Uma abordagem da estrutura conceitual COSO

Apresentação em tema: "Uma abordagem da estrutura conceitual COSO"— Transcrição da apresentação:

1 Uma abordagem da estrutura conceitual COSO
Controles Internos Uma abordagem da estrutura conceitual COSO

2 Introdução Segundo o “American Institute of Certified Public Accountants – AICPA” (1947), a importância dos controles internos relacionava-se a: Extensão, tamanho e complexidade das organizações Necessidade de proteção contra fraquezas humanas Limitação da capacidade operacional da Auditoria Independente

3 Introdução Em 1987, a “National Comission on Fraudulent Financial Reporting” registra em seu relatório que: A visão da administração sobre “controles internos” influencia o comportamento de toda a organização Os controles se impõem às companhias abertas, para minimizar a possibilidade de produção de relatórios financeiros fraudulentos

4 Committee of Sponsoring Organizations
COSO Committee of Sponsoring Organizations O que é? Comitê das Organizações Patrocinadoras, da Comissão Nacional sobre Fraudes em Relatórios Financeiros. Objetivo Visa o aperfeiçoamento da qualidade de relatórios financeiros por meio de éticas profissionais, implementação de controles internos e governança corporativa. Criada em 1985, é uma entidade do setor privado – ou seja, foi uma iniciativa do setor privado, independente –, sem fins lucrativos, voltada para o aperfeiçoamento da qualidade de relatórios financeiros, principalmente para estudar as causas da ocorrência de fraudes em relatórios financeiros.

5 Organizações Patrocinadoras

6 1 – eficácia e eficiência das operações;
Controles Internos Processo conduzido pela Diretoria, Conselhos ou outros empregados de uma companhia, no intuito de fornecer uma garantia razoável de que os objetivos da entidade estão sendo alcançados, com relação às seguintes categorias: 1 – eficácia e eficiência das operações; 2 – confiabilidade dos relatórios financeiros; e 3 – conformidade com a legislação e regulamentos aplicáveis. Ações que permeiam a infra-estrutura de uma entidade e a ela se integram; Resultado da interação de pessoas em todos os níveis da organização; fornecem apenas segurança razoável, e não absoluta, à administração e ao conselho de administração; vinculam-se à consecução de objetivos nas três categorias (relatórios financeiros, conformidade e operações); e São respostas a riscos identificados.

7 ERROS DE JULGAMENTO: na tomada de decisões
Limitações do CI ERROS DE JULGAMENTO: na tomada de decisões FALHAS: falta de cuidado, distração ou cansaço CONLUIO: difícil detecção CUSTO X BENEFÍCIO: custo não pode ser maior que o benefício EVENTOS EXTERNOS: imprevisibilidade

8 “Controle Interno: um modelo integrado”.
COSO “Controle Interno: um modelo integrado”. Em 1992 o “Comittee of Sponsoring Organizations - COSO” propõe um padrão de entendimento, avaliação e aperfeiçoamento de controles internos, em cinco componentes: 1 – Ambiente de Controle 2 – Avaliação de Riscos 3 – Atividades de Controle 4 – Informações e Comunicações 5 – Monitoramento.

9 CUBO DO COSO

10 COMPONENTES DO COSO Ambiente de Controle Avaliação de Riscos
Dá o “ritmo” da organização, influenciando a consciência de controle das pessoas que nela trabalham. Base dos demais componentes. Ambiente de Controle Identificação e análise dos riscos relevantes para a consecução dos objetivos. Avaliação de Riscos Políticas e procedimentos para assegurar que as diretrizes sejam seguidas. Atividades de Controle Identificação, captura e troca de informações. Informação e Comunicação Processo que avalia a qualidade do desempenho dos controles internos. Monitoramento

11 Controles Internos e Gerenciamento de Riscos
Enquanto o COSO I aborda a estrutura de controles internos de uma organização, o COSO II aborda o paradigma de Gestão de Riscos, ambos por meio da proposição de um Modelo Integrado.

