UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU INSTITUTO A VEZ DO MESTRE

Transcrição

1 UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU INSTITUTO A VEZ DO MESTRE O PAPEL DA ÁREA DE CONTROLES INTERNOS NA GESTÃO DE RISCO Por: Alexandre da Conceição Hermenegildo Orientador Prof. Luciano Gerard Rio de Janeiro 2010

2 2 UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU INSTITUTO A VEZ DO MESTRE O PAPEL DA ÁREA DE CONTROLES INTERNOS NA GESTÃO DE RISCO Apresentação de monografia à Universidade Candido Mendes como requisito parcial para obtenção do grau de especialista em Auditoria e Controladoria Por: Alexandre da Conceição Hermenegildo

3 3 AGRADECIMENTOS Primeiro a Deus, aos amigos Marcelo e Kelli que me apoiaram quando mais precisei, aos professores.

4 4 DEDICATÓRIA Dedica-se a minha mãe Eliana quem acreditou que seria possível, a minha esposa Girlene e meu filho Alexandre Henrique, a minhas irmãs Elaine e Beth e meu tio Rosalvo.

5 5 RESUMO O Risco inerente a qualquer atividade de negocio nas organizações, na qual a consciência do risco e a capacidade de administrá-lo aliados a disposição de correr risco e tomar decisões são elementos chaves. Portanto, mapear e administrar riscos em processos tornou-se sinônimo de desafio e oportunidade. O Controle Interno tem mostrado que o resultado das iniciativas de negocio que o risco pode ser administrado a fim de subsidiar os gestores na tomada de decisão, visando a alcançar objetivos e metas dentro do prazo, do custo e das condições pré-estabelecidas de maneira eficiente para evitar desvios ou restringi-los a um nível tolerável. Refletir sobre esta área pouco conhecida no mercado, mas que cresceu após as series de escaldá-los financeiros, Crises nas bolsas e queda das diversas economias do mundo que acarretaram desconfiança do mercado investidor.

6 6 METODOLOGIA Os procedimentos metodológicos utilizados pautaram-se na pesquisa bibliográfica em assuntos que influenciam objeto do trabalho, quer sejam através de livros editados artigos e apostilas trabalhadas durante o curso. Lei Sarbanes Oxley Coso, PMBOOK 2000 e ISO que são diferentes sistemas controles estruturados com base em elementos de gestão que permitem o gerenciamento dos riscos.

7 7 SUMÁRIO INTRODUÇÃO 08 CAPÍTULO I - Lei Sarbanes-Oxley 12 CAPÍTULO II - Coso 17 CAPÍTULO III Auditoria Interna 25 CAPITULO IV Gestão de risco 31 CAPITULO V- Controles Internos 37 CONCLUSÃO 39 BIBLIOGRAFIA CONSULTADA 40

8 8 INTRODUÇÃO A tarefa administrativa nas próximas décadas será incerta e desafiadora, pois deverá ser atingida por uma infinidade de variáveis, mudanças e transformações carregadas de ambigüidades e incertezas. O administrador verá problemas diversificados e cada vez mais complexos do que os anteriores e sua atenção será disputada por eventos e por grupos situados dentro da organização ou Controles Internos que proporcionaram informações para diagnostico perceptivo e visão dos problemas a resolver ou das situações a enfrentar para mitigar os riscos de afetar profundamente a empresa, como as exigências da sociedade, dos clientes, fornecedores, agências regulamentadoras, os desafios dos concorrentes, as expectativas da alta administração, dos subordinados, dos acionistas e catástrofes ambientais. Porém essas exigências tendem a aumentar, em face da inclusão de novas variáveis à medida que o processo se desenvolver criando uma turbulência que complica a função administrativa de planejar, organizar, dirigir e controlar uma empresa eficiente e eficaz. O futuro parece complicar cada vez mais essa realidade e o papel fundamental do controle interno como ferramenta de gestão de risco adequado à empresa e bem estruturado pela alta administração, pode propiciar uma razoável margem de garantia de que os objetivos e metas serão atingidos de maneira eficiente e estabelecer medidas para evitar desvios ou restringi-los a um nível tolerável. Alguns fatores influenciam grandes impactos nas organizações: O mercado cada vez mais globalizado e a internacionalização dos negócios, as empresas não enfrentam mais uma concorrência local, regional ou setorial, e sim uma a nível mundial; por isso todo esforço desprendido eficazmente, cada economia realizada no processo produtivo fará fardo cada vez maior e difícil de suportar. A visibilidade maior das Empresas, enquanto crescem as organizações, tornam-se competitivas, mais sofisticadas, internacionalizam - se mais, e com isso aumentam sua influência ambiental, ou seja, as organizações

9 9 chamam mais atenção do ambiente e do publico e passam a ser mais percebidas pela opinião publica. Todos esses desafios trarão uma conseqüência para administração das organizações e empresas é a Gestão de Risco, as mudanças rápidas e bruscas, o crescimento organizacional, a concorrência das demais organizações, o desenvolvimento tecnológico, os fenômenos econômicos da inflação a internacionalização das atividades a visibilidade e interferência da opinião publica farão com que as organizações do novo milênio passam a lidar não mais com a previsibilidade, continuidade e estabilidade em todos os setores de atividade, mas com a imprevisibilidade, descontinuidade e instabilidade. A Gestão de Riscos, já vem sendo observada pelas agências de rating (Standard&poors, Fitch etc) para avaliar o rating das empresas e mostrar para o investidor quais são menos arriscados para se investir. O risco inerente a qualquer atividade de negocio nas organizações, na qual a consciência do risco e a capacidade de administrá-lo, aliados a disposição de correr riscos e tomar decisões, são elementos chaves. Portanto, mapear e administrar riscos em processos tornou-se sinônimo de desafio e oportunidade. O resultado das iniciativas de negocio revela que o risco pode ser administrado, a fim de subsidiar os gestores na tomada de decisão, visando a alcançar objetivos e metas dentro do prazo, do custo e das condições pré-estabelecidas. A implantação do gerenciamento de riscos em processos traz vários benefícios para organização: Melhora os padrões de governança, mediante a explicitação do perfil de risco adotado, alem de introduzir uma uniformidade conceitual em todos os níveis da organização operacional, estratégico, financeiro, divulgação e compliance. Desenho de processos claro para identificar, monitorar e mitigar os riscos relevantes. Aprimoramento das ferramentas de controles internos para medir, monitorar e gerir riscos.

