controles internos uma abordagem da estrutura conceitual coso

63
Controles Internos Uma abordagem da estrutura conceitual COSO

Upload: internet

Post on 21-Apr-2015

125 views

Category:

Documents


2 download

TRANSCRIPT

Page 1: Controles Internos Uma abordagem da estrutura conceitual COSO

Controles Internos

Uma abordagem da estrutura conceitual COSO

Page 2: Controles Internos Uma abordagem da estrutura conceitual COSO

Introdução

Segundo o “American Institute of Certified Public Accountants – AICPA” (1947), a importância dos controles internos relacionava-se a:

- Extensão, tamanho e complexidade das organizações

- Necessidade de proteção contra fraquezas humanas

- Limitação da capacidade operacional da Auditoria Independente

Page 3: Controles Internos Uma abordagem da estrutura conceitual COSO

Introdução

Em 1987, a “National Comission on Fraudulent Financial Reporting” registra em seu relatório que:

- A visão da administração sobre “controles internos” influencia o comportamento de toda a organização

- Os controles se impõem às companhias abertas, para minimizar a possibilidade de produção de relatórios financeiros fraudulentos

Page 4: Controles Internos Uma abordagem da estrutura conceitual COSO

O que é?

Comitê das Organizações Patrocinadoras, da Comissão Nacional sobre Fraudes em Relatórios Financeiros.

Objetivo

Visa o aperfeiçoamento da qualidade de relatórios financeiros por meio de éticas profissionais, implementação de controles internos e governança corporativa.

COSOCommittee of Sponsoring Organizations

Page 5: Controles Internos Uma abordagem da estrutura conceitual COSO

Organizações Patrocinadoras

Page 6: Controles Internos Uma abordagem da estrutura conceitual COSO

Processo conduzido pela Diretoria, Conselhos ou outros empregados de uma companhia, no intuito de fornecer uma garantia razoável de que os objetivos da entidade estão sendo alcançados, com relação às seguintes categorias:

1 – eficácia e eficiência das operações;

2 – confiabilidade dos relatórios financeiros; e

3 – conformidade com a legislação e regulamentos aplicáveis.

Controles Internos

Page 7: Controles Internos Uma abordagem da estrutura conceitual COSO

ERROS DE JULGAMENTO: na tomada de decisões

FALHAS: falta de cuidado, distração ou cansaço

CONLUIO: difícil detecção

CUSTO X BENEFÍCIO: custo não pode ser maior que o benefício

EVENTOS EXTERNOS: imprevisibilidade

Limitações do CI

Page 8: Controles Internos Uma abordagem da estrutura conceitual COSO

“Controle Interno: um modelo integrado”.

Em 1992 o “Comittee of Sponsoring Organizations - COSO” propõe um padrão de entendimento, avaliação e aperfeiçoamento de controles internos, em cinco componentes:

1 – Ambiente de Controle2 – Avaliação de Riscos3 – Atividades de Controle4 – Informações e Comunicações5 – Monitoramento.

COSO

Page 9: Controles Internos Uma abordagem da estrutura conceitual COSO

CUBO DO COSO

Page 10: Controles Internos Uma abordagem da estrutura conceitual COSO

COMPONENTES DO COSO

Page 11: Controles Internos Uma abordagem da estrutura conceitual COSO

Controles Internos e Gerenciamento de Riscos

11

Page 12: Controles Internos Uma abordagem da estrutura conceitual COSO

O modelo COSO I tornou-se referência mundial, por:

12

Page 13: Controles Internos Uma abordagem da estrutura conceitual COSO

COSO I X COSO II

13

Estratégico

Atividades

Page 14: Controles Internos Uma abordagem da estrutura conceitual COSO

COSO II – Enterprise Risk Management Integrated Framework (ERM)

