CAPTULO_3_verso_final

Prévia do material em texto

CAPÍTULO 3
FRAUDE, ÉTICA E CONTROLE INTERNO
OBJETIVOS DO ESTUDO
Este capítulo o ajudará a entender os seguintes conceitos:
Uma introdução à necessidade de um código de ética e controles internos
A fraude contábil que pode ocorrer quando os códigos de ética e controles internos são fracos ou não são corretamente aplicados
A natureza da fraude de gestão
A natureza da fraude dos funcionários
A natureza da fraude do cliente
A natureza da fraude do fornecedor
A natureza da fraude informática
As políticas que ajudam a evitar fraudes e erros
A manutenção de um código de ética
A manutenção dos controles internos contábeis
A manutenção dos controles de tecnologia da informação
Os requisitos de controle interno da Lei Sarbanes-Oxley de 2002
Introdução à necessidade de um Código de Ética e Controles Internos (Objetivo 1 do Estudo)
O exemplo do Real World na próxima página ajudará você a entender o contexto de muitos conceitos neste capítulo. Por favor, leia o exemplo do Mundo Real para começar a ler e estudar com eficácia este capítulo. Durante o início dos anos 2000, uma onda de informações apareceu nas notícias sobre empresa após empresa nomeada em relatórios financeiros fraudulentos. Entre os nomes estavam a Enron Corp., a Global Crossing USA, a Adelphia Communications Corp., a WorldCom Inc. e a Xerox Corporation. No caso da Enron, relatórios financeiros fraudulentos levaram à perda de bilhões de dólares para investidores, perdas de empregos e de fundos de aposentadoria para funcionários, colapso da firma de auditoria Arthur Andersen LLP e mais depressão de um mercado de ações já fraco. Há muitos outros exemplos de tais problemas. Um exemplo infame de fraude e falência é o exemplo do Real World na página seguinte descrevendo as atividades fraudulentas que ocorreram na Phar-Mor, Inc. Um exame do caso Phar-Mor ilustra as ligações entre ética, fraude e controles internos.
Embora o esquema de fraude de Phar-Mor seja um exemplo mais antigo, é importante estudá-lo como um caso clássico da abordagem errada aos conceitos neste capítulo e nos capítulos que se seguem. Phar-Mor tinha líderes antiéticos, a ética de má qualidade, pobres controles internos, governança corporativa descontraída, fracos sistemas de TI e auditorias defeituosas. Ele representa a criança poster de um ambiente de controle pobre.
Quando a administração é antiética, como no caso Phar-Mor, a fraude é provável que ocorra. Por outro lado, se a alta direção de uma empresa enfatiza o comportamento ético, modela o comportamento ético e contrata funcionários éticos, a chance de fraude ou lapsos éticos pode ser reduzida. No caso de uma empresa como a Phar-Mor, a administração não agiu eticamente e não encorajou o comportamento ético. Embora a empresa tivesse escrito e adotado um código de ética, a maioria dos funcionários da empresa não sabia que existia.1 Isso é uma indicação de que a ética era meramente "vitrine" e que a administração não queria enfatizar e modelar a ética comportamento.
O mundo real
A cadeia de farmácias Phar-Mor é um exemplo clássico de fraude que leva a uma falência e muitos outros problemas para investidores e auditores. Na época em que Phar-Mor apresentou falência, representou um dos maiores casos de fraude na história dos EUA. Naquela falência, os investidores perderam quase US $ 1 bilhão, e a Phar-Mor fechou muitas lojas e demitiu milhares de trabalhadores. A fraude começou quando a alta administração tentou fazer seus ganhos corresponderem aos montantes orçados. A administração, tentando desesperadamente exagerar as receitas ou subestimar as despesas para atender às metas esperadas de lucros, usou truques de contabilidade ilegais, como inventário de falsificação. A alta direção da Phar-Mor se comportou de forma não-ética e fraudulenta na tentativa de alcançar um resultado desejado.
Outra maneira que a fraude Phar-Mor poderia ter sido evitada ou detectada foi através do bom funcionamento do sistema de contabilidade e controles internos. Por exemplo, um bom sistema de contabilidade processará todos os cheques através de uma conta bancária que faça parte do processo normal de aprovação de pagamento. No caso de Phar-Mor, a administração manteve uma conta bancária separada e a utilizou para fins fraudulentos. Os cheques retirados desta conta não passaram por um processo de aprovação regular. Em resumo, manter uma ética elevada e seguir procedimentos adequados pode ajudar a prevenir ou detectar muitos tipos de fraude.
Além de atuar eticamente, a administração de qualquer organização tem a obrigação de manter um conjunto de processos e procedimentos que garantam registros precisos e completos e proteção de ativos. Esta obrigação surge porque muitos grupos têm expectativas de gestão. Primeiro, a administração tem uma obrigação de administração para com aqueles que fornecem fundos ou investem na empresa. A administração é a supervisão cuidadosa e responsável dos bens confiados à administração. Isso exige que a administração mantenha sistemas que lhe permitam demonstrar que utilizou adequadamente esses fundos e ativos. Investidores, credores e agências de financiamento devem ser capazes de examinar relatórios mostrando o uso adequado dos fundos ou bens fornecidos à administração. A administração deve manter registros e relatórios contábeis precisos e completos com divulgação completa. Em segundo lugar, a administração tem a obrigação de fornecer relatórios precisos para aqueles que não são proprietários ou investidores, como organizações empresariais com as quais a empresa interage e unidades governamentais como a Receita Federal (IRS) e a Securities and Exchange Commission (SEC).
Finalmente, para gerenciar de forma eficiente e eficaz uma organização, a administração eo conselho de administração devem ter acesso a um feedback preciso e oportuno sobre os resultados das operações. Uma organização não pode determinar se está cumprindo objetivos a menos que monitore continuamente as operações examinando os relatórios que resumem os resultados das operações. Em muitos casos, esses relatórios são saídas do sistema computadorizado. Portanto, os sistemas de TI devem fornecer informações precisas e oportunas nos relatórios. Quando um vice-presidente da Phar-Mor ficou preocupado com a adequação do sistema de TI e os relatórios resultantes, ele formou um comitê para resolver os problemas; Entretanto, o comitê foi squelched por membros da gerência sênior que foram envolvidos na fraude.
As obrigações de gestão da administração e da informação apontam para a necessidade de manter sistemas de contabilidade precisos e completos e para proteger os ativos. Para cumprir essas obrigações, a administração deve manter controles internos e impor um código de ética. Se esses dois itens estão operando de forma eficaz, muitos tipos de fraude podem ser evitados ou detectados. Os controles internos foram definidos por vários órgãos, mas talvez a descrição mais abrangente de controles internos de contabilidade esteja contida no relatório do COSO sobre controle interno.3 O relatório COSO define o controle interno da seguinte forma:
Um processo, efetuado pelo conselho de administração de uma entidade, pela gerência e por outro pessoal, projetado fornecer a garantia razoável sobre a realização de objetivos nas seguintes categorias:
1. Eficácia e eficiência das operações
2. Confiabilidade dos relatórios financeiros
3. Conformidade com as leis e regulamentos aplicáveis.
Esses processos e procedimentos de controle interno ajudarão a proteger os ativos e garantir registros precisos. Além dos controles internos de contabilidade, uma organização também deve ter controles internos cobrindo seus sistemas de TI. Se não for devidamente controlado, os sistemas de TI podem ficar expostos aos riscos de acesso não autorizado, processamento errado ou incompleto e interrupção do serviço. As diretrizes para os controles de TI são fornecidas pela AICPA e discutidas mais adiante.
Para ajudar a garantir sistemas e relatórios contábeis precisos e completos, uma organização deveter bons controles internos de contabilidade, bons controles de TI e um código de ética cumprido. Um código de ética é um conjunto de diretrizes documentadas para o comportamento moral e ético dentro da organização. É responsabilidade da administração estabelecer, impor e exemplificar os princípios de conduta ética avaliados na organização. A importância de um código de ética talvez seja mais fácil de ver, olhando-a da perspectiva oposta. Como se tornou óbvio com a inundação de escândalos de fraude contábil em empresas como a Enron, WorldCom, Global Crossing e outros, a alta administração nem sempre exibe comportamento ético. Se a administração não demonstrar comportamento ético, os funcionários em todos os níveis são muito mais propensos a seguir o exemplo em sua desconsideração por orientações éticas. Claro, o contrário também deve ser verdade. A gestão que enfatiza e modela o comportamento ético é mais provável para incentivar o comportamento ético nos funcionários.
Em resumo, uma empresa que mantenha um bom sistema de contabilidade e controle interno de TI e valores comportamento ético será mais provável para evitar a fraude, outros problemas éticos e erros nos registros contábeis. Este capítulo descreve alguns tipos de fraude que podem ocorrer e fornece detalhes de sistemas de controle interno e códigos de ética. Não é possível que um único capítulo inclua todos os tipos potenciais de fraude ou os controles para impedi-los. O objetivo deste capítulo é explicar alguns desses esquemas de fraude para ajudá-lo a ver a natureza dos riscos envolvidos. Com a compreensão dos riscos, você vai achar mais fácil aprender a natureza da contabilidade e sistemas de controle interno de TI destinados a prevenir ou detectar erros e fraudes.
