Konkurransegrunnlagets innhold

Segundo o GAO (2014), a gerência projeta tipos adequados de atividades de controle, que irão auxiliar no cumprimento de suas responsabilidades e tratar as respostas aos riscos identificados na estrutura de controle interno. Entre as categorias de atividades de controle possíveis, o GAO menciona: revisões de alto nível do desempenho atual; revisões pela gerência no nível de atividade ou função; administração do capital humano; controles sobre o processamento das transações; controle físico sobre ativos vulneráveis; estabelecimento e revisão de métricas e indicadores de desempenho; segregação de funções; execução adequada das transações; registro preciso e tempestivo das transações; restrição de acesso e accountability por recursos e registros; e documentação adequada das transações e do controle interno.

Para esta subdimensão foram propostas quatro variáveis: Documentação das Atividades de Controle; Níveis das Atividades de Controle; Representação Fidedigna da Informação Contábil-Financeira; e Segregação de Funções. Essas variáveis são descritas nos itens a seguir.

3.3.8.1 Variável 3.1.1: Documentação das Atividades de Controle

O GAO (2001) destaca a importância da documentação do controle interno, todas as transações e outros eventos significativos; o COSO (2013b) sugere o uso de uma matriz ou inventário para mapear os riscos identificados aos controles estabelecidos para a resposta, documentando informações como o nível, a frequência, a descrição e a classificação ou tipificação dos controles; além disso, sugere a documentação dos controles por meio de fluxogramas ou narrativas, incluindo a tecnologia subjacente que suporta a atividade de controle.

66 _{Control activities are the actions established through policies and procedures that help ensure that management's}

O GAO (2001, p. 43) acrescenta que a documentação “inclui a identificação das funções da agência em nível de atividade, objetivos relacionados e atividades de controle e aparece nas diretrizes da gerência, políticas administrativas, manuais de contabilidade e outros manuais”.67

O objetivo da variável é verificar a existência e o detalhamento da documentação a respeito das atividades de controle interno da entidade. Os critérios para o estabelecimento do nível de maturidade da variável foram definidos nos seguintes termos:

(0) Inexistente - Ausência de documentação das atividades de controle; (1) Inicial - Elaboração de Matriz de Riscos e Controles;

(2) Em Formação - Documentação das atividades de controle, incluindo a infraestrutura de tecnologia que provê suporte ao funcionamento dos controles, seguindo modelos padronizados pela entidade;

(3) Estabelecido - Mapeamento dos processos relevantes para os objetivos e riscos da entidade, em nível de atividade.

3.3.8.2 Variável 3.1.2: Níveis das Atividades de Controle

O GAO (2014) afirma que a gerência projeta atividades de controle em níveis adequados da organização, para a devida cobertura dos objetivos e riscos de suas operações. Segundo o COSO (2013), as atividades de controles em níveis mais altos da organização são mais abrangentes, geralmente na forma de revisões analíticas ou de desempenho dos negócios. O objetivo da variável é identificar os níveis organizacionais para os quais são elaboradas atividades de controle, desde o nível de transações até o nível de entidade, inclusive de prestadores de serviços terceirizados. Os critérios para o estabelecimento do nível de maturidade da variável foram definidos nos seguintes termos:

(0) Inexistente - Ausência de documentação das atividades de controle;

(1) Inicial - Atividades de controle em nível de transações para os processos internos relevantes para os objetivos e riscos da entidade;

(2) Em Formação - Atividades de controle em nível de departamento;

67 _{The documentation for internal control includes identification of the agency’s activity-level functions and related}

objectives and control activities and appears in management directives, administrative policies, accounting manuals, and other such manuals.

(3) Estabelecido - Atividades de controle em nível de entidade e controles para os prestadores de serviços terceirizados que realizam funções relevantes para os objetivos e riscos da entidade.

3.3.8.3 Variável 3.1.3: Representação Fidedigna da Informação Contábil-Financeira

O COSO (2013b) sugere a definição de responsabilidades pela revisão das demonstrações financeiras; o estabelecimento de controles para a mitigação do risco de avaliação das estimativas contábeis significativas (perdas estimadas com créditos de liquidação duvidosa, obsolescência de estoque, ajustes para avaliação de ativos e passivos ao valor justo, depreciação, amortização e outros); e a reconciliação das demonstrações financeiras.

O objetivo da variável é verificar a existência e formalização de processos para promover a representação fidedigna das informações em relatórios financeiros internos e externos da entidade. Os critérios para o estabelecimento do nível de maturidade da variável foram definidos nos seguintes termos:

(0) Inexistente - Ausência de processos para a representação fidedigna da informação contábil- financeira;

(1) Inicial - Processos formalmente estabelecidos para a realização dos Procedimentos Contábeis Patrimoniais (MCASP Parte II);

(2) Em Formação - Processo formalmente estabelecidos para a conformidade contábil das demonstrações financeiras;

(3) Estabelecido - Processo formalmente estabelecidos para a conciliação entre os dados registrados no SIAFI e outros sistemas da Administração Pública Federal (SPIUNET, SIASG, RMB).

3.3.8.4 Variável 3.1.4: Segregação de Funções

O COSO (2013) afirma que a gerência deve avaliar a necessidade de separar as responsabilidades pelo registro, autorização e aprovação das transações e a custódia dos respectivos bens, para reduzir o risco de erro ou fraude, levando em consideração ainda os requisitos legais e regulatórios e as expectativas das partes interessadas; se a segregação não for viável, atividades de controle alternativas devem ser elaboradas.

O objetivo da variável é verificar a existência de uma matriz de controle de acesso e segregação de funções (autorização, aprovação e verificação) para os processos, políticas e procedimentos relevantes para os objetivos e riscos da entidade, a existência de controles

alternativos quando a segregação de funções não é adequada, e a reavaliação periódica da segregação de funções. Os critérios para o estabelecimento do nível de maturidade da variável foram definidos nos seguintes termos:

(0) Inexistente - Ausência de matriz de controle de acesso e segregação de funções;

(1) Inicial - A entidade elabora matriz de controle de acesso e segregação de funções (autorização, aprovação e verificação) para os processos, políticas e procedimentos relevantes para os objetivos e riscos da entidade;

(2) Em Formação - Projeto de controles alternativos para os processos, políticas e procedimentos relevantes para os objetivos e riscos da entidade que não podem ter a segregação de funções adequada;

(3) Estabelecido - Política da entidade determina a reavaliação periódica da matriz de controle de acesso e segregação de funções.