1

As 10 maiores lições aprendidas com a implementação do COSO 2013

Converse com o seu auditor sem demora e com frequênciaAs melhores equipes se reúnem regularmente com seus auditores externos para apresentar sua abordagem, estabelecer milestones e comunicar o progresso e os resultados. Esse diálogo contínuo é importante para garantir que a empresa e seus auditores independentes estejam totalmente alinhados com o processo apropriado para fazer a transição ao Framework atualizado, de modo que a avaliação da eficácia do ICFR possa ser realizada com confiança. Uma comunicação aberta permite que os dois lados trabalhem em alinhamento e facilita a compreensão das expectativas do auditor, inclusive a abordagem recomendada, as exigências de documentação e a extensão da confiança no trabalho da auditoria interna e outros grupos.Nos casos em que os auditores independentes optam por terceirizar o trabalho, é importante conhecer todos os requisitos específicos dos auditores relevantes para o trabalho, como o tamanho prescrito das amostras e os modelos específicos

Em 2014, muitas empresas de capital aberto se empenharam para implementar o Internal Control – Integrated Framework da Committee of Sponsoring Organizations of the Treadway Commission (COSO) para a se adequar à Seção 404 da Lei Sarbanes-Oxley de 2002 (SOX). A Securities and Exchange Commission (SEC) dos Estados Unidos exige que as empresas utilizem um “modelo adequado” como uma base para a avaliação da eficácia dos controles internos sobre relatórios financeiros (ICFR – internal control over financial reporting), de acordo com a Seção 404. O Framework do COSO cumpre os critérios de adequação da SEC.

O COSO ressaltou que deixou de respaldar a versão original do Framework lançada em 1992 e considera que ela foi substituída pela versão atualizada do Framework, concluída em 2013, para os anos encerrados após 15 de dezembro de 2014. Desse modo, é só uma questão de tempo antes de todas as empresas passarem a adotar o Framework revisado para suas avaliações anuais do ICFR. Com base em documentos apresentados à SEC até o momento, a grande maioria dos emissores já realizou a transição da versão de 1992 à versão de 2013. Nesta edição do The Bulletin, apresentamos as dez lições aprendidas com essas implementações provenientes de uma variedade de fontes – nosso trabalho com os clientes, informações coletadas de milhares de participantes da nossa série de webinars e o nosso levantamento anual de observância da Sarbanes-Oxley (Sarbanes-Oxley Compliance Survey), disponível no site www.protiviti.com/SOXsurvey.

Presume-se que todos saibam que uma abordagem top-down e baseada em riscos continua sendo aplicável à observância da Seção 404 e que a transição para o Framework atualizado de 2013 não muda esse fato. Não incluímos isso como uma lição, mas poderíamos, já que algumas empresas esqueceram ou deixaram de aplicar essa abordagem ao definir o escopo e os objetivos para a utilização do Framework. Em consequência, elas acabaram exagerando em seus testes e documentações dos controles. Nunca é demais enfatizar que o Framework 2013 do COSO não alterou a essência da abordagem top-down baseada em riscos nem reduziu a necessidade dessa abordagem na adequação à Seção 404 da SOX. Reiteraremos esse ponto mais algumas vezes abaixo.

As 10 lições aprendidas1. Converse com o seu auditor sem demora e com frequência.2. Adote uma abordagem de mapeamento eficaz e pertinente.3. Conduza uma robusta avaliação de risco de fraudes.4. Tenha uma visão mais ampla dos processos terceirizados,

estendendo-se além do relatório de Service Organization Control (SOC).

5. Administre o nível de profundidade ao testar os controles indiretos.

6. Concentre-se em conhecer e documentar a precisão dos controles.

7. Avalie a adequação das informações produzidas pela entidade (IPE – information produced by entity).

8. Espere um aumento das atividades de avaliação de deficiências.

9. Adote o Framework 2013 atualizado a tempo.10. Pergunte a si mesmo: restringir o seu foco à aplicação do

COSO 2013 à observância da SOX é a solução?

2

Notamos que algumas empresas preferem que seus clientes de auditoria usem ferramentas patenteadas da empresa para mapear controles no que diz respeito aos 17 princípios, documentar os controles de revisão e executar ações de acompanhamento.