12 O modelo COSO I tornou-se referência mundial, por:
Uniformizar definições de controle interno; Definir componentes, objetivos e objetos do controle interno em um modelo integrado; Delinear papéis e responsabilidades da administração; Estabelecer padrões para implementação e validação; Criar um meio para monitorar, avaliar e reportar controles internos.

13 COSO I X COSO II Estratégico Atividades 13

14 COSO II – Enterprise Risk Management Integrated Framework (ERM)
14

15 COSO II – 1ª Dimensão – Objetivos
OBJETIVOS DA INSTITUIÇÃO Estratégia Operações Relatórios Conformidade 15

16 COSO II – 2ª Dimensão – Componentes da Metodologia
Ambiente Interno Definição de Objetivos Identificação de Eventos Avaliação do Risco Resposta ao Risco Atividades de Controle Informação e Comunicação Monitoramento Componentes 16

17 COSO II – 2ª Dimensão – Componentes
17

18 COSO II – 2ª Dimensão – Componentes
18

19 COSO II – 2ª Dimensão – Componentes
19

20 COSO II – 3ª Dimensão – Objetos de Controle
NÍVEL DA ORGANIZAÇÃO Subsidiária Unidade de Negócio Divisão Nível da Entidade Objetos 20

21 COSO II – 3ª Dimensão – Objetos de Controle
Os controles devem atuar sobre todos os níveis da entidade. Em cada processo existem riscos potenciais e os controles devem sempre estar presentes para mitigar estes riscos independente de onde eles possam ocorrer A metodologia do COSO II é aplicável a qualquer setor da organização, pois é focada em riscos dos processos e não em tarefas ou departamentos isolados. 21

22 COSO II – Dimensões (Tradução)
Objetivos Objetos - Níveis da organização Componentes 22

23 Componentes do COSO

24 Ambiente de Controle Dá o tom de uma organização
Influencia a consciência de controle das pessoas Fornece disciplina e estrutura

25 Ambiente de controle - elementos
Integridade e valores éticos e Filosofia/estilo da administração: exemplo, comunicação, orientação moral, padrão de relacionamento com principais executivos (formal/informal), grau de participação dos funcionários na elaboração de procedimentos Comprometimento com competência: meritocracia? Qualidade e independência das instâncias de governança (Conselho de Adm e Comitê de Auditoria) Estrutura Organizacional – Autoridade x Responsabilidade (grau de assimetria e accountability) Práticas de RH (treinamentos, avaliação periódica de desempenho, ações disciplinares)

26 Como avaliar o Ambiente de controle
Existe código formalizado de ética/conduta? Se o funcionário agir em desrespeito ao código de conduta, são tomadas medidas disciplinares e/ou punitivas? Há mecanismos de participação dos servidores na elaboração das regras de conduta? As competências e as atribuições estão adequadamente previstas no Regimento Interno da organização? Os níveis individuais de autoridade, de responsabilidade e de prestação de contas são claramente estabelecidos? Existem procedimentos e/ou instruções de trabalho padronizados? As decisões críticas são definidas no nível hierárquico adequado? O Regimento Interno trata adequadamente essa questão?

27 Como avaliar o Ambiente de controle
As pessoas são questionadas por comportamento inapropriado, por aceitação excessiva de riscos ou por serem excessivamente avessas ao risco? Os funcionários conhecem suas responsabilidades, a função de seus serviços e o padrão de conduta e ética a serem seguidos? São tomadas as ações corretivas devidas, quando o funcionário não age de acordo com os padrões de conduta e de comportamento esperados ou conforme as políticas e procedimentos recomendados? Na estrutura implantada foi observada uma adequada segregação de funções, de forma a evitar funções conflitantes exercidas por um mesmo setor ou por uma mesma pessoa? A dotação de pessoal é suficiente, não comprometendo a qualidade dos trabalhos?

