Seo 404 da Lei Sarbanes-Oxley: Certificao dos Controles Internos pela Administrao

Respostas s perguntas mais frequentes

ADVISORY

SARBANES-OXLEY SECTION 404

Sumrio
3 Introduo

Estabelecendo um Roteiro para a Administrao

5 5

Perguntas e Respostas Seo I: Planejamento e Determinao do Escopo 10 Seo II: Documentao e Avaliao do Desenho e da Eficcia Operacional dos Controles 15 Seo III: Identificao, Avaliao e Correo das Deficincias 18 Seo IV: Relatrio sobre os Controles Internos

19 Concluso

SARBANES-OXLEY SECTION 404

Introduo
A KPMG LLP preparou e colocou este documento disposio da administrao, dos membros dos comits de auditoria e dos profissionais envolvidos com o cumprimento da Seo 404 (SOX 404) da Lei Sarbanes-Oxley (SOX). Seu objetivo ajudar a esclarecer uma srie de questes importantes relacionadas ao processo de certificao da administrao conforme requerido pela SOX 404. Especificamente, este documento tem como objetivo responder s perguntas mais freqentes, oferecendo orientaes gerais que podem ser utilizadas pela administrao no planejamento e na avaliao da eficcia dos controles internos relacionados elaborao das demonstraes financeiras. importante que os leitores entendam que a administrao responsvel pelo cumprimento das disposies da Lei Sarbanes-Oxley e, mais especificamente, da Seo 404. A administrao deve consultar seus advogados, auditores e outros profissionais que julgarem necessrios, com o objetivo de satisfazer essas obrigaes. Este documento apresenta somente uma discusso geral dos assuntos abordados e no deve ser entendido como um guia para nenhuma empresa em particular, pois sua abordagem no considera fatos ou circunstncias particulares, os quais podem variar significativamente de empresa para empresa. Algumas das discusses aqui apresentadas baseiam-se em perguntas e respostas emitidas por profissionais da Chief Accountant and Division of Corporation Finance da Securities and Exchange Comission (SEC) e pela equipe dp Public Company Accounting Oversight Board (PCAOB). Pontos de vista e opinies das equipes da SEC e do PCAOB podem alterarse no futuro. importante destacar a natureza evolutiva dessa discusso. Um exemplo disso ocorreu quando este documento estava sendo finalizado. Inclusive, resultou em uma edio revisada do conjunto de perguntas e respostas da equipe da SEC e em um adendo s perguntas e respostas da equipe do PCAOB. Essas perguntas e respostas recentemente publicadas fornecem esclarecimentos adicionais sobre questes relacionadas aos seguintes assuntos, entre outros: O escopo dos controle internos referentes aos relatrios financeiros no aspecto do cumprimento das leis e dos regulamentos; O efeito resultante da inexistncia de um relatrio do Tipo II de uma prestadora de servios, nos termos da SAS 70 (Statement on Auditing Standards do AICPA), sobre o processo de avaliao da administrao e sobre o parecer do auditor independente; e Os procedimentos de walk-through, a serem aplicados pelo auditor independente, para as principais classes de transaes processadas por uma prestadora de servios (service organization). Revises contnuas como estas reforam a nossa recomendao para que as empresas trabalhem de forma articulada com os seus advogados, os seus auditores independentes e outros consultores para avaliar o impacto potencial destas, ou de quaisquer outras futuras alteraes ou atualizaes, considerando as circunstncias especficas de cada empresa.

SARBANES-OXLEY SECTION 404

Estabelecendo um Roteiro para a Administrao

A Lei Sarbanes-Oxley de 2002 (SOX) mudou significativamente a viso sobre Governana Corporativa. Muitas organizaes esto, neste momento, planejando e implementando processos que as auxiliaro na avaliao sobre a eficcia dos seus controles internos relacionados elaborao de suas demonstraes financeiras (Internal Control Over Financial Reporting ICOFR). O ponto crtico desse processo tem sido tentar antecipar e discutir as questes e preocupaes que poderiam emergir medida que a administrao se prepara para a auditoria independente desse processo (auditoria do ICOFR). Recentemente, a SEC e o PCAOB forneceram orientao adicional s empresas abertas nos Estados Unidos e aos seus respectivos auditores independentes sobre alguns desses pontos. Usando essas orientaes com a experincia adquirida pela administrao, podemos comear a identificar e discutir algumas das questes e dos pontos que a administrao deve enfrentar. Neste documento que faz parte do nosso compromisso permanente de oferecer suporte s empresas para que estas se mantenham atualizadas sobre esse processo e o seu respectivo ponto crtico discutimos uma srie de questes, muitas das quais talvez a administrao j tenha observado. Discutimos, tambm, diretrizes gerais que a administrao pode utilizar como ponto de partida para solucionar as questes que possam surgir medida que desenvolve e implementa seu prprio processo de avaliao. Entendendo os Papis: a Administrao e o Auditor Independente A Administrao responsvel pela emisso de um relatrio sobre controles internos, no relatrio anual da Empresa, que: Afirme ser responsabilidade da Administrao o estabelecimento e a manuteno de uma estrutura e procedimentos de controles internos adequados para a elaborao das demonstraes financeiras; e Contenha uma avaliao, ao final do mais recente exerccio social, sobre a eficcia da estrutura e dos procedimentos de controles internos para a elaborao das demonstraes financeiras da Empresa. O auditor independente responsvel por avaliar e atestar sobre a avaliao elaborada pela administrao da empresa emissora. Para que o auditor independente execute satisfatoriamente uma auditoria dos controles internos relacionados s demonstraes financeiras, a administrao deve cumprir algumas responsabilidades, incluindo: Assumir a responsabilidade pela efetividade do ICOFR da empresa Avaliar a efetividade do ICOFR da empresa, apoiando-se nas melhores prticas de controles internos, tais como os critrios do Committee of Sponsoring Organizations of the Treadway Commission (COSO); Suportar a sua avaliao com base em evidncia suficiente, inclusive documentao Apresentar uma avaliao formal sobre a eficcia do ICOFR ao final do mais recente exerccio social (a partir de 15 de novembro de 2004, para as empresas abertas norte-americanas, e de 15 de julho de 2006, para as empresas estrangeiras, ambas dentro do conceito de accelerated filers). A administrao cumpre essas responsabilidades ao adotar um enfoque abrangente que inclui um completo planejamento e uma avaliao de seu sistema de controles internos. A administrao deve documentar os controles internos da empresa e testar a sua eficcia. importante que a administrao realize esse processo em tempo hbil para fornecer fundamentao apropriada para a sua avaliao e para remediar as eventuais deficincias que venham a ser identificadas. A identificao antecipada de deficincias pode propiciar administrao tempo suficiente para corrigi-las e assegurar a eficcia operacional dos controles antes do final do exerccio. H inmeras formas que a empresa pode escolher para cumprir as suas responsabilidades em relao avaliao dos controles internos. Seja qual for o mtodo escolhido, responsabilidade da administrao desenvolver e implementar um processo que lhe permita cumprir as exigncias da Seo 404 da Lei, relacionada certificao dos controles internos (SOX 404). implementar um processo que lhe permita cumprir as exigncias da Seo 404 da Lei.

SARBANES-OXLEY SECTION 404

Se o auditor concluir que a administrao no cumpriu essas responsabilidades, ele deve comunicar, por escrito, administrao e ao comit de auditoria que no foi possvel concluir satisfatoriamente a auditoria dos controles internos relacionados s demonstraes financeiras e se abster de emitir uma opinio.

Perguntas e Respostas

A seguir, apresentamos respostas s perguntas mais comuns que normalmente surgem durante as seguintes etapas do processo de avaliao dos controles internos: Planejamento e determinao do escopo do trabalho Documentao e avaliao do desenho (design) e da eficcia operacional dos controles Identificao, avaliao e correo das deficincias Certificao dos controles internos
As perguntas a seguir representam somente algumas perguntas que podem surgir durante o processo de avaliao. Pode ser que algumas das perguntas no se apliquem a certas organizaes. De qualquer forma, as respostas no devem ser consideradas como absolutas. Elas tm como objetivo oferecer Administrao um ponto de partida para que ela desenvolva suas prprias solues. Alm disso, a administrao deve consultar a literatura oficial emitida pela SEC, aplicvel prpria organizao, e pelo PCAOB, endereada aos auditores independentes, a fim de obter um completo entendimento do assunto e de como ele seria aplicvel sua empresa. Isso tambm ajudar a administrao a se preparar de forma adequada para cumprir os prazos estabelecidos para a certificao.