O mundo real
Mesmo as empresas que têm bons códigos de ética e de execução deve se proteger contra a fraude. Johnson & Johnson sempre foi conhecido como um modelo de boa ética corporativa. No entanto, em 2007, um inquérito interno revelou que certas unidades de vendas dentro da empresa estavam pagando subornos para ganhar vendas de dispositivos médicos em países estrangeiros. Johnson & Johnson voluntariamente transferiu esta informação para o Departamento de Justiça dos EUA, porque tais subornos são uma violação da Foreign Corrupt Practices Act. Em 8 de abril de 2011, a Johnson & Johnson anunciou que tinha chegado a um acordo negociado com o Departamento de Justiça que evitou a acusação, mas a empresa pagou multas superiores a US $ 70 milhões para os Estados Unidos e Alemanha. A auto-revelação da empresa, a plena cooperação e os melhores controles provavelmente reduziram significativamente a punição. Este é um exemplo de como a fraude deve ser tratada quando descoberta dentro de uma empresa de gestão. Uma forte atenção à ética e aos controles nem sempre previne a fraude, mas geralmente ajuda a descobrir fraudes e reduzir seus efeitos adversos.
Fraude Contábil (Objetivo 2 do Estudo)
A fraude pode ser definida como roubo, ocultação e conversão em ganhos pessoais do dinheiro, ativos físicos ou informações de outra pessoa. Observe que essa definição inclui ocultação. Na maioria dos casos, uma fraude inclui a alteração de registros contábeis para ocultar o fato de que um roubo ocorreu. Por exemplo, um funcionário que rouba dinheiro de seu empregador é susceptível de alterar os registros de dinheiro para cobrir o roubo. Um exemplo de conversão seria a venda de um pedaço de inventário que foi roubado. A definição de fraude também inclui o roubo, não apenas de dinheiro e bens, mas também de informação. Muitas das informações que uma empresa mantém podem ser valiosas para os outros. Por exemplo, números de cartão de crédito do cliente podem ser roubados. A compreensão da natureza da fraude é importante, uma vez que um dos objectivos de um sistema de informação contabilística é ajudar a prevenir a fraude.
Na fraude, há uma distinção entre apropriação indevida de ativos e distorção de registros financeiros. A apropriação de bens envolve roubo de qualquer item de valor. Às vezes é referido como um desfalque, ou roubo interno, e os exemplos os mais comuns são roubo do dinheiro ou do inventário. Restaurantes e lojas de varejo são especialmente suscetíveis à apropriação indevida de ativos porque seus ativos são facilmente acessíveis por funcionários. A inexatidão de registros financeiros envolve a falsificação de relatórios contábeis. Isso é muitas vezes referido como gerenciamento de ganhos ou relatórios financeiros fraudulentos.
Para que uma fraude possa ser perpetrada, três condições devem existir, conforme mostrado no Anexo 3-1. Estas três condições, conhecidas como o triângulo da fraude, são as seguintes:
Incentivo para cometer a fraude. Algum tipo de incentivo ou pressão normalmente leva os fraudadores a seus atos enganosos. Pressões financeiras, pressões do mercado, falhas relacionadas ao trabalho ou comportamentos viciantes podem criar o incentivo para cometer fraudes.
Oportunidade de cometer a fraude. As circunstâncias podem dar acesso aos bens ou registros que são objeto de atividades fraudulentas. Apenas as pessoas que têm acesso pode retirar a fraude. A supervisão ineficaz é muitas vezes um fator que contribui.
Racionalização da acção fraudulenta. Fraudadores tipicamente justificam suas ações por causa de sua falta de caráter moral. Eles podem pretender pagar ou compensar suas ações desonestas no futuro, ou eles podem acreditar que a empresa deve-los como resultado de expectativas injustas ou um aumento salarial inadequado.
ANEXO 3-1 O Triângulo da Fraude
Entender essas condições é útil para contadores como eles criam sistemas eficazes que impedem fraudes e relatórios financeiros fraudulentos. A prevenção da fraude é um papel cada vez mais importante para os gerentes de contabilidade e de TI em organizações empresariais, porque os casos de fraude e seus efeitos devastadores parecem estar em ascensão.
O mundo real
A Associação de Examinadores de Fraude Certificados (The Association of Certified Fraud Examiners) publica estudos de casos de fraude ocupacional. Seguem-se algumas estatísticas dos seus relatórios mais recentes4:
1. Os examinadores de fraude certificados estimam que 5% das receitas são perdidas anualmente como resultado de fraudes e abusos ocupacionais. Aplicado ao Produto Interno Bruto Mundial, isso se traduz em perdas de aproximadamente US $ 3,7 trilhões.
2. A perda média por fraude foi de US $ 145.000, e 22% dos casos de fraudes causaram perdas de mais de US $ 1 milhão.
3. Mais de 85% das fraudes ocupacionais envolvem apropriações indevidas de ativos e a perda média foi de US $ 135.000. O dinheiro é o activo visado 90 por cento do tempo.
4. Como os perpetradores estão em níveis mais altos de autoridade, o montante de perdas por fraude é maior.
5. As declarações financeiras fraudulentas representam menos de 9% dos casos, mas foram a forma mais onerosa de fraude ocupacional, com perdas medianas de mais de US $ 4 milhões por esquema.
6. O esquema médio neste estudo durou 18 meses antes de ser detectado.
7. O método mais comum para detectar fraude ocupacional é por uma dica de um empregado, cliente, fornecedor ou fonte anônima.
8. As pequenas empresas (com menos de 100 funcionários) são as mais vulneráveis ​​à fraude e abuso ocupacional.
Conforme indicado pelo relatório de fraude da Associação de Examinadores de Fraude Certificados, a fraude ocorre de muitas maneiras diferentes. As categorias gerais de fraudes e exemplos destas são explicadas nas seções a seguir.
Categorias de fraudes relacionadas à contabilidade
Em uma organização, a fraude pode ser perpetrada por quatro categorias de pessoas: gestão, funcionários, clientes e fornecedores. (Ver Anexo 3-2.)
	Categoria de fraude
	Exemplo
	Controle interno pode ser eficaz em prevenir ou detectar?
	Exemplo de um controle interno que pode ser eficaz
	Fraude de gestão
	Proteções de demonstrações financeiras
	Normalmente não, por causa do gerenciamento de substituir
	n/a
	Fraude de funcionário
	Inflar horas quetrabalhou no cartão
	Sim
	Exigem o supervisor verificar e assinar o cartão de tempo
	Fraude de cliente
	Retornando a mercadoria roubada por dinheiro
	Sim
	Fornecer a restituição somente se houver recibo adequado
	Fraude de fornecedor
	Solicitando pagamento duplicado para uma factura
	Sim
	Pagar somente as faturas que têm uma correspondência compra ordem e receber o relatório e cancelar documentos quando são pagos
ANEXO 3-2 Categorias de fraudes relacionadas à contabilidade
A Natureza da Fraude na Gestão (Objetivo 3 do Estudo)
ANEXO 3-2 Categorias de fraudes relacionadas à contabilidade
A Natureza da Fraude na Gestão (Objetivo 3 do Estudo)
Fraude na administração, conduzida por um ou mais gerentes de nível superior dentro da empresa, geralmente é na forma de relatórios financeiros fraudulentos. Muitas vezes, o CEO (Chief Executive Officer) ou diretor financeiro (CFO) realiza fraudes por misstating as demonstrações financeiras através de esquemas elaborados ou transações complexas. Os gerentes incorrem em demonstrações financeiras para receber tais benefícios indiretos como os seguintes:
1. Aumento do preço das ações. Gerência geralmente possui ações na empresa, e beneficia-se com o aumento do preço das ações.
2. Demonstrações financeiras aprimoradas, que aumentam o potencial de uma fusão ou oferta pública inicial (IPO), ou impedem conseqüências negativas devido ao descumprimento de cláusulas de endividamento ou redução de ratings de títulos.
3. Aumento das chances de promoção, ou evitar o disparo ou rebaixamento.
4. Maior remuneração baseada em incentivos, como salário, bônus ou opções de ações.
5. Problemas de fluxo de caixa atrasados ​​ou falência.
Fraude na administração pode envolver excesso de receitas e ativos, subestimar despesas e passivos, aplicação incorreta de princípios contábeis ou qualquer combinação dessas táticas. Embora haja inúmeros exemplos de fraudes de gestão, dois exemplos são apresentados a seguir.
O mundo real
A Enron foi forçada a reajustar (reduzir) os lucros em aproximadamente US $ 600 milhões devido a relatórios financeiros inadequados. A alta administração da Enron escondia dívidas e perdas usando um conjunto complexo de entidades de propósito especial (SPEs). Estas SPEs eram parcerias controladas por membros da alta administração da Enron, como o CEO e CFO. As SPEs foram tratadas como entidades não relacionadas e, portanto, não foram incluídas nas demonstrações financeiras da Enron.
Pouco depois de reafirmar suas demonstrações financeiras, a Enron apresentou a maior falência da história. A empresa já havia sido considerada por muitos como uma das maiores e mais bem-sucedidas empresas de todos os tempos. O desmoronamento da Enron fez com que seu preço das ações caísse de US $ 90 em 2000 para menos de US $ 1 no final de 2001. Muitos investidores e funcionários foram devastados por suas perdas. Esta declaração equivocada fraudulenta levou não só à morte da Enron, mas também à dissolução de Arthur Andersen, uma das mais antigas e prestigiadas empresas de auditoria do mundo.
