NOVO COSO 2013 14/08/15 Nilton dos Santos SANTOS & FARIA CONSULTORIA EMPRESARIAL
1. Visão Geral do projeto Novo COSO 2013 2. Atualização Novo COSO 2013 : Pontos-chave, melhorias e esclarecimentos 3. Documentos base Ferramentas para avaliar a eficácia de um Sistema de Controle Interno Controle Interno sobre as Demonstrações Financeiras - Um Compêndio de Métodos e Exemplos 4. Transição e Impacto 5. Ações Recomendadas 2
Marco Integrado de Controle Interno COSO 1992 Publicado originalmente em 1992 Teve grande aceitação depois dos escândalos financeiros no início da década de 2000 Marco de controle interno com grande aceitação nos EUA e na América Latina Desde 1992 o ambiente operacional das organizações têm-se alterado muito Os conceitos do COSO continuam valendo, mas o contexto necessita de ajustes 2009 2013 3
Visão Geral do Projeto COSO Publicações de Controle Interno 1992 2004 2006 2009 2013 1992 2004 2006 2009 2013 4
Calendário do Projeto Avaliações e Pesquisas com as partes interessadas Desenho e Estrutura Consulta Pública, Avaliação e Ajustes Finalização 2010 2011 2012 2013 5
Participantes do Projeto Junta Diretiva do COSO PwC Autor e Líder do Projeto Conselho Assessor COSO AICPA AAA FEI IIA IMA Firmas de Contadores Públicos Organismos Reguladores (SEC, GAO, FDIC, PCAOB) Outros (IFAC, ISACA, outros) Partes Interessadas Mais de 700 partes interessadas no Marco responderam a uma pesquisa mundial em 2011 Mais de 200 participantes comentaram públicamente sobre as atualizações propostas pelo Marco no primeiro trimestre de 2012 Mais de 50 participantes comentaram publicamente sobre as propostas no último trimestre de 2012 6
Objetivo do projeto O objetivo do projeto é atualizar o Marco As melhorias não pretendem alterar os conceitos fundamentais desenvolvidos no marco original Porém pode haver mudanças relativas à aplicação destes conceitos que poderiam afetar as respostas das organizações Outros objetivos do projeto são: Dar mais ênfase aos objetivos de controles operacionais e de conformidade (compliance) Identificar explicitamente princípios e atributos para proporcionar eficiência e uma base para a avaliação da eficácia 7
Resultados do Projeto #1: Marco Integrado de Controle Interno (Edição 2013) Em três volumes: 1. Resumo Executivo 2. Marco e Apêndices 3. Ferramentas para avaliar a Eficácia do Sistema de Controle Interno Establece: Definição de controle interno Categorias de objetivos Componentes e princípios do controle interno Requisitos para a eficácia 8
Resultados do Projeto #2 Controle Interno sobre Informação Financeira Externa: Um Compêndio... Enfoques e exemplos de como aplicar os Princípios para a preparação de demonstrações financeiras Considera mudanças no ambiente empresarial e operacional ocorridos nas duas últimas décadas Dá exemplos de diversas entidades - públicas, privadas, sem fins lucrativos Se alinha com o Marco atualizado 9
Atualização do COSO 2013 espera aumentar a facilidade de uso e ampliar a aplicação do Marco O que não está mudando... O que está mudando... Definição básica de controle interno Três categorias de objetivos e cinco componentes de controle interno Cada um dos cinco componentes de controle interno são necessários para um controle interno efetivo Importante papel que joga o critério no desenho, implementação e realização do controle interno e na avaliação de sua eficácia Mudanças consideradas nos ambientes empresariais e operacionais Expansão dos objetivos Operacionais e de Reporte Conceitos fundamentais relacionados aos cinco componentes articulados como Princípios (antes fatores) Inclusão de outros exemplos e enfoques relacionados a operações, conformidade e demonstrações financeiras 10