Seo I. Planejamento e Determinao do Escopo

Independentemente da complexidade e do tamanho da estrutura de controle de uma organizao, a avaliao da eficcia do ICOFR requer um cuidadoso planejamento. Esse planejamento deve incluir um processo para examinar o enfoque global estabelecido para a documentao, a identificao dos controles internos e os testes aplicados para a sua avaliao e o cronograma geral das atividades, incluindo as datas de concluso de cada etapa deste projeto. Tal planejamento tambm pode incluir o estabelecimento de polticas e procedimento para o processo de avaliao e para o processo de comunicao interna. A seguir, alguns pontos especficos que talvez tenham de ser abordados:

1 - A administrao deve documentar o ICOFR para todas as localidades e unidades de negcio? A resposta sim. As empresas devem ter algum nvel de documentao do ICOFR para todas as localidades ou unidades de negcio, inclusive quelas consideradas no relevantes, individualmente ou em conjunto. A extenso dessa documentao pode variar de uma localidade/unidade de negcio para outra e, freqentemente, baseia-se na relevncia de cada localidade ou unidade de negcio. A documentao pode apresentar-se de formas variadas e incluir vrios tipos de informao, tais como: Manuais de polticas da empresa Modelos de processos Manuais de polticas e prticas contbeis Memorandos Fluxogramas Descries de funes/atividades

Documentos Formulrios Quadro de decises Descrio de procedimentos Relatrios de auto-avaliao Outras formas de documentaes

No se exige nenhuma forma de documentao em particular, e o formato e a extenso da documentao podem variar dependendo do tamanho da empresa, da sua complexidade e do enfoque para a sua documentao. Contudo, a existncia de manuais e polticas sem nenhuma relao com o processo de avaliao dos controles internos pode no ser suficiente. A administrao deve ser capaz de demonstrar a maneira pela qual leva em considerao a documentao no processo de avaliao.

SARBANES-OXLEY SECTION 404

2 - De que forma a Administrao determina quais os controles a serem testados para avaliao da sua eficcia operacional? Um elemento-chave do processo de avaliao da administrao a definio dos controles a serem testados. A administrao deve documentar o processo utilizado para avaliar a eficcia do ICOFR, incluindo a determinao desses controles. Essa documentao tornar mais fcil para o auditor independente entender o processo de avaliao da administrao, planejar e executar os procedimentos de auditoria aplicveis. Pela perspectiva do auditor independente, considera-se relevante um saldo contbil se for mais do que remota a possibilidade de esse saldo conter erros que possam ter um efeito material nas demonstraes financeiras, tanto no aspecto de sua superavaliao quanto de sua subavaliao. Isso vale, quer se considere a conta individualmente quer em conjunto. Outras contas podem ser consideradas significativas com base em expectativas. A avaliao do aspecto de possibilidade realizada desconsiderando-se a eficcia, ou no, dos controles internos. Os componentes de uma rubrica das demonstraes financeiras podem estar sujeitos tanto a diferentes riscos (inerentes, por exemplo) como a diferentes controles. Esses componentes devem ser considerados, isoladamente, como contas contbeis potencialmente significativas. Os auditores independentes podem considerar, separadamente, os componentes de uma rubrica significativa com base na estrutura organizacional da empresa, por exemplo, a rubrica contas a receber - lquido pode ser dividida em, pelo menos, trs contas separadas: contas a receber mercado interno, contas a receber do exterior e proviso para devedores duvidosos. Alm disso, se a empresa tem vrias unidades de negcio, cada uma com sua prpria administrao e seu prprio processo contbil, os

componentes das rubricas em cada unidade de negcio em separado, ou mesmo dentro de uma unidade de negcio, tambm podem ser considerados individualmente, como contas contbeis potencialmente significativas. 3 - Pode-se utilizar uma outra estrutura de controles internos que no a do COSO? A administrao pode utilizar uma outra estrutura de controles internos que no seja a desenvolvida pelo COSO, desde que a estrutura escolhida seja adequada e amplamente reconhecida. Tal estrutura pode ser definida como sendo aquela estabelecida por um organismo ou um grupo, segundo procedimentos processuais claros e divulgados, inclusive com uma ampla distribuio para discusso pblica. A nota 67 das regras finais da SEC sobre a certificao dos controles internos (Final Rule - Managements Reports on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports) declara que o guia intitulado the Guidance on Assessing Control publicado pelo Canadian Institute of Chartered Accountants e o Relatrio Turnbull publicado pelo Institute of Chartered Accountants in England & Wales so exemplos de outras estruturas consideradas adequadas . Outras estruturas de controles internos podero ser desenvolvidas e disponibilizadas no futuro. Como resultado, a administrao pode decidir avaliar essas novas estruturas medida que elas surjam para verificar se representam mtodos mais apropriados para a avaliao dos controles internos. 4 - O que vem a ser o conceito de Gerenciamento de Riscos Corporativos (Enterprise Risk Management) - ERM? Esse conceito substitui a atual estrutura do COSO? O COSO lanou recentemente um estudo intitulado Enterprise Risk Management Framework. Esse estudo

incorpora mas no substitui o estudo sobre a estrutura de controles internos do COSO, de 1992, e tambm destinase a estimular uma conscincia sobre os conceitos de risco e controle, por toda a empresa e a se tornar um modelo comumente aceito para discusso e avaliao do processo de gerenciamento de risco da organizao . Doug Prawitt, da Brigham Young University, membro do Conselho Consultivo do COSO, afirmou Muitas organizaes adotaram a estrutura de controles internos do COSO, vrias normas de auditoria baseiam-se nessa estrutura, e parece que as certificaes sobre controles internos exigidos pela Sarbanes-Oxley se basearo fortemente no modelo de controle interno do COSO. Assim, era absolutamente crtico que a nova estrutura de avaliao de riscos no substitusse o trabalho anterior do COSO. 5 - Quais sistemas ou aplicativos de Tecnologia da Informao (TI) so includos no escopo da documentao e dos testes em relao ao ICOFR? Aplicativos e correspondente infraestrutura que sustentam processoschave, objetivos do controle e afirmaes relevantes relacionadas a contas e divulgaes significativas nas demonstraes financeiras devem ser includos no escopo do processo de avaliao dos controles internos da administrao (SOX 404). Considerando que os aplicativos de TI freqentemente suportam o incio, a autorizao, o registro, o processamento e a divulgao de transaes financeiras, os controles de TI podem representar uma parte integrante do ICOFR. Os aplicativos relacionados aos relatrios financeiros e contbeis constantemente, so sustentados por sistemas legados ou auxiliares que fornecem dados financeiros crticos, e muitas das empresas precisam ter um alto nvel de confiana em um grande nmero de aplicativos para alcanar os seus objetivos.

SARBANES-OXLEY SECTION 404

Bringing ERM into Focus Christy Chapman, , Internal Auditor, June 2003

LINK ENTRE O S C O N T RO L E S G E R A I S D E T I C O M A P L I C AT I VO S E P RO C E S S O S

Processos
Por ex.: Compras

Aplicativos Por ex.: Sistemas de Compras

Infra-estrutura

Desenvolvimento do Programa

Mudanas do Programa

Operaes Computacionais

Acesso a Programa/ Dados

CONTROLES GERAIS DE TI Por ex.: Controles Gerais de TI sobre o desenvolvimento e manuteno do Sistema de Compras Para definir quais controles gerais de TI esto includos no escopo da avaliao da administrao, primeiramente, identifique e documente os controles no nvel do processo (por ex., Compras), incluindo os controles que so suportados pela tecnologia da informao (por ex., sistema de compras) para as atividades de registro da transao. O escopo dos controles gerais de TI podem, ento, focar nos controles sobre o desenvolvimento e manuteno do aplicativo.

