Módulo 3 Visão geral dos controles do COSO e exercícios
Estruturas e Metodologias de controle adotadas na Sarbanes Lei Sarbanes Oxley COSO – Committee of Sponsoring Organizations of the Treadway Commission Em 1975, foi criado, nos Estados Unidos, a Nacional Commission on Fraudulent Financial Reporting (Comissão Nacional sobre Fraudes em Relatórios Financeiros), uma iniciativa independente, para estudar as causas da ocorrência de fraudes nos relatórios financeiros/contábeis. Esta comissão era composta por representantes das principais associações de classe de profissionais ligados à área financeira. Seu primeiro objeto de estudo foram os controles internos. Posteriormente a Comissão transformou-se em Comitê, que passou a ser conhecido como COSO. O COSO - Committee of Sponsoring Organizations of the Treadway Commission é uma entidade sem fins lucrativos foi criada em 1985 a fim de assessorar a Comissão Nacional sobre Relatórios financeiros fraudulentos. Trata-se de uma iniciativa privada independente, encarregada de estudar fatores que podem levar à geração de relatórios fraudulentos e elaborar recomendações para empresas abertas, para seus auditores, instituições educacionais, para a SEC e outros reguladores. As recomendações do COSO são tidas como referência para controles internos. Por controle interno, o COSO entende como sendo todo processo conduzido pela diretoria, conselheiros ou outros empregados de uma companhia, no intuito de prover uma razoável garantia com relação ao cumprimento das metas da organização. Em 1992, publicou o trabalho Internal Control – Integrated Framework (Controles Internos – Um Modelo Integrado). Esta publicação tornou-se referência mundial para o estudo e aplicação dos controles internos.
Definição de Controles Internos
O Comitê trabalha com independência, em relação as suas entidades patrocinadoras. Seus integrantes são representantes da indústria, dos contadores, das empresas de investimento e da Bolsa de Valores de New York. O Trabalho do COSO, objetivo – Controle Interno, entenda-se por Controle Interno um processo desenvolvido para garantir, com razoável certeza, que sejam atingidos os objetivos da empresa, nas seguintes categorias: Eficiência e efetividade operacional – objetivos e desempenho ou estratégia: esta categoria está relacionada com os objetivos básicos da entidade, inclusive com os objetivos e metas de desempenho e rentabilidade, bem como da segurança e qualidade dos ativos; Confiança nos registros contábeis/financeiros – objetivos de informação : todas as transações devem ser registradas, todos os registros devem refletir transações reais, consignadas pelos valores e enquadramentos corretos. Conformidade – objetivos de conformidade: com as leis e normativos aplicáveis à entidade e sua área de atuação.
A gestão tem responsabilidade fundamental no desenvolvimento e manutenção de controles internos efetivos.
Razão dos Controles Internos Controle interno é o nome da gestão de riscos associada com programas e operações da organização
Internal Controls
Procedure1
Procedure2 Procedure3
Organização
Policies
Procedimentos
Políticas
Controles Internos – organização, políticas e procedimentos – são ferramentas para ajudar a gestão financeira a atingir os resultados e proteger a integridade de seus planos de ação.
Estruturas e Metodologias de controle adotadas na Sarbanes COSO Todo fundamento por trás do COSO (2005) está baseado em 4 conceitos chave: Controles internos: a. b. c. d.
São processos; São conduzidos por pessoas; Ajudam a ter uma garantia razoável a respeito da qualidade da informação; São gerados para se alcançar objetivos específicos. O COSO inicialmente era composto por 5 componentes em 2004 foi ampliado para 8, foram acrescentados:
• • •
Estabelecimento de Objetivos Identificação de Eventos Resposta ao Risco
Lei Sarbanes Oxley
Estruturas e Metodologias de controle adotadas na Sarbanes COSO
Lei Sarbanes Oxley
O COSO apresenta 8 dimensões que devem ser abrangidas em um sistema de controles internos, são elas:
+
Estratégia de resposta ao risco
Transferir
Evitar
Controlar
Mitigar
Impacto
Ambiente de controle; Estabelecimento de metas; Identificação de problemas; Avaliação de risco; Resposta ao risco; Atividades de controle; Informações e comunicações; Monitoramento.
-
-
Probabilidade
+
Ambiente Interno de Controle O Ambiente interno de controle estabelece o tom da organização e influência a consciência / percepção de seus membros sobre a questão de controle (sua cultura de controle). É a base para todos os outros componentes dos controles internos, provendo disciplina e estrutura. Fatores do ambiente de controle incluem integridade, ética, valores, competência das pessoas, filosofia e estilo de operação do gerenciamento; a forma de gerenciamento define autoridades e responsabilidades, organiza e desenvolve as pessoas envolvidas.
