Controles Internos

1
Controles Internos

• Uma abordagem da estrutura conceitual COSO

2
Introdução

• Segundo o American Institute of Certified Public
  Accountants AICPA (1947), a importância dos
  controles internos relacionava-se a
• Extensão, tamanho e complexidade das organizações
• Necessidade de proteção contra fraquezas humanas
• Limitação da capacidade operacional da Auditoria
  Independente

3
Introdução

• Em 1987, a National Comission on Fraudulent
  Financial Reporting registra em seu relatório
  que
• A visão da administração sobre controles
  internos influencia o comportamento de toda a
  organização
• Os controles se impõem às companhias abertas,
  para minimizar a possibilidade de produção de
  relatórios financeiros fraudulentos

4
COSO Committee of Sponsoring Organizations
O que é? Comitê das Organizações Patrocinadoras,
da Comissão Nacional sobre Fraudes em Relatórios
Financeiros. Objetivo Visa o aperfeiçoamento da
qualidade de relatórios financeiros por meio de
éticas profissionais, implementação de controles
internos e governança corporativa.
5
Organizações Patrocinadoras
6
Controles Internos

• Processo conduzido pela Diretoria, Conselhos ou
  outros empregados de uma companhia, no intuito de
  fornecer uma garantia razoável de que os
  objetivos da entidade estão sendo alcançados, com
  relação às seguintes categorias
• 1 eficácia e eficiência das operações
• 2 confiabilidade dos relatórios financeiros e
• 3 conformidade com a legislação e regulamentos
  aplicáveis.

7
Limitações do CI

• ERROS DE JULGAMENTO na tomada de decisões
• FALHAS falta de cuidado, distração ou cansaço
• CONLUIO difícil detecção
• CUSTO X BENEFÍCIO custo não pode ser maior que o
  benefício
• EVENTOS EXTERNOS imprevisibilidade

8
COSO
Controle Interno um modelo integrado. Em
1992 o Comittee of Sponsoring Organizations -
COSO propõe um padrão de entendimento, avaliação
e aperfeiçoamento de controles internos, em cinco
componentes 1 Ambiente de Controle 2
Avaliação de Riscos 3 Atividades de Controle 4
Informações e Comunicações 5 Monitoramento.
9
CUBO DO COSO
10
COMPONENTES DO COSO
11
Controles Internos e Gerenciamento de Riscos

• Enquanto o COSO I aborda a estrutura de controles
  internos de uma organização, o COSO II aborda o
  paradigma de Gestão de Riscos, ambos por meio da
  proposição de um Modelo Integrado.

12
O modelo COSO I tornou-se referência mundial, por

1. Uniformizar definições de controle interno
2. Definir componentes, objetivos e objetos do
   controle interno em um modelo integrado
3. Delinear papéis e responsabilidades da
   administração
4. Estabelecer padrões para implementação e
   validação
5. Criar um meio para monitorar, avaliar e reportar
   controles internos.

13
COSO I X COSO II
Estratégico
Atividades
13
14
COSO II Enterprise Risk Management Integrated
Framework (ERM)
14
15
COSO II 1ª Dimensão Objetivos
OBJETIVOS DA INSTITUIÇÃO Estratégia Operaçõ
es Relatórios
Conformidade
Objetivos
15
16
COSO II 2ª Dimensão Componentes da
Metodologia
COMPONENTES Ambiente Interno Definição de
Objetivos Identificação de Eventos Avaliação do
Risco Resposta ao Risco Atividades de
Controle Informação e Comunicação Monitoramento
Componentes
16
17
COSO II 2ª Dimensão Componentes
17
18
COSO II 2ª Dimensão Componentes
18
19
COSO II 2ª Dimensão Componentes
19
20
COSO II 3ª Dimensão Objetos de Controle
OBJETOS DE CONTROLE NÍVEL DA
ORGANIZAÇÃO Subsidiária Unidade de
Negócio Divisão Nível da Entidade
Objetos
20
21
COSO II 3ª Dimensão Objetos de Controle

• Os controles devem atuar sobre todos os níveis da
  entidade. Em cada processo existem riscos
  potenciais e os controles devem sempre estar
  presentes para mitigar estes riscos independente
  de onde eles possam ocorrer
• A metodologia do COSO II é aplicável a qualquer
  setor da organização, pois é focada em riscos dos
  processos e não em tarefas ou departamentos
  isolados.

