Módulo 3 Visão geral dos controles do COSO e exercícios
Estruturas e Metodologias de controle adotadas na Sarbanes COSO Committee of Sponsoring Organizations of the Treadway Commission Lei Sarbanes Oxley Em 1975, foi criado, nos Estados Unidos, a Nacional Commission on Fraudulent Financial Reporting (Comissão Nacional sobre Fraudes em Relatórios Financeiros), uma iniciativa independente, para estudar as causas da ocorrência de fraudes nos relatórios financeiros/contábeis. Esta comissão era composta por representantes das principais associações de classe de profissionais ligados à área financeira. Seu primeiro objeto de estudo foram os controles internos. Posteriormente a Comissão transformou-se em Comitê, que passou a ser conhecido como COSO. O COSO - Committee of Sponsoring Organizations of the Treadway Commission é uma entidade sem fins lucrativos foi criada em 1985 a fim de assessorar a Comissão Nacional sobre Relatórios financeiros fraudulentos. Trata-se de uma iniciativa privada independente, encarregada de estudar fatores que podem levar à geração de relatórios fraudulentos e elaborar recomendações para empresas abertas, para seus auditores, instituições educacionais, para a SEC e outros reguladores. As recomendações do COSO são tidas como referência para controles internos. Por controle interno, o COSO entende como sendo todo processo conduzido pela diretoria, conselheiros ou outros empregados de uma companhia, no intuito de prover uma razoável garantia com relação ao cumprimento das metas da organização. Em 1992, publicou o trabalho Internal Control Integrated Framework (Controles Internos Um Modelo Integrado). Esta publicação tornou-se referência mundial para o estudo e aplicação dos controles internos.
Definição de Controles Internos O Comitê trabalha com independência, em relação as suas entidades patrocinadoras. Seus integrantes são representantes da indústria, dos contadores, das empresas de investimento e da Bolsa de Valores de New York. O Trabalho do COSO, objetivo Controle Interno, entenda-se por Controle Interno um processo desenvolvido para garantir, com razoável certeza, que sejam atingidos os objetivos da empresa, nas seguintes categorias: Eficiência e efetividade operacional objetivos e desempenho ou estratégia: esta categoria está relacionada com os objetivos básicos da entidade, inclusive com os objetivos e metas de desempenho e rentabilidade, bem como da segurança e qualidade dos ativos; Confiança nos registros contábeis/financeiros objetivos de informação : todas as transações devem ser registradas, todos os registros devem refletir transações reais, consignadas pelos valores e enquadramentos corretos. Conformidade objetivos de conformidade: com as leis e normativos aplicáveis à entidade e sua área de atuação. A gestão tem responsabilidade fundamental no desenvolvimento e manutenção de controles internos efetivos.
Razão dos Controles Internos Controle interno é o nome da gestão de riscos associada com programas e operações da organização Internal Controls Procedure1 Procedure2 Procedure3 Organização Policies Políticas Procedimentos Controles Internos organização, políticas e procedimentos são ferramentas para ajudar a gestão financeira a atingir os resultados e proteger a integridade de seus planos de ação.
Estruturas e Metodologias de controle adotadas na Sarbanes COSO Lei Sarbanes Oxley Todo fundamento por trás do COSO (2005) está baseado em 4 conceitos chave: Controles internos: a. São processos; b. São conduzidos por pessoas; c. Ajudam a ter uma garantia razoável a respeito da qualidade da informação; d. São gerados para se alcançar objetivos específicos. O COSO inicialmente era composto por 5 componentes em 2004 foi ampliado para 8, foram acrescentados: Estabelecimento de Objetivos Identificação de Eventos Resposta ao Risco
Estruturas e Metodologias de controle adotadas na Sarbanes COSO Lei Sarbanes Oxley O COSO apresenta 8 dimensões que devem ser abrangidas em um sistema de controles internos, são elas: Ambiente de controle; Estabelecimento de metas; Identificação de problemas; Avaliação de risco; Resposta ao risco; Atividades de controle; Informações e comunicações; Monitoramento. - Impacto + Estratégia de resposta ao risco Transferir Evitar Controlar Mitigar - Probabilidade +
Ambiente Interno de Controle O Ambiente interno de controle estabelece o tom da organização e influência a consciência / percepção de seus membros sobre a questão de controle (sua cultura de controle). É a base para todos os outros componentes dos controles internos, provendo disciplina e estrutura. Fatores do ambiente de controle incluem integridade, ética, valores, competência das pessoas, filosofia e estilo de operação do gerenciamento; a forma de gerenciamento define autoridades e responsabilidades, organiza e desenvolve as pessoas envolvidas. Cultura de controle de uma organização.
