Testes de controle interno: construindo uma base sólida

Com tanta atenção voltada para riscos emergentes, inteligência artificial e segurança cibernética, é fácil se afastar dos fundamentos de bons controles internos. Neste artigo, voltaremos ao básico dos testes de controle interno, concentrando-nos em metodologias de teste de controle, armadilhas a evitar e melhores práticas a adotar. Ao longo do caminho, incluiremos exemplos reais para ilustrar como você pode incorporar melhorias aos seus processos de teste de controle interno.

• O que são testes de controle interno?
• Por que o teste de controle interno é importante?
• Metodologia de teste de controle: processo passo a passo
  • 1. Compreender o ambiente de controle
  • 2. Avaliação de riscos e definição do escopo
  • 3. Definir a população e a amostragem
  • 4. Selecione os procedimentos de teste
  • 5. Executar o teste dos controles
  • 6. Avalie os resultados e identifique as deficiências
  • 7. Relatar conclusões e ações recomendadas
• Exemplos de testes de controle
• Dicas de documentação para gerentes de controle
• Desafios comuns nos testes de controle interno
• Aprimorando seu programa de testes de controle
• Conclusão

Metodologia de teste de controle: processo passo a passo

Independentemente da sua função na organização, qualquer pessoa envolvida em testes de controle interno deve usar uma metodologia de teste de controle bem pensada. Uma metodologia formalizada de teste de controle fornece uma abordagem estruturada para planejar, executar e relatar os resultados dos testes de controle. Abaixo estão as etapas comuns envolvidas:

1. Compreender o ambiente de controle

Comece documentando e compreendendo o ambiente de controle. Muitos testadores de controle interno começam com uma simples revisão do processo para compreender os objetivos de negócios, os sistemas envolvidos, as contas materiais, as classes significativas de transações (SCOTs) e os riscos associados. A partir daí, o revisor provavelmente documentará os objetivos de controle e, se possível, o projeto de cada controle, juntamente com as funções e responsabilidades dos proprietários do controle.

2. Avaliação de riscos e definição do escopo

Após construir uma matriz básica de riscos e controles, a próxima etapa é priorizar os testes com base em uma avaliação de riscos. Os testes se concentrarão em áreas com alto risco inerente ou residual. Dessa forma, a equipe de controle interno usa uma abordagem baseada em riscos para priorizar quais controles testar e determinar o escopo dos testes.

3. Definir a população e a amostragem

Identifique a população (por exemplo, todas as transações processadas em um ano, todas as alterações feitas no último trimestre) e determine o tamanho da amostra com base na frequência de controle, número de transações ou conforme exigido pela sua metodologia de teste de controle. Se você tiver acesso a uma solução de análise de dados, poderá testar toda a população para evitar o risco de amostragem.

4. Selecione os procedimentos de teste

Selecione a técnica de teste mais adequada à situação. As abordagens mais comuns incluem:

• Consulta: perguntar ao pessoal sobre os processos
• Observação: observar os processos em ação
• Inspeção: avaliar documentações, relatórios e registros transacionais
• Reexecução: Reexecutar o controle para verificar seu resultado

Os testes mais convincentes geralmente envolvem inspeção e repetição.

5. Executar o teste dos controles

Os testes de controle interno geralmente ocorrem em duas fases: teste de projeto (TOD) e teste de eficácia operacional (TOE).

Um teste de projeto determina se o controle, conforme projetado, é capaz de prevenir ou detectar erros de maneira eficaz. Ele avalia se o controle foi projetado de forma lógica e se o responsável pelo controle possui o conhecimento, o acesso e a autoridade adequados.

• Considerações importantes: O controle está claramente definido? Ele está alinhado com o risco associado? O controle inclui critérios de desempenho relevantes?
• Exemplo: para um controle de aprovação de lançamento contábil, um teste de projeto verificaria se o controle inclui segregação de funções, limites de valores em dólares, etapas de aprovação documentadas e acesso restrito a pessoal autorizado.

Uma vez que o projeto do controle seja considerado eficaz, a próxima etapa é avaliar se o controle funciona conforme o esperado ao longo do tempo.

• Considerações importantes: O controle é executado de forma consistente? As pessoas certas o executam? As evidências são mantidas?
• Exemplos de atividades de teste: selecione uma amostra de transações e avalie se o controle foi executado adequadamente. Isso pode envolver a revisão de registros,
• Resultado: se o controle foi executado com precisão e completamente para todas as amostras, ele funciona de forma eficaz.

A combinação de um teste bem-sucedido do projeto e da eficácia operacional fornece a garantia de que o controle está estruturado adequadamente e é executado de forma confiável.