10 10 Dentro de um contexto histórico as falhas tem sido a maior preocupação de Auditoria Interna o que para muitos conserva a conotação de policiamento e regressiva, atuando a auditoria como uma atividade de verificação de cumprimento de normas. Auditoria Interna é uma atividade independente de fornecimento de segurança objetiva e de consultoria, que visa acrescentar valor a uma organização, uma abordagem sistêmica e disciplinada para avaliação e melhora de eficácia de seus produtos de gerenciamento de risco, controle e governança, ajuda a atingir seus objetivos ( IAA Institute of internal auditors ) Essa abordagem sistêmica e disciplinada implica que o auditor interno segue normas profissionais que orientam a realização dos trabalhos. As normas usuais de auditoria representam os requisitos básicos a serem observados no desempenho do trabalho; a finalidade é a disseminação do conhecimento sobre o papel e as responsabilidades dos auditores internos a todos os interessados, assim como estabelecer uma base para orientação e avaliação do desempenho da auditoria interna. A auditoria busca verificar a existência, suficiência e qualidade dos controles, como minimizar os riscos de forma a inserir na vida empresarial, assessorando a alta administração, modernizando-se e participando mais ativamente do planejamento estratégico, no estabelecimento de pontos de controle a partir de identificação, mensuração e avaliação dos riscos, inerentes a atividade do negocio A premissa principal do gerenciamento de riscos empresariais é de que toda organização exista para gerar valor para seus participantes e interessados. Todas as organizações enfrentam incertezas, e o desafio para gerenciar e determinar o quanto aceita de incerteza na busca do aumento do valor para seus participantes e interessados. As incertezas apresentam tanto risco quanto oportunidade, com potencial para destruir ou criar valor. O gerenciamento de risco empresarial permite a gerencia lidar efetivamente com a incerteza e com aos riscos associados, aumentando a capacidade de construir valor.

11 11 Com o crescimento das empresas seus riscos quanto aos controles também crescem, criando menos confiabilidade nos dão e informes, facilitando erros e exercícios das fraudes casam o sistema da organização não se ajustem a essa nova realidade. Compreender o novo universo e adptar-se a ele constituem - se os maiores desafios dos auditores internos, principalmente, pela falta de visão sistêmica. Cabe a auditoria interna apresentar de forma estruturada, abrangente e periódica o resultado de avaliação do sistema de controles internos da instituição, quanto a sua adequação e eficácia de forma a subsidiar a administração em suas ações e atender as necessidades de informação dos órgãos reguladores e de controle. A finalidade deste trabalho consiste em identificar compreender assuntos que dizem interesse a avaliação de risco e auditoria interna. A amplitude maior será demonstrar de que maneira auditoria interna pode, ao planejar seus trabalhos com base na avaliação desempenhar as suas atribuições, seja verificando as ações propostas para minimizar ou mitigar os riscos foram executados para mensurar a eficiência dessas ações, alem de avaliar o ambiente de Controle. Veremos a seguir: No capitulo 1 : Lei Sarbanes-Oxley Relata as normas com a visão te tornar a supervisão eficaz. No capitulo 2 : Coso No capitulo 3 : Auditoria interna No capitulo 4 : Gestão de Risco :Apresenta uma visão sobre os riscos e gestão, encontram formas eficazes de alcançar os objetivos organizacionais administrando a variável risco No capitulo 5 : Controles Internos:Expõe conceito,objetivos métodos de avaliação e outro aspectos.

12 12 CAPÍTULO I LEI SARBANES OXLEY No mundo administrativo, a transparência nas relações entre executivos, investidores e sociedade ganha cada vez mais importância. Uma gestão financeira competente seguida de um rigoroso controle nos processos e relatórios elaborados periodicamente, aliados a um código de ética e um programa de responsabilidade social, assegura atualmente à qualquer empresa um grau de confiabilidade muito alto, a seus investidores. Esses prérequisitos que praticamente garantem o sucesso de uma organização ganharam maior importância no mundo corporativo, principalmente após a implantação da Lei Sarbanes-Oxley, que obriga todas as empresas norteamericanas e as estrangeiras com atividades nesse país a seguir algumas regras impostas pelo governo local. A Lei Sarbanes-Oxley, basicamente determina que dentro de sua administração, a empresa garanta controle em seus processos, transparência em suas relações de mercado e evidencie em auditoria através de amostragem aleatória que seus processos estão sendo executados conforme planejado anteriormente. Através de uma política de governança corporativa eficaz, uma organização tentará transformar a insegurança que um mercado de renda variável provoca em seus investidores, em um ambiente mais chamativo para captar recursos e prosperar em seus negócios. Quando uma fraude é descoberta a principal alegação do Presidente e seus diretores é sempre a mesma: não tínhamos conhecimento sobre estes fatos, sendo assim destacamos as seções de números 302 e 404 referentes às certificações e divulgações respectivamente, por controle interno da mesma. Essas determinam que o Presidente e Diretores estejam conscientes do controle interno, o que e está estruturada em 11 títulos e 69 seções, sendo que cada um desses títulos é composto em média por 6 seções que abordam temas específicos. A seguir serão apresentados alguns títulos da Lei Sox com