21
22
COSO II Dimensões(Tradução)
Objetivos
Objetos - Níveis da organização
Componentes
22
23
Componentes do COSO
24
Ambiente de Controle

• Dá o tom de uma organização
• Influencia a consciência de controle das pessoas
• Fornece disciplina e estrutura

25
Ambiente de controle - elementos

• Integridade e valores éticos e Filosofia/estilo
  da administração exemplo, comunicação,
  orientação moral, padrão de relacionamento com
  principais executivos (formal/informal), grau de
  participação dos funcionários na elaboração de
  procedimentos
• Comprometimento com competência meritocracia?
• Qualidade e independência das instâncias de
  governança (Conselho de Adm e Comitê de
  Auditoria)
• Estrutura Organizacional Autoridade x
  Responsabilidade (grau de assimetria e
  accountability)
• Práticas de RH (treinamentos, avaliação periódica
  de desempenho, ações disciplinares)

26
Como avaliar o Ambiente de controle

• Existe código formalizado de ética/conduta?
• Se o funcionário agir em desrespeito ao código de
  conduta, são tomadas medidas disciplinares e/ou
  punitivas?
• Há mecanismos de participação dos servidores na
  elaboração das regras de conduta?
• As competências e as atribuições estão
  adequadamente previstas no Regimento Interno da
  organização?
• Os níveis individuais de autoridade, de
  responsabilidade e de prestação de contas são
  claramente estabelecidos?
• Existem procedimentos e/ou instruções de trabalho
  padronizados?
• As decisões críticas são definidas no nível
  hierárquico adequado? O Regimento Interno trata
  adequadamente essa questão?

27
Como avaliar o Ambiente de controle

• As pessoas são questionadas por comportamento
  inapropriado, por aceitação excessiva de riscos
  ou por serem excessivamente avessas ao risco?
• Os funcionários conhecem suas responsabilidades,
  a função de seus serviços e o padrão de conduta e
  ética a serem seguidos?
• São tomadas as ações corretivas devidas, quando o
  funcionário não age de acordo com os padrões de
  conduta e de comportamento esperados ou conforme
  as políticas e procedimentos recomendados?
• Na estrutura implantada foi observada uma
  adequada segregação de funções, de forma a evitar
  funções conflitantes exercidas por um mesmo setor
  ou por uma mesma pessoa?
• A dotação de pessoal é suficiente, não
  comprometendo a qualidade dos trabalhos?

28
Como avaliar o Ambiente de controle

• Os procedimentos e rotinas pertinentes à execução
  da atividade auditada estão adequadamente
  formalizados?
• Os gestores, em particular, e os funcionários, de
  uma forma geral, possuem o necessário
  conhecimento, experiência e treinamento para
  cumprir suas obrigações?
• A Política de Investimento está formalizada?
• As normas contemplam aspectos de controle de
  acesso a bens, a documentos, a informações e a
  registros, informatizados ou não?

29
Componentes do COSO
30
Avaliação de Risco

• Identificação, análise e administração dos riscos
  relevantes
• Em decorrência de
• Alterações operacionais
• Rotatividade de pessoal
• Atividades ou produtos novos
• Reestruturações corporativas
• Novos Sistemas de Informações

31
Avaliação de Risco

• Cada objetivo operacional, do nível mais alto
  (como dirigir uma companhia lucrativa) ao mais
  baixo (como salvaguardar caixa), deve ser
  documentado
• Cada risco que possa prejudicar ou impedir o
  alcance do objetivo é identificado e priorizado

32
Avaliação de Risco

• É a identificação e análise dos riscos
  relevantes para o alcance dos objetivos e metas
  da entidade, com vistas a dar a resposta
  apropriada.
• Risco evento futuro e incerto que, caso ocorra,
  pode impactar negativamente o alcance dos
  objetivos da organização.
• Os riscos são analisados e mensurados
  considerando-se a sua probabilidade e o impacto
  como base para determinar o modo pelo qual
  deverão ser geridos.