14

Page 15: Controles Internos Uma abordagem da estrutura conceitual COSO

COSO II – 1ª Dimensão – Objetivos

Objetivos

15

Page 16: Controles Internos Uma abordagem da estrutura conceitual COSO

COSO II – 2ª Dimensão – Componentes da Metodologia

Com

pon

en

tes

16

Page 17: Controles Internos Uma abordagem da estrutura conceitual COSO

COSO II – 2ª Dimensão – Componentes

17

Page 18: Controles Internos Uma abordagem da estrutura conceitual COSO

COSO II – 2ª Dimensão – Componentes

18

Page 19: Controles Internos Uma abordagem da estrutura conceitual COSO

COSO II – 2ª Dimensão – Componentes

19

Page 20: Controles Internos Uma abordagem da estrutura conceitual COSO

COSO II – 3ª Dimensão – Objetos de Controle

Ob

jeto

s

20

Page 21: Controles Internos Uma abordagem da estrutura conceitual COSO

COSO II – 3ª Dimensão – Objetos de Controle

21

Page 22: Controles Internos Uma abordagem da estrutura conceitual COSO

COSO II – Dimensões(Tradução)

Componentes

Objetivos

Objetos - Níveis da organização

22

Page 23: Controles Internos Uma abordagem da estrutura conceitual COSO

Componentes do COSO

Page 24: Controles Internos Uma abordagem da estrutura conceitual COSO

Ambiente de Controle

• Dá o tom de uma organização• Influencia a consciência de controle das pessoas• Fornece disciplina e estrutura

Page 25: Controles Internos Uma abordagem da estrutura conceitual COSO

Ambiente de controle - elementos• Integridade e valores éticos e Filosofia/estilo da

administração: exemplo, comunicação, orientação moral, padrão de relacionamento com principais executivos (formal/informal), grau de participação dos funcionários na elaboração de procedimentos

• Comprometimento com competência: meritocracia?

• Qualidade e independência das instâncias de governança (Conselho de Adm e Comitê de Auditoria)

• Estrutura Organizacional – Autoridade x Responsabilidade (grau de assimetria e accountability)

• Práticas de RH (treinamentos, avaliação periódica de desempenho, ações disciplinares)

Page 26: Controles Internos Uma abordagem da estrutura conceitual COSO

Como avaliar o Ambiente de controle• Existe código formalizado de ética/conduta?• Se o funcionário agir em desrespeito ao código de conduta, são

tomadas medidas disciplinares e/ou punitivas?• Há mecanismos de participação dos servidores na elaboração

das regras de conduta?• As competências e as atribuições estão adequadamente

previstas no Regimento Interno da organização?• Os níveis individuais de autoridade, de responsabilidade e de

prestação de contas são claramente estabelecidos?• Existem procedimentos e/ou instruções de trabalho

padronizados?• As decisões críticas são definidas no nível hierárquico

adequado? O Regimento Interno trata adequadamente essa questão?

Page 27: Controles Internos Uma abordagem da estrutura conceitual COSO

Como avaliar o Ambiente de controle• As pessoas são questionadas por comportamento

inapropriado, por aceitação excessiva de riscos ou por serem excessivamente avessas ao risco?

• Os funcionários conhecem suas responsabilidades, a função de seus serviços e o padrão de conduta e ética a serem seguidos?

• São tomadas as ações corretivas devidas, quando o funcionário não age de acordo com os padrões de conduta e de comportamento esperados ou conforme as políticas e procedimentos recomendados?

• Na estrutura implantada foi observada uma adequada segregação de funções, de forma a evitar funções conflitantes exercidas por um mesmo setor ou por uma mesma pessoa?

• A dotação de pessoal é suficiente, não comprometendo a qualidade dos trabalhos?

Page 28: Controles Internos Uma abordagem da estrutura conceitual COSO

Como avaliar o Ambiente de controle• Os procedimentos e rotinas pertinentes à

execução da atividade auditada estão adequadamente formalizados?

• Os gestores, em particular, e os funcionários, de uma forma geral, possuem o necessário conhecimento, experiência e treinamento para cumprir suas obrigações?

• A Política de Investimento está formalizada?• As normas contemplam aspectos de controle de

acesso a bens, a documentos, a informações e a registros, informatizados ou não?

