Como atestar a eficiência dos controles internos de prestadores de serviço

O ambiente cada vez mais competitivo em que vivem as empresas faz com que, frequentemente, sejam adotados modelos de gestão com maior foco no negócio e na redução de custos. Essa tendência é comprovada pelo aumento da terceirização de processos de negócio e de tecnologia da informação para empresas especializadas na prestação de serviços.

Há alguns anos, preocupações relacionadas a riscos para a segurança e integridade das informações eram mais relevantes do que preocupações com custos. Os ambientes de negócio e de tecnologia eram mais estáveis e menos complexos e não se pensava em terceirizar, por exemplo, a infraestrutura de TI para processos críticos das empresas. Hoje, com o aumento da complexidade dos sistemas e dos custos dos ambientes tecnológicos, o que muitas vezes não é mais viável, é manter uma estrutura de TI própria.

Com isso, os controles críticos para o negócio estão sendo terceirizados com os processos que passam a ser executados por um prestador de serviços. Em decorrência da terceirização, a governança corporativa e o desempenho operacional das empresas passam a ser impactados pelas práticas dos seus prestadores de serviços, provocando mudanças nas características dos riscos das instituições. O assunto será aprofundado em palestra no 18º CNASI – Congresso de Auditoria em TI, Segurança da Informação e Governança, que será realizado em São Paulo entre os dias 22 e 24 de setembro.

Ao mesmo tempo que os controles internos sofrem os impactos dessas mudanças, crescem também as exigências do mercado por maior transparência e melhores práticas de governança fazendo reguladores, nacionais e internacionais, parceiros e acionistas requererem das empresas maiores informações sobre o seu ambiente de controles internos.

Para atender a essa nova demanda, as empresas necessitam criar mecanismos para demonstrar que dispõem de controles internos adequados, assim como para obter informações sobre a qualidade dos controles relevantes para seu negócio, os quais, muitas vezes, estão sendo executados por prestadores de serviços.

Alguns questionamentos para as empresas que terceirizam processos-chave para seu negócio são: Você está preocupado se os sistemas utilizados pelos seus prestadores estão preparados para gerar suas informações de forma completa e correta? Como você obtém conforto de que seus prestadores de serviços estão operando de acordo com seus padrões de qualidade? Você gostaria de ter maior segurança sobre sua cadeia de fornecimento, incluindo a capacidade de seus parceiros comerciais em atingir seus objetivos?

Um relatório de asseguração, feito por uma entidade independente, é um meio para demonstrar, de forma efetiva, o atendimento a questões regulatórias e contratuais, possibilitando aumento da confiabilidade e transparência a partes interessadas, bem como manter a governança dos controles que mitigam riscos a organização.

Normalmente, o processo para emissão de um relatório de asseguração compreende uma etapa de preparação, em que é realizado o diagnóstico da situação atual, a identificação e avaliação dos processos e controles e a apresentação de oportunidades de aprimoramento. Na sequência, pode ser realizada uma etapa de pré-auditoria, para medição da aderência dos processos e controles a critérios definidos, e, por fim, a etapa de asseguração visando à emissão de um relatório que pode ser divulgado a terceiros.

Para avaliar os controles utilizados por terceiros, existem alguns padrões reconhecidos internacionalmente e que são utilizados por empresas de auditoria na emissão de relatórios de asseguração. Um dos mais conhecidos é o Statement on Auditing Standards (SAS) No. 70, Service Organizations, do American Institute of Certified Public Accountants (AICPA).

O relatório SAS 70 é uma fonte de informação padronizada, reconhecida internacionalmente, a qual exprime a opinião independente sobre o desenho e a eficácia dos controles internos de um prestador de serviços relacionados aos processos que fazem parte do fluxo de informações das demonstrações financeiras de seus clientes. Ele fornece as informações necessárias para quem audita as demonstrações financeiras de uma organização, bem como para os executivos responsáveis pela administração do negócio.

Outro padrão é o International Standard on Assurance Engagements
(ISAE3000), também reconhecido no âmbito nacional pela NPO1 do IBRACON - Instituto dos Auditores Independentes do Brasil, utilizado pelos auditores para emissão de relatório de asseguração sobre diferentes temas, podendo envolver questões qualitativas e quantitativas.

As vantagens de um trabalho de asseguração para atestar a eficiência dos controles internos de prestadores de serviço podem ser identificadas por duas perspectivas: a do prestador de serviços e a do cliente que contrata os serviços. Para o primeiro, pode-se destacar o atendimento a questões regulatórias e contratuais, a diferenciação dos concorrentes, o aprimoramento da qualidade de seus serviços, maior transparência e confiabilidade com seus clientes e menor tempo para atendimento a auditorias.

Para o segundo, os principais benefícios são: obtenção de uma opinião independente sobre o prestador de serviço, aprimoramento de questões relacionadas a governança, menor custo na auditoria dos terceiros e obtenção de informações detalhadas, o que possibilita melhor entendimento e transparência dos controles do prestador de serviços.

É importante lembrar que o uso de prestadores de serviços não reduz a responsabilidade da administração por manter controles internos efetivos sobre seus processos e, dessa forma, a administração das organizações que contratam serviços precisa ter conhecimento dos riscos envolvidos e instituir mecanismos para avaliar os controles implementados nos seus prestadores.

Por Renata Romariz, gerente sênior da PricewaterhouseCoopers e especialista na área de melhoria de processos, gestão de riscos e compliance.

.

XVIII CNASI – Congresso Latinoamericano de Auditoria, Segurança da Informação e Governança em TI Data: 22, 23 e 24 de setembro de 2009 Local: Centro de Convenções Frei Caneca – São Paulo Endereço: Rua Frei Caneca, 569, 4º andar, Cerqueira César Horários: Congresso, das 8h30 às 21h00; Exposição, das 10h00 às 19h00 Promoção: IDETI Eventos em TI Informações: 55-11-5531-3899 Site: www.cnasi.com.br Apoio: Consist, (ISC)², Ação Infomática, Alphaware, Stonesoft, Autoseg, F-Secure, IBM, Inspirit, Mtel, Order, Panda, PBTI, Prodam, TechBiz, Aurus, Trustwave, Winco e AVG.

Informações à imprensa:
Paulo Burnquist
paulo.burnquist@gmail.com
11-5575-1233 ramal 224
11-8019-8935
msn: pauloleeb@hotmail.com