Prévia do material em texto
SISTEMA DE ENSINO AUDITORIA GOVERNAMENTAL Controles Internos segundo o COSO I e o COSO II Livro Eletrônico 2 de 72www.grancursosonline.com.br Controles Internos segundo o COSO I e o COSO II AUDITORIA GOVERNAMENTAL Marcelo Aragão Sumário Controles Internos segundo o COSO I e o COSO II ................................................................... 3 Controle Interno (COSO I) .............................................................................................................. 3 Definição ........................................................................................................................................... 3 Objetivos ........................................................................................................................................... 5 Limitações dos Controles Internos de uma Entidade ............................................................. 6 Componentes de Controle Interno .............................................................................................. 7 Funções e Responsabilidades .....................................................................................................12 Eficácia dos Controles Internos ..................................................................................................13 Enterprise Risk Management (COSO ERM) – Estrutura Integrada de Gerenciamento de Riscos (COSO II) ........................................................................................................................ 14 Conceitos Básicos ..........................................................................................................................15 Definição de Gerenciamento de Riscos Corporativos ............................................................16 Categorias de Objetivos ............................................................................................................... 18 Componentes do Gerenciamento de Riscos Corporativos ...................................................20 Relacionamento entre Objetivos e Componentes ................................................................. 30 Abrangência do Controle Interno ...............................................................................................31 Eficácia do Gerenciamento de Riscos ........................................................................................31 Limitações ...................................................................................................................................... 32 Técnicas de Avaliação .................................................................................................................. 33 COSO ERM 2017 .............................................................................................................................. 35 Resumo ............................................................................................................................................38 Mapas Mentais ..............................................................................................................................40 Questões de Concurso ................................................................................................................. 41 Gabarito ............................................................................................................................................71 O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal. https://www.grancursosonline.com.br https://www.grancursosonline.com.br 3 de 72www.grancursosonline.com.br Controles Internos segundo o COSO I e o COSO II AUDITORIA GOVERNAMENTAL Marcelo Aragão CONTROLES INTERNOS SEGUNDO O COSO I E O COSO II Inicialmente, para aqueles que ainda não conhecem o COSO, é preciso esclarecer o que significa! COSO é a sigla de Committee of Sponsoring Organizations da National Comission on Frau- dlent Financial Reporting, também conhecida como Treadeway Comission. Traduzindo, signifi- ca “Comitê das Entidades Patrocinadoras”. Criado em 1985, constitui uma entidade do setor privado, sem fins lucrativos, voltada para o aperfeiçoamento da qualidade de relatórios financeiros por meio de éticas profissionais, im- plementação de controles internos e governança corporativa. São cinco as organizações norte-americanas que patrocinam o citado comitê: • American Institute of Certified Public Accountants – AICPA; • American Accounting Association – AAA; • The Institute of Internal Auditors – IIA; • Institute of Management Accountants – IMA; e • Financial Executives Institute – FEI. Em 1992, o COSO publicou um estudo relevante sobre controle interno intitulado “Controles Internos – Estrutura Integrada”, para ajudar empresas e outras organizações a avaliar e aper- feiçoar seus sistemas de controle interno. Desde então, a referida estrutura foi incorporada em políticas, normas e regulamentos adotados por milhares de organizações para controlar melhor suas atividades visando ao cumprimento dos objetivos estabelecidos. Esse estudo é muitas vezes chamado de Relatório COSO e muitos profissionais do ramo de contabilidade e de auditoria o denominam de COSO I, em virtude de mais recentemente o COSO ter publicado outro estudo relevante sobre Gerenciamento de Risco. Em 2004, o COSO publicou o estudo denominado Gerenciamento de Riscos - Estrutura Inte- grada (ERM – Enterprise Risk Management), comumente denominado de COSO II. Em maio de 2013, o COSO publicou uma nova versão do estudo acerca dos Controles Inter- nos: Estrutura Integrada de Controles Internos 2013. Vamos começar pelo primeiro estudo do Comitê, acerca do controle interno. Controle Interno (CoSo I) DefInIção A definição de controle interno existente no Relatório COSO é: Controle interno é um processo, conduzido pelo conselho de administração, diretoria e por todo o pessoal da organização, projetado para fornecer segurança razoável quanto à realização de objeti- vos nas seguintes categorias: O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal. https://www.grancursosonline.com.br https://www.grancursosonline.com.br 4 de 72www.grancursosonline.com.br Controles Internos segundo o COSO I e o COSO II AUDITORIA GOVERNAMENTAL Marcelo Aragão - operacional (eficácia e eficiência das operações); - comunicação (confiabilidade das informações e relatórios); - conformidade (cumprimento de leis e regulamentações aplicáveis). Essa definição reflete certos conceitos fundamentais. Segundo o COSO, o controle interno é: • orientado para a consecução de objetivos em uma ou mais categorias - operacionais, informacionais e de conformidade. Controle existe para propiciar que as organizações alcancem determinados objetivos; • um processo constituído de tarefas e atividades contínuas - um meio para um fim, não um fim em si. O controle não é um fato ou circunstância ou um fim em si mesmo, mas uma série de ações que permeiam as atividades da entidade com determinado fim. Es- sas ações se dão em todas as operações da entidade, de modo contínuo. São ações ine- rentes à maneira pela qual a gerência administra a organização. O sistema de controle interno deve ser interligado às atividades da entidade e torna-se mais efetivo quando é concebido dentro da estrutura organizacional da entidade e é parte integrante da essên- cia da organização; • efetuado por pessoas - não se trata apenas de políticas e manuais acerca de procedi- mentos, sistemas e formulários, mas de pessoas e as ações que elas tomam em todos os níveis de uma organização para efetuar o controle interno; • capazde fornecer uma garantia ou segurança razoável – não importa quão bem plane- jado ou executado esteja, o controle interno não pode dar segurança absoluta à gerên- cia, em relação ao alcance dos objetivos gerais. Em vez disso, as diretrizes reconhecem que apenas um nível razoável de segurança pode ser alcançado. A segurança razoável reflete a noção sobre incerteza e os riscos futuros que não podem ser previstos com segurança absoluta e reconhece que o custo do controle interno não deve exceder os benefícios que dele derivam; • adaptável à estrutura da entidade - uma aplicação flexível para toda a entidade ou uma subsidiária, divisão, unidade operacional ou um processo de negócio. Portanto, O con- trole interno não é responsabilidade apenas de um setor ou departamento especializado da entidade, mas de todas as áreas e unidades dessa organização. Essa definição é intencionalmente abrangente. Ela captura conceitos importantes que são fundamentais para a forma como as organizações desenvolvem, implementam e conduzem o controle interno, proporcionando uma base para aplicação a todas as organizações que ope- ram em diferentes estruturas de entidades, indústrias e regiões geográficas. O fator humano é fundamental na definição de controle interno do COSO. Assim, controle interno não é apenas um manual ou um formulário, mas abrange todo o conjunto de pessoas que interagem com a organização, independentemente do nível em que atuam. O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal. https://www.grancursosonline.com.br https://www.grancursosonline.com.br 5 de 72www.grancursosonline.com.br Controles Internos segundo o COSO I e o COSO II AUDITORIA GOVERNAMENTAL