O CSA – Control Self Assessment não é um substituto para a auditoria

Tenho observado que os auditores internos com certa frequência, buscam conhecimento para a aplicação da ferramenta de auto-avaliação de controles, ou como é mais conhecida, CSA – Control Self Assessment.

Claro que o CSA é uma boa ferramenta para a difusão e fortalecimento dos conceitos de riscos e controles no ambiente interno da organização, entretanto, temos que entender que esta ferramenta não é de propriedade da auditoria interna e tão pouco, substitui aplicação da metodologia de auditoria para uma avaliação independente e objetiva dos processos, riscos e controles.

Conceitualmente o CSA é uma forma estruturada que permite aos gerentes e colaboradores avaliar o sistema de controles internos, identificando e avaliando os pontos fortes e fracos em seus próprios processos, sistemas e ambientes de riscos e controle.

A orientação prática 2120 dos IPPFs do IIA define o CSA como sendo um processo formal, documentado e projetado para permitir que a administração e as equipes de trabalho compostas de indivíduos de unidades, funções ou processos de negócio, possam de forma colaborativa:

1. Identificar riscos, exposições e vulnerabilidades,

2. Avaliar os processos de controle que mitigam ou administram os riscos corporativos e de processos,

3. Desenvolver planos de ação para aperfeiçoar as ações de mitigação que permitam que os riscos sejam mantidos a níveis aceitáveis,

4. Aumentar a probabilidade de a organização alcançar os objetivos de negócio através dos ciclos e processos de negócio.

Logicamente que o CSA, de uma forma limitada, pode ser utilizado pela auditoria interna para aqueles objetos auditáveis considerados como baixo risco, principalmente na forma de questionário de controles internos.

A filosofia por trás desta ferramenta é tornar os gestores mais responsáveis pela gestão de riscos e controles internos, fortalecendo uma gestão com visão baseado riscos que abrange da definição das transações até as decisões estratégicas.

Existem três formas primárias para aplicação do CSA, as quais podem ser aplicadas de forma conjunta, são elas:

1. Oficinas de trabalho

São sessões facilitadas com gestores e seu staff para identificação, avaliação e tratamento dos riscos e controles internos. Pode ser nos seguintes formatos:

a. Formato com base no objetivo
b. Formato com base em riscos
c. Formato com base em controles
d. Formato com base em processo

Os auditores internos podem atuar como os facilitadores e coordenadores deste processo, em qualquer um dos formatos.

2. Pesquisas direcionadas

Utilização de questionário que tende a fazer perguntas binárias como “sim-não” ou “tem-não tem”. A auditoria interna pode utilizar esta forma, produzindo questionários específicos para enviar para aqueles processos, unidades ou entidades que por uma questão materialidade e/ou limitação de verba para deslocamento, possa ser enviada para os gestores responderem. É importante que o questionário seja elaborado de forma que toda resposta negativa (não ou não tem) seja uma fraqueza e necessite de um plano de ação.

3. Análises produzidas pela gerência

A gerência produz sua própria informação que pode ser quantitativa (relatórios estatísticos) ou qualitativa (narrativa ou fluxogramas). Ela é utilizada em combinação com outras formas primárias.

É importante mencionar que seja qual for a forma que será aplicada, todos os participantes deverão ser treinados e instrumentalizados. De nada adianta enviar um questionário de controles internos se o gestor não foi treinado em como analisar e responder o mesmo, ou então, realizar uma oficina de trabalho sem que os participantes conheçam os conceitos básicos de processo, risco e controle.

O auditor por sua vez, além de ser proficiente nos conceitos de governança e na aplicação da ferramenta, deve ter habilidade e conhecimento de comunicação para facilitação de oficinas de trabalho conduzindo as discussões e reflexões da equipe participante em direção dos objetivos propostos.

Para finalizar, lembro novamente que o CSA não tem o mesmo peso da avaliação independente e objetiva produzida pela Auditoria e tão pouco é substituto para a mesma.

(27.10.2017)