6. Avalie os resultados e identifique as deficiências

Após a conclusão do teste, avalie a taxa de erros para determinar se o controle estava operando de forma eficaz. A terminologia que usamos aqui é importante. Por exemplo, um controle é eficaz se todas as amostras forem aprovadas e o controle funcionar conforme projetado. Um controle pode ser considerado deficiente se uma ou mais amostras de teste falharem; no entanto, ele ainda pode ser considerado eficaz, dependendo da gravidade da deficiência e da presença de controles atenuantes que abordem o risco associado.

Em seguida, classificamos a deficiência de acordo com sua gravidade, considerando o impacto potencial e a probabilidade de ocorrência:

• Deficiência de controle: problema menor
• Deficiência significativa: importante o suficiente para merecer atenção
• Deficiência material: falha grave que pode levar a problemas materiais

É importante observar que o termo “falha de controle” geralmente não é usado nesses exemplos de testes de controle. O projeto do controle pode ser eficaz ou ineficaz, e a operação do controle pode ter deficiências.

7. Relatar conclusões e ações recomendadas

Uma etapa final importante envolve a preparação de um relatório para comunicar os resultados dos testes de controle interno às partes interessadas. Os tópicos do relatório são geralmente os seguintes:

• Resumo dos testes realizados
• Deficiências identificadas
• Análise da causa raiz
• Recomendações para correção
• Resposta da administração e plano de ação

As seções complementares do relatório podem elogiar o trabalho realizado pelos responsáveis pelo controle e fornecer uma avaliação geral dos processos em análise. 

Exemplos de testes de controle

Para ilustrar como os testes de controle funcionam na prática, aqui estão cinco exemplos comuns de testes de controles em diferentes processos de negócios:

Exemplo 1: Contas a pagar (confronto triplo)

• Objetivo do controle: evitar pagamentos em excesso e garantir a precisão das faturas
• Descrição do controle: as faturas são comparadas com os pedidos de compra e os relatórios de recebimento antes do pagamento
• Escopo do teste: todas as faturas do último trimestre concluído
• População/amostra do teste: 25 faturas
• Procedimento de teste: inspecionar uma amostra de faturas pagas e verificar a documentação da correspondência tripla
• Resultado esperado: Todas as faturas da amostra devem ter a documentação correspondente adequada

Exemplo 2: Revisão do acesso do usuário

• Objetivo de controle: Impedir o acesso não autorizado aos sistemas financeiros
• Descrição do controle: Revisão trimestral do acesso do usuário pelos proprietários do sistema
• Escopo do teste: Todos os usuários do aplicativo e contas de serviço
• População/amostra de teste: População completa
• Procedimento de teste: verificar evidências de revisões periódicas de acesso e remoção oportuna de usuários que não precisam mais de acesso
• Resultado esperado: Todas as revisões concluídas; acesso inadequado removido em tempo hábil

Exemplo 3: Aprovação manual de lançamentos contábeis

• Objetivo do controle: garantir a validade das entradas no diário
• Descrição do controle: Todas as entradas manuais no diário devem ser aprovadas por um supervisor
• Escopo do teste: Todas as entradas manuais no diário no ano até o momento
• População/amostra de teste: 25 lançamentos contábeis
• Procedimento de teste: inspecionar uma amostra de lançamentos contábeis e verificar a evidência da aprovação do supervisor
• Resultado esperado: todos os lançamentos devem apresentar aprovação documentada do revisor designado

Exemplo 4: Gestão de mudanças

• Objetivo de controle: garantir que as mudanças nos sistemas sejam autorizadas e testadas
• Descrição do controle: as mudanças exigem aprovação, teste e documentação
• Escopo do teste: Todas as alterações no ano até o momento
• População/amostra de teste: 5 alterações
• Procedimento de teste: revisar as solicitações de mudança para aprovações necessárias e evidências de teste
• Resultado esperado: Todas as alterações amostradas seguem os procedimentos documentados

Exemplo 5: Contagem física do inventário

• Objetivo de controle: garantir que os registros de inventário sejam precisos
• Descrição do controle: Contagem física anual do estoque com reconciliação dos registros
• Escopo do teste: 20 lojas de varejo
• População/amostra de teste: 100 etiquetas de inventário por loja
• Procedimento de teste: Observar os procedimentos de contagem e inspecionar a documentação de reconciliação
• Resultado esperado: as discrepâncias de inventário são investigadas e resolvidas

