Material Sarbanes Oxley - Coso e Cobit

Prévia do material em texto

COSO – COMMITTEE OF SPONSORING ORGANIZATIONS 
OF THE TREADWAY COMMISSION
O QUE É COSO?
• O COSO (The Comitee of Sponsoring Organizations) é
uma entidade sem fins lucrativos, dedicada à melhoria dos
relatórios financeiros através da ética, efetividade dos
controles internos e governança corporativa.
Com a SOX as mudanças básicas foram nas regras de
governança corporativa com o aumento da
responsabilidade dos executivos das organizações bem
como dos responsáveis perante a emissão e divulgação de
relatórios financeiros. Também foi dada mais ênfase no
uso de controles internos mais rígidos.
SOX X COSO
O COSO identifica os objetivos essenciais do
negócio da organização e define controles internos,
fornece critérios a partir dos quais os sistemas de controle
podem ser avaliados, gera subsídios para que a
administração, auditoria e demais interessados possam
utilizar, avaliar e validar os controles.
VAMOS DEFINIR CONTROLES INTERNOS
 O Comitê trabalha com independência, em relação as
suas entidades patrocinadoras. Seus integrantes são
representantes da indústria, dos contadores, das
empresas de investimento e da Bolsa de Valores de New
York.
 Objetivo do Coso – Controle Interno, entenda-se por
Controle Interno um processo desenvolvido para garantir,
com razoável certeza, que sejam atingidos os objetivos da
empresa, nas seguintes categorias:
 Eficiência e efetividade operacional – objetivos e 
desempenho ou estratégia: esta categoria está 
relacionada com os objetivos básicos da entidade, 
inclusive com os objetivos e metas de desempenho e 
rentabilidade, bem como da segurança e qualidade dos 
ativos.
 Confiança nos registros contábeis/ financeiros 
objetivos de informação : todas as transações devem 
ser registradas, todos os registros devem refletir 
transações reais, consignadas pelos valores e 
enquadramentos corretos.
 Conformidade – objetivos de conformidade: com as 
leis e normativos aplicáveis à entidade e sua área de 
atuação.
A GESTÃO TEM RESPONSABILIDADE FUNDAMENTAL 
NO DESENVOLVIMENTO E MANUTENÇÃO DE 
CONTROLES INTERNOS EFETIVOS.
Controle interno é o nome da gestão de riscos associada com
programas e operações da organização.
Controles Internos – organização, políticas e procedimentos – são 
ferramentas para ajudar a gestão financeira a atingir os resultados 
e proteger a integridade de seus planos de ação.
ESTRUTURAS E METODOLOGIAS DE CONTROLE 
ADOTADAS NA SARBANES COSO
________________________________________
_Todo fundamento por trás do COSO (2005) está baseado
em 4 conceitos chave:
Controles internos: 
a. São processos;
b. São conduzidos por pessoas;
c. Ajudam a ter uma garantia razoável a respeito da
qualidade da informação;
d. São gerados para se alcançar objetivos específicos.
 Estabelecimento de Objetivos
 Identificação de Eventos
 Resposta ao Risco
O COSO inicialmente era composto por 5 componentes 
em 2004 foi ampliado para 8, foram acrescentados:
O COSO apresenta 8 dimensões que devem ser abrangidas
em um sistema de controles internos, são elas:
a. Ambiente de controle;
b. Estabelecimento de metas; 
c. Identificação de problemas;
d. Avaliação de risco;
e. Resposta ao risco;
f. Atividades de controle;
g. Informações e comunicações;
h. Monitoramento.
a) AMBIENTE INTERNO DE CONTROLE
• O Ambiente interno de controle estabelece o tom da
organização e influência a consciência / percepção de
seus membros sobre a questão de controle (sua cultura de
controle). É a base para todos os outros componentes dos
controles internos,provendo disciplina e estrutura. Fatores
do ambiente de controle incluem integridade, ética,
valores, competência das pessoas, filosofia e estilo de
operação do gerenciamento; a forma de gerenciamento
define autoridades e responsabilidades, organiza e
desenvolve as pessoas envolvidas.
b) ESTABELECIMENTO DE OBJETIVOS
• Os objetivos devem existir antes da gestão identificar os
eventos potenciais que podem afetar seu sucesso.