Marcelo Aragão Cuidado em prova com afirmação de que somente a alta administração, a gerência e/ou a auditoria possuem responsabilidade perante o controle interno. As pessoas que conduzem os controles internos incluem o conselho de administração, a administração, a gerência e todos os empregados e membros do quadro de pessoal em geral. Portanto, todas as pessoas que pertencem à organização têm responsabilidades quanto aos controles internos e todos desempenham um papel importante na execução do controle. As pessoas devem conhecer seus papéis, suas responsabilidades e os limites de autoridade. Em uma prova para a Controladoria-Geral do Município do Rio de Janeiro, se não estou en- ganado, realizada em 2008, caiu uma questão interessante que pedia para o candidato marcar a alternativa que correspondia a quem possuía a responsabilidade pelos controles internos no âmbito do Município do Rio de Janeiro, de acordo com o COSO. As alternativas eram: do Prefeito do Município; do Tribunal de Contas do Município; do Pre- feito em conjunto com o Tribunal de Contas; de todos os servidores do Município. Bom, você já deve imaginar a resposta correta. É uma responsabilidade de todos os servi- dores do Município. Segundo o estudo do Coso, o controle interno não é um processo em série, mas sim um pro- cesso dinâmico e integrado. A Estrutura aplica-se a todas as entidades de grande, médio e pe- queno portes, com e sem fins lucrativos, além de órgãos governamentais. Cada organização, entretanto, pode escolher implementar o controle interno de forma diferente. Por exemplo, o sistema de controle interno de uma entidade de pequeno porte pode ser menos formal e estru- turado, mas ainda ser eficaz. objetIvoS Pela definição do Comitê, as organizações devem implantar controles internos para garan- tir que os seus objetivos sejam alcançados. O controle interno é direcionado para o alcance de uma série de objetivos gerais, distintos, mas ao mesmo tempo integrados. Esses objetivos são implementados através de numerosos objetivos específicos, funções, processos e atividades. Segundo o Comitê, são três as categorias de objetivos: • Operacional: esses objetivos são relacionados com a eficiência e eficácia dos proces- sos operacionais, incluindo o desempenho quanto ao alcance das metas financeiras e/ ou operacionais, e também a salvaguarda dos ativos contra a ameaça de perdas; • Comunicação ou Divulgação: esses objetivos relacionam-se a divulgações financeiras e não financeiras, internas e externas, podendo abranger os requisitos de confiabilidade, oportunidade, transparência ou outros termos estabelecidos pelas autoridades normati- vas, órgãos normatizadores reconhecidos, ou às políticas da entidade; O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal. https://www.grancursosonline.com.br https://www.grancursosonline.com.br 6 de 72www.grancursosonline.com.br Controles Internos segundo o COSO I e o COSO II AUDITORIA GOVERNAMENTAL Marcelo Aragão • Conformidade: esses objetivos dizem respeito à aderência a normas, leis e regulamen- tos em que a organização tem obrigação. Comparando a estrutura de 1992 com a de 2013, quando o primeiro estudo foi atualizado, a grande mudança é que a estrutura original tinha como meta apenas a comunicação financeira. Assim, de particular importância eram os controles que visam a fornecer segurança razoável de que as demonstrações contábeis preparadas pela administração para usuários externos encontram-se adequadamente apresentadas de acordo com princípios contábeis geralmente aceitos. Na nova estrutura de 2013, o objetivo se torna mais abrangente, considerando as in- formações tanto financeiras quanto não financeiras. lImItaçõeS DoS ControleS InternoS De uma entIDaDe Vimos que controles internos podem fornecer segurança razoável para a administração e para o conselho de administração quanto à consecução dos objetivos de uma entidade e não segurança absoluta! Isto se deve às seguintes limitações inerentes: • erros de julgamento - pela administração ou por outras pessoas, ao tomar decisões, em razão de informações inadequadas, restrições de tempo e outros motivos; • falhas – cometidas por pessoas que não entendem instruções corretamente ou come- tem erros por falta de cuidado, distração ou cansaço; • conluio – indivíduos que agem conjuntamente, podem praticar fraude e de forma que ela não seja detectada pelos controles internos; • atropelamento pela administração – que burla ou passa por cima de procedimentos ou políticas, com objetivos ilegítimos; • eventos externos – acontecimentos externos, fora do controle da organização, podem limitar os controles; • custos versus benefícios – o custo dos controles internos de uma entidade não deve superior aos benefícios que deles se esperam. Assume-se certos riscos, quando se re- duzem os procedimentos de controle em função dos benefícios esperados. Portanto, a despeito de oferecer importantes benefícios, o controle interno está sujeito a limitações. Além de outros fatores, as limitações originam-se do fato de que o julgamento hu- mano, no processo decisório, pode ser falho e o estabelecimento dos controles necessita levar em conta os custos e benefícios relativos. Pode, ainda, ocorrer falhas causadas por erro ou engano humano, os controles podem ser anulados por conluio entre duas ou mais pessoas, e a administração tem o poder de recusar-se a aceitar as decisões de implantar e observar controles internos. Essas limitações impedem O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal. https://www.grancursosonline.com.br https://www.grancursosonline.com.br 7 de 72www.grancursosonline.com.br Controles Internos segundo o COSOI e o COSO II AUDITORIA GOVERNAMENTAL Marcelo Aragão que o conselho de administração e a diretoria executiva tenham absoluta garantia da realiza- ção dos objetivos da organização. ComponenteS De Controle Interno Para o COSO, o processo de controles internos deve ser constituído de cinco componentes, que se inter-relacionam: • ambiente de controle; • avaliação de riscos; • atividades ou procedimentos de controle; • informação e comunicação; • atividades de monitoramento. Trata-se de uma estrutura ideal de controles internos. Para o COSO, o sistema de controle interno da organização será eficaz se todos os componentes estiverem presentes e funcionan- do adequadamente. A seguir, vamos detalhar um pouco cada um desses componentes. Ambiente de Controle O ambiente dá o tom de uma organização, influenciando a consciência de controle das pes- soas que nela trabalham. Representa o alicerce dos demais componentes, disciplinando-os e estruturando-os. O ambiente de controle é a base de todo o sistema de controle interno. Ele fornece o con- junto de regras e a estrutura, além de criar um clima que influi na qualidade do controle interno em seu conjunto. Os elementos do ambiente de controle são: • a integridade pessoal e profissional e os valores éticos da direção e do quadro de pes- soal, incluindo uma atitude de apoio ao controle interno, durante todo o tempo e por toda a organização; • o comprometimento com a competência - A competência dos empregados da organi- zação reflete o conhecimento e as habilidades necessárias para a execução das tarefas designadas. A administração alinha competência ao custo; • o perfil dos superiores (ou seja, a filosofia da direção e o estilo gerencial); • a estrutura organizacional da entidade que fornece o arcabouço para planejamento, exe- cução, controle e monitoração das atividades de uma entidade. Sua estrutura contribui para que atinja seus objetivos. A estrutura organizacional define as áreas fundamentais de responsabilidade. Estabelece as linhas de comunicação e a definição de autoridade e responsabilidade; O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal. https://www.grancursosonline.com.br https://www.grancursosonline.com.br 8 de 72www.grancursosonline.com.br Controles Internos segundo o COSO I e o COSO II AUDITORIA GOVERNAMENTAL Marcelo Aragão • a atribuição de autoridade e responsabilidade que representa uma extensão do desen- volvimento de uma estrutura organizacional e envolve aspectos específicos de como e a quem autoridade e responsabilidade por todas as atividades da entidade serão atribu- ídas; • as políticas e práticas de recursos humanos, cujas normas tratam de admissão, orien- tação, treinamento, avaliação, aconselhamento, promoção, compensação e medidas corretivas, conduzindo os níveis previstos de integridade, de comportamento ético e de competência. As medidas disciplinares transmitem a mensagem de que as infrações ao comportamento esperado não serão toleradas. Avaliação de Risco Toda entidade enfrenta vários riscos de origem tanto interna quanto externa. Define-se risco como a possibilidade de que um evento ocorra e afete adversamente a re- alização dos objetivos. A avaliação de riscos envolve um processo dinâmico e iterativo para identificar e avaliar os riscos à realização dos objetivos. Esses riscos de não atingir os objetivos em toda a entidade são considerados em relação às tolerâncias aos riscos estabelecidos. Dessa forma, a avalia- ção de riscos estabelece a base para determinar a maneira como os riscos serão gerenciados. A avaliação de risco é o processo de identificação e análise