O mundo real
Em 2002, a SEC apresentou um processo de fraude civil contra a Xerox Corporation5, alegando que os altos executivos da Xerox aprovaram e encorajaram práticas contábeis que violavam os GAAP e aceleraram o reconhecimento de receita. Estas práticas contábeis ruins incluíram o seguinte:
1. Informar incorretamente a receita de locação de serviços e financiamentos no início do contrato e não durante a vida do contrato de arrendamento
2. A mudança de receita de financiamento para vendas de equipamentos, que aumentou a margem bruta
3. Reconhecer indevidamente um ganho de um evento único, comumente referido como estabelecimento de reservas de "biscoitos"
O efeito dessas fraudes nas demonstrações contábeis foi aumentar artificialmente os lucros antes dos impostos em US $ 1,5 bilhão durante o período de quatro anos de 1997-2000. A alta gerência incentivou essas práticas para que a empresa pudesse atingir os objetivos esperados de ganhos. Como resultado da ação da SEC, a Xerox concordou em pagar uma multa de US $ 10 milhões e reformular os lucros.
Estes dois exemplos ilustram que a fraude na gestão tipicamente
1. Destina-se a melhorar as demonstrações financeiras
2. É conduzido ou encorajado pelos principais gerentes
3. Envolve transações complexas, manipulações ou estruturas de negócios
4. Envolve a evasão da administração de topo dos sistemas ou controles internos que estão no lugar - conhecido como management override
A fraude de gerenciamento, como os exemplos da Enron e da Xerox, é conduzida por gerentes de alto nível e normalmente envolve a manipulação das demonstrações contábeis para que o gerente possa se beneficiar de coisas como aumentos na remuneração ou no preço das ações. Muitas fraudes de gerenciamento incluem transações ou entidades complexas, como o uso da Enron de SPEs. Além disso, os gerentes operam acima do nível dos controles internos - ou seja, os controles internos podem ser substituídos ou contornados pelos gerentes. Portanto, um bom conjunto de controles internos pode não ser tão eficaz na redução da chance de fraude de gerenciamento como seria em reduzir a chance de fraude cometida por um empregado, vendedor ou cliente. A medida mais eficaz para prevenir ou detectar fraude de gestão é estabelecer uma equipe de auditoria interna profissional que verifique periodicamente as atividades de gestão e os relatórios ao comitê de auditoria do conselho de administração.
A fraude de gerenciamento, como os exemplos da Enron e da Xerox, é conduzida por gerentes de alto nível e normalmente envolve a manipulação das demonstrações contábeis para que o gerente possa se beneficiar de coisas como aumentos na remuneração ou no preço das ações. Muitas fraudes de gerenciamento incluem transações ou entidades complexas, como o uso da Enron de SPEs. Além disso, os gerentes operam acima do nível dos controles internos - ou seja, os controles internos podem ser substituídos ou contornados pelos gerentes. Portanto, um bom conjunto de controles internos pode não ser tão eficaz para reduzir a chance de fraude de gerenciamento como seria em reduzir a chance de fraude cometida por um empregado, vendedor ou cliente. A medida mais eficaz para prevenir ou detectar fraude de gestão é estabelecer uma equipe de auditoria interna profissional que verifique periodicamente as atividades de gestão e os relatórios ao comitê de auditoria do conselho de administração.
O mundo real
Um exemplo de substituição de controles internos foi descoberto em 2010 na Koss Corporation, um fabricante de fones de ouvido. Sue Sachdeva, vice-presidente de finanças, se declarou culpada de desviar US $ 34 milhões de Koss durante um período de cerca de cinco anos. Este é um montante muito grande de fraude em uma empresa deste tamanho, uma vez que a renda líquida média de Koss durante esses anos foi de cerca de US $ 6 milhões. Os erros cometidos pela Sra. Sachdeva incluíam transferências bancárias fraudulentas para pagar suas contas de cartão de crédito pessoal, cheques fraudulentos e desembolsos fraudulentos de caixa pequena. Além disso, ela exagerou ativos e despesas para ocultar o roubo. Uma vez que ela era a vice-presidente de finanças, ela poderia substituir os processos de controle interno normal que deve evitar esse tipo de fraude.
A Natureza da Fraude de Empregado (Estudo Objetivo 4)
A fraude do empregado é conduzida por empregados da nonmanagement. Isso geralmente significa que um empregado rouba dinheiro ou ativos para ganho pessoal. Embora existam muitos tipos diferentes de fraude de funcionários, alguns dos mais comuns são os seguintes:
1. Roubo de inventário. O inventário pode ser roubado ou mal dirigido. Isso pode ser mercadoria, matérias-primas, suprimentos, ou inventário de produtos acabados.
2. Roubo de recibos de dinheiro. Isso ocorre quando um empregado rouba dinheiro da empresa. Um exemplo seria o roubo de cheques cobrados dos clientes.
3. Contas a pagar fraudes. Aqui, o empregado pode enviar uma fatura falsa,criar um fornecedor fictício ou cobrar propinas de um fornecedor. Um retrocesso é um pagamento em dinheiro que o vendedor dá ao empregado em troca da venda; É como um negócio subornar.
4. Fraude de folha de pagamento. Isto ocorre quando um empregado submete um cartão de tempo falso ou inflado.
5. Fraude na conta de despesas. Isso ocorre quando um empregado envia falsas despesas de viagem ou entretenimento, ou cobra uma conta de despesas para cobrir o roubo de dinheiro.
Roubo de recibos de dinheiro é o tipo mais comum de fraude de funcionários. É muitas vezes retirado através de uma técnica conhecida como skimming, onde o dinheiro da organização é roubado antes de ser inserido nos registros contábeis. Este tipo de roubo é o mais difícil de descobrir, uma vez que não há registro interno do dinheiro. Por exemplo, considere o caso de um agente de bilhete em uma sala de cinema que aceita dinheiro de clientes e permite que esses clientes para entrar no teatro sem um bilhete. O dinheiro coletado poderia ser embolsado pelo agente, e não haveria registro da transação.
Os fraudadores também podem roubar o dinheiro da empresa depois de ter sido registrado nos registros contábeis. Esta prática é conhecida como roubo. Considere um exemplo de um funcionário responsável por fazer o depósito bancário que rouba o dinheiro depois de ter sido registrado nos registros de contas a receber. Este tipo de fraude é incomum porque o fraudador é susceptível de ser apanhado, uma vez que os registros contábeis fornecem evidência de coleta de dinheiro. O roubo é tipicamente detectado ao realizar uma reconciliação de contas de caixa (para contas a receber ou a pagar) ou ao preparar a reconciliação bancária.
O mundo real
Dow Chemical Company, tem envolvido em investigações de fraude destinadas a detectar fraudes de funcionários. As fraudes mais comuns na Dow são a fraude de relatórios de despesas, os esquemas de retrocesso e o desfalque. A Dow identifica os seguintes exemplos de sinais de alerta durante suas investigações de fraude.6
Fraude de relatório de despesas
1. Quantia excessiva de despesas sem recibos ou documentação de apoio
2. Recebimentos manuscritos e não gerados por computador
3. Compras de estabelecimentos de venda a retalho, incluindo lojas de brinquedos e de artigos de desporto, que podem indicar despesas pessoais
4. Adiantamentos de dinheiro excessivos contra um cartão de crédito da empresa
5. Numerosas despesas sob o montante mínimo exigindo um recibo, que é geralmente menos de US $ 25
Esquemas de retrocesso
1. Contratos de fornecedores adjudicados sem ofertas
2. Uso repetido do mesmo fornecedor
3. Queixas excessivas sobre a qualidade do produto
4. Preços faturados que diferem dos preços indicados no contrato
5. Empregado que vive além de seus meios
6. Empregado não tendo qualquer tempo de férias
7. Faturas fotocopiadas
8. Endereço do fornecedor listado como uma caixa postal
Instâncias contínuas de inventário ausente
1. Desvio
2. Discrepâncias entre o valor da fatura eo valor pago
3. Faturas de itens incomuns, sem documentação de apoio
4. Desvios de custos inexplicáveis ​​entre o orçamento e os montantes reais
5. Duplicado ou inválido empregado números de Seguro Social ou endereços (pode indicar empregados fantasma)
6. Salários inflacionados ou despesas de viagem
Em alguns casos, a fraude pode envolver conluio. A colusão ocorre quando duas ou mais pessoas trabalham juntas para cometer uma fraude. A colusão pode ocorrer entre funcionários, funcionários e clientes, ou funcionários e fornecedores. A colusão entre funcionários dentro de uma empresa é a mais difícil de prevenir ou detectar, porque compromete a eficácia dos controles internos. Isto é verdade porque a colusão pode tornar muito mais fácil conduzir e ocultar uma fraude ou roubo, mesmo quando a segregação de funções está no lugar. Por exemplo, se um funcionário do armazém roubou o inventário e um funcionário da contabilidade o cobriu alterando os registros de inventário, a fraude seria difícil de detectar.
A natureza da fraude do cliente (Estudo Objetivo 5)
Fraude de cliente ocorre quando um cliente incorretamente obtém dinheiro ou propriedade de uma empresa, ou evita uma responsabilidade por engano. Embora a fraude do cliente possa afetar toda a companhia, é um problema especialmente comum para as empresas de varejo e as companhias que vendem bens através do comércio baseado Internet. Exemplos de fraude de clientes incluem fraudes de cartões de crédito, fraudes de cheques e fraudes de reembolso. Fraude de cartão de crédito e fraude de cheque envolvem o uso do cliente de cartões de crédito roubados ou fraudulentos e cheques. Reembolso fraude ocorre quando um cliente tenta devolver bens roubados para recolher um reembolso em dinheiro.
