Sarbanes Oxley Portugues

Lei
SarbanesOxley
Guia para melhorar a
governana corporativa
atravs de eficazes
controles internos
ndice
Em primeiro lugar ............................................................................................................................................................................................................................ pgina 6
Obrigaes e oportunidades .................................................................................................................................................................................................. pgina 6
Vincular a governana s atividades de controle ............................................................................................................................................... pgina 7
Etapa 1 Correto direcionamento das sees ............................................................................................................................................... pgina 8
Seo 302 certificao trimestral e anual dos controles e procedimentos
de divulgao .......................................................................................................................................................................................................................................... pgina 9
Seo 404 avaliao anual dos controles e procedimentos internos para a emisso
de relatrios financeiros ................................................................................................................................................................................................................ pgina 9
302 + 404 = 1 ....................................................................................................................................................................................................................................... pgina 11
Etapa 2 Comprometer-se e organizar-se .................................................................................................................................................... pgina 11
Fazer uma avaliao ..................................................................................................................................................................................................................... pgina 11
Comprometer-se com a tarefa .......................................................................................................................................................................................... pgina 12
Criar um comit diretor do trabalho ........................................................................................................................................................................... pgina 12
Etapa 3 Selecionar uma apropriada estrutura de controles internos ...................................................................... pgina 13
Controles internos segundo o COSO .......................................................................................................................................................................... pgina 13
Etapa 4 Conferir poderes ao Comit de Divulgao ..................................................................................................................... pgina 15
Etapa 5 Estabelecer um programa de controles internos ...................................................................................................... pgina 17
Planejar o programa .................................................................................................................................................................................................................... pgina 17
Avaliar o ambiente de controle ........................................................................................................................................................................................ pgina 19
Definir o escopo ............................................................................................................................................................................................................................... pgina 20
Construir um repositrio de controles ...................................................................................................................................................................... pgina 20
Executar testes iniciais e contnuos .............................................................................................................................................................................. pgina 21
Monitorar ................................................................................................................................................................................................................................................. pgina 22
Disponibilizar tecnologias para atingir resultados ............................................................................................................................ pgina 22
Concluso .............................................................................................................................................................................................................................................. pgina 23
Eplogo Momento de sustentao .............................................................................................................................................................. pgina 24
Anexo Checklist do cumprimento de regras ........................................................................................................................................... pgina 26
2 Lei Sarbanes-Oxeley Maio 2003
Resumo Executivo
A Lei Sarbanes-Oxley de 2002 reescreveu, literalmente,
as regras para a governana corporativa, relativas
divulgao e emisso de relatrios financeiros.
Contudo, sob a infinidade de pginas da Lei, repletas
de legalismos, reside uma premissa simples: a boa
governana corporativa e as prticas ticas do negcio
no so mais requintes so leis.
Controles Internos
Os recentes escndalos no mundo dos negcios
trouxeram tona declaraes de executivos que afirmavam no ter conhecimento das atividades duvidosas
praticadas por suas companhias participaes no
registradas nos livros, reconhecimentos de receitas
imprprios, etc. A Lei Sarbanes-Oxley foi criada para
desencorajar essas alegaes atravs de vrias medidas
que intensificam as conferncias internas e aumentam
a responsabilidade dos executivos.
De forma ainda mais notvel, a Lei Sarbanes-Oxley
privilegia o papel crtico do controle interno.
O controle interno um processo executado pela
Diretoria, pelo Conselho de Administrao ou por outras
pessoas da companhia que impulsionam o sucesso dos
negcios em trs categorias:
Eficcia e eficincia das operaes.
Confiabilidade dos relatrios financeiros.
Cumprimento de leis e regulamentos aplicveis.
A Lei Sarbanes-Oxley torna Diretores Executivos e

Diretores Financeiros explicitamente responsveis por
estabelecer, avaliar e monitorar a eficcia dos controles
internos sobre relatrios financeiros e divulgaes.
Inegavelmente, as novas regras propostas pela Securities
and Exchange Commission SEC (instituio equivalente
Comisso de Valores Mobilrios CVM brasileira) que
fazem cumprir a Lei Sarbanes-Oxley so complicadas,
e a implementao dever ser demorada e custosa.
Entretanto, h alguns fatores atenuantes:
1. Normalmente, todas as companhias de capital aberto
j possuem alguma estrutura de controles internos,
ainda que de maneira informal e no suficientemente
documentada.
2. Muitas companhias podero adaptar os processos
j existentes para cumprir as medidas de controles
internos determinadas pela Lei Sarbanes-Oxley.
3. A construo de uma forte estrutura de controles
internos para atender s exigncias da Lei SarbanesOxley pode promover benefcios que extrapolam o
cumprimento das regras. Na verdade, o potencial para
revisar e concretizar novas vises corporativas e atingir
novos nveis de excelncia corporativa inesgotvel.
Alguns observadores descreveram a Lei Sarbanes-Oxley
como a pea mais significativa da legislao comercial
nos ltimos cinqenta anos. A nova Lei Sarbanes-Oxley
muda fundamentalmente o ambiente empresarial e
regulador. Portanto, as companhias de capital aberto
no podem permitir-se subestimar o trabalho que tm
pela frente. Qualquer demora em tratar essa questo
pode acarretar srias conseqncias para as companhias.
imprescindvel a ao imediata e decisiva.
Lei Sarbanes-Oxeley Maio 2003 3
Sees crticas
Grande parte da discusso em torno da Lei SarbanesOxley concentra-se nas Sees 302 e 404, como tambm
o far este artigo.
A Seo 302 determina que Diretores Executivos e
Diretores Financeiros devem declarar pessoalmente que
so responsveis pelos controles e procedimentos de
divulgao. Cada arquivo trimestral deve conter a
certificao de que eles executaram a avaliao do
desenho e da eficcia desses controles. Os executivos
certificados tambm devem declarar que divulgaram
todas e quaisquer deficincias significativas de controles,
insuficincias materiais e atos de fraude ao seu Comit
de Auditoria. A SEC tambm props uma exigncia de
certificao mais abrangente que inclui os controles
internos e os procedimentos para a emisso de relatrios
financeiros, alm da exigncia relacionada com os
controles e procedimentos de divulgao.
A Seo 404 determina uma avaliao anual dos
controles e procedimentos internos para a emisso
de relatrios financeiros. Alm disso, o auditor
independente da companhia deve emitir um relatrio
distinto que ateste a assero da administrao sobre a
eficcia dos controles internos e dos procedimentos
executados para a emisso dos relatrios financeiros.
Etapas para o desenvolvimento de um

programa de controles internos
Para o desenvolvimento de um programa de controles
internos que direcione as medidas da Lei SarbanesOxley, recomendvel que as seguintes etapas sejam
seguidas:
1 Correto direcionamento das sees