Adote uma abordagem de mapeamento eficaz e pertinenteQuando o Framework atualizado de 2013 foi lançado, muito se discutiu sobre como fazer a transição a partir da versão original de 1992. Para fins de praticidade, a maioria das empresas simplesmente decidiu, em colaboração com seus auditores independentes, mapear seus controles de acordo com os 17 princípios enunciados no Framework 2013. No que tange ao mapeamento, é preciso levar vários pontos importantes em consideração:

• Concentre-se nos controles-chave: O foco do mapeamento deve ser nos controles-chave existentes e não em toda a população de controles. Esse foco faz sentido se os controles-chave foram determinados no ano anterior por meio de uma abordagem top-down e baseada em riscos. Além disso, uma abordagem top-down e baseada em riscos deve orientar o próprio exercício de mapeamento.

• Conhecer as expectativas dos auditores: Ao finalizar a abordagem de mapeamento, devem ser levadas em consideração as expectativas do auditor externo para garantir que os requisitos da auditoria sejam abordados sem recorrer a um dispendioso retrabalho após a conclusão do processo.

• Alavancar os pontos focais fornecidos pelo Framework: Grande parte das empresas descobriu que a maioria dos pontos focais é relevante para suas circunstâncias. Além disso, os auditores externos inevitavelmente pedem para ver como os pontos focais foram levados em consideração. Embora não sejam obrigatórios, os pontos focais são de grande utilidade para as empresas que optam por não dar início ao processo com uma folha de papel em branco. A maioria das empresas conseguiu viabilizar o exercício de mapeamento, que demandou entre 80 e 300 horas para ser concluído, dependendo do porte e da complexidade da organização. É interessante notar que as empresas que usaram os pontos focais para se orientar ao longo do processo de mapeamento tiveram uma abordagem de implementação mais eficiente do que as organizações que não os utilizaram. Estas últimas empresas enfrentaram mais desafios.

• Comece com a documentação dos controles existentes: Os princípios devem ser mapeados no que diz respeito à documentação dos controles existentes da organização, para a administração poder avaliar se as evidências corroboram a conclusão preliminar de que os vários princípios estão presentes e em funcionamento. De preferência, espera-se que a documentação dos controles existentes proporcione a maioria dos dados, se não todos, para esse exercício de mapeamento, especialmente se a empresa já documentou rigorosamente seus controles usando a versão de 1992 do Framework. Na conclusão do exercício de mapeamento, devem ser adotadas disposições para o mapeamento de um único controle relevante para vários princípios.

•

• Administrar as lacunas: Se forem identificadas lacunas para determinados princípios, a empresa precisará verificar se existem controles adicionais ou os se controles precisam ser reforçados para corroborar a conclusão de que esses princípios estão presentes e em funcionamento. Uma vez que todas as lacunas forem abordadas, podemos presumir que a administração estará em condições de concluir que os componentes estão presentes e em funcionamento. Curiosamente, quando fizeram o mapeamento, muitas empresas identificaram lacunas em seus controles em nível de entidade. Em muitos casos, isso ocorreu porque as empresas não levaram em consideração os controles existentes antes não incluídos no escopo da conformidade com a SOX.

• Considere a natureza dos componentes ao mapear os controles: Não existe uma solução do tipo “receita de bolo” para mapear os controles no que tange aos 17 princípios, já que o processo apropriado dependerá da estrutura, dos riscos e do estilo operacional da organização. Veja a seguir alguns pontos ilustrativos no que se refere à aplicação do processo de mapeamento para cada um dos cinco componentes:— O Ambiente de Controle se presta principalmente para mapear diretamente os controles em nível de entidade.— No componente da Avaliação de Risco, o princípio referente à definição de objetivos para os relatórios financeiros externos concentra-se em ponderações de materialidade e asserções de relatórios financeiros consolidadas em geral refletindo as atividades em nível de entidade. Os outros princípios relacionados à Avaliação de Risco podem ser incorporados à documentação de componentes das Atividades de Controle ou avaliados separadamente da perspectiva do nível de entidade (como uma parte da documentação de componentes da Avaliação de Risco). Por exemplo, muitas organizações integraram a avaliação de risco de fraudes à sua documentação da Seção 404 em vez de fazer uma avaliação separada de risco de fraudes.— A maioria dos controles tradicionais que corroboram relatórios financeiros confiáveis enquadra-se no componente das Atividades de Controle, que mapeia três dos 17 princípios. Alguns controles mapeiam os dois princípios relativos ao componente de Monitoramento, enquanto outros controles mapeiam os princípios relacionados ao componente de Informação e Comunicação aplicados ao nível de entidade ou incorporados aos vários ciclos de negócios.— Para os controles relacionados ao componente de Informação e Comunicação, é preciso decidir onde eles serão documentados. Por exemplo, o Princípio 13 do componente de Informação e Comunicação diz respeito a informações relevantes e de qualidade para dar suporte a outros componentes do controle interno, especialmente o Monitoramento e Atividades de Controle. Independente de como optar por documentar esses controles, a administração deve garantir que eles de alguma forma façam referência ao componente de Informação e Comunicação. O nível de empenho para fazer a transição da documentação existente de controles ao Framework 2013 baseado em princípios dependerá de uma série de fatores, como o porte e a complexidade da empresa, a extensão na qual o emissor manteve atualizadas as alterações da documentação dos controles da empresa ao longo do tempo e as expectativas do auditor externo no que se refere à natureza e à extensão da documentação exigida.