A Natureza da Fraude do Fornecedor (Estudo Objetivo 6)
A fraude do fornecedor ocorre quando os fornecedores recebem pagamentos aos quais não têm direito. Os vendedores não éticos podem enviar intencionalmente faturas duplicadas ou incorrectas, enviar remessas em que as quantidades são curtas, ou enviar mercadorias de qualidade inferior ao pedido. A fraude do fornecedor também pode ser perpetrada por meio de conluio. Por exemplo, um funcionário de uma empresa poderia fazer um acordo com um fornecedor para continuar o relacionamento de fornecedor no futuro se o empregado receber um retrocesso.
Mais e mais empresas estão realizando auditorias de fornecedores como uma forma de se proteger contra vendedores sem escrúpulos. As auditorias de fornecedores envolvem o exame de registros de fornecedores em apoio de valores cobrados à empresa. Como muitos contratos de fornecedores envolvem o reembolso de horas de trabalho e outras despesas incorridas, a empresa pode revisar a documentação de suporte para essas despesas incorridas pelo fornecedor. Isso pode revelar se o fornecedor é honesto em relatar despesas e pode ser a base para continuar ou encerrar a relação de negócios.
A natureza da fraude informática (Objetivo 7 do estudo)
Além das fraudes descritas nas seções anteriores, as organizações também devem tentar evitar ou detectar atividades fraudulentas envolvendo o computador. Novamente, há tantos tipos diferentes de fraude de computador que não é possível descrever todas as possibilidades neste capítulo. Em alguns casos, o computador é usado como uma ferramenta para conduzir de forma mais rápida e eficiente uma fraude que poderia ser realizada sem um computador. Por exemplo, um indivíduo poderia perpetrar a espionagem industrial, o roubo de informações de propriedade da empresa, cavando através do lixo da empresa-alvo. No entanto, seria provavelmente mais eficiente para um hacker obter acesso à informação através do sistema de computador da empresa alvo. Em outros casos, a fraude conduzida é exclusiva dos computadores. Por exemplo, um computador é necessário para realizar a pirataria de software, a cópia ilícita de programas de software.
Outra característica da fraude informática é que ela pode ser conduzida por funcionários dentro da organização ou por usuários não autorizados fora da organização. Classificamos essas duas fontes de fraude informática em fraudes internas de computadores e fraude de computadores externos.
Fontes internas de fraude informática
Quando um funcionário de uma organização tenta conduzir fraudes por meio do mau uso de um sistema baseado em computador, ele é chamado de fraude interna de computador. A fraude informática interna diz respeito a cada uma das seguintes actividades:
1. Manipulação de entrada
2. Manipulação do programa
3. Manipulação de saída
A manipulação de entrada geralmente envolve a alteração de dados que são introduzidos no computador. Por exemplo, alterar os cartões de tempo de folha de pagamento para serem inseridos em um sistema de folha de pagamento informatizado é um tipo de manipulação de entrada. Outros exemplos de manipulação de entrada seria a criação de entradas de dados falsas ou fictícias, inserindo dados sem documentos de origem ou alterando endereços de vendedoresou funcionários.
A manipulação do programa ocorre quando um programa é alterado de alguma forma para cometer uma fraude. Exemplos de manipulação de programas incluem a técnica de salame, programas de cavalos de Tróia e alterações na porta de armadilha.
Um fraudador pode usar a técnica de salame para alterar um programa para cortar uma pequena quantidade de várias contas e, em seguida, creditar esses pequenos montantes para o benefício do perpetrador. Por exemplo, um programa que calcula juros ganhos pode ser alterado para arredondar para baixo para o menor valor de 10 centavos; Esse pequeno excesso de juros ganhos pode ser depositado na conta do perpetrador. Embora levaria muitas transações deste tipo a ser de muito benefício, a natureza do cálculo de juros é tal que ocorre freqüentemente em muitas contas; Portanto, o montante do benefício de fraude poderia construir rapidamente.
Um programa cavalo de Tróia é um pequeno programa não autorizado dentro de um programa maior e legítimo, usado para manipular o sistema de computador para conduzir uma fraude. Por exemplo, o programa desonesto pode fazer com que a conta de um determinado cliente seja anulada cada vez que um lote de vendas ou pagamentos de clientes são processados.
Uma alteração de porta de armadilha é uma ferramenta de programação válida que é mal utilizada para cometer fraudes. À medida que os programadores escrevem aplicações de software, eles podem permitir formas incomuns ou únicas de entrar no programa para testar pequenas porções, ou módulos, do sistema. Estas entradas podem ser pensadas como entradas escondidas, ou portas de armadilha. Antes que o programa seja colocado em serviço regular, as portas de armadilha devem ser removidas, mas um programador pode deixar uma porta de armadilha no lugar, a fim de usá-lo para cometer fraudes.
Sistemas de computador geram muitos tipos diferentes de saída, incluindo verificações e relatórios. Se uma pessoa altera as verificações ou relatórios do sistema para cometer fraudes, isso é conhecido como manipulação de saída. Este tipo de fraude é muitas vezes bem sucedida simplesmente porque os seres humanos tendem a confiar na saída de um computador e não questionar sua validade ou precisão tanto quanto eles poderiam se a saída foram produzidos manualmente.
Fontes externas de fraude informática
Na maioria dos casos, fraudes externas de computador são realizadas por alguém fora da empresa que tenha obtido acesso não autorizado ao computador. Esses fraudadores são comumente conhecidos como hackers. No entanto, é possível que alguém dentro da organização - essencialmente, qualquer pessoa que possa ter acesso ao sistema de computador de uma organização - possa tentar essas fraudes. Dois tipos comuns de fraude de computador externo são hacking e spoofing.
Hacking
Hacking é o termo comumente usado para quebra de rede de computadores. Hacking pode ser realizado por várias razões, incluindo espionagem industrial, roubo de cartão de crédito de bancos de dados on-line, destruição ou alteração de dados, ou simplesmente procura de emoção. Independentemente do propósito do break-in, danos tremendos podem ser feitos a uma empresa em termos de perda financeira imediata ou perda de confiança do cliente.
Um hacker geralmente ganha acesso a uma rede através das várias conexões de rede que a maioria das empresas e organizações têm. A maioria das empresas está conectada a redes por várias razões, como conduzir o comércio na Internet, conectar várias localizações geográficas da mesma empresa, permitir o teletrabalho para funcionários que trabalham em casa e conectar-se aos sistemas de computadores de fornecedores ou clientes. A existência de qualquer um desses tipos de conexões de rede abre uma oportunidade para os hackers violarem essa conexão. Este é o paradoxo enfrentado no mundo dos computadores de hoje. Para operar de forma eficiente, as organizações precisam se conectar a redes, mas essas conexões aumentam os riscos de segurança exponencialmente.
O mundo real
Incidentes de hackers de computador ocorreram em muitas organizações, incluindo a Data Processors International, uma empresa que processa transações de cartão de crédito para varejistas, e Target Corporation, uma loja de varejo mega desconto. Essas fraudes externas de computadores ocorrem quando os hackers invadiram o sistema de computador e ganham acesso a milhões de números de cartões de crédito pertencentes aos consumidores.
Ataques DoS
Um tipo particular de hacking que tem aumentado dramaticamente nos últimos anos é ataques de negação de serviço (DoS). Um ataque de negação de serviço destina-se a sobrecarregar um sistema de computador de destino pretendido com tanto tráfego de rede falso que o sistema é incapaz de responder a tráfego de rede válido. Um hacker tira proveito da natureza automatizada e repetitiva dos computadores para realizar um ataque DoS, assumindo o controle de um ou mais computadores em uma rede e usando esses computadores para enviar continuamente tráfego de rede falso para um computador de destino. Se o hacker pode assumir vários computadores e forçar cada um deles a enviar tráfego falso para um sistema de computador alvejado, o sistema almejado fica oprimido. Ataques como esses que usam vários computadores para atacar um computador são chamados de ataques distribuídos de negação de serviço ou DDoS. Os ataques DDoS são freqüentemente usados para distrair as medidas de segurança da empresa-alvo para que o roubo de dados possa ser realizado.
O mundo real
Em fevereiro de 2000, várias empresas de alto perfil foram alvo de ataques DoS. Empresas como Yahoo, Inc., Turner Broadcasting System, Inc., eBay, Inc. e Amazon.com tiveram ataques DoS que desligaram seus sites por horas enquanto trabalhavam para eliminar os efeitos nocivos em seus servidores e redes de computadores.
Tais ataques ainda são comuns hoje em dia. O segundo trimestre de 2015 teve um número recorde de ataques DoS. Uma operadora de telefonia no Reino Unido, Carphone Warehouse, foi alvo de ataques DoS que permitiram que os criminosos roubassem os dados de milhões de clientes da Carphone.
Spoofing
Spoofing ocorre quando uma pessoa, através de um sistema de computador, finge ser outra pessoa. Existem dois tipos de spoofing que atualmente prevalecem: spoofing na Internet e spoofing de e-mail. Internet spoofing é o mais perigoso para os sistemas de contabilidade e controle, porque um spoofer engana um computador em pensar que o tráfego de rede chegando é de uma fonte confiável. Na Internet, cada servidor de computador é identificado por um endereço de protocolo de Internet (IP) exclusivo. Qualquer tráfego de rede entre computadores é quebrado em pequenos "pacotes" de dados. Cada pacote inclui os endereços IP do remetente e receptor do pacote. No spoofing, o endereço IP de origem é intencionalmente alterado para fazer parecer que o pacote está vindo de um endereço IP diferente. Muitos sistemas de computador incluem um sistema de segurança que aceita pacotes somente de fontes conhecidas e confiáveis ​​- essencialmente, um livro de endereços de endereços IP confiáveis. Um spoofer contorna esse sistema, fingindo que o pacote se origina de uma fonte confiável. Esses pacotes podem conter dados maliciosos, como vírus ou programas que capturam senhas e nomes de logon.