COSO Definição de Controle Interno (inalterado) O controle interno é um processo comum ao Conselho de Administração, Alta Administração e demais colaboradores de uma organização, desenhado para proporcionar uma razoável segurança para atingir os objetivos relacionados às operações, reportes e conformidade. Categorias de Objetivos (inalterado): Operações Eficácia e Eficiência das operações, incluindo objetivos de desempenho, financeiros e operacionais para a salvaguarda de ativos Reporte Reporte Interno e Externo, Financeiro e Não Financeiro e pode incluir confiança, pontualidade, transparência e outras exigências determinadas pelos reguladores, normas, políticas internas Conformidade Conformidade às leis e regulamentos 11
Componentes de Controle Interno (inalterado) 1992 2013 12
Objetivo de Reporte: sub-categorias Demonstrações Financeiras Anuais/Semestrais Mensais/Trim. Distribuição Demonstr. Financeiras Externo Relatórios Não- Financeiro Externo Relatório de Controle Interno Relatório de Sustentabilidade Custódia de Ativos de Fornecedores Relatórios Gerenciais Orçamentos Fluxo de Caixa Cálculos Financ. Índices Relatórios Financeiros Interno Relatórios Não- Financeiros Interno Utilização de Ativos/colaboradores Pesquisas de clima Indicadores de riscoschave Relatórios Conselho 13
Componentes C1: Ambiente de Controle C2: Avaliação do Risco C3: Atividades de Controle C4: Informação e Comunicação C5: Monitoramento COSO 1992 1. Integridade e Valores Éticos 2. Compromisso com a Competência profissional 3. Conselho de Administração e Comité de Auditoria 4. Filosofia Administrativa e o estilo gerencial 5. Estrutura organizacional 6. Designação de Autoridade e Responsabilidade 7. Políticas e Procedimentos de RH 8. Objetivos a nível de entidade 9. Objetivos a nível de atividade 10. Riscos 11. Gestão da Mudança 12. Atividades de Controle 13. Informação 14. Comunicação 15. Atividades de Continuidade 16. Avaliações Independentes 17. Reporte de Deficiências Fatores 14
Componentes C1: Ambiente de Controle C2: Avaliação do Risco C3: Atividades de Controle C4: Informação e Comunicação C5: Atividades de Monitoramento Princípios COSO 2013 Pontos Focais 1. Compromisso com a integridade e os valores éticos (4) 2. Supervisão independente do Conselho de Adm (5) 3. Estrutura, línhas de reporte, autoridade e responsabilidade (3) 4. Atrair, reter e manter pessoas competentes (4) 5. Individuos são responsáveis pelo controle interno (5) 6. Especifica objetivos claros e adequados (5) 7. Identifica e analisa os riscos (5) 8. Avalia o potencial risco de fraude (4) 9. Identifica e analisa mudanças significativas (3) 10. Seleciona e desenvolve atividades de controle (6) 11. Seleciona e desenvolve controles gerais de TI (4) 12. Controles implementados por meio de políticas e procedimentos (6) 13. Informação relevante obtida, gerada e usada (5) 14. Informação de controle interno comunicada internamente (4) 15. Informação de controle interno comunicada externamente (5) 16. Avaliações contínuas e/ou independentes (7) 17. Avaliação e comunicação de deficiências de controle interno (4) 79 21 17 16 14 11 15
Princípios do Componente Exemplo Ambiente de Controle 1. A organização demonstra compromisso com a integridade e os valores éticos. 2. O Conselho Adm. demonstra independência da Alta Administração e exerce supervisão da evolução e dos resultados dos controles internos. 3. A Alta Administração estabelece, supervisionada pelo Conselho, estruturas, línhas de reporte, autoridades e responsabilidades apropriadas para atingir os objetivos. 4. A organização demonstra compromisso para atrair, desenvolver e reter pessoas competentes de acordo com os objetivos. 5. A organização conscientiza seus profissionais no sentido de suas responsabilidades de controle interno na busca dos objetivos. 16
Princípios do Componente Ambiente de Controle Principais Mudança Demonstram-se os aspectos fundamentais do Ambiente de Controle Expansão do debate relacionado a papéis da estrutura de governança Esclarece sobre a expectativa de Integridade e de Valores Éticos Supervisão do risco e fortalecimento entre risco e desempenho Considera os controles internos com base na complexidade da estrutura organizacional 17