Uma vez estabelecido que um determinado aplicativo deve ser includo no escopo do processo de avaliao, a administrao deve (1) documentar os componentes relevantes do aplicativo; (2) identificar controles significativos, dentro do aplicativo, desenvolvidos para alcanar objetivos especficos; (3) obter um entendimento da arquitetura de TI e da infra-estrutura em torno do aplicativo, e (4) testar os quatro componentes dos controles gerais de TI (veja quadro nesta pgina) que tenham um efeito abrangente (pervasive) sobre o aplicativo. Como parte da documentao, a administrao deve incluir um suficiente nvel de detalhe para descrever os processos e os controles significativos construdos dentro dos aplicativos e que suportam esses processos. O quadro a seguir apresenta um exemplo de como os controles gerais de TI podem associar-se a aplicativos e processos.

6 - Muitas organizaes terceirizam alguns processos, atividades ou funes, tais como a folha de pagamento, que podem ser includas no escopo da SOX 404. De que forma controles executados por terceiros e em instalaes fora da Empresa afetam o ICOFR? E o mais importante, como a administrao avalia e documenta a eficcia operacional dos controles nessas prestadoras de servios? Se a administrao determina que as atividades de uma prestadora de servios so parte do sistema de informao da empresa, esta deve avaliar os seus controles internos e se estes operam efetivamente. Um ponto de partida obter um relatrio do auditor independente da prestadora de servios, que reporta sobre os controles internos relacionados ao processamento das transaes da empresa. Esse relatrio do auditor da prestadora de servios poder ser do Tipo I ou do Tipo II, nos termos da SAS 70 (Statement on Auditing Standards do American Institute of Certified Public Accountants - AICPA):

Relatrios SAS 70 Tipo I indicam se os controles descritos foram (1) apresentados adequadamente em todos os aspectos relevantes; e (2) apropriadamente desenvolvidos para dar garantia razovel de que os objetivos dos controles descritos seriam atingidos se satisfatoriamente observados. Um relatrio do Tipo I no d nenhuma garantia de que os controles estejam operando eficazmente e se oferecem benefcios mnimos para uma avaliao nos termos da SOX 404. Relatrios SAS 70 Tipo II incluem as afirmaes contidas no Tipo I e fornecem uma descrio dos testes de controles e dos resultados daqueles testes executados pelo auditor da prestadora de servios. Incluem, tambm, a opinio do auditor da prestadora de servios a respeito da efetiva operao dos controles testados durante o perodo especificado. Sob certas circunstncias, obtendo e revisando um relatrio desse tipo, a administrao poder obter evidncia da efetiva operao dos controles internos na prestadora de servios. A administrao deve considerar que no h garantia de que os objetivos dos controles especificados no relatrio, nos termos da SAS 70, cobrem tudo que seria relevante para o ICOFR da empresa. Assim, a administrao deve revisar os relatrios para definir se deveriam ser executados procedimentos adicionais para sustentar a sua avaliao sobre todos os objetivos significativos de controle que afetam a empresa. Alm disso, a administrao responsvel pela manuteno e avaliao dos controles internos sobre o apropriado fluxo das informaes da empresa para a prestadora de servios, e vice-versa. Isso inclui os prprios controles da sua empresa. Outros itens que podem ser considerados pela administrao, com o propsito de obter evidncia da eficcia operacional do ICOFR relacionada prestadora de servios:

SARBANES-OXLEY SECTION 404

 Testes dos controles estabelecidos pela empresa sobre as atividades da prestadora de servios (reexecuo); e Testes dos controles internos adotados na prestadora de servios. 7 - Quo recente deve ser um relatrio SAS 70 Tipo II de terceiros que prestam servios, para que se possa depositar confiana nele? No h uma resposta precisa para essa pergunta. Contudo, se j transcorreu um perodo de tempo significativo entre o final do perodo de tempo coberto pelos testes de controles executados pelo auditor da prestadora de servios e a data da avaliao dos controles internos pela administrao a administrao deve executar procedimentos para determinar se h qualquer informao naquele relatrio SAS 70 Tipo II que deveria ser atualizada para refletir importantes mudanas nos controles da prestadora de servios ocorridas em data posterior data daquele relatrio. Os procedimentos devem cobrir o perodo de tempo entre o final do perodo de testes abrangido por aquele relatrio SAS 70 Tipo II e a data da avaliao dos controles internos pela administrao. O PCAOB, em sua Norma de Auditoria n 2 (PCAOB 2), determina que o auditor independente deve indagar a administrao para determinar se ela identificou quaisquer mudanas nos controles da prestadora de servios subseqentemente ao perodo abrangido pelo relatrio do auditor da prestadora de servios. Isso inclui: Mudanas comunicadas administrao pela prestadora de servios Mudanas no pessoal da prestadora de servios com quem a administrao mantm contato Mudanas nos relatrios ou quaisquer outras informaes recebidas da prestadora de servios Mudanas nos contratos ou acordos com a prestadora de servios Erros no processamento da prestadora de servios

A extenso dos procedimentos necessrios para atualizar o relatrio SAS 70 Tipo II variar em funo do perodo de tempo transcorrido entre a data do relatrio do auditor da prestadora de servios e a data da avaliao dos controles internos pela administrao. O PCAOB 2 indica que, no caso de a administrao ter identificado mudanas, o auditor independente deve verificar se a administrao executou procedimentos para avaliar o efeito dessas mudanas sobre a eficcia do ICOFR da empresa. 8 - Em que extenso os aspectos relacionados aos impostos devem ser includos no processo de avaliao dos controles internos pela administrao? Impostos podem constituir-se na maior rubrica dentro da demonstrao de resultado da empresa, e ativos e passivos tributrios (ambos no circulante ou diferidos) freqentemente so relevantes no balano patrimonial. Alm disso, impostos podem estar presentes, no nvel de conta contbil ou de divulgao em nota, na forma de compensao de impostos, transaes tributveis e tributos imobilirios, por exemplo. Dessa forma, impostos, adicionais ao imposto de renda - tais como os impostos sobre vendas ou sobre o valor adicionado, sobre transaes com empresas relacionadas, sobre importaes e transaes no exterior etc. - podem ser parte de um processo relevante e, portanto, normalmente devem ser considerados no processo de avaliao do ICOFR. Em suas respostas s perguntas mais freqentes, a equipe da SEC (SECs Chief Accountant and Division of Corporation Finance) tem indicado que acredita que a definio de ICOFR no abrange os aspectos relacionados ao cumprimento das leis e dos regulamentos, exceo feita quelas obrigaes fiscais e legais diretamente relacionadas elaborao das demonstraes financeiras. Assim, no do nosso entendimento que o processo de elaborao das declaraes de imposto de renda esteja

contemplado nos conceitos do ICOFR. Contudo, a equipe da SEC destacou que seus requisitos para os relatrios financeiros e o Regulamento do Imposto de Renda so exemplos de regulamentos diretamente relacionados elaborao das demonstraes financeiras. 9 - Como devem ser tratadas as empresas adquiridas e as vendidas no exerccio corrente? Em relao s aquisies no exerccio corrente, em suas respostas s perguntas mais freqentes, a equipe da SEC tem indicado uma expectativa de que o relatrio da administrao sobre o ICOFR reporte sobre os controles de todas as entidades consolidadas. A equipe da SEC reconheceu que poderia no ser possvel conduzir uma avaliao do ICOFR de uma empresa adquirida no perodo entre a data em que a aquisio se consumou e a data da avaliao dos controles internos pela administrao. Nesses casos, a equipe da SEC indicou que no faria objeo excluso de empresas adquiridas em perodo no superior a um ano (a contar da data da aquisio) da avaliao do ICOFR e indicou que a administrao deveria fazer referncia a (1) uma discusso no Form 10-K ou no Form 10-KSB (ou 20F no caso de empresas estrangeiras) da empresa registrada, com respeito ao escopo da avaliao e (2) uma divulgao, destacando que a administrao excluiu a empresa adquirida do seu relatrio de certificao do ICOFR. Todavia, feita essa referncia, a administrao deve identificar a empresa adquirida excluda de seu relatrio e sua relevncia nas demonstraes financeiras consolidadas. A equipe SEC indicou que, mesmo que a administrao tenha excludo de sua avaliao anual os controles internos de uma empresa adquirida, ela deve divulgar qualquer modificao significativa nos seus controles internos relacionados aos relatrios financeiros, que resultem daquela aquisio, nos termos das regras da SEC (Exchange Act