• A gestão de riscos organizacionais garante que o
gerenciamento tenha implantado um processo para
estabelecer objetivos e que a escolha destes objetivos
esteja alinhada e suportada com a missão da entidade e
seja consistente com seus riscos.
c) IDENTIFICAÇÃO DE PROBLEMAS
• Eventos internos e externos afetando os resultados dos
objetivos de uma entidade devem ser identificados entre
riscos e oportunidades. Oportunidades ajudam a estratégia
do gerenciamento ou o processo de estabelecimento de
objetivos.
Eventos são situações que podem afetar os 
processos de controles da organização.
d) AVALIAÇÃO DE RISCO
• Toda entidade enfrenta uma variedade de riscos de fontes
internas e externas que devem ser avaliadas. Uma pré-
condição para avaliação de risco é o estabelecimento e
realização de objetivos. Avaliação de risco é a identificação
e análise de riscos relevantes para o atendimento dos
objetivos. Isto forma uma estrutura para determinação de
como os riscos deverão ser gerenciados. Mudanças
continuas sempre são necessárias por isso são necessários
mecanismos, condições de operação e regulamentos para
identificar e gerenciar riscos relacionados as mudanças.
A avaliação dos fatores internos e externos que têm 
impacto no desempenho de uma organização.
e) RESPOSTA AO RISCO
• O gerenciamento deve escolher a resposta ao risco: evitar,
aceitar, reduzir, compartilhar o risco e estabelecer ações
apropriadas aos riscos em função da tolerância ao risco da
entidade, isto é risco residual aceito.
Mitigar o risco
f) ATIVIDADES DE CONTROLE
• Atividades de controle são as políticas e procedimentos que
ajudam a garantir as diretivas da gestão e as ações
necessárias a serem tomadas para os riscos identificados
que podem prejudicar os objetivos. Elas incluem diversas
atividades como autorizações, verificações, conciliações,
revisões de desempenho das operações, segurança de
ativos e segregação de funções.
Atividades de Controles sobre processos pelos
gestores, manuais ou automatizadas, para assegurar
que as ações sobre riscos são executadas.
g) INFORMAÇÕES E COMUNICAÇÕES
• Informações pertinentes devem ser identificadas, coletadas
e comunicadas em um formulário com dados situados ao
longo do tempo, possibilitando às pessoas cumprirem com
suas responsabilidades. Sistemas de informação produzem
relatórios contendo finanças, operações existentes,
informações relativas a adequação que tornam possível
conduzir e controlar uma operação. Tais sistemas lidam
tanto com informações internas quanto com informações de
eventos externos, atividades e situações.
• Comunicações eficazes devem fluir por toda a organização. 
Todo o pessoal deve receber uma mensagem clara da alta 
gerência de que o controle de responsabilidades deve ser 
levado a sério. Eles devem ter um meio de comunicar 
informações significativas. 
• A comunicação também precisa de ser eficaz com partes 
externas, como contribuintes,outras agências, 
fornecedores, governo e reguladores.
O processo que assegura que informações relevantes 
são identificadas e comunicadas
Comunicação
confiabilidade de relatórios
h) MONITORAMENTO
• Sistemas de controles internos precisam ser monitorados. Isto
é conseguido por meio do monitoramento de atividades em
andamento, avaliações separadas ou por uma combinação dos
dois. Monitoramento e atividades em andamento incluem
gestão regular e atividades de supervisão, e outras atividades
que o pessoal executa ao realizar suas tarefas. O escopo e a
freqüência de avaliações separadas, depende basicamente de
avaliações de risco e efetividade dos processos de
monitoramento que estão sendo realizados. Deficiências de
controles internos devem ser relatadas a níveis superiores
dentro da hierarquia.
Objetiva determinar se o controle interno está 
adequadamente desenhado e monitorado.
ESTRUTURA COSO DE CONTROLES INTERNOS
CONTROLES INTERNOS DEVEM SER 
INTEGRADOS NOS PROCESSOS
MATURIDADEDOS CONTROLES INTERNOS
GLOSSÁRIO
VISÃO DO COBIT – SARBANES
• A conformidade com a SOX (Sarbanes Oxley) irá
impactar significativamente as organizações de TI na
maioria das empresas de capital aberto. Entretanto,
existe um grande problema: não existe nenhuma
menção específica nas seções da SOX voltada para a
TI, e mais importante ainda, não existe nenhuma
especificação de quais controles precisam ser
estabelecidos dentro da TI para estar em conformidade
com a SOX.
Estruturas e Metodologias de controle adotadas 
na Sarbanes COBIT
• Para resolver este problema muitas empresas acabam
adotando o COBIT, pelo fato dele definir quais os objetivos
de controle que precisam ser implementados na TI. Além
disto, o COBIT é um modelo independente de plataforma,
independe de tecnologia, podendo ser adotado em
qualquer organização de TI.
