Congratulações, estimado leitor! É muito bom poder estar aqui novamente. Este tópico tem como objetivo abordar, de forma clara e objetiva, o

Transcrição

1 Congratulações, estimado leitor! É muito bom poder estar aqui novamente. Este tópico tem como objetivo abordar, de forma clara e objetiva, o gerenciamento de riscos corporativos e controles internos Modelo COSO, assunto que vem despertando o interesse de bancas organizadoras de concursos importantes para auditor, como o da PETROBRAS. Vamos ao assunto. Gerenciamento de Riscos e Controles Internos O modelo COSO É sempre difícil estabelecer o início preciso de determinado processo regulatório, porém podemos observar acontecimentos importantes que determinam as suas fases principais. O processo regulatório referente à modelagem de sistemas de controles internos tem um marco importante nos Estados Unidos da América, por ocasião da aprovação da lei, pelo Congresso dos Estados Unidos, em dezembro de 1977, denominada Foreign Corrupt Practices Act (FCPA). A referida lei restringiu-se a sociedades anônimas por ações, registradas sob o parágrafo 12 da Lei de Mercado de Capitais publicada em 1934 (Securities and Exchange Act), sobre a esteira do grande crash do mercado de capitais em A motivação embrionária desta lei foi relacionada a subornos de funcionários estrangeiros por empresas de capital aberto (public listed companies) e, através de especificações e prescrições de controle interno exigidas destas empresas, visou-se reduzir o risco de ocorrência de pagamentos ilegais ou questionáveis no exterior (não-conformidades). As empresas, sob esta lei, foram obrigadas a criar, implementar e manter sistemas de controle que oferecessem garantias razoáveis de que as transações fossem registradas em conformidade com os princípios contábeis geralmente aceitos (PCGA ou GAAP), e que seus ativos fossem devidamente contabilizados, assim como os respectivos acessos aos ativos devidamente controlados. Em virtude desta lei, a sociedade norte-americana e mais especificamente os stakeholders envolvidos na sua implementação - contadores, auditores, administradores e empresas - iniciaram estudos para estabelecer padrões de processos de controles internos razoáveis. Os auditores independentes, por intermédio de seu Instituto - American Institute of Certified Public Accountants (AICPA), em seu Statement of Auditing Standard 55 (SAS 55), de abril de 1988, pregavam que a administração deveria estabelecer uma estrutura de controle interno composta por três elementos básicos: ambiente de controle, sistema contábil e procedimentos de controle. Um estudo legendário a esse respeito foi

2 realizado pela Treadway Commission da National Commission on Fraudulent Financial Reporting, a partir de Recomendado pela Treadway Commission, no sentido de desenvolver-se uma definição comum de controle interno com as diretrizes processuais adequadas ao acompanhamento desse controle interno, criou-se o Comitê das Organizações Patrocinadoras - Committee of Sponsoring Organizations of the Treadway Commission (COSO), em Sendo assim, o COSO (Committee of Sponsoring Organizations of the Treadway Commission Comitê das Organizações Patrocinadoras) surgiu a partir da preocupação de algumas entidades norte-americanas de auditoria e administração com a ocorrência de fraudes nas demonstrações contábeis de empresas de grande vulto. Seu principal foco era no controle interno das organizações. O COSO é uma entidade sem fins lucrativos, dedicada à melhoria dos relatórios financeiros através da ética, efetividade dos controles internos e adoção das melhores práticas de governança corporativa, cujo objetivo é auxiliar as entidades empresariais e demais organizações a avaliar e aprimorar seus sistemas de controle interno. Levando em consideração outro enfoque, podemos considerar que o risco é tudo aquilo que foge ao nosso planejamento. Entende-se como uma variação ao que foi inicialmente planejado, a possibilidade de que algo não venha a dar certo devido a ocorrência de situações desfavoráveis ou não conformidades. Envolve aspectos qualitativos e quantitativos das incertezas em relação às perdas/ganhos e aos rumos dos acontecimentos planejados. Dessa forma, o foco na gestão de riscos corporativos está relacionado com eventos que possam afetar o alcance de objetivos organizacionais e também com a parte preventiva, a modelagem de sistemas de controles internos. Ao implementarmos nas organizações uma estrutura voltada para a gestão global de riscos é recomendável como prevenção a utilização de estruturas de controles internos com base nos modelos COSO 1 (Internal Control Framework) e COSO 2 (Enterprise Risk Management-ERM), os quais vou abordar a partir de agora. O modelo de controle interno COSO 1 aborda as necessidades e expectativas da gestão organizacional e apresenta uma modelagem comum para sistemas de controle interno, a qual possa servir de base para as organizações em geral. Procura fornecer um referencial contra o qual as organizações grandes ou pequenas, públicas ou privadas,