SARBANES-OXLEY SECTION 404

Rule 13a-15(d) ou Exchange Act Rule 15d-15(d)). Alm disso, o perodo no qual a administrao pode omitir uma avaliao do ICOFR da empresa adquirida no pode exceder a um ano, a contar da data da aquisio.Tais avaliaes no podem ser omitidas em mais de um relatrio anual sobre o ICOFR. No h, presentemente, orientao da SEC ou do PCAOB que indique especificamente como a administrao deveria tratar a alienao dos investimentos em outras companhias, com vistas SOX 404. Contudo, a avaliao da administrao a respeito da efetividade do ICOFR da empresa tem como base a data do encerramento do exerccio social da empresa. Logo, se a empresa vende ou descontinua parte de suas operaes antes do fim do mais recente exerccio social, os controles internos relacionados aos relatrios financeiros da operao vendida ou descontinuada deveriam ser excludos da avaliao da administrao para os fins da SOX 404. Se a administrao decide no documentar e testar os controles internos de uma unidade de negcios, em razo de planejar a sua venda ou descontinuidade, ela deve se assegurar de que o fato ocorra antes do final do exerccio social da empresa. Caso contrrio, pode ser necessrio que os processos e controles daquela unidade de negcio devam ser documentados e testados e includos na avaliao da administrao ao final do exerccio social da empresa. 10 - Quando uma empresa se prope a fazer uma emisso inicial de aes (IPO), deveria essa empresa incluir, no relatrio de registro inicial (Form S-1), uma avaliao da administrao sobre a efetividade do ICOFR e um correspondente parecer do auditor sobre o controle interno (Audit of ICOFR)? No. Os requisitos para arquivamento do Form S-1 em lanamento inicial de aes no exigem que se inclua a informao requerida pelo Item 308 (ICOFR) da Regulamentao S-K. A Regra Final da SEC - Relatrio de Certificao da

Administrao sobre os Controles Internos Relacionados aos Relatrios Financeiros e Certificao da Divulgao nos Relatrios Peridicos do Exchange Act (SEC Final Rule - Managements Reports on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports) impacta entidades sujeitas aos requisitos da Securities Exchange Act of 1934 (reporting requirements). A Seo 404 da Lei Sarbanes-Oxley aplica-se ao primeiro relatrio anual da entidade depois de se tornar uma emissora (considerando-se as datas efetivas estabelecidas pela SEC, em relao ao SOX 404, aplicveis aos accelerated filers, non-accelerated filers e foreign registrantes). O pargrafo 2 da Norma de Auditoria n 2 do PCAOB (PCAOB 2) indica que a SOX 404 aplica-se a um emissor como definido na seo 3 da Securities Exchange Act of 1934, que inclui empresas que estejam arquivando, ou que arquivaram, um pedido de registro (por exemplo, Form S-1) na SEC que no tenha sido declarado efetivo sob a Securities Act of 1933 nem tenha sido retirado. Considerando-se que esse linguajar criou alguma confuso, a equipe da SEC confirmou que o item 308 da Regulamentao S-K no se aplica ao arquivamento do Form S-1 em lanamento inicial de aes. Quando uma entidade se prope a fazer um lanamento inicial de aes, esta pode, de forma voluntria, avaliar a efetividade do seu ICOFR e solicitar ao seu auditor independente uma auditoria do ICOFR. Em tais casos, a auditoria do ICOFR normalmente seria executada de acordo com as regras do PCAOB 2. 11 - Em que extenso seria apropriada uma discusso da administrao com o auditor independente da empresa sobre o processo de contabilizao e de elaborao dos relatrios financeiros da empresa? A consulta com o auditor independente a respeito de questes contbeis e de preparao dos relatrios financeiros promove qualidade na auditoria. Assim,

acreditamos que importante que a administrao da empresa mantenha o hbito de consultar, livremente, o seu auditor independente a respeito de tais questes. Contudo, as recomendaes e o aconselhamento do auditor no substituem nem isentam a administrao de suas prprias responsabilidades. A administrao permanece responsvel pela seleo e aplicao de polticas e prticas contbeis, pelo desenho e pela eficcia operacional dos controles internos relacionados ao processo de elaborao dos relatrios financeiros da empresa.

SARBANES-OXLEY SECTION 404

Seo II. Documentao e Avaliao do Desenho e da Eficcia Operacional dos Controles

A documentao e avaliao do ICOFR parte essencial do processo de avaliao da administrao. Fornece evidncia de que os controles, que fazem parte do processo de avaliao da administrao, foram identificados e devidamente comunicados aos que respondem pela sua execuo e de que podem ser monitorados. Adicionalmente, os resultados da avaliao da administrao quanto ao desenho e eficcia operacional dos controles devem ser documentados. A seguir, alguns exemplos de questes que podem emergir durante essa etapa:

12 - A administrao deve testar e avaliar todos os controles identificados durante o processo de documentao do ICOFR? A administrao deve testar aqueles controles que considera importantes para seu julgamento e sua avaliao do ICOFR. A Norma de Auditoria n 2 do PCAOB indica que (1) o auditor independente deve considerar o processo da administrao para definir quais controles devem ser testados e (2) geralmente, esses controles devem incluir: Controles sobre o incio, a autorizao, o registro, o processamento e a divulgao das contas contbeis e as afirmaes (assertions) correspondentes, incorporadas nas demonstraes financeiras; Controles sobre a seleo e a aplicao de polticas contbeis que estejam de acordo com os princpios contbeis; Programas e controles antifraudes; Controles, inclusive controles gerais de tecnologia da informao, dos quais outros controles sejam dependentes; Controles sobre transaes no rotineiras e no sistemticas, tais como contas que envolvam julgamentos e estimativas; Controles corporativos, incluindo: O ambiente de controle; e Os controles sobre o processo de fechamentos anual e trimestral dos relatrios financeiros. Muitas empresas identificaram um grande nmero de controles ao longo do processo de documentao do ICOFR. Em alguns casos, h diversos controles que abrangem um mesmo objetivo e uma mesma afirmao. Para auxiliar a administrao a identificar os controles apropriados a serem testados e que sustentem a sua certificao sobre a eficcia do ICOFR, as empresas esto percebendo a utilidade de priorizar os controles para teste, designando-os como controle-chave (key control), controle-principal (primary control), ou classificando-os como alto, mdio e baixo.

A finalidade de se realizar uma categorizao dos controles de identificar aqueles necessrios para fornecer administrao um apropriado nvel de evidncia com respeito a afirmaes relevantes relacionadas aos saldos das contas e s divulgaes nas demonstraes financeiras. Uma vez tendo priorizado os controles, a administrao poder definir os testes sobre a eficcia operacional dos controles (TOE) necessrios para dar suporte sua avaliao sobre a eficcia do ICOFR. Para esse processo de categorizao, muitas empresas esto percebendo a utilidade de revisar ou preparar fluxos dos processos e outros documentos a fim de identificar os pontos em que erros ou fraudes tm a maior probabilidade de ocorrer. Uma vez que um ponto especfico tenha sido identificado, a administrao pode selecionar os controles neste ou aps este no fluxo para testar. Aps a seleo dos controles, a administrao deve rever todos os controles identificados para se assegurar de que aquelas afirmaes relevantes para aquela especfica conta foram satisfatoriamente cobertas. Nota: Em razo da relevncia dessa atividade no processo de avaliao da administrao, importante que esta mantenha reunies regulares com seu auditor independente para discutir e obter concordncia sobre o processo que ela se utiliza para identificar os controles-chave. 13 - Quais controles so considerados como controles corporativos e como devem ser avaliados? Controles corporativos freqentemente tm um impacto abrangente sobre os controles nos nveis do processo de uma transao, ou de um aplicativo ou sistema. Como parte do processo de avaliao, a administrao deve considerar em que extenso os controles corporativos sero documentados e testados. Isso inclui:

10

SARBANES-OXLEY SECTION 404

 Controles que fazem parte do ambiente de controle, incluindo as atitudes da alta administrao (tone at the top), a atribuio de autoridade e responsabilidade, a consistncia das polticas e dos procedimentos e os programas corporativos existentes (tais como cdigos de conduta e programas de preveno de fraude) que se aplicam a todas as localidades e unidades de negcio. Tambm se incluem polticas aprovadas pelo Conselho de Administrao que enfocam prticas de controle do negcio e de gerenciamento de riscos. O processo de avaliao de risco pela administrao. Monitoramento dos resultados das operaes; atividades da auditoria interna, atuao do comit de auditoria e processos de autoavaliao; e processamento das operaes de forma centralizada, tal como um centro de servios compartilhados.