Estabelecimento de Objetivos Os objetivos devem existir antes da gestão identificar os eventos potenciais que podem afetar seu sucesso. A gestão de riscos organizacionais garante que o gerenciamento tenha implantado um processo para estabelecer objetivos e que a escolha destes objetivos esteja alinhada e suportada com a missão da entidade e seja consistente com seus riscos. O nível de controle deve ser entendido e consensado pela organização
Identificação de Eventos Eventos internos e externos afetando os resultados dos objetivos de uma entidade devem ser identificados entre riscos e oportunidades. Oportunidades ajudam a estratégia do gerenciamento ou o processo de estabelecimento de objetivos. Eventos são situações que podem afetar os processos de controles da organização
Avaliação de Risco Toda entidade enfrenta uma variedade de riscos de fontes internas e externas que devem ser avaliadas. Uma pré-condição para avaliação de risco é o estabelecimento e realização de objetivos. Avaliação de risco é a identificação e análise de riscos relevantes para o atendimento dos objetivos. Isto forma uma estrutura para determinação de como os riscos deverão ser gerenciados. Mudanças continuas sempre são necessárias por isso são necessários mecanismos, condições de operação e regulamentos para identificar e gerenciar riscos relacionados as mudanças. A avaliação dos fatores internos e externos que têm impacto no desempenho de uma organização
Resposta ao Risco O gerenciamento deve escolher a resposta ao risco: evitar, aceitar, reduzir, compartilhar o risco e estabelecer ações apropriadas aos riscos em função da tolerância ao risco da entidade, isto é risco residual aceito. Mitigar o risco
Atividades de Controle Atividades de controle são as políticas e procedimentos que ajudam a garantir as diretivas da gestão e as ações necessárias a serem tomadas para os riscos identificados que podem prejudicar os objetivos. Elas incluem diversas atividades como autorizações, verificações, conciliações, revisões de desempenho das operações, segurança de ativos e segregação de funções. Atividades de Controles sobre processos pelos gestores, manuais ou automatizadas, para assegurar que as ações sobre riscos são executadas
Informação e Comunicação Informações pertinentes devem ser identificadas, coletadas e comunicadas em um formulário com dados situados ao longo do tempo, possibilitando às pessoas cumprirem com suas responsabilidades. Sistemas de informação produzem relatórios contendo finanças, operações existentes, informações relativas a adequação que tornam possível conduzir e controlar uma operação. Tais sistemas lidam tanto com informações internas quanto com informações de eventos externos, atividades e situações. Comunicações eficazes devem fluir por toda a organização. Todo o pessoal deve receber uma mensagem clara da alta gerência de que o controle de responsabilidades deve ser levado a sério. Eles devem ter um meio de comunicar informações significativas. A comunicação também precisa de ser eficaz com partes externas, como contribuintes, outras agências, fornecedores, governo e reguladores. O processo que assegura que informações relevantes são identificadas e comunicadas
Monitoramento Sistemas de controle interno precisam ser monitorados. Isto é conseguido por meio do monitoramento de atividades em andamento, avaliações separadas ou por uma combinação dos dois. Monitoramento e atividades em andamento incluem gestão regular e atividades de supervisão, e outras atividades que o pessoal executa ao realizar suas tarefas. O escopo e a freqüência de avaliações separadas, depende basicamente de avaliações de risco e efetividade dos processos de monitoramento que estão sendo realizados. Deficiências de controle interno devem ser relatadas a níveis superiores dentro da hierarquia. Objetiva determinar se o controle interno está adequadamente desenhado e monitorado
Estruturas e Metodologias de controle adotadas na Sarbanes COSO Lei Sarbanes Oxley Estrutura COSO de Controles Internos Controles Internos sobre Relatórios Financeiros SOX 404 Fonte: Deloitte Seminário IBGC - 2004
