
de negócios e investimentos em controle interno como tradicionais permanecem, embora em um cronograma
duas coisas separadas, do ponto de vista tecnológico. mais curto. Os participantes (Figura 2.8) indicaram que,
Não os vejo tão separados quanto talvez costumássemos por causa da pandemia, os ciclos mensais de reporte, de
vê-los tradicionalmente. É mais [uma questão de] como fato, continuaram se tornando mais relevantes.
você está melhorando seu ambiente de processos de
FIGURA 2.7: Até que ponto cada um dos seguintes fatores causou desafios ao atualizar seus controles
internos como resultado de transformação? (n = 1.836)
30% alta de
F
28% conhecimento de
25% 26% auditoria interna
25% 25%
24%
23% alta de
F
20% 22% 22% 22%
21% conhecimento
19%
18% técnico
15% 16% 16% 16%
15% alta de inclusão
F
13% 13% 13%
10% 12% 12% no projeto
11% 11%
10% 10%
alta de interação
F
5% com a equipe do
projeto
0%
2 3 4 5 – Nem um pouco desafiador alta de foco no
F
1 – Extremamente desafiador
controle interno
FIGURA 2.8: Conforme muitas entidades buscam uma tomada de decisões mais ‘em tempo real’, como você
consideraria a relevância de ciclos mensais de reporte em comparação com 2019? (n = 1.956)
40%
35%
30%
26%
20%
18%
10%
9%
3% 3% 6%
0%
Diminuiu Diminuiu Permaneceu Aumentou Aumentou Não se aplica Não sei
significativ. significativ.
5 Uma consideração do impacto da pandemia sobre o planejamento e previsão pode ser encontrada em ACCA / PwC (2021).
23
Uma análise regional das respostas a esta pergunta em escassez de talentos, pois os indivíduos buscam
mostra variação ao comparar o aumento líquido e a reavaliar suas expectativas quanto à vida. Também com o
diminuição líquida da relevância (Figura 2.9). crescimento das pressões inflacionárias, os drivers para a
automação aumentam e a capacidade das iniciativas de
2.2 Adoção da tecnologia transformação para habilitar isso está se tornando cada
As atividades de transformação de uma entidade têm vez mais importante.
impacto nas finanças de várias formas. A realidade da
Foi neste contexto que os participantes avaliaram o
transformação é que não é uma atividade no nível do
impacto de uma série de tecnologias6 nos controles
departamento, mas em toda a entidade, com impactos
internos de suas entidades (Figura 2.10).
diversos em diferentes áreas. Os desafios pós-pandemia
para entidades em certas economias podem se refletir
FIGURA 2.9: Conforme muitas entidades buscam uma tomada de decisões mais ‘em tempo real’, como você
consideraria a relevância de ciclos mensais de reporte em comparação com 2019? Análise por região (n=1.956)
Redução líquida Aumento líquido
80%
70% Oriente Médio
Sul da Ásia
África Caribe
60%
50% Ásia-Pacífico
Europa Central e Oriental Europa Ocidental

América do Norte
40%
30%
20%
Europa Central e Oriental África
Ásia-Pacífico Europa Ocidental
América do Norte
10% Oriente Médio
Sul da Ásia Caribe
0%
0 1 2 3 4 5 6 7 8 9
FIGURA 2.10: Como você avaliaria o impacto das seguintes tecnologias nos controles internos de sua
entidade? (n = 1.956)
Não se aplica Não sei 1 – Deteriorou significativ. 2 – Deteriorou 3 – Sem impacto 4 – Melhorou 5 – Melhorou significativ.
Aplicativos baseados na nuvem 14% 9% 2% 4% 11% 40% 20%
Análise de dados 12% 8% 2% 3% 10% 45% 20%
Automação de Processos Analíticos 22% 13% 1%3% 12% 36% 13%
Mineração de dados 24% 14% 1% 4% 12% 33% 12%
RPA / IA 36% 12% 2%3% 13% 24% 11%
Uso de APIs 25% 18% 2% 3% 12% 30% 10%
Inteligência artificial 35% 13% 2% 3% 14% 24% 9%
Machine Learning 34% 15% 1% 3% 14% 25% 8%
Mineração de processos 28% 17% 1%3% 15% 28% 8%
RFID (Identif. por Radiofrequência) 43% 22% 1%2% 14% 13% 5%
0% 20% 40% 60% 80% 100%
6 Explicações de diversos desses termos, assim como outros termos essenciais usados neste relatório, podem ser encontradas no Glossário.
24
Os resultados são variáveis. Em certos casos, ferramentas 2.3 Fluxos de dados, big data e
como a automação robótica de processos e a automação monitoramento contínuo
inteligente (RPA/AI) não são aplicáveis ou seu impacto De acordo com uma previsão da Statista em 2021, o
é desconhecido para 48% dos entrevistados, enquanto mundo criará 97 zettabytes8 de dados em 2022 e isso
34% dos entrevistados consideram que as mesmas aumentará para 181 zettabytes em 2025 (Statista 2021).
tecnologias melhoraram seus controles internos. Um Essa explosão de dados é um aspecto da jornada de
padrão semelhante aparece para muitas das tecnologias transformação para muitas entidades, pois buscam usar os
mencionadas nesta pergunta. Apenas a análise de dados de forma que lhes permitam entender melhor seus
dados e aplicativos baseados na nuvem pontuam clientes, entre outras atividades, e simplificar seus
significativamente mais alto, com 65% registrando uma processos. Esse aumento de dados é impulsionado pela
chamada ‘quarta revolução industrial’9 e pelo mundo
melhoria ou melhoria significativa devido à análise de
conectado. Cada uma dessas atividades pode, em parte,
dados e 60% para aplicativos baseados na nuvem. As
ser apoiada pelas tecnologias citadas na Figura 2.10.
grandes diferenças nas respostas sobre tecnologias
específicas revelam os diversos estágios de exposição Os participantes consideraram se esse grande aumento
e implantação de cada uma delas em iniciativas de nos dados disponíveis havia alterado a eficácia dos
transformação digital. Junto com os comentários dos controles internos de sua entidade (Figura 2.11).
participantes da mesa redonda, os resultados da pesquisa Entre os participantes, 52% reportaram que o aumento
indicam que, para profissionais de contabilidade, da disponibilidade de dados ajudou a melhorar a eficácia
finanças e auditoria interna, ainda há uma jornada para do controle interno. Esse nível de melhoria foi maior na
entender e aplicar a tecnologia em nossas entidades.7 As Ásia-Pacífico (57%), Sul da Ásia (60%) e Oriente Médio
consequências disso são consideradas mais adiante no (63%), enquanto os números foram menores na Europa
Capítulo 3. Ocidental (44%) e América do Norte (37%).
FIGURA 2.11: Muitas entidades capturam mais dados do que cinco anos atrás. Grande parte desses dados é
relevante para o reporte financeiro e não-financeiro. Esse aumento no volume de dados impactou a eficácia
dos controles internos? (n = 1.956)
40%
39%
30%
20% 22%
13%
10% 11%
9%
1% 5%
0%
Deteriorou Deteriorou Sem impacto Melhorou Melhorou Não se aplica Não sei
ENTRE OS PARTICIPANTES, 52% REPORTARAM

QUE O AUMENTO DA DISPONIBILIDADE
DE DADOS AJUDOU A MELHORAR A EFICÁCIA
DO CONTROLE INTERNO.
7 As consequências da tecnologia para as habilidades dos profissionais de contabilidade e finanças são discutidas na ACCA (2020).
8 Um zettabyte é um múltiplo da unidade de byte, que mede o armazenamento digital, e é equivalente a 1.000.000.000.000.000.000.000 [1021] bytes.
9 O termo ‘quarta revolução industrial’ foi usado pela primeira vez para um amplo público por Klaus Schwab, em um artigo na revista Foreign Affairs, em 2015 (Schwab 2015).
25
Um dos desafios de tais volumes de dados é que as pandemia, o impacto do trabalho doméstico ou híbrido
técnicas tradicionais de amostragem são desafiadas a no ambiente de controle interno foi questionado. Seria
garantir que as conclusões apropriadas sejam tiradas robusto? Embora tenha havido desafios (e alguns deles
dos testes – vários participantes da mesa redonda se e suas consequências de controle serão explorados
referiram a isso. A oportunidade de usar o poder da no Capítulo 3), os participantes consideraram que, em
computação para revisar constantemente a totalidade
geral, a eficácia dos controles aumentou ou permaneceu,
de uma população, chamada de ‘monitoramento
com apenas 31% reportando que diminuiu ou diminuiu
contínuo’, pode oferecer vantagens no monitoramento
do controle interno. Dos participantes, 28% já estavam significativamente (Figura 2.13). No entanto, enquanto na
usando essa técnica e outros 36% a consideravam (Figura Ásia-Pacífico (30%), Sul da Ásia (33%) e Europa Ocidental
2.12). As consequências do monitoramento contínuo são (25%) houve uma impressão de que os controles tinham
consideradas no Capítulo 3. melhorado, apenas 15% dos entrevistados na América do
Norte consideraram que esse foi o caso.
2.4 Evolução das formas de trabalhar
Mudanças transformacionais não estão relacionadas Um participante da mesa redonda da Turquia comentou:
apenas a tecnologia e dados. Muitas vezes, são mudanças ‘trabalhar em casa, em vez de no escritório, não traria
fundamentais nas formas de trabalhar. Uma lição da grandes mudanças do ponto de vista do controle. Acho
pandemia é que as entidades que administraram os que a avaliação pode ser diferente, porque tudo depende
desafios de forma mais eficaz são aquelas que adotaram de quão bem o ambiente de controle está estruturado. Se
culturas colaborativas e inovadoras. você tem muito mais controles automatizados em vigor do
Outro aspecto foi a mudança para o trabalho híbrido, que controles manuais, e se seus sistemas estão
observada em muitas entidades, especialmente para integrados, trabalhar de qualquer lugar não tem nada a ver
funcionários mais baseados em escritórios. No início da com o ambiente de controle’.
FIGURA 2.12: Com a crescente disponibilidade de Big Data, sua entidade está considerando o uso, ou está
usando técnicas de auditoria contínua e/ou monitoramento como parte de seus controles internos? (n = 1.956)
40%
36%
30%
28%
20%
20%
10%
10%
6%
0%
Sim – já estamos usando Sim – estamos considerando Não Não se aplica Não sei
FIGURA 2.13: Como você avaliaria o impacto do trabalho remoto / híbrido sobre a eficácia dos controles
internos? (n = 1.956)
40%
30% 32%
24%
20%
20%
10%
8%
7%
5% 4%
0%
Diminuiu Diminuiu Permaneceu Aumentou Aumentou Não se aplica Não sei
26
Trabalhar em casa aumentou o perfil de risco para muitas No geral, 80% dos participantes concordaram ou
entidades em relação à perda de propriedade intelectual. concordaram fortemente com essa afirmação. Este
Estudos mostram um aumento no alcance de ataques de resultado mostrou apenas uma variação regional
phishing, por exemplo, desde o início da pandemia. A marginal.
VentureBeat faz referência a um estudo da SonicWall que
Em fevereiro de 2022, o Conselho do COSO aprovou um
sugere um aumento de 231% nos ataques de phishing
estudo de pesquisa para demonstrar como o controle
desde o início da pandemia até o fim de 2021 (Alspach
interno eficaz sobre o reporte de sustentabilidade pode
2022). A proteção cibernética está se movendo em direção
ser alcançado por meio da aplicação do Internal Control
a um modelo Zero Trust (conforme discutido em ACCA
Integrated Framework de 2013.10 É muito importante
/ Chartered Accountants Australia and New Zealand /
para os investidores e outros stakeholders que haja
Macquarie University 2019), que define o perímetro da
confiabilidade e confiança nas divulgações de ESG/
ciberameaça de forma diferente. O uso de técnicas como o
sustentabilidade, como aquelas sobre risco climático,
Zero Trust Model ajuda a redefinir o perfil de risco.
emissões de carbono, cibersegurança, inovação e
capital humano. Esses dados, reporte e análises são
2.5 Reporte não-financeiro diferentes dos dados financeiros, porque tendem a
A consideração final da pesquisa foi se os participantes ser mais desestruturados, qualitativos e estimados a
acreditavam que os controles internos deveriam ser partir de diferentes fontes. A governança, qualidade,
estendidos para informações não financeiras e para o modelagem e análise dos dados são extremamente
reporte relacionado aos objetivos de ESG (Figura 2.14).
importantes.
FIGURA 2.14: Até que ponto você concorda ou discorda que há uma necessidade de aplicar o framework de
controle interno ao reporte não-financeiro e de ESG? (n = 1.956)
50%
44%
40%
36%
30%
20%
10% 11%
3% 3% 3%
0%
Discordo fortemente Discordo Não concordo Concordo Concordo fortemente Não sei
nem discordo
NO GERAL, 80% DOS PARTICIPANTES CONCORDARAM