Algumas companhias adotaram estratgias que
priorizam o cumprimento da Seo 302 em detrimento
da Seo 404, seguindo o raciocnio de que a Seo 302
j est em vigor e a Seo 404 no ser aplicvel at o
final de 2003. O direcionamento individual dessas duas
sees da Lei constitui um processo ineficiente, o
raciocnio muito simples: As determinaes de ambas
as sees podem ser direcionadas atravs de uma nica
metodologia.
2 Comprometer-se e organizar-se
A compreenso de como a Lei Sarbanes-Oxley se aplica
s companhias de acordo com as caractersticas de
negcio ser til para o desenvolvimento do programa
de controles internos. Muitos fatores devero ser
considerados. Por exemplo, companhias de maior porte

encontraro desafios diferentes das de menor porte.
Alm disso, a proporo da estrutura de controles
internos em prtica ter influncia significativa sobre
as atividades.
Trs grupos desempenharo um papel importante:
o Conselho de Administrao, que supervisiona o
compromisso com a tarefa; o Diretor Executivo e o
Diretor Financeiro, que reconhecem a responsabilidade
de assegurar o cumprimento das regras e transmitir as
informaes Alta Administrao e aos funcionrios;
e o Comit Diretor de Trabalho, que supervisiona e
coordena as atividades relativas Lei Sarbanes-Oxley
em toda a organizao.
3 Selecionar uma apropriada estrutura de

controles internos
Para atingir os objetivos previstos pela Lei SarbanesOxley, muitas companhias constroem a estrutura de
controles internos segundo as recomendaes do
Commitee of Sponsoring Organizations of the Treadway
Commission COSO. Embora existam outras estruturas
de controles internos, espera-se que a do COSO se torne
o modelo dominante, e sua adoo recomendvel.
A estrutura recomendada pelo COSO desmembra
os controles internos em cinco componentes interrelacionados: o Ambiente de Controle o alicerce de
todos os outros elementos dos controles internos, que
inclui os valores ticos e a competncia dos funcionrios
da companhia; a Avaliao de Riscos a identificao
e a anlise de riscos pertinentes que podem impedir
o alcance dos objetivos do negcio; as Atividades de
Controle tarefas especficas para atenuar cada um dos
riscos identificados anteriormente; a Informao e
Comunicao vias de informao que partem da
administrao para os funcionrios e vice-versa; e o
Monitoramento a avaliao e a apreciao dos
controles internos.
4 Conferir poderes ao Comit de Divulgao

A formao de um Comit de Divulgao representa um
dos mais importantes controles que uma companhia
pode implementar. O Comit de Divulgao executa
inmeras funes, incluindo a reviso dos registros da
SEC, a recomendao de parmetros para a divulgao,
a superviso dos processos de divulgao e a reviso
das deficincias dos controles e das insuficincias
materiais com o Diretor Executivo e com o Diretor
Financeiro.
5 Estabelecer um programa de controles

internos
Disponibilizar tecnologias para

atingir resultados
Para esta etapa de trabalho intensivo, so necessrias

vrias aes:
Planejar o programa para estabelecer o programa
de controles internos ou fortalecer um programa
j existente, recomendvel a formao de uma
Equipe de Gerenciamento do Programa de Controles
Internos. Empresas de menor porte podem remanejar
o staff existente, com base em meio expediente.
Provavelmente, companhias de maior porte
necessitaro de pessoal em jornada integral e
exclusiva.
Avaliar o ambiente de controle constituindo
o alicerce dos controles internos, o ambiente de
controle inclui elementos como integridade, valores
ticos e competncia; filosofia da administrao e
estilo operacional; delegao de autoridade e
responsabilidades; e direo fornecida pelo Conselho
de Administrao. Uma avaliao cultural pode
auxiliar a compreender e a documentar o ambiente
de controle j existente nas companhias.
Definir o escopo o objetivo do processo de
definio do escopo identificar os riscos na emisso
de relatrios financeiros e na divulgao. Ele tambm
permitir que os esforos sejam priorizados e
focalizados.
Construir um repositrio de controles o arquivo
de controles serve como um depsito para todas
as informaes e atividades relacionadas com os
controles internos, contendo a documentao
relativa aos objetivos de controle, ao desenho e
implementao, bem como os mtodos utilizados
para testar a eficcia operacional dessas atividades.
Executar testes iniciais e contnuos a eficcia
operacional das atividades de controle deve ser
avaliada por vrias partes, incluindo as pessoas
responsveis pelos controles e a Equipe de
Gerenciamento do Programa de Controles Internos.
Monitorar a funo de auditoria interna deve
monitorar a eficcia de todo o programa de controles
internos e da infra-estrutura. (Companhias que no
tenham uma funo de auditoria interna podem
considerar a utilizao da Equipe de Gerenciamento
do Programa de Controles Internos para executar
essas atividades.)
Existem inmeras ferramentas que podem auxiliar no

desenvolvimento de um programa de controles internos.
Programas de bancos de dados e ferramentas patenteadas podem ser utilizados para documentar objetivos,
processos e atividades de controle. Tambm podem
ajudar a identificar falhas e rastrear aes para corrigir
deficincias e ainda fornecer suporte para as atividades
de auto-avaliao e monitoramento.
Concluso
possvel traar paralelos entre o efeito produzido nas
companhias de capital aberto pela Lei Sarbanes-Oxley
de 2002 e o impacto do Federal Deposit Insurance
Corporation Improvement Act FDICIA de 1991 sobre
o setor financeiro. Ambos os estatutos introduziram
regulamentaes para corrigir falhas observadas no
mercado e cada um deles decretou novas exigncias
significativas para a emisso de relatrios. As companhias de capital aberto podem aprender vrias lies
a partir do exemplo do FDICIA.
1. Aceitar que o ambiente sofreu profundas
mudanas. As companhias devem reconhecer que
esto operando em um novo ambiente que
demanda mais esforos e responsabilidades.
2. Promover a compreenso dos controles internos
dentro da organizao. possvel que as companhias
sejam tentadas a mostrar cumprimento superficial das
regras impostas pela Lei Sarbanes-Oxley. Contudo, a
adoo desse tipo de enfoque pode gerar um efeito
adverso se os controles falharem porque a forma
sobrepujou o contedo.
3. Decompor o custo do desenvolvimento de um
programa de controles internos no seu modelo
operacional. Bons controles internos no representam
uma despesa nica; ao contrrio, alteram fundamentalmente o custo operacional.
Eventos recentes situaram-nos em um perodo mpar
da histria empresarial americana. A demanda pela
responsabilidade corporativa nunca foi to grande.
A necessidade de vincular a governana corporativa
ntegra s atividades de controle eficazes nunca foi mais
clara. E, em termos de recuperao da confiana pblica
nos mercados financeiros, nunca houve tanto em risco.
Companhias e executivos que tm o pensamento
inovador vo aproveitar essa oportunidade.
Em primeiro lugar
Obrigaes e oportunidades
Em julho de 2002, o Presidente George W. Bush assinou
a Lei Sarbanes-Oxley e a apresentou ao conhecimento
coletivo dos lderes empresariais e funcionrios do
governo no mundo inteiro. Repleto de reformas para
governana corporativa, divulgao e contabilidade,
a nova Lei busca, por meios tangveis, reparar a perda
da confiana pblica nos lderes empresariais norteamericanos e enfatizar mais uma vez a importncia
dos padres ticos na preparao das informaes
financeiras reportadas aos investidores.
A Lei Sarbanes-Oxley e as regras relacionadas emitidas
pela SEC so leis e regulamentaes complexas que
geraram confuso e consternao na comunidade
empresarial. Mas, por trs de todas as regras e regulamentaes, a Lei Sarbanes-Oxley simplesmente uma
forma encontrada pelo governo para estabelecer
recursos legais nos preceitos bsicos da boa governana
corporativa e das prticas empresariais ticas. A Lei
Sarbanes-Oxley codifica a concepo de que a administrao da companhia deve conhecer as informaes
materiais arquivadas na SEC e distribudas aos investidores e deve, tambm, responsabilizar-se pela probidade,
profundidade e preciso dessas informaes.
Muitos observadores acreditam que o estabelecimento
desses novos procedimentos para os controles internos
e para a certificao executiva representa uma correo
de curso essencial para as companhias de capital aberto,
determinando processos cuja adoo as companhias
deveriam ter considerado em primeiro lugar. De forma
similar, outros estudiosos da lei sustentam que a concentrao do foco na boa governana corporativa e na
transparncia das informaes financeiras simplesmente
faz despertar o senso empresarial. Mas as novas regras
impem um custo: essas mudanas necessitaro de
alteraes significativas nos procedimentos e nas
prticas, bem como na vida cotidiana de muitos executivos e de pessoas que a eles se reportam. Entretanto,
muitas companhias no vo comear do ponto zero,
elas estaro aptas a adaptar processos j existentes
para cumprir as exigncias de controles internos da
Lei Sarbanes-Oxley.
Talvez a realizao mais importante seja a mudana
significativa e permanente da obrigatoridade da
aplicao da Lei Sarbanes-Oxley. Para uma companhia
de capital aberto, a obedincia essa Lei no negocivel. Para os Comits de Auditoria e para a Alta Administrao de companhias de capital aberto, particularmente
Diretores Executivos e Diretores Financeiros, as definies de administradores financeiros e responsabilidade
pessoal tornaram-se mais explcitas e os riscos significativamente mais altos.
No s suas obrigaes esto claras, mas tambm as
suas oportunidades. Ao percorrer de forma eficaz esse
novo terreno, o potencial para revisar e perceber as novas
vises corporativas e atingir novos nveis de excelncia
corporativa inesgotvel.
Executivos que tm o pensamento inovador procuraro
aproveitar as mudanas impostas para melhorar o
desempenho operacional.
Companhias de direito privado, embora no obrigadas
legalmente a cumprir a nova Lei, tambm podem optar
pela adoo de determinados componentes como parte
de um plano geral para o aperfeioamento das operaes de seu negcio.
Este documento d grande enfoque, assim como a
prpria Lei Sarbanes-Oxley, aos controles internos.
Mas os leitores devem estar cientes de que os controles
internos constituem-se apenas em um dos muitos
componentes da boa governana corporativa. Inmeras
outras consideraes tambm entram em discusso:
integridade e valores ticos; filosofia da administrao
e estilo operacional; estrutura organizacional; papis
e responsabilidades bem definidos para diretores,
administrao e funcionrios; compromisso com a
excelncia; diretorias e comits eficazes e proativos;
e muito mais.
importante que os administradores das companhias
tratem o cumprimento da Lei Sarbanes-Oxley como
prioridade Essa nova nfase nos controles internos
e na divulgao transparente no um modismo.
A Lei Sarbanes-Oxley muda fundamentalmente o
cenrio empresarial e as companhias no podem
subestimar a tarefa que tm pela frente. necessrio
tomar aes imediatas.
Muitas medidas da nova Lei ainda esto em fase de
formulao, e novas regras e regulamentaes sero
promulgadas. Sem dvida, os efeitos da Lei SarbanesOxley sero sentidos no futuro.
Vincular a governana s atividades