13 13 destaque para algumas seções que são relevantes para as empresas brasileiras. TítuloI: Public Company Accounting Oversight Board Constitui-se de 9 seções que relatam sobre a formação do Comitê de Auditoria; seus deveres; o exame da qualidade; o controle e a independência dos padrões e das regras; o registro obrigatório com o conselho e as empresas de auditoria estrangeiras. A Lei determina que deva ser constituído um Comitê de Auditoria ou órgão semelhante como o Conselho Fiscal (no caso brasileiro), para fiscalizar a auditoria das companhias abertas, que estão submetidas às leis de segurança, protegendo dessa forma os interesses dos investidores e a precisão na preparação das informações contábeis das empresas. O comitê de auditoria deve ser um corpo corporativo, constituído de 5 membros apontados entre indivíduos proeminentes de integridade e reputação, o qual representará o interesse dos investidores e do público. Dos cinco integrantes apenas dois membros precisa possuir o certified public accountants (semelhante ao registro no Conselho Federal de Contabilidade no caso do Brasil), e se um desses dois for o presidente, este não pode ter prestado serviço de contabilidade por 5 anos antes de entrar no comitê. Cada um dos membros deve dedicar-se exclusivamente ao comitê, e não poderão ter nenhuma outra atividade profissional e nem receber pagamentos de uma firma de contabilidade. O mandato dos membros do comitê é de cinco anos. É considerado ilegal a qualquer pessoa que não seja registrada em uma empresa de auditoria preparar e emitir qualquer relatório de auditoria. O comitê deve, através de regras estabelecidas, adotarem os padrões propostos por um ou mais grupos de profissionais de contabilidade. Além disso, ele deve conduzir a continuidade do programa de inspeção e avaliar o grau de complacência de cada empresa de auditoria e das pessoas associadas a cada uma dessas empresas de acordo com a Lei Sarbanes-Oxley, com as regras do comitê, da SEC ou os padrões profissionais, juntamente com o desempenho das auditorias e a emissão de relatórios auditados. Com relação às empresas de auditoria estrangeiras, qualquer uma delas que prepara ou fornece um relatório auditado com respeito a qualquer conjunto de demonstração também está sujeito ao cumprimento da Lei Sarbanes-Oxley, às

14 14 regras do comitê e também as regras estabelecidas para as firmas de auditoria dos EUA. A Lei Sarbanes Oxley foi criada após escândalos e fraudes envolvendo empresas americanas, no Brasil, as empresas se esforçam para implementá-la, pois propicia a segurança de que os principais riscos podem ser minimizados a níveis aceitáveis e para isso devem existir Controles internos adequados.promovendo uma ampla reforma dos relatórios financeiros e de Governança corporativa das empresas Norte Americanas e também dos emissores estrangeiros. Nela foram exigidos procedimentos e controles que intensificam e aumenta a responsabilidade dos executivos, regulamentado pela Securities and Exchange Commission SEC, instituição equivalente a Comissão de Valores Mobiliários CVM no Brasil. A lei é dividida em seções equivalentes a artigos no Brasil. Com o intuito de ajudar a controlar a criação, edição e versão dos documentos em um a ambiente foi criada uma ISO e que se tornou base para desenvolvimento de normas e praticas de segurança. Segundo a ISO 17799, que se trata de normas e praticas de segurança os controles são mais bem divididos de acordo com sua natureza; Política de segurança propõe prover a direção orientação e apoio para uma maior segurança. Segurança Organizacional propõe gerenciar a segurança na organização monitorando a exposição às ameaças, analisando os incidentes de segurança, implementando programas de conscientização. Classificação e controle de ativos: Sugere manter proteção adequada de ativos como, por exemplo, a proteção de software, de equipamentos físicos, do aquecimento do ar, da iluminação entre outros, inventariando e definindo responsáveis. Segurança em pessoas objetivo desse item procura reduzir os riscos de erro humano, roubo e fraude ou uso indevido as instalações, selecionando as pessoas, treinando-as e aprendendo com os incidentes. Segurança física e do ambiente propõem a prevenção contra acessos não autorizados, danos e interferências as informações e instalações

15 15 da organização estabelecendo áreas de segurança controles de entrada e saída, instalação e proteção dos equipamentos, fornecimento de energia. Gerenciamento das operações e comunicações nesse caso, as atenções estão voltadas para garantir uma operação segura e correta dos recursos de processamento, documentando os procedimentos de operação. Segregando funções planejamento e aceitação de sistemas por parte dos usuários entre outros. Controle de acesso propõem controlar o acesso prevenido danos e interferências as informações e instalações determinado áreas de segurança. Protegendo a informação, conscientização os funcionários da importância de manter a mesa e a tela limpa, com documentos importantes guardados nos devidos lugares e fora da tela do computador para evitar acessos não autorizados a esses documentos. Trabalhadores tendo sempre supervisão principalmente os terceirizados. Desenvolvimento de manutenção de sistemas torna-se importante para garantir a segurança dos sistemas. Esse controle propõe o acompanhamento da auditoria durante o desenvolvimento e controle dos perfis para efetuar operações, tendo pessoas diferentes para cada etapa de desenvolvimento, testes e utilização. Gestão de continuidade do negocio Esse controle tem atenção voltada a evitar a interrupção das atividades do negocio e proteger os processos críticos contra defeitos e falhas ou desastres. Conforme vemos através desse controle, uma preocupação em evitar a violação de qualquer lei estatutos, regulamentações ou obrigações contratuais de qualquer requisito de segurança. Embora existam outras estruturas de controle interno espera se qual a do COSO torne-se o modelo prevalecente para atendimento da seção 404, por ter sido adotado pela maioria das em presas e será o próximo capitulo. Algumas das crises envolvendo as companhias americanas ocorreram, principalmente, devido à falta de um controle interno eficaz, o que possibilitou que os relatórios contábeis fossem manipulados apresentando uma situação irreal, com falsos resultados, o que comprometeu a clara evidência da situação

