coso professor marcelo spilki · • componentes (o que é necessário para alcançá-los); e •...

www.acasadoconcurseiro.com.br

Auditoria

COSO

Professor Marcelo Spilki

www.acasadoconcurseiro.com.br 3

Auditoria

COSO

• EUA 1985 - iniciativa independente do setor privado criou a National Commission on Frau-dulent Financial Reporting (Comissão Nacional sobre Fraudes em Relatórios Financeiros), também conhecida como Treadway Commission

• Finalidade: estudar causas da ocorrência de fraudes em relatórios financeiros e contábeis e propor recomendações para empresas públicas e seus auditores independentes e para as instituições educativas

• Patrocinada por cinco grandes associações de profissionais de classe ligadas à área finan-ceira, totalmente independentes de suas entidades patrocinadoras:

→ AICPA - American Institute of Certified Public Accounts (Instituto Americano de Contadores Públicos Certificados)

→ AAA - American Accounting Association (Associação Americana de Contadores)

→ FEI - Financial Executives Internacional (Executivos Financeiros Internacionais)

→ IIA - The Institute of Internal Auditors (Instituto dos Auditores Internos)

→ IMA - Institute of Management Accountants (Instituto dos Contadores Gerenciais)

• Posteriormente, esta Comissão transformou-se em Comitê, conhecido como COSO – The Committee of Sponsoring Organizations of the Treadway Commission

• Organização americana não governamental cujo objetivo é promover a qualidade de rela-tórios contábeis por meio da gestão ética, de controles internos efetivos e da governança corporativa

http://www.acasadoconcurseiro.com.br

www.acasadoconcurseiro.com.br4

COSO I – Internal Control – Integrated Framework (Controle Interno – Estrutura Integrada) (1992) apresentou ferramentas para implementação e avaliação de controles internos, con-templando a gestão de riscos como parte de seus componentes.

Controle interno: “processo conduzido pela alta administração, gerência e demais colaborado-res, com a finalidade de promover razoável segurança quanto ao atingimento dos objetivos nas seguintes categorias:

• eficácia e eficiência operacional

• confiabilidade das informações financeiras

• conformidade com as leis e regulamentos”

Conceitos-chave:

• O Controle Interno é um processo que se destina a um objetivo (fim). Não é um fim em si mesmo.

• Controles internos são exercidos por pessoas. Não é meramente um conjunto de manuais, políticas e formulários, mas pessoas em todos os níveis de uma organização

• O que se espera do Controle Interno é que ele traga razoável segurança, e não absoluta, para a alta administração, acionistas e stakeholders

• O Controle Interno é orientado para atingir os objetivos em uma ou mais categorias, que, embora segregadas, se relacionam

Segundo o modelo COSO, o Controle Interno compreende 5 componentes inter-relacionados:

• ambiente de controle: estabelece o perfil de uma organização, influenciando na consciência das pessoas acerca do controle. Fornece o conjunto de regras e a estrutura de controle. Seus elementos são:

• integridade pessoal e valores éticos da direção e do quadro de pessoal

• competência

• filosofia da direção


Auditoria – COSO – Prof. Marcelo Spilki


• estrutura organizacional

• políticas e práticas de recursos humanos

• avaliação de risco: processo de identificação e análise dos riscos relevantes. Envolve:

• identificação do risco

• mensuração do risco (impacto e probabilidade)

• avaliação da tolerância ao risco

• desenvolvimento de respostas (riscos podem ser transferidos, tolerados ou minimiza-dos, mas sempre haverá um risco residual)

• procedimentos de controle: políticas e ações para diminuir riscos e alcançar os objetivos da entidade. Exemplos:

• procedimentos de autorização e aprovação;

• segregação de funções;

• controles de acessos a recursos e registros;

• verificações;

• conciliações;

• avaliação de desempenho operacional (eficácia e eficiência);

• avaliação das operações, processos e atividades;

• supervisão (alocação, revisão e aprovação, orientação e capacitação)

• informação e comunicação: a informação relevante deve ser identificada, armazenada e comunicada. A comunicação deve fluir para baixo, para cima e através da organização, por todos os seus componentes

• monitoramento: avaliação da qualidade dos controles ao longo do tempo por monitora-mento contínuo e avaliações específicas

Categorias de Objetivos:

• Operacional: eficácia e eficiência das operações, incluindo desempenho financeiro, opera-cional e proteção contra perdas de ativos

• Relatórios financeiros: confiabilidade, tempestividade

• Conformidade (compliance): aderência a leis e regulamentos aos quais a organização está sujeita



Cubo do COSO I: OBJETIVOS

Existe uma relação intrínseca entre:

• objetivos (o que a organização pretende alcançar);

• componentes (o que é necessário para alcançá-los); e

• estrutura organizacional (onde eles se materializam).