dos riscos relevantes para o alcance dos objetivos da entidade e para determinar uma resposta apropriada. Portanto, a organização deve definir e especificar os objetivos com clareza suficiente para permitir a iden- tificação e a avaliação dos riscos associados aos objetivos. Toda entidade enfrenta vários riscos de origem tanto interna quanto externa. Define-se risco como a possibilidade de que um evento ocorra e afete adversamente a realização dos objetivos. A avaliação de riscos envolve um processo dinâmico e iterativo para identificar e avaliar os riscos à realização dos objetivos. Esses riscos de não atingir os objetivos em toda a entidade são considerados em relação às tolerâncias aos riscos estabelecidos. Dessa forma, a avaliação de riscos estabelece a base para determinar a maneira como os riscos serão gerenciados. Uma condição prévia à avaliação de riscos é o estabelecimento de objetivos, ligados aos diferentes níveis da entidade. A administração especifica os objetivos dentro das categorias: operacional, divulgação e conformidade, com clareza suficiente para identificar e analisar os riscos à realização desses objetivos. A administração também considera a adequação dos objetivos à entidade. A avaliação de riscos requer ainda que a administração considere o impacto de possíveis mudanças no ambiente externo e dentro de seu próprio modelo de negócio que podem tornar o controle interno ineficaz. O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal. https://www.grancursosonline.com.br https://www.grancursosonline.com.br 9 de 72www.grancursosonline.com.br Controles Internos segundo o COSO I e o COSO II AUDITORIA GOVERNAMENTAL Marcelo Aragão Atividades de Controle Atividades de controle são ações estabelecidas por meio de políticas e procedimentos que ajudam a garantir o cumprimento das diretrizes determinadas pela administração para mitigar os riscos à realização dos objetivos. As atividades de controle são desempenhadas em todos os níveis da entidade, em vários estágios dentro dos processos corporativos e no ambiente tecnológico. Podem ter natureza preventiva ou de detecção e abranger uma série de atividades manu- ais e automáticas, como autorizações e aprovações, verificações, reconciliações e revisões de desempenho do negócio. A segregação de funções é geralmente inserida na seleção e no desenvolvimento das ati- vidades de controle. Nos casos em que a segregação de funções seja impraticável, a adminis- tração deverá selecionar e desenvolver atividades alternativas de controle. Informação e Comunicação A informação e a comunicação são essenciais para a concretização de todos os objetivos do controle interno. A identificação, a captura e a troca de informações sob forma e em época tais, que permitam que as pessoas cumpram suas responsabilidades. A informação é necessária para que a entidade cumpra responsabilidades de controle in- terno a fim de apoiar a realização de seus objetivos. A administração obtém ou gera e utiliza informações importantes e de qualidade, originadas tanto de fontes internas quanto externas, a fim de apoiar o funcionamento de outros componentes do controle interno. A comunicação é o processo contínuo e iterativo de proporcionar, compartilhar e obter as informações necessárias. A comunicação interna é o meio pelo qual as informações são transmitidas para a orga- nização, fluindo em todas as direções da entidade. Ela permite que os funcionários recebam uma mensagem clara da alta administração de que as responsabilidades pelo controle devem ser levadas a sério. A comunicação externa apresenta duas vertentes: permite o recebimento, pela organiza- ção, de informações externas significativas, e proporciona informações a partes externas em resposta a requisitos e expectativas. Monitoramento Monitoramento ou monitoração é um processo que avalia a qualidade do desempenho dos controles internos ao longo do tempo. Envolve avaliação do desenho e da tempestividadede operação dos controles e a tomada de ações corretivas. Os sistemas de controle interno devem ser monitorados para avaliar a qualidade de sua atuação ao longo do tempo. O monitoramento é obtido através de: O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal. https://www.grancursosonline.com.br https://www.grancursosonline.com.br 10 de 72www.grancursosonline.com.br Controles Internos segundo o COSO I e o COSO II AUDITORIA GOVERNAMENTAL Marcelo Aragão • atividades rotineiras ou contínuas, • avaliações específicas, ou • a combinação de ambas. Avaliações contínuas são construídas dentro do processo de negócio nos diferentes níveis da entidade e proveem informações em tempo hábil. Avaliações independentes, conduzidas periodicamente, variam de escopo e frequência, dependendo da análise de riscos, da efetivida- de das avaliações contínuas e de outras considerações gerenciais. Os resultados são avaliados em relação a critérios estabelecidos pelas autoridades norma- tivas, órgãos normatizadores reconhecidos ou pela administração e a estrutura de governança, sendo que as deficiências são comunicadas à estrutura de governança e administração, con- forme aplicável. A auditoria interna participa do componente de monitoração, avaliando diferentes partes dos controles internos de uma entidade e relatam fraquezas à administração, com recomenda- ções para introdução de melhorias. Uma dúvida frequente dos alunos é com relação ao papel do controle interno comparado com o papel da auditoria interna. O controle interno é uma estrutura que compreende cinco componentes e sua função é fornecer garantia razoável quanto ao alcance de objetivos de uma organização. A auditoria interna faz parte do componente de monitoração e sua função é auxiliar a administração a monitorar a eficácia do sistema de controle interno. Princípios Relevantes Associados a cada Componente Uma das novidades da atualização do estudo do COSO, ocorrida em 2013, foi estabelecer os princípios de cada componente da estrutura de controle interno. Muita atenção em prova. Os princípios são os seguintes: • Ambiente de Controle: − 1. A organização demonstra ter compromisso com a integridade e os valores éticos; − 2. O conselho de administração mantém independência em relação à diretoria e exer- ce a supervisão do desenvolvimento e desempenho do controle interno; − 3. A administração estabelece, com a supervisão do conselho, estruturas, níveis de subordinação e as autoridades e responsabilidades adequadas na busca dos objeti- vos; − 4. A organização demonstra um compromisso de atrair, desenvolver e manter pesso- as competentes, em alinhamento com os objetivos; − 5. A organização faz com que as pessoas assumam responsabilidade por suas fun- ções de controle interno na busca pelos objetivos; O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal. https://www.grancursosonline.com.br https://www.grancursosonline.com.br 11 de 72www.grancursosonline.com.br Controles Internos segundo o COSO I e o COSO II AUDITORIA GOVERNAMENTAL Marcelo Aragão • Avaliação de Riscos: − 6. A organização especifica os objetivos com clareza suficiente para permitir a identi- ficação e avaliação dos riscos associados aos objetivos; − 7. A organização identifica os riscos para a concretização dos objetivos da entidade e analisa riscos como uma base para determinar como os riscos devem ser gerencia- dos; − 8. A organização considera potenciais fraudes na avaliação dos riscos quanto à rea- lização dos objetivos; − 9. A organização identifica e avalia as mudanças que poderiam afetar significativa- mente o sistema de controle interno; − Atividades de Controle: − 10. A organização seleciona e desenvolve atividades de controle que contribuem para a redução, a níveis aceitáveis, de riscos para a realização dos objetivos; − 11. A organização seleciona e desenvolve atividades gerais de controle sobre a tecno- logia da informação para apoiar a realização dos objetivos; − 12. A organização implanta atividades de controle por meio de políticas que estabele- cem o que é esperado e os procedimentos que devem ser aplicados; − Informação e comunicação: − 13. A organização obtém ou gera e utiliza informação de qualidade relevante para apoiar o funcionamento do controle interno; − 14. A organização comunica internamente as informações, incluindo os objetivos e responsabilidades perante os controles, para apoiar o funcionamento do controle in- terno; − 15. A organização comunica às partes externas sobre assuntos que afetam o funcio- namento do controle interno; • Atividades de monitoramento: − 16. A organização seleciona, desenvolve e realiza avaliações contínuas e/ou inde- pendentes para se certificar da presença e do funcionamento dos componentes da estrutura de controle interno; − 17. A organização avalia e comunica deficiências no controle interno em tempo hábil objetivando que as partes responsáveis adotem medidas corretivas, incluindo a alta administração e o conselho de administração, conforme o caso. O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal. https://www.grancursosonline.com.br https://www.grancursosonline.com.br 12 de 72www.grancursosonline.com.br Controles Internos segundo o COSO I e o COSO II AUDITORIA GOVERNAMENTAL Marcelo Aragão Relacionamento entre Objetivos e Componentes Figura 1: Cubo