de controle
A Lei Sarbanes-Oxley torna os executivos explicitamente
responsveis por estabelecer, avaliar e monitorar a
eficcia da estrutura de controles internos das companhias.
Para muitos executivos, as complexidades que envolvem
o cumprimento das regras e as implicaes de seu
descumprimento podem ser desanimadoras.
Contudo, a situao pode no ser to grave quanto se
imagina. Isso porque quase todas as companhias de
capital aberto j tm algum tipo de estrutura de controles
internos. Por exemplo, sempre que um membro do
departamento financeiro utiliza uma senha exclusiva
para obter acesso ao sistema financeiro da companhia,
um controle est sendo executado. Alm disso, a maior
parte das companhias j implementou algum nvel de
monitoramento. Por exemplo, utilizando o exemplo
mencionado, sempre que um supervisor revisa os logs
do usurio para verificar se o acesso apropriado ao
sistema est sendo mantido, ocorre um monitoramento.
Embora a situao possa no ser to crtica, est longe
de ser tima. Em muitas companhias existe uma lacuna
significativa entre os funcionrios que executam as
atividades de controle e os executivos que tomam as
decises estratgicas de governana.
A maior parte das companhias no tem e antes da
Lei Sarbanes-Oxley no estava obrigada a ter um
vnculo direto das atividades de governana da Diretoria
e da Alta Administrao com as atividades de controle
Governana
Vnculo inexistente:
Programa de Cumprimento
e Infra-estrutura
Atividades de Controle
da organizao. Mas agora

Uma forte estrutura
importante para o cumpride controles internos
mento das regras que se
pode fornecer
estabelea esse vnculo, j
benefcios que excedem
que a Lei Sarbanes-Oxley
exige que os altos executivos o cumprimento da
demonstrem, pelos registros, Lei Sarbanes-Oxley.
o quanto sua estrutura
de controles internos est funcionando bem.
A finalidade deste documento fornecer uma viso
geral de um programa de controles internos e infraestrutura que as companhias podem adaptar aos seus
recursos, processos e tecnologias j existentes e fornecer
o vnculo inexistente que conecta atividades de controle
slidas com governana corporativa. Nas prximas
pginas, resumiremos, claramente, as Sees 302 e 404
da Lei Sarbanes-Oxley e algumas ramificaes de
fundamental importncia para as companhias. recomendvel a formao de comits, adoo dos princpios
que devem ser observados e as informaes que devem
ser obtidas. Alm disso, necessrio mapear passo a
passo uma trajetria que conduza a uma ampliada
estrutura de controles.
Os benefcios podem exceder o simples cumprimento
da Lei Sarbanes-Oxley. Na verdade, uma forte estrutura
de controles internos pode ajudar sua companhia a:
tomar melhores decises operacionais e obter
informaes mais pontuais;
conquistar (ou reconquistar) a confiana dos
investidores;
evitar a evaso de recursos;
cumprir leis e regulamentos aplicveis;
obter vantagem competitiva atravs de operaes
dinmicas.
Inversamente, as companhias que se negam a instituir os
controles exigidos podem se colocar em situaes
similares quelas que levaram promulgao da Lei
Sarbanes-Oxley, o que acarretar:
maior exposio fraude;
penalidades impostas pela SEC;
publicidade desfavorvel;
impacto negativo sobre o valor do acionista;
queixas ou outras aes judiciais impetradas por
acionistas.
recomendvel que, aps a leitura deste documento,
os administradores se renam com seu conselheiro
jurdico e seu auditor independente para discutir o
desenvolvimento de um programa de controles internos
personalizado para o seu negcio.
DEFININDO CONTROLES
Certos termos relacionados com os controles internos surgem com freqncia durante a discusso da
Lei Sarbanes-Oxley e das regulamentaes da SEC.
Apresentamos a seguir breves definies dos termos utilizados com maior freqncia.
Controles Internos.
A definio de controles internos mais amplamente
aceita foi desenvolvida pelo Committee of Sponsoring
Organizations of the Treadway Commission COSO:
... um processo, efetuado pelo Conselho de Administrao, pela administrao ou por outras pessoas
da companhia, visa fornecer segurana razovel
quanto possibilidade de atingir objetivos nas seguintes categorias:
eficcia e eficincia das operaes;
confiabilidade dos relatrios financeiros;
cumprimento de leis e regulamentos aplicveis.
Controles Internos e Procedimentos para a
Emisso de Relatrios Financeiros.
A SEC props definir controles internos e procedimentos para a emisso de relatrios financeiros
como controles relativos preparao de demonstraes financeiras para fins externos que so apresentados de maneira apropriada e em conformidade com os princpios contbeis nacionais.
Controles e Procedimentos de Divulgao.
Termo recentemente apresentado pela SEC aps o
decreto da Lei Sarbanes-Oxley, os controles e procedimentos de divulgao so desenhados para assegurar que as informaes que uma companhia
precisa divulgar nos relatrios arquivados por ela segundo o Exchange Act so registradas, processadas,
resumidas e reportadas dentro dos prazos estipulados pela SEC. Essa definio inclui tanto as divulgaes financeiras quanto as no-financeiras.
Exemplos de divulgao no-financeira podem
incluir itens como assinatura de um contrato significativo, melhorias em relao propriedade intelectual, mudanas nas relaes sindicais, encerramento de um relacionamento estratgico, processos judiciais, ou divulgaes exigidas na seo
Discusso e Anlise da Administrao dos Formulrios 10-K, 10-Q e 20-F.
Etapa 1
Correto
direcionamento
das sees
Para melhorar o desempenho, muitos atletas profissionais visualizam o arremesso ou o movimento perfeito.
Essa tcnica aplica-se aqui.
Para visualizar como ser a companhia depois que o
programa de controles internos estiver operando
normalmente, sem problemas:
importante projetar...
... uma forte estrutura de controles internos que ajude
a manter a companhia na direo do crescimento e da
lucratividade;
... procedimentos que permitam cumprir as novas
exigncias para a emisso de relatrios e para a divulgao decretada pela Lei Sarbanes-Oxley;
... uma estrutura que resista ao exame minucioso de
seu auditor independente, da SEC e de outros rgos
reguladores;
... maior confiana dos investidores na companhia;
... a companhia tornando-se uma empresa-lder, reconhecida pela governana corporativa, conhecida pela
qualidade e integridade de seus relatrios financeiros;
... um fluxo de informaes ampliado que permita a
tomada de melhores decises empresariais;
... a restaurao do crdito e da confiana no mercado
de aes, conquistada pelos executivos da corporao,
porque abraaram esse processo com seriedade e
responsabilidade.
Muito justificadamente, grande parte da discusso e
das incertezas em torno da Lei Sarbanes-Oxley est
centrada nas Sees 302 e 404.
Muitas companhias adotaram uma estratgia que
prioriza o cumprimento da Seo 302 em detrimento
da Seo 404. Aparentemente, esse enfoque faz sentido.
Afinal de contas, a Seo 302 j est em vigor (desde

