1. OBJETIVO
Estabelecer as diretrizes de Controles Internos e definir os papéis e responsabilidades dos agentes envolvidos, objetivando segurança, transparência e registros corretos e completos dos processos que impactam direta ou indiretamente a elaboração e divulgação das demonstrações financeiras do Grupo Marista.
2. ABRANGÊNCIAS / NÍVEL DE DISTRIBUIÇÃO
Esta política é aplicável para todos os colaboradores e prestadores de serviços de todas as frentes de missão do Grupo Marista (exceto na FTD), ficando disponível eletronicamente na intranet do Grupo Marista (Marista Mais).
O Grupo Marista, por sua vez, não consentirá com qualquer alegação de desconhecimento dos enunciados contidos nesta norma, por parte de ninguém a que ela se submeta, não importando as justificativas que poderão vir a ser apresentadas.
3. SIGLAS UTILIZADAS
CSA | Control Self Assessment – Auto Avaliação de Controles Internos |
ELC | Entity Level Control – Controle de Nível de Entidade |
CFO | Chief Financial Officer – Diretor Financeiro Corporativo |
DARC | Diretoria de Auditoria Interna, Riscos e Compliance |
4. GLOSSÁRIO / CONCEITOS
Processo
Sequência de atividades integradas, estruturadas e mensuráveis que produzem, por meio da utilização de recursos, um resultado que agrega valor na percepção do cliente (interno ou externo). O processo é vinculado a um macroprocesso e pode ser desdobrado em outros níveis de processos, que são chamados subprocessos.
Subprocesso
Desdobramento das atividades de um processo.
Governança Corporativa
Governança corporativa é o sistema pelo qual as empresas e demais organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre sócios, conselho de administração, diretoria, órgãos de fiscalização e controle e demais partes interessadas.
Compliance
Tem origem no verbo inglês to comply, que significa agir de acordo com uma regra, uma instrução interna, um comando ou um pedido, ou seja, estar em “compliance” é estar em conformidade com as leis e regulamentos externos e internos.
Riscos
Costuma-se entender “risco” como possibilidade de “algo não dar certo”, mas seu conceito atual envolve a quantificação e qualificação da incerteza, tanto no que diz respeito às “perdas” como aos “ganhos”, com relação ao rumo dos acontecimentos planejados, seja por indivíduos, seja por organizações.
5. REFERÊNCIAS
5.1 Referências externas:
5.1.1. COSO (Committe of Sponsoring Organizations of the Treadway Commission).
5.1.2 SOx (Sarbanes Oxley).
5.1.3 IIA – Instituto de Auditores Internos (The Institute of Internal Audit).
5.1.4 COBIT (Control Objectives for Information and Related Technology).
5.1.5 IBGC (Instituto Brasileiro de Governança Corporativa).
5.2 Referências Internas:
5.2.1 Política de Gestão de Riscos – GRU.AUD.POL.001
6. DEFINIÇÕES
6.1 Controle Interno: Controle Interno é um processo, efetuado pelo Conselho de Administração, gerentes e demais colaboradores, desenhado para prover razoável segurança ao atingimento dos objetivos relacionados com operações, reporte e regulamentares.
6.2 Matriz de Riscos e Controles: Documento padronizado, elaborado pela área de Controles Internos, no qual são documentados todos os controles internos mapeados do Grupo Marista relacionados com a elaboração e divulgação das demonstrações financeiras.
6.3 Auto Avaliação de Controles (Control Self Assessment – CSA): Procedimento periódico de auto avaliação executado pelas áreas, objetivando razoável segurança de que a atividade de controle é executada corretamente e está em conformidade com os requisitos de controle definidos pela área de Controles Internos na matriz de riscos e controles.
6.4 Teste de Desenho (Test of Design ou Walkthrough): Procedimento executado para avaliação da eficácia do desenho do controle interno. Consiste em analisar um caso específico, percorrendo todas as fases do processo, desde a concepção até sua finalização.
