Quando tratamos de segurança física, temos como principal ponto de controle para a prevenção e detecção de falhas e evidencia de performance do negócio, afina os valores de uma entidade devem ser protegidos contra uso, compra ou venda não-autorizados, e um dos melhores controles para proteger estes ativos é a segurança física, que compreende controle de acessos, controle da entrada e saída de funcionários e materiais, senhas para arquivos eletrônicos, “call-back” para acessos remotos, criptografia e outros.
E como sempre falamos em controles internos a segregação de funções também tem como função a prevenção, pois a tão falada segregação é essencial para a efetividade dos controles internos. Ela reduz tanto o risco de erros humanos quanto o risco de ações indesejadas.
Para isso temos como exemplo a contabilidade e conciliação, informação e autorização, custódia e inventário, contratação e pagamento, administração de recursos próprios e de terceiros, normatização (gerenciamento de riscos) e fiscalização (auditoria) devem estar segregadas entre os funcionários, quando possível.
Os sistemas informatizados têm como foco a prevenção e detecção e os controles são realizados através de sistemas informatizados que se dividem em dois tipos:
Controles gerais: pressupõe os controles nos centros de processamentos de dados e controles na aquisição, desenvolvimento e manutenção de programas e sistemas. Citamos como exemplos: organização e manutenção dos arquivos de backup, arquivo de log do sistema, plano de contingência.
Controles de aplicativos: são os controles existentes nos aplicativos corporativos, que têm a finalidade de garantir a integridade e veracidade dos dados e transações. Citamos como exemplos: validação de informações (checagem das informações com registros armazenados em banco de dados).
A normatização interna é preventiva e de maneira formal, das regras internas são necessárias ao funcionamento da entidade. As normas devem ser de fácil acesso para os funcionários da organização, e devem definir responsabilidades, políticas corporativas, fluxos operacionais, funções e procedimentos.
E estas mudanças baseiam-se em sua essência, no modelo do COSO, modelo este que vem sendo cada vez mais usado pelas empresas no mundo, e pelos bancos em particular. Para poderem atuar com este modelo é necessário que todos os profissionais especializados tenham conhecimento básico dos princípios proposto pelo COSO e implementem uma cultura de controle interno, para que seus processos sejam efetivos.
Acompanhando noticias sobre o incêndio na Interfile que começou por volta das 16h de ontem e atingiu uma das quatro unidades da empresa. A unidade afetada tem setores de armazenamento de documentos e gestão de processos, com grandes volumes de papel.
E agora me pergunto, se você tem um terceiro que realiza o mesmo serviço, e por acaso já realizou uma visita preventiva? Pois terceirizar também é um processo que necessita de controle interno no que tange a gestão de riscos, e devemos sempre que possível validar os processos de nossos terceiros, pois transferimos a atividade e risco continua sendo nosso.
* Marcos Assi é consultor de Riscos Financeiros e Compliance da Daryus Consultoria, professor e coordenador do MBA Gestão de Riscos e Compliance da Trevisan Escola de Negócios e autor do livro “Controles Internos e Cultura Organizacional – como consolidar a confiança na gestão dos negócios”.