Page 29: Controles Internos Uma abordagem da estrutura conceitual COSO

Componentes do COSO

Page 30: Controles Internos Uma abordagem da estrutura conceitual COSO

Avaliação de Risco

• Identificação, análise e administração dos riscos relevantes

• Em decorrência de:– Alterações operacionais– Rotatividade de pessoal– Atividades ou produtos novos– Reestruturações corporativas– Novos Sistemas de Informações

Page 31: Controles Internos Uma abordagem da estrutura conceitual COSO

Avaliação de Risco

• Cada objetivo operacional, do nível mais alto Cada objetivo operacional, do nível mais alto (como “dirigir uma companhia lucrativa”) ao (como “dirigir uma companhia lucrativa”) ao mais baixo (como “salvaguardar caixa”), deve mais baixo (como “salvaguardar caixa”), deve ser documentadoser documentado

• Cada risco que possa prejudicar ou impedir o Cada risco que possa prejudicar ou impedir o alcance do objetivo é identificado e priorizadoalcance do objetivo é identificado e priorizado

Page 32: Controles Internos Uma abordagem da estrutura conceitual COSO

É a identificação e análise dos riscos relevantes para o alcance dos objetivos e metas da entidade, com vistas a dar a resposta apropriada.

Risco: evento futuro e incerto que, caso ocorra, pode impactar negativamente o alcance dos objetivos da organização.

Os riscos são analisados e mensurados considerando-se a sua probabilidade e o impacto como base para determinar o modo pelo qual deverão ser geridos.

Avaliação de Risco

Page 33: Controles Internos Uma abordagem da estrutura conceitual COSO

Avaliação de Risco

Page 34: Controles Internos Uma abordagem da estrutura conceitual COSO

Resposta a Riscos

Page 35: Controles Internos Uma abordagem da estrutura conceitual COSO

Alto Impacto /Baixa Probabilidade

Compartilhar

Alto Impacto /Alta Probabilidade

EvitarCompartilharReduzir

Baixo Impacto /Baixa Probabilidade

Aceitar

Baixo Impacto /Alta Probabilidade

ReduzirImpa

cto

Probabilidade

Resposta a Riscos

Page 36: Controles Internos Uma abordagem da estrutura conceitual COSO

Tolerância a riscos

Objetivo

Baixatolerância

a riscos

Alta tolerância

a riscos

Apetite a risco: quantidade de risco que a organizaçãoestá disposta a aceitar na busca de sua missão\visão

Page 37: Controles Internos Uma abordagem da estrutura conceitual COSO

Como avaliar o processo de Avaliação de Riscos?

• Os objetivos centrais são claramente estabelecidos e comunicados aos responsáveis por esses objetivos?

• Os objetivos contemplam os aspectos de efetividade e de eficiências das operações, de confiabilidade nos relatórios financeiros e/ou gerenciais e de conformidade em relação às leis e normativos aplicáveis?

• Os objetivos da atividade estão ligados aos objetivos da organização e aos planos estratégicos?

• Os objetivos e os riscos da atividade são revisados periodicamente para garantir sua permanente relevância?

• Existem mecanismos para prever, para identificar e para reagir a eventos que possam afetar o alcance dos objetivos?

Page 38: Controles Internos Uma abordagem da estrutura conceitual COSO

Como avaliar o processo de Avaliação de Riscos?

• Os riscos e as oportunidades são tratados em nível suficientemente alto na organização, de modo a que suas implicações sejam integralmente identificadas e planos de ação sejam formulados e cumpridos?

• As decisões de resposta ao risco são tomadas por quem tem competência para tal e, quando pertinente, são formalizadas?

• O risco residual assumido é compatível com os parâmetros institucionais?

• Os indicadores de desempenho importantes para o alcance dos objetivos são identificados e monitorados?

• A evolução dos indicadores de desempenho é acompanhada pelo diretor da área, por meio de relatórios específicos?

Page 39: Controles Internos Uma abordagem da estrutura conceitual COSO

Componentes do COSO

Page 40: Controles Internos Uma abordagem da estrutura conceitual COSO

Atividades de Controle

• Atividades que, quando executadas a tempo e maneira adequados, permitem a redução ou administração dos riscos.

Page 41: Controles Internos Uma abordagem da estrutura conceitual COSO

São as políticas e procedimentos que contribuem para assegurar se:

os objetivos estão sendo alcançados; as diretrizes administrativas estão sendo

cumpridas; estão sendo realizadas as ações necessárias para

gerenciar os riscos com vistas à consecução dos objetvos da entidade.

Se estabelecidas de forma tempestiva e adequada, podem vir a prevenir ou administrar os riscos inerentes ou em potencial da entidade. Não são exclusividade de determinada área da organização, sendo realizadas em todos os níveis.