16 16 da empresa pelos usuários das informações. Dessa forma, a Sarbanes-Oxley passou a determinar que as empresas adotem um controle interno mais rígido com o objetivo de garantir exatidão, confiabilidade e transparência na divulgação das informações financeiras e dos atos da administração. Além de ser uma exigência da lei o controle interno, proporciona benefícios para a empresa, destacando entre eles a permissão para que esta obtenha informações mais pontuais e tome melhores decisões operacionais; conquiste a confiança dos investidores, evite a perda de recursos, obtenha vantagens competitivas através de operações dinâmicas. Exercendo seu poder de enforcement, as empresas que não implantam um controle interno estão sujeitas às penalidades impostas pela SEC, e ainda, à ações judiciais realizadas pelos acionistas. Quando os executivos foram questionados sobre as falsas demonstrações contábeis emitidas pelas empresas muitos têm alegado a falta de conhecimento acerca das práticas contábeis adotadas pelas companhias. Baseando-se neste cenário a seção 302 invalida a justificativa até então utilizada pelos mesmos, responsabilizando o presidente (CEO- Chief Executive Officer executivo principal) e o diretor financeiro (CFO Chief Financial Officer- 8 executivo financeiro) na certificação das demonstrações financeiras. Por isso, estes executivos deverão emitir certificações trimestrais atestando o seguinte: Realmente são responsáveis pelo estabelecimento e a manutenção dos controles internos; Que projetaram esses controles (ou supervisionaram seu projeto para assegurar que as informações materiais cheguem ao conhecimento de todos; Que avaliaram a eficácia desses controles a cada trimestre, apresentaram em relatório as conclusões acerca da eficácia dos controles internos; Que divulgaram tanto ao Comitê de Auditoria quanto aos auditores independentes todas as deficiências relevantes identificadas no controle, e ainda qualquer fraude envolvendo funcionários da administração ou qualquer outro que atua significativamente nos controles internos da companhia, e

17 17 ainda, que revelaram nos documentos destinados à SEC todas as alterações realizadas no controle interno para suprir as deficiências identificadas. CAPÍTULO Il ESTRUTURA DO COSO O COSO surgiu através de uma comissão formada por representantes das principais associações de classe de profissionais ligados à área financeira, conhecida como National Commisson on Fraudulent Financial Reporting (Comissão Nacional sobre Fraudes em Relatórios Financeiros). Essa comissão acabou se convertendo em Comitê após a publicação em 1992 do trabalho Internal Control Integrated Fremework (Controles Internos Um modelo Integrado). O objetivo desse trabalho foi apresentar um conceito conciliador de Controles Internos em razão da disparidade de interpretações sobre o assunto e estabelecer uma matriz para gerenciamento dos riscos corporativos das organizações, não só no aspecto financeiro, mas também em outras áreas sensíveis ao negócio da empresa. Segundo o relatório do Coso: Controle Interno é um processo, desenvolvido para garantir, com razoável certeza, que sejam atingidos os objetivos da empresa, nas seguintes categorias: - Objetivos de desempenho e Estratégia - Eficiência Operacional - Confiabilidade das informações financeiras - Conformidade com as legislações e regulamentos De acordo com a definição acima, podemos conceituar também o Controle Interno como sendo os mecanismos internos da empresa que se transacionam e se interligam de acordo com sua responsabilidade e propósito de atingimento dos objetivos estabelecidos pelos acionistas. A matriz apresentada pelo COSO, definiu de forma ampla, a atuação dos gestores da empresa no gerenciamento dos riscos com foco a atingir os

18 18 objetivos básicos. Esses objetivos tiveram as seguintes abrangências, já citados na conceituação de Controle Interno: - Definição e Alinhamento da Estratégia Esse objetivo está relacionado à ligação dos Controles Internos e Riscos com os objetivos principais da empresa, inclusive com os objetivos e metas de desempenho e rentabilidade. - Eficiência Operacional Também ligado aos objetivos básicos da empresa, porém focando os meios para garantir esses objetivos com base nos processos da empresa, inclusive com relação a segurança das informações e salvaguarda dos recursos e ativos. - Confiabilidade das informações financeiras Diz respeito ao registro e confiança das informações financeiras, quanto a origem, publicações, consolidações, refletindo a realidade em aderência as movimentações financeiras e contábeis da empresa. - Conformidade / Compliance Objetivo ligado ao cumprimento das leis, regulamentos e resoluções aplicáveis a entidade. O matriz do COSO, além de alinhar os objetivos dos controles internos, também definiu o processo para gerenciamento desses controles, composto por 5 (cinco) elementos que se relacionam: AMBIENTE DE CONTROLE O ambiente de controle está alinhado com a cultura da empresa com relação à efetividade de controles em toda a organização. A alta administração tem papel fundamental para a existência de Políticas, Diretrizes, Normas, Procedimentos, Códigos de Ética, assim como deve facilitar a divulgação à todos os colaboradores para que todos tenham conhecimento de suas responsabilidades, autoridades e competências na execução dos processos internos.

19 19 A partir de um padrão de trabalho definido através das políticas e colaboradores treinados de acordo com suas responsabilidades nos processos, o cenário torna-se favorável para a implementação de controles que garantam o cumprimento dos objetivos da empresa. AVALIAÇÃO E GERENCIAMENTO DE RISCO Tendo a organização objetiva e metas estabelecidas, políticas e diretrizes definidas e processos operacionais formalizados, o cenário possibilita a análise de riscos que podem ameaçar o atingi mento dos objetivos, assim como permite implantar ações para o gerenciamento destes riscos. O processo de Avaliação consiste em identificar os riscos que afetem o alcance dos objetivos e metas definidas quanto aos aspectos operacionais, financeiros, informação e de conformidade. Esse processo de avaliação cabe aos gestores de cada área e também à Auditoria Interna em sua checagem particular e confronto com a avaliação realizada pelos responsáveis. Gerenciar os riscos é determinar os níveis de aceitação e/ou critérios para sua mitigação. É estudar o nível de seu impacto e suas chances de concretização. Deve-se levar em consideração todo o ambiente interno e também o externo, pois fatores sócio-econômicos e políticos influenciam de forma direta e indireta no rumo da empresa quanto aos seus objetivos e resultados esperados. ATIVIDADES DE CONTROLE São as atividades executadas dentro da empresa com o propósito de controle dos riscos e vulnerabilidades dos processos. Também conhecida como Controles Internos, essas atividades estão relacionadas ao trabalho de supervisão e controle executado pelos responsáveis cuja atividade é descrita no fluxo do processo. Podemos citar como exemplo os níveis de alçada pa-ra liberação de uma despesa.