do COSO Existe uma relação direta entre os objetivos, que são o que a entidade busca alcançar, os componentes, que representam o que é necessário para atingir os objetivos, e a estrutura organizacional da entidade (as unidades operacionais e entidades legais, entre outras). Essa relação pode ser ilustrada na forma de um cubo, como na figura 1: • As três categorias de objetivos – operacional, divulgação e conformidade – são repre- sentadas pelas colunas; • Os cinco componentes são representados pelas linhas; • A estrutura organizacional da entidade é representada pela terceira dimensão. funçõeS e reSponSabIlIDaDeS Como vimos anteriormente, o relatório do COSO conclui que todas as pessoas em uma organização têm alguma responsabilidade pelos controles internos e que, na realidade, fazem parte deles. Registra, contudo, que várias partes externas, tais como auditores independentes e regula- dores, podem trazer informações úteis para os controles, mas não têm responsabilidade por sua eficácia. As responsabilidades e papéis são os seguintes: • Administração. É responsabilidade da administração estabelecer controles internos efi- cazes. Os executivos são os responsáveis diretos por todas as atividades de uma orga- nização, incluindo o planejamento, a implementação, a supervisão do funcionamento adequado, a manutenção e a documentação do sistema de controle interno. Suas res- ponsabilidades variam de acordo com a sua função na organização e as características da organização; O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal. https://www.grancursosonline.com.br https://www.grancursosonline.com.br 13 de 72www.grancursosonline.com.br Controles Internos segundo o COSO I e o COSO II AUDITORIA GOVERNAMENTAL Marcelo Aragão • Conselho de Administração. Como parte de seus deveres de governança e supervisão geral,membros do conselho de administração devem determinar que a administração cumpra deu dever de estabelecer e manter controles internos; • Auditores internos. Auditores internos devem periodicamente examinar e avaliar a ade- quação dos controles internos da entidade e fazer recomendações para aperfeiçoamen- tos, mas não têm responsabilidade principal pelo seu estabelecimento e manutenção. Eles desempenham um papel importante em um sistema de controle interno eficaz, mas não têm a responsabilidade gerencial primeira sobre o planejamento, manutenção e do- cumentação do controle interno; • Demais funcionários. O controle interno é parte implícita ou explícita das funções de cada um. Todos os membros da equipe exercem um papel na execução do controle e devem ser responsáveis por relatar problemas operacionais, de descumprimento de có- digo de conduta ou de violações da política; • Partes externas. Diversas partes externas, como clientes, revendedores, parceiros co- merciais, auditores externos, agentes normativos e analistas financeiros frequentemente fornecem informações úteis para a condução e aperfeiçoamento dos controles internos, porém não são responsáveis pela sua eficácia e nem fazem parte do gerenciamento de riscos da organização. efICáCIa DoS ControleS InternoS A Estrutura estabelece os requisitos para um sistema eficaz de controle interno, que pro- porciona segurança razoável acerca da realização dos objetivos da entidade. Um sistema de controle interno eficaz reduz, a um nível aceitável, o risco de não se atingir o objetivo de uma entidade e pode estar relacionado a uma, duas ou todas as três categorias de objetivos. O sis- tema requer: • A presença e o funcionamento de cada um dos cinco componentes e princípios relacio- nados. “Presença” refere-se à determinação da existência dos componentes e princí- pios relacionados no desenho e na implementação do sistema de controle interno para atingir objetivos especificados. “Funcionamento” refere-se à determinação de que os componentes e princípios relacionados continuem a existir na operação e na condução do sistema de controle interno para atingir objetivos especificados; • Os cinco componentes operam em conjunto de forma integrada. “Operam em conjunto” refere-se à determinação de que todos os cinco componentes, em conjunto, reduzam a um nível aceitável o risco de não se atingir o objetivo. Os componentes não devem ser considerados de forma separada; eles operam em conjunto como um sistema integra- do. Os componentes são interdependentes e contam com uma profusão de inter-rela- cionamentos e ligações entre si, especialmente a maneira como os princípios interagem dentro e entre todos os componentes. O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal. https://www.grancursosonline.com.br https://www.grancursosonline.com.br 14 de 72www.grancursosonline.com.br Controles Internos segundo o COSO I e o COSO II AUDITORIA GOVERNAMENTAL Marcelo Aragão Quando existe uma deficiência maior com respeito à presença e ao funcionamento de um componente ou princípio relevante, ou com respeito à operação conjunta dos componentes de uma forma integrada, a organização não pode concluir que já possui um sistema eficaz de controle interno. Ao determinar que um sistema de controle interno é eficaz, a alta administração e a estru- tura de governança têm segurança razoável, com relação à aplicação dentro da estrutura da entidade, de que a organização: • conta com operações eficazes e eficientes quando se considera improvável que eventos externos tenham impacto significativo sobre a realização dos objetivos ou quando a organização pode prever, com razoabilidade, a natureza e a oportunidade dos eventos externos e reduzir seu impacto a um nível aceitável; • entende a abrangência do gerenciamento eficaz e eficiente das operações quando even- tos externos podem ter um impacto significativo sobre a realização dos objetivos ou quando a organização pode prever, com razoabilidade, a natureza e a oportunidade dos eventos externos e reduzir seu impacto a um nível aceitável; • elabora divulgações em conformidade com regras, regulamentações e normas aplicá- veis ou com os objetivos de divulgações específicas da entidade; e • observa as leis, regras, regulamentações e normas externas aplicáveis. A estrutura requer que haja julgamento no desenho, implementação e condução do contro- le interno e na avaliação de sua eficácia. O uso de julgamento, dentro das limitações estabele- cidas pelas leis, regras, regulamentações e normas, aumenta a capacidade da administração de tomar melhores decisões sobre o controle interno, embora não possa assegurar que o re- sultado será perfeito. EntErprisE risk ManagEMEnt (CoSo erm) – eStrutura IntegraDa De gerenCIamento De rISCoS (CoSo II) Nas décadas que se seguiram à publicação do COSO I, intensificou-se o foco e a preocu- pação com o gerenciamento de riscos, e tornou-se cada vez mais clara a necessidade de uma estratégia sólida, capaz de identificar, avaliar e administrar riscos. Em 2001, o COSO iniciou um projeto com essa finalidade e solicitou à PricewaterhouseCoopers que desenvolvesse uma es- tratégia de fácil utilização pelas organizações para avaliar e melhorar o próprio gerenciamento de riscos. O período de desenvolvimento dessa estrutura foi marcado por uma série de escândalos e quebras de negócios de grande repercussão, que gerou prejuízos de grande monta a investido- res, empregados e outras partes interessadas. Na esteira desses eventos, vieram solicitações de melhoria dos processos de governança corporativa e gerenciamento de riscos, por meio de novas leis, regulamentos e de padrões a serem seguidos. O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal. https://www.grancursosonline.com.br https://www.grancursosonline.com.br 15 de 72www.grancursosonline.com.br Controles Internos segundo o COSO I e o COSO II AUDITORIA GOVERNAMENTAL Marcelo Aragão Assim, uma estrutura de gerenciamento de riscos corporativos capaz de fornecer os prin- cípios e conceitos fundamentais, com uma linguagem comum, direcionamento e orientação claros, tornou-se ainda mais necessária. O COSO é da opinião que a obra “Gerenciamento de Riscos Corporativos – Estrutura Integrada” vem para preencher essa lacuna e espera que ela seja amplamente adotada pelas empresas e por outras organizações, bem como por todas as partes interessadas. A obra “Gerenciamento de Riscos Corporativos – Estrutura Integrada” amplia seu alcance em controles internos, oferecendo um enfoque mais vigoroso e extensivo no tema mais abran- gente de gerenciamento de riscos corporativos. ConCeItoS báSICoS O COSO II mudou o conceito tradicional de “controles internos” e chamou a atenção para o fato de que eles tinham de fornecer proteção contra riscos. O modelo, ao definir risco como a possibilidade que um evento ocorra e afete de modo ad- verso o alcance dos objetivos da entidade, introduziu a noção de que controles internos devem ser ferramentas de gestão e monitoração de riscos em relação ao alcance de objetivos e não mais devem ser dirigidos apenas para riscos de origem financeira ou vinculados a resultados escriturais. O papel do controle interno foi, assim, ampliado e reconhecido como um instru- mento de gerenciamento de riscos indispensável à governança corporativa. A premissa inerente ao gerenciamento de riscos corporativos é que toda organização exis- te para gerar valor às partes interessadas. Todas