agosto de 2002), enquanto a Seo 404, conforme
proposta, no ser aplicvel at o final de 2003.
Contudo, importante verificar que o direcionamento
individual dessas duas sees da Lei Sarbanes-Oxley
constitua um processo ineficiente e provavelmente
contraproducente. Podemos apresentar slidos argumentos para integrar as medidas de cada uma delas
em uma estrutura de controles internos mais ampla
e robusta o suficiente para atender s exigncias de
ambas as sees. Apresentaremos um breve esboo
desse raciocnio a seguir. Mas, antes, um rpido resumo
de cada seo da Lei ajudar a elucidar a discusso.
Seo 302: certificao trimestral e anual dos
controles e procedimentos de divulgao
A Seo 302 impe novos nveis de responsabilidade aos
Diretores Executivos e Diretores Financeiros, que agora
devem declarar pessoalmente que a divulgao dos
controles e procedimentos foi implementada e avaliada.
(A SEC tambm apresentou uma exigncia de divulgao expandida que inclui controles e procedimentos
internos para emisso de relatrios financeiros, alm da
exigncia relacionada com os controles e procedimentos
de divulgao.) As regras tambm foram alteradas:
o Diretor Executivo deve agora reconhecer diretamente
a responsabilidade pelos controles internos que antigamente era amplamente delegada ao Diretor Financeiro.
Em cada arquivo trimestral ou anual, o Diretor Executivo
e o Diretor Financeiro devem declarar que:
so responsveis pelos controles e procedimentos de
divulgao;
Seo 906: responsabilidade corporativa

pelos relatrios financeiros
Outra medida da Lei Sarbanes-Oxley, amplamente
divulgada a Seo 906 , entrou em vigor em agosto
de 2002. Essa seo exige que Diretores Executivos e
Diretores Financeiros assinem e certifiquem o relatrio
peridico contendo as demonstraes financeiras. A
certificao executiva declara que o relatrio cumpre
as exigncias de emisso de relatrios determinadas
pela SEC e que representam adequadamente a condio financeira da companhia, bem como os resultados
de suas operaes. O descumprimento dessa exigncia
tem um alto preo: multas de at US$5 milhes e at 20
anos de priso podem ser as penas impostas para o
descumprimento intencional. Esta uma medida que
sustenta a engrenagem do Lei.
desenharam esses controles (ou supervisionaram seu

desenho) para assegurar que as informaes materiais
cheguem ao seu conhecimento;
avaliaram a eficcia desses controles a cada trimestre;
apresentaram suas concluses em relao eficcia
desses controles;
divulgaram ao seu Comit de Auditoria e aos
seus auditores independentes todas as deficincias
significativas encontradas nos controles, as
insuficincias materiais e os atos de fraude envolvendo
funcionrios da administrao ou outros funcionrios
que desempenham papis significativos nos controles
internos da companhia;
indicaram no arquivamento na SEC todas as alteraes
significativas efetuadas nos controles.
O cumprimento de algumas determinaes da Seo
302 pode parecer relativamente simples. Por exemplo,
reafirmar a cada trimestre que o Diretor Executivo e o
Diretor Financeiro so responsveis pelos controles
e procedimentos de divulgao tornar-se- uma tarefa
habitual. Contudo, a redao simples de outras medidas
no corresponde ao nvel de esforo que pode ser exigido
para o seu cumprimento, considerando, por exemplo,
a exigncia de que os controles e procedimentos de
divulgao sejam avaliados todo trimestre. Para uma
organizao dinmica que esteja criando novos produtos e servios, concluindo fuses e aquisies, formando
alianas e reorganizando divises e departamentos, a
simples logstica de desenvolver, monitorar e avaliar esses
controles pode rapidamente tornar-se desanimadora.
Seo 404: avaliao anual dos controles e
procedimentos internos para a emisso de relatrios
financeiros
A Seo 404 determina uma avaliao anual dos
controles e procedimentos internos para a emisso de
relatrios financeiros. Como a Seo 302, ela exige que
os Diretores Executivos e os Diretores Financeiros avaliem
e atestem periodicamente a eficcia desses controles.
A Seo 404 obriga as companhias a incluir em seus
relatrios anuais um relatrio sobre controles internos
emitido pela administrao que:
afirme sua responsabilidade pelo estabelecimento
e pela manuteno de controles e procedimentos
internos para a emisso de relatrios financeiros;
avalie e atinja concluses acerca da eficcia dos
controles e procedimentos internos para a emisso
de relatrios financeiros;
declare que o auditor independente da companhia
atestou e reportou a avaliao feita pela administrao
sobre seus controles e procedimentos internos para a
emisso de relatrios financeiros.