33
Avaliação de Risco
34
Resposta a Riscos
35
Resposta a Riscos

• Alto Impacto /
• Baixa Probabilidade
• Compartilhar

• Alto Impacto /
• Alta Probabilidade
• Evitar
• Compartilhar
• Reduzir

Impacto

• Baixo Impacto /
• Baixa Probabilidade
• Aceitar

• Baixo Impacto /
• Alta Probabilidade
• Reduzir

Probabilidade
36
Tolerância a riscos
Alta tolerância a riscos
Baixa tolerância a riscos
Objetivo
Apetite a risco quantidade de risco que a
organização está disposta a aceitar na busca de
sua missão\visão
37
Como avaliar o processo de Avaliação de Riscos?

• Os objetivos centrais são claramente
  estabelecidos e comunicados aos responsáveis por
  esses objetivos?
• Os objetivos contemplam os aspectos de
  efetividade e de eficiências das operações, de
  confiabilidade nos relatórios financeiros e/ou
  gerenciais e de conformidade em relação às leis e
  normativos aplicáveis?
• Os objetivos da atividade estão ligados aos
  objetivos da organização e aos planos
  estratégicos?
• Os objetivos e os riscos da atividade são
  revisados periodicamente para garantir sua
  permanente relevância?
• Existem mecanismos para prever, para identificar
  e para reagir a eventos que possam afetar o
  alcance dos objetivos?

38
Como avaliar o processo de Avaliação de Riscos?

• Os riscos e as oportunidades são tratados em
  nível suficientemente alto na organização, de
  modo a que suas implicações sejam integralmente
  identificadas e planos de ação sejam formulados e
  cumpridos?
• As decisões de resposta ao risco são tomadas por
  quem tem competência para tal e, quando
  pertinente, são formalizadas?
• O risco residual assumido é compatível com os
  parâmetros institucionais?
• Os indicadores de desempenho importantes para o
  alcance dos objetivos são identificados e
  monitorados?
• A evolução dos indicadores de desempenho é
  acompanhada pelo diretor da área, por meio de
  relatórios específicos?

39
Componentes do COSO
40
Atividades de Controle

• Atividades que, quando executadas a tempo e
  maneira adequados, permitem a redução ou
  administração dos riscos.

41
Atividades de Controle

• São as políticas e procedimentos que contribuem
  para assegurar se
• os objetivos estão sendo alcançados
• as diretrizes administrativas estão sendo
  cumpridas
• estão sendo realizadas as ações necessárias para
  gerenciar os riscos com vistas à consecução dos
  objetvos da entidade.
• Se estabelecidas de forma tempestiva e adequada,
  podem vir a prevenir ou administrar os riscos
  inerentes ou em potencial da entidade. Não são
  exclusividade de determinada área da organização,
  sendo realizadas em todos os níveis.

42
Atividades de Controle - prevenção

• Alçadas são os limites determinados a um
  funcionário, quanto a possibilidade deste aprovar
  valores ou assumir posições em nome da
  instituição.
• Autorizações a administração determina as
  atividades e transações que necessitam de
  aprovação de um supervisor para que sejam
  efetivadas.
• Normatização Interna é a definição, de maneira
  formal, das regras internas necessárias ao
  funcionamento da entidade. As normas devem ser de
  fácil acesso para os funcionários da organização,
  e devem definir responsabilidades, políticas
  corporativas, fluxos operacionais, funções e
  procedimentos

43
Atividades de Controle - prevenção

• Segregação de funções
• Há a possibilidade de que um indivíduo cometa um
  erro ou fraude e esteja em posição que lhe
  permita escondê-lo?
• Comparação da obrigação contabilizada com os
  ativos existentes
• Separação entre custódia e contabilização reduz o
  risco pois não há como eliminar o registro do
  ativo
• Separação de pagamentos e conciliação bancária
  reduz risco de que pgto com cheque não sejam
  contabilizados
• Separação de aprovação de crédito e realização de
  vendas reduz risco de atingimento de metas
  podres

44
Atividade de Controle Segregação de Funções
Execução
Custódia de Ativos
Registro
Comparação periódica entre responsabilidade
contabilizada e ativos existentes
45
Atividades de Controle - detecção

• Conciliação é a confrontação da mesma informação
  com dados vindos de bases diferentes, adotando as
  ações corretivas, quando necessário.
• Revisões de Desempenho Acompanhamento de uma
  atividade ou processo, para avaliação de sua
  adequação e/ou desempenho, em relação às metas,
  aos objetivos traçados e aos benchmarks, assim
  como acompanhamento contínuo do mercado
  financeiro (no caso de bancos), de forma a
  antecipar mudanças que possam impactar
  negativamente a entidade.