as organizações enfrentam incertezas, e o desafio de seus administradores é de- terminar até que ponto aceitar essaincerteza, assim como definir como essa incerteza pode interferir no esforço para gerar valor às partes interessadas. Incertezas representam riscos e oportunidades, com potencial para destruir ou agregar va- lor. O gerenciamento de riscos corporativos possibilita aos administradores tratar com eficácia as incertezas, bem como os riscos e as oportunidades a elas associadas, a fim de melhorar a capacidade de gerar valor. O valor é maximizado quando a organização estabelece estratégias e objetivos para alcan- çar o equilíbrio ideal entre as metas de crescimento e de retorno de investimentos e os riscos a elas associados, e para explorar os seus recursos com eficácia e eficiência na busca dos objetivos da organização. O gerenciamento de riscos corporativos tem por finalidade: • Alinhar o apetite a risco com a estratégia adotada – os administradores avaliam o ape- tite a risco da organização ao analisar as estratégias, definindo os objetivos a elas rela- cionados e desenvolvendo mecanismos para gerenciar esses riscos; • Fortalecer as decisões em resposta aos riscos – o gerenciamento de riscos corpora- tivos possibilita o rigor na identificação e na seleção de alternativas de respostas aos riscos – como evitar, reduzir, compartilhar e aceitar os riscos; O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal. https://www.grancursosonline.com.br https://www.grancursosonline.com.br 16 de 72www.grancursosonline.com.br Controles Internos segundo o COSO I e o COSO II AUDITORIA GOVERNAMENTAL Marcelo Aragão • Reduzir as surpresas e prejuízos operacionais – as organizações adquirem melhor ca- pacidade para identificar eventos em potencial e estabelecer respostas a estes, reduzin- do surpresas e custos ou prejuízos associados; • Identificar e administrar riscos múltiplos e entre empreendimentos – toda organização enfrenta uma gama de riscos que podem afetar diferentes áreas da organização. A ges- tão de riscos corporativos possibilita uma resposta eficaz a impactos inter-relacionados e, também, respostas integradas aos diversos riscos; • Aproveitar oportunidades – pelo fato de considerar todos os eventos em potencial, a or- ganização posiciona-se para identificar e aproveitar as oportunidades de forma proativa; • Otimizar o capital – a obtenção de informações adequadas a respeito de riscos possi- bilita à administração conduzir uma avaliação eficaz das necessidades de capital como um todo e aprimorar a alocação desse capital. Essas qualidades, inerentes ao gerenciamento de riscos corporativos ajudam os adminis- tradores a atingir as metas de desempenho e de lucratividade da organização, e evitam a perda de recursos. O gerenciamento de riscos corporativos contribui para assegurar comunicação eficaz e o cumprimento de leis e regulamentos, bem como evitar danos à reputação da organização e suas consequências. Em suma, o gerenciamento de riscos corporativos ajuda a organização a atingir seus obje- tivos e a evitar os perigos e surpresas em seu percurso. Obs.: � risco é a probabilidade de perda ou incerteza associada ao cumprimento de um objetivo DefInIção De gerenCIamento De rISCoS CorporatIvoS Segundo o COSO ERM, o gerenciamento de riscos corporativos trata de riscos e oportuni- dades que afetam a criação ou a preservação de valor, sendo definido da seguinte forma: O gerenciamento de riscos corporativos é um processo conduzido em uma organização pelo conse- lho de administração, diretoria e demais empregados, aplicado no estabelecimento de estratégias, formuladas para identificar em toda a organização eventos em potencial, capazes de afetá-la, e administrar os riscos de modo a mantê-los compatível com o apetite a risco da organização e pos- sibilitar garantia razoável do cumprimento dos seus objetivos. Essa definição reflete certos conceitos fundamentais. O gerenciamento de riscos cor- porativos é: • um processo contínuo e que flui através da organização; • conduzido pelos profissionais em todos os níveis da organização; • aplicado à definição das estratégias; O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal. https://www.grancursosonline.com.br https://www.grancursosonline.com.br 17 de 72www.grancursosonline.com.br Controles Internos segundo o COSO I e o COSO II AUDITORIA GOVERNAMENTAL Marcelo Aragão • aplicado em toda a organização, em todos os níveis e unidades, e inclui a formação de uma visão de portfólio de todos os riscos a que ela está exposta; • formulado para identificar eventos em potencial, cuja ocorrência poderá afetar a organi- zação e para administrar os riscos de acordo com seu apetite a risco; • capaz de propiciar garantia razoável para o conselho de administração e a diretoria exe- cutiva de uma organização; • orientado para a realização de objetivos em uma ou mais categorias distintas. Essa definição é intencionalmente ampla e adota conceitos fundamentais sobre a forma como as empresas e outras organizações administram riscos, possibilitando uma base para sua aplicação em organizações, indústrias e setores. O gerenciamento de riscos corporativos orienta seu enfoque diretamente para o cumprimento dos objetivos estabelecidos por uma organização específica e fornece parâmetros para definir a eficácia desse gerenciamento de riscos. Apetite a Risco Da definição de gerenciamento de riscos, cabe ressaltar o apetite a risco. O apetite a risco é a quantidade de riscos, no sentido mais amplo, que uma organização está disposta a aceitar em sua busca para agregar valor. O apetite a risco reflete toda a filo- sofia administrativa de uma organização e, por sua vez, influencia a cultura e o estilo opera- cional desta. Muitas organizações consideram esse apetite de forma qualitativa, categorizando-o como elevado, moderado ou baixo, enquanto outras organizações adotam uma abordagem quantita- tiva que reflete e equilibra as metas de crescimento, retorno e risco. Uma organização dotada de um maior apetite a risco poderá desejar alocar grande parcela de seu capital para áreas de alto risco como mercados recém-emergentes. Por outro lado, uma organização com um reduzido apetite a risco poderá limitar seu risco de curto prazo investindo apenas em mercados maduros e mais estáveis. O apetite a risco está diretamente relacionado à estratégia da organização e é levado em conta na ocasião de definir as estratégias, visto que a estas expõem a organização a diferentes riscos. O gerenciamento destes ajuda a administração a selecionar uma estratégia capaz de alinhar a criação de valor com o apetite a risco. Associadas aos objetivos da organização, a tolerância a riscos representa o nível aceitável de variação em relação à meta para o cumprimento de um objetivo específico, e, via de regra, é mensurada nas mesmas unidades utilizadas para avaliar o objetivo a que está vinculada. Ao estabelecer a tolerância a riscos, a administração considera o grau de importância do objetivo relacionado e alinha essas tolerâncias ao apetite a risco global. Tal operação ajuda a O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal. https://www.grancursosonline.com.br https://www.grancursosonline.com.br 18 de 72www.grancursosonline.com.br Controles Internos segundo o COSO I e o COSO II AUDITORIA GOVERNAMENTAL Marcelo Aragão assegurar que a organização permaneça dentro de seus limites de apetite a risco e, por sua vez, consiga atingir os seus objetivos.Enquanto o apetite a risco é a quantidade de riscos que uma organização está disposta a acei- tar em sua busca para agregar valor, tolerância a risco representa o nível aceitável de variação em relação à meta para o cumprimento de um objetivo. CategorIaS De objetIvoS A fixação de objetivos é uma precondição à identificação de evento, à avaliação de riscos e às respostas aos riscos. Em primeiro lugar, é necessário que os objetivos existam para que a administração possa identificar e avaliar os riscos quanto a sua realização, bem como adotar as medidas necessárias para administrá-los. No COSO ERM, os objetivos podem ser agrupados em quatro categorias: • Estratégicos: referem-se às metas no nível mais elevado. Alinham-se e fornecem apoio à missão; • Operacionais: têm como meta a utilização eficaz e eficiente dos recursos; • De comunicação: relacionam-se com a confiabilidade dos relatórios. Incluem relatórios internos e externos e podem, ainda, conter informações financeiras e não financeiras; • De conformidade: relacionam-se com o cumprimento de leis e regulamentos. Em alguns casos dependem de fatores externos e tendem a ser semelhantes em todas as organi- zações. Essa classificação possibilita um enfoque nos aspectos específicos do gerenciamento de riscos corporativos. Apesar de essas categorias serem distintas, elas se inter-relacionam, uma vez que um dado objetivo poderá estar presente em mais de uma categoria, elas tratam de necessidades empresariais diferentes, cuja responsabilidade direta poderá ser atribuída a di- versos executivos. Essa classificação também possibilita distinguir o que se espera do gerenciamento de ris- cos corporativos. Algumas organizações utilizam outra categoria de objetivos, a salvaguarda de recursos, que também é denominada salvaguarda de