20 20 INFORMAÇÃO E COMUNICAÇÃO Para a busca da eficiência nos Controles Internos dentro de uma empresa, é necessário a formalização de suas políticas, diretrizes, normas, procedimentos e definição clara de suas metas e objetivos. Porém, para o funcionamento desse sistema é necessário que essas informações estejam disponíveis em todos os níveis organizacionais, principalmente no que se refere a responsabilidades, onde o papel de cada colaborador deve ser claro quanto aos objetivos estabelecidos. Além do aspecto normativo, a comunicação é fundamental para o bom funcionamento dos controles, gestão dos riscos e informações gerenciais no âmbito operacional, contábil, compliance e financeiro que sustentam as decisões e o rumo dos negócios - Monitoramento Fase onde se avalia se os Controles Internos estão em conformidade com o planejamento e políticas vigentes. O resultado de um monitoramento demonstra a adequação e eficiência dos controles quanto aos objetivos estabelecidos pela alta administração. O monitoramento é executado de forma contínua e ao longo tempo, pode ser realizado além do rotineiro previsto na execução dos processos, de outras duas formas: O primeiro é o realizado pelo gestor nos processos de sua competência. Com base na política de controles definida pela empresa, onde se determina à extensão e periodicidade dos trabalhos, o gestor realiza uma auto avaliação dos riscos de sua gestão, atribuindo notas e conceitos, possibilitando correções e ajustes necessários nos processos para o alcance dos objetivos. O segundo é executado através de controle externo. Pode ser realizado pela área de Auditoria Interna da empresa ou por Auditores Independentes, através da análise e revisão dos processos e Controles Internos. O relatório do COSO assim define controles internos:

21 21 Controles internos é um processo operado pelo conselho de administração, pela administração e outras pessoas, desenhado para fornecer segurança razoável quanto à consecução de objetivos nas seguintes categorias: a) confiabilidade de informações financeiras; b) obediência (compliance) às leis e regulamentos aplicáveis; c) eficácia e eficiência das operações. (COSO, 1992, p. 1 apud BOYNTON, JOHNSON e KELL, 2002, p. 320). Controles internos representam um processo. São um meio para atingir um fim, não um fim em si mesmo. Consistem em uma séria de ações que permeiam a infraestrutura de uma entidade e a ela se integram, não que a ela se adicionam.(boynton, p.321) Controles internos são operados por pessoas. Não são meramente um manual de políticas e um conjunto de formulários, mas o resultado da interação de pessoas em todos os níveis da organização inclusive o conselho de administração, a administração e os membros do quadro de pessoal em geral. Pode-se esperar que controles internos forneçam segurança razoável, não segurança absoluta, à administração e ao conselho de administração de uma A sigla COSO é a abreviação de Comitee of Sponsoring Organization, ou seja, Comitê das Organizações, uma organização voluntária privada, sem fins lucrativos, existente nos Estados Unidos. Em razão de suas limitações inerentes e da necessidade de consideração dos custos e benefícios relativos de sua implantação.

22 22 Controles internos vinculam-se à consecução de objetivos nas categorias de elaboração e apresentação de relatórios financeiros, obediência a leis e aos regulamentos (compliance) e operações. Segundo o COSO, são três as categorias de objetivos: elaboração e apresentação de relatórios financeiros (comunicação), obediência a leis e aos regulamentos (conformidade) e eficácia e eficiência de operações (eficácia operacional). De particular importância são os controles que visam a fornecer segurança razoável de que as demonstrações contábeis preparadas pela administração para usuários externos encontram se adequadamente apresentadas de acordo com princípios contábeis geralmente aceitos. A categoria de objetivos de conformidade também é importante, pois as organizações são obrigadas a cumprir muitas leis e regulamentos. Por fim, a terceira categoria eficácia e eficiência de operações corresponde à salvaguarda de ativos e decisões operacionais adequadas, que assegurem resultado satisfatório e preservem a continuidade do funcionamento da entidade. O modelo do COSO é representado no formato de uma matriz tridimensional, demonstrando a integração dos elementos que o compõem. O modelo do COSO tornou-se referência mundial para as organizações de uma geral, como metodologia de avaliação e aperfeiçoamento dos seus sistemas de controle interno, sendo também incorporado pelas entidades ligadas ao setor público. Carvalho Neto e Silva (2009, p. 10) destacam que o Banco Interamericano de Desenvolvimento - BID, o Banco Mundial, a Organização das Entidades Fiscalizadoras Superiores dos Países membros da ONU- Intosai e o U.S. Governement Accountability Office GAO também reconheceu e adotou o modelo do COSO. Na linha do estudo do COSO, modelos de controles internos utilizando o gerenciamento de riscos em sua base conceitual passaram a ser desenvolvidos

23 23 e utilizados por diversos países, como o Cadbury no Reino Unido, o Coso no Canadá, o Standard AZ/NZS na Austrália e Nova Zelândia e o King Report na África do Sul, e têm sido um enorme marco no progresso da auditoria interna e governança nesses países. (DAVIS, BLASCHEK, p.11 apud Carvalho Neto e Silva, p. 10). Nos anos recentes, intensificou-se o foco e a preocupação com o gerenciamento de riscos, e tornou-se cada vez mais clara a necessidade de uma estratégia sólida, capaz de identificar, avaliar e administrar riscos. Em 2001, o COSO iniciou um projeto com essa finalidade e solicitou à Price waterhouse Coopers que desenvolvesse uma estratégia de fácil utilização pelas organizações para avaliar e melhorar o próprio gerenciamento de riscos. O período de desenvolvimento dessa estrutura foi marcado por uma série de escândalos e quebras de negócios de grande repercussão, que gerou prejuízos de grande monta a investidores, empregados e outras partes interessadas. Na esteira desses eventos, vieram solicitações de melhoria dos processos de governança corporativa e gerenciamento de riscos, por meio de novas leis, regulamentos e de padrões a serem seguidos. O resultado foi à publicação, em 2004, do modelo Enterprise Risck Management Integrated Framework (Gerenciamento de Riscos Corporativos Estrutura Integrada), também conhecida como COSO ERM ou COSO II, que amplia seu alcance em controles internos, oferecendo um enfoque mais vigoroso e extensivo no tema, abrangendo o gerenciamento de riscos corporativos. A estrutura de gerenciamento de riscos passou a compreender oito componentes integrados e inter-relacionados, quais sejam: ambiente interno; fixação de objetivos; identificação de eventos; avaliação de riscos; resposta a riscos; atividades de controle; informação e comunicação; monitoramento.

