5 - Informação e Comunicação

Prévia do material em texto

CONTROLE EM 5D
INFORMAÇÃO E COMUNICAÇÃO
4ª DIMENSÃO (COMPONENTE)
informação e comunicação
COSO IC-IF 2013, p. 110
para cumprir as responsabilidades de controle
interno, informações são necessárias
de fontes internas
de fontes externas vivemos na "era da informação",
centrada em TI
prestadores de serviços terceirizados, p.e.
comunicação é processo contínuo e
iterativo de proporcionar, compartilhar
e obter as informações necessárias ...
subitem 1.7.4, TC-027.516/2015-6,
Acórdão nº 6.836/2019-TCU-1ª Câmara
pela comunicação interna a alta administração
explicita (com clareza) que as responsabilidades de
controle interno devem ser levadas a sério
subitem 1.7.1, TC-027.516/2015-6,
Acórdão nº 6.836/2019-TCU-1ª Câmara
importância de um plano de comunicação
entre os níveis hierárquicos
subitem 1.7.1.6, TC-027.560/2015-5,
Acórdão nº 3.636/2017-TCU-2ª Câmara
a comunicação externa
tem 2 finalidades ...
subitem 9.1.11, TC-016.327/2017-9,
Acórdão nº 2.359/2018-TCU-Plenário
permite a entrada de
informações externas
relevantes
fornece informações a partes externas
(auditor externo-TCU, controle social,
prestadores de serviços terceirizados...)
subitem 1.6.1.1, TC-039.087/2018-2,
Acórdão nº 2.654/2018-TCU-Plenário
em resposta a
requisitos e
expectativas
importância de um plano de comunicação
com outras partes interessadas
alínea "e" do subitem 1.7.2, TC-027.702/2015-4,
Acórdão nº 2.742/2017-TCU-1ª Câmara
a comunicação permite que a
organização compartilhe informações
subitem 1.7.1, TC-034.605/2017-7,
Acórdão nº 10.820/2018-TCU-1ª Câmara
internamente (em todas
as direções da entidade)
permitindo à equipe entender os objetivos
da entidade e a importância de suas
responsabilidades de controle
subitem 9.12.10, TC-023.438/2012-6,
Acórdão nº 2.294/2017-TCU-2ª Câmara
externamente, sobre ...
riscos
questões regulatórias
mudanças em circunstâncias, tendências, eventos externos, etc.
satisfação do cliente
apoia o funcionamento de todos os componentes de controle
interno (com informações relevantes e de qualidade)
apoia a realização dos objetivos de divulgação da entidade
(os quais necessitam das 5 dimensões/componentes de CI)
informação é o dado combinado e resumido, ou seja, tem
conteúdo entendível, capaz de expressar uma situação
a título de curiosidade, o PTM (propósito
transformador massivo) do Google é
"organizar a informação do mundo"
os requisitos de informação são determinados
pelo contínuo funcionamento de outras
dimensões (componentes) de controle interno
sistemas de informação ...
subitem 1.7.2.8, TC-030.889/2015-4,
Acórdão nº 2.313/2017-TCU-2ª Câmara
apoiam ...
a tomada de decisões
(fundamentada)
funcionamento do
controle interno
"as comunicações fornecem as informações
necessárias para desenhar, implementar e
realizar o controle interno, bom como para
avaliar sua eficácia"
COSO IC-IF 2013, p. 111
processam
informações ...
relevantes
tempestivas
de qualidade
conjunto de atividades que envolve
pessoas, processos, dados e/ou
tecnologias visando ....
prestação de contas
subitem 9.5.4, TC-024.774/2014-6,
Acórdão nº 936/2019-TCU-Plenário
desempenho
em direção à
realização dos
objetivos
3 princípios (conceitos
subsunçores)
a organização obtém ou gera e utiliza informações
significativas e de qualidade para apoiar o
funcionamento do controle interno
COSO IC-IF 2013, p. 112
identificar os requisitos
de informações
COSO IC-IF 2013, p. 112
há processo instalado para apoiar o funcionamento das outras
dimensões de CI e a realização dos objetivos da entidade
para tanto, informações
são necessárias
é preciso que a administração identifique os
requisitos de informação no nível relevante e
para a especificidade exigida
subitem 9.3.1, TC-004.887/2017-4,
Acórdão nº 1.426/2017-TCU-Plenário
é processo contínuo e iterativo 
(para um controle interno eficaz)
com mudanças na entidade, os requisitos
de informação também mudam
os controles estabelecidos nas 5
dimensões (componentes) estabelecem
os requisitos de informação
os requisitos de informação são
comunicados aos prestadores de
serviços terceirizados
e a outros públicos externos
(fornecedores, p.e.)