Atividades de Controle

Page 42: Controles Internos Uma abordagem da estrutura conceitual COSO

Atividades de Controle - prevenção

• Alçadas: são os limites determinados a um funcionário, quanto a possibilidade deste aprovar valores ou assumir posições em nome da instituição.

• Autorizações: a administração determina as atividades e transações que necessitam de aprovação de um supervisor para que sejam efetivadas.

• Normatização Interna: é a definição, de maneira formal, das regras internas necessárias ao funcionamento da entidade. As normas devem ser de fácil acesso para os funcionários da organização, e devem definir responsabilidades, políticas corporativas, fluxos operacionais, funções e procedimentos

Page 43: Controles Internos Uma abordagem da estrutura conceitual COSO

Atividades de Controle - prevenção

• Segregação de funções– Há a possibilidade de que um indivíduo cometa

um erro ou fraude e esteja em posição que lhe permita escondê-lo?

– Comparação da obrigação contabilizada com os ativos existentes• Separação entre custódia e contabilização

reduz o risco pois não há como eliminar o registro do ativo

• Separação de pagamentos e conciliação bancária reduz risco de que pgto com cheque não sejam contabilizados

• Separação de aprovação de crédito e realização de vendas reduz risco de atingimento de metas “podres”

Page 44: Controles Internos Uma abordagem da estrutura conceitual COSO

Atividade de Controle – Segregação de Funções

Execução

Registro Custódia de Ativos

Comparação periódica entre responsabilidade contabilizada e ativos existentes

Page 45: Controles Internos Uma abordagem da estrutura conceitual COSO

Atividades de Controle - detecção

• Conciliação: é a confrontação da mesma informação com dados vindos de bases diferentes, adotando as ações corretivas, quando necessário.

• Revisões de Desempenho: Acompanhamento de uma atividade ou processo, para avaliação de sua adequação e/ou desempenho, em relação às metas, aos objetivos traçados e aos benchmarks, assim como acompanhamento contínuo do mercado financeiro (no caso de bancos), de forma a antecipar mudanças que possam impactar negativamente a entidade.

Page 46: Controles Internos Uma abordagem da estrutura conceitual COSO

Atividades de Controle – prevenção e detecção

• Segurança Física: proteção do patrimônio e das informações contra uso, compra ou venda não-autorizados, por meio de controle de acessos, controle da entrada e saída de funcionários e materiais, senhas para arquivos eletrônicos, ‘call-back’ para acessos remotos, criptografia e outros.

• Sistemas Informatizados: – controles gerais: aquisição, desenvolvimento e

manutenção de programas e sistemas. Exemplos: organização e manutenção dos arquivos de back-up, arquivo de log do sistema, plano de contingência;

– controles de aplicativos: garantem a integridade e veracidade dos dados e transações.

Page 47: Controles Internos Uma abordagem da estrutura conceitual COSO

Como avaliar os procedimentos de controle?

• Para cada um dos riscos identificados, a administração implementou mecanismos de controle que minimizem a probabilidade de os objetivos da atividade não ser alcançados?

• As atividades de controle são implementadas de maneira ponderada, consciente e consistente, considerando, entre outras questões, a relação custo/benefício do controle?

• Para a definição dos controles a serem implementados a administração utiliza algum tipo de benchmark de boas práticas que possam ser aplicados?

• A administração dispõe de instrumentos que permitam se certificar de que as atividades de controle são adequadas?

Page 48: Controles Internos Uma abordagem da estrutura conceitual COSO

Como avaliar os procedimentos de controle?

• São adotados controles de prevenção e de detecção para garantir que as operações realizadas sejam adequadamente iniciadas, autorizadas, registradas, processadas e divulgadas?

• Estão previstas rotinas de conformidade, de conferência e de conciliação que garantam a fidedignidade dos registros contábeis?

• As informações sigilosas, eventualmente tratadas no âmbito da atividade sob exame, têm recebido o tratamento previsto na política de segurança da instituição?

Page 49: Controles Internos Uma abordagem da estrutura conceitual COSO

Como avaliar os procedimentos de controle?

• São adotadas providências para garantir que na realização de procedimentos conflitantes seja observado o princípio da segregação de funções?