3

de auditar nos contratos de serviços, o exercício das cláusulas de direito de auditar e obtenção de uma avaliação independente dos controles do prestador de serviços suficientemente focada nos objetivos de controle relevantes (um relatório da Controls Service Organization, normalmente chamado de relatório SOC 1).

Uma abordagem eficaz envolve o uso de uma metodologia sistemática para avaliar os relatórios SOC 1 e a adoção de controles gerenciais para os provedores terceirizados. A organização precisa articular como supervisiona os controles de inputs e outputs em alinhamento com o relatório SOC 1. Ao avaliar o relatório SOC 1, a administração pode descobrir alguns controles em falta e/ou deficientes e o prestador do serviço deverá fornecer informações adicionais para fins de esclarecimento.

A avaliação deve incluir averiguar quais saldos de conta são afetados pelo trabalho do prestador; as asserções de controle interno relacionadas (como, por exemplo, para relatórios financeiros as asserções de completude e precisão, existência e atribuição); o modo como os resultados são avaliados para determinar a razoabilidade dentro das tolerâncias estabelecidas de acordo com a precisão desejada das atividades de controle em questão; e se o prestador está em conformidade com o código de conduta da organização.

A questão fundamental é a seguinte: se a organização estende suas atividades para além de suas paredes (e qual a empresa não faz isso?), ela também deve estender seu ambiente de controle. As linhas nebulosas de responsabilidade entre o sistema de controle interno da entidade e o sistema dos prestadores de serviços terceirizados cria a necessidade de controles mais rigorosos sobre a comunicação entre as partes. Esperamos que os processos terceirizados recebam um maior foco de atenção em 2015 para demonstrar ainda mais o conhecimento da administração em relação aos controles em vigor no que tange às informações financeiras cruciais da organização.

Administre o nível de profundidade ao testar os controles indiretos

Os testes dos controles indiretos (também conhecidos como controles em nível de entidade) devem ser redimensionados de acordo com sua relevância para reduzir os riscos dos relatórios financeiros a um nível aceitável. Com frequência, a relevância para a mitigação de riscos é indireta, ao passo que as atividades de controle implementadas na fonte do risco têm uma natureza mais direta. A ideia é que o escopo dos testes pode sair rapidamente do controle se não for cuidadosamente racionalizado por meio de uma abordagem top-down e baseada em riscos com um grande foco no atingimento dos objetivos de controle relevantes.

Notamos que as organizações de sucesso têm requisitos mais específicos para decidir como o controle em nível de entidade deve ser aplicado. Para fins de observância da SOX, é importante manter o foco do ambiente de controle indireto sobre o ICFR e não expandir demais o escopo para cobrir questões não relacionadas ao ICFR. Por exemplo, para o controle indireto enfatizando a verificação de antecedentes, a administração pode definir o escopo da aplicação dessa atividade ao pessoal relevante, encarregado das responsabilidades de elaboração dos relatórios financeiros, e não a todos os funcionários da organização. Todos concordam que o componente do Ambiente de Controle é importante. No entanto, o componente de Controle de Atividades tem um impacto desproporcionalmente maior na avaliação do ICFR do que os controles indiretos normalmente documentados para determinar o Ambiente de Controle.