OU CONCORDARAM FORTEMENTE QUE HÁ UMA
NECESSIDADE DE APLICAR O FRAMEWORK DE
CONTROLE AO REPORTE NÃO-FINANCEIRO E DE ESG.
10 COSO (2022)
27
A MENOS QUE MUDEMOS NOSSA

ABORDAGEM À IDENTIFICAÇÃO DE
RISCOS E À METODOLOGIA DO PONTO
DE VISTA DO CONTROLE INTERNO,
ACREDITO QUE AS ABORDAGENS
TRADICIONAIS NÃO SERÃO MAIS
RELEVANTES.
28
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | 3. EVOLUINDO NOSSA MENTALIDADE
3. Evoluindo nossa
mentalidade
‘A MUDANÇA ESTÁ CHEGANDO EM UMA VELOCIDADE MAIOR E
COM IMPACTO MAIS SIGNIFICATIVO DO QUE NUNCA. A TECNOLOGIA
QUE ESTAMOS USANDO E OS RISCOS E REQUISITOS ENFRENTADOS,
PRINCIPALMENTE POR PARTE DOS REGULADORES, ESTÃO CRESCENDO.’
CONSULTOR DE AUDITORIA INTERNA NA MESA REDONDA DO REINO UNIDO E IRLANDA
3.1 Traçando o caminho à frente exige que isso esteja em vigor. Isso, por sua vez,
Tendo considerado a posição atual através dos resultados deve se integrar à plataforma de governança, risco
da pesquisa e avaliado as percepções dos entrevistados e conformidade (GRC) que faz parte da arquitetura
e participantes da mesa redonda, é importante traçar tecnológica geral (ver seção 3.5).
um caminho para o controle interno, dadas as influências
3.2 Evolução da tecnologia e dos dados
sobre ele. Neste capítulo, são explorados vários dos
drivers. Avançar requer ação – os pontos de ação Não há como escapar do fato de que a tecnologia e os
dados estão mudando o cenário dos negócios. Antes
sugeridos são destacados com um ícone ‘!’. A discussão
da pandemia, as entidades focavam cada vez mais em
se desenvolve em torno de vários fatores (Figura 3.1).
entender como criar valor e insights a partir dos dados à
Compreender o perfil de risco é essencial. Os controles sua disposição e atingir esses objetivos. A ideia de que
monitoram os riscos e esse vínculo na entidade a pandemia acelerou a taxa de adoção da tecnologia foi
transformada continua sendo essencial (conforme amplamente aceita pelos participantes e entrevistados da
discutido na seção 3.9). A automação dos controles, mesa redonda. A expressão ‘cinco anos em cinco meses’
incluindo o uso do machine learning e outras técnicas, tem sido frequentemente usada como mantra para essa
aceleração tecnológica. Um sócio de uma empresa de
contabilidade na Índia comentou que, ‘quer se queira ou
não, a tecnologia dominou as operações de negócios nos
FIGURA 3.1: Traçando o caminho à frente
últimos 10 a 20 anos. Eu diria mais nos últimos dois anos.
Evolução da O impacto pós-COVID da tecnologia foi bastante forte e,
Entidade ágil Reporte não-
tecnologia mesmo onde as pessoas estavam relutantes em aceitar a
financeiro
e dos dados mudança, foram forçadas a tal’. Ele acrescentou que, em
sua opinião, ‘a menos que mudemos nossa abordagem
à identificação de riscos e à metodologia do ponto de
vista do controle interno, acredito que as abordagens
tradicionais não serão mais relevantes’. Na visão de
um chefe executivo de auditoria dos EUA, ‘o que está
acontecendo no mundo da auditoria é [que] os processos
CONSEQUÊNCIAS PARA O CONTROLE INTERNO de negócios estão se movendo, mas a função de auditoria
não está se movendo tão rapidamente’.
Conforme demonstrado pelos resultados da pesquisa na
Figura 2.13, a percepção inicial de que a mudança na
Habilidades Tempo real Governança forma de trabalhar poderia resultar no enfraquecimento
dos dados
do ambiente de controle interno pode não ter ocorrido.
Um CFO comentou que, para a primeira linha, ‘está se
tornando muito difícil para alguém entender o processo
de ponta a ponta e, se você não está conseguindo
entender o processo, geralmente, a segunda ou terceira
linha enfrentará um desafio ao tentar entender o processo
e, em seguida, tentar ver se os controles estão
funcionando corretamente ou se podemos auditá-los’. Em
Estratégia e cultura sua visão, a natureza dos processos está se tornando mais
fragmentada e informal. Da perspectiva da primeira linha,
é mais desafiador obter a visão de ponta a ponta.
29
Entre muitos dos participantes da mesa redonda, havia a Embora tenha havido uma aceleração do ritmo de
opinião de que a informalidade das formas de trabalho mudança na tecnologia e dados, é improvável que isso
exigidas pela pandemia, por exemplo, usando métodos seja o fim da história. O impacto da ‘quarta revolução
informais para aprovar transações, como aprovação por industrial’ nas entidades está aumentando, especialmente
e-mail ou mensagens do WhatsApp, pode ter resultado porque buscam lidar com o clima econômico que está
na perda do rastro de auditoria. Um entrevistado que surgindo em 2022. Um aumento do uso da automação
trabalha em um setor regulamentado aceitou que, no ciclo de produção afetará não apenas as entidades de
embora muitas dessas mudanças sociais tenham chegado manufatura, mas também aquelas em todos os setores,
para ficar, visto que as mudanças de estilo de vida entre a em todas as áreas de atuação.11
força de trabalho foram aceitas, agora era a hora de as
Os componentes dessa revolução, denominada ‘Indústria
entidades reavaliarem alguns dos novos processos
4.0’, são mostrados na Figura 3.2.
‘temporários’ implantados rapidamente no início da
pandemia, que agora se tornaram permanentes e podem Quando considerada em combinação com as percepções
precisar de revisão adicional. Este entrevistado dos participantes sobre os impactos tecnológicos no
acrescentou que havia um equilíbrio a ser alcançado, controle interno (Figura 2.10), sugere que uma proporção
entre a necessidade do controle e a evolução do razoável não está ciente dos impactos dessas tecnologias
ambiente de trabalho. Havia o risco, em sua visão, de que em suas entidades ou das consequências de controle
um controle só era visto como eficaz quando o indivíduo interno. Ficar parado não é uma opção, nem ‘auditar
estava realizando a tarefa apenas no escritório, o que ao redor da caixa’ (isto é, adotar abordagens novas/
pode não ser o caso. não convencionais). Os envolvidos no controle interno
precisam estar mais conscientes desses drivers de
Um chefe executivo de auditoria do Reino Unido tinha
tecnologia e dados.
uma perspectiva diferente, comentando que: ‘Não
acho que se trate de mais controle. Acho que é sobre Um participante da mesa redonda australiana comentou:
um controle mais ágil e [avaliar] onde provavelmente ‘a velocidade com que [a mudança tecnológica] está
estávamos supercontrolados. Nosso apetite a risco estava chegando é cada vez mais rápida do que vimos antes. A
um pouco fora de sintonia’. forte dependência da tecnologia também está ficando
cada vez mais pesada, conforme avançamos. O desafio
para o nosso ambiente de controle interno... [é] lidar com
CONSIDERAR AS TRANSIÇÕES DE isso em qualquer situação que olharmos’. Relacionando
TECNOLOGIA E DADOS QUE AS ENTIDADES isso ao número de participantes que não entenderam o
INTEGRARAM AO MODELO OPERACIONAL E impacto das tecnologias emergentes em relação ao
QUE ESTÃO REPLICANDO NOS CONTROLES controle interno, conforme o uso de uma variedade de
INTERNOS. tecnologias aumenta, a lacuna potencial aumenta.
FIGURA 3.2: Componentes da ‘Indústria 4.0’

Simulação
Sistemas autônomos Integração vertical e horizontal
Computação na nuvem
Indústria Internet of Things (IoT)
4.0
Manufatura aditiva Cibersegurança
Realidade Big data

aumentada
11 Como exemplo, o impacto da Indústria 4.0 sobre as Cadeias de Suprimentos é considerada em ACCA / IMA / Chartered Institute of Procurement and Supply (CIPS) (2022).
30
necessidade de explorar essa agilidade aumentará.

CERTIFICAR-SE DE ENTENDER A TECNOLOGIA O conceito de ‘Núcleo Digital’ (Figura 3.3) facilita esse
E OS DRIVERS DE DADOS NO MODELO rápido senso de mudança (consulte ACCA / CA ANZ /
OPERACIONAL DA ENTIDADE. CERTIFICAR-SE Generation CFO 2021).
DE ESTAR FAMILIARIZADO COM O USO DE
É importante que os responsáveis pelo controle interno,
TECNOLOGIAS EMERGENTES.
em todos os níveis de operação dentro do Modelo
das Três Linhas, assegurem que essas considerações
MAPEAR O USO DE TECNOLOGIAS sejam incluídas nas equipes de projeto responsáveis por
EMERGENTES PARA CONTROLES INTERNOS conduzir essas mudanças ágeis. Frequentemente, essas
E IDENTIFICAR OPORTUNIDADES PARA equipes são criadas para atividades de curto prazo e
AUMENTAR A EFICÁCIA DO CONTROLE. são retiradas com a mesma rapidez. Não é possível fazer
alterações para acomodar considerações de controle
interno como uma reflexão tardia, como foi destacado por
vários participantes da mesa redonda e confirmado por
Um participante sul-africano da mesa redonda levou a
suas experiências. A mentalidade dos responsáveis pelo
discussão adiante. ‘A quinta revolução industrial terá
controle interno precisa mudar de uma abordagem de
humanos e máquinas coexistindo juntos, nos dando a
‘cascata’ para uma abordagem ‘ágil’12 e proatividade em
oportunidade de mudar a mentalidade, mudar a cultura.
Podemos usar a tecnologia para garantir que tenhamos se envolver, em vez de esperar ser convidado.
eficiência operacional’.
RECONHECER QUE OS AVANÇOS DE
3.3 A entidade ágil
MODELOS OPERACIONAIS SÃO CADA VEZ
Os drivers econômicos para 2022 e além provavelmente MAIS PROPENSOS A SEREM CONDUZIDOS
significarão que as entidades precisarão ser ágeis DE FORMA ÁGIL E GARANTIR QUE OS
na adaptação de seus modelos operacionais. RESPONSÁVEIS PELO CONTROLE INTERNO
Agilidade significa que é necessário atualizar e mudar EM TODOS OS NÍVEIS DO MODELO DAS TRÊS
constantemente o modelo de operação, para poder LINHAS ESTEJAM PREPARADOS PARA SE
explorar as oportunidades e gerir as limitações da ENVOLVER DEVIDAMENTE.
conjuntura econômica. Isso significa que os controles
internos precisam ser adaptativos e dinâmicos. Os
resultados da pesquisa sugerem que as considerações Conforme a amplitude do controle interno aumenta,
de controle interno continuam sendo uma possível incluindo mais aspectos não financeiros e financeiros
reflexão tardia no processo de transformação (Figura da entidade, há também a necessidade de uma visão
2.7). Conforme as entidades migram cada vez mais para integrada dos dados de riscos. Embora, como McPherson
a tecnologia baseada na nuvem e arquiteturas de dados et all apontam, isso ‘leve a dados de risco fragmentados,
construídas em torno de aplicativos ‘best of breed’, a desalinhados e dispersos em silos organizacionais, o
FIGURA 3.3: O ‘Núcleo Digital’
Envolvimento da
Colaboração força de trabalho
e inovação
Experiência do
consumidor
Núcleo digital
IoT e dispositivos
conectados
Redes sociais
Análise de dados GRC Finanças e operações

