Módulo 3Visão geral dos controles

do COSO e exercícios

Em 1975, foi criado, nos Estados Unidos, a Nacional Commission on Fraudulent Financial Reporting (Comissão Nacional sobre Fraudes em Relatórios Financeiros), uma iniciativa independente, para estudar as causas da ocorrência de fraudes nos relatóriosfinanceiros/contábeis. Esta comissão era composta por representantes das principais associações de classe de profissionais ligados à área financeira. Seu primeiro objeto de estudo foram os controles internos.

Posteriormente a Comissão transformou-se em Comitê, que passou a ser conhecido comoCOSO. O COSO - Committee of Sponsoring Organizations of the Treadway Commission é uma entidade sem fins lucrativos foi criada em 1985 a fim de assessorar a Comissão Nacional sobre Relatórios financeiros fraudulentos. Trata-se de uma iniciativa privada independente, encarregada de estudar fatores que podem levar à geração de relatórios fraudulentos e elaborar recomendações para empresas abertas, para seus auditores, instituições educacionais, para a SEC e outros reguladores.

As recomendações do COSO são tidas como referência para controles internos. Por controle interno, o COSO entende como sendo todo processo conduzido pela diretoria, conselheiros ou outros empregados de uma companhia, no intuito de prover uma razoável garantia com relação ao cumprimento das metas da organização. Em 1992, publicou o trabalho Internal Control –Integrated Framework (Controles Internos – Um Modelo Integrado). Esta publicação tornou-se referência mundial para o estudo e aplicação dos controles internos.

Lei Sarbanes Oxley

Estruturas e Metodologias de controle adotadas na SarbanesCOSO – Committee of Sponsoring Organizations of the TreadwayCommission

Definição de Controles Internos

O Comitê trabalha com independência, em relação as suas entidades patrocinadoras. Seus integrantes são representantes daindústria, dos contadores, das empresas de investimento e da Bolsa de Valores de New York.

O Trabalho do COSO, objetivo – Controle Interno, entenda-se por Controle Interno um processo desenvolvido para garantir, com razoável certeza, que sejam atingidos os objetivos da empresa, nas seguintes categorias:

� Eficiência e efetividade operacional – objetivos e desempenho ou estratégia: esta categoria está relacionada com os objetivos básicos da entidade, inclusive com os objetivos e metas de desempenho e rentabilidade, bem como da segurança e qualidade dos ativos;

� Confiança nos registros contábeis/financeiros – objetivos de informação : todas as transações devem ser registradas, todos os registros devem refletir transações reais, consignadas pelos valores e enquadramentos corretos.

� Conformidade – objetivos de conformidade: com as leis e normativos aplicáveis à entidade e sua área de atuação.

A gestão tem responsabilidade fundamental no desenvolvimento e manutenção de controles internos efetivos.

Razão dos Controles Internos

Controle interno é o nome da gestão de riscos associada com programas e operações da organização

Controles Internos – organização, políticas e procedimentos – são ferramentas para ajudar a gestão financeira a atingir os resultados e proteger a integridade de seus planos de ação.

Policies

Procedure1

Procedure2 Procedure3

Organização

Políticas

Procedimentos

Internal Controls

Todo fundamento por trás do COSO (2005) está baseado em 4 conceitos chave:

Controles internos:

a. São processos;b. São conduzidos por pessoas;c. Ajudam a ter uma garantia razoável a respeito da

qualidade da informação;d. São gerados para se alcançar objetivos específicos.

O COSO inicialmente era composto por 5 componentes em 2004 foi ampliado para 8, foram acrescentados:

• Estabelecimento de Objetivos• Identificação de Eventos• Resposta ao Risco

Lei Sarbanes Oxley

Estruturas e Metodologias de controle adotadas na SarbanesCOSO

O COSO apresenta 8 dimensões que devem ser abrangidas em um sistema de controles internos, são elas:

� Ambiente de controle;� Estabelecimento de metas;� Identificação de problemas;� Avaliação de risco;� Resposta ao risco;� Atividades de controle;� Informações e comunicações;� Monitoramento.

Lei Sarbanes Oxley

Estratégia de resposta ao risco

Transferir Evitar

Controlar Mitigar

- Probabilidade +

-Im

pac

to

+

Estruturas e Metodologias de controle adotadas na SarbanesCOSO

Ambiente Interno de Controle

O Ambiente interno de controle estabelece o tom da organização e influência a consciência / percepção de seus membros sobre a questão de controle (sua cultura de controle). É a base para todos os outros componentes dos controles internos,provendo disciplina e estrutura. Fatores do ambiente de controle incluem integridade, ética, valores, competência das pessoas, filosofia e estilo de operação do gerenciamento; a forma de gerenciamento define autoridades e responsabilidades, organiza e desenvolve as pessoas envolvidas.

