apresentacao-coso-cgu

Prévia do material em texto

Controles Internos 
Uma abordagem da estrutura 
conceitual COSO 
O que é? 
 
Comitê das Organizações Patrocinadoras, da 
Comissão Nacional sobre Fraudes em Relatórios 
Financeiros. 
 
Objetivo 
 
Visa o aperfeiçoamento da qualidade de relatórios 
financeiros por meio de éticas profissionais, 
implementação de controles internos e governança 
corporativa. 
COSO 
Committee of Sponsoring Organizations 
Organizações Patrocinadoras 
Processo conduzido pela Diretoria, Conselhos ou outros 
empregados de uma companhia, no intuito de fornecer 
uma garantia razoável de que os objetivos da entidade 
estão sendo alcançados, com relação às seguintes 
categorias: 
 
1 – eficácia e eficiência das operações; 
 
2 – confiabilidade dos relatórios financeiros; e 
 
3 – conformidade com a legislação e regulamentos 
aplicáveis. 
Controles Internos 
“Controle Interno: um modelo integrado”. 
 
Em 1992 o “Comittee of Sponsoring Organizations - 
COSO” propõe um padrão de entendimento, 
avaliação e aperfeiçoamento de controles internos, 
em cinco componentes: 
 
1 – Ambiente de Controle 
2 – Avaliação de Riscos 
3 – Atividades de Controle 
4 – Informações e Comunicações 
5 – Monitoramento. 
COSO 
CUBO DO COSO 
COMPONENTES DO COSO 
• Dá o “ritmo” da organização, influenciando a consciência 
de controle das pessoas que nela trabalham. Base dos 
demais componentes. 
Ambiente de Controle 
• Identificação e análise dos riscos relevantes para a 
consecução dos objetivos. 
Avaliação de Riscos 
• Políticas e procedimentos para assegurar que as diretrizes 
sejam seguidas. 
Atividades de Controle 
• Identificação, captura e troca de informações. 
Informação e Comunicação 
• Processo que avalia a qualidade do desempenho dos 
controles internos. 
Monitoramento 
Controles Internos e Gerenciamento de Riscos 
8 
O modelo COSO I tornou-se referência mundial, por: 
9 
Componentes do COSO 
Ambiente de Controle 
• Dá o tom de uma organização 
• Influencia a consciência de controle das pessoas 
• Fornece disciplina e estrutura 
 
Ambiente de controle - elementos 
• Integridade e valores éticos e Filosofia/estilo da 
administração: exemplo, comunicação, orientação 
moral, padrão de relacionamento com principais 
executivos (formal/informal), grau de participação dos 
funcionários na elaboração de procedimentos 
• Comprometimento com competência: meritocracia? 
• Qualidade e independência das instâncias de 
governança (Conselho de Adm e Comitê de Auditoria) 
• Estrutura Organizacional – Autoridade x 
Responsabilidade (grau de assimetria e accountability) 
• Práticas de RH (treinamentos, avaliação periódica de 
desempenho, ações disciplinares) 
Como avaliar o Ambiente de controle 
• Existe código formalizado de ética/conduta? 
• Se o funcionário agir em desrespeito ao código de 
conduta, são tomadas medidas disciplinares e/ou 
punitivas? 
• Há mecanismos de participação dos servidores na 
elaboração das regras de conduta? 
• As competências e as atribuições estão adequadamente 
previstas no Regimento Interno da organização? 
• Os níveis individuais de autoridade, de responsabilidade e 
de prestação de contas são claramente estabelecidos? 
• Existem procedimentos e/ou instruções de trabalho 
padronizados? 
• As decisões críticas são definidas no nível hierárquico 
adequado? O Regimento Interno trata adequadamente 
essa questão? 
Como avaliar o Ambiente de controle 
• As pessoas são questionadas por comportamento 
inapropriado, por aceitação excessiva de riscos ou por 
serem excessivamente avessas ao risco? 
• Os funcionários conhecem suas responsabilidades, a 
função de seus serviços e o padrão de conduta e ética a 
serem seguidos? 
• São tomadas as ações corretivas devidas, quando o 
funcionário não age de acordo com os padrões de conduta 
e de comportamento esperados ou conforme as políticas e 
procedimentos recomendados? 
• Na estrutura implantada foi observada uma adequada 
segregação de funções, de forma a evitar funções 
conflitantes exercidas por um mesmo setor ou por uma 
mesma pessoa? 
• A dotação de pessoal é suficiente, não comprometendo a 
qualidade dos trabalhos? 
Como avaliar o Ambiente de controle 
• Os procedimentos e rotinas pertinentes à execução 
da atividade auditada estão adequadamente 
formalizados? 
• Os gestores, em particular, e os funcionários, de uma 
forma geral, possuem o necessário conhecimento, 
experiência e treinamento para cumprir suas 
obrigações? 
• A Política de Investimento está formalizada? 
• As normas contemplam aspectos de controle de 
acesso a bens, a documentos, a informações e a 
registros, informatizados ou não? 
 