e insights
12 Os termos ‘cascata’ e ‘ágil’ são definidos no Glossário.
31
que impede os líderes de obter a visão panorâmica Em julho de 2021, o COSO publicou um guia, Enterprise
necessária do cenário de risco para que ajam com ousadia Risk Management for Cloud Computing (Grob e Cheng
e propósito’ (McPherson et al 2022). Essa progressão do 2021), que fornece uma perspectiva sobre essa área. Isso
controle interno exige a adoção de soluções de GRC estende os 17 princípios (consulte a seção 1.1, Figura 1.2)
eficazes e eficientes. para um cenário baseado na nuvem, fornece um roteiro
para implantar a computação na nuvem e descreve os
devidos papéis e responsabilidades.
IMPLANTAR UMA SOLUÇÃO DE GRC QUE A importância do reporte SOC 2 para prestadores de
ABORDE TODOS OS ELEMENTOS DE RISCO E serviços na nuvem foi enfatizada por muitos participantes
CONTROLE INTERNO EM TODA A ENTIDADE. da mesa redonda.13 Entender quais riscos essa entidade
precisa gerenciar na interação com um prestador de
serviços é essencial. Uma das lições aprendidas pelas
Vários participantes da mesa redonda destacaram os
entidades na década de 1990, durante a rodada inicial
desafios da migração de dados, conforme as entidades
de terceirização de TI, foi que você não pode revogar
fazem a transição para o núcleo digital. Embora a
a responsabilidade pelo risco e, na verdade, é preciso
migração de dados nunca possa ser ignorada, são as
tanto esforço para gerenciar o relacionamento com o
mudanças inerentes ao uso de TI introduzidas por esse
prestador de serviços quanto para executar a operação de
modelo operacional que devem ser consideradas. As
TI internamente. O que muda é o perfil de risco. A mesma
soluções baseadas na nuvem exigem uma abordagem
mensagem permanece verdadeira hoje, com a iteração de
diferente para o aprimoramento de aplicativos. As
aplicativos baseados na nuvem.
mudanças são liberadas pelos fornecedores de acordo
com seus próprios cronogramas e os modelos Um chefe executivo de auditoria dos EUA comentou: ‘[as
operacionais precisam se adaptar. A visão tradicional dos entidades tradicionalmente] têm seu próprio conjunto
controles gerais de TI não se aplica. Nos modelos de controles sobre os controles de gestão de acesso,
operacionais tecnológicos tradicionais, as entidades seus próprios controles de governança e de gestão
competiam na modificação do aplicativo, para adequá-lo de mudanças. E estamos vendo [entidades], incluindo
ao seu próprio modelo operacional. No mundo baseado departamentos de TI, tornando-se mais dependentes do
na nuvem, os modelos operacionais precisam se adaptar framework de controle [do provedor de nuvem]. [Como
ao modelo definido pelo fornecedor e o cenário auditores,] estamos questionando se está tudo bem.
competitivo mudou, pois as entidades competem para Sabemos que é uma grande empresa e serviço, mas o
obter insights a partir dos dados disponíveis. Os controles quanto vamos confiar em seu framework, seus controles e
internos precisam ser adaptados para refletir essa
suas estruturas e dizer que estamos bem com isso?’
mudança de modelo, com foco nos diferentes perfis de
risco operacional. Um CFO no Oriente Médio comentou
que: ‘o maior desafio é somente por conta da tecnologia
RECONHECER AS CONSIDERAÇÕES DE
evoluir tão rápido: uma vez que você cria um controle, de
CONTROLE INTERNO DECORRENTES DO PERFIL
repente esse controle não é mais relevante e, em alguns
ALTERADO DE RISCO EM QUALQUER CENÁRIO
casos, os controles deixam de ser comercialmente viáveis’,
BASEADO NA NUVEM. RECONHECER QUE
observando que, em sua organização, não há exigência
OS CONTROLES GERAIS DE TECNOLOGIA DA
legislativa ou regulatória para a implantação de tal ambiente. INFORMAÇÃO TRADICIONAIS (ITGCS) MUDARAM.
RECONFIGURAR O MODELO DE RISCO, PARA

REFLETIR AS PRÁTICAS TECNOLÓGICAS Os aplicativos baseados na nuvem oferecem acessibilidade
ALTERADAS QUE SURGEM DA ADOÇÃO DE ao usuário final, seja ele um cliente ou um membro da
APLICATIVOS BASEADOS NA NUVEM. ENTENDER equipe, vendedor ou fornecedor. Muitas vezes, a captação
A NATUREZA DIFERENTE DA TECNOLOGIA E DO de dados é via dispositivo móvel e ocorre próximo ao
RELACIONAMENTO COM O FORNECEDOR. momento da transação. O controle interno abordado por
revisões periódicas detectivas está muito afastado do início
da transação. A transação já passou. O uso de controles
Embora essa abordagem possa ser relativamente fácil automatizados com base nos parâmetros matemáticos do
de adotar para entidades maiores, para as de médio sistema ou do modelo fornece um feedback mais relevante.
porte, onde o controle interno é igualmente importante,
a adoção de novas tecnologias pode ser limitada pela
disponibilidade de fundos e pela falta de capacidade INCORPORAR CONTROLES INTERNOS
técnica para implantar as mudanças necessárias, tanto na AUTOMATIZADOS E BASEADOS EM PARÂMETROS
tecnologia quanto no controle interno. Isso, por si só, é EM APLICATIVOS BASEADOS NA NUVEM,
uma barreira que essas entidades precisam superar, ou ESPECIALMENTE NO PONTO DE INICIAÇÃO.
perderão a vantagem competitiva.
13 SOC 2 é a norma de conformidade voluntária do AICPA para organizações de serviços.
32
Em fevereiro de 2022, o COSO publicou orientações Em primeiro lugar, como comentaram os participantes
sobre a aplicação de metodologias ágeis ao controle da mesa redonda e entrevistados, muitas entidades não
interno (Walker 2022). A orientação descreve como uma coletam hoje toda a gama de dados que podem ser
abordagem de gerenciamento de riscos corporativos exigidos por tais divulgações. Muitos dos componentes
(ERM) pode ser adotada em um ambiente de negócios de dados estão fora das próprias entidades, em suas
ágil. A orientação faz 20 recomendações para fortalecer o cadeias de suprimentos. Obter e gerir esses dados é
ERM em um ambiente ágil. claramente uma questão que precisará ser abordada.
Em segundo lugar, os aplicativos ainda não estão prontos
3.4 Considerações de reporte não- para gerenciar esses dados. Embora os fornecedores de
financeiro software possam desenvolver novos aplicativos, muito do
O perfil de reporte das entidades está mudando. Os reporte atual é desenvolvido com aplicativos baseados
stakeholders estão exigindo uma visão mais ampla no usuário final, como planilhas, já considerados pontos
do desempenho, incluindo considerações de ESG; fracos nos ambientes de controle interno.
na verdade, a própria gama de stakeholders está Em terceiro lugar, em contraste com os dados de reporte
aumentando. Em março de 2022, a SEC dos EUA publicou financeiro, muitos dos dados não financeiros necessários
seu rascunho deThe Enhancement and Standardization não são estruturados e são de natureza qualitativa. Isso
of Climate-Related Disclosures for Investors (SEC 2022), apresenta desafios no desenvolvimento de um nível de
no qual, no parágrafo E, comenta ‘Como parte das avaliação de controle interno sobre os dados. Conforme
demonstrações financeiras do registrante, as métricas das discutido na seção 3.8, houve um forte sentimento entre
demonstrações financeiras estariam sujeitas a auditoria os participantes da mesa redonda de que é necessário
por uma empresa de contabilidade pública registrada entender o alinhamento cada vez maior entre a
independente e estão dentro do escopo do controle governança de dados e os objetivos de controle interno.
interno do registrante sobre reporte financeiro (“ICFR”)’.14 Esta área é um driver principal.
O European Financial Reporting Advisory Group (EFRAG) Um chefe executivo de auditoria da Europa Central e
também publicou, em março de 2022, um projeto de Oriental observou que: ‘os dados [não financeiros] estão
orientação sobre reporte de sustentabilidade que obviamente localizados principalmente fora dos sistemas
inclui aspectos de controle interno (EFRAG 2022). O de ERP [planejamento de recursos empresariais]. São
parágrafo 43 sugere que ‘o empreendimento deve coletados de forma ad hoc, na verdade, apenas quando
fornecer informações sobre seus processos de controle necessários para reporte. Dá para imaginar, se [necessário]
interno, inclusive em relação ao processo de reporte de compilar manualmente, como é difícil de auditar. É uma
sustentabilidade’. O parágrafo 44 fornece um comentário espécie de trabalho criativo e, às vezes, acho que é
afirmando que ‘o princípio a ser seguido sob este apenas uma estimativa grosseira’.
requisito de divulgação é informar sobre os aspectos
relacionados aos fatores de governança que afetam os TRABALHAR PARA IDENTIFICAR AS FONTES
processos de controle interno do empreendimento, DE DADOS RELEVANTES, PARA PERMITIR QUE
inclusive quanto ao reporte de sustentabilidade, A ENTIDADE ATENDA AOS REQUISITOS DE
e fornecer uma compreensão da supervisão e do DIVULGAÇÕES NÃO FINANCEIRAS.
monitoramento desses processos pelo órgão de
governança do empreendimento’.
DESENVOLVER UMA ESTRATÉGIA PARA
Além disso, em março de 2022, o International
INTEGRAR OS DADOS NÃO FINANCEIROS
Sustainability Standards Board (ISSB) publicou seus
NECESSÁRIOS AO FRAMEWORK DE CONTROLE
rascunhos de exposição sobre os requisitos gerais de
INTERNO E ESTAR PREPARADO PARA
divulgação relacionados à sustentabilidade (ISSB 2022a),
DOCUMENTAR CONFORME APROPRIADO.
especificando os requisitos de divulgação relacionados ao
clima (ISSB 2022b). Combinados, delineiam as normas de
reporte interno propostas nesta área. FAZER CONTATO COM OS RESPONSÁVEIS
Independentemente do resultado dessas consultas, PELA GOVERNANÇA DE DADOS, PARA
o escopo do reporte e os controles internos exigidos GARANTIR O ALINHAMENTO ENTRE ESSES
de entidades maiores serão expandidos, passando a CONJUNTOS DE DADOS.
incluir componentes não financeiros. Isso era claramente
esperado pelos participantes da pesquisa (Figura 2.14). Um entrevistado com ampla experiência em controle
Muitos dos participantes da mesa redonda também interno e que presta consultoria a muitas grandes
abordaram esta área. Para muitos, embora já esperassem empresas ponderou se os responsáveis em todo o
incluir dados não financeiros em seu ambiente de controle Modelo das Três Linhas do IIA estariam prontos para
interno, também havia a noção de que isso apresenta adotar fluxos de dados de reporte não financeiro em seus
desafios que as entidades precisarão enfrentar em breve. objetivos. ‘Não, não agora, pelo menos’.15
14 SEC (2022) seção E p. 43; referência à seção II F 2 e 3 do mesmo documento.

15 Em fevereiro de 2022, o conselho do COSO aprovou um estudo sobre Sustentabilidade / ESG (COSO 2022), com a intenção de publicar o resultados no fim do ano.
33
3.5 Detalhes das consequências para o funcionar sempre [presumindo que a programação esteja
controle interno correta]. E você poderia ter cinco amostras. Precisamos
avançar para controles automatizados’.
Cada uma das tendências descritas nas seções
anteriores tem uma consequência para o ambiente de Um CFO do Reino Unido destacou uma dicotomia. ‘Nós
controle interno de uma entidade. Essas consequências meio que nos tornamos mais confiantes ou tivemos que
continuarão se expandindo, e a realidade do ambiente em confiar mais na nossa equipe, e isso também é uma
mudança é algo que as entidades precisam se certificar de dicotomia com o controle interno, porque, de certa forma,
abordar. Esta seção considera algumas das consequências o controle interno diz: “Não confio em você o suficiente,
com mais detalhes e considera várias consequências portanto, quero proteger você e preciso envolver mais
tecnológicas e de dados para finanças (Figura 3.4). pessoas neste processo”, e acho que isso pode exigir
certa reflexão’.
Por volta ou por dentro
Uma pergunta clássica de auditoria é se devemos auditar Um colaborador da República da Irlanda comentou, ‘as
por volta ou por dentro do computador.16 Você trata pessoas não entendem como documentar controles
o algoritmo do computador como uma caixa preta? automatizados ou [sabem] que... controles automatizados
A dependência substancial das entidades quanto à podem economizar muito tempo e podem... aprofundar
TI significa que as tentativas de auditar ‘por volta’ do em muitos outros riscos do sistema, em vez de voltar a
computador não refletem como a entidade opera. Existe marcar checklists e controles manuais’.
um desalinhamento potencial dos perfis de risco. Parte da Um chefe executivo de auditoria europeu alertou que,
discussão nas mesas redondas refletiu que, para muitas conforme as entidades avançam em direção a processos
equipes de auditoria interna, ainda havia uma tendência globais e controles padronizados, pode haver desafios
de auditar ‘por volta’ do computador, simplesmente para entender como são aplicados em locais específicos.
pela falta de habilidades (consulte a seção 3.6) ou por Ele acrescentou, ‘encontrar... o denominador comum que
conveniência. Houve um sentimento, em muitas das poderia ser usado para um controle automatizado em
discussões, de que as entidades dependiam de controles termos de “tamanho único” é difícil’.
manuais e tinham muitos processos manuais duplicados
que faziam parte do framework de controle interno, pois
isso era mais fácil do que entender e implantar controles REAVALIAR A ABORDAGEM DE CONTROLES
automatizados. Como comentou um entrevistado, é mais AUTOMATIZADOS DENTRO DA ENTIDADE.
fácil documentar e comprovar um controle manual do que
um automatizado.
IDENTIFICAR ÁREAS COM CONTROLES
Ainda assim, para vários participantes da mesa redonda, MANUAIS QUE POSSAM DUPLICAR OS
houve a aceitação de que, se as entidades desejam CONTROLES AUTOMATIZADOS E ELIMINÁ-LOS
gerenciar com sucesso os volumes cada vez maiores CONFORME APROPRIADO.
de dados que suas entidades originam ou precisam
gerenciar17, controles automatizados são essenciais. Um
entrevistado baseado na Índia comentou: ‘Você verifica O uso de controles automatizados pode envolver
uma amostra em um controle automatizado e pronto. um elemento de monitoramento contínuo (conforme
Porque, se funciona em um ponto no tempo, é para discutido na seção 3.7).
FIGURA 3.4: Tecnologias que afetam as finanças e o controle interno
CONTROLE INTERNO
Soluções Automação Dados e Avanços Machine Blockchain