• O COBIT está sintonizado com os requisitos legais destas
leis. O COBIT é o único modelo de controle que é
compatível com o COSO, cobre todas as atividades de TI e
é aceito geralmente pela comunidade de auditores.
• Assegurar que a TI está em conformidade com o COBIT
fará com que a maioria dos requisitos de conformidades já
tenham sido implementados. Usar o COBIT fará com que a
• organização esteja atendendo a maioria dos requisitos das
leis da SOX.
CONTROLES ADOTADAS NA SARBANES
PREMISSAS DO COBIT
QUAL O PRINCÍPIO DA ESTRUTURA DO COBIT?
CRITÉRIOS DE INFORMAÇÃO
Para satisfazer os objetivos de negócio, as informações
precisam estar em conformidade com os critérios chamados
requisitos de negócio.
Requisitos de Qualidade
 Qualidade
 Custo
 Entrega
Requisitos Fiduciários (Relatório do COSO)
 Eficácia e eficiência das Operações 
 Confiabilidade das Informações 
 Conformidade com Leis e Regulamentos
Requisitos de Segurança
 Confidencialidade
 Integridade
 Disponibilidade
RECURSOS DE TI
I. Aplicações: sistemas automatizados e 
procedimentos manuais para processar informações 
II. Informação: os dados de todos os formulários de
entrada, processados e exibidos pelos sistemas de
informação, podendo ser qualquer formulário que é
usado pelo negócio.
III. Infra-estrutura: inclui hardware, sistemas 
operacionais, sistemas de banco de dados, rede, 
multimídia, etc. É tudo que é necessário para o 
funcionamento das aplicações.
IV. Pessoas: pessoal necessário para planejar, 
organizar, adquirir, implementar, entregar, dar suporte, 
monitorar e avaliar os sistemas de informação e 
serviços. Eles podem ser internos ou terceirizados.
O COBIT POSSUI PROCESSOS QUE AUXILIAM A MANTER 
A CONFORMIDADE COM A SARBANES
 Adquirir e manter software aplicativo;
 Adquirir e manter arquitetura tecnológica;
 Desenvolver e manter procedimentos de TI;
 Instalar e certificar soluções e mudanças;
 Gerenciar mudanças;
 Definir e gerenciar níveis de serviço;
 Gerenciar serviços de terceiros;
 Assegurar a segurança dos sistemas;
 Gerenciar as configurações;
 Gerenciar problemas;
 Gerenciar dados;
 Gerenciar operações.
BENEFÍCIOS DO COBIT
 O COBIT lida com todos os aspectos dos problemas relacionados com 
a Governança de TI; 
 O COBIT foi criado por um grande número de especialistas;
 O ITGI ajudou com os seus 35 anos de experiência em segurança em 
TI no desenvolvimento do COBIT;
 O COBIT está em manutenção contínua. Periodicamente uma nova
versão é publicada; Os patrocinadores do COBIT são organizações
sem fins lucrativos, sua missão é ajudar seus clientes a alcançar seus
objetivos principais;
 O COBIT pode ser aplicado em empresas de pequeno e grande porte; 
 Usar o COBIT pode introduzir ordem e qualidade nos 
processos de TI; 
 O COBIT é compatível com outros padrões e pode ser 
utilizado para gerenciar todos os processos de TI;
 O COBIT está em conformidade com os regulamentos 
como Sarbanes, Basiléia, entre outros.
Benefícios do COBIT
RELAÇÃO DO COBIT COM O COSO
 O COSO declara que o controle interno é um processo estabelecido
pelo conselho, gerentes e outros, desenhado para fornecer uma
segurança razoável relacionada a realização dos objetivos declarados.
É uma estrutura aplicada para auditar processos em grandes empresas
e em qualquer atividade.
 O COBIT apresenta controles de TI se preocupando com a informação
em geral – não apenas informação financeira – que é necessária para
suportar os requisitos de negócio e os recursos e processos associados
com TI.
 Da mesma forma que o COSO identifica 8 componentes de controle
para alcançar os objetivos de finanças e controladoria, o COBIT
proporciona um guia detalhado para TI.
 A diferença maior é que o COSO é genérico, pode ser utilizado em
qualquer atividade da empresa, enquanto que o COBIT é voltado
somente para a área de TI.
Referências
 Committee of Sponsoring Organizations of the Treadway Commission
(COSO). Internal Control – Integrated Framework . New York: AICPA, 1992.