28 Como avaliar o Ambiente de controle
Os procedimentos e rotinas pertinentes à execução da atividade auditada estão adequadamente formalizados? Os gestores, em particular, e os funcionários, de uma forma geral, possuem o necessário conhecimento, experiência e treinamento para cumprir suas obrigações? A Política de Investimento está formalizada? As normas contemplam aspectos de controle de acesso a bens, a documentos, a informações e a registros, informatizados ou não?

29 Componentes do COSO

30 Avaliação de Risco Identificação, análise e administração dos riscos relevantes Em decorrência de: Alterações operacionais Rotatividade de pessoal Atividades ou produtos novos Reestruturações corporativas Novos Sistemas de Informações

31 Avaliação de Risco Cada objetivo operacional, do nível mais alto (como “dirigir uma companhia lucrativa”) ao mais baixo (como “salvaguardar caixa”), deve ser documentado Cada risco que possa prejudicar ou impedir o alcance do objetivo é identificado e priorizado

32 Avaliação de Risco É a identificação e análise dos riscos relevantes para o alcance dos objetivos e metas da entidade, com vistas a dar a resposta apropriada. Risco: evento futuro e incerto que, caso ocorra, pode impactar negativamente o alcance dos objetivos da organização. Os riscos são analisados e mensurados considerando-se a sua probabilidade e o impacto como base para determinar o modo pelo qual deverão ser geridos. Estimativa da Probabilidade e do Impacto Fontes de dados: eventos passados observáveis Técnicas de Avaliação: quantitativas e qualitativas Relações entre eventos A organização considera até que ponto eventos em potencial podem impactar a realização dos objetivos. A administração avalia e mensura os eventos com base em duas perspectivas – probabilidade e impacto – e, geralmente, utiliza uma combinação de métodos qualitativos e/ou quantitativos associados.

33 Avaliação de Risco Decidir sobre ações em resposta a esses riscos Avaliar a probabilidade de sua ocorrência Estimar a significância dos riscos Identificar riscos de negócio relevantes para os objetivos da organização Atividade contínua e interativa em toda a entidade.

34 Resposta a Riscos Suspensão das atividades.
Evitar Suspensão das atividades. Reduzir Adoção de procedimentos de controle para minimizar a probabilidade e/ou o impacto do risco. Compartilhar Redução da probabilidade ou do impacto. Aceitar Não adotar medidas mitigadoras. 3 - : terceirização de atividades, contratação de seguros, etc. Para cada risco identificado, será prevista uma resposta, que pode ser de 4 tipos Avaliação das possíveis respostas: - EVITAR - REDUZIR - COMPARTILHAR - ACEITAR Respostas selecionadas Visão de Portfólio Evitar – Descontinuação das atividades que geram os riscos. Evitar riscos pode implicar a descontinuação de uma linha de produtos, o declínio da expansão em um novo mercado geográfico ou a venda de uma divisão. Reduzir – São adotadas medidas para reduzir a probabilidade ou o impacto dos riscos, ou, até mesmo, ambos. Tipicamente, esse procedimento abrange qualquer uma das centenas de decisões do negócio no dia-a-dia. Compartilhar – Redução da probabilidade ou do impacto dos riscos pela transferência ou pelo compartilhamento de uma porção do risco. As técnicas comuns compreendem a aquisição de produtos de seguro, a realização de transações de headging ou a terceirização de uma atividade. Aceitar – Nenhuma medida é adotada para afetar a probabilidade ou o grau de impacto dos riscos. Evitar – Uma organização sem fins lucrativos identificou e avaliou os riscos de fornecer serviços médicos diretos aos seus membros e decidiu, desse modo, não aceitar os riscos associados. Reduzir – Uma Companhia avaliou o risco de seus sistemas permanecerem inoperantes por um período superior a três horas. A Companhia investiu em tecnologia no aprimoramento de sistemas de auto-detecção de falhas e sistemas de back-up para reduzir a probabilidade de indisponibilidade do sistema. Compartilhar – Uma universidade avaliou os riscos associados com a administração de seus dormitórios de estudantes e concluiu que não possuía os requisitos necessários para administrar eficazmente essas grandes propriedades residenciais. Terceirizou a administração do dormitório a uma empresa de administração de patrimônio, a fim de apresentar melhores condições de reduzir o impacto e a probabilidade de riscos relacionados com a propriedade. Aceitar – Um órgão do governo identificou e avaliou os riscos de incêndio de sua infraestrutura por meio de diversas regiões geográficas e o custo de compartilhar o impacto de seu risco mediante cobertura de seguro. O órgão concluiu que o custo adicional dos seguros e os dedutíveis associados ultrapassavam o custo provável de substituição e decidiram aceitar esse risco.