na nuvem insights Lo/No code learning
Controles gerais de TI em mudança
Aplicativos tradicionais
16 O termo ‘computador’ refere-se à totalidade de seus aplicativos e hardware.

17 Um exemplo de onde uma entidade pode, cada vez mais, precisar processar e validar informações sobre outras entidades está relacionado à sua habilidade de
abordar as divulgações de cadeia de suprimento propostas pela União Europeia, conforme discutido em ACCA / IMA / CIPS (2022).
34
Mudando o ambiente de trabalho

As entidades ainda estão lutando com as mudanças no ENTENDER O ESCOPO DA COMPUTAÇÃO
local de trabalho que resultaram da pandemia. Mesmo DO USUÁRIO FINAL (INCLUINDO O QUE
antes do COVID-19, o modelo de negócios tradicional ESTIVER FORA DA DEFINIÇÃO TRADICIONAL)
baseado na presença física estava sendo substituído E GARANTIR QUE TODOS OS APLICATIVOS
por um baseado na contribuição para a entidade, e essa DESENVOLVIDOS E QUE FAÇAM PARTE
tendência se acelerou. Em muitas entidades, tempo e DOS CONTROLES INTERNOS TENHAM O
localização não são mais problemas, valor e eficiência NÍVEL APROPRIADO DE CONTROLES DE
são os principais drivers. A colaboração é a ordem do DESENVOLVIMENTO E TESTE APLICADOS A ELES.
dia, se as entidades quiserem sobreviver em tempos
turbulentos. Vários dos participantes da mesa redonda
questionaram se os controles internos baseados em Esta é apenas uma etapa da jornada. A entidade
procedimentos manuais ou presença física podem ser ágil usará cada vez mais soluções que podem ser
considerados eficazes para o futuro. Alguns participantes desenvolvidas e implantadas rapidamente, muitas
da mesa redonda que representavam a comunidade de vezes usando ferramentas de desenvolvimento No-
auditoria interna comentaram que, em suas revisões de
code ou Lo-code para aprimorar o modelo operacional.
processos e controles, tinham adotado procedimentos
mais substantivos para compensar parte da informalidade Essas soluções são usadas pelo usuário final, não
introduzida pelo trabalho remoto. pelo departamento de TI, e podem ser desenvolvidas
e implantadas rapidamente. Existe o risco de não
Um CFO que contribuiu para este relatório considerou
reconhecimento formal das considerações de controles
essas consequências juntamente com as do ambiente
internos em tais cenários, mas são parte fundamental dos
econômico desafiador de 2022, observando que,
conforme os custos [e lucros] das entidades se tornam modelos operacionais das entidades, usando ao máximo
mais comprimidos e as formas de trabalhar mais informais: o ambiente baseado na nuvem.
‘você descobre que tem desafios até mesmo em coisas
básicas como a segregação de deveres. Quando alguém
tira licença, torna-se um desafio muito difícil. Então, você RECONHECER QUE A TRANSFORMAÇÃO
descobre que os controles podem ser violados’. ÁGIL EXIGIRÁ CADA VEZ MAIS, PARA GERAR
MELHORIAS NOS PROCESSOS OPERACIONAIS, O
Outro CFO comentou sobre as preocupações com a USO DE APLICATIVOS QUE NÃO ESTÃO SUJEITOS
dispersão de dados por e-mail. Conforme os e-mails de
AOS CICLOS DE VIDA DE DESENVOLVIMENTO DE
phishing se tornam mais sofisticados, os riscos aumentam.
APLICATIVOS TRADICIONAIS E GARANTIR QUE O
A integridade e confidencialidade dos dados não são RISCO CONSEQUENTE SEJA TRATADO.
mais funções de controles físicos, por exemplo, estar
em um escritório e conectado a uma rede, mas sim
de controles lógicos de autenticação, redes privadas Mesmo na aplicação de tecnologias, a tendência é vê-las
virtuais e criptografia. Algumas de nossas bases para a através de uma lente de processo, e não olhar para as
confidencialidade mudaram. oportunidades de controle que podem apresentar. Como
comentou um entrevistado da Índia, para cada processo
Conforme as formas de trabalhar mudam, precisamos
ao qual aplicamos RPA, é possível considerar um método
reavaliar os fundamentos do controle interno, desde a
paralelo baseado em controle. Ele considerou que
percepção da presença física da equipe até uma aceitação
não havia ênfase suficiente no uso de RPA para fins de
mais orientada por valores de como as funções são
desempenhadas. Muitos controles tradicionais (e, talvez, controle interno.
mais manuais) agora não são mais eficazes. Automação é
Controles gerais de TI
uma necessidade.
A visão tradicional dos controles gerais de TI (ITCGs) é
Avanços para o usuário final que aplicam-se a todos os sistemas de computador e ao
ambiente em que operam. Há várias fontes de orientação
e uso de soluções Lo-code / No-code
A ferramenta tradicional de computação do usuário final nesta área.
era a planilha. Estudos, como o conduzido pela ACCA n O IIA lançou uma série de Global Technology Audit
(2020), indicam que, como profissionais de contabilidade Guides que apoiam o entendimento de diversas áreas
e finanças, continuamos a depender de planilhas e
relevantes para a auditoria desse ambiente.
demoramos a adotar outras formas de ferramentas
analíticas ou de eficiência de processos, como ferramentas n A Information Systems Audit and Control Association
analíticas e RPA (ACCA et al. 2018, ou Jiles 2020). Cada (ISACA) publicou seu framework Control Objectives
uma delas é, essencialmente, uma solução desenvolvida for Information Technology (COBIT), que alinha os
pelo usuário final. Como comentou um chefe executivo
objetivos de tecnologia ao framework COSO.
de auditoria, essas soluções desenvolvidas pelo usuário
final precisam estar sujeitas ao mesmo nível de controles n AXELOS, propriedade conjunta da Capita e do
de desenvolvimento que os aplicativos de computação Gabinete do governo do Reino Unido, tem um
de usuário final mais tradicionais. No entanto, para que conjunto de normas de TI conhecidas como IT
as entidades sejam ágeis, elas precisam, cada vez mais,
Infrastructure Library (ITIL).
adotar e não evitar essas soluções.
35
Cada uma dessas formas de orientação é regularmente focadas. Requer uma habilidade profunda, como as de
revisada e atualizada. Mesmo assim, a visão tradicional um auditor de algoritmos, para avaliar sua eficácia. No
dos ITGCs, expressa pelos participantes da mesa redonda, entanto, muitos ciclos de planejamento e previsão centrais
é que são aplicáveis ao ambiente de computação legado. aos controles de revisão gerencial estão usando elementos
Com o avanço das tecnologias ‘as-a-service’, as formas de ML para melhorar a precisão de suas previsões.
pelas quais as entidades consomem e usam os serviços
de TI estão mudando. Isso apoia o desenvolvimento da Para os responsáveis pelos controles internos, em
entidade ágil e transformadora. Ao desenvolver controles qualquer parte da entidade, um dos ITGCs fundamentais,
internos, é importante entender como o ambiente de TI a gestão de mudanças, precisa ser aplicado em um
está mudando. Como comentou um participante da mesa sentido diferente do algoritmo. No ambiente tradicional,
redonda da América do Norte, em sua empresa, ‘é quase as mudanças foram documentadas e avaliadas. O
cômico que... apliquemos a mesma metodologia de ML não cria esse rastro de auditoria. Ele aprende
controles gerais de TI que usávamos há 20 ou 30 anos’. conforme avança. O potencial de viés em algoritmos
é bem compreendido – ainda não é possível aplicar
Como aponta o comentarista Matt Kelly: ‘ITGCs procedimentos convencionais de gestão de mudanças.
funcionam fora da vista da maioria dos funcionários, Existe a tentação de tratar o algoritmo como uma ‘caixa
mas são incrivelmente importantes para segurança, preta’, no entanto, mesmo isso requer análises habilidosas
conformidade e sucesso operacional. O único fato dos resultados esperados em relação aos resultados reais.
primordial, no entanto, é que a empresa moderna só Mas o ML chegou para ficar e é importante aprimorar
dependerá mais da tecnologia conforme avançamos para habilidades de acordo.
o futuro. Quanto mais forte for sua compreensão sobre
os ITGCs que apoiam seu negócio, melhor sua empresa
será capaz de competir em nosso mundo altamente RECONHECER O PAPEL QUE O MACHINE
regulamentado e altamente arriscado’ (Kelly 2022). LEARNING E A INTELIGÊNCIA ARTIFICIAL PODEM
DESEMPENHAR NO AMBIENTE DE CONTROLE.
AVALIAR O AMBIENTE DE CONTROLE

GERAL DE TI NO CONTEXTO DO MODELO Todas essas tendências detalhadas têm consequências
OPERACIONAL ATUAL, IDENTIFICANDO ONDE para as habilidades daqueles em cada uma das três linhas.
OS CONTROLES SÃO GERENCIADOS POR
MEIO DE APLICATIVOS BASEADOS NA NUVEM, Em setembro de 2021, o COSO publicou uma orientação
EM VEZ DE NO LOCAL, E AS MUDANÇAS sobre ML e relaciona o framework do COSO ao seu uso
RESULTANTES NOS PERFIS DE RISCO. (Calagna et al. 2021). Ela mapeia os 17 princípios para sua
aplicabilidade à IA e seus usos potenciais nas entidades.
Blockchain 3.6 Conjuntos de habilidades