3 com fins lucrativos ou não possam avaliar os seus sistemas de controle e determinar como melhorar seu desempenho. No modelo COSO 1 o controle interno é definido como um processo conduzido pela diretoria de uma entidade ou administração, gestão ou pessoa, destinado a fornecer uma garantia razoável quanto à concretização dos objetivos organizacionais nas seguintes categorias: 1.Efetividade e eficiência nas operações; 2.Confiabilidade nos relatórios financeiras; e 3.Atendimento às leis e regulamentos aplicáveis (compliance). Continuando, o modelo COSO 1 aborda o controle interno como um processo estabelecido pela Diretoria ou Conselho de Administração, configurado para proporcionar razoável segurança de que cinco componentes, derivados da forma como estão integrados com o processo de gestão organizacional, sejam observados: ambiente de controle; avaliação de risco; procedimentos de controle; informação e comunicação; e monitoramento. O primeiro componente do modelo COSO 1, ambiente de controle, define a forma como uma organização influencia a consciência de controle dos seus funcionários e como estabelece uma filosofia de tratamento dos riscos corporativos. É a base para todos os outros componentes do processo de controle interno, proporcionando disciplina e estrutura adequada. Os fatores relacionados com o ambiente de controle incluem a integridade e valores éticos; a competência das pessoas da entidade; o estilo operacional; aspectos relacionados com a gestão; e a forma de atribuição de autoridade e responsabilidade. A postura da alta administração, representada pela Diretoria ou Conselho de Administração, desempenha papel determinante para o ambiente de controle, ao deixar claro para seus comandados quais são as metas, as políticas, os procedimentos e o código de conduta a serem adotados. O importante é que tais informações sejam claras a todos os componentes da organização. Cabe ressaltar que se a entidade não possui objetivos e metas bem estabelecidas não haverá a necessidade de controles internos. Cabe ressaltar que as pessoas nem sempre executam suas tarefas de uma forma uniforme e consistente, em virtude de suas experiências e habilidades técnicas específicas. Portanto, devem conhecer suas responsabilidades e seus limites de autoridade. Para isso, é necessário que exista uma relação clara entre as atribuições de cada um e a forma pela qual as atribuições são realizadas.

4 Em relação à avaliação dos riscos, segundo componente, as organizações cotidianamente enfrentam uma série de riscos provenientes de fontes externas e internas, chamados de ameaças e fatores de fraqueza, os quais devem ser avaliados, semelhante a elaboração de uma matriz SWOT 1. A referida avaliação consiste na identificação e análise dos riscos relevantes para o alcance dos objetivos, formando uma base para determinar como os riscos devem ser geridos. Uma condição prévia para avaliação dos riscos é o estabelecimento dos objetivos organizacionais, indicado no primeiro componente, ambiente de controle, associado aos diferentes níveis e situações organizacionais. A avaliação de riscos funciona como uma avaliação das condições internas, externas e previsões futuras da organização, em algumas situações implementadas pelas auditorias interna e externa. As atividades de controle, terceiro componente, são as políticas e procedimentos que ajudarão a garantir a realização das diretivas da gestão e não ocorrência de situações desfavoráveis e não-conformidades. As atividades de controle ajudam a assegurar que as ações necessárias sejam tomadas, no momento e proporção adequada, para neutralização dos riscos, contribuindo dessa forma para a realização dos objetivos da organização. As atividades de controle ocorrem em toda a organização, em todos os níveis e em todas as funções. Possui como referência uma gama de atividades, incluindo as aprovações, autorizações, verificações, reconciliações, monitoramento, revisões sobre o desempenho operacional, segregação de funções, culminando na proteção de ativos. As atividades de controle funcionam como partições de um sistema de controle maior, possuindo importância estratégica ao manter as organizações nos trilhos e rumos pretendidos. Continuando, as informações pertinentes, quarto componente, devem ser identificadas, capturadas e transmitidas em formato e prazos que permitam às pessoas conduzir suas tarefas e responsabilidades da forma mais adequada. Para isso, os sistemas de informação deverão produzir relatórios gerenciais contendo informações 1 É uma ferramenta utilizada para fazer análise de cenário ou de ambiente, sendo usada como base para gestão e planejamento estratégico de corporações ou empresas. A elaboração da matriz SWOT visa explicitar as interações relevantes entre as oportunidades e ameaças, pontes fortes e pontos fracos, que serviram de base para identificação dos principais objetivos estratégicos.