24 24 Na presente pesquisa, utiliza-se a estrutura integrada de controles internos, como principal referência para o processo de avaliação de controles, sem perder de vista a perspectiva de avaliação de riscos, como um dos componentes fundamentais de controle interno. Todavia, cabe ressaltar excelente trabalho de pesquisa desenvolvido por LIOTTO7 (2004), em que analisa a aderência da metodologia do TCU, em uso na época, para identificação de riscos em sua clientela, com a metodologia do COSO, relativa ao gerenciamento de riscos, apresentando importantes considerações ao comparar os métodos. Esse profissional aponta a seguinte conclusão acerca do último estudo do COSO, quando comparado ao anterior: De certa forma, a teoria apresentada pelo Coso modifica o entendimento exposto na Revisão da Literatura, inclusive o entendimento do próprio Coso expresso no documento Internal Control Integrated Framework, de Ao incluir o conceito de ação de resposta ao risco e relacionar a atividade de controle diretamente a essas ações, criou-se uma nova dimensão, certamente mais apropriada à realidade de gerenciamento de uma instituição. Como discutido, não são as atividades de controle que reduzem o risco, mas as ações de resposta ao risco. E os controles servem para garantir a efetividade e oportunidade dessas ações. LIOTTO,

25 25 CAPÍTULO Ill AUDITORIA INTERNA A palavra controle, em sentido amplo, significa o ato ou o processo de fiscalização exercido sobre determinadas atividades para que não se desviem do que foi planejado ou das normas preestabelecidas. Portanto, o controle existe para assegurar o alcance de um objetivo, eliminando ou reduzindo os riscos2 de que esse objetivo não seja atingido. Estando perfeitamente incorporada ao nosso idioma, a palavra controle pode assumir as seguintes acepções: dominação; direção; limitação; vigilância; verificação; registro.(bergeron,p.22 apud ARAÚJO, p.28) Controle, portanto, é de suma importância para as organizações, sejam elas públicas ou privadas, pois constituem um processo organizado, conduzido pelos seus administradores e demais empregados, com a finalidade de assegurar que a atividade controlada está ou não alcançando os objetivos ou os resultados desejados. Esse processo é denominado de controle interno ou controle interno administrativo. Ao tratar do tema, Carvalho Neto e Silva (2009, p. 4) apresentam importante contribuição, mediante a seguinte definição: Controle interno, controles internos e sistema ou estrutura de controle(s) interno(s) são expressões sinônimas, utilizadas para referir-se ao processo composto pelas regras de estrutura organizacional e pelo conjunto de políticas e procedimentos adotados por uma organização para a vigilância, fiscalização e verificação, que permite prever, observar, dirigir ou governar os eventos que possam impactar na consecução de seus objetivos. É, pois, um

26 26 processo organizacional de responsabilidade da própria gestão, adotado com o intuito de assegurar uma razoável margem de garantia de que os objetivos da organização sejam atingidos. A partir do surgimento de empresas formalmente constituídas, os auditores deixam de ser públicos para atender às necessidades de suas organizações. Esses auditores internos tinham, inicialmente, a responsabilidade quase exclusiva de revisar e conferir valores e documentos, como extensão da função dos auditores públicos. Com a evolução das práticas comerciais e da inter-relação entre as entidades, a administração passa a necessitar de alguém que lhe afirme que os controles e as rotinas de trabalho estão sendo habilmente executados e que os dados contábeis merecem confiança, por espelharem a realidade econômica e financeira da empresa. Neste contexto a Auditoria Interna assume importância, para desempenhar os papéis de revisar seu próprio trabalho, que nem sempre é tarefa simples e auxiliar a controladoria na conscientização das áreas quanto a uma visão integrada de todo o processo empresarial. OBJETIVO DA AUDITORIA INTERNA A Auditoria Interna tem como objetivo macro prestar ajuda à Administração, possibilitando-lhe o conhecimento da forma como desenvolve suas atividades, oferecendo condições para um desempenho adequado de suas obrigações, proporcionando análise, apreciações, recomendações e comentários objetivos e/ou convenientes acerca das atividades investigadas. ALCANCE E ATIVIDADES DA AUDITORIA INTERNA Qualquer fase das atividades da empresa que possa ser de utilidade à administração. São atividades básicas da Auditoria Interna:

27 27 Revisar e avaliar a eficácia, suficiência e aplicação dos controles contábeis, financeiros e operacionais; Determinar o grau de confiança das informações contábeis e de outras naturezas. Observar normas internas e legislação pertinente. Avaliar a qualidade alcançada na execução de tarefas determinadas para o cumprimento das respectivas responsabilidades. RESPONSABILIDADES DO AUDITOR INTERNO São as seguintes as responsabilidades do auditor interno: Observar com maior rigor do que qualquer outro empregado, os regulamentos internos da empresa; Manter alto padrão de comportamento moral e funcional; Ser discreto, não se utilizando de fatos apurados para proveito próprio; Reportar eventuais sugestões sobre possíveis melhorias de sistemas de controle ou trabalho; Só reportar fato que possam ser comprovados por documentos verificados e que não possam ser contestados; Manter sempre presente perante os setores que audita não tem função de espião ou fiscal, mas sim de empregado categorizado, que tem funções definidas dentro da organização. ÉTICA DO AUDITOR INTERNO O técnico no papel de Auditor Interno deverá ter no seu trabalho constante atenção para os seguintes princípios éticos: Respeitar sempre a hierarquia imposta; Pedir em vez de exigir colaboração; Manter sigilo sobre informações obtidas; Portar-se conforme sua função e posição;