As tecnologias Blockchain são frequentemente citadas
A questão de quais habilidades devem ser desenvolvidas
como ambientes dos quais os objetivos de controle são
para permanecer relevante na contabilidade e finanças,
parte integrante. Até o momento, o uso dessa tecnologia
tem sido limitado a certas circunstâncias, como aquelas auditoria interna ou outras áreas é frequentemente
em que a proveniência de bens ou dados financeiros é de levantada. Charlie Wright, presidente do Conselho Global
importância crítica. Conforme a proveniência se torna um de 2021–2022 do IIA, em uma discussão sobre as futuras
risco crescente no nível da entidade, por exemplo, para habilidades do auditor interno, fez o seguinte comentário.
auxiliar na abordagem dos objetivos de ESG, é provável
que aumente o uso desta e de tecnologias semelhantes.
Avaliar como essa tecnologia pode ajudar a abordar ‘Apesar desse potencial, apenas 38% dos chefes
objetivos de controle definidos com precisão é importante executivos de auditoria ou chefes de auditoria interna
para as entidades. que participaram de um estudo global de outubro de
2020 [conduzido pelo IIA e pela Deloitte] explorando
Em julho de 2020, o COSO publicou uma orientação
a competência de auditoria interna disseram que
sobre a aplicação do controle interno em um cenário de
sentiam que suas funções tinham a capacidade de
blockchain (Burns et al. 2020), no qual os autores avaliam o
auditar mais de três de seis áreas críticas relacionadas
impacto potencial do blockchain no controle interno.
à tecnologia e inovação. Essas áreas incluíam:
Machine learning e inteligência artificial n Tecnologias disruptivas
A inspeção de dados requer cada vez mais a detecção n Nuvem e ambientes de computação virtual
de padrões aprendidos na prática. Este não é o único n ERM estendido
caso do uso de machine learning (ML) e inteligência
n Cibersegurança
artificial (IA) em entidades. Como técnicas de controle,
n Avaliação dinâmica de riscos
elas apresentam desafios, pois, conforme os algoritmos
aprendem durante o uso, torna-se desafiador entender se n Continuidade dos negócios e gestão de crises.’
verdadeiros ou falsos positivos estão sendo detectados Fonte: Wright 2021
em conjuntos de dados, ou desenvolver projeções mais
36
Há uma clara necessidade de desenvolver uma ampla gama A importância do Big Data e do processo de
de habilidades técnicas e de natureza mais interpessoal. transformação exige que cada linha do Modelo das
Três Linhas assegure que a equipe tenha as habilidades
Estudos separados da ACCA (2020 e 2021) e IMA
apropriadas para gerenciar os riscos. Em um momento em
(Krumwiede 2017) concordam com esta análise para
que, para muitas entidades, os recursos são limitados por
todos os profissionais de contabilidade e finanças. diversos motivos, isto representa um desafio significativo,
Essa capacitação pode ser alcançada apenas através mas que não pode ser ignorado.
da aprendizagem contínua, mas não se trata apenas
de aprender habilidades técnicas: o profissional de Um chefe executivo de auditoria de uma empresa
contabilidade, finanças e auditoria interna também precisa multinacional global na Índia comentou que há um
ser um conselheiro confiável.18 nível de expectativa quanto às habilidades necessárias
para oferecer suporte a análises e consultas de dados,
Conforme o controle interno continua se transformando, opinando que as habilidades de planilhas não são mais
os conjuntos de habilidades de seus responsáveis suficientes. ‘Existe agora uma certa quantidade de
precisam se expandir. Um entendimento da tecnologia programação básica esperada. Pelo menos, cada membro
e dos dados não é mais ‘bom ter’, mas sim uma da equipe precisa ser capaz de aplicar certo nível básico
necessidade. O desafio dessa afirmação pode ser visto de programação e, em seguida, procurar um especialista,
refletido nos resultados da pesquisa na Figura 1.4 e 2.7, porque você ainda não é chamado de especialista. Essa é
que indicam o nível de escassez de habilidades e seu a nova realidade de hoje e amanhã, que você precisa ter
impacto no trabalho relacionado a projetos. esse básico. Essas habilidades não são mais vistas como
especializadas.’ O participante apontou que habilidades
de programação agora são tão necessárias quanto as
IDENTIFICAR AS HABILIDADES E RECURSOS habilidades de Excel foram no passado.
NECESSÁRIOS PARA SUSTENTAR A EFICÁCIA DO
Um CFO refletiu sobre o impacto da automação nos
CONTROLE INTERNO EM TODA A ENTIDADE
fluxos de processo e as habilidades que serão necessárias
TRANSFORMADA, INCLUINDO AS HABILIDADES
para um ambiente de controle interno eficaz no futuro.
NECESSÁRIAS PARA ABORDAR OBJETIVOS
‘Há uma incompatibilidade de habilidades: a eficiência
NÃO FINANCEIROS. DESENVOLVER PLANOS
aumentou, no geral, em cargos de nível inferior, liberando
APROPRIADOS DE GESTÃO DE TALENTOS.
capacidade; mas as habilidades de que você precisa estão
em cargos de nível superior. Criou-se espaço, mas há uma
CONSIDERAR SEU PRÓPRIO NÍVEL DE incompatibilidade de habilidades, o que acho que é um
desafio para nós na forma como abordamos o controle’.
TECNOLOGIA E HABILIDADES RELACIONADAS
A DADOS NO CONTEXTO DO CONTROLE Um entrevistado sugeriu o seguinte modelo para
INTERNO E IDENTIFICAR OPORTUNIDADES DE descrever as habilidades necessárias em uma entidade a
DESENVOLVIMENTO RELEVANTES. partir de uma perspectiva de controle interno (Figura 3.5).
Como indica a Figura 3.5, apenas habilidades técnicas não
RECONHECER QUE AS HABILIDADES PRECISAM são mais suficientes. Em um ambiente em transformação,
SER ATUALIZADAS CONTINUAMENTE, TANTO AS é fundamental ter conhecimento operacional robusto da
TECNOLÓGICAS QUANTO AS INTERPESSOAIS E entidade e de sua indústria, bem como competências
DE TINO COMERCIAL. CERTIFICAR-SE DE QUE AS interpessoais para poder comunicar esse conhecimento
INICIATIVAS RELEVANTES ESTEJAM EM VIGOR. de forma eficaz e, assim, estabelecer relações de confiança
com stakeholders em todos os níveis.
FIGURA 3.5: Possível modelo de conjunto de habilidades no contexto do controle interno
Cultura de risco Tecnologia Dados Transformação ESG Agilidade
Conhecimento da entidade e da indústria
Habilidades interpessoais
18 Conceito desenvolvido por Maister et al. em seu livro de 2002, The Trusted Advisor, atualizado desde então (Maister et al. 2021).
37
3.7 Considerações de dados em tempo real n usar relatórios para monitorar o desempenho do
A capacidade de revisar grandes volumes de transações processo, identificar tendências e isolar discrepâncias
em tempo real pode ser uma necessidade para muitas para investigação
entidades, mas é um desafio conforme os volumes de n usar o fluxo de trabalho de forma inteligente, para
dados aumentam e o potencial perfil de risco se amplia. O documentar as atividades de controle
controle interno tem sido tradicionalmente uma atividade
reativa. Ele revisa as transações em cada linha do Modelo n usar desenvolvimentos e ferramentas de usuário final
das Três Linhas, conforme acontecem ou em um ponto personalizados, como RPA, para desenvolver controles
no tempo depois de terem ocorrido. Com o aumento de monitoramento.
da velocidade e da veracidade das transações, para
Diversos participantes da mesa redonda destacaram
muitos participantes da mesa redonda e entrevistados,
a falta de evidências robustas como uma barreira à
isso se tornou cada vez mais desafiador. Para alguns,
automação.
especialmente na terceira linha, oferecer observações
sobre transações que já ocorreram há muito tempo parecia A integração do monitoramento contínuo e dos controles
levantar questões sobre sua relevância para a entidade. automatizados à estrutura geral de controle interno é
O potencial de usar técnicas de inspeção de dados, como essencial para que as entidades gerenciem os volumes
código embutido, para identificar possíveis padrões em crescentes de dados de forma eficaz em um ambiente
transações em tempo real, traz a oportunidade não apenas operacional transformado. A Figura 3.6 fornece uma visão
de tornar o desempenho de um controle mais proativo, que vincula os componentes de controles automatizados
mas também de aumentar o valor agregado às entidades. (no nível de validação de dados), análises e insights em
tempo real (monitoramento do desempenho no nível
Para entidades em um ambiente operacional em rápido de negócios) e monitoramento contínuo (oferecendo
movimento, a mudança é uma constante. Os processos certificação). A combinação dessas três técnicas será
de negócios estão sendo constantemente refinados e essencial para um esquema de controle integrado nas
adaptados. Para muitas entidades, o ciclo tradicional de entidades do futuro.
mudanças operacionais e de processos periódicos foi
substituído por mudanças contínuas. O desafio para os
responsáveis pelo controle interno é que qualquer revisão FIGURA 3.6: Papel do monitoramento contínuo e
retrospectiva pode ser irrelevante, pois o processo pode análise em tempo real
ter mudado desde que os dados foram coletados.
Controles integrados
É importante encontrar um equilíbrio entre o
monitoramento contínuo dos dados e a identificação de
transações que possam precisar de investigação mais
aprofundada, com a avaliação dos riscos estratégicos e
trabalho posterior de auditoria. Separar esses dois canais
Análises e
da segunda e terceira linhas pode se tornar essencial. Monitoramento
insights em
Alguns dos participantes da mesa redonda comentaram contínuo
tempo real
que o monitoramento contínuo é uma atividade de
segunda linha. Só é eficaz, no entanto, se uma ação for
tomada assim que houver um alerta vermelho. A terceira
linha deve considerar o quanto os procedimentos de
monitoramento são eficazes.
Um entrevistado da Índia refletiu sobre o desafio de
amostras ou seleções pequenas, em relação aos grandes Controles
volumes de dados mantidos pelas entidades. ‘A cobertura automatizados
e as variações existentes dificultam que você conclua que
os controles internos são apropriados e que foram criados
devidamente. Como você chega a essa conclusão com
uma amostra tão pequena, que é o que é defendido em
muitas das observações de orientação? Acho que é aí que Fluxos de dados em tempo real
entra a importância da análise. Isso oferece uma cobertura
mais ampla e de forma muito mais científica [em vez de
seleção] e focada’. DESENVOLVER E IMPLANTAR UMA ESTRATÉGIA
DE MONITORAMENTO CONTÍNUO ALINHADA
A automação eficiente dos controles depende de diversos AO VOLUME DE DADOS ESPERADO.
fatores:
n um entendimento dos recursos do aplicativo, para
CERTIFICAR-SE DE QUE HAJA UM EQUILÍBRIO
validar transações como parte do fluxo de trabalho ADEQUADO ENTRE CONTROLES MANUAIS
n implantar nesse fluxo de trabalho os níveis apropriados E AUTOMATIZADOS, E BUSCAR EVITAR
de supervisão REDUNDÂNCIA E DUPLICAÇÃO DE CONTROLES.
38
3.8 Governança de dados – uma questão Para muitos participantes da mesa redonda, um
de controle interno? alinhamento mais próximo entre os responsáveis pela
entrega dos objetivos de controle interno e aqueles que
Para o controle interno ampliar seu escopo para abranger
asseguram a governança de dados na entidade seria
dados usados para objetivos de desempenho e reporte
essencial para o futuro.
financeiro e não financeiro, a integridade desses dados
se torna cada vez mais importante. No entanto, sob outra Enquanto os responsáveis pela governança de dados
perspectiva, esse também é o objetivo dos responsáveis respondem, perante a gestão, pela integridade dos fluxos
pela governança de dados. Um chefe executivo de de dados, os responsáveis pelo controle interno (e
auditoria dos EUA que participou da mesa redonda auditoria interna) prestam contas a grupos como o comitê
da América do Norte comentou: ‘a governança de de auditoria. Ambos têm interesses em comum quanto à
dados é uma questão real e, até que você tenha uma integridade e precisão dos dados e, conforme os
governança de dados adequada, todas os frameworks, requisitos de controle interno aumentam, tanto para
todos os controles ou princípios abordados por qualquer dados não financeiros quanto para financeiros, as áreas de
framework de controle interno... não serão relevantes’. interesse comum se sobrepõem cada vez mais.
Um participante da mesa redonda do Reino Unido
comentou que: ‘[é necessária] uma tecnologia de GARANTIR UM ALINHAMENTO ENTRE A
alicerce com dados consistentes ou estruturas de dados GOVERNANÇA DE DADOS E OS OBJETIVOS
consistentes, capaz de oferecer a mensuração dos DE CONTROLE INTERNO DA ENTIDADE, E
resultados [estratégicos]. Então, o que os conselhos e FORTALECER OS PROCEDIMENTOS QUE
comitês de auditoria querem saber é: onde estamos REGEM A INTEGRIDADE E PRECISÃO DOS
nessa jornada para entregar esses resultados? O que está DADOS FINANCEIROS E NÃO FINANCEIROS.
atrapalhando isso? Quais são os riscos e de que tipo de
ambiente de controle precisamos, se quisermos gerenciar
e mitigar isso da forma mais econômica, eficiente e 3.9 Uma questão de estratégia e cultura
eficaz?’. A consideração final para muitos dos participantes da
mesa redonda foi o alinhamento do controle interno
A Tabela 3.1 fornece uma comparação dos objetivos de com a estratégia da entidade e sua cultura. Isso pode ser
controle interno e governança de dados nas entidades. encontrado no framework Enterprise Risk Management
Ela demonstra áreas significantes de interesse comum. (ERM) do COSO, de 2017 (Figura 3.7).
TABELA 3.1: Princípios de controle interno x Princípios de governança de dados
PRINCÍPIOS DE CONTROLE INTERNO PRINCÍPIOS DE GOVERNANÇA DE DADOS
n Estabelecer responsabilidades n Assegurar a prestação de contas