Cultura de controle de uma organização.
Estabelecimento de Objetivos Os objetivos devem existir antes da gestão identificar os eventos potenciais que podem afetar seu sucesso. A gestão de riscos organizacionais garante que o gerenciamento tenha implantado um processo para estabelecer objetivos e que a escolha destes objetivos esteja alinhada e suportada com a missão da entidade e seja consistente com seus riscos.
O nível de controle deve ser entendido e consensado pela organização
Identificação de Eventos Eventos internos e externos afetando os resultados dos objetivos de uma entidade devem ser identificados entre riscos e oportunidades. Oportunidades ajudam a estratégia do gerenciamento ou o processo de estabelecimento de objetivos.
Eventos são situações que podem afetar os processos de controles da organização
Avaliação de Risco Toda entidade enfrenta uma variedade de riscos de fontes internas e externas que devem ser avaliadas. Uma pré-condição para avaliação de risco é o estabelecimento e realização de objetivos. Avaliação de risco é a identificação e análise de riscos relevantes para o atendimento dos objetivos. Isto forma uma estrutura para determinação de como os riscos deverão ser gerenciados. Mudanças continuas sempre são necessárias por isso são necessários mecanismos, condições de operação e regulamentos para identificar e gerenciar riscos relacionados as mudanças.
A avaliação dos fatores internos e externos que têm impacto no desempenho de uma organização
Resposta ao Risco O gerenciamento deve escolher a resposta ao risco: evitar, aceitar, reduzir, compartilhar o risco e estabelecer ações apropriadas aos riscos em função da tolerância ao risco da entidade, isto é risco residual aceito.
Mitigar o risco
Atividades de Controle Atividades de controle são as políticas e procedimentos que ajudam a garantir as diretivas da gestão e as ações necessárias a serem tomadas para os riscos identificados que podem prejudicar os objetivos. Elas incluem diversas atividades como autorizações, verificações, conciliações, revisões de desempenho das operações, segurança de ativos e segregação de funções.
Atividades de Controles sobre processos pelos gestores, manuais ou automatizadas, para assegurar que as ações sobre riscos são executadas
Informação e Comunicação Informações pertinentes devem ser identificadas, coletadas e comunicadas em um formulário com dados situados ao longo do tempo, possibilitando às pessoas cumprirem com suas responsabilidades. Sistemas de informação produzem relatórios contendo finanças, operações existentes, informações relativas a adequação que tornam possível conduzir e controlar uma operação. Tais sistemas lidam tanto com informações internas quanto com informações de eventos externos, atividades e situações. Comunicações eficazes devem fluir por toda a organização. Todo o pessoal deve receber uma mensagem clara da alta gerência de que o controle de responsabilidades deve ser levado a sério. Eles devem ter um meio de comunicar informações significativas. A comunicação também precisa de ser eficaz com partes externas, como contribuintes, outras agências, fornecedores, governo e reguladores.
O processo que assegura que informações relevantes são identificadas e comunicadas
Monitoramento Sistemas de controle interno precisam ser monitorados. Isto é conseguido por meio do monitoramento de atividades em andamento, avaliações separadas ou por uma combinação dos dois. Monitoramento e atividades em andamento incluem gestão regular e atividades de supervisão, e outras atividades que o pessoal executa ao realizar suas tarefas. O escopo e a freqüência de avaliações separadas, depende basicamente de avaliações de risco e efetividade dos processos de monitoramento que estão sendo realizados. Deficiências de controle interno devem ser relatadas a níveis superiores dentro da hierarquia.