Conduza uma robusta avaliação de risco de fraudesDe acordo com o Princípio 8 do Framework 2013, “a organização [deve] leva[r] em consideração o potencial de fraude na avaliação dos riscos ao atingimento dos objetivos”. Assim, as contínuas avaliações de risco como uma parte da abordagem top-down e baseada em riscos precisam considerar explicitamente o potencial de fraude no que se refere ao ICFR. Em consequência, muitas empresas quiseram saber se uma documentação distinta seria necessária para se adequar ao Princípio 8.

Atualmente vemos os riscos de fraude sendo utilizados mais especificamente para garantir que a avaliação foi concluída. Em anos anteriores, algumas empresas não ressaltavam os controles antifraude, integrando sua avaliação desses controles à avaliação de outros controles nos processos da organização. Agora, como parte da avaliação das atividades de controle relacionadas aos riscos de fraude identificados, a adequação dos controles antifraude está sendo especificamente avaliada.

Na prática, vemos que o nível de profundidade e rigor aplicado a esses riscos e controles varia de uma empresa à outra. É provável que as inspeções do Public Company Accounting Oversight Board (PCAOB) das auditorias de fim de ano de 2014 e 2015 levem ao nível de profundidade que os auditores independentes esperam das avaliações de risco de fraude de seus clientes de auditoria.

Tenha uma visão mais ampla dos processos terceirizados, estendendo-se além do relatório de Service Organization Control (SOC)

O COSO faz referência ao conceito de processos de negócios terceirizados em várias seções do Framework 2013. Por exemplo, o COSO determina que as informações obtidas de prestadores de serviços terceirizados (que administram os processos de negócios em nome da entidade e outros fornecedores externos dos quais a entidade depende para processar suas informações) estão sujeitas às mesmas expectativas de controle interno que as informações processadas internamente. O exigência é clara: a administração é responsável pelos controles das atividades terceirizadas. Assim, esses processos devem ser incluídos no escopo de qualquer avaliação de ICFR na medida em que uma abordagem top-down e baseada em riscos determinar sua relevância.

Por que é fundamental ter uma visão mais ampla das relações com prestadores terceirizados? Essas relações apresentam riscos especiais que muitas vezes requerem selecionar e desenvolver controles adicionais para assegurar a completude, a precisão e a validade das informações submetidas ao prestador de serviços terceirizado e dele recebidas.

Assim, as avaliações de risco devem levar em consideração esses riscos e as atividades de controle relacionadas, criadas para assegurar a integridade dos dados e das informações enviadas ao prestador de serviço terceirizado e dele recebidas. Os controles que asseguram a capacidade da organização de confiar nas informações processadas por entidades externas incluem due diligence do fornecedor, inclusão de cláusulas de direito

4

Concentre-se em conhecer e documentar a precisão dos controles

Muitas organizações investiram um bom tempo documentando uma maior precisão dos controles em alinhamento com esse tema levantado por muitos relatórios de inspeção do PCAOB. As expectativas dos auditores externos no que tange ao nível de detalhamento para corroborar as conclusões sobre a eficácia do design do controle se estenderam para incluir a avaliação da fonte dos inputs de dados, como um terceiro independente refazendo a avaliação e chegando à mesma conclusão.

Portanto, os controles de revisão da administração foram submetidos a um considerável escrutínio e muitos desses controles não conseguiram demonstrar um nível suficiente de precisão para comprovar a capacidade de detectar distorções relevantes. O resultado, em muitos casos, é uma transição para controles de nível transacional, particularmente quando a administração não tem provas de que o controle de revisão detectou erros no passado. Um histórico de bom desempenho do controle de revisão na detecção e correção de erros e omissões é vital para corroborar a afirmação de que o controle está em conformidade com o nível prescrito de precisão.

Avalie a adequação das informações produzidas pela entidade (IPE)

As informações utilizadas na execução dos controles-chave, muitas vezes conhecidas como informações produzidas pela entidade (IPE) ou evidências eletrônicas de auditoria (EAE), devem ser avaliadas para verificar a completude e a precisão. De uma perspectiva histórica, as empresas e seus auditores independentes têm conduzido variados níveis de validação para essas informações. Essas iniciativas continuam a se concentrar em planilhas, devido à sua natureza manual e susceptibilidade ao erro. Planilhas e outras fontes de dados que os auditores utilizam, tais como relatórios padronizados ou customizados, continuam sendo uma fonte de reformulações dos relatórios financeiros.