46
Atividades de Controle prevenção e detecção

• Segurança Física proteção do patrimônio e das
  informações contra uso, compra ou venda
  não-autorizados, por meio de controle de acessos,
  controle da entrada e saída de funcionários e
  materiais, senhas para arquivos eletrônicos,
  call-back para acessos remotos, criptografia e
  outros.
• Sistemas Informatizados
• controles gerais aquisição, desenvolvimento e
  manutenção de programas e sistemas. Exemplos
  organização e manutenção dos arquivos de back-up,
  arquivo de log do sistema, plano de contingência
• controles de aplicativos garantem a integridade
  e veracidade dos dados e transações.

47
Como avaliar os procedimentos de controle?

• Para cada um dos riscos identificados, a
  administração implementou mecanismos de controle
  que minimizem a probabilidade de os objetivos da
  atividade não ser alcançados?
• As atividades de controle são implementadas de
  maneira ponderada, consciente e consistente,
  considerando, entre outras questões, a relação
  custo/benefício do controle?
• Para a definição dos controles a serem
  implementados a administração utiliza algum tipo
  de benchmark de boas práticas que possam ser
  aplicados?
• A administração dispõe de instrumentos que
  permitam se certificar de que as atividades de
  controle são adequadas?

48
Como avaliar os procedimentos de controle?

• São adotados controles de prevenção e de detecção
  para garantir que as operações realizadas sejam
  adequadamente iniciadas, autorizadas,
  registradas, processadas e divulgadas?
• Estão previstas rotinas de conformidade, de
  conferência e de conciliação que garantam a
  fidedignidade dos registros contábeis?
• As informações sigilosas, eventualmente tratadas
  no âmbito da atividade sob exame, têm recebido o
  tratamento previsto na política de segurança da
  instituição?

49
Como avaliar os procedimentos de controle?

• São adotadas providências para garantir que na
  realização de procedimentos conflitantes seja
  observado o princípio da segregação de funções?
• Há políticas e procedimentos para assegurar que
  decisões críticas sejam tomadas com aprovação
  adequada (nível hierárquico)?
• Para processos críticos existem planos de
  continuidade instituídos?
• A organização instituiu mecanismo para
  acompanhamento contínuo dos indicadores de
  desempenho?

50
Componentes do COSO
51
Informações e Comunicação

• As informações são documentadas e de qualidade
• As informações são oportunas e precisas
• A comunicação ocorre em todos os níveis da
  organização

52
Como avaliar o processo de Informações e
Comunicação

• O órgão consegue as informações de que necessita
  de maneira prática e tempestiva?
• O órgão tem conseguido obter as informações
  importantes para avaliação dos riscos internos e
  externos?
• O órgão tem conseguido obter informações que lhe
  permitem saber se os objetivos operacionais, de
  informação e conformidade estão sendo atingidos?
• O órgão identifica, captura, processa e comunica
  as informações necessárias a seus clientes e
  fornecedores em tempo hábil e de maneira prática?

53
Como avaliar o processo de Informações e
Comunicação

• Todos os funcionários recebem informações quanto
  às suas tarefas e como elas impactam outros
  funcionários da própria ou de outras unidades da
  organização?
• Há políticas e procedimentos para assegurar que
  as informações sejam fornecidas tempestivamente,
  de modo a permitir o efetivo monitoramento dos
  eventos e atividades?
• A organização conta com uma estrutura
  organizacional e de suporte tecnológico que
  garanta o processamento de dados e a elaboração
  de informações gerenciais de forma confiável e
  tempestiva?