Determinar se existem suficientes controles corporativos questo de julgamento da administrao. Contudo, para se tomar uma deciso, a administrao deve adotar um processo em duas etapas. Primeiro, deve determinar a natureza e extenso dos controles que devem estar presentes para cumprir os objetivos da organizao. Depois, deve decidir se esses controles esto desenhados e esto operando de forma eficaz. A administrao deve estar ciente de que o teste dos controles corporativos, por si s, no suficiente para ela concluir sobre a eficcia do ICOFR. 14 - Como a administrao determina que o desenho de um controle adequado? Realizam-se testes de desenho (test of design) para determinar se os controles, desde que operando de maneira apropriada, podem efetivamente prevenir ou detectar erros nos registros

contbeis da entidade. Testes de desenho usualmente so executados por meio de indagao e observao ou pela inspeo de documentos, tais como relatrios e formulrios preenchidos; por visualizao tela do computador (computer screen) de mensagens de erro ou chamadas de ateno; ou, mais efetivamente, pelo processo de walkthrough . Embora a administrao no seja obrigada a execut-lo, o processo de walk-through pode auxiliar a administrao a: Confirmar o seu entendimento sobre o fluxo de atividades das transaes e dos processos; Confirmar o seu entendimento sobre o desenho dos controles identificados, para todos os cinco componentes dos controles internos relacionados aos relatrios financeiros, inclusive aqueles relacionados preveno e deteco de fraude; Confirmar que o seu entendimento sobre o processo integral ao estabelecer que foram identificados todos os pontos no processo em que poderiam ocorrer erros relacionados a cada afirmao relevante nas demonstraes financeiras; Avaliar a efetividade do desenho dos controles; e Confirmar se todos os controles esto em operao. Tipicamente, os testes de desenho abrangem: O tipo de controle, inclusive configurao, reviso da administrao e autorizao A natureza do controle (se automatizado ou manual, preventivo ou detectivo) Freqncia do controle (dirio, semanal e mensal) Experincia e competncia de quem executa o controle Procedimentos de investigao e correo de erro, incluindo o prazo para a sua realizao

I D E N T I F I C A O D E C O N T R O L E S PA R A T E S T E PC1
Supervisor de faturamento revisa fatura para assegurar a acuracidade dos dados e a sua consistncia com os termos do pedido

Faturista prepara fatura, com base no pedido e termos da venda

PC2
Faturista confere e corrige fatura SIM
UM ERRO IDENTIFICADO?

NO

Gerente de faturamento revista fatura quanto exatido de dados, preo, prazo, etc.

SIM

UM ERRO IDENTIFICADO?

NO

Fatura remetida ao cliente

Como demonstrado no fluxograma acima, a administrao poder identificar o ponto de controle 2 (PC2) como um controle forte e confivel. Mais ainda, se o controle PC2 estiver operando eficazmente, testar o PC1 pode ser redundante e, por isso mesmo, desnecessrio. (Pela mesma razo, se CP1 estiver operando efetivamente, testar o PC2 pode ser redundante e desnecessrio.) Geralmente, as pessoas mais envolvidas com o processo e controles devem participar da identificao dos controles a serem testados.

SARBANES-OXLEY SECTION 404

11

Deve-se notar que somente a indagao no suficiente para se concluir sobre o desenho do controle. 15 - Ao testar a eficcia operacional, qual o volume de testes que a administrao deve executar? Que tamanho de amostra para teste deve ser aplicado? A quantidade de teste depende de vrios fatores. Todavia, ela deve ser suficiente para suportar a avaliao pela administrao quanto eficcia dos controles internos. Isso, inclusive, deve considerar todas as afirmaes relevantes para cada conta contbil e para cada nota explicativa que fizerem parte do escopo da avaliao pela administrao. Em geral, os testes realizados pela administrao deveriam ser mais extensivos do que os realizados pelo auditor independente. Isso no significa que em todos os casos o tamanho da amostra estabelecido pela administrao para um nico controle em uma nica localidade deveria ser maior do que o estabelecido pelo auditor independente. Significa, de uma forma simples, que os testes da administrao, tomados em conjunto, devem ser mais abrangentes e, potencialmente, cobrir mais processos, mais controles mais contas contbeis e mais unidades de negcio ou localidades. Ao determinar a extenso dos procedimentos de teste a executar, a administrao deve levar em conta a natureza do controle, a sua freqncia de operao e a magnitude geral do controle.

A extenso dos testes tambm depende do risco de falha do controle testado. Define-se risco de falha como o risco de um erro material originar-se de falha de um controle. Se a administrao acredita que o risco de falha alto, deve aumentar a amplitude do teste para aquele controle. Fatores que afetam a concluso a respeito de ser alto o risco de falha de um controle incluem: Alteraes no volume ou na natureza das transaes que poderiam afetar adversamente o desenho ou a eficcia operacional do controle Modificaes no desenho dos controles O grau de dependncia desse controle em relao a outros controles (por exemplo, o ambiente de controle ou controles gerais de TI) Mudanas no pessoal-chave que executa o controle ou monitora sua execuo A execuo do controle ( automatizada ou depende de algum?) A complexidade do controle responsabilidade da administrao definir a extenso dos testes ou tamanhos de amostra que considera suficiente para suportar a sua avaliao sobre a eficcia do ICOFR. A administrao deve fundamentar sua deciso em relao a todos esses fatores. A tabela a seguir ilustra exemplos de tamanhos mnimos de amostra a serem considerados ao planejar a extenso dos testes sobre a eficcia operacional de controles

manuais. Ao decidir os tamanhos de amostra, a administrao no deve se basear nos exemplos apresentados na tabela; mas sim optar pelos tamanhos de amostra que lhe propiciaro suficiente evidncia com base nos fatos e circunstncias especficos da empresa. Quando o controle aplicado a cada transao for automatizado por meio de um sistema de TI, a aplicao de consultas parametrizadas (system query) pode ser a tcnica de teste mais apropriada. Com essa tcnica, uma consulta pode ser um teste apropriado para um controle que se espera que opere consistentemente. Ela pode ser utilizada para testar a eficcia operacional desde que a administrao esteja satisfeita com os resultados do teste de desenho (design). Consultas parametrizadas (system queries) podem ser utilizadas para: Testar se a lgica programada em torno de um controle dentro de um aplicativo de TI est operando como esperado, isto , se o sistema identificar uma exceo predefinida. Buscar informao em um aplicativo de TI sobre a configurao ou designaes dentro do sistema - por exemplo, a administrao poderia consultar o aplicativo para determinar como foram configurados os limites de tolerncia ou para obter uma lista das pessoas autorizadas a executar uma certa funo no sistema a fim de avaliar a segregao de funes. 16 - Um auditor independente faz distino entre testes efetuados pela auditoria interna e testes efetuados pela administrao? O auditor independente deve executar testes suficientes para sustentar a sua opinio, de tal forma que o seu prprio trabalho fornea a principal evidncia para o parecer de auditoria sobre o ICOFR. Com isso em mente, o auditor independente tambm pode utilizar o trabalho realizado pela prpria empresa em uma auditoria do ICOFR (the use of work of others).