Embora spoofing de e-mail não é normalmente tão problemático como spoofing Internet é para os interesses financeiros diretos da maioria das organizações empresariais, no entanto, é uma fonte de irritação e inconveniência no local de trabalho. E-mail spoofing pode inundar caixas de e-mail dos funcionários com lixo eletrônico, mas geralmente não resulta em defraudar sua empresa. E-mail spoofing é geralmente usado em uma tentativa de scam consumidores. Por exemplo, um cliente do banco pode obter um e-mail que parece como se ele vem do departamento de atendimento ao cliente, pedindo aos destinatários para fornecer informações confidenciais, como seu log-in e senha. Com esses e-mails falsos, o remetente esperaque os clientes desavisados ​​respondam e divulguem informações confidenciais que permitirão que o spoofer cometer fraudes. Este tipo de fraude deve ser controlado pelos consumidores e pelas autoridades policiais; Sistemas de controle interno dentro de uma empresa pode fazer pouco para evitar spoofing e-mail.
Políticas para ajudar a evitar fraudes e erros (Objetivo 8 do estudo)
A seguir estão três ações críticas que uma organização pode realizar para ajudar na prevenção ou detecção de fraudes e erros:
1. Manter e reforçar um código de ética.
2. Manter um sistema de controles internos de contabilidade.
3. Manter um sistema de controles de tecnologia da informação.
Essas ações em andamento não impedirão ou detectarão totalmente todas as fraudes ou erros, mas podem reduzir muito as chances de fraude e erros. Cada uma dessas ações é discutida a seguir.
Manutenção de um Código de Ética (Objetivo 9)
Em resposta aos muitos relatórios financeiros fraudulentos gerados em 2001, o Congresso dos Estados Unidos aprovou a Lei Sarbanes-Oxley de 2002. A lei destinava-se a reformar as funções de contabilidade, relatórios financeiros e auditoria das empresas que são negociadas publicamente em bolsas de valores. Um requisito é que as empresas públicas adotem e divulguem um código de ética para diretores, executivos e funcionários. Documentar e aderir a um código de ética deve reduzir as oportunidades para os gerentes ou funcionários para conduzir a fraude. Isso só será verdade, no entanto, se a alta administração enfatizar este código de ética e disciplinas ou descarrega aqueles que violam o código. A Figura 3-3 apresenta o tipo de conceitos que normalmente são encontrados no código de ética de uma organização de negócios.
Manutenção de um Código de Ética (Objetivo 9)
Em resposta aos muitos relatórios financeiros fraudulentos gerados em 2001, o Congresso dos Estados Unidos aprovou a Lei Sarbanes-Oxley de 2002. A lei destinava-se a reformar as funções de contabilidade, relatórios financeiros e auditoria das empresas que são negociadas publicamente em bolsas de valores. Um requisito é que as empresas públicas adotem e divulguem um código de ética para diretores, executivos e funcionários. Documentar e aderir a um código de ética deve reduzir as oportunidades para os gerentes ou funcionários para conduzir a fraude. Isso só será verdade, no entanto, se a alta administração enfatizar este código de ética e disciplinas ou descarrega aqueles que violam o código. A Figura 3-3 apresenta o tipo de conceitos que normalmente são encontrados no código de ética de uma organização de negócios.
Estabelecer e manter uma cultura onde a conduta ética é reconhecida, valorizada e exemplificada por todos os funcionários. Isso inclui
1. Obedecer às leis e regulamentações aplicáveis que regem os negócios
2. Conduzir negócios de maneira honesta, justa e confiável
3. Evitar todos os conflitos de interesses
4. Criar e manter um ambiente de trabalho seguro
5. Protegendo o meio-ambiente
ANEXO 3-3 Conceitos em um Código de Ética
O mundo real
Em um recente levantamento de contadores de gestão e gerentes financeiros, o efeito dos códigos de ética sobre o comportamento de gestão foi estudado. A pesquisa concluiu, em parte, que "Quase 62% dos entrevistados (13 em 21) de corporações informando que a ética não importa também relatam pressão para alterar ou" gerenciar "os resultados financeiros. Em contraste, em corporações onde o tom no topo favorece a conduta ética, apenas 19 por cento (35 de 189) relataram pressão para alterar os resultados. Resultados semelhantes foram mostrados com medidas específicas de relato financeiro, como renda, balanço patrimonial e retorno do investimento ".7 Outra pesquisa relatou que 24 por cento dos contadores participantes no estudo haviam sido" intimidados " Para fudge números financeiros em relatórios da empresa.
Manutenção de Controles Internos de Contabilidade (Objetivo de Estudo 10)
Grande parte da primeira parte deste capítulo focou a natureza e as fontes de fraude. Entender a fraude torna mais fácil reconhecer a necessidade de políticas e procedimentos que protegem uma organização. Os sistemas de controlo interno proporcionam um quadro para combater a fraude. No entanto, a tentativa de prevenir ou detectar fraudes é apenas uma das razões pelas quais uma organização mantém um sistema de controles internos.
Os objectivos de um sistema de controlo interno são os seguintes:
1. Salvaguarda de ativos (de fraude ou erros).
2. Manter a precisão ea integridade dos dados contábeis.
3. Promover a eficiência operacional.
4. Assegurar o cumprimento das directivas de gestão.
Para atingir esses objetivos, a gerência deve estabelecer um sistema de controle interno global, cujo conceito está ilustrado na Figura 3-4. Este sistema de controle inclui três tipos de controles. Os controles preventivos são projetados para evitar erros, fraudes ou eventos não autorizados pela administração. Os controlos preventivos pretendem parar os actos indesejáveis ​​antes de ocorrerem. Por exemplo, manter dinheiro bloqueado em um cofre destina-se a prevenir roubo. Uma vez que nem sempre é possível evitar todos os eventos indesejáveis, os controlos de detecção devem ser incluídos num sistema de controlo interno. Os controles detectivos ajudam os funcionários a descobrir ou descobrir erros, fraudes ou eventos não autorizados. Exemplos de controles de detetive incluem a correspondência de contagens físicas para registros de inventário, conciliando extratos bancários com registros da empresa e combinando uma fatura com sua ordem de compra antes do pagamento. Quando esses tipos de atividades são conduzidas, torna-se possível detectar problemas que possam existir. Finalmente, os controles corretivos são aquelas etapas empreendidas para corrigir um erro ou problema descoberto através de controles detectives. Por exemplo, se for detectado um erro no cartão de horário de um empregado, deve haver um conjunto estabelecido de etapas a serem seguidas para garantir que ele seja corrigido. Essas etapas seriam controles corretivos.
EXHIBIT 3-4 Controles Internos como Protetores para Proteger Ativos e Registros
Qualquer sistema de controle interno deve ter uma combinação de controles preventivos, detectives e corretivos. Como exemplo, refira-se à situação apresentada anteriormente neste capítulo envolvendo o agente de cinema que roubou o dinheiro de um cliente e permitiu que o cliente entrasse no teatro sem bilhete. O cinema poderia se proteger de perdas devido a esse tipo de fraude, implementando uma combinação de controles preventivos, detetives e corretivos, como os seguintes:
1. Um tomador de bilhete separado poderia ser empregado que permitiria o acesso ao teatro apenas para os clientes que apresentam um bilhete válido (controle preventivo).
2. Poderia ser utilizado um sistema automatizado pelo qual os bilhetes são dispensados ​​apenas quando o pagamento é recebido e registado (controlo preventivo).
3. Os agentes de teatro poderiam ser obrigados a conciliar as actividades no final das suas deslocações, como a comparação dos pagamentos recebidos com o número de bilhetes vendidos eo número de lugares ocupados no teatro (controlo de detecção).
4. Podem ser implementados procedimentos para exigir que os registros sejam ajustados para o efeito de quaisquer erros encontrados no sistema, e os funcionários são considerados responsáveis ​​pelas discrepâncias encontradas durante suas turnos (controle corretivo).
Se esses tipos de controles estivessem em vigor, as ocorrências de fraude seriam reduzidas, porque é mais provável que a fraude seria desautorizada pelo sistema, detectada pelos empregados ou corrigida antes que qualquer perpetrador pudesse realizar o ato. No entanto, mesmo com um extenso conjunto de controles preventivos, de detetive e corretivos, ainda existem riscos de que erros ou fraudes possam ocorrer. A idéia de que o sistema de controle interno não pode prevenir, detectar e corrigir todos os riscos é ilustrada pelos buracos no guarda-chuvano Anexo 3-4.
Não é possível fechar todos os buracos (ou eliminar todos os riscos) por muitas razões. Haverá sempre algumas fraquezas causadas pelo erro humano, a natureza humana, eo fato de que pode não ser rentável para fechar todos os buracos. As seções a seguir descrevem os detalhes dos controles internos e as exposições a riscos, ou buracos, nesses controles internos.
Os Detalhes do Relatório COSO
Devido a problemas contínuos com relatórios financeiros fraudulentos, o Comitê de Organizações Patrocinadoras (COSO) realizou um estudo abrangente de controle interno e em 1992 emitiu o Internal Control Integrated Framework, comumente conhecido como o relatório COSO. O relatório COSO forneceu a definição padrão ea descrição do controlo interno aceite pela indústria de contabilidade. O quadro foi atualizado e ampliado em 2013 para fornecer vários esclarecimentos e melhorias à sua orientação de controlo interno. De acordo com o relatório COSO, existem cinco componentes inter-relacionados do controle interno: o ambiente de controle, avaliação de risco, atividades de controle, informação e comunicação e monitoramento. Cada um destes componentes é discutido a seguir.
