No cenário corporativo atual, a gestão de riscos e a garantia da integridade das operações são fundamentais. Nesse contexto, os controles internos são ferramentas importantes para proteger os ativos de uma organização, assegurar a confiabilidade das informações financeiras e operacionais, e promover a conformidade com leis e regulamentos. No entanto, a mera existência de controles não garante sua efetividade. É aqui que a auditoria se torna essencial, e, mais especificamente, os testes de controles internos representam um processo importante para validar se esses mecanismos estão, de fato, funcionando como esperado.

Neste guia, nosso objetivo é desmistificar os testes de controles internos, apresentando-os de forma clara, didática e tecnicamente aprofundada. Assim sendo, vamos explorar os conceitos, as metodologias e a importância de cada etapa, transformando este conhecimento em uma ferramenta prática para sua atuação profissional e para a segurança das organizações.

Compreendendo o Controle Interno: Da Teoria à Prática

Para começar, é fundamental revisitar o conceito de controle interno. Em essência, um controle interno é uma resposta estratégica a um fator de risco. Seu principal objetivo é reduzir a probabilidade de materialização de um evento adverso ou mitigar seu impacto, transformando o risco bruto (ou, como muitos preferem chamar, “risco inerente”) em um risco residual que esteja alinhado ao apetite ao risco da organização.

Para ilustrar melhor, imagine uma empresa que lida com dados sensíveis de clientes. O fator de risco pode ser o acesso indevido a esses dados. Um controle interno seria, por exemplo, a implementação de senhas fortes e autenticação multifator (MFA). O risco inerente é o risco de vazamento de dados sem qualquer proteção. Após a aplicação do controle, o risco residual é o que resta, e este deve ser aceitável para a organização.

A validação da efetividade do controle interno, portanto, é um passo significativo. Ela ocorre por meio de procedimentos de teste de eficiência ou teste de eficácia, que visam entender se o controle e suas características são suficientes para manter o risco a níveis aceitáveis, dentro do apetite a risco da organização.

Pilares dos Testes de Controles: Desenho (TOD) e Eficácia Operacional (TOE)

Para avaliar a efetividade de um controle, empregamos dois tipos principais de testes, cada um com um foco distinto, mas com igual relevância: o teste de desenho e o teste de eficácia. No universo da auditoria, esses testes são frequentemente referenciados pelas siglas TOD (Test of Design) e TOE (Test of Operating Effectiveness), respectivamente.

 

1. Teste de Desenho (TOD): Avaliando a Concepção do Controle

O teste de desenho (TOD) tem como objetivo principal validar se a arquitetura e a ferramenta do controle são suficientes para detectar o evento de risco antes de sua materialização, ou então detectar a não conformidade para ser solucionada.

Em outras palavras, este teste avalia se o controle foi bem concebido. Ele questiona: “Se o controle fosse executado perfeitamente, ele seria capaz de prevenir ou detectar a falha?” Portanto, o foco está na capacidade do controle de funcionar conforme o esperado, independentemente de sua execução.

Como Realizar o Teste de Desenho (TOD): Metodologias Essenciais

Para executar o TOD, os auditores utilizam diversas metodologias:

• Inquérito: Conversar com os responsáveis pelo controle para entender sua concepção e funcionamento. Esta etapa é fundamental para coletar informações primárias.
  .
• Observação: Acompanhar a execução do controle para verificar se ele está sendo realizado conforme o planejado. Assim, é possível visualizar o processo em tempo real.
  .
  
• Inspeção: Analisar documentos, manuais de procedimento, fluxogramas e configurações de sistemas para verificar se o controle está formalmente desenhado. Isso garante a existência de evidências documentais.
  .
  
• Reexecução (Walkthrough): O auditor simula a execução do controle, seguindo o processo do início ao fim com uma transação de teste, para confirmar se o desenho é adequado. Com efeito, esta técnica valida a lógica do controle.

Exemplo: Para um controle de aprovação de despesas, o TOD verificaria se a política de aprovação existe, se ela define claramente quem aprova o quê, e se o sistema de aprovação impede que uma despesa seja paga sem a devida autorização. Isso demonstra a adequação do desenho.

2. Teste de Eficácia (TOE): Verificando a Operação do Controle

O teste de eficácia (TOE), por sua vez, objetiva validar se o controle está evitando ou detectando o evento de risco no período avaliado, dentro do esperado na sua modelagem. Ou seja, este teste verifica se o controle está operando efetivamente e seus resultados são consistentes com o que se espera.

Em outras palavras, o TOE avalia se o controle foi bem executado. Ele questiona: “O controle operou consistentemente ao longo do tempo, da maneira como foi desenhado, e se as pessoas corretas o executaram?”

Como Realizar o Teste de Eficácia (TOE): Abordagens Práticas

Para executar o TOE, os auditores empregam metodologias como:

• Inspeção de Evidências: Examinar registros de aprovações, reconciliações, relatórios de exceção, logs de sistema, para verificar se o controle foi executado e se há evidência disso. Esta é uma forma direta de comprovar a operação.
  .
  