E X E M P L O D E TA M A N H O S M N I M O S D E A M O S T R A PA R A T E S T E FREQNCIA DE OPERAO DO CONTROLE TAMANHO MNIMO DA AMOSTRA FREQNCIA DE OPERAO DO CONTROLE TAMANHO MNIMO DA AMOSTRA

Anual Trimestral Mensal

1 2-3 2-4

Semanal Dirio Controle manual recorrente (vrias vezes por dia)

5-0 15-30

30-60

12

SARBANES-OXLEY SECTION 404

Ainda que no seja um requisito que o auditor independente utilize os trabalhos executados pela prpria empresa, ele pode, em certas reas, optar por faz-lo fundamentado: Na objetividade e competncia da pessoa que executou o trabalho Na qualidade e eficcia do trabalho Na natureza dos controles testados por outros Na poca do trabalho executado Nos resultados da reexecuo, pelo auditor, dos trabalhos realizados por outros Por exemplo, se uma pessoa responsvel pela operao de um controle tambm faz os testes de eficcia operacional (TOE) do controle, no se considera objetiva essa autoavaliao. Conseqentemente, o auditor independente no pode utilizar esse trabalho na execuo de sua avaliao independente. Se a auditoria interna (ou outras pessoas que trabalham sob a direo da administrao e no so responsveis pela operao do controle) executa o teste, em geral, considera-se que o trabalho mais objetivo do que aquele executado por pessoas responsveis pela operao do controle (tal como, um processo de auto-avaliao). Certamente, o auditor independente ainda avaliar a objetividade e competncia das pessoas que executaram o trabalho, bem como a qualidade e a eficcia da documentao que sustenta a avaliao da administrao. Fatores que geralmente afetam a deciso do auditor independente de utilizar o trabalho de outros inclui aspectos da natureza do controle, tais como: Materialidade das contas e das divulgaes relacionadas queles controles, bem como risco de um erro material; Grau de julgamento exigido para avaliar a eficcia operacional do controle;

Abrangncia (Pervasiveness) do controle; Nvel de julgamento ou de estimativa exigido na conta ou na divulgao; e O potencial da administrao no obedecer ao controle. H reas nas quais o auditor independente no pode utilizar o trabalho feito por outros. Entre elas, incluem-se os walk-throughs, testes da eficcia operacional de controles relacionados ao ambiente de controle e controles especificamente projetados para prevenir e detectar fraudes. 17 - Muitas organizaes tm sistemas e aplicativos de TI que foram instalados em anos anteriores. A administrao precisa testar o desenho e a eficcia operacional dos controles gerais de TI relacionados ao desenvolvimento de programas daqueles sistemas e aplicativos? Todos os sistemas e aplicativos que sustentam o processo de elaborao dos relatrios financeiros devem possuir os adequados controles gerais de TI em vigor, inclusive os controles de desenvolvimento de programas. A administrao deve avaliar tais controles de desenvolvimento de programas. Quando a administrao possui a documentao original da implantao inicial de um aplicativo ou sistema em relao aos seus controles de desenvolvimento de programas, essa documentao pode ser a base da avaliao e dos testes da administrao. Nesses casos, a administrao deve tambm possuir uma suficiente documentao dos controles de alterao dos programas desde a data das suas instalaes at a presente data. Em consonncia com a Norma de Auditoria n 2 do PCAOB, a administrao deve demonstrar que tem um claro entendimento de como todas as classes de transao significativas so iniciadas, autorizadas, processadas, registradas e apresentadas. Tal

entendimento deve ser documentado em suficientes detalhes para permitir a execuo do walk-through no processo ou na transao. A administrao deve executar suficientes testes nos sistemas implantados em anos anteriores para assegurar que atividades contbeis importantes por exemplo, clculos, lanamentos contbeis etc. estejam funcionando adequadamente e os controles dos aplicativos de maior importncia estejam operando como esperado. 18 - A SOX 404 exige controles adicionais no caso de relatrios mais simplificados de ERP planilhas , eletrnicas e outros tipos de sistemas utilizados por usurios finais? Aplicativos de TI voltados ao usurio final, tais como planilhas eletrnicas e relatrios, podem apresentar uma organizao com um conjunto exclusivo de necessidades de controles gerais de TI. Isso porque ao disponibilizar para o usurio final tais tipos de ferramentas mais flexveis, aumenta o risco de erros nas demonstraes financeiras

SARBANES-OXLEY SECTION 404

13

derivados de dados incompletos ou incorretos. Uma vez que o resultado proveniente desses aplicativos freqentemente toma o carter de documento oficial, no qual a administrao ir confiar no processo de preparao dos seus relatrios financeiros, eles devero ter os seus controles internos identificados e includos no processo de documentao e testes. A organizao deve prover esses aplicativos de TI voltados ao usurio final, com controles gerais de TI consistentes com o nvel de sofisticao do sistema. Os controles gerais devem enderear reas, tais como acesso a programas e dados, modificaes dos programas e desenvolvimento destes e operaes do computador. Enquanto aplicativos de TI voltados ao usurio final geralmente no demandam a mesma rigidez dos controles gerais de TI para os sistemas, os controles citados so apropriados para auxiliar no controle sobre a integridade e a exatido dos dados reportados, a consistncia nas apresentaes, os clculos e as validaes apropriadas e a segurana adequada considerando a importncia e a complexidade desses relatrios ou planilhas. 19 - Que controles devem ser testados no processo de fechamento dos relatrios financeiros? Considerando a importncia do processo de fechamento dos relatrios financeiros, crtico entend-los e avalilos. Esse processo inclui os procedimentos aplicados para: Registrar as transaes no razo; Iniciar, autorizar, registrar e processar os lanamentos contbeis no dirio e no razo; Registrar ajustes recorrentes e no recorrentes nas demonstraes financeiras anuais e trimestrais, tais como ajustes de consolidao, consolidao das demonstraes financeiras e reclassificaes; e A preparao das demonstraes financeiras anuais e trimestrais e correspondentes notas explicativas.

Como parte de seu processo de avaliao, a administrao deve testar os controles sobre cada um dos itens listados anteriormente. Esse teste deve ser executado sobre os controles aplicados para produzir ambas as informaes, anuais e trimestrais. A administrao deve ter o cuidado para identificar e testar ambos os controles, manuais e automatizados, que fazem parte do processo de fechamento dos relatrios financeiros. Alm disso, deve avaliar a natureza e a extenso da superviso de todas as partes envolvidas, inclusive a diretoria executiva, o conselho de administrao e o comit de auditoria. 20 - Como pode a administrao julgar se os controles corporativos esto operando adequadamente? Normalmente, no possvel testar controles corporativos sem visitar algumas ou todas as localidades ou unidades de negcio nas quais esses controles operam. A eficcia de alguns controles corporativos, tais como a implantao e aplicao de um cdigo de conduta ou de manuais de contabilidade, evidenciada fora do escritrio central ou da sede da empresa. O nmero de localidades ou de unidades de negcio que se inclui no teste questo de julgamento. Ao se estabelecer o nmero de localidades a visitar, a administrao pode considerar fatores tais como o grau de centralizao dos controles, o compartilhamento do processo, o desenho dos controles entre as unidades e a consistncia das polticas contbeis e das descries de funes. Obviamente, as localidades inclusas no teste devem ser representativas das populaes de localidades ou de unidades de negcio que, tomadas em conjunto, so relevantes. Alm disso, a extenso dos testes deve ser maior do que a executada pelo auditor independente.

14

SARBANES-OXLEY SECTION 404

Seo III. Identificao, Avaliao e Correo das Deficincias

A administrao deve estabelecer um processo pelo qual todas as deficincias de um ICOFR por toda a empresa, sejam identificadas e agregadas. Isso ajudar a administrao na concluso de sua avaliao da efetividade do ICOFR, atravs da avaliao da gravidade de todas as deficincias identificadas.