COSO III (atualização do COSO I – 2013):

• Transformação de conceitos fundamentais trazidos pela Estrutura original em 17 princípios, que são associados aos 5 componentes e que proporcionam ao usuário clareza no desenvolvimento e na implementação dos sistemas de controle interno, além de compreensão dos requisitos de um controle interno eficaz

• Ampliação da categoria de objetivos de divulgação financeira, incluindo outros formatos de divulgação, como as internas e não financeiras

• Considerações sobre as muitas mudanças nos ambientes operacionais e corporativos durante as últimas décadas, inclusive:

• Expectativas em relação à supervisão da governança

• Globalização dos mercados e das operações

• Mudanças nos negócios e maior complexidade

• Demandas e complexidades nas leis, regras, regulamentações e normas




• Expectativas em relação a competências e responsabilidades pela prestação de contas (ac-countability)

• Uso de tecnologias em transformação e confiança nas mesmas.

• Expectativas em relação à prevenção e detecção de fraudes.

Princípios (17)

• representam conceitos fundamentais

• associados a cada componente

Ambiente de controle

1. A organização demonstra ter comprometimento com a integridade e os valores éticos

2. A estrutura de governança demonstra independência em relação aos seus executivos e su-pervisiona o desenvolvimento e o desempenho do controle interno

3. A administração estabelece, com a supervisão da estrutura de governança, as estruturas, os níveis de subordinação e as autoridades e responsabilidades adequadas na busca dos objetivos

4. A organização demonstra comprometimento para atrair, desenvolver e reter talentos com-petentes, em linha com seus objetivos

5. A organização faz com que as pessoas assumam responsabilidade por suas funções de con-trole interno na busca pelos objetivos

Avaliação de riscos

6. A organização especifica os objetivos com clareza suficiente, a fim de permitir a identifica-ção e a avaliação dos riscos associados aos objetivos

7. A organização identifica os riscos à realização de seus objetivos por toda a entidade e anali-sa os riscos como uma base para determinar a forma como devem ser gerenciados

8. A organização considera o potencial para fraude na avaliação dos riscos à realização dos objetivos

9. A organização identifica e avalia as mudanças que poderiam afetar, de forma significativa, o sistema de controle interno

Informação e comunicação

13. A organização obtém ou gera e utiliza informações significativas e de qualidade para apoiar o funcionamento do controle interno

14. A organização transmite internamente as informações necessárias para apoiar o funciona-mento do controle interno, inclusive os objetivos e responsabilidades pelo controle



15. A organização comunica-se com os públicos externos sobre assuntos que afetam o funcio-namento do controle interno

Atividades de monitoramento

16. A organização seleciona, desenvolve e realiza avaliações contínuas e/ou independentes para se certificar da presença e do funcionamento dos componentes do controle interno

17. A organização avalia e comunica deficiências no controle interno em tempo hábil aos res-ponsáveis por tomar ações corretivas, inclusive a estrutura de governança e alta adminis-tração, conforme aplicável

COSO II

Contexto:

• Final anos 1990- início dos anos 2000 - escândalos corporativos de manipulação de de-monstrações contábeis nos Estados Unidos

• Congresso e governo americano agiram de forma rápida, promulgando em 23 de janeiro de 2002 a Lei Sarbanes-Oxley (Lei contra fraude corporativa)

• destaca a equidade nos direitos e obrigações

• aumentou o grau de responsabilidade desde a alta direção da empresa até as audito-rias internas, externas e assessores jurídicos

• Introduziu regras rígidas de governança corporativa, buscando maior transparência e confiabilidade nos resultados das organizações

• resultado: maior independência dos órgãos de auditoria

COSO II – Enterprise Risk Management – Integrated Framework (Gerenciamento de Riscos Corporativos – Estrutura Integrada) (2004)

O controle interno é apresentado como parte do gerenciamento de riscos corporativos e as atividades de gestão de riscos são expandidas para todas as áreas da organização, e não só àquelas responsáveis pelas demonstrações contábeis

O gerenciamento de riscos corporativos é constituído de 8 componentes inter-relacionados

e integrados ao processo de gestão

Premissa Inerente ao Gerenciamento de Riscos Corporativos

• Toda organização existe para gerar valor às partes interessadas

• Organizações enfrentam incertezas, e o desafio dos administradores é determinar até que ponto aceita-las, assim como definir como elas podem interferir na geração de valor