Objetiva determinar se o controle interno está adequadamente desenhado e monitorado
Estruturas e Metodologias de controle adotadas na Sarbanes COSO Estrutura COSO de Controles Internos Controles Internos sobre Relatórios Financeiros – SOX 404
Fonte: Deloitte – Seminário IBGC - 2004
Lei Sarbanes Oxley
COSO – Mecanismos Ilustrativos de Identificação de Eventos de riscos (Processo contínuo orientado pela Alta Administração e Gestores) Mecanismo – captar de
Indústria/conferências técnicas Sites na internet de companhias similares e campanhas publicitárias Lobistas Políticos Reuniões sobre gerenciamento de riscos internos Relatórios de Referência de níveis Arquivamentos reguladores de Competidores Índices externos chave Índices/riscos internos chave & medidas de desempenho Novas decisões legais Relatórios de média Relatórios mensais administrativos Relatórios analíticos Quadro de boletim eletrônico e notificações de serviços Jornais de indústrias, comércio e profissional Tempo de lançamento de novos produtos versus competidores Traçar um perfil de ligações para o serviço a clientes Fornecimento em tempo real das atividades financeiras do mercado
Fatores externos
Fatores internos
Econo mia
Ambiente Natural
Político
Social
Tecno logia
Infra estrutura
Pessoal
Processos
Tecno logia
x x
x
x
x
x x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x x x x x x x x x x x x
x
x
x x x
x x x x
x x x
x
x
x x
x x
x
x
x
x
x x
x
COSO – Fluxograma de Informações dentro da Administração de Riscos da Empresa Ambiente Interno • Filosofia da Administração de Riscos • Propensão a Riscos
Estabelecimento de Objetivos • Objetivos
• Inventário de oportunidades
•Unidades de medida
Identificação do Evento • Inventário dos riscos
Avaliação dos Riscos • Riscos inerentes avaliados
• Reações aos riscos
• Riscos residuais avaliados
Reações aos Riscos • Reações aos riscos • Visão do Portfólio
Atividades do Controle
• Saídas • Indicadores • Relatórios
Monitoração
Controles Internos Devem Ser Integrados Nos Processos
Finanças & Administração
Controles Internos
Programas
Tecnologia da Informação
Lei Sarbanes Oxley
Maturidade dos Controles Internos Desconfiança
Informal
Normalizado
Monitorizado
Otimizado
Ambiente imprevisível, onde as atividades de controle não são previstas ou implementadas.
Atividades de controle previstas e a funcionar, não documentadas de modo adequado.
Atividades de controle previstas e a funcionar, documentadas de modo adequado.
Controles normais, funcionando efetivamente, testados com regularidade.
Controles internos integrados com monitoramento em tempo real pela gestão.
Intranqüilidade pouco ou nenhum conforto.
Sei como está organizado e conheço os controles.
Poucos conhecimentos ou mesmo ignorância dos controles.
Já há algum conforto.
Existe um processo de melhoria contínua.
Exercícios Indique se é Verdadeiro ou Falso: ( ) Controles internos começam com o estabelecimento de políticas e procedimentos. ( ) Auditores internos e externos são responsáveis por desenvolver e monitorar controles internos. ( ) Controles internos estão, na maioria das vezes, relacionados com o controle de ativos, contas a pagar e a receber. ( ) Controles internos são essencialmente negativos. ( ) Controles internos levam tempo para serem realizadas e atrapalham as atividades do negócio. ( ) Quando a organização delega responsabilidade e autoridade aos funcionários deve também delegar os controles internos relacionados ( ) Se os controles são robustos nós podemos garantir que os funcionários não serão capazes de realizar qualquer fraude. Responda - Indique 3 tipos de impedimentos para o estabelecimento efetivo dos controles internos: ________________________________ Responda -Indique os 8 componentes do COSO: ___________________________
Resposta dos exercícios Indique se é Verdadeiro ou Falso: ( F ) Controles internos começam com o estabelecimento de políticas e procedimentos. (Controles Internos começam com um robusto ambiente de controle) ( F ) Auditores internos e externos são responsáveis por desenvolver e monitorar controles internos. (A gestão é responsável pelos controles internos) ( F ) Controles internos estão, na maioria das vezes, relacionados com o controle de ativos, contas a pagar e a receber. (Controles Internos devem integrar todos os processos do negócio) ( F ) Controles internos são essencialmente negativos. (Controles Internos fazem as coisas acontecerem certas da primeira vez) ( F ) Controles internos levam tempo para serem realizadas e atrapalham as atividades do negócio. (Controles internos devem ser realizados junto com as atividades dentro da mesma estrutura e não de forma paralela) ( F ) Quando a organização delega responsabilidade e autoridade aos funcionários deve também delegar os controles internos relacionados. (Decisões descentralizadas requerem diversas formas de controle) ( F ) Se os controles são robustos nós podemos garantir que os funcionários não serão capazes de realizar qualquer fraude. (Controles Internos provêem uma garantia razoável, mas não absoluta) Indique 3 tipos de impedimentos para o estabelecimento efetivo dos controles internos: falta de interesse, falta de liderança, falta de criatividade, falta de conhecimento. Indique os 8 componentes do COSO: 1- Ambiente de controle; 2- Estabelecimento de metas; 3Identificação de problemas; 4- Avaliação de risco; 5- Resposta ao risco; 6- Atividades de controle; 7- Informações e comunicações; 8- Monitoramento.
Fim do módulo 3