Cultura de controle de uma

organização.

Estabelecimento de Objetivos

O nível de controle deve ser entendido e

consensado pela organização

Os objetivos devem existir antes da gestão identificar os eventos potenciais que podem afetar seu sucesso. A gestão de riscos organizacionais garante que o gerenciamento tenha implantado um processo para estabelecer objetivos e que a escolha destes objetivos esteja alinhada e suportada com a missão da entidade e seja consistente com seus riscos.

Identificação de Eventos

Eventos são situações que podem afetar os

processos de controles da organização

Eventos internos e externos afetando os resultados dos objetivos de uma entidade devem ser identificados entre riscos e oportunidades. Oportunidades ajudam a estratégia do gerenciamento ou o processo de estabelecimento de objetivos.

Avaliação de Risco

Toda entidade enfrenta uma variedade de riscos de fontes internas e externas que devem ser avaliadas. Uma pré-condição para avaliação de risco é o estabelecimento e realização de objetivos. Avaliação de risco é a identificação e análise de riscos relevantes para o atendimento dos objetivos. Isto forma uma estrutura para determinação de como os riscos deverão ser gerenciados. Mudanças continuas sempre são necessárias por isso são necessários mecanismos, condições de operação e regulamentos para identificar e gerenciar riscos relacionados as mudanças.

A avaliação dos fatores internos e externos que têm impacto no desempenho de

uma organização

Resposta ao Risco

Mitigar o risco

O gerenciamento deve escolher a resposta ao risco: evitar, aceitar, reduzir, compartilhar o risco e estabelecer ações apropriadas aos riscos em função da tolerância ao risco da entidade, isto é risco residual aceito.

Atividades de Controle

Atividades de controle são as políticas e procedimentos que ajudam a garantir as diretivas da gestão e as ações necessárias a serem tomadas para os riscos identificados que podem prejudicar os objetivos. Elas incluem diversas atividades como autorizações, verificações, conciliações, revisões de desempenho das operações, segurança de ativos e segregação de funções.

Atividades de Controles sobre processos pelos

gestores, manuais ou automatizadas, para

assegurar que as ações sobre riscos são

executadas

Informação e Comunicação

Informações pertinentes devem ser identificadas, coletadas e comunicadas em um formulário com dados situados ao longo do tempo, possibilitando às pessoas cumprirem com suas responsabilidades. Sistemas de informação produzem relatórios contendo finanças, operações existentes, informações relativas a adequação que tornam possível conduzir e controlar uma operação. Tais sistemas lidam tanto com informações internas quanto com informações de eventos externos, atividades e situações.

Comunicações eficazes devem fluir por toda a organização. Todo o pessoal deve receber uma mensagem clara da alta gerência de que o controle de responsabilidades deve ser levado a sério. Eles devem ter um meio de comunicar informações significativas. A comunicação também precisa de ser eficaz com partes externas, como contribuintes,outras agências, fornecedores, governo e reguladores.

O processo que assegura que informações

relevantes são identificadas e comunicadas

Monitoramento

Sistemas de controle interno precisam ser monitorados. Isto é conseguido por meio do monitoramento de atividades em andamento, avaliações separadas ou por uma combinação dos dois. Monitoramento e atividades em andamento incluem gestão regular e atividades de supervisão, e outras atividades que o pessoal executa ao realizar suas tarefas. O escopo e a freqüência de avaliações separadas, depende basicamente de avaliações de risco e efetividade dos processos de monitoramento que estão sendo realizados. Deficiências de controle interno devem ser relatadas a níveis superiores dentro da hierarquia.

Objetiva determinar se o controle interno está

adequadamente desenhado e monitorado

Fonte: Deloitte – Seminário IBGC - 2004

Estrutura COSO de Controles Internos

Lei Sarbanes Oxley

Controles Internos

sobre Relatórios

Financeiros – SOX

404

Estruturas e Metodologias de controle adotadas na SarbanesCOSO

Fatores externos Fatores internos Mecanismo – captar de Econo mia

Ambiente Natural

Político

Social

Tecno logia

Infra estrutura

Pessoal

Processos

Tecno logia

Indústria/conferências técnicas x x x x x x x x x Sites na internet de companhias similares e campanhas publicitárias

x x

Lobistas Políticos x Reuniões sobre gerenciamento de riscos internos

x x x x

Relatórios de Referência de níveis x x x x x x Arquivamentos reguladores de Competidores x x x Índices externos chave x x x x x Índices/riscos internos chave & medidas de desempenho

x x x x

Novas decisões legais x x x Relatórios de média x x x x x Relatórios mensais administrativos x x x x Relatórios analíticos x x x Quadro de boletim eletrônico e notificações de serviços

x x x x x

Jornais de indústrias, comércio e profissional x x x x x Tempo de lançamento de novos produtos versus competidores

x x x x

Traçar um perfil de ligações para o serviço a clientes

x x x

Fornecimento em tempo real das atividades financeiras do mercado

x

COSO – Mecanismos Ilustrativos de Identificação de Eventos de riscos (Processo contínuo orientado pela Alta Administração e Gestores)