Princípios do Componente Exemplo Avaliação do Risco 6. A organização especifica objetivos com suficiente clareza para permitir a identificação e avaliação dos riscos relacionados a eles. 7. A organização identifica os riscos para alcançar seus objetivos em toda a organização e analisa os riscos, como a base para determinar como eles deveriam ser tratados. 8. Para alcançar o seus objetivos a organização considera a possibilidade fraude na sua avaliação de riscos. 9. A organização identifica e avalia as mudanças que poderiam afetar significativamente o sistema de controle interno 18
Princípios do Componente Avaliação do Risco Principais Mudanças: Atribui ao Componente Avaliação de Riscos os objetivos relacionados às Operações, Reporte e Conformidade Esclarece que a avaliação de riscos inclui processos para a identificação, análise e resposta ao risco Expande o debate relacionado à severidade do risco e além dos aspectos Probabilidade e Impacto, inclui considerar também Velocidade e Persistência 19
Princípios do Componente Atividades de Controle 10. A organização seleciona e desenvolve atividades de controle que contribuem para a mitigação dos riscos para cumprir os objetivos a um nível aceitável. 11. A organização seleciona e desenvolve atividades gerais de controle em relação à tecnologia para viabilizar o atingimento dos objetivos. 12. A organização implementa atividades de controle por meio de políticas que estabelecem o que se espera assim como os procedimentos que criam políticas adequadas. 20
Princípios do Componente Atividades de Controle Principais Mudanças: Os conceitos fundamentais não se alteraram, mas a referência em relação à tecnologia alterou muitos aspectos Reflexo na evolução tecnológica conceitos mais universais que incluem controles gerais de Tecnologia Aborda sobre a relação com os controles automáticos 21
Princípios do Componente Informação e Comunicação 13. A organização obtém, gera e/ou utiliza informação relevante e de qualidade para apoiar o funcionamento dos controles internos. 14. A organização comunica internamente a informação, incluindo os objetivos e responsabilidades do controle interno, necessários para respaldar o funcionamento dos controles internos. 15. A organização se comunica com partes externas sobre assuntos que afetam o funcionamento do controle interno. 22
Princípios do Componente Informação e Comunicação Principais Mudanças: Se expande sobre a origem, volume e forma da informação e comunicação Interna e Externa Processamento de dados por meio de sistemas de informação Qualidade da informação Comunicação de informação interna e externa à organização para o bom funcionamento de outros componentes de controle interno Interior: Conselho Adm., Alta Adm. e Canal de Denúncia Exterior: Partes Interessadas, sócios, acionistas, reguladores, clientes, canal de denúncia Métodos de Comunicação 23
Princípios do Componente Atividades de Monitoramento 16. A organização seleciona, desenvolve e leva a cabo avaliações contínuas e/ou pontuais para determinar se os componentes do controle interno estão presentes e em funcionamento. 17. A organização avalia e comunica as deficiências de controle interno de maneira oportuna aos responsáveis por tomar ações corretivas, incluindo a Alta Adm. e o Conselho de Adm, se for o caso. 24
Princípios do Componente Monitoramento Principais Mudanças: Avaliação dos resultados das atividades de supervisão Comunicação das deficiências à Alta Adm. e ao Conselho Ajustes do alcance e frequência das avaliações pontuais dependendo do risco Avaliações contínuas incluídas nos processos de negócio e se ajustam às condições em mudança Os avaliadores devem ter o suficiente conhecimento para entender o que está sendo avaliado 25
Documentos Ilustrativos - Ferramentas Modelo para avaliar a eficácia do Sistema de Controle Interno - Controle Interno sobre a Demonstração Financeira Externa: Um Compêndio de Métodos e Exemplos 26