• Há políticas e procedimentos para assegurar que decisões críticas sejam tomadas com aprovação adequada (nível hierárquico)?

• Para processos críticos existem planos de continuidade instituídos?

• A organização instituiu mecanismo para acompanhamento contínuo dos indicadores de desempenho?

Page 50: Controles Internos Uma abordagem da estrutura conceitual COSO

Componentes do COSO

Page 51: Controles Internos Uma abordagem da estrutura conceitual COSO

Informações e Comunicação

• As informações são documentadas e de qualidade

• As informações são oportunas e precisas

• A comunicação ocorre em todos os níveis da organização

Page 52: Controles Internos Uma abordagem da estrutura conceitual COSO

Como avaliar o processo de Informações e Comunicação

• O órgão consegue as informações de que necessita de maneira prática e tempestiva?

• O órgão tem conseguido obter as informações importantes para avaliação dos riscos internos e externos?

• O órgão tem conseguido obter informações que lhe permitem saber se os objetivos operacionais, de informação e conformidade estão sendo atingidos?

• O órgão identifica, captura, processa e comunica as informações necessárias a seus clientes e fornecedores em tempo hábil e de maneira prática?

Page 53: Controles Internos Uma abordagem da estrutura conceitual COSO

Como avaliar o processo de Informações e Comunicação

• Todos os funcionários recebem informações quanto às suas tarefas e como elas impactam outros funcionários da própria ou de outras unidades da organização?

• Há políticas e procedimentos para assegurar que as informações sejam fornecidas tempestivamente, de modo a permitir o efetivo monitoramento dos eventos e atividades?

• A organização conta com uma estrutura organizacional e de suporte tecnológico que garanta o processamento de dados e a elaboração de informações gerenciais de forma confiável e tempestiva?

Page 54: Controles Internos Uma abordagem da estrutura conceitual COSO

Como avaliar o processo de Informações e Comunicação

• Os sistemas de informática são seguros e confiáveis, contemplando aspectos como: segurança no acesso/identificação; crítica na entrada de dados; procedimentos de backup; e planos de contingência para questões chave?

• A organização produz e/ou recebe, tempestivamente, informações sobre desempenho?

• A organização identifica, captura, processa e comunica as informações necessárias ao diretor da área, aos demais componentes administrativos e aos participantes de forma geral em tempo hábil e de maneira prática?

• Os sistemas informatizados são periodicamente revisados, atualizados e validados, no sentido de garantir a produção de informações adequadas e confiáveis?

Page 55: Controles Internos Uma abordagem da estrutura conceitual COSO

Componentes do COSO

Page 56: Controles Internos Uma abordagem da estrutura conceitual COSO

Monitoramento

• Os controles internos são avaliados

• Os controles internos têm contribuído para o resultado?

Page 57: Controles Internos Uma abordagem da estrutura conceitual COSO

Monitoramento• Avaliação da qualidade do desempenho dos

controles internos ao longo do tempo (arquitetura, prontidão e ações corretivas)

• Inputs: reclamações de clientes, fornecedores e gerentes

• Supervisão dos controles internos pela administração, pelos funcionários ou pelas partes externas

• Avaliações periódicas pela auditoria interna• Informações de órgãos de controle, agências

reguladoras, auditorias externas, órgãos de supervisão bancária.

Page 58: Controles Internos Uma abordagem da estrutura conceitual COSO

Como avaliar o processo de monitoramento?

• A performance é medida e monitorada numa base regular em comparação aos objetivos da atividade?

• A administração instituiu a divulgação de relatórios de exceção, para acompanhar as situações que se configurem como “fora dos padrões”?

• A abrangência e a qualidade dos relatórios periódicos de acompanhamento do controle interno da área de operações são adequadas em relação aos seus propósitos?

• As deficiências de controle interno identificadas são reportadas tempestivamente ao nível gerencial apropriado ou à alta administração e adequadamente tratadas?