35 Resposta a Riscos Impacto Probabilidade Alto Impacto /
Baixa Probabilidade Compartilhar Alto Impacto / Alta Probabilidade Evitar Compartilhar Reduzir Impacto Baixo Impacto / Baixa Probabilidade Aceitar Baixo Impacto / Alta Probabilidade Reduzir Probabilidade

36 Tolerância a riscos Alta tolerância a riscos Baixa tolerância a riscos
Objetivo Apetite a risco: quantidade de risco que a organização está disposta a aceitar na busca de sua missão\visão

37 Como avaliar o processo de Avaliação de Riscos?
Os objetivos centrais são claramente estabelecidos e comunicados aos responsáveis por esses objetivos? Os objetivos contemplam os aspectos de efetividade e de eficiências das operações, de confiabilidade nos relatórios financeiros e/ou gerenciais e de conformidade em relação às leis e normativos aplicáveis? Os objetivos da atividade estão ligados aos objetivos da organização e aos planos estratégicos? Os objetivos e os riscos da atividade são revisados periodicamente para garantir sua permanente relevância? Existem mecanismos para prever, para identificar e para reagir a eventos que possam afetar o alcance dos objetivos?

38 Como avaliar o processo de Avaliação de Riscos?
Os riscos e as oportunidades são tratados em nível suficientemente alto na organização, de modo a que suas implicações sejam integralmente identificadas e planos de ação sejam formulados e cumpridos? As decisões de resposta ao risco são tomadas por quem tem competência para tal e, quando pertinente, são formalizadas? O risco residual assumido é compatível com os parâmetros institucionais? Os indicadores de desempenho importantes para o alcance dos objetivos são identificados e monitorados? A evolução dos indicadores de desempenho é acompanhada pelo diretor da área, por meio de relatórios específicos?

39 Componentes do COSO

40 Atividades de Controle
Atividades que, quando executadas a tempo e maneira adequados, permitem a redução ou administração dos riscos.

41 Atividades de Controle
São as políticas e procedimentos que contribuem para assegurar se: os objetivos estão sendo alcançados; as diretrizes administrativas estão sendo cumpridas; estão sendo realizadas as ações necessárias para gerenciar os riscos com vistas à consecução dos objetvos da entidade. Se estabelecidas de forma tempestiva e adequada, podem vir a prevenir ou administrar os riscos inerentes ou em potencial da entidade. Não são exclusividade de determinada área da organização, sendo realizadas em todos os níveis.

42 Atividades de Controle - prevenção
Alçadas: são os limites determinados a um funcionário, quanto a possibilidade deste aprovar valores ou assumir posições em nome da instituição. Autorizações: a administração determina as atividades e transações que necessitam de aprovação de um supervisor para que sejam efetivadas. Normatização Interna: é a definição, de maneira formal, das regras internas necessárias ao funcionamento da entidade. As normas devem ser de fácil acesso para os funcionários da organização, e devem definir responsabilidades, políticas corporativas, fluxos operacionais, funções e procedimentos

43 Atividades de Controle - prevenção
Segregação de funções Há a possibilidade de que um indivíduo cometa um erro ou fraude e esteja em posição que lhe permita escondê-lo? Comparação da obrigação contabilizada com os ativos existentes Separação entre custódia e contabilização reduz o risco pois não há como eliminar o registro do ativo Separação de pagamentos e conciliação bancária reduz risco de que pgto com cheque não sejam contabilizados Separação de aprovação de crédito e realização de vendas reduz risco de atingimento de metas “podres”