 
 
Componentes do COSO 
Avaliação de Risco 
• Identificação, análise e administração dos riscos 
relevantes 
• Em decorrência de: 
– Alterações operacionais 
– Rotatividade de pessoal 
– Atividades ou produtos novos 
– Reestruturações corporativas 
– Novos Sistemas de Informações 
 
Avaliação de Risco 
• Cada objetivo operacional, do nível mais alto (como 
“dirigir uma companhia lucrativa”) ao mais baixo 
(como “salvaguardar caixa”), deve ser 
documentado 
• Cada risco que possa prejudicar ou impedir o 
alcance do objetivo é identificado e priorizado 
 É a identificação e análise dos riscos relevantes 
para o alcance dos objetivos e metas da 
entidade, com vistas a dar a resposta 
apropriada. 
 
 Risco: evento futuro e incerto que, caso ocorra, 
pode impactar negativamente o alcance dos 
objetivos da organização. 
 
 Os riscos são analisados e mensurados 
considerando-se a sua probabilidade e o 
impacto como base para determinar o modo 
pelo qual deverão ser geridos. 
Avaliação de Risco 
Decidir sobre ações em resposta a esses riscos 
Avaliar a probabilidade de sua ocorrência 
Estimar a significância dos riscos 
Identificar riscos de negócio relevantes para os 
objetivos da organização 
Avaliação de Risco 
Resposta a Riscos 
Evitar • Suspensão das atividades. 
Reduzir 
• Adoção de procedimentos de 
controle para minimizar a 
probabilidade e/ou o impacto do 
risco. 
Compartilhar 
• Redução da probabilidade ou do 
impacto. 
Aceitar • Não adotar medidas mitigadoras. 
Alto Impacto / 
Baixa Probabilidade 
 
Compartilhar 
 
Alto Impacto / 
Alta Probabilidade 
 
Evitar 
Compartilhar 
Reduzir 
Baixo Impacto / 
Baixa Probabilidade 
 
Aceitar 
Baixo Impacto / 
Alta Probabilidade 
 
Reduzir 
 
 
Probabilidade 
Resposta a Riscos 
Tolerância a riscos 
Objetivo 
Baixa 
tolerância 
a riscos 
Alta 
tolerância 
a riscos 
Apetite a risco: quantidade de risco que a organização 
está disposta a aceitar na busca de sua missão\visão 
Como avaliar o processo de Avaliação de Riscos? 
• Os objetivos centrais são claramente estabelecidos e 
comunicados aos responsáveis por esses objetivos? 
• Os objetivos contemplam os aspectos de efetividade e 
de eficiências das operações, de confiabilidade nos 
relatórios financeiros e/ou gerenciais e de conformidade 
em relação às leis e normativos aplicáveis? 
• Os objetivos da atividade estão ligados aos objetivos da 
organização e aos planos estratégicos? 
• Os objetivos e os riscos da atividade são revisados 
periodicamente para garantir sua permanente 
relevância? 
• Existem mecanismos para prever, para identificar e para 
reagir a eventos que possam afetar o alcance dos 
objetivos? 
 