os controles permitem que a
organização confie em tais
informações externasinformações sobre os
objetivos da entidade
reunidas com base nas atividades
da estrutura de governança e da
alta administração
resumidas de forma que a administração e outros
públicos entendam os objetivos e o papel que
exercem na realização deles
equipes (sedentas por significado) entendem
melhor os objetivos da organização
os requisitos de informação orientam a
administração e as equipes na identificação
de fontes relevantes e confiáveis de
informações e dados subjacentes
necessário equilíbrio entre custos e
benefícios de obter e gerenciar
informações e sistemas de informações
atualmente, há abundância de informações
e dados subjacentes devido a ...
maior quantidade de fontes de informação
subitem 1.7.2, TC-025.314/2017-3,
Acórdão nº 11.153/2017-TCU-1ª Câmara
""(...) um volume maior de informações e dados
subjacentes pode criar riscos adicionais, como os
riscos operacionais causados por ineficiência, devido
à sobrecarga de dados (...)"
COSO IC-IF 2013, p. 115
avanços ...
na coleta de dados
no processamento
no armazenamento de dados
capturar fontes internas e
externas de dados
COSO IC-IF 2013, p. 114
dados/informações são recebidos de
várias fontes e formas
dados internos
dados externos
p/ gerar informações úteis
e relevantes para ...
subitem 9.2.13, TC-022.584/2016-1,
Acórdão nº 2.140/2017-TCU-Plenário
os controles internos
maior acesso a informações
aprimora o controle interno
a estrutura organizacional
o modelo de negócios
os objetivos atuais
gestão e desempenho empresarial
subitem 1.7.2.2, TC-005.187/2019-2,
Acórdão nº 3.650/2020-TCU-2ª Câmara desempenho de políticas públicas
e programas governamentais
subitem 9.5.1, TC-020.750/2019-6,
Acórdão nº 2.513/2019-TCU-Plenário
exemplos de controles
inspeções do processamento
no "chão de fábrica" (D)
produção tempestiva
e de qualidade
sistema de relatórios de
tempo das equipes (D)
horas incorridas em projetos
baseados em tempo
respostas a pesquisas
com clientes (D) atritos com clientes
canais de
denúncia/reclamação/manifestação (D)
comportamento dos
administradores fonte interna
uso de fundos e de suborno fonte externa
relatórios de pesquisa setorial
informações da concorrência
(para avaliar riscos e oportunidades)
inovação tecnológica
alterações nas
expectativas dos
clientes
requisitos regulatórios
globalização
processar dados
relevantes em
informações
COSO IC-IF 2013, p. 115
sistemas de informação procuram, capturam e
processam grandes volumes de dados (de fontes
internas e externas) para trasnformá-los em
informações relevantes e úteis
abrangem uma
combinação de ...
pessoas
sustentam os
processos de
negócios
processamento integral
de transações e dados
sejam eles manuais,
automatizados ou mistos
processos
dados
tecnologia
(automatização)
formas de obtenção de dados
inserção manual
compilação
uso de TI processo automatizado
maior eficiência
maior velocidade
aumento da acessibilidade das
informações aos usuários
nível de sofisticação dos sistemas
de informação dependem ...
da natureza e extensão dos
requisitos de informações
da complexidade e
volume de dados/informações
da dependência em
relação a terceiros
da melhoria/alavancagem (contínua)
da tecnologia alocada
alínea "c.2", TC-009.405/2021-6,
Acórdão nº 6.777/2022-TCU-1ª Câmara princípio da
eficiência
desafios impostos pelos
avanços da tecnologia
podem aprimorar o controle
interno sobre os riscos de ...