Segundo as regras propostas pela SEC, a administrao
tambm dever certificar a eficcia de seus controles e
financeiros em uma base trimestral.
Alm disso, a Lei Sarbanes-Oxley exige que um auditor
DEFININDO DEFICINCIAS E PONTOS FRACOS

Deficincia nos Controles. Uma deficincia nos controles indica uma falha no desenho, na implementao e/ou na eficcia operacional de uma atividade de
controle. Essas falhas podem afetar adversamente a
capacidade da companhia para iniciar, registrar,
processar, resumir e reportar dados financeiros e nofinanceiros precisos.
Deficincia Significativa/Condio Reportvel.
A descrio apresentada pela SEC para uma deficincia significativa torna-a anloga a uma condio reportvel, conforme descrito nos padres de auditoria. Condies reportveis so deficincias nos controles que chegam ao conhecimento dos auditores e que,
segundo seu julgamento, devem ser comunicadas
ao Comit de Auditoria porque representam deficincias significativas no desenho ou na operao de
controles internos, que podem afetar adversamente a
capacidade da companhia de iniciar, registrar, processar, resumir e reportar dados financeiros e no-financeiros precisos.
Insuficincia Material. De acordo com os padres de
auditoria, insuficincia material uma condio reportvel, na qual o desenho ou a operao de um ou mais
componentes dos controles internos no reduz a um
nvel relativamente baixo o risco de erros monetrios.
Por sua vez, esses erros monetrios so causados por
erro ou fraude em valores que seriam materiais em
relao s demonstraes financeiras que esto sendo auditadas e podem ocorrer e no ser detectados
em tempo hbil pelos funcionrios, no curso normal
da execuo das funes que lhes foram atribudas.
Avaliar se uma condio reportvel tambm uma
insuficincia material um processo subjetivo que depende de fatores como: (a) a natureza do sistema contbil e dos valores ou das transaes da demonstrao financeira expostos condio reportvel; (b) o
ambiente de controles gerais; (c) pessoas tomam as
decises; e (d) outros controles. A presena de uma
insuficincia material ou mais pode indicar que a
estrutura de controles internos no eficaz.
independente da companhia preencha um relatrio

individual que ateste a avaliao da administrao sobre
a eficcia dos controles e procedimentos internos para a
emisso de relatrios financeiros.
J que o Diretor Executivo e o Diretor Financeiro de
sua companhia devem fazer declaraes pblicas em
relao eficcia dos controles internos, preciso
manter suporte e documentao substanciais relacionados com a estrutura de controles internos e tambm
com a sua avaliao. Alm disso, como o auditor independente vai atestar a avaliao dos controles necessrio apresentar toda documentao ao auditor.
Vale lembrar que o parecer sem ressalvas na ltima
auditoria das demonstraes financeiras no um
atestado para a eficcia dos controles internos.
Quando os auditores independentes emitem opinio
acerca das demonstraes financeiras, no esto
validando a estrutura de controles internos.
Portanto, os procedimentos de testes que executam
no so desenhados para atender s exigncias
da certificao.
Para que o auditor independente faa essa certificao
e para preparar a prpria avaliao preciso
adotar uma estrutura de controles internos que
contenha critrios objetivos os quais possam ser
medidos e avaliados. Acredita-se que as recomendaes
do Committee of Sponsoring Organizations of the
Treadway Commission COSO surgiro como a
estrutura mais utilizada com maior freqncia pelos
registrantes.
A avaliao fornecida aos auditores independentes
deve ser substantiva, bem documentada e abrangente.
Um checklist resumido inclui:
informaes acerca do ambiente de controles gerais
da companhia;
descrio do processo adotado pela administrao
para identificar, classificar e avaliar riscos que possam
impedir que a companhia alcance seus objetivos de
emisso de relatrios financeiros;
descrio completa dos objetivos de controle criados
pela administrao para direcionar os riscos
identificados e as respectivas atividades de controle;
descrio dos sistemas de informtica e
procedimentos de comunicao adotados para
fornecer suporte ao tpico anterior;
resultados e documentao-suporte da avaliao
mais recente feita pela administrao sobre a
eficcia do desenho e das operaes das atividades
individuais de controle (observao: talvez no seja
suficiente a mera confiana nas declaraes de

subordinados);
relao de todas as deficincias encontradas no
desenho e na implementao das atividades de
controle, bem como os procedimentos propostos
para sua correo;
descrio do processo adotado para comunicar
deficincias significativas e insuficincias materiais aos
auditores independentes e ao Comit de Auditoria;
descrio dos procedimentos de monitoramento
executados para assegurar que a estrutura de
controles internos est operando conforme planejado
e que os resultados dos procedimentos de
monitoramento so revisados e executados;
descrio do processo de criao da divulgao
e das atividades de controle relacionadas.
302 + 404 = 1
Agora, com uma compreenso mais abrangente
das Sees 302 e 404, torna-se clara uma estratgia
eficaz: as determinaes de ambas as sees podem ser
direcionadas atravs de uma nica metodologia.
Um programa de controles internos que focaliza
simultaneamente a divulgao e a emisso de relatrios
financeiros pode atender s exigncias trimestrais da
Seo 302 e as exigncias anuais da Seo 404, bem
como suprir as necessidades dos auditores independentes para executar seus procedimentos de certificao.
(A reivindicao para um alinhamento mais prximo das
exigncias das duas sees da Lei Sarbanes-Oxley tem
sido unnime entre a comunidade empresarial, e a
maioria dos observadores espera que a SEC continue
caminhando nessa direo.)
Essa nova nfase nos controles internos e no cumprimento das regras deve ser disseminada por toda a
organizao. Companhias de menor porte, que muito
provavelmente no possuem uma infra-estrutura forte e
um staff grande, podem julgar essa adaptao especialmente difcil. Companhias de todos os portes sero
obrigadas a destinar recursos significativos a esse
trabalho tempo, dinheiro e pessoal.
Os custos financeiros para o cumprimento das regras
sero considerveis (mas deve-se observar que no
sero to altos quanto os custos provocados pelo
descumprimento delas). Custos diretos podem incluir o
tempo dispensado por consultores e funcionrios para
avaliao, implementao e monitoramento; instruo
de funcionrios acerca dos controles internos; despesas
com a nova tecnologia para suportar o programa de
controles internos; e honorrios pagos aos auditores
independentes para executar os testes dos controles
que visam atestar sua assero quanto eficcia de seus
controles internos. Custos indiretos podem incluir o
remanejamento de pessoal e o realinhamento de outros
recursos na organizao para criar e manter uma melhor
estrutura de controles internos.
Entretanto, como j declaramos anteriormente, a maior
parte das companhias de capital aberto j possui
algum tipo de estrutura de controles internos em vigor.
possvel que as organizaes no precisem comprar
sistemas totalmente novos ou desenvolver novos
processos, podendo adaptar os recursos j existentes e
integr-los nova estrutura de controles internos.
Etapa 2
Comprometer-se e organizar-se
Fazer uma avaliao
Antes de dar incio ao projeto de controles internos
como exige a Lei Sarbanes-Oxley, uma avaliao informal
pode ser bastante til para compreender como a Lei se
aplica companhia com base em suas caractersticas
operacionais o que poder favorecer o desenvolvimento do plano de ao.
Embora provavelmente todas as companhias de capital
aberto precisaro fazer ajustes antes de poder avaliar
e certificar com confiana a eficcia de seus controles