ativos. De modo geral, esses objetivos têm como meta evitar a perda de ativos ou recursos da organização, seja por meio de furto, desperdício, ineficiência, ou simplesmente, por meio de decisões empresariais equivocadas, como vender um produto a preço demasiado baixo, deixar de conservar empregados de importância funda- mental, evitar infrações a patentes, ou incorrer em passivos imprevistos. Esses objetivos são essencialmente de natureza operacional, embora determinados aspec- tos de salvaguarda possam ser classificados em outras categorias. Nos casos da aplicação de exigências legais ou regulamentares, os referidos objetivos tornam-se itens de compliance. O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal. https://www.grancursosonline.com.br https://www.grancursosonline.com.br 19 de 72www.grancursosonline.com.br Controles Internos segundo o COSO I e o COSO II AUDITORIA GOVERNAMENTAL Marcelo Aragão Quando considerados em conjunto com informações públicas, utiliza-se uma definição mais rigorosa para a salvaguarda de ativos. Essa definição trata da prevenção ou constatação oportuna, de aquisição, do uso ou da alienação não autorizada dos bens de uma organização, que poderia produzir impacto relevante nas demonstrações financeiras. É de se perceber, ao compararmos com a estrutura de controles internos, que surge mais uma categoria de objetivo: estratégicos. Espera-se que o gerenciamento de riscos corporativos ofereça garantia razoável do cum- primento dos objetivos relacionados à confiabilidade dos informes e ao cumprimento de leis e regulamentos. O atendimento dessas categorias de objetivos está sob o controle da organiza- ção e depende da qualidade da execução das atividades a elas relacionadas. Entretanto, o alcance de objetivos estratégicos, como, por exemplo, a conquista de uma determinada participação de mercado, e de objetivos operacionais, como o lançamento bem- -sucedido de uma nova linha de produtos, nem sempre está sob total controle da organização. O gerenciamento de riscos corporativos não consegue neutralizar julgamentos ou decisões equivocadas, nem eventos externos, responsáveis por levar um negócio a deixar de alcançar suas metas operacionais. No entanto, esse gerenciamento é capaz de aumentar a probabilida- de da administração tomar decisões mais bem fundamentadas. Em relação a esses objetivos, o gerenciamento de riscos corporativos pode oferecer garan- tia razoável para que a diretoria executiva e o conselho de administração, na função de super- visores, sejam oportunamente notificados se a organização está na direção do cumprimento dos objetivos. Obs.: � o atendimento aos objetivos relacionados às categorias de comunicação e confor- midade está sob o controle da organização e depende da qualidade da execução das atividades a elas relacionadas. Já o alcance de objetivos estratégicos e operacionais nem sempre está sob total controle da organização. Objetivos Selecionados Como parte do gerenciamento de riscos corporativos, a administração não apenas selecio- na objetivos e considera o modo pelo qual estes darão suporte à missão da organização, mas também se assegura de que esses objetivos estão em conformidade com o apetite a risco. Um alinhamento falho poderá fazer que os riscos aceitos sejam demasiadamente baixos para alcançar os objetivos, ou, por outro lado, que aceite riscos em demasia. O gerenciamento de riscos corporativos eficaz NÃO dita os objetivos que a administração deve escolher, mas certifica-se que a referida administração dispõe de um processo que alinhe objetivos estratégicos com a sua missão e que esses objetivos e os correlatos selecionados estejam de acordo com o apetite a risco. O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal. https://www.grancursosonline.com.br https://www.grancursosonline.com.br 20 de 72www.grancursosonline.com.br Controles Internos segundo o COSO I e o COSO II AUDITORIA GOVERNAMENTAL Marcelo Aragão ComponenteS Do gerenCIamento De rISCoS CorporatIvoS No relatório do COSO sobre Controle Interno, eram cinco componentes, lembram? A estrutura integrada de gerenciamento de riscos corporativos é constituída de oito com- ponentes inter-relacionados, pelos quais a administração gerencia a organização, e estão inte- grados com o processo de gestão. De acordo com o Sumário Executivo do COSO II, esses componentes são: • Ambiente Interno: o ambiente interno compreende o tom de uma organização e fornece a base pela qual os riscos são identificados e abordados pelo seu pessoal, inclusive a filosofia de gerenciamento de riscos, o apetite a risco, a integridade e os valores éticos, além do ambiente em que estes estão; • Fixação de Objetivos: os objetivos devem existir antes que a administração possa iden- tificar os eventos em potencial que poderão afetar a sua realização. O gerenciamento de riscos corporativos assegura que a administração disponha de um processo imple- mentado para estabelecer os objetivos que propiciem suporte e estejam alinhados com a missão da organização e sejam compatíveis com o seu apetite a riscos; • Identificação de Eventos: os eventos internos e externos que influenciam o cumprimen- to dos objetivos de uma organização devem ser identificados e classificados entre ris- cos e oportunidades. Essas oportunidades são canalizadas para os processos de esta- belecimento de estratégias da administração ou de seus objetivos; • Avaliação de Riscos: os riscos são analisados, considerando-se a sua probabilidade e o impacto como base para determinar o modo pelo qual deverão ser administrados. Esses riscos são avaliados quanto à sua condição de inerentes e residuais; • Resposta a Risco: a administração escolhe as respostas aos riscos - evitando, aceitan- do, reduzindo ou compartilhando – desenvolvendouma série de medidas para alinhar os riscos com a tolerância e com o apetite a risco; • Atividades de Controle: políticas e procedimentos são estabelecidos e implementados para assegurar que as respostas aos riscos sejam executadas com eficácia; • Informações e Comunicações: as informações relevantes são identificadas, colhidas e comunicadas de forma e no prazo que permitam que cumpram suas responsabilidades. A comunicação eficaz também ocorre em um sentido mais amplo, fluindo em todos níveis da organização; • Monitoramento: a integridade da gestão de riscos corporativos é monitorada e são fei- tas as modificações necessárias. O monitoramento é realizado através de atividades gerenciais contínuas ou avaliações independentes ou de ambas as formas. O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal. https://www.grancursosonline.com.br https://www.grancursosonline.com.br 21 de 72www.grancursosonline.com.br Controles Internos segundo o COSO I e o COSO II AUDITORIA GOVERNAMENTAL Marcelo Aragão COMPONENTES COSO I CONTROLE INTERNO COMPONENTES COSO II GERENCIAMENTO DE RISCOS Ambiente de controle Avaliação de riscos Atividades de controle Ambiente interno Fixação de objetivos Identificação de eventos Informação e comunicação Monitoramento Avaliação de riscos Resposta ao risco Atividades de controle Informação e comunicação Monitoramento Vamos estudar mais um pouco a respeito de cada um dos oito componentes da estrutura de gerenciamento de riscos. 1) Ambiente Interno O ambiente interno é moldado pela história e cultura da organização e, por sua vez, molda, de maneira explícita ou não, a cultura de riscos da organização e a forma como eles são enca- rados e gerenciados (tom da organização), influenciando a consciência de controle das pes- soas. É a base para todos os outros componentes do sistema, provendo disciplina e estrutura. Os fatores que compõem o ambiente interno incluem integridade, valores éticos e compe- tência das pessoas, maneira pela qual a gestão delega autoridade e responsabilidades, estru- tura de governança e organizacional, o “perfil dos superiores” (ou seja, a filosofia da direção e o estilo gerencial), as políticas e práticas de recursos humanos etc. O conselho de administração é parte crítica do ambiente interno e influencia muito os de- mais elementos de ambiente interno. Organizações com ambientes de controle efetivos fixam um tom (“tom do topo”) positivo, contratam e mantém pessoas competentes, formalizam e comunicam políticas e procedimen- tos de modo claro, adotam integridade e consciência de controle, resultando em valores com- partilhados e trabalho em equipe para efetivação de objetivos. 