segurança
privacidade
"a administração desenvolve e implementa atividades de
controle sobre a completude dos dados inseridos nos
sitemas de informação e sobre a completude e a exatidão
do processamento desses dados para gerar informações
usadas por outros controles"
COSO IC-IF 2013, p. 115
exemplos de controles restrição de acesso ao
sistema de informação(P)
redução do número de pontos de
acesso ao sistema de informação (P)
restrição de acesso a informações (P)
manter a qualidade durante
todo o processamento
COSO IC-IF 2013, p. 116
exemplos de controles
registro em sistema de informações
por mais de uma pessoa (P)
categorização de informações/dados
(confidenciais, ultrassecretos...) (P)
"due diligence" de fornecedores (P)
cláusulas contratuais de direito à auditoria (P)
avaliação independente dos controles
do prestador de serviços (D)
requisitos de retenção de informações
de partes externas (P)
requisitos de retenção de
comunicações relacionadas à
conformidade (normas) (P)
geralmente, a administração depende
de comunicações em tempo real
(baseadas em tecnologia)
a eficácia do sistema de
controle interno depende da
qualidade da informação
dados inexatos ou incompletos e,
consequentemente, informações deles derivadas,
podem levar a julgamentos, estimativas e decisões
equivocadas por parte da administração daí a importância de ....
ferramentas de evidenciação e validação da informação
subitem 9.1.4.5, TC-011.196/2018-1,
Acórdão nº 1.079/2019-TCU-Plenário
controles em seus procedimentos operativos e em
seu sistema informatizado com vistas a possibilitar o
registro fidedigno de dados
subitem 9.1.2, TC-016.217/2013-6,
Acórdão nº 2.504/2017-TCU-1ª Câmara
informações de
qualidade são ...
acessíveis (no sistema de informações)
corretas
dados subjacentes
exatos e completos
sistema de informações com verificações
de validação (exatidão e completude)
procedimentos de
resolução de exceções
atuais
protegidas
retidas
permitindo consultas e inspeções por
públicos externos (CGU, TCU, MPF...), por
um período amplo de tempo
suficientes
eliminação de dados estranhos para
evitar ineficiência, mau uso ou
interpretações distorcidas
subitem 9.1.2, TC-015.902/2016-1,
Acórdão nº 2.593/2017-TCU-Plenário
tempestivas
auxiliando na identificação prematura
de eventos, tendências ou questões
subitem 9.3.2.4, TC-025.594/2016-8,
Acórdão nº 1.178/2018-TCU-Plenário
válidas
obtidas de fontes autorizadas, coletadas de acordo
com procedimentos prescritos e representando
eventos que realmente ocorreram
verificáveis
apoiadas em evidências de
suas fontes (rastreabilidade)
subitem 1.7.2, TC-025.314/2017-3,
Acórdão nº 11.153/2017-TCU-1ª Câmara
a administração estabelece políticas de
gerenciamento de informações
com clara definição de
responsabilidades
prestação de contas pela
qualidade das informações
atendendo às expectativas de
governança de dados
orientando
sobre ...
definição de categorias
ou classes de dados
requsitos sobre ...
manuseio físico
armazenamento
segurança
responsabilidades da administração
e dos funcionários quanto a ...
proteção de dados/informações contra
acessos ou mudanças não autorizadas
adesão aos requisitos de retenção
privacidade
considerar custos e benefícios
art. 14 do Decreto-lei nº 200/1967
exemplo de controle banco de preços (D)
a organização transmite internamente as
informações necessárias para apoiar o
funcionamento do controle interno, inclusive os
objetivos e responsabilidades pelo controle
COSO IC-IF 2013, p. 118
comunicar as informações
de controle interno
COSO IC-IF 2013, p. 118
há processo para comunicar a toda a equipe,
para que entenda e conduza suas
responsabilidades de controle interno
exemplos de comunicações de informações
para toda a entidade ...
políticas e
procedimentos
inclusive para facilitar uma
comunicação interna eficaz
abordando
comunicações ...
para autoridades
sobre responsabilidades
 sobre normas de
conduta em toda a entidade
o que é considerado comportamento
aceitável ou inaceitável
objetivos especificados
alta administração comunica (com
clareza) para toda a organização
para que as pessoas entendam
suas funções individuais
no corpo
funcional
há inter-relacionamentos entre
profissionais na organização
não funcionários
(subcontratados, p.e.)