internos, bvio que algumas companhias precisaro
fazer mudanas mais radicais que outras. Em grande
escala, a natureza das operaes ditar o escopo das
mudanas necessrias. Por exemplo, possvel que
uma companhia altamente descentralizada necessite
de uma resposta mais elaborada para as medidas
da Lei Sarbanes-Oxley acerca dos controles internos
do que um registrante com caractersticas mais
simples.
O porte da companhia e a sua complexidade apresentam um paradoxo interessante. Via de regra, a

implementao de controles internos em uma companhia de menor porte mais fcil, j que h um nmero
menor de pessoas, divises, processos, etc. para acomodar. Contudo, com freqncia, esse tipo de companhia
possui uma infra-estrutura to informal que precisa de
aes corretivas significativas.
No outro extremo, companhias globais que devem
instituir atividades de controle em mltiplas localidades
podem encontrar um desafio significativo, j que tentam
conciliar vrios sistemas e procedimentos em toda a
empresa. Alm disso, companhias globais enfrentam os
desafios de regulamentaes especficas a cada pas e
culturas distintas. Essas companhias de grande porte
podem se beneficiar da uniformidade do enfoque e da
consistncia da aplicao que seu programa de controles internos pode gerar.
As regulamentaes restritas ao ramo de atividade
representam outra varivel. Por exemplo, instituies
depositrias que esto sujeitas s medidas do Federal
Deposit Insurance Corporation Improvement Act FDICIA
de 1991 tiveram de sujeitar-se s regras para a emisso
de relatrios de controles internos similares s da Lei
Sarbanes-Oxley nos ltimos dez anos. Ainda assim
muitas instituies depositrias precisaro fortalecer
seus programas para a avaliao da eficcia dos controles internos que, segundo a Lei Sarbanes-Oxley, devem
agora levar em considerao os controles e procedimentos de divulgao.
Comprometer-se com a tarefa

Com o entendimento do esforo, que as companhias
provavelmente tero de fazer, necessrio estar pronto
para comear. E este processo somente poder ser
iniciado por um lugar pela Alta Administrao.
O Diretor Executivo e o Diretor Financeiro devem
determinar a conduta e iniciar o curso de ao. O
Conselho de Administrao tambm desempenha um
papel importante. Embora no seja diretamente responsvel pela implementao da Lei Sarbanes-Oxley, o
Conselho de Administrao deve supervisionar o
compromisso da companhia com a tarefa e deve se
manter informado sobre o desenvolvimento do programa de controles internos.
claro que, para participar efetivamente, o Diretor
Executivo, o Diretor Financeiro e o Conselho de Administrao devem possuir conhecimento suficiente da Lei. Se
forem necessrias sesses de instrues para facilitar
esse trabalho, elas devem ser programadas. Uma vez

que os membros tenham uma apreciao completa das
demandas da Lei Sarbanes-Oxley, o Diretor Executivo
e o Diretor Financeiro devem formalmente comprometer
a companhia com a tarefa e reconhecer a responsabilidade por assegurar o cumprimento das regras.
Posteriormente, deve ser emitido um comunicado formal
para a Alta Administrao e para os funcionrios. Esse
comunicado deve incluir diretrizes para o cumprimento
das medidas da Lei Sarbanes-Oxley, uma definio da
tarefa a ser empreendida, instrues gerais e a ampla
designao de recursos.
Criar um Comit Diretor de Trabalho

recomendvel a criao de um Comit Diretor de
Trabalho para supervisionar e coordenar todas as
atividades relacionadas com a Lei Sarbanes-Oxley
incluindo aquelas que excedem o escopo das Sees
302 e 404 em toda a organizao. Trata-se de um
grupo de alto nvel: seus membros devem ser instrudos
acerca da imagem global da companhia, integrar a
implementao da estratgia da companhia, ter autoridade para tomar decises crticas e direcionar recursos
onde e quando necessrio.
Em companhias de menor porte, o Comit Diretor de
Trabalho pode ser formado de apenas de duas pessoas,
que iro certificar a eficcia dos controles internos o
Diretor Executivo e o Diretor Financeiro. Em organizaes maiores, possvel incluir outros membros, como
o Diretor Contbil, o Diretor de Auditoria Interna e o
Conselheiro Geral, bem como um Conselheiro do Comit
de Auditoria. Em companhias de todos os portes, um
membro da Diretoria deve ser designado para monitorar
os processos e os progressos do Comit Diretor de
Trabalho.
As funes do Comit Diretor de Trabalho incluiro:
estabelecer parmetros dentro dos quais o Comit
de Divulgao ir operar;
identificar as pessoas necessrias para alcanar
os objetivos;
manter o Conselho de Administrao e a
administrao informados sobre o progresso.
As deliberaes e aes do Comit Diretor de Trabalho
bem como aquelas de qualquer outro grupo que esteja
trabalhando no cumprimento das regras devem
ser documentadas. Um registro expresso pode servir
como mapa para colocar os objetivos em execuo.
recomendvel consultar o Conselho Jurdico em
relao natureza e abrangncia da documentao.
Etapa 3
Selecionar uma estrutura de

controles internos apropriada
A estrutura do COSO divide os controles internos
eficazes em cinco componentes inter-relacionados,
com o objetivo de simplificar a tarefa da administrao
para gerenciar e supervisionar todas as atividades que
fazem parte de uma estrutura de controles internos
bem-sucedida.
Conseqentemente, muitas companhias constroem

sua estrutura de controles internos em torno do
Committee of Sponsoring Organizations of the Treadway
Commission COSO. Contudo, o COSO representa
apenas uma embora a mais amplamente reconhecida
das muitas estruturas de controles internos existentes.
Relacionamento de Objetivos
e Componentes
H um relacionamento direto entre os objetivos, que
representam aquilo que uma entidade se esfora para
atingir, e os componentes, que representam o que
necessrio para atingir os objetivos.
Controles Internos segundo o COSO
Devido sua presena por toda a parte, o COSO

fornecer a base de discusso sobre a seleo de
uma estrutura de controles internos apropriada. As
diretrizes do COSO, publicadas em 1991, no se referem
explicitamente aos controles e procedimentos de
divulgao. Ao contrrio, a estrutura descrita pelo COSO
mais abrangente, incluindo tanto os controles e
procedimentos de divulgao quanto os controles e
financeiros.
As informaes so necessrias para todas as trs categorias

de objetivos administrar as operaes empresariais de
maneira eficaz, preparar demonstraes financeiras de
forma confivel e verificar o cumprimento das regras.
Trs Categorias de Objetivos
era
Op
Cinco Componentes
Os controles internos, conforme definidos pelo COSO,

so processos executados pelo Conselho de Administrao, pela Diretoria ou por outras pessoas da companhia, que levam ao sucesso operacional em trs
categorias:
Eficcia e eficincia das operaes.
Confiabilidade dos relatrios financeiros.
Cumprimento de leis e regulamentos aplicveis.
s
o io
iss tr s
Em Rela eiro
c
e
d nan
Fi
to
en
r im s
mp egra
u
C R
de
Monitoramento
Informao e Comunicao
Atividades de Controle
Avaliao de Riscos
Ambiente de Controle
O controle interno pertinente para a

companhia como um todo ou para qualquer
uma de suas unidades ou atividades.
Os cinco componentes so aplicveis e
importantes para o alcance dos objetivos
operacionais.
ESTRUTURA: OBRIGATRIA
Qual a importncia da estrutura de controles internos para o programa de controles internos segundo a Lei
Sarbanes-Oxley? Considere os pontos a seguir:
Sem uma estrutura apropriada de controles internos
(COSO ou similar), provavelmente no ser possvel atender s exigncias determinadas pela Seo 404 da
Lei Sarbanes-Oxley. Segundo essa seo, o auditor independente deve preencher um relatrio que ateste sua
garantia sobre a eficcia de seus controles e procedimentos internos para a emisso de relatrios financeiros. Se a
companhia no tiver adotado uma estrutura de controles internos, no haver critrios com os quais a companhia
ou o auditor independente possa comparar a eficcia.
1992
Quer esteja comeando da estaca zero ou aperfeioando

a estrutura de controles internos j existente, a companhia deve objetivar o desenvolvimento de um sistema
que preencha quatro critrios: (1) objetividade,
(2) mensurao, (3) integridade e (4) pertinncia.
ESTRUTURAS PARA CONTROLES INTERNOS