 
Como avaliar o processo de Avaliação de Riscos? 
• Os riscos e as oportunidades são tratados em nível 
suficientemente alto na organização, de modo a que 
suas implicações sejam integralmente identificadas e 
planos de ação sejam formulados e cumpridos? 
• As decisões de resposta ao risco são tomadas por quem 
tem competência para tal e, quando pertinente, são 
formalizadas? 
• O risco residual assumido é compatível com os 
parâmetros institucionais? 
• Os indicadores de desempenho importantes para o 
alcance dos objetivossão identificados e monitorados? 
• A evolução dos indicadores de desempenho é 
acompanhada pelo diretor da área, por meio de 
relatórios específicos? 
 
 
Componentes do COSO 
Atividades de Controle 
• Atividades que, quando executadas a tempo e 
maneira adequados, permitem a redução ou 
administração dos riscos. 
São as políticas e procedimentos que contribuem para 
assegurar se: 
 
 os objetivos estão sendo alcançados; 
 as diretrizes administrativas estão sendo 
cumpridas; 
 estão sendo realizadas as ações necessárias para 
gerenciar os riscos com vistas à consecução dos 
objetvos da entidade. 
 
Se estabelecidas de forma tempestiva e adequada, 
podem vir a prevenir ou administrar os riscos inerentes 
ou em potencial da entidade. Não são exclusividade de 
determinada área da organização, sendo realizadas em 
todos os níveis. 
Atividades de Controle 
Atividades de Controle - prevenção 
• Alçadas: são os limites determinados a um funcionário, 
quanto a possibilidade deste aprovar valores ou assumir 
posições em nome da instituição. 
• Autorizações: a administração determina as atividades e 
transações que necessitam de aprovação de um supervisor 
para que sejam efetivadas. 
• Normatização Interna: é a definição, de maneira formal, 
das regras internas necessárias ao funcionamento da 
entidade. As normas devem ser de fácil acesso para os 
funcionários da organização, e devem definir 
responsabilidades, políticas corporativas, fluxos 
operacionais, funções e procedimentos 
 
 
Atividades de Controle - prevenção 
• Segregação de funções 
– Há a possibilidade de que um indivíduo cometa um 
erro ou fraude e esteja em posição que lhe permita 
escondê-lo? 
– Comparação da obrigação contabilizada com os ativos 
existentes 
• Separação entre custódia e contabilização reduz o 
risco pois não há como eliminar o registro do ativo 
• Separação de pagamentos e conciliação bancária 
reduz risco de que pgto com cheque não sejam 
contabilizados 
• Separação de aprovação de crédito e realização de 
vendas reduz risco de atingimento de metas 
“podres” 
 
 
Atividade de Controle – Segregação de 
Funções 
Execução 
Registro Custódia de Ativos 
Comparação periódica entre responsabilidade 
contabilizada e ativos existentes 
Atividades de Controle - detecção 
• Conciliação: é a confrontação da mesma informação com 
dados vindos de bases diferentes, adotando as ações 
corretivas, quando necessário. 
• Revisões de Desempenho: Acompanhamento de uma 
atividade ou processo, para avaliação de sua adequação 
e/ou desempenho, em relação às metas, aos objetivos 
traçados e aos benchmarks, assim como acompanhamento 
contínuo do mercado financeiro (no caso de bancos), de 
forma a antecipar mudanças que possam impactar 
negativamente a entidade. 
Atividades de Controle – prevenção e 
detecção 
• Segurança Física: proteção do patrimônio e das 
informações contra uso, compra ou venda não-autorizados, 
por meio de controle de acessos, controle da entrada e 
saída de funcionários e materiais, senhas para arquivos 
eletrônicos, ‘call-back’ para acessos remotos, criptografia e 
outros. 
• Sistemas Informatizados: 
– controles gerais: aquisição, desenvolvimento e 
manutenção de programas e sistemas. Exemplos: 
organização e manutenção dos arquivos de back-up, 
arquivo de log do sistema, plano de contingência; 
– controles de aplicativos: garantem a integridade e 
veracidade dos dados e transações. 
 