subobjetivos ou requisitos
específicos também devem ser
comunicados à equipe respectiva
nas múltiplas áreas funcionais e
unidades operacionais
importância, adequação e benefícios de
um controle interno eficaz
funções e responsabilidades da
administração e dos funcionários na
realização dos controles
mensagem clara da alta
administração de que o assunto
deve ser levado a sério
reforçar a mensagem transmitida
suficiente para assegurar que a
administração e os funcionários ...
respondam como pretendido
prestem contas
expectativas da organização de comunicar (em todas
as direções) questões importantes relacionadas ao
controle interno, inclusive no caso de insuficiência,
deterioração ou não adesão
controles são desenvolvidos e aplicados para ajudar
a assegurar que as informações sejam
compartilhadas nas comunicações internas
comunicar-se com a
estrutura de governança
COSO IC-IF 2013, p. 119
estrutura de governança
supervisiona o controle interno
subitem 9.1.2, TC-011.759/2016-0,
Acórdão nº 1.171/2017-TCU-Plenário
reage tempestivamente
diante da ineficácia do CI
administração comunica à
estrutura de governança
informações necessárias
e suficientes à supervisãoincluindo ...
aderência
mudanças
problemas relacionados ao
sistema de controle interno
detectados por
avaliações ...
independentesAuditoria Interna
contínuas da
administração
(2ª linha)
impacto desses resultados sobre
a realização dos objetivos
comunicação direta dos
funcionários com a estrutura de
governança é importante
sem a interferência
da administração
exemplo de controle
reunião de conselheiros com
funcionários (sem a administração) (D)
sobre potenciais controles
burlados pela administração
o sistema de controle interno é aprimorado por uma unidade
de auditoria interna (3ª linha) independente da administração
subitem 9.1.8, TC-004.682/2019-0,
Acórdão nº 1.745/2020-TCU-Plenário
fornecer linhas de
comunicação
independentes
COSO IC-IF 2013, p. 120
informações devem fluir em todas
as direções da organização
existência de canais abertos de comunicação
(suspeitas de violações do código de conduta)
subitem 9.1.1.4.3, TC-015.567/2018-4,
Acórdão nº 1.263/2019-TCU-Plenário
quando da inoperância ou ineficácia dos canais
normais, linhas de comunicação alternativas (à
prova de falhas) podem ser estabelecidas para
relatar questões de conduta ética
"hotlines" para comunicações
anônimas e confidenciais
os funcionários devem entender completamente
como esses canais operam, como devem ser usados
e como eles serão protegidos
confiança em usá-los,
sem represálias
comunicações serão avaliadas,
priorizadas e investigadas
(tempestivamente)
sem retaliações ao denunciante
subitem 9.2.2, TC-027.085/2017-1,
Acórdão nº 674/2018-TCU-Plenário
deve haver nítida
disposição de relatar e
ouvir
administração e funcionários devem acreditar
que seus supervisores querem conhecer os
problemas e irão lidar com eles
são perceptiveis os sinais de
que a administração não tem ...
tempo
para lidar com problemas
informados pelas pessoas interesse
recursos
gerentes receptivos e disponíveis
muitas organizações criam e divulgam canais para
os funcionários se dirigirem à estrutura de
governança ou a um representante ad-hoc (membro
do comitê de auditoria, p.e.) selecionar métodos de
comunicação relevantes
COSO IC-IF 2013, p. 120
formas ativas de comunicação (reuniões presenciais, p.
e.) são mais eficazes do que formas passivas (e-mail's
ou postagens na internet, p.e.)
na transmissão verbal, o tom de voz e os sinais não
verbais enfatizam o que está sendo dito, além de
proporcionar a oportunidade de os destinatários
reagirem à comunicação
na escolha do método de
comunicação, deve-se levar em conta ...
o público
diferenças ...
culturais
étnicas
de geração
grupos grandes, pequenas
reuniões ou sessões individuais
a natureza da comunicação
a tempestividade
o custo
requisitos legais ou regulatórios
uso de mídias tecnológicasmelhor custo-benefício
comunicação vinculada à
eficácia do controle interno
requer método de retenção
ou reforço(no longo prazo)
sobre ...