Ambiente de controle
O ambiente de controle define o tom de uma organização e influencia a consciência de controle de seus funcionários. O ambiente de controle é a base para todos os outros componentes do controle interno e fornece a disciplina ea estrutura de todos os outros componentes. Os fatores ambientais de controle incluem:
1. A integridade e os valores éticos das pessoas da entidade
2. Responsabilidade da administração, incluindo sua filosofia e estilo de operação
3. A forma como a gestão estabelece a estrutura e atribui autoridade e responsabilidade
4. A forma como a gestão desenvolve o seu pessoal e demonstra o empenho na competência
5. O conselho de administração demonstra independência relativamente à gestão e exerce a supervisão do controlo interno
6. A organização responsabiliza os indivíduos por suas responsabilidades de controle interno.
Em cada uma dessas áreas, a administração poderia estabelecer um estilo operacional que seja ou arriscado ou mais conservador. A Figura 3-5 mostra as características dos ambientes de controle interno que são considerados mais arriscados e menos arriscados. Esses exemplos não pretendem indicar que uma empresa com características como aquela da coluna da direita, "mais arriscada", sempre experimentará fraude. Isso implica apenas que as empresas representadas na coluna da direita são mais propensas a sofrer fraude por causa de riscos no ambiente de controle. Inversamente, as empresas com características como aquelas na coluna "menos arriscado" são menos susceptíveis de sofrerem fraudes, porque são mais conservadoras na sua abordagem ao estabelecimento de um ambiente de controlo; Em outras palavras, essas empresas tendem a jogar com segurança, implementando medidas de proteção.
	Fator
	Exemplo de um ambiente de controle menos arriscado
	Exemplo de um ambiente de controle mais arriscado
	Integridade e ética
	A empresa possui um código de ética, e é imposta rigidamente.
	A empresa não tem um código de ética, ou se tiver um, não é imposta.
	Filosofia e estilo de funcionamento
	A gestão é muito conservador em sua abordagem para coisas tais como fusões.
	A gestão é muito agressivo e risk‐taking em sua abordagem para coisas tais como fusões.
	Atribuição de autoridade e responsabilidade
	Linhas de autoridade são bem estabelecidas, e empregos e funções dos gerentes são claras para eles.
	Os gerentes têm funções sobrepostas, e muitas vezes os gerentes não são completamente certo ou não, eles têm certas responsabilidades e autoridade.
	Desenvolvimento de pessoas competentes
	Gestão, cuidadosamente, treina e cultiva empregados para ser capaz de assumir mais responsabilidades.
	Gestão não gastar muito dinheiro ou tempo no treinamento de funcionários.
	Atenção e direção, pelo Conselho de administração
	Membros do Conselho examinar relatórios e manter a gestão de topo responsáveis pelo rigor dos relatórios.
	Membros do Conselho não preparam para as reuniões que participar e são meramente figurativos de "big‐name".
EXHIBIT 3-5 Fatores do Ambiente de Controle
A filosofia e o estilo de operação da administração são evidentes na maneira como aborda a operação e o crescimento de sua empresa. Por exemplo, alguns gerentes são muito agressivos na definição de metas de lucros elevados, no desenvolvimento de novos produtos ou mercados ou na aquisição de outras empresas. Essas empresas podem recompensar a gerência com planos de compensação de incentivos que premiam bônus por ganhos maiores. A administração, portanto, tem mais motivação para ser agressiva na obtenção de lucros. Neste ambiente onde o crescimento agressivo é procurado, pode haver pressão para "fudge os números" para atingir essas metas.
Os ambientes operacionais descritos anteriormente são estabelecidos pela alta gerência. CEO da empresa pode incentivar ou desencorajar comportamentos de risco. Assim, o tom no topo flui através de toda a organização e afeta o comportamento em todos os níveis. Por esta razão, o ambiente de controle estabelecido pela gerência é um componente muito crítico de um sistema de controle interno. O COSO identifica o tom estabelecido pela gerência como o fator mais importante relacionado ao fornecimento de relatórios financeiros precisos e completos. O ambiente de controle é a base sobre a qual repousa todo o sistema de controle interno. Não importa o quão forte os componentes restantes são, um ambiente de controle deficiente é susceptível de permitir a ocorrência de fraudes ou erros em uma organização.
Avaliação de risco
Cada organização enfrenta continuamente riscos de fontes externas e internas. Esses riscos incluem fatores como mudança de mercados, aumento da regulamentação governamental e rotatividade de funcionários. Cada um destes pode causar mudanças drásticas nas operações do dia-a-dia de uma empresa, interrompendo rotinas e processos, incluindo aqueles concebidos para ajudar a prevenir ou detectar fraudes e erros. Para que a gerência mantenha o controle sobre essas ameaças aos seus negócios, ela deve constantemente estar envolvida na avaliação de riscos, considerando que considera as ameaças existentes e o potencial de riscos adicionais e está pronta para responder caso ocorram esses eventos. A gerência deve desenvolver uma maneira sistemática e contínua de fazer o seguinte:
1. Especificar os objectivos relevantes para permitir a identificação e avaliação dos riscos relacionados com os objectivos.
2. Identificar os riscos (internos e externos, e tanto por fraude quanto por erro) e determinar como os riscos devem ser gerenciados.
3. Considere o potencial de fraude na avaliação de riscos.
4. Identificar e avaliar as mudanças que poderiam afetar significativamente o sistema de controle interno.
Atividades de Controle
O relatório COSO identifica as atividades de controle como as políticas e procedimentos que ajudam a garantir que as diretivas de gestão são realizadas e que os objetivos de gestão são alcançados. Um bom sistema de controle interno deve incluir atividades de controle que ocorrem em todos os níveis e em todas as funções dentro da empresa, incluindo os controles sobre a tecnologia.
A estrutura de controle interno exige que uma organização realize o seguinte:
1. Desenvolver atividades de controle que contribuam para a mitigação de riscos.
2. Desenvolver controles gerais sobre a tecnologia (este conceito é discutido no Capítulo 4).
3. Implantar atividades de controle por meio de políticas que estabeleçam expectativas e procedimentos para colocar essas políticas em ação.
As atividades de controle incluem uma série de ações que devem ser implementadas através das políticas e procedimentos da empresa. Estas actividades podem ser divididas nas seguintes categorias:
1. Autorização de transações
2. Segregação de deveres
3. Registros e documentos adequados
4. Segurança de bens e documentos
5. Verificaçõese reconciliações independentes
Autorização de transações
Em qualquer organização, é importante tentar garantir que somente as transações autorizadas sejam realizadas. Autorização refere-se a uma aprovação, ou endosso, de uma pessoa ou departamento responsável na organização que foi sancionado pela alta administração. Cada transação que ocorre deve ser devidamente autorizada de alguma forma. Por exemplo, algum procedimento deve ser seguido para determinar quando é permitido comprar bens, ou quando é permitido para estender crédito. Um exemplo comum que você pode ter encontrado ocorre em algumas mercearias e lojas de departamento. Se você já esteve em uma longa linha de checkout enquanto o comprador na frente tentou pagar com um check out-of-state, você provavelmente gemeu em silêncio, sabendo que a linha seria mais atrasado enquanto o caixeiro checkout esperou por um gerente para aprovar O método de pagamento. Observe que, neste exemplo, para a transação que acarreta risco adicional (a possibilidade de um cheque fora do estado rejeitado), a empresa estabeleceu um procedimento de controle para desencorajar o mau cheque (o requisito de autorização específica de um gerente antes A transação pode ser concluída).
O exemplo anterior também ajuda a ilustrar a diferença entre autorização específica e autorização geral. Autorização geral é um conjunto de diretrizes que permite que as transações sejam concluídas, desde que estejam dentro dos parâmetros estabelecidos. No exemplo de um supermercado ou loja de departamentos, as diretrizes estabelecidas são de que o funcionário do checkout pode processar qualquer pessoa através da linha, desde que o cliente pague em dinheiro, cartão de crédito, cartão de débito ou um cheque no estado. Se qualquer transação for uma exceção a esses métodos de pagamento, como no caso do cliente que paga com um cheque fora do estado, a transação requer autorização específica. Autorização específica significa que é necessária aprovação explícita para que uma transação seja concluída.
Outro exemplo da diferença entre esses dois tipos de autorização pode ser visto nos procedimentos que uma empresa usa ao fazer compras. Geralmente, a administração estabeleceu pontos de reabastecimento para itens de estoque e, quando as quantidades de estoque caem para esse nível predeterminado, os agentes compradores têm autoridade geral para iniciar uma transação de compra. No entanto, se a empresa precisa comprar uma nova frota de veículos, por exemplo, uma autorização específica de alto nível de gestão é provável que seja necessária.
Qualquer organização deve estabelecer e manter orientações claras e concisas quanto aos procedimentos que se enquadram sob autorização geral em oposição àqueles que requerem autorização específica. Essa prática não só garante que todas as transações são devidamente autorizadas; Também torna a organização mais eficiente. No exemplo de uma mercearia, a linha de pagamento pode ser movida rápida e eficientemente para transações de baixo risco envolvendo pagamento em dinheiro, cartão de crédito, cartão de débito ou cheque no estado. No entanto, quando são encontradas operações de alto risco, o risco adicional justifica uma breve ineficiência (a desaceleração na linha) para garantir que o risco é controlado por uma autorização específica. Outro aspecto importante é que o empregado deve ser bem treinado e deve entender quando esta autorização específica é necessária.