Monitoração

Atividades do Controle

Reações aos Riscos

Avaliação dos Riscos

Identificação do Evento

Estabelecimento de Objetivos

Ambiente Interno

• Filosofia da Administração de Riscos

• Propensão a Riscos

• Objetivos

•Unidades de medida

• Inventário de oportunidades

• Inventário dos

riscos

• Riscos inerentes

avaliados• Reações aos riscos

• Riscos residuais

avaliados

• Reações aos riscos

• Visão do Portfólio

• Saídas• Indicadores• Relatórios

COSO – Fluxograma de Informações dentro da Administração de Riscos da Empresa

Controles Internos Devem Ser Integrados Nos Processos

ProgramasTecnologia da

Informação

Finanças &Administração

ControlesInternos

Lei Sarbanes OxleyMaturidade dos Controles Internos

Desconfiança

Informal Normalizado Monitorizado Otimizado

Ambiente imprevisível, onde as atividades de controle não são previstas ou implementadas. Poucos conhecimentos ou mesmo ignorância dos controles.

Atividades de controle previstas e a funcionar, não documentadas de modo adequado. Intranqüilidade pouco ou nenhum conforto.

Atividades de controle previstas e a funcionar, documentadas de modo adequado. Sei como está organizado e conheço os controles. Já há algum conforto.

Controles normais, funcionando efetivamente, testados com regularidade.

Controles internos integrados com monitoramento em tempo real pela gestão. Existe um processo de melhoria contínua.

Indique se é Verdadeiro ou Falso:

( ) Controles internos começam com o estabelecimento de políticas e procedimentos.( ) Auditores internos e externos são responsáveis por desenvolver e monitorar

controles internos.( ) Controles internos estão, na maioria das vezes, relacionados com o controle de

ativos, contas a pagar e a receber.

( ) Controles internos são essencialmente negativos.( ) Controles internos levam tempo para serem realizadas e atrapalham as atividades do

negócio.( ) Quando a organização delega responsabilidade e autoridade aos funcionários deve

também delegar os controles internos relacionados( ) Se os controles são robustos nós podemos garantir que os funcionários não serão

capazes de realizar qualquer fraude.

Responda - Indique 3 tipos de impedimentos para o estabelecimento efetivo dos controles internos: ________________________________

Responda -Indique os 8 componentes do COSO: ___________________________

Exercícios

Indique se é Verdadeiro ou Falso:( F ) Controles internos começam com o estabelecimento de políticas e procedimentos. (Controles

Internos começam com um robusto ambiente de controle)( F ) Auditores internos e externos são responsáveis por desenvolver e monitorar controles internos.

(A gestão é responsável pelos controles internos)( F ) Controles internos estão, na maioria das vezes, relacionados com o controle de ativos, contas a

pagar e a receber. (Controles Internos devem integrar todos os processos do negócio)( F ) Controles internos são essencialmente negativos. (Controles Internos fazem as coisas

acontecerem certas da primeira vez)( F ) Controles internos levam tempo para serem realizadas e atrapalham as atividades do negócio.

(Controles internos devem ser realizados junto com as atividades dentro da mesma estrutura e não de forma paralela)

( F ) Quando a organização delega responsabilidade e autoridade aos funcionários deve também delegar os controles internos relacionados. (Decisões descentralizadas requerem diversas formas de controle)

( F ) Se os controles são robustos nós podemos garantir que os funcionários não serão capazes de realizar qualquer fraude. (Controles Internos provêem uma garantia razoável, mas não absoluta)

Indique 3 tipos de impedimentos para o estabelecimento efetivo dos controles internos: falta de interesse, falta de liderança, falta de criatividade, falta de conhecimento.

Indique os 8 componentes do COSO: 1- Ambiente de controle; 2- Estabelecimento de metas; 3-Identificação de problemas; 4- Avaliação de risco; 5- Resposta ao risco; 6- Atividades de controle; 7- Informações e comunicações; 8- Monitoramento.

Resposta dos exercícios

Fim do módulo 3