n Manter registros n Aplicar regras e regulamentos padronizados
n Assegurar ativos, vinculando funcionários essenciais n Garantir a administração dos dados
n Segregar deveres n Estabelecer normas de qualidade de dados
n Rotação obrigatória de funcionários n Garantir a transparência
n Dividir a responsabilidade da parte relacionada
n Usar controles tecnológicos
n Realizar revisões independentes regulares
FIGURA 3.7: Framework de Gerenciamento de Riscos Corporativos do COSO
Fonte: COSO (2017)
39
Vários expressaram a opinião de que as atividades de considerada um risco potencial de enfraquecimento do

controle interno estavam sendo realizadas em prol da controle interno. Para que o controle interno seja eficaz,
conformidade, e não porque havia um risco específico é preciso entender que ele requer uma combinação de
sendo controlado. Argumentaram que um equilíbrio pessoas, processos, tecnologia e dados. Se somente
precisava ser alcançado. Um chefe executivo de auditoria um desses componentes não for eficaz, a eficácia do
do Reino Unido forneceu uma perspectiva ligeiramente framework de controle interno será reduzida.
diferente, comentando que: ‘[como] funções de controle,
esquecemos [o] elemento de apetite a risco do controle, Um participante australiano da mesa redonda comentou:
e é cuidado redobrado o tempo todo, e acho que a ‘Acho que na era digital, com a governança de dados e
pandemia nos ajudou a ter um pouco mais de perspectiva controles internos, a cultura será mais importante, pois os
sobre isso’. controles se tornarão realmente incorporados em sistemas
e tecnologias automatizadas’.
Havia uma sensação de que a lacuna entre o controle de
riscos reais e as atividades de conformidade aumentava Diversos participantes da mesa redonda e entrevistados
de acordo com o aumento dos fluxos de dados e a compararam as atitudes culturais em relação ao controle
implantação da tecnologia. Se os controles manuais forem interno com seu impacto nas entidades. Em parte, isso
repetidos por controles automatizados, essa duplicação pode ser visto nas variações das respostas à pesquisa,
reduzirá a eficácia do ambiente de controle em geral. O especialmente quando correlacionadas com a falta de
controle precisa ser econômico. supervisão do conselho (Figura 1.4), onde as opiniões
divergem entre a Europa Ocidental e a América do Norte,
Há um framework de controle interno para ‘fornecer e entre Oriente Médio, Sul da Ásia e Ásia-Pacífico. Isso
garantia razoável em relação ao alcance dos objetivos também pode ser atribuído a diferentes percepções
relacionados a operações, reporte e conformidade’ de regulamentação e variações nas estruturas de
(COSO 2013). Implícito nisso está o vínculo com o propriedade.
gerenciamento de riscos. Isso só pode ser alcançado
por uma forte cultura de gerenciamento de riscos e um
reforço do propósito do controle interno. Essa cultura REFORÇAR A IMPORTÂNCIA DO GERENCIAMENTO
deve ser estabelecida pela alta liderança da entidade. DE RISCOS E DO CONTROLE INTERNO DE
Alguns participantes da mesa redonda argumentaram FORMA CONTÍNUA EM TODA A ENTIDADE.
que esse vínculo estava enfraquecendo. A importância
do gerenciamento eficaz de riscos corporativos e seu
REFORÇAR A NECESSIDADE DE OTIMIZAR O
forte vínculo com os objetivos de controle interno foram DESENVOLVIMENTO E A IMPLANTAÇÃO DE
destacados por muitos. Um chefe executivo de auditoria UM FRAMEWORK DE CONTROLE INTERNO,
do Reino Unido comentou: ‘As pessoas geralmente têm ESPECIALMENTE POR SER CADA VEZ MAIS
uma visão de que os controles tornam as coisas mais HABILITADO PELA TECNOLOGIA.
difíceis, e para mim... um dos desafios que acho que
temos a enfrentar como profissionais em nossa disciplina
é realmente tentar mudar essa cultura e encorajar as QUESTIONAR A PREMISSA DE QUE O
‘COMPUTADOR ESTÁ CERTO’ EM TODAS
pessoas… [para entender] que os controles, na verdade,
AS CIRCUNSTÂNCIAS AO CONSIDERAR OS
os ajudam’.
CONTROLES INTERNOS.
Os participantes reportaram uma crescente suspeita sobre
o propósito do controle interno entre as gerações que
estão entrando agora no mercado de trabalho. Seu nível
de alfabetização tecnológica e sua familiaridade com
a tecnologia eram uma parte essencial de suas vidas, e
sua crença de que ‘o computador está sempre certo’ foi
40
3.10 Consequências para os frameworks COSO precisa ser completamente ampliado e refeito?
de controle interno Não. Acho que a maior deficiência que vejo quanto a
frameworks é [que] a aplicação prática a [possivelmente]
Nesta discussão sobre considerações futuras de controle
áreas mais complexas [está] mesmo ficando para trás’.
interno, é importante refletir sobre os frameworks usados
Um participante da mesa redonda australiana comentou
como base para estabelecer o ambiente de controle.
que: ‘os controles são implantados por meio de
A Figura 3.8 mostra que os entrevistados em geral procedimentos, promulgados em uma [entidade]. Hoje, a
(62%) concordaram ou concordaram fortemente que a maioria dos procedimentos reside em caixas eletrônicas e,
orientação regulatória atual refletia a natureza de seu com o custo de modificar os sistemas de computador, os
modelo operacional. procedimentos internos não vão mudar muito dentro dos
sistemas de computador, para que o negócio possa seguir
Uma análise das respostas daqueles que concordam
em frente. Procedimentos que poderiam estar corretos
ou concordam fortemente com essa afirmação mostra
quando foram escritos nunca mudam. Isso pode ser um
alguma variação por região (Figura 3.9).
problema significativo [para a entidade]’.
Muitos dos participantes da mesa redonda e entrevistados
Há uma valorização da necessidade de abraçar
concordaram com essa perspectiva. Os principais
a digitalização e a transformação, mas a falta de
frameworks a que se referiram foram o COSO Internal
compreensão de como fazer isso foi citada como barreira.
Control – Integrated Framework, o Control Objectives
Qualquer orientação será, inevitavelmente, genérica
for Information Technology (COBIT®) da ISACA e o
e, embora possa fornecer um elemento de suporte,
framework SOC 2 do AICPA.
não pode fornecer o contexto específico em que um
Conforme mostrado neste relatório, é no nível prático profissional de contabilidade e finanças, onde quer que
que os indivíduos são desafiados. Um participante opere em qualquer linha, precisará aplicá-la. Isso deve vir,
da mesa redonda dos EUA e Canadá perguntou: ‘[as em parte, de uma compreensão das próprias tecnologias
pessoas acham] que o framework de Controle Interno do e da gestão de dados.
FIGURA 3.8: Até que ponto você concorda ou discorda que a orientação regulatória sobre controle interno
reflete a natureza do modelo operacional atual? (n = 1.956)
50%
48%
40%
30%
20% 21%
14%
10%
7% 8%
2%
0%
Discordo fortemente Discordo Não concordo Concordo Concordo fortemente Não sei
nem discordo
FIGURA 3.9: Até que ponto você concorda ou discorda que a orientação regulatória sobre controle interno
reflete a natureza do modelo operacional atual? Análise regional de ‘Concordo’ e ‘Concordo Fortemente’. (n=1.950)
África 71%
Sul da Ásia 70%
Oriente Médio 70%
Ásia-Pacífico 66%
Europa Central e Oriental 60%
Caribe 57%
Ámerica do Norte 55%
Europa Ocidental 48%
0% 10% 20% 30% 40% 50% 60% 70% 80%
41
A IMPORTÂNCIA DO GERENCIAMENTO
EFICAZ DOS RISCOS CORPORATIVOS E
SEU FORTE VÍNCULO COM OS OBJETIVOS
DE CONTROLE INTERNO FORAM
ENFATIZADOS POR MUITOS.
42
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | CONCLUSÃO
Conclusão
O controle interno continua sendo um conceito mais variados em sua natureza e em suas fontes do que os
fundamental para as entidades e para os responsáveis dados financeiros. A tecnologia é necessária, bem como
pela governança. Os stakeholders estão cada vez uma forte gestão de dados e um vínculo estreito com os
mais buscando avaliação para uma ampla gama de objetivos de governança de dados.
divulgações das entidades, o que, por sua vez, requer
a extensão do framework de controle interno em mais Para apoiar todos esses aspectos da transformação
fluxos de processos, alguns dos quais não estavam e continuar tendo controles internos eficazes, é
anteriormente no escopo do Modelo das Três Linhas do IIA. necessária uma orientação mais relevante para apoiar os
profissionais, e iniciativas de educação continuada são
A disponibilidade das habilidades certas é fundamental necessárias para desenvolver as habilidades essenciais.
para a manutenção de controles internos eficazes. Estas Isso se aplica não apenas ao uso das próprias tecnologias
competências estão a expandir para além do puramente transformadoras, mas também ao nosso entendimento do
financeiro e deve-se reconhecer esta necessidade ambiente de controle de TI que as apoia.
ampliada e o consequente investimento exigido, tanto
por entidades como por indivíduos. O resultado final é que o valor do controle interno vai
muito além do reporte estatutário e da conformidade,
A tecnologia continua avançando. Esse avanço mostra englobando também divulgações financeiras externas
sinais de aceleração conforme os dados e aplicativos, complementares. Em um ambiente de negócios em
e os processos para apoiá-los, se tornam essenciais rápida mudança e expansão (incluindo fatores como
no ambiente de negócios ágeis. O controle interno avanços tecnológicos e ESG), o controle interno eficaz
precisa ser parte fundamental dessa transformação; ajuda a construir confiança, credibilidade e reputação.
não uma reflexão tardia compensada por controles Além disso, para apoiar a transformação dos negócios e
manuais. As entidades operam em tempo real; assim, os aumentar o valor da empresa, o próprio controle interno
controles devem operar por meio de abordagens como deve se transformar constantemente, para se adequar
monitoramento contínuo para acompanhar as atividades ao propósito em um ambiente digital e disruptivo, e isso
das entidades que os operam. requer treinamento e aprimoramento. Esta é uma grande
oportunidade para os profissionais de contabilidade,
Se as entidades pretendem integrar objetivos de reporte finanças e auditoria interna aumentarem sua relevância e
não-financeiro em seus controles internos, deve-se influência.
reconhecer que os dados para tal são menos robustos e
PARA APOIAR A TRANSFORMAÇÃO DOS NEGÓCIOS