Em resumo, uma parte importante dos procedimentos de controle da empresa são as diretrizes de autorização geral e específica. Os gerentes superiores devem delegar adequadamente a autorização das transações e estabelecer procedimentos e práticas de autorização para assegurar que as diretrizes sejam seguidas. Eles devem verificar se os gerentes e os funcionários foram treinados para compreender e executar essas políticas e práticas.
Segregação de deveres
Quando a administração delega autoridade e desenvolve diretrizes sobre o uso dessa autoridade, ela deve assegurar que a autorização é separada de outras funções. Esta separação dos deveres relacionados é chamada segregação de deveres. Para qualquer transação, geralmente existem três funções-chave: autorização da transação, registro da transação e custódia do (s) ativo (s) relacionado (s). Idealmente, a gerência deve separar essas três funções, atribuindo cada função a uma pessoa ou departamento diferente dentro da organização. A pessoa ou departamento que autoriza uma transação não deve ser responsável por registrá-lo nos registros contábeis nem ter a custódia do ativo relacionado. Para entender o possível efeito de não segregar esses deveres, considere um exemplo de folha de pagamento. Se um capataz fosse autorizado a contratar funcionários, aprovar suas horas trabalhadas e também distribuir os cheques de pagamento, então a autorização não teria sido segregada da custódia dos cheques. Isso daria um capataz desonesto a oportunidade perfeita para fazer um funcionário fictício e coletar o salário. No entanto, se cheques de pagamento foram distribuídos aos funcionários por alguém que não seja o capataz, a oportunidade para este tipo de roubo de folha de pagamento seria reduzido.
Quando for razoavelmente possível fazê-lo, as três funções - autorização, registro e custódia - devem ser segregadas. A Figura 3-6 ilustra esta separação de funções.
ANEXO 3-6 Segregação dos Deveres
Pode nem sempre ser possível ou razoável segregar todas as funções incompatíveis dentro de uma empresa. Isto é especialmente verdadeiro em organizações pequenas onde não pode haver trabalhadores suficientes para segregar adequadamente. No entanto, em empresas menores geralmente há uma supervisão muito mais próxima pelo proprietário ou gerente, o que ajuda a compensar a falta de segregação. Deste modo, a supervisão é um controlo compensador que diminui o risco de efeitos negativos quando faltam outros controlos. A supervisão como controle compensatório também é apropriada em organizações maiores, onde pode haver situações nas quais é difícil separar completamente os deveres.
Registros e Documentos Adequados
Quando a administração é conscienciosa e completa sobre a preparação e retenção de documentação em apoio de suas transações contábeis, os controles internos são fortalecidos. Os documentos e registos contabilísticos são importantes, porque fornecem provas e estabelecem responsabilidades. Em geral, um bom sistema de controles internos inclui os seguintes tipos de documentação:
1. Documentação de apoio para todas as transações significativas, incluindo ordens, faturas, contratos, extratos de conta, formulários de remessa e recebimento e cheques. Sempre que possível, a documentação original deve ser mantida como verificação da autenticidade. Tipos específicos de documentação são discutidos em capítulos subseqüentes nas apresentações dos vários processos de negócios.
2. Cronogramas e análises de informações financeiras, incluindo detalhes de saldos de contas; Reconciliações; referências; Comparações; E explicações narrativas, comentários e conclusões. Estes documentos devem ser verificados de forma independente de vez em quando para que sua precisão possa ser avaliada.
3. Relatórios de ciclo contábil, incluindo periódicos, livros contábeis, sub-livros, saldos de demonstração e demonstrações financeiras.
Os documentos e registros fornecem evidência de que as políticas e procedimentos da administração, incluindo procedimentos de controle interno, estão sendo realizados. Eles também fornecem uma pista de auditoria, que apresenta informações verificáveis ​​sobre a precisão dos registros contábeis. Se a documentação é exata e suficiente, é possível estabelecer uma trilha de auditoria, que pode recriar os detalhes das transações individuais em cada etapa do processo de negócios, a fim de determinar se os procedimentos contábeis apropriados para a transação foram realizados.
Toda a documentação em papel deve ser assinada ou rubricada pela pessoa (s) que autorizou, registrou e / ou revisou as transaçõesrelacionadas. Esta prática estabelece a responsabilidade dentro da função de contabilidade. Quando os registros são mantidos em formato eletrônico, a organização deve tomar medidas para controlar o acesso aos arquivos relacionados e garantir que cópias de backup adequadas estão disponíveis, a fim de reduzir o risco de alteração, perda ou destruição. Em um sistema computadorizado, a trilha de auditoria normalmente inclui um log de transações detalhado, porque o sistema de computador registra automaticamente cada transação e a origem da transação. No mundo empresarial de hoje, onde muitos registros são mantidos dentro de sistemas informatizados, os gerentes e auditores devem entender, acessar e controlar os registros contábeis mantidos dentro de um ambiente eletrônico.
Além de documentos e relatórios contábeis, as organizações empresariais devem manter documentação completa sobre suas políticas e procedimentos. A fim de proporcionar clareza e promover o cumprimento dentro da organização, os processos manuais e automatizados e os procedimentos de controle devem ser formalizados por escrito e disponibilizados a todas as partes responsáveis.
Segurança de Ativos e Documentos
As organizações devem estabelecer atividades de controle para proteger seus ativos, documentos e registros. Essas atividades de controle envolvem proteger e proteger os ativos e registros de modo que não sejam mal utilizados ou roubados. No caso dos bens, a protecção física requer a limitação do acesso, na medida do possível. Por exemplo, dinheiro deve estar na mão para uma empresa para operar, mas este dinheiro pode ser bloqueado em cofres ou caixas registradoras até que seja necessário. Ativos como inventário devem ser protegidos por salvaguardas físicas, como fechaduras, câmeras de segurança e áreas restritas que requerem identificação apropriada para entrada.
Além das salvaguardas físicas dos bens, também é importante limitar o acesso aos documentos e registros. O acesso não autorizado ou o uso de documentos e registros permite a fácil manipulação desses documentos ou registros, o que pode resultar em fraude ou encobrimento de roubo. Por exemplo, o acesso não autorizado a cheques em branco pode levar à escrita de cheques fraudulentos. Todos os documentos em branco devem ser controlados limitando o acesso a apenas aqueles que necessitam de acesso como parte de suas funções.
Em ambos os casos - proteger os bens físicos e proteger a informação - há um trade-off entre acesso limitado e eficiência. Quanto mais o acesso é limitado, mais difícil se torna fazer um trabalho de forma eficiente. É por isso que os controles devem ter um benefício maior do que seu custo. Por exemplo, uma empresa poderia ter todos os funcionários pesquisados ​​como eles saem no final de suas mudanças, a fim de desencorajar o roubo de inventário. No entanto, o custo desta intrusão em termos de seu impacto sobre o moral dos funcionários eo volume de negócios pode ser maior do que as economias de roubo evitação. Este conceito da consideração custo-benefício para controles internos é discutido mais adiante no capítulo.
Verificações Independentes e Reconciliação
Verificações independentes de desempenho são um aspecto importante das atividades de controle. Verificações independentes servem como um método para confirmar a exatidão e integridade dos dados no sistema de contabilidade. Embora existam muitos procedimentos que realizam verificações independentes, os exemplos são os seguintes:
1. Reconciliação
2. Comparação de ativos físicos com registros
3. Recálculo dos montantes
4. Análise de relatórios
5. Revisão dos totais do lote
Segue-se um exemplo de cada uma destas verificações independentes de desempenho. Uma reconciliação é um procedimento que compara registros de fontes diferentes. Por exemplo, uma reconciliação bancária compara registros bancários independentes com registros da empresa para garantir a exatidão e integridade dos registros de caixa. Da mesma forma, uma comparação de ativos físicos com registros ocorre quando uma empresa leva uma contagem física de inventário e compara os resultados com os registros de estoque. Quaisquer diferenças são registradas como ajustes no estoque e resultam em registros de estoque corretos. O recálculo de valores pode ajudar a descobrir erros matemáticos ou de lógica de programa. Por exemplo, recalcular o preço vezes a quantidade pode descobrir erros nas faturas que foram causadas por erro humano ou lógica de programa ruim. A análise de relatórios é o exame de um relatório para avaliar a exatidão e a confiabilidade dos dados nesse relatório. Um gerente que regularmente revisa relatórios é provável que perceba erros que surgem nos relatórios; O gerente não pode sempre perceber tais erros, mas muitas vezes vai. Finalmente, a revisão dos totais do lote é uma verificação independente para assegurar a exatidão e integridade das transações processadas em um lote. O processamento em lote ocorre quando as transações semelhantes são agrupadas e processadas como um grupo. Por exemplo, os cartões de tempo podem ser coletados de todos os funcionários dentro de um departamento e processados ​​simultaneamente como um lote. No processamento em lote, é possível calcular um total de lote, que é apenas uma soma de itens-chave no lote (como horas trabalhadas) e comparar este total de lote ao longo de várias fases de processamento. Se em algum estágio de processamento os totais do lote já não coincidirem, isso significa que ocorreu um erro no processamento.