21 - Pode existir uma fraqueza material (material weakness) no ICOFR quando inexiste ou no foi identificado um erro material nas demonstraes financeiras? Sim, uma fraqueza material (material weakness) no ICOFR pode existir mesmo que no exista ou no tenha sido identificado um erro material nas demonstraes financeiras. A importncia de uma deficincia no ICOFR depende do seu potencial de erro, e no de ele ter ocorrido ou no. Assim, a administrao e seus auditores independentes podem concluir que existe uma fraqueza material no ICOFR mesmo que no tenha ocorrido ou sido identificado um erro material nas demonstraes financeiras. 22 - Se a administrao substitui ou remedia um controle deficiente, por quanto tempo deveria o novo controle operar e qual volume de testes deveria ser executado pela administrao para determinar se esse novo controle est operando eficazmente? A administrao deve conceder tempo suficiente para avaliar e testar os controles. Se deficincias so identificadas, a administrao pode ter a oportunidade de reavali-las e corrigi-las antes da data da certificao. Contudo, uma vez que um controle novo posto em operao, a administrao deve conceder tempo suficiente para validar a sua eficcia operacional. O espao de tempo em que um novo controle deve estar em operao e de forma eficaz depende da natureza do controle e da sua freqncia. Em circunstncias normais, a remediao de uma deficincia em um controle realizada aps o final do exerccio faz com que essa deficincia seja reconhecida como existente na data da emisso da certificao do ICOFR. A Norma de Auditoria n 2 da PCAOB indica que o auditor independente deve abster-se de opinar sobre a divulgao da administrao a respeito das aes corretivas tomadas pela empresa aps a data do relatrio de certificao do ICOFR emitido pela administrao. A

administrao deve atentar para os procedimentos estabelecidos para determinar a extenso dos testes, necessrios para concluir sobre a eficcia de um controle remediado. Por exemplo, a administrao pode ter estabelecido uma poltica que determina a extenso dos testes, tais como o tamanho de amostras a serem testadas. A administrao considera essa amostra adequada para dar suporte sua avaliao sobre a eficcia dos controles internos relacionados aos relatrios financeiros (ICOFR). Consideramos, por exemplo, que essa poltica estabelece que um controle manual que opera diariamente deve ter 603 ocorrncias testadas. Se a administrao identifica uma deficincia e remedia o controle, deve conceder tempo suficiente para que, pelo menos, 60 ocorrncias do novo controle sejam testadas quanto sua eficcia operacional. 23 - Um conjunto de mltiplas deficincias significativas (significant deficiencies) automaticamente se transforma em uma fraqueza material (material weakness) no ICOFR? No, necessariamente. Com base no pargrafo E90 da Norma de Auditoria n 2 do PCAOB, um conjunto especfico de deficincias significativas (significant deficiencies) no determinar, necessariamente, a existncia de uma fraqueza material (material weakness) no ICOFR. Contudo, todas as deficincias significativas devem ser avaliadas para se concluir se, individualmente ou em conjunto com outras deficincias significativas, podem resultar em uma fraqueza material no ICOFR. H diversos fatores que poderiam ser considerados quando se combinam deficincias, inclusive se as deficincias significativas:
Os tamanhos da amostra em discusso so apresentados para fins ilustrativos apenas. A definio do tamanho da amostra pela administrao no deve ser baseada no exemplo j discutido; ao invs, a administrao deve selecionar um tamanho de amostra que lhe proporcione suficiente evidncia com base nas circunstncias e os fatos especficos da empresa.

SARBANES-OXLEY SECTION 404

15

 Afetam a mesma conta ou nota explicativa das demonstraes financeiras; e Impactam uma mesma afirmao em uma conta contbil ou em uma divulgao das demonstraes financeiras

da magnitude das deficincias dos controles internos identificadas, importante notar que o conceito contempla uma anlise dos erros que poderiam ocorrer, no dos que tenham ocorrido. A administrao tambm deve se lembrar de que a determinao da existncia de deficincia significativa inclui ambas as anlises, a quantitativa e a qualitativa, sobre ser seu potencial mais do que remoto e mais do que irrelevante. Assim, pode haver casos em que os montantes do potencial de erro que so menores do que essa medida quantitativa tambm possam ser considerados mais do que irrelevantes, dependendo do julgamento da administrao em relao queles fatores qualitativos - por exemplo, erros em potencial envolvendo transaes com partes relacionadas. 25 - Como a administrao pode identificar controles relacionados com a salvaguarda de ativos? Como so avaliadas as deficincias? O COSO define que a salvaguarda dos ativos inclui controles que proporcionam razovel segurana para prevenir ou detectar aquisies, uso ou baixa no autorizados de ativos da empresa que poderiam ter efeito material sobre as demonstraes financeiras. A salvaguarda de ativos no se refere continuidade operacional, a planos de contingncia da empresa, proteo fsica do ativo ou a controles sobre decises incorretas dentro do negcio da empresa. Isso significa que importante determinar que o uso do ativo da empresa seja autorizado, no se ele foi utilizado, fundamentado em boa ou m deciso de negcio - por exemplo, salvaguarda de ativos como definido pelo COSO no contempla prejuzos decorrentes da prestao de servio a um custo elevado. O mesmo vale para prejuzos decorrentes de uma pesquisa improdutiva ou de uma propaganda ineficiente, embora autorizada. A administrao deve identificar, dentro de cada processo-chave, os riscos de aquisies, uso ou baixa no autorizados de ativos da empresa que poderiam ter efeito material sobre as demonstraes financeiras. Deve tambm testar os controles que minimizam estes riscos, incluindo no somente controles de aprovao por pessoa autorizada, mas tambm controles que certifiquem que a autorizao foi levada em considerao no processo de aquisio, uso ou baixa do ativo. Um processo pode estar sujeito a diversos riscos de salvaguarda - por exemplo, no processo de compra de ativo imobilizado, aprovaes podem ser exigidas para desenvolvimento do projeto, cotao de preos, seleo dos fornecedores, pedidos de compra, relatrios de progresso fsica do ativo, faturas e cheques para pagamentos. Cada uma dessas aprovaes tem um objetivo operacional ou de cumprimento s polticas internas da empresa. Contudo, somente uma dessas aprovaes poderia fornecer o

24 - H orientaes gerais que tenham sido desenvolvidas para definir o conceito de mais do que irrelevante
(more than inconsequential) na

identificao das deficincias significativas (significant deficiencies)? A Norma de Auditoria N 2 do PCAOB define uma deficincia significativa como uma deficincia ou um conjunto de deficincias que resulta(am) em probabilidade mais do que remota de que um erro mais do que irrelevante nas demonstraes financeiras, anuais ou interinas de uma empresa no seja prevenido ou detectado. A definio de irrelevante inclui uma combinao de conceitos extrados do SAB n 99 (Staff Accounting Bulletin) e da AU Seo 312 (Normas de Auditoria dos Estados Unidos da Amrica) em suas consideraes a respeito de erros, tanto individualmente como acumulados, bem como em relao possibilidade de erros no detectados. Um erro irrelevante se uma pessoa conclusse, depois de considerar a possibilidade da existncia de outros erros no detectados, que o erro, individualmente ou acumulado com outros erros, seria inquestionavelmente imaterial em relao s demonstraes financeiras. Se essa pessoa no pudesse tirar tal concluso a respeito de um particular erro, esse erro seria considerado mais do que irrelevante.
A importncia de uma deficincia no controle interno depende do potencial de erro, no necessariamente da efetiva ocorrncia deste. Para fins de avaliar a importncia quantitativa de erros em potencial que resultam de deficincias no controle interno, uma orientao geral para definir o conceito de mais do que irrelevante avaliar se o potencial de erros igual ou maior do que 1% do lucro antes dos impostos. Na avaliao

16

SARBANES-OXLEY SECTION 404

necessrio controle de salvaguarda para fins de cumprimento dos requisitos da SOX 404 pela administrao e, por conseguinte, a extenso do teste pode variar de controle para controle. Isso no significa que todos os controles de autorizao funcionam como controles de salvaguarda. Por exemplo, em circunstncias normais, no se considera um controle de salvaguarda a autorizao para um lanamento no razo contbil, pois a falta de autorizao para um lanamento no razo contbil, normalmente, no expe a empresa ao risco de uso indevido ou apropriao indbita de um ativo da empresa. A primeira considerao para se determinar se um controle de salvaguarda se h potencial para uso inapropriado ou no autorizado de ativos da empresa. Sempre que este potencial existir, deve-se documentar o risco

relacionado salvaguarda do ativo. Alm disso, a administrao deve considerar tais riscos ao analisar os processos de elaborao dos relatrios financeiros. Uma vez identificada uma deficincia nos controles de salvaguarda, uma importante considerao pela administrao se tal fato poderia resultar em um erro nas demonstraes financeiras, e no somente se as demonstraes financeiras esto incorretas. O fatorchave a magnitude do potencial de uso no autorizado de ativos da empresa em um caso particular - por exemplo, um funcionrio elaborar um contrato que obriga a empresa a comprar certos itens de estoque de valor significativo, sem a necessria autorizao da administrao. Mesmo que a compra fosse adequadamente registrada nas demonstraes financeiras, a falta de autorizao constitui deficincia no ICOFR.