A adoção do Framework 2013 do COSO levou as empresas a avaliar as IPE em mais detalhes do que nos anos anteriores, principalmente devido à necessidade de verificar se o componente de Informação e Comunicação está presente e em funcionamento. Ainda mais importante, os relatórios de inspeção do PCAOB também levaram a atividades para validar relatórios do sistema, consultas e planilhas e essas atividades são incorporadas às atividades gerais de adoção do COSO. Diferentes empresas de auditoria e diferentes grupos dentro dessas empresas discordam no que se refere ao grau de rigor exigido para validar informações-chave utilizadas em conjunto com as atividades de controle.

Não acreditamos que o PCAOB já deu a última palavra no que se refere às deficiências nos teste das IPE. Desse modo, esperamos ainda mais ênfase na próxima rodada de relatórios de inspeção sobre a dependência inerente que os controles-chave apresentam sobre as IPE.

Espere um aumento das atividades de avaliação de deficiências

A experiência com processos de transição sugere que mais análise é necessária para avaliar as deficiências identificadas. A terminologia de “presentes e em funcionamento” e “operação em conjunto” do COSO atesta diretamente esse fato. As organizações que estão implementando o novo Framework devem se distanciar um pouco do processo de avaliação e avaliar os resultados de maneira sistemática. O PCAOB e a SEC também têm enfatizado a avaliação de deficiências para auditores e emissores, respectivamente, apontando para deficiências potencialmente correlacionadas que poderiam resultar em maiores implicações quando agregadas do que poderiam representar individualmente.

Uma pergunta comum diz respeito a saber se o COSO alterou ou não o vocabulário concernente à avaliação das deficiências do ICFR. Essa questão é levantada porque o Framework 2013 afirma que uma deficiência é “uma inadequação de um componente ou componentes e princípio(s) relevante(s) que reduz a probabilidade de a entidade conseguir atingir seus objetivos” e fornece uma estrutura para a classificação da gravidade das deficiências, com “grande deficiência” definida como “uma deficiência de controle interno ou combinação de deficiências que reduz gravemente as chances de a entidade conseguir atingir seus objetivos”.

O COSO salientou que sua intenção foi apresentar um modelo capaz de cruzar fronteiras internacionais. Com isso, a Comissão não pretendia, de maneira alguma, alterar o vocabulário de “fraqueza material” e “deficiência significativa” usado nos Estados Unidos no que tange aos controles de relatórios financeiros.

Uma última observação: o termo “operação em conjunto” reconhece que os componentes são interdependentes com uma infinidade de inter-relações e vínculos, particularmente em termos de como os princípios interagem dentro dos componentes e entre eles. De um ponto de vista prático, o Framework 2013 afirma que a administração pode demonstrar que os componentes operam em conjunto quando eles estão presentes e em funcionamento e as deficiências de controle interno agregadas em diferentes componentes não resultam na verificação da existência de uma ou mais deficiências consideráveis.

Adote o Framework 2013 atualizado “a tempo”.Uma grande maioria das organizações adotou o Framework revisado “a tempo”, em consonância com a cessação do apoio do COSO ao Framework 1992, com um pequeno número de adotantes iniciais abrindo o caminho. Dentre pouco mais de 3.500 relatórios anuais de empresas com anos fiscais encerrados depois de 15 de dezembro de 2014 e arquivados até 2 de abril de 2015, 77% fizeram a transição para o COSO 2013. Dos 23% restantes:

1 Conforme reportado pela Audit Analytics® em seu banco de dados de relatórios de

auditoria e relatórios de administração de controles internos, disponível para assinantes (www.auditanalytics.com). (www.auditanalytics.com).

• setenta e oito por cento (ou 18% dos documentos totais apresentados) relataram o uso continuado do Framework 1992;• vinte e dois por cento (ou 5% dos documentos totais apresentados) não especificaram a versão do Framework utilizada.

É possível que algumas, ou muitas, destas últimas empresas possam ter realizado a transição para o Framework 2013 e não especificaram o fato porque o período de transição já tinha terminado, de modo que a divulgação parentética dessa informação no relatório de controle interno foi considerada desnecessária por essas empresas. Se qualquer uma dessas empresas tivesse continuado a usar o Framework 1992, a não divulgação do fato no relatório de controle interno poderia representar um motivo de preocupação para o pessoal da SEC.