Marco Integrado de Controle Interno (Edição 2013) Consta de três volumes 1. Resumo Executivo 2. Marco e Anexos 3. Ferramentas ilustrativas para avaliar a Eficácia de um Sistema de Controle Interno 27
Ferramentas Ilustrativas para Avaliar a Eficácia de um Sistema de Controle Interno Ajuda os usuários avaliarem a efetividade do controle interno de acordo com os requisitos estabelecidos no Marco Modelos ilustram um possível resumo dos resultados da avaliação Cenários mostram exemplos práticos de como os modelos podem ser usados para apoiar uma avaliação e considerações importantes para sua realização 28
Uso das Ferramentas 29
O COSO 2013 descreve as características importantes de cada um dos princípios através dos Pontos Focais (EXEMPLO) P1: A organização demonstra um compromisso com a integridade e os valores éticos C1:Ambiente de Controle Pontos Focais (2013): 1. Estabelece o Tom da Direção (Tone at the Top) 2. Estabelece Normas de Conduta 3. Avalia a Conformidade no cumprimento das Normas de Conduta 4. Soluciona Desvios de Forma Oportuna Pontos Focais podem não ser adequados ou relevantes e outros podem ser identificados Pontos Focais podem facilitar o desenho, a implementação e a efetividade do controle interno Não há procedimento para avaliar isoladamente se os Pontos Focais estão presentes 30
Uso das Ferramentas 31
Uso das Ferramentas 32
Uso das Ferramentas 33
Uso das Ferramentas 34
Uso das Ferramentas 35
Controle Interno sobre as DFs : Demonstrações Financeiras Externas: Um Compêndio... Mostra enfoques e exemplos de como se aplicam os Princípios para a preparação das DFs Demonstrações Financeiras Considera mudanças no ambiente empresarial e operacional nas 2 últimas décadas (ênfase a Fraudes, Governança e TI) Proporciona exemplos de diversas entidades - públicas, privadas, sem fins lucrativos e etc. Alinhada com o Marco atualizado 36
Transição Incentiva-se aos usuários começar o seu processo de transição pela documentação e aplicações relacionadas à atualização do Marco, tão logo quanto possível. O COSO 2013 substituirá o Marco original no final do período de transição (15 de dezembro de 2014). Durante o período de transição, a apresentação de informes externos/sec (DF s no Brasil) deverão mencionar se foi considerada a versão original ou atualizada do Marco. 37
Impacto O enfoque baseado em princípios, proporciona flexibilidade na aplicação do Marco para objetivos múltiplos e comuns da instituição É mais fácil ver o que já está coberto do que o que falta Centrando-se nos princípios pode-se reduzir a probabilidade de considerar algo irrelevante. Entender a importância de especificar os objetivos adequados ajudará a focar nos riscos e nos controles mais importantes para alcançar os objetivos. 38
Impacto Centrando-se nas áreas de risco que excedem os níveis de tolerância aceitos ou que necessitam ser tratados em toda a organização, poderá se reduzir os esforços dirigidos a mitigar riscos em áreas de menor importância. A coordenação de esforços para identificar e avaliar os riscos segundo os objetivos comuns, podem reduzir o número de riscos avaliados e mitigados. 39
Mudanças que afetam os usuários O impacto do COSO 2013 dependerá do tamanho e estágio de cada empresa O COSO 2013 é aplicável a qualquer tipo de empresa e pode ser utilizado por qualquer AI/Compliance/Controles Internos O COSO 2013 inclui Princípios que permitem a flexibilidade para ser aplicado a nível de entidade (macro), departamento, divisão, unidade, etc. 40
Mudanças que afetam os usuários O COSO 2013 identifica os atributos-chave de cada princípio O COSO 2013 considera a relação existente com o COSO ERM e a integração dos dois modelos O COSO 2013 não inclui mudanças significativas, mas implica numa revisão dos processos, atividades e documentação 41