Etapas a serem cumpridas para o atendimento seo 404 da Sarbanes-Oxley Act e como a KPMG pode ajud-lo.

Seleo

A Administrao seleciona a estrutura de controle interno mais apropriada; a KPMG pode fornecer o treinamento sobre estruturas de controles internos reconhecidas pelo mercado (p.ex., COSO).

Documentao

A KPMG pode auxili-lo em como documentar os controles internos existentes no processo de elaborao dos relatrios financeiros. A KPMG pode auxili-lo na elaborao de um gap analysis, comparando os controles existentes no processo de elaborao dos relatrios financeiros com a estrutura de controle interno (p.ex., COSO) selecionada pela Administrao. A KPMG pode fornecer recomendaes Administrao com base no resultado do gap analysis; a Administrao responsvel por determinar a extenso desta reviso ou redesenho, se necessrios. A Administrao responsvel por estabelecer um processo trimestral e anual de certificao pelo CEO e CFO. A Administrao responsvel por estabelecer um processo que a habilite a realizar divulgaes ao mercado. O Auditor Externo ser requisitado a atestar as divulgaes da Administrao sobre a eficcia dos controles internos existentes sobre o processo de elaborao dos relatrios financeiros. A KPMG poder fornecer suporte Administrao no processo de monitoramento contnuo dos contratos internos para a elaborao dos relatrios financeiros (por meio de terceirizao parcial ou total da auditoria interna).

Gap Analysis

Reviso/Redesenho

Certificao

Divulgaes

Reviso

Monitoramento

SARBANES-OXLEY SECTION 404

17

Seo IV. Certificao dos Controles Internos

A administrao deve incluir sua avaliao sobre a eficcia do ICOFR no relatrio anual da empresa. O relatrio da certificao da administrao sobre o ICOFR deve incluir: Uma declarao da responsabilidade da administrao pelo estabelecimento e pela manuteno de um adequado ICOFR para a empresa; Uma declarao identificando a estrutura de controle interno - por exemplo, COSO - utilizada pela administrao para conduzir a avaliao da eficcia do ICOFR; Uma avaliao sobre a eficcia do ICOFR da empresa na data do encerramento do exerccio social da empresa, incluindo uma declarao explcita se o ICOFR eficaz ou no; e Uma declarao de que a auditoria independente, que auditou as demonstraes financeiras inseridas no relatrio anual, emitiu um relatrio de certificao sobre a avaliao do ICOFR feita pela administrao.

26 - Muitas empresas fornecem a seus auditores independentes um rascunho das demonstraes financeiras para reviso antes de submet-las a aprovaes finais. De que forma a empresa pode demonstrar ao auditor que detectaria um erro no rascunho das demonstraes financeiras, que resultaria em fraqueza material (material weakness) ou deficincia significativa (significant deficiency)? Utilizando a orientao fornecida pela equipe do PCAOB, a resposta a essa questo depende do estgio em que a administrao apresenta o rascunho das demonstraes financeiras ao auditor independente e do conhecimento que o auditor independente possui sobre o processo de elaborao dos relatrios financeiros da empresa. Para agilizar o processo de auditoria e o processo de elaborao dos relatrios financeiros, muitas empresas fornecem previamente um rascunho das demonstraes financeiras aos seus auditores independentes. Os comentrios do auditor independente sobre o rascunho das demonstraes financeiras da empresa so parte do processo interativo de concluso da auditoria. Se a administrao apresenta um rascunho das demonstraes financeiras a seu auditor em um estgio mais avanado do processo de elaborao dos relatrios financeiros e assume que o seu processo de reviso desses relatrios est completa ou praticamente terminada, normalmente o auditor independente concluiria que as deficincias importantes no rascunho das demonstraes financeiras so indicativas de fraqueza material no ICOFR da empresa. Uma forma de demonstrar que a administrao acredita que os controles da empresa esto operando adequadamente modificar o tradicional processo de auditoria e fornecer ao auditor independente apenas um nico rascunho das demonstraes financeiras. Contudo, esse processo no necessariamente o procedimento que se esperava como resultado da Lei nem

muito prtico em muitas situaes. A equipe do PCAOB tem indicado que tal processo poderia tornar muito difcil para algumas empresas cumprir com os rgidos prazos para arquivamento de seus relatrios anuais. A equipe do PCAOB tem indicado que, em consonncia com os rgidos prazos para arquivamento dos relatrios anuais, um processo nesse formato tornaria ainda maior a presso sobre o auditor para concluir a auditoria das demonstraes financeiras em tempo ainda menor. Como resultado, esse enfoque poderia prejudicar, ao invs de melhorar, a qualidade da auditoria. Portanto, prefervel algum tipo de partilha de informao entre a administrao e o auditor periodicamente. comum que a administrao divida com o auditor independente rascunhos provisrios das demonstraes financeiras da empresa. Em tais casos, importante que a administrao, comunique, claramente, ao auditor: O estgio de finalizao das demonstraes financeiras Qual o propsito da empresa em antecipar o rascunho das demonstraes financeiras para o auditor A pergunta n 7 das Perguntas e Respostas da Equipe do PCAOB fornece orientao adicional e exemplos do adequado envolvimento do auditor na reviso do rascunho das demonstraes financeiras.

18

SARBANES-OXLEY SECTION 404

Concluso

Fica evidente que a seo 404 da Sarbanes-Oxley apresenta administrao uma sria de desafios. Acreditamos que a melhor maneira para enfrentar esses desafios abrir uma ampla discusso - entre executivos, auditores independentes, membros das equipes responsveis pelo cumprimento da SOX 404 e membros dos comits de auditoria - em que todos se renam para desenvolver um guia ou um conjunto de procedimentos que auxiliem a administrao nas suas responsabilidades em avaliar e certificar os controles internos relacionados aos relatrios financeiros. Esperamos que esse documento contribua para essa discusso e oferea ao membros da administrao, do conselho e do comit de auditoria uma perspectiva til ao enfrentar os seus desafios.

SARBANES-OXLEY SECTION 404

19

kpmg.com.br

Contatos
em So Paulo Sidney T. Ito Tel. (11) 3067-3312 Andr Coutinho Tel. (11) 3067-3313 no Rio de Janeiro Pieter van Dijk Tel. (21) 3231-9462 rasbrasil@kpmg.com.br

Traduo e adaptao da publicao Sarbanes-Oxley Section 404: Managements Assessment Process Frequently Asked Questions da KPMG LLP Estados Unidos, 2004. , As informaes contidas neste material podem no se aplicar situaes ou circunstncias especficas. Apesar da KPMG buscar publicar informaes precisas, no podemos garantir a exatido em qualquer tempo. No dever ser feito uso das informaes sem uma assessoria especializada. O nome KPMG e o logotipo KPMG so marcas comerciais e registradas da KPMG International, uma 20 SARBANES-OXLEY SECTION 404 cooperativa sua.

2006 KPMG Risk Advisory Services Ltda., sociedade brasileira, membro da KPMG International, uma cooperativa sua. Todos os direitos reservados. Impresso no Brasil.