2) Fixação de Objetivos Os objetivos são fixados no âmbito estratégico, operacionais, de comunicação e de cum- primento de normas. Toda organização enfrenta uma variedade de riscos oriundos de fontes externas e internas, sendo a fixação de objetivos um pré-requisito à identificação eficaz de eventos, a avaliação de riscos e resposta a risco. Os objetivos são alinhados com o apetite a risco, o qual direciona os níveis de tolerância a riscos para a organização. O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal. https://www.grancursosonline.com.br https://www.grancursosonline.com.br 22 de 72www.grancursosonline.com.br Controles Internos segundo o COSO I e o COSO II AUDITORIA GOVERNAMENTAL Marcelo Aragão Portanto, a fixação de objetivos é uma precondição à identificação de evento, à avaliação de riscos e às respostas aos riscos. Em primeiro lugar, é necessário que os objetivos existam para que a administração possa identificar e avaliar os riscos quanto a sua realização, bem como adotar as medidas necessárias para administrá-los. 3) Identificação de Eventos A administração identifica os eventos em potencial que, se ocorrerem, afetarão a organiza- ção e determina se estes representam oportunidades ou se podem ter algum efeito adverso na sua capacidade de implementar adequadamente a estratégia e alcançar os objetivos. Eventos de impacto negativo representam riscos que exigem avaliação e resposta da ad- ministração. Os eventos de impacto positivo representam oportunidades que são canalizadas de volta aos processos de fixação das estratégias e dos objetivos. Ao identificar eventos, a administração considera uma variedade de fatores internos e ex- ternos que podem dar origem a riscos e a oportunidades no contexto de toda a organização. São exemplos de fatores externos: • Econômicos: os eventos relacionados contemplam: oscilações de preços, disponibili- dade de capital, ou redução nas barreiras à entrada da concorrência, cujo resultado se traduz em um custo de capital mais elevado ou mais reduzido, e em novos concorrentes; • Meio ambiente: refere-se aos seguintes eventos: incêndios, inundações ou terremotos, que provocam danos a fábricas ou edificações, restrição quanto ao uso de matérias-pri- mas e perda de capital humano; • Políticos: eleição de agentes do governo com novas agendas políticas e novas leis e re- gulamentos, resultando, por exemplo, na abertura ou na restrição ao acesso a mercados estrangeiros, ou elevação ou redução na carga tributária; • Sociais: são alterações nas condições demográficas, nos costumes sociais, nas estru- turas da família, nas prioridades de trabalho/vida e a atividade terrorista, que, por sua vez, podem provocar mudanças na demanda de produtos e serviços, novos locais de compra, demandas relacionadas a recursos humanos e paralisações da produção; • Tecnológicos: são novas formas de comércio eletrônico, que podem provocar aumento na disponibilidade de dados, reduções de custos de infraestrutura e aumento da deman- da de serviços com base em tecnologia. Os eventos também se originam das escolhas que a administração faz em relação ao seu funcionamento. A capacidade e habilidade de gestão da organização refletem suas escolhas passadas, influenciam eventos futuros e afetam as decisões gerenciais. Os fatores internos e os exemplos de eventos correlatos e de suas implicações incluem o seguinte: O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal. https://www.grancursosonline.com.br https://www.grancursosonline.com.br 23 de 72www.grancursosonline.com.br Controles Internos segundo o COSO I e o COSO II AUDITORIA GOVERNAMENTAL Marcelo Aragão • Infraestrutura: aumento da alocação de capital em manutenção preventiva e suporte ao call center, reduzindo o tempo de paralisação de equipamentos e aumentando a satisfa- ção do cliente; • Pessoal: acidentes de trabalho, atividades fraudulentas e expiração de acordos de tra- balho, causando redução de pessoal disponível, danos pessoais, monetários ou à repu- tação da organização e paralisações da produção; • Processo: modificações de processos sem alteração adequada nos protocolos admi- nistrativos, erros de execução de processo e terceirização da entrega a clientes sem uma supervisão adequada, implicando perda de participação de mercado, ineficiência, insatisfação do cliente e diminuição da fidelidade deste; • Tecnologia: aumento de recursos para fazer face à variabilidade de volume, violações da segurança e paralisação, em potencial, de sistemas, provocando redução da carteira de pedidos, transações fraudulentas e incapacidade de se manter as operações. Segundo Vania Maria da Costa Borgerth, quanto à identificação de eventos, que a autorachama de problemas, os sistemas precisam ter a capacidade de sinalizar sempre algum fato fora do padrão esperado que venha a ocorrer. Um evento é um incidente ou uma ocorrência gerada com base em fontes internas ou externas, que afeta a realização dos objetivos. Os eventos podem causar impacto negativo, positivo ou ambos. Os eventos que geram impacto negativo representam riscos. Da mesma forma, o risco é definido como segue. Risco é a possibilidade de que um evento ocorra e afete negativamente a realização dos objetivos. Os eventos cujo impacto é positivo podem contrabalançar os impactos negativos ou repre- sentar oportunidades. A oportunidade é definida da seguinte forma... Oportunidade é a possibilidade de que um evento ocorra e influencie favoravelmente a realização dos objetivos. As oportunidades favorecem a criação ou a preservação de valor. A direção da organização canaliza as oportunidades para seus processos de fixação de estratégias ou objetivos, formu- lando planos que visam ao seu aproveitamento. Os eventos que causam impacto desfavorável são obstáculos à criação de valor ou des- gastam o valor existente. Os exemplos incluem paradas no maquinário da fábrica, incêndio e perdas de créditos. Os eventos de impacto negativo podem originar-se a partir de condições aparentemente positivas, como nos casos em que a demanda de produto pelo consumidor é superior à capa- cidade de produção, o que provoca o não atendimento da demanda, o desgaste na fidelidade do cliente e o declínio de pedidos futuros. O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal. https://www.grancursosonline.com.br https://www.grancursosonline.com.br 24 de 72www.grancursosonline.com.br Controles Internos segundo o COSO I e o COSO II AUDITORIA GOVERNAMENTAL Marcelo Aragão 4) Avaliação de Riscos A avaliação de riscos permite que uma organização considere até que ponto eventos em potencial podem impactar a realização dos objetivos. A administração avalia os eventos com base em duas perspectivas – probabilidade e impacto – e, geralmente, utiliza uma combina- ção de métodos qualitativos e quantitativos. Os impactos positivos e negativos dos eventos em potencial devem ser analisados isola- damente ou por categoria em toda a organização. Os riscos são avaliados com base em suas características inerentes e residuais. Contexto para a Avaliação de Riscos Fatores externos e internos influenciam os eventos que poderão ocorrer, e até que ponto os referidos eventos podem afetar os objetivos de uma organização. Embora alguns fatores sejam comuns às organizações, via de regra, os eventos resultantes são singulares em rela- ção a uma determinada organização tendo em vista seus objetivos estabelecidos e decisões anteriores. Ao avaliar riscos, a administração considera o composto dos futuros eventos em potencial pertinentes à organização e às suas atividades no contexto das questões que dão forma ao perfil de riscos, como tamanho da organização, complexidade das operações e grau de regula- mentação de suas atividades. Ao avaliar riscos, a administração leva em consideração eventos previstos e imprevistos. Muitos eventos são rotineiros e recorrentes e já foram abordados nos programas de gestão e orçamentos operacionais, enquanto outros são imprevistos. A administração avalia os riscos em potencial de eventos imprevistos e, caso ainda não tenha feito essa avaliação, até os pre- vistos que podem causar um impacto significativo na organização. Embora o termo “avaliação de riscos” tenha sido usado em conexão com uma atividade realizada, uma única vez, no contexto de “avaliação de riscos corporativos”, o componente de “avaliação de riscos” é uma interação contínua e repetida das ações que ocorrem em toda a organização. Risco Inerente e Residual A administração leva em conta tanto o risco inerente quanto o residual: • Risco inerente é o risco que uma organização terá de enfrentar na falta de medidas que a administração possa adotar para alterar a probabilidade ou o impacto dos eventos; • Risco residual é aquele que ainda permanece após a resposta da administração. A ava- liação de riscos é aplicada primeiramente aos riscos inerentes. Após o desenvolvimento das respostas aos riscos, a administração passará a considerar os riscos residuais. O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal. https://www.grancursosonline.com.br https://www.grancursosonline.com.br 25 de 72www.grancursosonline.com.br Controles Internos segundo o COSO I e o COSO II AUDITORIA GOVERNAMENTAL Marcelo Aragão Estimativa da Probabilidade e do Impacto A incerteza de eventos em potencial é avaliada a partir de duas perspectivas – probabi- lidade e impacto. A probabilidade representa a possibilidade de que um determinado evento ocorrerá, enquanto o impacto representa o seu efeito. A determinação do grau de atenção depende da avaliação de uma série de riscos que uma organização enfrenta. A administração reconhece que um risco com reduzida probabilidade de ocorrência e baixo potencial de impacto, geralmente, não requer maiores considerações. Por outro lado, um risco com elevada probabilidade de ocorrência e um potencial de impacto significativo demanda atenção considerável. Figura 2: Avaliação de Riscos O horizonte de tempo empregado para avaliar riscos deverá ser consistente com o tempo das estratégias e objetivos relacionados a esses riscos. Em razão das estratégias e objetivos de muitas organizações considerarem horizontes de tempo de curta a média duração, a ad- ministração naturalmente concentra-se nos riscos associados com esses períodos de tempo. Contudo, alguns aspectos do direcionamento estratégico e dos objetivos estendem-se a prazo mais longo. Consequentemente, a administração precisa levar em conta os cenários de prazos mais longos para não ignorar riscos que possam estar mais adiante. 