O COSO 2013 esclarece os meios para um controle interno efetivo O controle interno efetivo proporciona uma segurança razoável sobre o alcance dos objetivos e requer que: Cada componente e cada princípio relevante estejam presentes e funcionando Os cinco componentes estejam operando em conjunto e de uma maneira integrada Cada princípio é adequado para qualquer tipo de organização e podem ser considerados relevantes 42
O COSO 2013 esclarece os meios para um controle interno efetivo Os componentes funcionam em conjunto quando todos estão presentes e em funcionamento e as deficiências de controle interno agregadas através dos outros componentes não dão lugar a nenhuma deficiência importante Uma deficiência importante representa uma deficiência de controle interno ou uma combinação da mesma, que reduz consideravelmente a probabilidade de que uma entidade possa alcançar seus objetivos 43
COSO 2013 descreve a lista de Controles e seu efeito nos Princípios O Marco não estabelece controles a serem selecionados, criados e implementados para a efetividade do controle interno A seleção de controles afetem os princípios e componentes relevantes, é um julgamento que cabe à Administração de cada organização baseado em fatores específicos 44
O COSO 2013 descreve as características importantes de cada um dos princípios através dos Pontos Focais (EXEMPLO) P1: A organização demonstra um compromisso com a integridade e os valores éticos C1:Ambiente de Controle Pontos Focais (2013): 1. Estabelece o Tom da Direção (Tone at the Top) 2. Estabelece Normas de Conduta 3. Avalia a Conformidade no cumprimento das Normas de Conduta 4. Soluciona Desvios de Forma Oportuna Pontos Focais podem não ser adequados ou relevantes e outros podem ser identificados Pontos Focais podem facilitar o desenho, a implementação e a efetividade do controle interno Não há procedimento para avaliar isoladamente se os Pontos Focais estão presentes 45
Benefícios do COSO 2013 Alta Adm e Conselho Adm Melhora a Governança Corporativa Expande o uso além das DF s Melhora a Qualidade da Avaliação de Risco Fortalece o combate à-fraude Adapta os controles às necessidades variáveis negócio Desempenho Grande aplicabilidade para vários modelos de negócio Partes Externas Confiança Outros Usuários 46
Resumo das mudanças do COSO 2013 Novos 17 Princípios que estão inter-relacionados com os Componentes e Pontos Focais Aumento da relevância de TI Incorpora um debate mais amplo acerca dos conceitos de Governança Corporativa (Comitês) Expande a categoria de Objetivos dos Reportes Realça as considerações e expectativas antifraude Aumenta o enfoque nos Objetivos de Relatórios Não- Financeiros 47
Ações recomendadas Ler o Marco atualizado do COSO e os documentos ilustrativos Orientar o Comitê de Auditoria, Comitês Executivos, Gestores em geral Estabelecer um processo para identificar, avaliar e implementar as mudanças necessárias nos controles e na documentação relacionada Criar e implementar um plano de transição a tempo de cumprir as datas fixadas ( 15/12/14 para os informes externos) 48
Ações recomendadas Selecionar um projeto para revisar o modelo de controle interno existente, comparando-o com o novo COSO 2013 Revisar os Componentes, Princípios e Pontos Focais para assegurar uma boa cobertura nos modelos de controle interno e dos programas de auditoria Revisar a documentação do plano, programas e relatórios de auditoria para começar a utilizar os elementos de COSO 2013 49
Ações recomendadas Revisar qualquer tipo de documentação e formatos relativos a controle interno Coordenar ação com grupos internos que tenham algum tipo de responsabilidade sobre os modelos e atividades de controle interno Coordenar reuniões com os auditores externos para assegurar que as expectativas e opiniões estejam alinhadas 50
OBRIGADO!!! Nilton dos Santos, QAR Diretor VHG Brasil Consulting niltonterranova@ig.com.br // Cel.: (11) 9 9407-1353 Víctor H García, MBA, CCSA, CRMA Presidente, VHG Consulting, LLC Victor.garcia@vhgconsulting.com www.vhgconsulting.com http://www.linkedin.com/in/victorhgarcia http://bit.ly/aih-lkdn 51