Vrias estruturas para a avaliao dos controles internos esto disponveis. Entre as mais proeminentes,
encontramos:
1. COSO Estrutura Integrada de Controles Internos:
Desenvolvida pelo Committee of Sponsoring
Organizations of the Treadway Commission e patrocinada pela AICPA, FEI e IIA entre outros, o COSO a
estrutura dominante nos Estados Unidos. As diretrizes
foram publicadas em 1991, com revises antecipadas
e atualizaes posteriores. Acreditamos que esta ser
a estrutura escolhida pela grande maioria das companhias de capital aberto sediada nos EUA.
2. CoCo Modelo de Controles: Desenvolvido pelo Criteria of Control Committee of Canadian Institute
of Chartered Accountants, o CoCo concentra-se nos
valores comportamentais como a base fundamental
para os controles internos de uma companhia, e no
na estrutura e nos procedimentos de controle.
3. Turnbull Report Controles Internos: Diretrizes para
Diretores sobre o Cdigo Combinado: Desenvolvido
O Ambiente de Controle abrange toda a estrutura de

controles internos o universo no qual todos os outros
elementos existem. O Ambiente de Controle inclui
conceitos como conduta, atitude, conscincia, competncia e estilo. Grande parte de sua fora extrada da
conduta estabelecida pelo Conselho de Administrao
e pelos executivos da companhia.
A Avaliao de Riscos envolve a identificao e a anlise
pela Administrao dos riscos mais relevantes para a
obteno dos objetivos do negcio. No decorrer de uma
avaliao de riscos, cada objetivo operacional, do nvel
mais alto (como dirigir uma companhia lucrativa) ao
mais baixo (como salvaguardar caixa), documentado
e ento cada risco que possa prejudicar ou impedir o
alcance do objetivo identificado e priorizado.
As Atividades de Controle so desenvolvidas para
direcionar especificamente cada objetivo de controle,
visando atenuar os riscos identificados anteriormente.
As atividades de controle so polticas, procedimentos
e prticas adotados para assegurar que os objetivos
operacionais sejam atingidos e as estratgias para
atenuar riscos sejam executadas.
pelo Committee on Corporate Governance of the Institute

of Chartered Accountants in England & Wales, em parceria com a London Stock Exchange, o guia foi publicado
em 1999. O Turnbull exige que as companhias identifiquem, avaliem e administrem seus riscos significativos
e avaliem a eficcia do sistema de controles internos
relacionado.
4. ACC Australian Criteria of Control: Emitido em 1998
pelo Institute of Internal Auditors Austrlia, o ACC
enfatiza a competncia da administrao e dos funcionrios para desenvolver e operar a estrutura de controles
internos. Trata-se de um controle independente, que
inclui atributos como atitudes, comportamentos e competncia, e promovido como o enfoque mais compensador em termos de custo para os controles internos.
5. King Report Expedido pelo King Committee on Corporate Governance em 1994, promove padres gerais
para governana corporativa na frica do Sul. O King
Report ultrapassa os aspectos financeiros e reguladores
usuais da governana corporativa, direcionando
questes sociais, ticas e ambientais.
A Informao e Comunicao fornecem suporte aos

controles internos, transmitindo diretrizes do nvel da
administrao para os funcionrios, em um formato e
uma estrutura de tempo que lhes permitem executar
suas atividades de controle com eficcia. O processo
tambm poderia percorrer o caminho inverso, partindo
dos nveis mais baixos da companhia para a administrao e para o Conselho de Administrao, transmitindo
as informaes sobre os resultados, as deficincias
e as questes geradas.
O Monitoramento o processo para estimar e
avaliar a qualidade dos controles internos durante
avaliaes contnuas e especiais. O Monitoramento
pode incluir tanto a superviso interna quanto externa
dos controles internos pela administrao, pelos funcionrios, ou pelas partes externas.
Etapa 4
Conferir poderes ao Comit

de Divulgao
A formao e as atividades de um Comit de Divulgao
representam um dos controles mais importantes que uma
companhia pode implementar para assegurar que seus
registros sejam claros, precisos, pontuais e completos.
Na verdade, as questes quanto divulgao fornecem
grande parte das direes anteriores Lei SarbanesOxley. Conforme j observamos anteriormente, a Seo
302 da Lei determina que os Diretores Executivos e os
Diretores Financeiros certifiquem que os controles e
procedimentos de divulgao so apropriados e eficazes.
Alm disso, possvel que a SEC exija que o auditor
independente da companhia ateste a eficcia dos
controles e procedimentos de divulgao da companhia,
alm dos controles e procedimentos internos para a
emisso de relatrios financeiros. Na verdade, a SEC
realmente considera a questo da divulgao to
importante, que aconselha todas as companhias de
capital aberto a criarem um comit dedicado superviso das atividades de divulgao.
Com base em nossas observaes preliminares, Comits
de Divulgao eficazes so compostos por pessoas que:
esto familiarizadas com as regras da SEC;
esto instrudas quanto aos aspectos primrios dos
negcios da companhia;
esto familiarizadas com as prticas de divulgao de
companhias similares;
ocupam posies dentro da companhia que lhes
permitem agir quando necessrio.
O porte da companhia determinar parcialmente a
composio do Comit de Divulgao. possvel que
companhias maiores tenham um complemento total
de pessoal com os cargos relacionados a seguir. Companhias menores podem ter pessoas cujas descries de
cargos se enquadrem em vrios ttulos.Alguns possveis
membros do Comit de Divulgao incluem:
Diretor Contbil ou Controller.
Conselheiro geral ou outro superior jurdico
responsvel pelos registros na SEC que se reporte ao
Conselheiro geral.
Diretor de Avaliao de Riscos.
Diretor de Investimentos.
Diretor Operacional.
Outros funcionrios (incluindo representantes da

unidade operacional) que a companhia julgar
apropriados. Algumas dessas pessoas podem ser
lderes de unidades operacionais-chave, lderes
de regies geogrficas, representantes de
desenvolvimento operacional ou representantes
de recursos humanos.
Outras partes, como auditores independentes e consultores jurdicos externos, podem atuar como conselheiros
valiosos para o Comit de Divulgao, mas no devem
tomar decises ou assumir funes como membros
do grupo com direito a voto.
O Comit de Divulgao exerce inmeras funes,
incluindo:
COMITS DE CRUCIAL IMPORTNCIA