6.5 Teste de Efetividade: Procedimento independente de avaliação da efetividade das atividades de controle executadas pelas áreas de negócio, objetivando razoável segurança de que a atividade de controle é executada e que atende os procedimentos definidos na descrição do controle interno.
6.6 Dono do Controle: Colaborador responsável pela execução da atividade de controle e por realizar a auto avaliação do mesmo.
6.7 Dono do Subprocesso: Colaborador responsável por revisar a auto avaliação executada pelo dono de controle.
6.8 Dono do Processo: Colaborador responsável pelo processo como um todo.
6.9 Testador: Colaborador responsável pela execução de teste independente da atividade de controle interno.
6.10 Materialidade: Conjunto de procedimentos qualitativos e quantitativos que propiciam avaliar o potencial impacto financeiro de uma ou de um conjunto de deficiências no ambiente de controle interno, bem como, auxiliar na definição do escopo dos trabalhos a serem realizados.
6.11 Falha de controle nos processos internos: Define-se como falha de controle o não atingimento dos objetivos de controle definidos na matriz de riscos. Esta falha será classificada em um dos três tipos de deficiências abaixo:
- 6.11.1. Deficiência de Controle: Exceções identificadas com mínimo impacto nas demonstrações financeiras. O risco envolvido foi mitigado pelo controle ou por fatores compensatórios.
- 6.11.2. Deficiência Significativa: Exceções identificadas com médio impacto nas demonstrações financeiras. O risco envolvido não foi mitigado pelo controle ou por fatores compensatórios. Os valores envolvidos são relevantes e/ou a falha de processo merece especial atenção da alta administração, podendo aproximar-se da materialidade definida.
- 6.11.3 Deficiência Material: Exceções identificadas com alto impacto nas demonstrações financeiras, podendo gerar ressalvas pela auditoria externa. O risco envolvido não foi mitigado pelo controle ou por fatores compensatórios. Os valores envolvidos são relevantes e/ou a falha de processo merece especial atenção da alta administração, alcançando a materialidade definida.
6.12 Controles de Nível de Entidade (Entity Level Controls – ELC): Controles inerentes às definições da Governança Corporativa, que tem como característica não atuar diretamente nos processos operacionais.
6.13 Plano de Remediação: Atividade executada através da elaboração de planos de ação, visando a correção da falha de controle identificada. O plano de remediação deve atuar na causa raiz do problema, não permitindo que o mesmo se repita no decorrer das atividades dos processos.
6.14 Etapa de Avaliação de Controles: Conjunto de atividades que permitem avaliar a eficácia dos controles internos, objetivando a identificação tempestiva de falhas de processo. São elas: auto avaliação dos controles, teste de desenho (walkthrough).
7. DIRETRIZES
7.1 A avaliação dos controles de nível de entidade (ELC) deverá ser realizada anualmente pela área de controles internos (DARC), mediante entrevistas com a alta administração do Grupo Marista e obtenção de evidências que comprovem a eficácia dos controles.
7.2 A auto avaliação dos controles internos deverá ser executada conforme periodicidade a ser alinhada pelos donos de controles, sendo este processo apoiado pela área de controles internos, com cronogramas previamente estabelecidos e acordados junto as áreas envolvidas.
7.3 O teste de efetividade de controles internos deverá ser realizado anualmente pelos testadores, sendo conduzido pela área de controles internos (DARC), com cronogramas previamente estabelecidos e acordados junto as áreas envolvidas.
Os seguintes testadores são elegíveis para execução dos testes:
- 7.3.1. Profissionais de áreas distintas a atividade de controle avaliada.
- 7.3.2 Profissionais terceirizados.
- 7.3.3. Profissionais de controles internos, desde que respeitada a segregação de funções entre colaboradores que realizam o mapeamento, construção e/ou implementação de controles e os que realizam os testes de efetividade.