28 28 Observar usos e costumes geralmente aceitos. INDEPENDÊNCIA DO AUDITOR INTERNO Quanto ao seu modo de operação, o Auditor Interno deve fazê-lo com tranqüilidade e segurança, consciente de que deve desenvolver suas atividades com independência, fundamentado nos seguintes fatores: Possuir liberdade para investigar, selecionar e executar suas atividades (acesso irrestrito); Exercer apenas o papel de assessor, cabendo aos gestores tomarem decisões apropriadas; Isolar-se das demais áreas operacionais, com um aspecto de atitude mental. SEMELHANÇAS ENTRE AUDITORIA INTERNA E EXTERNA Procedendo-se uma análise comparativa entre a Auditoria Interna e a Externa, chega-se a conclusão que elas têm muitas semelhanças, quais sejam: Utilizam-se praticamente das mesmas técnicas: Formulam sugestões de melhorias para deficiências encontradas Modificam a extensão de seus trabalhos de acordo com as suas observações e a eficiência dos sistemas contábeis e de controle interno existentes. A seguir uma visão significativa dessas semelhanças: Auditoria Interna 1. Realizada por um funcionário da empresa. 2. A revisão das atividades da empresa é contínua.

29 29 3. O objetivo principal é atender as necessidades da administração no cumprimento de políticas e normas, sem estar restrito aos assuntos financeiros. Auditoria Externa 1. Contratação de um profissional independente. 2. O exame das informações comprobatórias das demonstrações financeiras é periódico, geralmente trimestral ou anual. 3. Atende às necessidades de terceiros quanto à fidedignidade das informações financeiras e determina a extensão do exame. É importante frisar que a existência de auditoria externa não elimina a necessidade da auditoria interna e tampouco a recíproca é verdadeira, já que suas funções e objetivos são diferentes. Entretanto, um trabalho conjugado entre as auditorias pode ser por ambas utilizadas para se evitar a duplicidade do trabalho. Uma integração eficiente entre a Auditoria Interna e Externa possibilitará ganhos significativos para a entidade, tais como: 1. Redução dos honorários 2. Intercâmbio de informações 3. Direcionamento de trabalhos 4. Maior segurança ao auditor externo pela extensão e qualidade dos trabalhos realizados pelo auditor interno 5. Cumprimento de prazos A auditoria interna constitui o conjunto de procedimentos técnicos que tem por objetivo examinar a integridade, adequação e eficácia dos controles internos e das informações físicas, contábeis, financeiras e operacionais da entidade.

30 30 O auditor interno deve obter analisar, interpretar e documentar as informações físicas, contábeis, financeiras e operacionais para dar suporte aos resultados de seu trabalho. Auditoria interna é a unidade responsável pela análise das demonstrações contábeis e apreciação de atos e fatos administrativos da empresa. Todo o controle orçamentário, financeiro e patrimonial sobre a movimentação de bens e valores da empresa é realizado por esta unidade. Os procedimentos de auditoria interna são os exames, incluindo testes de observância e testes substantivos, que permitem ao auditor interno obter provas suficientes para fundamentar suas conclusões e recomendações. O planejamento do trabalho de auditoria interna compreende os exames preliminares da PME, para definir a amplitude do trabalho a ser realizado de acordo com as diretivas estabelecidas pela administração.

31 31 CAPITULO IV GESTÃO DE RISCO A administração é um fenômeno universal no mundo moderno.cada organização requer a tomada de decisões, a coordenação de múltiplas atividades, a condução de pessoas,a alocação de diferentes recursos,etc.ao longo dos anos, diversas teorias, com diferentes abordagens surgiram com o propósito de encontrar formas mais eficazes de alcançar objetivos organizacionais, da teoria clássica de Taylor e Fayol, ate as mais atuais, teoria dos sistemas e teoria da contingência, aspectos como conceito da organização, ênfase nas tarefas,pessoas,estrutura, no ambiente, na tecnologia, comportamento organizacional do individuo tem recebido diferentes interpretações. Risco é uma realidade que faz parte do cotidiano humano, desde os mais remotos tempos o homem tem tentou se defender dos riscos que o cercavam. Nos tempos atuais, a idéia de risco é associada à possibilidade que algo ruim aconteça. Porem segundo Bernstein (1997), a origem da palavra risco vem do italiano antigo, risicare, que significa ousar, portanto uma opção e não um destino. A maioria das decisões de uma pessoa envolve uma escolha, uma opção entre algum tipo de risco e a recompensa a ele associada. O risco é inerente a qualquer atividade de negócio nas organizações, na qual a consciência do risco e a capacidade de administrá-lo, aliadas a disposição de correr riscos e tomar decisões, são elementos chave. Portanto, mapear e administrar riscos em processos tornou-se sinônimo de desafio e oportunidade. O resultado das iniciativas de negócios revela que o risco pode ser administrado a fim de subsidiar os gestores na tomada de decisão, visando a alcançar objetivos e metas dentro do prazo, do custo e das condições préestabelecidas.

32 32 O modelo de mapeamento e gerenciamento de riscos em processos é um instrumento de tomada de decisão que visa a melhorar o desempenho dos processos pela identificação de oportunidades de ganhos e de redução de probabilidade e/ou impactos de perdas, indo além do cumprimento de demandas regulatórias. A implantação do Gerenciamento de riscos em processos traz vários benefícios para a organização, quais sejam: a. Melhora os padrões de governança, mediante a explicitação do perfil de riscos adotado, além de introduzir uma uniformidade conceitual em todos os níveis da organização: operacional, estratégico, financeiro, divulgação e compliance b. Desenho de processos claro para identificar,monitorar e mitigar os riscos relevantes; c. Aprimoramento das ferramentas de controle interno para medir, monitorar e gerir riscos d. Definição de metodologia para mensurar, priorizar riscos e definição de resposta ao risco, mitigando-os após uma análise custo-benefício. A intenção não é mitigar todos os riscos identificados, mas obter uma resposta ao risco que seja condizente com a exposição, estratégia e custos. e. Identificação de riscos cross-function, ou seja, aquele risco que se materializa ou potencializa quando uma determinada área ou outro processo deixa de possuir controles eficazes. f. Identificação dos controles diretos em nível de entidade (entity level controls) que abrangem toda a organização e não somente os processos operacionais. O gerenciamento de risco é o meio pelo qual estas incertezas são sistematicamente gerenciadas para garantir que os objetivos (prazo, custo e qualidade) do projeto sejam alcançados. É importante ressaltar que os objetivos do projeto não se limitam apenas a tríplice restrição, mas está é outra discussão.