E AUMENTAR O VALOR DA EMPRESA, O PRÓPRIO
CONTROLE INTERNO DEVE SE TRANSFORMAR
CONSTANTEMENTE, PARA SE ADEQUAR AO PROPÓSITO
EM UM AMBIENTE DIGITAL E DISRUPTIVO, E ISSO
REQUER TREINAMENTO E APRIMORAMENTO.
43
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | GLOSSÁRIO
Glossário
Additive manufacturing Manufatura aditiva, ou additive layer manufacturing (ALM) é a produção industrial para impressão 3D, um processo
(AM) controlado por computador que cria objetos tridimensionais depositando materiais, geralmente em camadas.
Ágil No desenvolvimento de software, práticas ágeis (ou Ágeis) incluem a descoberta de requisitos e melhoria de
soluções, por meio do esforço colaborativo entre equipes auto-organizadas e multifuncionais e seus clientes/
usuários finais, planejamento adaptativo, desenvolvimento evolucionário, entrega antecipada, melhoria contínua e
respostas flexíveis a mudanças de requisitos, capacidade e compreensão dos problemas a serem resolvidos.
Ambiente de controle A atitude geral, conscientização e ações dos diretores e gerentes (ou seja, ‘responsáveis pela governança’) em
interno relação ao sistema de controle interno e sua importância para a entidade. Expressa-se no estilo de gestão, na
cultura corporativa, nos valores, na filosofia e no estilo operacional, na estrutura da entidade e nas políticas e
procedimentos de recursos humanos.
Analytics process APA, automação de processos analíticos, é uma tecnologia que permite que qualquer pessoa em uma entidade
automation (APA) facilmente compartilhe dados, automatize processos tediosos e complexos, e transforme dados em resultados.
Application API é uma conexão entre computadores ou entre programas de computador. É um tipo de interface de software,
programming oferecendo um serviço para outros softwares.
interface (API)
Automação robótica de RPA é uma forma de automação de processos de negócios que permite a qualquer pessoa definir um conjunto
processos (RPA) de instruções para um robô ou ‘bot’ executar. Os bots de RPA são capazes de imitar a maioria das interações
humano-computador, para realizar rapidamente tarefas de alto volume sem erros.
Autonomous system Um sistema autônomo, em redes, é uma coleção de um ou mais prefixos de Protocolo de Internet (IP) associados
(AS) a uma política de roteamento claramente definida, que controla como o AS troca informações de roteamento
com outros sistemas autônomos.
COBIT Framework criado pela ISACA para gestão de TI e governança de TI. <https://www.isaca.org/resources/cobit>.
Controle interno Processo para assegurar os objetivos de uma entidade em eficácia e eficiência operacional, reporte financeiro
confiável e conformidade com leis, regulamentos e políticas. Um conceito amplo, o controle interno envolve tudo
o que controla o risco para uma entidade.
Controles gerais de TI ITGCs são controles que se aplicam a todos os sistemas, componentes, processos e dados para uma determinada
(ITGCs) entidade ou ambiente de tecnologia da informação (TI). Os objetivos dos ITGCs são garantir o desenvolvimento
e implantação adequados de aplicativos, bem como a integridade de programas, arquivos de dados e operações
de computador.
COSO Internal control Ajuda as entidades a criar e implantar controles internos considerando as muitas mudanças nos ambientes de
– integrated framework negócios e operacionais. <https://www.coso.org/Pages/default.aspx>.
Framework de controle Guia estruturado que sistematicamente organiza e classifica os controles esperados ou tópicos de controle.
interno
Identificação por A RFID (radio frequency identification) usa campos eletromagnéticos para identificar e rastrear automaticamente
radiofrequência (RFID) etiquetas anexadas a objetos.
Intelligent automation Automação inteligente, ou automação de inteligente de processos (intelligent process automation – IPA), é um
(IA) termo de software que se refere a uma combinação de IA e automação robótica de processos (RPA – q.v.).
Lo-Code / No-code Plataformas de desenvolvimento Lo-code/No-code são tipos de ambientes visuais de desenvolvimento de
software, que permitem que desenvolvedores corporativos e desenvolvedores cidadãos arrastem e soltem
componentes de aplicativos, conectem-nos e criem aplicativos móveis ou aplicativos web.
Microsserviços Uma parte independente da funcionalidade de negócios com interfaces claras, que pode, por meio de seus próprios
componentes internos, implantar uma arquitetura em camadas. Microsserviços podem ser implantados para atender a
uma necessidade de negócios de curto prazo, geralmente envolvendo desenvolvimentos rápidos usando componentes.
Modelagem de Modelagem de processos é a representação gráfica de processos de negócios ou fluxos de trabalho. Como em
processos um fluxograma, as etapas individuais do processo são criadas para que haja uma visão geral completa das tarefas
do processo, dentro do contexto do ambiente de negócios.
Modelo Cascata O modelo cascata é uma divisão das atividades do projeto em fases sequenciais lineares, onde cada fase
depende das entregas da anterior e corresponde a uma especialização de tarefas. O Ciclo de Vida de
Desenvolvimento de Sistemas é um exemplo disso.
Modelo das Três Linhas Ajuda as entidades a identificar estruturas e processos que auxiliem da forma mais eficaz no atingimento dos
objetivos e facilitem uma forte governança e gerenciamento de riscos. <https://www.theiia.org/globalassets/site/
about-us/advocacy/three-lines-model-updated.pdf>.
SOC 2® – SOC for Esses relatórios destinam-se a atender às necessidades de uma ampla gama de usuários que precisam de
Service Organizations: informações detalhadas e avaliação dos controles de um prestador de serviços, relevantes para segurança,
Trust Services Criteria disponibilidade e integridade de processamento dos sistemas que o prestador de serviços usa para processar os
dados dos usuários e a confidencialidade e privacidade da informação processada por estes sistemas. <https://
us.aicpa.org/interestareas/frc/assuranceadvisoryservices/aicpasoc2report>.
44
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | ANEXO – DADOS DEMOGRÁFICOS DA PESQUISA
Anexo – Dados
Demográficos da Pesquisa
O questionário que fez parte das atividades de pesquisa deste relatório recebeu 1.956 respostas de membros da ACCA,
IMA e IIA do mundo todo. Uma análise dessas respostas é apresentada nos gráficos a seguir.
Premissas gerais
n Para fins de consistência, a maior parte da análise usou dados globalmente agregados, que incluíram informações
de toda a população da pesquisa.
n O questionário foi preenchido online em março de 2022.
Análise das respostas
Figura A1: Respostas por região (n = 1,956) Figura A4: Respostas por participante (n = 1,956)
Europa Ocidental, 24% Principalmente em negócios
África, 21% (como em equipe de finanças,
contabilidade ou auditoria
Ásia-Pacífico, 19%
interna, ou prestação de serviços
América do Norte, 12% financeiros na organização), 80%
Sul da Ásia, 10% Principalmente em prática
Oriente Médio, 6% pública ou outra (como firma de
Caribe, 4% contabilidade e auditoria,
Europa Central e Oriental, 3% certificação, consultoria e/ou
fiscal), 20%
América Central e do Sul, 1%
Figura A2: Respostas por setor (n = 1,816) Figura A5: Respostas por cargo (n = 1,854)
Setor corporativo – Auditor Interno /

pequeno/médio porte, 20% Conformidade Financeira, 13%
Setor corporativo – grande, 20% Contador Financeiro, 11%
Setor público, 13% Gerente de Finanças/Operações, 8%
Serviços financeiros – Chief Financial Officer (CFO), 7%
pequeno/médio porte, 9% Gerente de Auditoria, 7%
Serviços financeiros – grande, 8%
Controlador Financeiro /
Sem fins lucrativos, 7% Chefe de Compliance, 6%
Escritórios de pequeno
Chefe / Diretor de Finanças, 6%
ou médio porte, 7%
Outros, 6% Gerente Sênior de Auditoria, 4%
Empresa de contabilidade Big Four, 4% Consultor, 4%
Não está trabalhando/pausa na carreira/ Contador Gerencial, 4%
aposentado, 3% Auditor Externo, 3%
Empresa média de contabilidade, 2% Outros, 27%
Outra empresa de contabilidade internacional, 1%
Figura A3: Respostas por porte da entidade (n = 1,850)