Em resumo, independente de como os dados foram segmentados, podemos reportar que uma grande maioria das organizações fez a transição para o Framework 2013. Como observamos anteriormente, para a maioria dessas empresas o nível de empenho para concluir a transição foi viável.

A implicação da diferença entre o número de transições “a tempo” e o número de empresas que ainda não concluíram a transição é clara: elas precisam dar prosseguimento ao processo. Estamos confiantes de que, dada a grande maioria das empresas que fizeram com sucesso essa transição e sua experiência na conclusão do processo de transição, o pessoal da SEC não dará “carta branca” para as organizações com ano fiscal se encerrando depois de 15 de dezembro de 2015, exceto, talvez, nas circunstâncias mais extremas.

Pergunte a si mesmo: restringir o seu foco à aplicação do COSO 2013 à observância da SOX é a solução?A maioria das organizações restringiu à SOX o seu foco da aplicação do COSO 2013. Devido ao trabalho mais intenso necessário para mapear a adequação ao Framework atualizado e assegurar a precisão dos controles de revisão da administração e lidar com as IPE e outros possíveis problemas

levantados pelos relatórios de inspeção do PCAOB, muitas organizações não realizaram uma aplicação mais ampla do Framework.

É interessante notar que algumas organizações se confundiram quanto aos objetivos dos componentes da Avaliação de Risco no que se refere às operações e observância e presumiram equivocamente se tratar do escopo da SOX – como se achassem que o Framework do COSO tivesse sido concebido exclusivamente para a observância à SOX. Não é o caso.

Acreditamos que a utilização do COSO beneficia também outros objetivos (como, por exemplo, operações, conformidade, relatórios internos e outros relatórios externos). No entanto, essas ações devem ser segregadas da conformidade à SOX. As organizações progressistas estão aplicando o COSO a outros objetivos, tais como relatórios de sustentabilidade, conformidade regulamentar e controles sobre subsídios federais, para citar apenas alguns.

ResumoO primeiro ano da transição para o Framework 2013 desde a cessação do apoio do COSO à versão de 1992 já está para expirar. Muito se aprendeu com a experiência da grande maioria das organizações que conseguiram fazer a transição. Esta edição do The Bulletin resumiu algumas das principais lições aprendidas. Embora muitas dessas lições não sejam necessariamente novas, não deixam de ser tão importantes para o processo de transição quanto têm sido ao longo dos anos para a implementação do processo de conformidade com a Seção 404 da SOX. Esperamos que as informações sejam proveitosas para as organizações que ainda não fizeram a transição.

Até o momento, como tem sido grande a adoção do Framework do COSOUma grande maioria das organizações adotou o Framework revisado a tempo, com um pequeno número de adotantes iniciais abrindo o caminho. De pouco mais de 3.500 relatórios anuais de empresas com anos fiscais encerrados depois de 15 de dezembro de 2014 e submetidos até 2 de abril de 2015, só 18% das empresas relataram que não fizeram a transição para o COSO 2013. O COSO ressaltou que deixou de respaldar a versão original do Framework lançada em 1992 e considera que ela foi substituída pela versão atualizada do Framework 2013 para os anos encerrados depois de 15 de dezembro de 2014. Desse modo, é só uma questão de tempo até que todas as empresas passem a adotar o Framework revisado para suas avaliações anuais do ICFR. A Terceira Edição do relatório da Protiviti intitulado The Updated COSO Internal Control Framework: Frequently Asked Questions (“O Framework de Controle Interno do COSO: Perguntas Frequentes”, www.protiviti.com/en-US/Pages/The-Updated-COSO-Internal-Control-Framework-FAQ.aspx) aborda várias questões relativas ao Framework 2013 do COSO, incluindo as razões de sua atualização, o que mudou, o processo de transição para sua utilização e as medidas que as empresas deveriam estar tomando agora.

The Updated COSO Internal Control Framework

Frequently Asked Questions

Third Edition

ICTS Global Ltda. e ICTS Global de Serviços de Consultoria em Gestão de Riscos Ltda. são sociedades de responsabilidade limitada brasileiras e são as firmas membro brasileiras da rede Protiviti, composta por empresas de consultoria independentes e de propriedade local. Firmas membro são empresas autônomas, não são agentes de outras empresas da rede Protiviti e não têm autoridade para obrigar ou vincular outras empresas da rede Protiviti.© 2015