Page 59: Controles Internos Uma abordagem da estrutura conceitual COSO

Ambiente de ControleAmbiente de Controle: : firma de natureza familiar; firma de natureza familiar; filhos e sobrinhos do fundador (que é o presidente filhos e sobrinhos do fundador (que é o presidente

da empresa) são diretores; da empresa) são diretores; contratações realizadas a partir de indicações de contratações realizadas a partir de indicações de

parentes e amigos;parentes e amigos;não há ações de desenvolvimento de pessoas; não há ações de desenvolvimento de pessoas; funcionários que não têm relação de parentesco funcionários que não têm relação de parentesco

mantêm seus cargos gerenciais a partir da mantêm seus cargos gerenciais a partir da manifestação de lealdade inequívoca ao respectivo manifestação de lealdade inequívoca ao respectivo diretor, trabalhando até 12 horas por dia.diretor, trabalhando até 12 horas por dia.

Uma análise a partir dos componentes COSO

Page 60: Controles Internos Uma abordagem da estrutura conceitual COSO

Avaliação de riscoAvaliação de risco: : um dos diretores é sócio de uma empresa que é uma das um dos diretores é sócio de uma empresa que é uma das

principais compradoras da firma; principais compradoras da firma; os limites de crédito concedidos aos clientes são os limites de crédito concedidos aos clientes são

deferidos de forma centralizada pelo Presidente da firma; deferidos de forma centralizada pelo Presidente da firma; a empresa escreveu seu planejamento estratégico há 4 a empresa escreveu seu planejamento estratégico há 4

anos e neste período não foi realizada revisão dos anos e neste período não foi realizada revisão dos objetivos estratégicos;objetivos estratégicos;

houve uma elevação da inadimplência nos últimos meses houve uma elevação da inadimplência nos últimos meses e a firma teve que tomar empréstimo bancário para e a firma teve que tomar empréstimo bancário para honrar folha de pagamento;honrar folha de pagamento;

apesar do clima de recessão mundial, a área de vendas apesar do clima de recessão mundial, a área de vendas tem feito enorme pressão por aumento nas receitas.tem feito enorme pressão por aumento nas receitas.

Uma análise a partir dos componentes COSO

Page 61: Controles Internos Uma abordagem da estrutura conceitual COSO

Atividade de ControleAtividade de Controle: : a fim de garantir melhores resultados, a firma contratou a fim de garantir melhores resultados, a firma contratou

um diretor no mercado, que passou a responder pela um diretor no mercado, que passou a responder pela aprovação do crédito e gerenciamento das vendas;aprovação do crédito e gerenciamento das vendas;

estão em fase de manualização as rotinas relativas à estão em fase de manualização as rotinas relativas à realização de compras pela firma;realização de compras pela firma;

em função da contratação do novo Diretor Executivo, em função da contratação do novo Diretor Executivo, foi necessário dispensar o gerente de patrimônio. O foi necessário dispensar o gerente de patrimônio. O controle de itens patrimoniais passou a ser realizado controle de itens patrimoniais passou a ser realizado pelo Contador.pelo Contador.

Uma análise a partir dos componentes COSO

Page 62: Controles Internos Uma abordagem da estrutura conceitual COSO

Informação e ComunicaçãoInformação e Comunicação: : o Presidente reúne-se informalmente com diretores por Presidente reúne-se informalmente com diretores por

ele escolhidos, a cada semana;ele escolhidos, a cada semana;somente os gerentes utilizam correio eletrônico;somente os gerentes utilizam correio eletrônico;ainda não foi implantada sistemática de avaliação de ainda não foi implantada sistemática de avaliação de

desempenho dos funcionários;desempenho dos funcionários;as informações são centralizadas na Diretoria.as informações são centralizadas na Diretoria.

Uma análise a partir dos componentes COSO

Page 63: Controles Internos Uma abordagem da estrutura conceitual COSO

MonitoramentoMonitoramento:: Não há uma unidade de auditoria internaNão há uma unidade de auditoria internacomo há um clima de competição, os gerentes omo há um clima de competição, os gerentes

manipulam as informações sobre resultados atingidos manipulam as informações sobre resultados atingidos em cada uma de suas áreas;em cada uma de suas áreas;

os diretores não supervisionam as atividades de os diretores não supervisionam as atividades de controle dos gerentes a eles vinculados;controle dos gerentes a eles vinculados;

ações corretivas somente são aplicadas quando há ações corretivas somente são aplicadas quando há suspeita de fraude ou dolo, com a demissão sumária.suspeita de fraude ou dolo, com a demissão sumária.

Uma análise a partir dos componentes COSO