0 – 9 funcionários, 8%
mais de 1.000, 37%
45
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | AGRADECIMENTOS
Agradecimentos
As contribuições das seguintes pessoas no desenvolvimento desta pesquisa são destacadas com agradecimentos.
Khyam Abdulah, Pan-American Life Assurance Group, David Minas, Discount Car and Truck Rentals. Canadá
Trindade e Tobago Thapelo Modisagae, FNB Enablement Segment, África do Sul
Hashim Ahmed, Jaguar Mining Inc, Canadá Julius Mojapelo, The Institute of Internal Auditors África do
Alper Alptekin, SOCAR Türkiye, Turquia Sul, África do Sul
Sandy Ardern, TD Asset Management, Canadá Brad Montierio, The Institute of Internal Auditors, EUA
Victoria Armitage, GT, República da Irlanda Kelvin Musana, Standard Chartered, Uganda
Eban Bari, Triple Flag Precious Metals, Canadá Av. Murali, Standard Chartered Bank, Índia
Val Baynes, Commonwealth Bank, Austrália Ian Ng, AMMEGA, China continental
Robert Belle, Smip Consultancy, Quênia Ebuka (Raphael) Nkemdilim, Wilfrid Laurier University, Canadá
Michael Bencsik, Cacel Pty Limited, Nova Zelândia Joyce Nkini-Iwisi, Control Risks, Nigéria
Stan Bigford, Trenton Cold Storage Inc, Canadá Rolanke Oladapo, Control Risks, África do Sul
Ruxandra Bilius, Baker Tilly Klitou & Partners SRL e Joseph Owolabi, Rubicola, Austrália
IIA România, România Shreyash Pai, Livspace, Índia
Harry Briggs, KPMG LLP, Reino Unido Siobhan Pandya, Mary Kay Inc, EUA
Dermot Byrne, An Roinn Caiteachais Phoiblí agus Michael Parkinson, Michael Parkinson Consultancy, Austrália
Athchóirithe, República da Irlanda Ann Patterson, St. Felix Centre, Canadá
Ömer Çetin, KPMG, Turquia Atif Perez, Athabasca University, Canadá
Lisa Coulman, Nobul Corporation, Canadá Juzar Pirbhai, Canadian Public Accountability Board, Canadá
Niko Džepina, Asseco Central Europe, Eslováquia Mihaela Pop, WPP, Austrália
Carly Eaton, Provident Financial Group, Reino Unido Melanie Proffitt, Farncombe Estate, Reino Unido
Andrew Elsby-Smith, Amtico, Reino Unido Jürgen Pühler, BASF SE, Alemanha
Alex Falcon Heurta, Soaring Falcon, Reino Unido Parthasarathy Ramaswamy, RGN Price & Co, Índia
Rashika Fernando, MDC Computers, Canadá Beate Randulf, National Bank of Greece, Grécia
Krystal George, TTPOST, Trindade e Tobago Rahul Ranjan, Índia
Anirban Ghosh, Wipro Ltd, Índia Simon Rose, Crest Nicholson, Reino Unido
Lee Glover, Haines Watson Controls & Assurance, Reino Unido Brendan Sheehan, White Squires, Austrália
James Heather, Blackrock, Reino Unido Heather Smith, ANISE Consulting, Austrália
Hussein Hussein, Deloitte, Austrália Mustafa Sönmez, ÜNLÜ & Co, Turquia
Paul D. Hyman, Kingston Freeport Terminal, Jamaica Neville de Spretter, AdLibero2 Ltd, Reino Unido
Mir Fahad Iqbal, Northern Trust Corporation, EUA Saravanan Srinivasan, Super Stahl Private Limited, Índia
Ashish Jhaver, Barclays, Índia Dirk Strydom, The Institute of Internal Auditors África do Sul,
Jodi Joseph, Adapt IT, África do Sul África do Sul
Javier Jurado, U S Bank, EUA Sachin Tayal, Protiviti, Índia
Paul Kaczmar, Michael Page, Reino Unido Leslie Thompson, TRG, EUA
Stephen Kenny, Bank of Ireland, República da Irlanda Senol Toygar, TEB, Turquia
Paula Kensington, PK Advisory, Austrália Brian Tremblay, Onapsis Inc, EUA
Rahul Kumar, EY, Índia Engin Turan, Alternafi Bank, Turquia
Jaishree Lam, Guyana Power and Light, Guiana Robert van der Klauw, Munich Re, Emirados Árabes Unidos
Leong, Singapura
A ACCA, o IMA e a IAF também gostariam de agradecer a
Thea J Lowe, TJL Consulting Services, Barbados
todos aqueles que gentilmente responderam à pesquisa.
Olga Lukashenko, Reanda Netherlands, Países Baixos
Reshma Mahase, Davidson & Co LLP, Canadá Autores
Natalie Makoni, Servest, África do Sul Clive Webb, Chefe de Gestão Comercial, ACCA
Luka Matkovic, República Tcheca Laura LeBlanc, Diretora – Pesquisa & Insights, Institute of
Internal Auditors
Nauman Mian, bayt.net, Emirados Árabes Unidos
Maja Milosavljevic, OMV, Áustria Loreal Jiles, Vice-Presidente, Pesquisa e Liderança Criativa,
Institute of Management Accountants
46
CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES | REFERÊNCIAS
Referências
ACCA (2020), The Digital Accountant: Digital Skills in a EFRAG (2022), [Draft] European Sustainability Reporting Standard
Transformed World, <https://www.accaglobal.com/gb/en/ G1: Governance, risk management and internal control, <https://
professional-insights/technology/The_Digital_Accountant.html>, www.efrag.org/Assets/Download?assetUrl=%2Fsites%2Fweb
acessado em 1º de abril de 2022. publishing%2FSiteAssets%2FFinal%2520Draft%2520ESRS%
2520G1_22-03-14.pdf&AspxAutoDetectCookieSupport=1>,
ACCA (2021), Professional accountants at the heart of acessado em 3 de maio de 2022.
sustainable organisations, <https://www.accaglobal.com/
gb/en/professional-insights/pro-accountants-the-future/pro- FRC (Financial Reporting Council) (2005), Internal Control: Revised
accountants-heart-sustainable-orgs.html>, acessado em 3 de Guidance for Directors on the Combined Code. Download
abril de 2022. disponível em <https://www.icaew.com/technical/corporate-
governance/codes-and-reports/turnbull-report>, acessado em
ACCA / CA ANZ (Chartered Accountants Austrália e Nova 20 de abril de 2022.
Zelândia) / Generation CFO (2021), Transformational Journeys:
Finance and the Agile Organisation, <https://www.accaglobal. Grob, M. e Cheng, V. (2021), Enterprise Risk Management for
com/gb/en/professional-insights/technology/transformational- Cloud Computing, <https://www.coso.org/Documents/COSO-
journeys.html>, acessado em 1º de abril de 2022. ERM-for-Cloud-Computing.pdf>, acessado em 19 de abril de 2022.
ACCA / CA ANZ / KPMG (2018), Embracing robotic automation Heier, J. R. Dugan, M. T. e Sayers, D. (2005), ‘A Century of Debate
during the evolution of finance, <https://www.accaglobal.com/ for Internal Controls and their Assessment: a Study of Reactive
gb/en/professional-insights/technology/embracing-robotic- Evolution’, Accounting History, 10 (3) <https://citeseerx.ist.psu.
automation-during-the-evolution-of-finance.html>, acessado em edu/viewdoc/download?doi=10.1.1.1023.3544&rep=
3 de abril de 2022. rep1&type=pdf>, acessado em 1º de abril de 2022.
ACCA / CA ANZ / Macquarie University (2019), Cyber and the ICAEW (Institute of Chartered Accountants of England and Wales)
CFO, <https://www.accaglobal.com/gb/en/professional-insights/ (1999), Internal Control: Guidance for Directors on the Combined
technology/cyber-and-the-cfo.html>, acessado em 3 de maio de 2022. Code, <https://ecgi.global/download/file/fid/9442>, acessado
em 1º de abril de 2022.
ACCA / IMA / CIPS (Chartered Institute of Procurement and
Supply) (2022), Supply Chains – A Finance Professional’s IIA (2020), The IIA’s Three Lines Model – An update of the Three
Perspective, <https://www.accaglobal.com/gb/en/professional- Lines of Defense, <https://www.theiia.org/globalassets/site/
insights/global-profession/supply-chains-post-pandemic-world. about-us/advocacy/three-lines-model-updated.pdf>, acessado
html>, acessado em 3 de abril de 2022. em 1º de abril de 2020.
ACCA / PwC (2021), Finance Functions: Seizing the Opportunity, IIA / Auditboard (2020), Internal Audit’s Digital Transformation
<https://www.accaglobal.com/gb/en/professional-insights/ Imperative: Advances Amid Crisis, Analyzing the Impact of 2020
pro-accountants-the-future/finance-functions-seize-opportunity. on Internal Audit Functions’ Implementation of Technology,
html>, acessado em 1º de abril de 2022. <https://web.theiia.org/cn/atxbg/Dig_Transform_Imperative>,
acessado em 8 de abril de 2022.
Alspach, K, (2022), Ransomware attacks surged 2X in 2021,
SonicWall reports, <https://venturebeat.com/2022/02/17/ ISSB (2022a), [Draft] IFRS S1 General Requirements for Disclosure
ransomware-attacks-surged-2x-in-2021-sonicwall-reports/>, of Sustainability-related Financial Information, <https://www.
acessado em 3 de maio de 2022. ifrs.org/content/dam/ifrs/project/general-sustainability-related-
disclosures/exposure-draft-ifrs-s1-general-requirements-for-
Ashby, S., Bryce. C., e Ring, P. (2019), Risk and performance: Embedding disclosure-of-sustainability-related-financial-information.pdf>,
risk management, <https://www.accaglobal.com/content/dam/ acessado em 3 de abril de 2022.
ACCA_Global/professional-insights/embedding-risk/pi-embedding-
risk-management.pdf>, acessado em 3 de maio de 2022. ISSB (2022b), [Draft] IFRS S2 Climate-related Disclosures,
<https://www.ifrs.org/content/dam/ifrs/project/climate-
Burns, J., Steele, A., Cohen, E. E. e Ramamoorti, S. (2021), Blockchain related-disclosures/issb-exposure-draft-2022-2-climate-related-
and Internal Control – the COSO Perspective, <https://www.coso. disclosures.pdf>, acessado em 3 de abril de 2022.
org/Documents/Blockchain-and-Internal-Control-The-COSO-
Perspective-Guidance.pdf>, acessado em 19 de abril de 2022. Jiles, L. (2020), Transforming the Finance Function with RPA,
<https://www.imanet.org/-/media/8530486050e34be392772
Calagna, K., Cassidy, B., e Park, A. (2021), Realize the Full Potential caa088f1162.ashx?la=en>, acessado em 3 de abril de 2022.
of Artificial Intelligence – Applying the COSO Framework and
Principles to Help Implement and Scale Artificial Intelligence, Jiles, L. (2021), An Agile Approach to Finance Transformation,
<https://www.coso.org/Documents/Realize-the-Full-Potential-of- <https://www.imanet.org/-/media/imanet-org/files/insights-
Artificial-Intelligence.pdf>, acessado em 19 de abril de 2022. and-trends/thought-leadership/the-future-role-of-management-
accounting/agileandscrum_sma_report_final.ashx>, acessado
COSO (2013), Internal Control – Integrated Framework: Executive em 1º de abril de 2022.
Summary, <https://www.coso.org/Documents/990025P-Executive-
Summary-final-may20.pdf>, acessado em 1º de abril de 2022. Kelly, M. (2022), ‘Why IT General Controls are Important for
Compliance and Cybersecurity’ [artigo do site], <https://
COSO (2017), Enterprise Risk Management—Integrating with hyperproof.io/resource/it-general-controls-compliance/>,
Strategy and Performance, <https://www.coso.org/Pages/ERM- acessado em 19 de abril de 2022.
Framework-Purchase.aspx>, acessado em 19 de abril de 2022.
Krumwiede, K. (2016), Process Automation in
COSO (2022), COSO-Board-Approves-Study-on-Sustainability-ESG, Accounting and Finance, <https://www.imanet.org/-/
<https://www.coso.org/news/Pages/COSO-Board-Approves-Study- media/58e1aff5f8d74e4c92ac8f097db88321.ashx>, acessado
on-Sustainability-ESG.aspx>, acessado em 19 de abril de 2022. em 1º de abril de 2022.
47
Krumwiede, K. (2017), How to Keep your Job, <https://www.imanet. SEC (Securities and Exchange Commission) (2022), The
org/insights-and-trends/the-future-of-management-accounting/ Enhancement and Standardization of Climate-Related
how-to-keep-your-job?ssopc=1>, acessado em 3 de abril de 2022. Disclosures for Investors, <https://www.sec.gov/rules/
proposed/2022/33-11042.pdf>, acessado em 3 de abril de 2022.
Lauren, D. (2017), The History of Internal Control Systems,
<https://bizfluent.com/facts-7203983-history-internal-control- Sheen, A., (2020), The Evolution of the Three Lines of Defence,
systems.html>, acessado em 1º de abril de 2022. <https://www.acin.com/the-evolution-of-the-three-lines-of-
defence/>, acessado em 3 de maio de 2022.
Maister, D. H., Galford, R., e Green, C. (2021), The Trusted Advisor
– 20th Anniversary Edition, Free Press. Statista (2021), Volume of Data/Information Created, Captured,
Copied, and Consumed Worldwide from 2010 to 2025,
McPherson, A., e Sydney, C., Comprehensive risk data: Downloadable from <https://www.statista.com/statistics/871513/
The new gold, <https://www.pwc.com/gx/en/issues/ worldwide-data-created/>, acessado em 1º de abril de 2022.
risk-regulation/comprehensive-risk-data-the-new-gold.
html?utm_campaign=5a1d7a5d94a3261aa2024207&utm_ Walker, P. L. (2022), Enabling Organizational Agility in an Age
content=6262f8a941a0aa0001902d8e&utm_medium=smarp of Speed and Disruption, <https://www.coso.org/Documents/
share&utm_source=linkedin>, acessado em 3 de maio de 2022. Enabling-Organizational-Agility-in-an-Age-of-Speed-and-
Disruption.pdf>, acessado em 18 de abril de 2022.
Schwab, K. (2015), The Fourth Industrial Revolution: What It
Means and How to Respond, Foreign Affairs, <https://www. Wright, C. (2021), Future Ready: Upskilling Today for the
foreignaffairs.com/articles/2015-12-12/fourth-industrial- Profession of Tomorrow, <https://www.theiia.org/en/content/
revolution>, acessado em 3 de abril de 2022. research/foundation/2021/future-ready-upskilling-today-for-
the-profession-of-tomorrow/>, acessado em 3 de abril de 2022
(disponível apenas para membros do IIA).
48
49
PI-TRANSFORM-INTERNAL-CONTROL
ACCA The Adelphi 1/11 John Adam Street, Londres WC2N 6AU Reino Unido / +44 (0)20 7059 5000 / www.accaglobal.com

Controle Interno e A Transformação Das Entidades

Enviado por

Direitos autorais:

Formatos disponíveis

Controle Interno e A Transformação Das Entidades

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Controle Interno e A Transformação Das Entidades

Enviado por

Direitos autorais:

Formatos disponíveis

CONTROLE INTERNO E A TRANSFORMAÇÃO DAS ENTIDADES

Saiba mais sobre nós em www.accaglobal.com

Sobre a Internal Audit Foundation

Para mais informações, visite www.theiia.org/Foundation

Para mais informações, visite www.theiia.org

Sobre o IMA® Institute of Management

Para mais informações sobre o IMA, visite www.imanet.org

A pesquisa é baseada em uma série de mesas redondas e entrevistas

O controle interno eficaz é um dos capacitadores essenciais para que as entidades

Helen Brand OBE Anthony J. Pugliese, Jeffrey Thomson,

Sumário das principais ações 9

1. Propósito do controle interno 13

2. Desafios e oportunidades atuais 19

3. Evoluindo nossa mentalidade 29

Anexo – Dados demográficos da pesquisa 45

A combinação de habilidades necessárias para abordar

Propósito do controle interno

Impacto da transformação na eficácia (Sa orte

O que vemos como o impacto da transformação na eficácia do

Pré-transformação Altamente ineficaz, 6% 2% 2%

Não sei, 40%

Impacto da transformação no risco

O que vemos como o impacto da transformação nos riscos

Controle interno e ESG

FIGURA ES1: Drivers de mudança no controle interno

Pessoas Processo Tecnologia Dados

As principais ações são as seguintes.

PRINCIPAL AÇÃO DRIVER(S) SEÇÃO

Considerar as transições de tecnologia e dados que as entidades integraram ao modelo

Certificar-se de entender a tecnologia e os drivers de dados no modelo operacional da

Mapear o uso de tecnologias emergentes para controles internos e identificar oportunidades

Reconhecer as considerações de controle interno decorrentes do perfil alterado de risco em

Incorporar controles internos automatizados e baseados em parâmetros em aplicativos

Reavaliar a abordagem de controles automatizados dentro da entidade. 3.5

PRINCIPAL AÇÃO DRIVER(S) SEÇÃO

Entender o escopo da computação do usuário final (incluindo o que estiver fora da

Avaliar o ambiente de controle geral de TI no contexto do modelo operacional atual,

Reconhecer o papel que o aprendizado de máquina (machine learning - ML) e a inteligência

Identificar as habilidades e recursos necessários para sustentar a eficácia do controle

Considerar seu próprio nível de tecnologia e habilidades relacionadas a dados no contexto

Reconhecer que as habilidades precisam ser atualizadas continuamente, tanto as

Desenvolver e implantar uma estratégia de monitoramento contínuo alinhada ao volume de

Certificar-se de que haja um equilíbrio adequado entre controles manuais e automatizados, e

Garantir um alinhamento entre a governança de dados e os objetivos de controle interno

Reforçar a importância do gerenciamento de riscos e do controle interno de forma contínua

Reforçar a necessidade de otimizar o desenvolvimento e a implantação de um framework de

Questionar a premissa de que o ‘computador está certo’ em todas as circunstâncias ao

A TRANSFORMAÇÃO TEM QUATRO

1.1 Origens do controle interno framework, atualizado em 2013. Um resumo do framework

FIGURA 1.2: Princípios do Framework Internal Control – Integrated Framework do COSO

1. Demonstra compromisso com a integridade e valores éticos

6. Especifica objetivos adequados

10. Seleciona e desenvolve atividades de controle

13. Usa informações relevantes

16. Conduz avaliações contínuas e/ou separadas

Fonte: COSO (2013)

Melhora da qualidade dos dados, 54% 80 Prevenção de fraude, 84%

Proteção das informações, 65% 20 Minimização dos riscos, 88%

Adesão a requisitos legais, 69% Proteção dos ativos, 77%