54
Como avaliar o processo de Informações e
Comunicação

• Os sistemas de informática são seguros e
  confiáveis, contemplando aspectos como segurança
  no acesso/identificação crítica na entrada de
  dados procedimentos de backup e planos de
  contingência para questões chave?
• A organização produz e/ou recebe,
  tempestivamente, informações sobre desempenho?
• A organização identifica, captura, processa e
  comunica as informações necessárias ao diretor da
  área, aos demais componentes administrativos e
  aos participantes de forma geral em tempo hábil e
  de maneira prática?
• Os sistemas informatizados são periodicamente
  revisados, atualizados e validados, no sentido de
  garantir a produção de informações adequadas e
  confiáveis?

55
Componentes do COSO
56
Monitoramento

• Os controles internos são avaliados
• Os controles internos têm contribuído para o
  resultado?

57
Monitoramento

• Avaliação da qualidade do desempenho dos
  controles internos ao longo do tempo
  (arquitetura, prontidão e ações corretivas)
• Inputs reclamações de clientes, fornecedores e
  gerentes
• Supervisão dos controles internos pela
  administração, pelos funcionários ou pelas partes
  externas
• Avaliações periódicas pela auditoria interna
• Informações de órgãos de controle, agências
  reguladoras, auditorias externas, órgãos de
  supervisão bancária.

58
Como avaliar o processo de monitoramento?

• A performance é medida e monitorada numa base
  regular em comparação aos objetivos da atividade?
• A administração instituiu a divulgação de
  relatórios de exceção, para acompanhar as
  situações que se configurem como fora dos
  padrões?
• A abrangência e a qualidade dos relatórios
  periódicos de acompanhamento do controle interno
  da área de operações são adequadas em relação aos
  seus propósitos?
• As deficiências de controle interno identificadas
  são reportadas tempestivamente ao nível gerencial
  apropriado ou à alta administração e
  adequadamente tratadas?

59
Uma análise a partir dos componentes COSO

• Ambiente de Controle
• firma de natureza familiar
• filhos e sobrinhos do fundador (que é o
  presidente da empresa) são diretores
• contratações realizadas a partir de indicações de
  parentes e amigos
• não há ações de desenvolvimento de pessoas
• funcionários que não têm relação de parentesco
  mantêm seus cargos gerenciais a partir da
  manifestação de lealdade inequívoca ao respectivo
  diretor, trabalhando até 12 horas por dia.

60
Uma análise a partir dos componentes COSO

• Avaliação de risco
• um dos diretores é sócio de uma empresa que é uma
  das principais compradoras da firma
• os limites de crédito concedidos aos clientes são
  deferidos de forma centralizada pelo Presidente
  da firma
• a empresa escreveu seu planejamento estratégico
  há 4 anos e neste período não foi realizada
  revisão dos objetivos estratégicos
• houve uma elevação da inadimplência nos últimos
  meses e a firma teve que tomar empréstimo
  bancário para honrar folha de pagamento
• apesar do clima de recessão mundial, a área de
  vendas tem feito enorme pressão por aumento nas
  receitas.

61
Uma análise a partir dos componentes COSO

• Atividade de Controle
• a fim de garantir melhores resultados, a firma
  contratou um diretor no mercado, que passou a
  responder pela aprovação do crédito e
  gerenciamento das vendas
• estão em fase de manualização as rotinas
  relativas à realização de compras pela firma
• em função da contratação do novo Diretor
  Executivo, foi necessário dispensar o gerente de
  patrimônio. O controle de itens patrimoniais
  passou a ser realizado pelo Contador.

62
Uma análise a partir dos componentes COSO

• Informação e Comunicação
• o Presidente reúne-se informalmente com diretores
  por ele escolhidos, a cada semana
• somente os gerentes utilizam correio eletrônico
• ainda não foi implantada sistemática de avaliação
  de desempenho dos funcionários
• as informações são centralizadas na Diretoria.

63
Uma análise a partir dos componentes COSO

• Monitoramento
• Não há uma unidade de auditoria interna
• como há um clima de competição, os gerentes
  manipulam as informações sobre resultados
  atingidos em cada uma de suas áreas
• os diretores não supervisionam as atividades de
  controle dos gerentes a eles vinculados
• ações corretivas somente são aplicadas quando há
  suspeita de fraude ou dolo, com a demissão
  sumária.