Identificar tudo como um “controle-chave” pode fazer com que a auditoria interna perca credibilidade.

Alguns auditores utilizam a frase “controle-chave” sem pensar, como se as duas palavras devessem andar juntas, muitas vezes implicando que cada “controle” que encontrem é fundamental ou que muito poucos não o são. Consequentemente, os testes de eficácia de controles incluem quase todas as tarefas, artefatos e assinaturas de um processo. Cada ponto de dados é examinado e cada desvio não é apenas um erro, mas cumulativamente uma constatação.

Vejamos dois processos, para identificar o controle-chave em cada um:

1.    Dinheiro precisa ser transferido para uma parte externa. Alguém precisa iniciar o processo preenchendo um formulário. Provavelmente, há muitos campos e, possivelmente, alguns artefatos anexados. Dependendo da quantidade de dinheiro transferida, pode haver mais de uma assinatura. Por fim, as instruções são recebidas pelo responsável pela transferência. O funcionário ou supervisor analisa as instruções, confirma a autenticidade das assinaturas dos aprovadores e seus níveis de autoridade. Quando estiverem convencidos de que as instruções são legítimas, o dinheiro é enviado.

2.    Um software do computador foi modificado e a nova versão precisa ser instalada. Alguém inicia o processo preenchendo um ticket de alteração. Provavelmente, há muitos campos descrevendo a mudança e, possivelmente, alguns artefatos anexados. Dependendo do nível de risco atribuído à mudança, pode haver mais de uma assinatura. Por fim, o ticket de alteração é recebido pelo operador de TI, que analisa as instruções, confirma a autenticação das assinaturas dos aprovadores e seus níveis de autoridade. Quando o operador de TI estiver convencido de que o ticket de alteração é legítimo, a nova versão será instalada e a antiga será excluída.

Os dois cenários são um tanto semelhantes e excessivamente simplificados, mas não irrealistas. Cada processo tem muitas tarefas, mas apenas uma tarefa deve ser rotulada como controle-chave. Se uma tarefa de controle não for executada no início do processo, uma tarefa de controle posterior poderá impedir a ocorrência de um erro. Em nossos cenários, a última tarefa de controle ocorre logo antes do envio do dinheiro ou da instalação do software modificado. Portanto, se você tiver tempo para testar apenas uma tarefa de controle, ela será a última, pois essa tarefa de controle precede imediatamente o ponto sem retorno. Isso não quer dizer que outros controles não sejam importantes ou possam ser eliminados. Porém, isso pode orientar a apresentação do problema e seu nível de risco.

É provável que você reporte a falha de um controle não-chave, se o processo for importante para a organização. A forma como você o apresenta será crítica para o valor do seu departamento percebido pela organização. Se declarar que o risco de não realizar o controle é uma perda financeira grave ou uma falha computacional, protestarão que as tarefas de controle posteriores no processo evitariam o resultado negativo. Se seus testes não identificaram o não desempenho das tarefas de controle posteriores, poderá parecer que você exagerou a probabilidade de um evento negativo.
Então, por que tantos auditores escrevem dessa forma? Um ou mais destes motivos podem ser aplicados a um cenário:

•    O auditor não avaliou o efeito cumulativo das tarefas de controle incorporadas no processo.
•    O auditor não tem experiência profunda para estimar a probabilidade de um evento negativo.
•    O auditor opta por se proteger de críticas caso algo dê errado um dia. “Não me culpe. Eu lhe disse que o controle era importante.”

O problema de alertar sobre tudo é que o auditor não será levado a sério quando realmente houver uma questão sobre a qual valha a pena alertar.

Copyright © 2024 de The Institute of Internal Auditors, Inc. (“The IIA”).  
Todos os direitos reservados.  
   
Foi obtida permissão do detentor dos direitos autorais, The IIA, 1035 Greenwood Blvd., Suíte 401, Lake Mary, FL 32746, EUA, para publicar esta reprodução, que é igual ao original em todos os aspectos materiais, a menos que aprovada como alterada. 
   
Este documento foi traduzido por INSTITUTO DOS AUDITORES INTERNOS DO BRASIL em MAIO DE 2024.