• Incertezas representam riscos e oportunidades, com potencial para destruir ou agregar valor




• O gerenciamento de riscos corporativos possibilita tratar incertezas (riscos/oportunida-des) com eficácia a fim de melhorar a capacidade de gerar valor

• O valor é maximizado quando a organização estabelece estratégias e objetivos para alcan-çar o equilíbrio ideal entre metas de crescimento e de retorno de investimentos e riscos a elas associados, e para explorar os seus recursos com eficácia e eficiência na busca dos objetivos da organização

O gerenciamento de riscos corporativos tem por finalidade:

• Alinhar o apetite a risco com a estratégia adotada –avaliação do apetite a risco ao analisar as estratégias, definindo objetivos e desenvolvendo mecanismos para gerenciar riscos

• Fortalecer as decisões em resposta aos riscos – identificação e seleção de alternativas de respostas aos riscos (evitar, reduzir, compartilhar, aceitar)

• Reduzir as surpresas e prejuízos operacionais –identificar eventos em potencial e estabe-lecer respostas, reduzindo surpresas e custos ou prejuízos associados

• Identificar e administrar riscos múltiplos e entre empreendimentos –resposta eficaz a im-pactos inter-relacionados e, também, respostas integradas aos diversos riscos

• Aproveitar oportunidades –posicionamento para identificar e aproveitar oportunidades de forma proativa

• Otimizar o capital – a obtenção de informações adequadas a respeito de riscos possibilita uma avaliação eficaz das necessidades de capital como um todo e aprimorar sua alocação

→ Em suma, o gerenciamento de riscos corporativos ajuda a organização a atingir seus objeti-vos e a evitar os perigos e surpresas em seu percurso

Eventos – Riscos e Oportunidades

• Eventos podem gerar impacto negativo, positivo ou ambos

• Os que geram impacto negativo representam riscos que podem impedir a criação de valor ou destruir o valor existente

• Os de impacto positivo podem contrabalançar os de impacto negativo ou podem represen-tar oportunidades , que por sua vez representam a possibilidade de um evento ocorrer e influenciar favoravelmente a realização dos objetivos, apoiando a criação ou a preservação de valor

• A direção canaliza as oportunidades para seus processos de elaboração de estratégias ou objetivos, formulando planos que visam ao seu aproveitamento

Definição de Gerenciamento de Riscos Corporativos

“Processo conduzido em uma organização pelo conselho de administração, diretoria e demais empregados, aplicado no estabelecimento de estratégias formuladas para identificar em toda a organização eventos em potencial capazes de afetá-la, e administrar os riscos de modo a mantê-los compatíveis com o apetite a risco da organização e possibilitar garantia razoável do cumprimento dos seus objetivos.”



Assim, o gerenciamento de riscos corporativos é:

• um processo contínuo e que flui através da organização

• conduzido pelos profissionais em todos os níveis da organização

• aplicado à definição das estratégias

• aplicado em toda a organização, em todos os níveis e unidades, e inclui a formação de uma visão de portfólio de todos os riscos a que ela está exposta

• formulado para identificar eventos em potencial, cuja ocorrência poderá afetar a organiza-ção, e para administrar os riscos de acordo com seu apetite a risco

• capaz de propiciar garantia razoável para o conselho de administração e a diretoria execu-tiva de uma organização

• orientado para a realização de objetivos em uma ou mais categorias distintas, mas depen-dentes

Realização de Objetivos

Com base na missão ou visão estabelecida pela organização, a administração estabelece os planos principais, seleciona as estratégias e determina o alinhamento dos objetivos nos níveis da organização

Essa estrutura de gerenciamento de riscos corporativos é orientada a fim de alcançar os objeti-vos de uma organização e são classificados em quatro categorias:

• Estratégicos – metas gerais, alinhadas com sua missão

• Operaçionais – utilização eficaz e eficiente dos recursos

• Comunicação – confiabilidade de relatórios

• Conformidade – cumprimento de leis e regulamentos aplicáveis

→ Essas categorias se inter-relacionam, já que determinado objetivo pode ser classificado em mais de uma categoria, tratam de necessidades diferentes da organização e podem permane-cer sob a responsabilidade direta de diferentes executivos

→ Essa classificação também permite diferenciar o que pode ser esperado de cada categoria de objetivos. A salvaguarda dos recursos, outra categoria utilizada por algumas organizações, também é descrita

Componentes do COSO II:

• Ambiente Interno – o ambiente interno compreende o tom de uma organização e fornece a base pela qual os riscos são identificados e abordados pelo seu pessoal, inclusive a filoso-fia de gerenciamento de riscos, o apetite a risco, a integridade e os valores éticos, além do ambiente em que estes estão

• Fixação de Objetivos – os objetivos devem existir antes que a administração possa iden-tificar os eventos em potencial que poderão afetar a sua realização. O gerenciamento de riscos corporativos assegura que a administração disponha de um processo implementado




para estabelecer os objetivos que propiciem suporte e estejam alinhados com a missão da organização e sejam compatíveis com o seu apetite a riscos

• Identificação de Eventos – os eventos internos e externos que influenciam o cumprimento dos objetivos de uma organização devem ser identificados e classificados entre riscos e oportunidades. Essas oportunidades são canalizadas para os processos de estabelecimento de estratégias da administração ou de seus objetivos

• Avaliação de Riscos – os riscos são analisados, considerando-se a sua probabilidade e o impacto como base para determinar o modo pelo qual deverão ser administrados. Esses riscos são avaliados quanto à sua condição de inerentes e residuais

Componentes do COSO II:

• Resposta a Risco – a administração escolhe as respostas aos riscos - evitando, aceitando, reduzindo ou compartilhando - desenvolvendo uma série de medidas para alinhar os riscos com a tolerância e com o apetite a risco

• Atividades de Controle – políticas e procedimentos são estabelecidos e implementados para assegurar que as respostas aos riscos sejam executadas com eficácia

• Informações e Comunicações – as informações relevantes são identificadas, colhidas e co-municadas de forma e no prazo que permitam que cumpram suas responsabilidades. A comunicação eficaz também ocorre em um sentido mais amplo, fluindo em todos níveis da organização

• Monitoramento – a integridade da gestão de riscos corporativos é monitorada e são feitas as modificações necessárias. O monitoramento é realizado através de atividades gerenciais contínuas ou avaliações independentes ou de ambas as formas

A rigor, o gerenciamento de riscos corporativos não é um processo em série pelo qual um com-ponente afeta apenas o próximo. É um processo multidirecional e interativo segundo o qual quase todos os componentes influenciam os demais

• Existe um relacionamento direto entre os objetivos de uma organização e os componentes do gerenciamento de riscos corporativos, que representam aquilo que é necessário para o seu alcance, apresentado em uma matriz tridimensional em forma de cubo



COSO ERM – Integrating with Strategy and Performance (Gerenciamento de Riscos Corpora-tivos – Integrado com Estratégica e Performance)(2017):

Contexto:

• Em uma década a complexidade dos riscos mudou e surgiram novos riscos

• Demanda pelo aperfeiçoamento dos processos de divulgação dos riscos

• Evolução do GRC

• Importância de se considerar os riscos na definição de estratégias e na melhoria da perfor-mance

A atualização:

• Elucida o valor do GRC ao estabelecer e executar uma estratégia

• Intensifica o alinhamento entre performance e GRC para aperfeiçoar a definição de metas e entendimento do impacto do risco sobre a performance

• Contempla expectativas relativas a governança e supervisão

• Reconhece globalização dos mercados e necessidade de abordagem comum

• Traz novas interpretações de riscos face maior complexidade de negócios

• Amplia divulgação de riscos para maior transparência

• Contempla tecnologias evolutivas

• Estabelece definições básicas, componentes e princípios para todos os níveis da organização envolvidos em desenho, implementação e execução do GRC

→ Estabelece um guia para o conselho (de administração) supervisionar o GRC

→ Atualiza os benefícios do GRC:

• Aumento do leque de oportunidades

• Identificação e gestão do risco na entidade como um todo

• Aumento dos resultados positivos e da vantagem com a diminuição das surpresas negativas

• Diminuição da oscilação da performance üMelhor distribuição de recursos üAumento da resiliência da empresa

→ Destaca 2 aspectos do GRC que podem ter grande efeito sobre o valor da entidade:

• Possibilidade de desalinhamento entre estratégia e missão, visão e valores

• Implicações da estratégia escolhida

• O GRC envolve tanto entender as implicações da estratégia e a possibilidade de seu eventu-al desalinhamento quanto gerenciar riscos associados aos objetivos do negócio




• O Framework é um conjunto de 20 princípios organizados em 5 componentes inter- relacio-nados, conforme a figura a seguir:

Componentes:

• Governança e Cultura

• Estratégia e Definição de Objetivos

• Performance

• Análise e Revisão

• Informação, Comunicação e Divulgação

Princípios por componente:


coso professor marcelo spilki · • componentes (o que é necessário para alcançá-los); e •...

Documents