5) Resposta a Risco Após ter conduzido uma avaliação dos riscos pertinentes, a administração determina como responderá aos riscos. As respostas incluem evitar, reduzir, compartilhar ou aceitar os riscos. Ao considerar a própria resposta, a administração avalia o efeito sobre a probabilidade de ocor- rência e o impacto do risco, assim como os custos e benefícios, selecionando, dessa forma, O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal. https://www.grancursosonline.com.br https://www.grancursosonline.com.br 26 de 72www.grancursosonline.com.br Controles Internos segundo o COSO I e o COSO II AUDITORIA GOVERNAMENTAL Marcelo Aragão uma resposta que mantenha os riscos residuais dentro das tolerâncias a risco desejadas. A administração identifica as oportunidades que possam existir e obtêm, assim, uma visão dos riscos em toda organização ou de portfólio, determinando se os riscos residuais gerais são compatíveis com o apetite a riscos da organização. As respostas a riscos classificam-se nas seguintes categorias: • Evitar: descontinuação das atividades que geram os riscos. Evitar riscos pode implicar a descontinuação de uma linha de produtos, o declínio da expansão em um novo mercado geográfico ou a venda de uma divisão; • Reduzir: são adotadas medidas para reduzir a probabilidade ou o impacto dos riscos, ou, até mesmo, ambos. Tipicamente, esse procedimento abrange qualquer uma das cen- tenas de decisões do negócio no dia a dia; • Compartilhar: redução da probabilidade ou do impactodos riscos pela transferência ou pelo compartilhamento de uma porção do risco. As técnicas comuns compreendem a aquisição de produtos de seguro, a realização de transações de headging ou a terceiri- zação de uma atividade; • Aceitar: nenhuma medida é adotada para afetar a probabilidade ou o grau de impacto dos riscos, já que se encontram compatíveis com o apetite a risco da organização. • Evitar: sugere que nenhuma opção de resposta tenha sido identificada para reduzir o impacto e a probabilidade a um nível aceitável; • Reduzir ou Compartilhar reduzem o risco residual a um nível compatível com as tolerân- cias desejadas ao risco, enquanto aceitar indica que o risco inerente já esteja dentro das tolerâncias ao risco. Segundo Borgerth, as empresas, uma vez conhecidos os riscos e probabilidades a que es- tão sujeitas, devem elaborar planos de contingência que venham a mitigar a perda na ocorrên- cia de um sinistro. Esse plano de contingência pode se referir a riscos que devem ser evitados, mantidos, reduzidos ou transferidos, de acordo com a avaliação de impacto x probabilidade. Quando ... Estratégia de resposta: Os custos de melhorias internas são mais altos do que a perda esperada (PROBABILIDADE BAIXA, MAS IMPACTO ALTO) TRANSFERIR PARTE DO RISCO As perdas esperadas são menores do que o custo a mitigar (PROBABILIDADE E IMPACTO BAIXOS) MANTER / CONTROLAR O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal. https://www.grancursosonline.com.br https://www.grancursosonline.com.br 27 de 72www.grancursosonline.com.br Controles Internos segundo o COSO I e o COSO II AUDITORIA GOVERNAMENTAL Marcelo Aragão As perdas esperadas excedem o custo do negócio (PROBABILIDADE E IMPACTO ALTOS) EVITAR / SAIR As perdas esperadas podem ser reduzidas com melhoria nos processos (PROBABILIDADE ALTA, MAS IMPACTO BAIXO) MITIGAR 6) Atividades de Controle Políticas e procedimentos são estabelecidos e implementados para assegurar que as res- postas aos riscos sejam executadas com eficácia. Existe uma variedade de descrições distintas quanto aos tipos de atividades de controle, inclusive as preventivas, as detectivas, as manuais, as computadorizadas e as de controles administrativos. Essas atividades também podem ser classificadas com base nos objetivos de controle especificados, como o de assegurar a integridade e a precisão do processamen- to de dados. De modo geral, as atividades de controle incluem dois elementos: uma política que esta- belece aquilo que deverá ser feito e os procedimentos para fazê-la ser cumprida. Por exemplo, uma política poderá requerer a revisão das atividades de negociação do cliente pelo gerente de varejo da filial com a corretora. O procedimento é a própria revisão, realizada oportunamente e com especial atenção para os fatores estabelecidos na política, como a natureza e o volu- me dos títulos transacionados e o volume destes em relação ao patrimônio líquido e à idade do cliente. Muitas vezes, as políticas são comunicadas verbalmente. As que não são escritas podem ser eficazes quando existem há muito tempo e são adequadamente entendidas, e nas peque- nas organizações em que os canais de comunicação envolvem poucas camadas gerenciais e existe uma estreita interação e supervisão dos empregados. No entanto, independentemente do fato de estar escrita ou não, uma política deve ser implementada com atenção, de forma conscienciosa e consistente. As atividades de controle incluem: • Procedimentos de autorização e aprovação: a autorização e a execução de transações e eventos devem ser realizadas somente por pessoas que detenham essa autoridade. A autorização é o principal meio para assegurar que apenas as transações e eventos que a administração tem a intenção de realizar sejam iniciados. Os procedimentos de autorização, que devem ser documentados e claramente comunicados aos gerentes e funcionários, devem incluir as condições especiais e os termos, segundo os quais eles devem ser realizados; O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal. https://www.grancursosonline.com.br https://www.grancursosonline.com.br 28 de 72www.grancursosonline.com.br Controles Internos segundo o COSO I e o COSO II AUDITORIA GOVERNAMENTAL Marcelo Aragão • Revisões da Alta Direção: a alta direção compara o desempenho atual em relação ao orçado, às previsões, aos períodos anteriores e aos de concorrentes. As principais ini- ciativas são acompanhadas, como campanhas de marketing, processos de melhoria de produção e programas de contenção ou de redução de custo, para medir até que ponto as metas estão sendo alcançadas. A implementação de planos é monitorada no caso de desenvolvimento de novos produtos, join ventures ou novos financiamentos; • Administração Funcional Direta ou de Atividade: gerentes, no exercício de suas fun- ções ou atividades examinam relatórios de desempenho. Um gerente responsável pelos empréstimos bancários a consumidores revisa os relatórios por filial, região e tipo de empréstimo (com caução), verificando resumos e identificando tendências e associan- do os resultados a estatísticas econômicas e metas. Por sua vez, os gerentes de filiais também se concentram em questões de cumprimento de políticas, revisando relatórios exigidos por órgãos reguladores a respeito de novos depósitos acima de um determi- nado valor. São realizadas reconciliações dos fluxos de caixa diários, com as posições líquidas relatadas centralmente para transferências e investimentos; • Processamento da Informação: uma variedade de controles é realizada para verificar a precisão, a integridade e a autorização das transações. Os dados inseridos ficam su- jeitos a verificações de edição on-line ou à combinação com arquivos aprovados de controle. Um pedido de cliente, por exemplo, somente poderá ser aceito após fazer refe- rência a um arquivo de cliente e ao limite de crédito aprovado. As sequências numéricas das transações são levadas em conta, sendo as exceções acompanhadas e relatadas aos supervisores. O desenvolvimento de novos sistemas e as mudanças nos já existen- tes são controlados da mesma forma que o acesso a dados, arquivos e programas; • Controles Físicos: os equipamentos, estoques, títulos, dinheiro e outros bens são prote- gidos fisicamente, contados periodicamente e comparados com os valores apresenta- dos nos registros de controle; • Indicadores de Desempenho: relacionar diferentes conjuntos de dados, sejam eles ope- racionais sejam financeiros, em conjunto com a realização de análises dos relaciona- mentos e das medidas de investigação e correção, funciona como uma atividade de controle. Os indicadores de desempenho incluem, por exemplo, índices de rotação de pessoal por unidade. Ao investigar resultados inesperados ou tendências incomuns, a administração poderá identificar circunstâncias nas quais a falta de capacidade para concluir processos fundamentais pode significar menor probabilidade de os objetivos serem alcançados. A forma como a administração utiliza essas informações – somente no caso de decisões operacionais ou, também, no caso do acompanhamento de resul- tados imprevistos nos sistemas de comunicações – determinará se a análise dos indi- cadores de desempenho por si só atenderá às finalidades operacionais, bem como às finalidades de controle da comunicação; O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.