Dicas de documentação para gerentes de controle

Nos testes de controle interno, uma boa documentação é fundamental para apoiar os resultados dos testes e satisfazer os requisitos de auditoria. Como tal, há alguns aspectos a ter em conta. Em primeiro lugar, a documentação deve ser clara e concisa. A documentação dos testes de controle interno deve resumir os objetivos, procedimentos e resultados do controle com detalhes suficientes para que outro auditor possa acompanhar e repetir o teste, se necessário. Em seguida, inclua evidências de apoio para todas as conclusões, como capturas de tela, e-mails, registros, relatórios etc. Na medida do possível, use formatos e modelos consistentes para melhorar a legibilidade e a eficiência. Por fim, acompanhe as questões, os planos de ação e as correções o mais próximo possível do tempo real. Manter registros das deficiências, atualizações de status e resoluções quando elas surgirem ajudará a registrar os fatos com precisão.

Desafios comuns nos testes de controle interno

Como em qualquer programa de garantia, os gerentes de controle interno enfrentarão desafios. Alguns desafios estão relacionados às evidências e aos proprietários dos controles, enquanto outros vêm da metodologia de teste de controle. Exemplos incluem:

1. Documentação incompleta: a falta de controles bem definidos pode dificultar os testes. Para superar essa questão, trabalhe com os proprietários do processo e do controle para entender como os controles devem ser projetados, operados e documentados. 
2. Rotatividade dos responsáveis pelo controle: novos funcionários podem não compreender as expectativas de controle. Fornecer uma introdução básica ao risco e ao controle e como capturar evidências de controle pode ajudá-los a assumir com confiança a nova responsabilidade.
3. Evidências inadequadas: os testadores não conseguem encontrar ou obter evidências adequadas da execução do controle. Esse problema comum pode ser resolvido com a criação de listas de verificação padronizadas e um sistema de arquivamento consistente.
4. Erros na seleção de amostras: Uma amostragem inadequada pode resultar em conclusões enganosas, pois acarreta o risco inerente de ignorar erros. Para reduzir esse risco, considere utilizar a análise de dados para realizar testes em toda a população, o que pode fornecer insights mais abrangentes e precisos.
5. Confiança excessiva na investigação: Confiar exclusivamente na investigação reduz a confiabilidade das evidências de auditoria. Auditores experientes reconhecem que a investigação por si só raramente é suficiente. Sempre que possível, aumente a credibilidade das conclusões incorporando inspeção, observação ou repetição do desempenho.

Para superar essas questões, é necessária uma forte colaboração com os responsáveis pelos processos, treinamento adequado e monitoramento contínuo dos controles.

Aprimorando seu programa de testes de controle

Um programa de testes de controle interno deve evoluir e amadurecer com o tempo. Para fortalecer e aprimorar seu programa, implemente o monitoramento e a auditoria contínuos dos controles. Considere adotar várias práticas recomendadas para aumentar a eficácia e a sustentabilidade.

• Automatize as atividades de controle e a coleta de evidências sempre que possível, por exemplo, por meio de revisões de acesso ou relatórios de exceções, para aumentar a eficiência e a consistência.
• Integre a análise de dados para detectar anomalias e validar a eficácia dos controles com mais precisão.
• Ofereça treinamento direcionado para garantir que os responsáveis pelos controles compreendam suas responsabilidades e executem os controles com precisão.
• Mantenha uma biblioteca de controle centralizada que documente a finalidade, a frequência e o histórico de testes de cada controle importante para facilitar a consulta e a continuidade.
• Adote uma estratégia de testes contínuos, realizando testes de controle ao longo do ano, em vez de concentrá-los apenas durante a temporada de auditoria, para apoiar o monitoramento contínuo e a correção oportuna.

Vale a pena notar que essas práticas recomendadas exigem tempo, esforço e recursos para serem implementadas. Ao procurar aprimorar sua metodologia de testes de controle, planeje-se adequadamente para garantir melhorias sustentáveis. Incorporar garantias combinadas pode ser especialmente eficaz – incentivar os responsáveis pelos controles a revisar e avaliar regularmente seus controles ajuda a garantir que eles estejam operando conforme o esperado e apoia uma cultura de responsabilidade e melhoria  contínua.

Conclusão

O gerenciamento de riscos, a melhoria das operações comerciais e a demonstração de responsabilidade dependem dos testes de controle interno. Ao adotar uma metodologia estruturada de testes de controle, usar um processo relevante de testes de controles e analisar exemplos de testes de controle, os gerentes de controle interno podem melhorar significativamente a confiabilidade e o desempenho de seu ambiente de controle.

Se você é novo em testes de controle ou deseja otimizar um programa existente, concentre-se na clareza, consistência e melhoria contínua. Com a base certa, seus esforços de testes de controle interno podem agregar valor estratégico real.