7.4. Periodicamente, a área de controles internos deverá identificar nos processos os riscos potenciais que podem impactar ao atingimento dos objetivos relacionados com operações, reporte e regulamentares do Grupo Marista, através da execução de procedimento de teste de desenho (Test of Design / Walkthrough) nos controles identificados.
7.5. Os processos avaliados pela área de controles internos deverão receber uma nota, estabelecendo assim a avaliação da maturidade do ambiente de controles internos (vide anexo 1).
7.6. Toda atividade de controle deve, obrigatoriamente, ser associada a um Dono do Controle, Dono do Subprocesso e Dono do Processo. Eles são os responsáveis por executar, avaliar e monitorar as atividades de controle de suas respectivas áreas de atuação.
7.7 Limitações de Controles Internos: Controles Internos não são capazes de evitar julgamentos errôneos ou más decisões (realidade de que o julgamento humano na tomada de decisões pode ser falho e tendencioso), ou ainda eventos externos que impeçam a organização de atingir suas metas.
8. RESPONSABILIDADES
8.1 Conselho de Administração
8.1.1 Aprovar a política de Controles Internos, assim como quaisquer futuras revisões.
8.1.2 Deliberar as ações e estratégias de controles internos bem com a alocação de recursos e priorização de trabalhos.
8.2 Área de Controles Internos (DARC)
- 8.2.1 Desenvolver e consolidar o ambiente de controles internos;8.2.2 Elaborar e disseminar as diretrizes corporativas de controles internos, conforme melhores práticas e metodologias de mercado;
- 8.2.3 Ministrar treinamentos periódicos e prestar consultoria aos agentes de controles internos (donos de controle, donos de subprocesso, donos de processo, testadores) e outros colaboradores envolvidos.
- 8.2.4 Assessorar as áreas de negócios na elaboração de controles, planos de remediação e implementação de melhorias nos atuais desenhos dos processos, objetivando a mitigação de riscos.
- 8.2.5 Disseminar o conhecimento e fazer cumprir a metodologia de controles internos nas etapas de avaliação de controles (teste de desenho, auto avaliação e teste de efetividade).
- 8.2.6 Classificar as falhas identificadas em controles internos, conforme definições desta política.
- 8.2.7 Reportar periodicamente o resultado das etapas de avaliação de controles para a Diretoria de Auditoria Interna, Riscos e Compliance, e também para o Comitê de Auditoria do Grupo Marista.
8.3 Dono do Controle
- 8.3.1 Executar a auto avaliação dos controles, conforme orientações e treinamentos da área de controles internos.
- 8.3.2 Formalizar o resultado da auto avaliação e encaminhar as evidências para a área de controles internos.
- 8.3.3 Exercer papel de facilitador na disseminação da cultura de controles internos em sua área de atuação.
8.4 Dono do Subprocesso:
- 8.4.1 Revisar e aprovar o resultado da auto avaliação realizada pelo dono de controle, conforme orientações e treinamentos da área de controles internos.
- 8.4.2 Formalizar o plano de remediação quando o resultado da etapa de avaliação de controles for inefetivo.
- 8.4.3 Acompanhar e garantir a implementação eficaz do plano de remediação.
- 8.4.4 Exercer papel de facilitador na disseminação da cultura de controles internos em sua área de atuação.
8.5 Dono do Processo:
8.5.1 Apoiar a consolidação da cultura de controles internos em sua área de atuação.
8.5.2 Aprovar o plano de remediação quando o resultado da etapa avaliação de controles for inefetivo.
8.6 Testador:
- 8.6.1 Executar o teste independente dos controles internos, conforme orientações e treinamentos da área de controles internos.
- 8.6.2 Formalizar o resultado do teste de controle e encaminhar as evidências para a área de controles internos.
- 8.6.3 Obter a quantidade mínima de amostra de teste de controle, de acordo com a frequência definida na matriz de controle (vide anexo 2).
- 8.6.4 Exercer papel de facilitador na disseminação da cultura de controles internos em sua área de atuação.