• Reexecução (Re-performance): O auditor executa o controle de forma independente para verificar se os resultados obtidos são os mesmos que a organização alcançou. Por exemplo, refazer uma reconciliação bancária. Isso confirma a consistência dos resultados.
  .
  
• Amostragem: Dada a impossibilidade de testar 100% das transações, selecionamos uma amostra representativa para verificar a execução do controle. Este é um ponto que abordaremos a seguir com mais detalhes.
  .
  
• Análise de Dados (Data Analytics): Utilizar ferramentas de software para analisar grandes volumes de dados, identificando padrões, anomalias ou falhas na execução do controle em toda a população. Esta metodologia é cada vez mais relevante na auditoria moderna, pois permite uma cobertura ampla.

Exemplo: Para o mesmo controle de aprovação de despesas, o TOE selecionaria uma amostra de despesas aprovadas durante o período e verificaria se todas as aprovações foram realizadas pelo gerente correto, dentro dos limites de alçada e se a documentação de suporte estava completa. Assim, avaliamos a operação real do controle.

Amostragem em Testes de Controles

Como já mencionamos, testar 100% das transações ou eventos controlados é, na maioria das vezes, inviável. Por isso, a amostragem se torna uma ferramenta indispensável nos testes de controles internos. Ela permite que o auditor obtenha evidências suficientes para formar uma conclusão sobre a população inteira, com um nível de confiança aceitável.

 

Tipos e Considerações na Amostragem de Auditoria

A escolha do método de amostragem impacta diretamente a validade das conclusões. Existem dois tipos principais:

• Amostragem Estatística: Utiliza a teoria da probabilidade para selecionar a amostra e avaliar os resultados. Isso permite quantificar o risco de amostragem, oferecendo uma base mais objetiva para as conclusões. Métodos incluem amostragem aleatória simples, sistemática e por unidade monetária.
  .
• Amostragem Não-Estatística (ou por Julgamento): O auditor utiliza seu julgamento profissional para selecionar a amostra. Embora mais flexível, não permite a quantificação do risco de amostragem, o que exige maior cautela na interpretação.

 

Considerações Importantes na Amostragem:

• Tamanho da Amostra: Depende de fatores como o risco de controle avaliado, a taxa de desvio tolerável (quantas falhas o auditor está disposto a aceitar) e a taxa de desvio esperada. Definir um tamanho adequado é fundamental.
  .
  
• Seleção da Amostra: A amostra deve representar a população. Portanto, a seleção deve ser imparcial e bem documentada.
  .
• Avaliação dos Resultados: Se o número de desvios na amostra exceder o tolerável, o controle pode ser considerado ineficaz, o que, por sua vez, exige a ampliação dos testes ou a consideração de controles compensatórios. Esta análise é decisiva para o parecer de auditoria.

 

Documentação e Relato: A Conclusão do Processo de Auditoria

Após a execução dos testes de controles internos, a documentação e o relato dos resultados são etapas importantes. Registramos meticulosamente toda a metodologia aplicada, as amostras selecionadas, as evidências coletadas, os desvios encontrados e as conclusões formadas nos papéis de trabalho da auditoria.

O relatório de auditoria, por sua vez, comunicará as deficiências de controle identificadas, seu impacto potencial e as recomendações para aprimoramento. É importante que essa comunicação seja clara, objetiva e construtiva, visando à melhoria contínua do ambiente de controle da organização.

 

A Importância da Melhoria Contínua na Gestão de Controles

Os controles internos não são estáticos. Pelo contrário, eles devem evoluir junto com a organização, seus processos e o ambiente de riscos. Portanto, os testes de controles internos não são um evento isolado, mas parte de um ciclo contínuo de avaliação, aprimoramento e monitoramento. A gestão proativa dos controles garante que a organização permaneça resiliente e adaptável aos desafios.

 

Aprofunde-se Ainda Mais: O Material do Professor Eduardo Pardini

Para complementar e enriquecer ainda mais sua compreensão sobre este tema relevante, recomendamos fortemente o material produzido pelo Professor Eduardo Pardini da Crossover Brazil.

A imagem abaixo, intitulada “Testando o Controle Interno”, é um excelente resumo visual dos conceitos que exploramos aqui. Ela ilustra de forma concisa a jornada do fator de risco ao risco residual, passando pela validação da efetividade do controle interno através dos testes de eficiência e eficácia, e a subsequente comparação com o apetite a risco da corporação.

O conteúdo do Professor Pardini é objetivo e claro, apresentando uma visão prática sobre os testes de controles internos que se alinha perfeitamente com a abordagem didática que buscamos neste guia. Sua expertise é um recurso adicional importante para quem deseja aprofundar-se ainda mais na teoria e prática da auditoria de controles.

 

 

Sua jornada para uma auditoria de controles mais robusta e eficaz começa aqui.