44 Atividade de Controle – Segregação de Funções
Execução Custódia de Ativos Registro Comparação periódica entre responsabilidade contabilizada e ativos existentes

45 Atividades de Controle - detecção
Conciliação: é a confrontação da mesma informação com dados vindos de bases diferentes, adotando as ações corretivas, quando necessário. Revisões de Desempenho: Acompanhamento de uma atividade ou processo, para avaliação de sua adequação e/ou desempenho, em relação às metas, aos objetivos traçados e aos benchmarks, assim como acompanhamento contínuo do mercado financeiro (no caso de bancos), de forma a antecipar mudanças que possam impactar negativamente a entidade.

46 Atividades de Controle – prevenção e detecção
Segurança Física: proteção do patrimônio e das informações contra uso, compra ou venda não-autorizados, por meio de controle de acessos, controle da entrada e saída de funcionários e materiais, senhas para arquivos eletrônicos, ‘call-back’ para acessos remotos, criptografia e outros. Sistemas Informatizados: controles gerais: aquisição, desenvolvimento e manutenção de programas e sistemas. Exemplos: organização e manutenção dos arquivos de back-up, arquivo de log do sistema, plano de contingência; controles de aplicativos: garantem a integridade e veracidade dos dados e transações.

47 Como avaliar os procedimentos de controle?
Para cada um dos riscos identificados, a administração implementou mecanismos de controle que minimizem a probabilidade de os objetivos da atividade não ser alcançados? As atividades de controle são implementadas de maneira ponderada, consciente e consistente, considerando, entre outras questões, a relação custo/benefício do controle? Para a definição dos controles a serem implementados a administração utiliza algum tipo de benchmark de boas práticas que possam ser aplicados? A administração dispõe de instrumentos que permitam se certificar de que as atividades de controle são adequadas?

48 Como avaliar os procedimentos de controle?
São adotados controles de prevenção e de detecção para garantir que as operações realizadas sejam adequadamente iniciadas, autorizadas, registradas, processadas e divulgadas? Estão previstas rotinas de conformidade, de conferência e de conciliação que garantam a fidedignidade dos registros contábeis? As informações sigilosas, eventualmente tratadas no âmbito da atividade sob exame, têm recebido o tratamento previsto na política de segurança da instituição?

49 Como avaliar os procedimentos de controle?
São adotadas providências para garantir que na realização de procedimentos conflitantes seja observado o princípio da segregação de funções? Há políticas e procedimentos para assegurar que decisões críticas sejam tomadas com aprovação adequada (nível hierárquico)? Para processos críticos existem planos de continuidade instituídos? A organização instituiu mecanismo para acompanhamento contínuo dos indicadores de desempenho?

50 Componentes do COSO

51 Informações e Comunicação
As informações são documentadas e de qualidade As informações são oportunas e precisas A comunicação ocorre em todos os níveis da organização

52 Como avaliar o processo de Informações e Comunicação
O órgão consegue as informações de que necessita de maneira prática e tempestiva? O órgão tem conseguido obter as informações importantes para avaliação dos riscos internos e externos? O órgão tem conseguido obter informações que lhe permitem saber se os objetivos operacionais, de informação e conformidade estão sendo atingidos? O órgão identifica, captura, processa e comunica as informações necessárias a seus clientes e fornecedores em tempo hábil e de maneira prática?

53 Como avaliar o processo de Informações e Comunicação
Todos os funcionários recebem informações quanto às suas tarefas e como elas impactam outros funcionários da própria ou de outras unidades da organização? Há políticas e procedimentos para assegurar que as informações sejam fornecidas tempestivamente, de modo a permitir o efetivo monitoramento dos eventos e atividades? A organização conta com uma estrutura organizacional e de suporte tecnológico que garanta o processamento de dados e a elaboração de informações gerenciais de forma confiável e tempestiva?