8.7 Profissionais que trabalham no Grupo Marista
- 8.7.1 Atentar-se para conduzir suas atividades de acordo com as diretrizes estabelecidas pelas políticas vigentes no Grupo Marista, bem como as melhores práticas de governança.
- 8.7.2 Reportar diretamente para o Gestor de sua área sobre eventuais atividades que possam colocar o Grupo Marista em risco.
9. VIGÊNCIA
9.1. A presente Política de Controles Internos entra em vigor a partir da data de aprovação pelo Conselho de Administração e disponibilização no Marista Mais.
10. CONTATOS
10.1. Controles Internos – E-mail: [email protected].
A área de Controles Internos pertence a Diretoria de Auditoria Interna, Riscos e Compliance, e está localizada no 10º andar do prédio administrativo da PUCPR – Curitiba.
11. ANEXOS
11.1 Anexo 1 – Nível de maturidade do ambiente de controles internos
# | Nível de Maturidade | Descrição |
0 | Inexistente | Não há reconhecimento da necessidade de controles internos. Controle interno não é parte da cultura e/ou da missão da organização. Existe um alto risco de materialização de deficiências de controles. |
1 | Inicial | Existe algum reconhecimento da necessidade de controles internos. A execução dos requerimentos de riscos e controles é desorganizada, sem frequência definida, sem comunicação ou monitoramento da eficácia do ambiente. Deficiências não são identificadas. Colaboradores não estão conscientes de sua responsabilidade. |
2 | Intuitivo | Controles internos são executados, porém não são documentados. A operação dos controles é dependente de conhecimento e motivação dos colaboradores. A efetividade dos controles internos não é adequadamente avaliada. Existem muitas deficiências de controles e não são adequadamente remediadas; seu impacto pode ser significativo. As ações da administração para solucionar deficiências de controles não são priorizadas e consistentes. Colaboradores podem não ter consciência de suas responsabilidades. |
3 | Definido | Controles internos são executados e adequadamente documentados. A avaliação da efetividade do controle é realizada periodicamente e existe um número médio de deficiências. Entretanto, o processo de avaliação não é documentado. Embora a administração esteja habilitada para lidar previsivelmente com a maioria das deficiências de controle, algumas deficiências de controle persistem e seus impactos podem ser significativos. Colaboradores são conscientes de suas responsabilidades de controle. |
4 | Gerenciado e mensurado | Existe um efetivo ambiente de controle interno. A avaliação dos controles ocorre de forma formal, documentada, e com frequência claramente definida. Muitos controles são automatizados e regularmente revisados. É provável que a administração identifique e maior parte das deficiências de controles, mas nem todas as deficiências são rotineiramente identificadas. Existe um consistente follow-up para endereçar as deficiências de controle. A utilização da tecnologia para automatização de controles é limitada. |
5 | Otimizado | Em toda empresa existe um programa de controle interno provendo continuamente uma efetiva resolução das deficiências identificadas. As funções de controle interno e da avaliação de riscos são integradas nos processos empresariais, suportados por um monitoramento automatizado e em tempo real, com total gerenciamento e monitoramento da eficácia dos controles, gerenciamento de riscos, e compliance. Avaliação de controles é contínua, baseada em auto avaliações e análises automatizadas. Colaboradores envolvem-se de maneira pró ativa na melhoria do ambiente de controles internos. |
11.2 Anexo 2 – Tabela de amostragem de teste de efetividade de controle
Frequência do Controle | Amostra total/ano | Amostra Semestral 1º Semestre | Amostra Semestral 2º Semestre |
Contínuo | 60 | 30 | 30 |
Diário | 40 | 20 | 20 |
Semanal | 15 | 7 | 8 |
Quinzenal | 5 | 2 | 3 |
Mensal | 5 | 2 | 3 |
Trimestral | 2 | 1 | 1 |
Semestral | 2 | 1 | 1 |
Anual | 1 | 0 | 1 |
Controle Automatizado | 2 | 1 | 1 |