Essas descrições de verificações independentes são exemplos de atividades de controle, mas apenas arranham a superfície do número e tipos de verificações independentes que podem ser necessárias em uma organização. Tais verificações independentes podem servir tanto como controles detectivos como preventivos. Eles são detetives na medida em que descobrem problemas em dados ou processamento; Eles são preventivos no sentido de que eles podem ajudar a desencorajar erros e fraudes antes que eles ocorram. Por exemplo, os funcionários sabem que quando uma empresa faz regularmente um inventário físico e compara as contagens com registros, é mais provável que ocorram faltas. Portanto, os funcionários podem ser menos propensos a roubar o inventário, porque eles presumem que serão pegos. Este efeito preventivo torna-se mais óbvio se você considerar o ambiente oposto, no qual uma empresa nunca leva um inventário físico. Quando os funcionários sabem disso, eles reconhecem que seria mais fácil realizar um ato fraudulento sem ser pego.
Informação e comunicação
O quadro de controle interno do COSO exige que uma organização crie e use um sistema de informação e comunicação que inclua os seguintes fatores:
1. O sistema obtém ou gera e utiliza informações de qualidade relevantes para apoiar o funcionamento do controlo interno.
2. O sistema comunica internamente informações, incluindo objetivos e responsabilidades para o controle interno.
3. O sistema comunica com as partes externas sobre questões que afectam o funcionamento do controlo interno.
Para avaliar, gerenciar e controlar a eficiência e eficácia das operações de uma organização, a gerência deve ter acesso a informações de feedback e relatórios. O feedback consiste em informações operacionais e financeiras, muitas delas geradas pelo sistema de contabilidade. Um sistema de contabilidade eficaz fornecerá um feedback preciso e completo. Portanto, quanto melhor o sistema de contabilidade, a melhor gestão pode avaliar e controlar as operações.
Todo o sistema de contabilidade é, portanto, um componente muito importante do sistema de controle interno. Um sistema de contabilidade ineficaz provavelmente gerará relatórios imprecisos ou incompletos, o que leva à dificuldade em controlar adequadamente as atividades. Um sistema de contabilidade eficaz deve atingir os seguintes objetivos:
1. Identificar todos os eventos financeiros relevantes (transações) da organização.
2. Capture os dados importantes dessas transações.
3. Registre e processe os dados atravésda classificação, sumarização e agregação apropriados.
4. Comunique essas informações resumidas e agregadas conforme necessário para fins internos e externos.
Se um sistema de contabilidade é manual ou informatizado, deve atingir esses objetivos para ser eficaz. Além de manter um sistema de contabilidade eficaz, a entidade deve implementar procedimentos para assegurar que as informações e relatórios sejam comunicados ao nível de gerenciamento apropriado. O relatório COSO descreve esta comunicação como "fluindo para baixo, através e para cima da organização." Tal fluxo de comunicação auxilia a gerência em avaliar corretamente as operações e fazer mudanças nas operações conforme necessário.
Monitoramento
A estrutura de controle interno do COSO exige que uma organização estabeleça sistemas de monitoramento que realizem o seguinte:
1. Selecionar, desenvolver e realizar avaliações contínuas ou separadas para verificar se os componentes do controle interno estão presentes e funcionando.
2. Avaliar e comunicar as deficiências de controle interno em tempo hábil para as partes responsáveis ​​que podem tomar medidas corretivas.
Qualquer sistema de controle deve ser constantemente monitorado para garantir que ele continua a ser eficaz. O monitoramento envolve a revisão e avaliação contínuas do sistema. Por exemplo, sua casa pode ter um sistema de aquecimento com um termostato. O termostato mede constantemente a temperatura e liga ou desliga o calor para manter a temperatura desejada. Assim, o termostato é um sistema de controlo. No entanto, devido ao desgaste e outras alterações, o termostato e o aquecedor podem começar a funcionar mal. Para mantê-los operando em pico de eficácia, deve haver verificações periódicas sobre o termostato e sistema de aquecimento para se certificar de que eles estão funcionando corretamente. O mesmo se aplica a um sistema de controlo interno numa organização. Para manter os controles funcionando efetivamente, a gerência deve monitorar o sistema e tentar melhorar quaisquer deficiências. Isso é especialmente importante como organizações sofrem mudanças. O volume de negócios dos funcionários e da gerência, os novos processos ou procedimentos de negócios e as mudanças no mercado podem afetar a funcionalidade dos controles internos.
Há muitas maneiras que uma organização pode monitorar seu sistema de controle interno. Para ser mais eficaz, deve-se realizar uma monitorização contínua e periódica. Como os gerentes realizam suas tarefas regulares de relatórios de exame, eles estão realizando um tipo de monitoramento contínuo. A gerência deve notar grandes deficiências ou falhas nos controles internos como eles realizam suas funções. Em sistemas computadorizados, pode haver monitoramento contínuo dentro do próprio sistema. Isto é, o sistema de contabilidade computadorizado pode incluir módulos dentro do software que revisam o sistema em uma base contínua. Além disso, alguns monitoramentos, como auditorias internas e externas, ocorrem periodicamente. Estas auditorias incluem exames da eficácia dos controlos internos. À medida que as deficiências ou problemas são descobertos através de monitoramento contínuo e periódico, essas questões devem ser relatadas à administração para permitir uma avaliação e correção adequadas.
Todos os cinco componentes de controle interno prescritos pelo relatório COSO são necessários para o estabelecimento e manutenção de um sistema capaz de controles internos. O ambiente de controlo, os procedimentos de avaliação de riscos, as atividades de controlo, os processos de informação e comunicação e a monitorização contínua do sistema desempenham um papel cada vez maior no reforço do sistema global. Há um velho ditado de que uma corrente é tão forte quanto seu elo mais fraco. O mesmo se aplica aos cinco componentes do controlo interno. Se qualquer um dos cinco é fraco, todo o sistema de controles internos será fraco. Assim como os elos de uma cadeia trabalham juntos, esses componentes trabalham juntos para fazer um sistema de controle eficaz.
Garantia razoável dos controles internos
Uma empresa que é bem gerida irá manter um bom sistema de controles internos, porque fazê-lo faz bom sentido comercial. Um sistema de controlo interno adequado pode ajudar uma organização a atingir os seus objectivos. No entanto, há limites para o que um sistema de controle interno pode realizar. Os controles internos fornecem segurança razoável de cumprir os objetivos de controle. Garantia razoável significa que os controlos conseguem um equilíbrio razoável de redução de risco quando comparado com o custo do controlo. Não é possível que um sistema de controlo interno forneça garantia absoluta, porque há fatores que limitam a eficácia dos controlos, tais como os seguintes:
1. Julgamentos falhos são aplicados na tomada de decisões.
2. Existe erro humano em todas as organizações.
3. Os controles podem ser contornados ou ignorados.
4. Os controlos podem não ser rentáveis.
Não importa o quão bem um sistema de controle interno é projetado, é limitado pelo fato de que os seres humanos às vezes fazem julgamentos errôneos e erros simples ou erros. Mesmo quando uma pessoa tem boas intenções, um erro de julgamento ou um erro, como simplesmente esquecer de fazer um passo que fornece um controle interno, pode causar danos. Por exemplo, seria fácil para um supervisor simplesmente se esquecer de assinar cartões de tempo para um determinado período de pagamento.
Outro limite à eficácia dos controles internos é que eles podem ser contornados. Uma maneira de contornar os controles internos é através de conluio. Duas pessoas que trabalham em conjunto podem frustrar os procedimentos de controlo interno. Por exemplo, suponha que um empregado prepara cartões de tempo e um segundo empregado distribui cheques de pagamento. Trabalhando sozinho, o primeiro funcionário não pode facilmente fazer um funcionário falso, enviar um cartão de tempo falso e obter acesso ao salário resultante. Mas se esses dois funcionários concordam em trabalhar juntos e dividir o salário resultante, seria muito difícil de evitar. Neste exemplo, a colusão nega o efeito de controle da segregação de deveres.
Para cada procedimento de controle que uma organização considera usar, os benefícios devem superar os custos. Os benefícios podem ser medidos pelo efeito positivo que o controle tem. Se um controle reduz a possibilidade de erros, então uma avaliação poderia ser feita da poupança que resultaria de erros mais baixos. O custo do procedimento de controle pode ser monetário ou medido em termos de eficiência operacional reduzida. Por exemplo, um procedimento de controle que exige que todas as transações de compra de qualquer tamanho a ser aprovado pelo CEO iria reduzir drasticamente o ritmo de compra. A mesa do CEO se tornaria um gargalo de pedidos de compra esperando para ser aprovado. Este procedimento de aprovação não seria rentável. No entanto, pode ser rentável ter o CEO aprovar apenas as compras envolvendo montantes de dólar muito grande, ou ordens altamente incomuns. Antes da adoção, todos os procedimentos de controle devem ser analisados ​​para garantir que resultem em benefícios que excedem os custos de implementação e manutenção do controle.
Manutenção dos Controles de Tecnologia da Informação (Objetivo 11 do Estudo)
Ao longo do tempo, o custo do hardware e do software do computador diminuiu drasticamente, enquanto o poder de computação aumentou consideravelmente. Isto significa que hoje a maioria das pequenas empresas pode dar ao luxo de manter os sistemas de contabilidade informatizados, enquanto as grandes empresas colocam ainda maior confiança em sistemas baseados em computador. A tecnologia da informação desempenha um papel tão importante nas organizações que qualquer falha nesses sistemas pode interromper tais operações em curso como vendas, fabricação ou compras. Os sistemas de TI tornaram-se o elemento vital das operações para a maioria das empresas.
Há um paradoxo nessa crescente utilização da tecnologia da informação.