COSO Mecanismos Ilustrativos de Identificação de Eventos de riscos (Processo contínuo orientado pela Alta Administração e Gestores) Mecanismo captar de Econo mia Fatores externos Ambiente Natural Político Social Tecno logia Infra estrutura Fatores internos Pessoal Processos Tecno logia Indústria/conferências técnicas x x x x x x x x x Sites na internet de companhias similares e x x campanhas publicitárias Lobistas Políticos x Reuniões sobre gerenciamento de riscos x x x x internos Relatórios de Referência de níveis x x x x x x Arquivamentos reguladores de Competidores x x x Índices externos chave x x x x x Índices/riscos internos chave & medidas de x x x x desempenho Novas decisões legais x x x Relatórios de média x x x x x Relatórios mensais administrativos x x x x Relatórios analíticos x x x Quadro de boletim eletrônico e notificações de x x x x x serviços Jornais de indústrias, comércio e profissional x x x x x Tempo de lançamento de novos produtos x x x x versus competidores Traçar um perfil de ligações para o serviço a x x x clientes Fornecimento em tempo real das atividades financeiras do mercado x
COSO Fluxograma de Informações dentro da Administração de Riscos da Empresa Ambiente Interno Estabelecimento de Objetivos Filosofia da Administração de Riscos Propensão a Riscos Objetivos Unidades de medida Riscos inerentes avaliados Identificação do Evento Inventário dos riscos Reações aos riscos Inventário de oportunidades Avaliação dos Riscos Riscos residuais avaliados Reações aos Riscos Reações aos riscos Visão do Portfólio Atividades do Controle Saídas Indicadores Relatórios Monitoração
Controles Internos Devem Ser Integrados Nos Processos Finanças & Administração Controles Internos Programas Tecnologia da Informação
Maturidade dos Controles Internos Lei Sarbanes Oxley Desconfiança Informal Normalizado Monitorizado Otimizado Ambiente imprevisível, onde as atividades de controle não são previstas ou implementadas. Poucos conhecimentos ou mesmo ignorância dos controles. Atividades de controle previstas e a funcionar, não documentadas de modo adequado. Intranqüilidade pouco ou nenhum conforto. Atividades de controle previstas e a funcionar, documentadas de modo adequado. Sei como está organizado e conheço os controles. Já há algum conforto. Controles normais, funcionando efetivamente, testados com regularidade. Controles internos integrados com monitoramento em tempo real pela gestão. Existe um processo de melhoria contínua.
Exercícios Indique se é Verdadeiro ou Falso: ( ) Controles internos começam com o estabelecimento de políticas e procedimentos. ( ) Auditores internos e externos são responsáveis por desenvolver e monitorar controles internos. ( ) Controles internos estão, na maioria das vezes, relacionados com o controle de ativos, contas a pagar e a receber. ( ) Controles internos são essencialmente negativos. ( ) Controles internos levam tempo para serem realizadas e atrapalham as atividades do negócio. ( ) Quando a organização delega responsabilidade e autoridade aos funcionários deve também delegar os controles internos relacionados ( ) Se os controles são robustos nós podemos garantir que os funcionários não serão capazes de realizar qualquer fraude. Responda - Indique 3 tipos de impedimentos para o estabelecimento efetivo dos controles internos: Responda -Indique os 8 componentes do COSO:
Resposta dos exercícios Indique se é Verdadeiro ou Falso: ( F ) Controles internos começam com o estabelecimento de políticas e procedimentos. (Controles Internos começam com um robusto ambiente de controle) ( F ) Auditores internos e externos são responsáveis por desenvolver e monitorar controles internos. (A gestão é responsável pelos controles internos) ( F ) Controles internos estão, na maioria das vezes, relacionados com o controle de ativos, contas a pagar e a receber. (Controles Internos devem integrar todos os processos do negócio) ( F ) Controles internos são essencialmente negativos. (Controles Internos fazem as coisas acontecerem certas da primeira vez) ( F ) Controles internos levam tempo para serem realizadas e atrapalham as atividades do negócio. (Controles internos devem ser realizados junto com as atividades dentro da mesma estrutura e não de forma paralela) ( F ) Quando a organização delega responsabilidade e autoridade aos funcionários deve também delegar os controles internos relacionados. (Decisões descentralizadas requerem diversas formas de controle) ( F ) Se os controles são robustos nós podemos garantir que os funcionários não serão capazes de realizar qualquer fraude. (Controles Internos provêem uma garantia razoável, mas não absoluta) Indique 3 tipos de impedimentos para o estabelecimento efetivo dos controles internos: falta de interesse, falta de liderança, falta de criatividade, falta de conhecimento. Indique os 8 componentes do COSO: 1- Ambiente de controle; 2- Estabelecimento de metas; 3- Identificação de problemas; 4- Avaliação de risco; 5- Resposta ao risco; 6- Atividades de controle; 7- Informações e comunicações; 8- Monitoramento.
Fim do módulo 3