Como avaliar os procedimentos de controle? 
• Para cada um dos riscos identificados, a administração 
implementou mecanismos de controle que minimizem a 
probabilidade de os objetivos da atividade não ser 
alcançados? 
• As atividades de controle são implementadas de 
maneira ponderada, consciente e consistente, 
considerando, entre outras questões, a relação 
custo/benefício do controle? 
• Para a definição dos controles a serem implementados 
a administração utiliza algum tipo de benchmark de 
boas práticas que possam ser aplicados? 
• A administração dispõe de instrumentos que permitam 
se certificar de que as atividades de controle são 
adequadas? 
 
Como avaliar os procedimentos de controle? 
• São adotados controles de prevenção e de detecção 
para garantir que as operações realizadas sejam 
adequadamente iniciadas, autorizadas, registradas, 
processadas e divulgadas? 
• Estão previstas rotinas de conformidade, de conferência 
e de conciliação que garantam a fidedignidade dos 
registros contábeis? 
• As informações sigilosas, eventualmente tratadas no 
âmbito da atividade sob exame, têm recebido o 
tratamento previsto na política de segurança da 
instituição? 
Como avaliar os procedimentos de controle? 
• São adotadas providências para garantir que na 
realização de procedimentos conflitantes seja observado 
o princípio da segregação de funções? 
• Há políticas e procedimentos para assegurar que 
decisões críticas sejam tomadas com aprovação 
adequada (nível hierárquico)? 
• Para processos críticos existem planos de continuidade 
instituídos? 
• A organização instituiu mecanismo para 
acompanhamento contínuo dos indicadores de 
desempenho? 
 
Componentes do COSO 
Informações e Comunicação 
• As informações são documentadas e de 
qualidade 
• As informações são oportunas e precisas 
• A comunicação ocorre em todos os níveis da 
organização 
 
 
Como avaliar o processo de Informações e 
Comunicação 
• O órgão consegue as informações de que necessita de 
maneira prática e tempestiva? 
• O órgão tem conseguido obter as informações 
importantes para avaliação dos riscos internos e 
externos? 
• O órgão tem conseguido obter informações que lhe 
permitem saber se os objetivos operacionais, de 
informação e conformidade estão sendo atingidos? 
• O órgão identifica, captura, processa e comunica as 
informações necessárias a seus clientes e fornecedores 
em tempo hábil e de maneira prática? 
Como avaliar o processo de Informações e 
Comunicação 
• Todos os funcionários recebem informações quanto às 
suas tarefas e como elas impactam outros funcionários da 
própria ou de outras unidades da organização? 
• Há políticas e procedimentos para assegurar que as 
informações sejam fornecidas tempestivamente, de modo 
a permitir o efetivo monitoramento dos eventos e 
atividades? 
• A organização conta com uma estrutura organizacional e 
de suporte tecnológico que garanta o processamento de 
dados e a elaboração de informações gerenciais de forma 
confiável e tempestiva? 
Como avaliar o processo de Informações e 
Comunicação 
• Os sistemas de informática são seguros e confiáveis, 
contemplando aspectos como: segurança no 
acesso/identificação; crítica na entrada de dados; 
procedimentos de backup; e planos de contingência para 
questões chave? 
• A organização produz e/ou recebe, tempestivamente, 
informações sobre desempenho? 
• A organização identifica, captura, processa e comunica as 
informações necessárias ao diretor da área, aos demais 
componentes administrativos e aos participantes de forma 
geral em tempo hábil e de maneira prática? 
• Os sistemas informatizados são periodicamente revisados, 
atualizados e validados, no sentido de garantir a produção 
de informações adequadas e confiáveis? 
 