33 33 A ação sistemática de trabalhar nos riscos do projeto é o grande diferencial, pois o enfoque e a continuidade aumentam a capacidade de identificação, controle e redução dos riscos. Os princípios de gerenciamento do risco podem ser aplicados a todos os aspectos do negócio e a todos os ramos de atividade, não ficando limitado ao mundo dos projetos ou mesmo da área de engenharia ou tecnologia. A gestão de risco já está inserida há muito tempo no mundo dos negócios em setores como Seguros, Energia Atômica, Petrolífera entre outros. Estas empresas criaram ao longo do tempo uma cultura de gestão do risco, e praticam esta cultura, pois entendem que este é fundamental para o seu negócio. A importância do gerenciamento de risco agora é evidente no mundo todo. Uma gestão mais eficiente dos riscos, por exemplo, poderia ter evitado grandes prejuízos a acionistas e investidores nestes tempos de crise financeira. Muitos gerentes de projetos já chegaram a conclusão que a gestão de risco é a ferramenta que lhe permite se sobressair perante outros, pois proporciona capacidade de tomar ações sobre circunstâncias quais levariam o projeto a comprometer seus objetivos. Em uma visão mais abrangente poderíamos dizer que o papel principal do gerente de projetos é gerenciar riscos. O gerente de projetos trabalha para evitar o risco de o cronograma atrasar, risco do custo ficar além do esperado, risco do produto ser entregue com falhas. Mesmo com a responsabilidade maior sob gerente de projeto, o gerenciamento do risco é uma atividade da equipe, pois permeia todo o outro plano e ações do projeto, entretanto é de sua responsabilidade liderar e manter a gestão de risco como cultura operacional do projeto e levar à alta administração a importância de se gerir riscos. O gerenciamento de risco, mais do que estabelecer margens de risco, deve influenciar as decisões e planejamento do projeto. Podemos entender que metodologicamente os planos do projeto são as entradas para o processo de gestão do risco, mas o gerenciamento do risco é bem mais complexo do que isso.

34 34 Na gestão moderna de projetos, os gerentes de projeto tem tratado o gerenciamento de risco de forma burocrática e procedimental, onde a gestão de risco se reduz a (1) identificar o risco, (2) desenvolver respostas ao risco e (3) controlar os riscos. O gerente de projeto deve entender que gerir risco é estar além de uma lista de possíveis problemas com suas probabilidades e impactos. O gerenciamento dos riscos analisa os resultados do planejamento, as pessoas e as condições do projeto e de forma crítica trabalha para encontrar os pontos fracos que possam comprometer a entrega do projeto. O processo de gerenciamento de riscos deve ser contínuo e recorrente durante todo o projeto, tendo como resultado a atualização do plano de gerenciamento de risco no final de cada fase. Assim será possível a avaliação dos riscos de cada fase e as suas conseqüências no projeto, bem como garantir que novos problemas sejam rapidamente identificados e avaliados. Sempre que o planejamento do gerenciamento de riscos é iniciado é importante ter em mente algumas questões e considerações que o tornarão mais consistente e eficaz. Mais do que seguir a clássica abordada de gestão de risco é importante pensar que apesar de existir um padrão mínimo, como questões contratuais ou legais, o gerenciamento de risco deve ser personalizado a cada projeto. O processo de gerenciamento do risco é cíclico é repetível durante todo o projeto. Sempre que um novo ciclo do projeto for iniciado o gerente de projetos deve considerar: Todos os passos e processos estão presentes? Os passos estão na ordem correta? Os passos têm igual importância? O processo está bem estruturado? O processo é iterativo? O processo é contínuo? O processo começa logo na fase inicial do projeto? O processo é atualizado a cada fase do projeto? É incrível como muitas empresas, com suas metodologias próprias ou não, deixam de contemplar todos os passos fundamentais na gestão de risco

35 35 ou quando estes existem são tratados de forma displicente ao ponto de não serem tratados com a mesma importância e formalidade, assim deixam de ser alternativas consistentes de mitigação e contingenciamento dos riscos. Por exemplo, quando a gestão de risco é tratada como sendo a identificação do risco propriamente dito. O nome de cada etapa do processo de gerenciamento de risco não é importante e são eventualmente diferentes de uma metodologia para outra, mas o fundamental é que os passos elementares apresentados acima sejam de fato executados. A prática da gestão de risco tem demonstrado que a ausência de alguma etapa no processo ou até mesmo a priorização de uma etapa em detrimento de outra tem levado a uma menor eficácia, o que muitas vezes induz a equipe e até mesmo os executivos da companhia a não dar o devido valor a gestão de riscos. Segundo o professor Edmund H. Conrow em seu livro Effective Risk Manament: Some Keys to Success Um processo bem estruturado inclui dados iniciais, ferramentas e técnicas claramente definidos, assim como o resultado de cada etapa. Também abrange um conjunto de procedimentos para cada processo, documentação adequada e orientação para a comunicação de resultados. Outro ponto que tem desvalorizado a gestão de risco é o comprometimento da liderança do projeto com a gestão dos riscos. A implementação tem que partir de cima no nível de diretoria onde á a tomada decisão, assim toda a equipe se sentirá motivada e a cultura de gestão de risco irá permear por todo o grupo de trabalho do projeto. Sem um compromisso formal e efetivo da gestão do projeto, nos seus diversos níveis, a equipe não sentirá A especial importância em uma prática diária a gestão de risco. Em se falando de gestão de risco o exemplo do time de liderança do projeto é fundamental. Por último, a melhor e mais eficiente maneira de gerenciar os possíveis riscos do projeto é através da experiência adquirida. Nenhuma metodologia ou processo irá substituir a lições aprendidas em projetos anteriores. O