5 econômicas, financeiras, físicas e de produtividade, que possibilitarão o planejamento, controle e tomada de decisão. Por fim, as atividades de monitoramento, quinto componente, incluem a observação dos sistemas de controle interno, através de processos que possam avaliar a qualidade do seu desempenho ao longo do tempo e efetividade. Isto é conseguido através de atividades de monitoração em curso, avaliações em separado, ou a combinação de ambas as situações. Em relação aos papéis e responsabilidades inerentes à observação dos cinco componentes acima citados, o modelo COSO 1 ensina que, nas organizações, a gerência de nível intermediário é a responsável perante o Conselho de Administração pelo acompanhamento desses cinco componentes. Ao selecionar os gestores, o conselho de administração exerce um papel importante na definição do que o mesmo espera em relação à integridade e valores éticos, passando a confirmar suas expectativas através da fiscalização de suas atividades. Em 2001 o COSO iniciou estudos com o objetivo de desenvolver uma estrutura que fosse prontamente utilizável pelos administradores para avaliar e melhorar o gerenciamento dos riscos numa organização, independente de seu porte. Os estudos deram origem ao Enterprise Risk Management-ERM (Gerenciamento Corporativo de Riscos), o modelo COSO 2, considerado estrutura mais abrangente em relação à gestão de riscos corporativos com terminologia comum, mas que não possui a pretensão de substituir o modelo COSO 1 (Internal Control Framework). Na próxima aula veremos com mais detalhes a modelagem COSO 2 e a resolução dos exercícios abaixo. Por hoje é só. Caso queiram entrar em contato para dirimir dúvidas meu é prof.calex@hotmail.com. Abraço a todos! Exercícios 1- (Auditor PETROBRAS - Adaptada) Os objetivos de um sistema de controle interno são, EXCETO: a) Obtenção de informação adequada. b) Estimulação do respeito e da obediência às políticas da administração. c) Proteção dos ativos. d) Promoção da eficiência e eficácia operacional. e) busca de possíveis erros e fraudes na organização objeto dos trabalhos; 2- (Auditor Júnior-PETROBRAS 2008) A metodologia estabelecida pelo COSO (Committee of Sponsoring Organizations of the Treadway Commission) foi concebida com a finalidade de auxiliar na gestão empresarial, estabelecendo um padrão de

6 melhores práticas de controles internos. Os cinco componentes básicos definidos pelo COSO (1a Edição) devem estar alinhados para atender os objetivos ligados a: a) produtividade operacional, transparência e confiabilidade dos relatórios gerenciais e melhoria no ambiente de controle. b) eficiência no processo de gestão de riscos, capacitação operacional e transparência da alta administração. c) conformidade legal (compliance), eficiência na avaliação de riscos e transparência na comunicação interna. d) eficácia e eficiência das operações, confiabilidade nas demonstrações financeiras e cumprimento de leis e normas (compliance). e) confiabilidade no ambiente de controle interno, capacitação e treinamento de pessoal e agilidade nos fluxos e processos internos. 3- (Auditor Júnior-PETROBRAS 2010) Uma das metodologias aceitas pelo mercado para estruturar o sistema de controles internos é o COSO (Committee of Sponsoring Organizations of the Treadway Commission). O COSO, em sua primeira versão, dividiu a estrutura de controle interno em cinco componentes interrelacionados, entre os quais estão o ambiente de controle e a avaliação de riscos. A esse respeito, considere os componentes a seguir: I - Comitê de auditoria II - Atividades de controle III - Informação e comunicação IV - Monitoramento V - Revisão de desempenho Além dos dois componentes mencionados, constituem a estrutura de controle interno do COSO os componentes: a) I, II e III. b) I, II e V. c) I, IV e V. d) II, III e IV. e) III, IV e V. 4- (Auditor PETROBRAS- Adaptada) Pelo modelo COSO o controle interno é um processo constituído de alguns elementos inter-relacionados e presentes em praticamente todos, conforme descrito abaixo, EXCETO: a) Ambiente de controle; b) Avaliação e gerenciamento de riscos; c) eficácia e eficiência de operações c) Atividades de controle; d) informação e comunicação; 5- Em relação aos enunciados abaixo, marque certo (C) ou errado (E): a) (Auditor PETROBRAS- Adaptada) O modelo COSO, indicado para práticas de controle interno é um modelo de estrutura de controles internos orientado para o entendimento e o gerenciamento dos riscos associados, além de assegurar a integridade da informação e dos sistemas de informação ( )

7 b) (Auditor PETROBRAS- Adaptada) O modelo COSO recomenda que a avaliação do processo de controle interno deve ser pontual ao longo do tempo, podendo ser mensal, trimestral ou anual. O modelo estabelece ainda que um sistema de controle interno deve conter cinco componentes inter-relacionados: Ambiente de Controle; Avaliação de Riscos; Atividade de Controle; Informação e Comunicação; e Monitoramento ( ) Referencial Teórico COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION. Enterprise risk management. Recuperado em 20 de abril, 2010, de < COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION. Internal control: integrated framework (Two-volume edition). Disponível em: < Acesso em: 14 dez ROSA, Jorge R.P. Gestão de Controles Internos, Sarbanes e Governança Corporativa. Universidade Federal Fluminense - UFF, PGCA- 2008; ZONATTO, V; BEUREN, I. Evidenciação da gestão de riscos do COSO (2004) nos relatórios de administração de empresas com ADR s. Contabilidade, Gestão e Governança - Brasília v. 12 n. 3 p set/dez 2009.