código de conduta
combate à lavagem
de dinheiro
segurança corporativa
a organização comunica-se com os públicos
externos sobre assuntos que afetam o
funcionamento do controle interno
COSO IC-IF 2013, p. 122
comunicar-se com
públicos externos
COSO IC-IF 2013, p. 122
a comunicação não ocorre
dentro da entidade, apenas
há públicos
externos
há uma troca dinâmica e interativa entre a
organização e fornecedores, provedores de
logística, fabricantes contratados, etc.
informações relevantes e tempestivas aos públicos externos
(também sobre a importância do controle interno na organização)
acionistas
informações sobre os
objetivos da entidade sócios
proprietários
parceiros de negócio
(fornecedores, p.e.)precisam entender a cultura e
os valores da entidade
reconhecem suas responsabilidades
para com a conformidade ao código
de conduta da entidade
clientes
órgãos reguladores
entidades governamentais
analistas financeiros
controles são desenvolvidos e
implementados para facilitar as
comunicações externas
políticas e
procedimentos ...
para obter e receber informações de públicos
externos e compartilhá-las internamente (com
tendências, eventos, circunstâncias ...)
para indicar problemas
operacionais, atividades
fraudulentas ou erros, inclusive
proliferação de fóruns públicos e de mídias
sociais para postar e discutir temas da entidade
(inclusive sobre sentimentos acerca de qualidade)
exemplos de
controles
contratante comunica seus controles
ao fornecedor/prestador de serviço (P)
exigência de concordância prévia de
fornecedor/prestador de serviço (P)
possibilitar o recebimento
de comunicações
COSO IC-IF 2013, p. 123
inclusive sobre o
funcionamento do sistema de
controle interno da entidade
exemplos de
controles
avaliação independente dos
controles do prestador de serviços (D)
há interdependência de processos de
negócios entre a entidade e os
prestadores de serviços terceirizados
necessidade de controles mais
rigorosos sobre as
comunicações entre as partes
"feedback" de clientes sobre
a qualidade de produtos (D)
"feedback" de clientes sobre
recebimentos incompletos ou incorretos (D)
avaliação externa dos controles de
privacidade de dados transmitidos via web (D)
canais abertos de comunicação
permitem a entrada de dados de ...
clientes
consumidores
fornecedores
auditores externos
órgãos reguladores
analistas financeiros
comunicar-se com a
estrutura de governança
COSO IC-IF 2013, p. 123
informações fornecidas por avaliações externas sobre controles
da organização (TCU ou um outro terceiro) são analisadas
pela administração e, quando apropriado, comunicadas
à estrutura de governança
COSO IC-IF 2013, p. 124
para manter a conformidade com as
políticas da entidade e com leis,
regulamentos e normas externas
estrutura de governança recebe
informações relevantes oriundas de
avaliações conduzidas por grupos externos
COSO IC-IF 2013, p. 122
fornecer linhas
decomunicação
independentes
COSO IC-IF 2013, p. 124
há complexidade dos
relacionamentos de negócios entre
a entidade e as partes externas
subitem 9.1.1.4.1, TC-015.567/2018-4,
Acórdão nº 1.263/2019-TCU-Plenário
acordos com prestadores de serviços e de terceirização, "joint
ventures" e alianças (dependência mútua entre as partes)
preocupação como o negócio
está sendo conduzido pelas
partes ou entre elas
exigindo mecanismos de articulação,
comunicação e colaboração
exemplo de controle
canais de comuniação "ad-hoc" para
fornecedores e terceirizados (D)
disponibilização de canal de comunicação
independente para denúncias (quando os
canais normais estão inoperantes ou ineficazes)
permitir comunicação anônima e confidencial
(como mecanismo à prova de falhas)
selecionar métodos de
comunicação relevantes
COSO IC-IF 2013, p. 125
considerando ...
tempestividade
público (e suas expectativas)
natureza das comunicações
requisitos legais e regulatórios
meios pelos quais a administração se
comunica externamente
afetam a habilidade de obter
informações necessárias e de transmitir
mensagens sobre a organização
blogs, mídias sociais, outdoors
eletrônicos, mensagens por e-mail, etc.