 
Componentes do COSO 
Monitoramento 
• Os controles internos são avaliados 
• Os controles internos têm 
contribuído para o resultado? 
Monitoramento 
• Avaliação da qualidade do desempenho dos 
controles internos ao longo do tempo (arquitetura, 
prontidão e ações corretivas) 
• Inputs: reclamações de clientes, fornecedores e 
gerentes 
• Supervisão dos controles internos pela 
administração, pelos funcionários ou pelas partes 
externas 
• Avaliações periódicas pela auditoria interna 
• Informações de órgãos de controle, agências 
reguladoras, auditorias externas, órgãos de 
supervisão bancária. 
Como avaliaro processo de monitoramento? 
• A performance é medida e monitorada numa base 
regular em comparação aos objetivos da atividade? 
• A administração instituiu a divulgação de relatórios de 
exceção, para acompanhar as situações que se 
configurem como “fora dos padrões”? 
• A abrangência e a qualidade dos relatórios periódicos 
de acompanhamento do controle interno da área de 
operações são adequadas em relação aos seus 
propósitos? 
• As deficiências de controle interno identificadas são 
reportadas tempestivamente ao nível gerencial 
apropriado ou à alta administração e adequadamente 
tratadas? 
 
 
 Ambiente de Controle: 
 firma de natureza familiar; 
 filhos e sobrinhos do fundador (que é o 
presidente da empresa) são diretores; 
 contratações realizadas a partir de indicações de 
parentes e amigos; 
 não há ações de desenvolvimento de pessoas; 
 funcionários que não têm relação de parentesco 
mantêm seus cargos gerenciais a partir da 
manifestação de lealdade inequívoca ao 
respectivo diretor, trabalhando até 12 horas por 
dia. 
Uma análise a partir dos componentes COSO 
 Avaliação de risco: 
 um dos diretores é sócio de uma empresa que é uma das 
principais compradoras da firma; 
 os limites de crédito concedidos aos clientes são 
deferidos de forma centralizada pelo Presidente da firma; 
 a empresa escreveu seu planejamento estratégico há 4 
anos e neste período não foi realizada revisão dos 
objetivos estratégicos; 
 houve uma elevação da inadimplência nos últimos meses 
e a firma teve que tomar empréstimo bancário para 
honrar folha de pagamento; 
 apesar do clima de recessão mundial, a área de vendas 
tem feito enorme pressão por aumento nas receitas. 
Uma análise a partir dos componentes COSO 
 Atividade de Controle: 
 a fim de garantir melhores resultados, a firma 
contratou um diretor no mercado, que passou a 
responder pela aprovação do crédito e gerenciamento 
das vendas; 
 estão em fase de manualização as rotinas relativas à 
realização de compras pela firma; 
 em função da contratação do novo Diretor Executivo, 
foi necessário dispensar o gerente de patrimônio. O 
controle de itens patrimoniais passou a ser realizado 
pelo Contador. 
Uma análise a partir dos componentes COSO 
 Informação e Comunicação: 
 o Presidente reúne-se informalmente com diretores 
por ele escolhidos, a cada semana; 
 somente os gerentes utilizam correio eletrônico; 
 ainda não foi implantada sistemática de avaliação de 
desempenho dos funcionários; 
 as informações são centralizadas na Diretoria. 
Uma análise a partir dos componentes COSO 
 Monitoramento: 
 Não há uma unidade de auditoria interna 
 como há um clima de competição, os gerentes 
manipulam as informações sobre resultados atingidos 
em cada uma de suas áreas; 
 os diretores não supervisionam as atividades de 
controle dos gerentes a eles vinculados; 
 ações corretivas somente são aplicadas quando há 
suspeita de fraude ou dolo, com a demissão sumária. 
Uma análise a partir dos componentes COSO