54 Como avaliar o processo de Informações e Comunicação
Os sistemas de informática são seguros e confiáveis, contemplando aspectos como: segurança no acesso/identificação; crítica na entrada de dados; procedimentos de backup; e planos de contingência para questões chave? A organização produz e/ou recebe, tempestivamente, informações sobre desempenho? A organização identifica, captura, processa e comunica as informações necessárias ao diretor da área, aos demais componentes administrativos e aos participantes de forma geral em tempo hábil e de maneira prática? Os sistemas informatizados são periodicamente revisados, atualizados e validados, no sentido de garantir a produção de informações adequadas e confiáveis?

55 Componentes do COSO

56 Os controles internos são avaliados
Monitoramento Os controles internos são avaliados Os controles internos têm contribuído para o resultado?

57 Monitoramento Avaliação da qualidade do desempenho dos controles internos ao longo do tempo (arquitetura, prontidão e ações corretivas) Inputs: reclamações de clientes, fornecedores e gerentes Supervisão dos controles internos pela administração, pelos funcionários ou pelas partes externas Avaliações periódicas pela auditoria interna Informações de órgãos de controle, agências reguladoras, auditorias externas, órgãos de supervisão bancária.

58 Como avaliar o processo de monitoramento?
A performance é medida e monitorada numa base regular em comparação aos objetivos da atividade? A administração instituiu a divulgação de relatórios de exceção, para acompanhar as situações que se configurem como “fora dos padrões”? A abrangência e a qualidade dos relatórios periódicos de acompanhamento do controle interno da área de operações são adequadas em relação aos seus propósitos? As deficiências de controle interno identificadas são reportadas tempestivamente ao nível gerencial apropriado ou à alta administração e adequadamente tratadas?

59 Uma análise a partir dos componentes COSO
Ambiente de Controle: firma de natureza familiar; filhos e sobrinhos do fundador (que é o presidente da empresa) são diretores; contratações realizadas a partir de indicações de parentes e amigos; não há ações de desenvolvimento de pessoas; funcionários que não têm relação de parentesco mantêm seus cargos gerenciais a partir da manifestação de lealdade inequívoca ao respectivo diretor, trabalhando até 12 horas por dia.

60 Uma análise a partir dos componentes COSO
Avaliação de risco: um dos diretores é sócio de uma empresa que é uma das principais compradoras da firma; os limites de crédito concedidos aos clientes são deferidos de forma centralizada pelo Presidente da firma; a empresa escreveu seu planejamento estratégico há 4 anos e neste período não foi realizada revisão dos objetivos estratégicos; houve uma elevação da inadimplência nos últimos meses e a firma teve que tomar empréstimo bancário para honrar folha de pagamento; apesar do clima de recessão mundial, a área de vendas tem feito enorme pressão por aumento nas receitas.

61 Uma análise a partir dos componentes COSO
Atividade de Controle: a fim de garantir melhores resultados, a firma contratou um diretor no mercado, que passou a responder pela aprovação do crédito e gerenciamento das vendas; estão em fase de manualização as rotinas relativas à realização de compras pela firma; em função da contratação do novo Diretor Executivo, foi necessário dispensar o gerente de patrimônio. O controle de itens patrimoniais passou a ser realizado pelo Contador.

62 Uma análise a partir dos componentes COSO
Informação e Comunicação: o Presidente reúne-se informalmente com diretores por ele escolhidos, a cada semana; somente os gerentes utilizam correio eletrônico; ainda não foi implantada sistemática de avaliação de desempenho dos funcionários; as informações são centralizadas na Diretoria.

63 Uma análise a partir dos componentes COSO
Monitoramento: Não há uma unidade de auditoria interna como há um clima de competição, os gerentes manipulam as informações sobre resultados atingidos em cada uma de suas áreas; os diretores não supervisionam as atividades de controle dos gerentes a eles vinculados; ações corretivas somente são aplicadas quando há suspeita de fraude ou dolo, com a demissão sumária.