Iniciar ou aprimorar um programa de controles internos pode exigir uma distribuio (ou redistribuio)
de pessoal. recomendvel a criao de vrios novos
comits para auxiliar no processo.
Comit Diretor de Trabalho. Um grupo de nvel geral, que supervisiona e coordena todas as atividades
de controles internos. Em companhias pequenas, esse
comit pode consistir apenas do Diretor Executivo e
do Diretor Financeiro. Organizaes de maior porte
podem ter proporcionalmente um nmero maior de
integrantes.
Comit de Divulgao. A SEC aconselha todas as
companhias de capital aberto a criar um Comit de
Divulgao para assegurar que os registros da companhia sejam claros, precisos, pontuais e completos.
O comit estipula parmetros para a divulgao e verifica a pertinncia das divulgaes em todas as informaes difundidas publicamente.
Equipe de Gerenciamento do Programa de Controles Internos. Responsvel por uma grande parte do
trabalho dos controles internos. As atividades da equipe incluem avaliao, desenvolvimento, implementao e correo dos controles internos.
Determinao da pertinncia das divulgaes nos

esboos de todas as informaes difundidas
publicamente.
Superviso do processo pelo qual as divulgaes so
criadas e revisadas.
Identificao do que constitui transaes ou eventos
significativos.
Identificao de que constitui uma deficincia
significativa e insuficincia material no desenho ou
na operao dos controles internos.
Certificao de que o Diretor Executivo e o Diretor
Financeiro estejam cientes das informaes materiais
que podem afetar as divulgaes.
Reviso das deficincias dos controles com o Diretor
Executivo e com o Diretor Financeiro para verificar se,
individual ou globalmente, elas constituem uma
insuficincia material, e realizao de recomendaes
quanto sua divulgao nos registros na SEC.
Um das aes preliminares do Comit de Divulgao
ser definir sua misso. Para operar de forma eficaz, o
comit deve desenvolver uma descrio clara do escopo
GRAUS DE DEFICINCIA
Graus de Deficincia. Ao tentar verificar se a deficincia de um controle significativa preciso
considerar alguns fatores, como o porte da organizao, os aspectos qualitativos e quantitativos dos
fatores de risco que a atividade pretende atenuar e a
complexidade das operaes.
Exemplos de deficincias potencialmente significativas
no desenho e na implementao de uma atividade de
controle incluem:
A companhia no possui procedimentos adotados
para avaliar o limite de crdito de novos clientes.
A companhia no possui procedimentos adotados
para rastrear o valor de seus investimentos em aes.
(Esses exemplos pressupem que os processos
operacionais relacionados e os saldos so materiais
para a companhia em questo.)
Deficincias potencialmente significativas na eficcia
operacional das atividades de controle podem incluir:
Embora a companhia possua procedimentos adotados para avaliar o limite de crdito de novos
clientes, os pedidos quase sempre so processados
para contas que foram bloqueadas.
Embora a companhia rastreie seus investimentos em
aes, as diferenas entre os registros mantidos pela
companhia e as demonstraes de terceiros no so
investigadas imediatamente.
de suas responsabilidades. Ele deve tambm obter a

confirmao formal de sua compreenso com o Diretor
Executivo e o Diretor Financeiro.
A tarefa mais importante que o Comit de Divulgao
ter pela frente ser a certificao de que os processos
esto em operao para obter e analisar as informaes,
visando verificar se ocorreu uma divulgao apropriada.
Entre outros itens, o comit deve revisar:
todos os registros da SEC, incluindo todos os registros
do Exchange Act de 1934 (ou seja, formulrios 10-Q, 10K e 20-F), e as demonstraes de registro do Securities
Act de 1933 (ou seja, formulrios S-1 e S-3);
avaliaes efetuadas trimestral ou anualmente pela
administrao dos controles e procedimentos de
divulgao e dos controles e procedimentos internos
para emisso de relatrios financeiros;
todos os releases que forneam informaes
financeiras ou diretrizes, informaes sobre aquisies
materiais, disposies ou outros eventos que sejam
materiais para a companhia;
a correspondncia amplamente divulgada aos acionistas;
todas as apresentaes para conferncia dos
investidores ou analistas, de acordo com a
Regulamentao FD (Full Disclosure);
todas as apresentaes para agncias de classificao
e agentes de crdito;
relatrios de auditoria interna;
livros de instrues especficas da administrao;
livros de instrues especficas do Conselho de
Administrao e do Comit de Auditoria;
polticas de divulgao adotadas pela companhia para
as informaes includas nos sites de suas relaes
com seus investidores/associados.
Embora o Comit de Divulgao esteja sob a responsabilidade do Diretor Executivo e do Diretor Financeiro, um
de seus membros pode reunir-se periodicamente com o
Comit de Auditoria para discutir:
as atividades do Comit de Divulgao;
a qualidade das divulgaes includas nos registros
da companhia;
discordncias com o Diretor Executivo e com o
Diretor Financeiro;
discordncias com especialistas externos, como
consultores jurdicos ou auditores independentes.
O Comit de Auditoria tambm pode assumir um papel
nas resolues de discordncias significativas. Por exemplo, se o Comit de Divulgao recomenda a divulgao
de uma determinada informao, mas o Diretor Executivo
e/ou o Diretor Financeiro discorda, o Comit de Auditoria
pode ser chamado para ajudar a resolver o impasse.
Etapa 5
Estabelecer um programa
de controles internos
Para muitas companhias, o cumprimento das medidas
da Lei Sarbanes-Oxley relativas aos controles internos
exigir um esforo significativo. Na verdade, o trabalho
inicial desenvolver um programa de controles internos
e a infra-estrutura-suporte relacionada pode ser
intensivo. Entretanto, uma vez que o programa
esteja bem estabelecido, a carga ser amenizada
e a estrutura e os processos tornar-se-o parte
dos procedimentos operacionais padro de sua
companhia.
As etapas relacionadas a seguir, e posteriormente
detalhadas, podem ser seguidas ao se estabelecer um
programa de controles internos:
Planejar o programa.
Avaliar o ambiente de controle.
Definir o escopo.
Construir um repositrio de controles.
Executar testes iniciais e contnuos.
Monitorar.
Planejar o programa
recomendvel a formao de uma Equipe de
Gerenciamento do Programa de Controles Internos
para estabelecer o programa especfico sobre o assunto.
O porte e a complexidade de sua companhia determinaro a alocao dos recursos pessoais para a equipe.
Em uma pequena companhia, provavelmente, ser
necessria pouca estrutura organizacional; a equipe
poder ser constituda apenas por membros que
trabalhem meio expediente talvez um gerente de
projeto e mais alguns funcionrios. Entretanto, para
companhias maiores, ser necessrio dispor de
um nmero significativo de pessoas em funes
que exijam dedicao integral.
Para muitas companhias que j possuem um grupo
responsvel pelos controles internos, talvez no seja
necessrio formar uma nova Equipe de Gerenciamento
do Programa de Controles Internos. Contudo, o
Comit Diretor de Trabalho deve avaliar se o grupo
responsvel pelos controles internos existente possui
o pessoal apropriado para conduzir as etapas
selecionadas pela companhia.
Aps a formao da equipe, um plano de projeto deve

ser criado. Em nvel geral, o processo global de planejamento deve resultar no seguinte:
Entendimento e consenso acerca de objetivos,
distribuies, escopo, custos e enfoque do projeto.
Compromisso de que os recursos necessrios estejam
disponveis quando solicitados.
Consenso sobre a utilizao de recursos externos e
uma descrio dessas funes.
Uma linha de base do projeto com a qual o progresso
possa ser comparado.
Consenso acerca dos processos e das metodologias
utilizadas para gerenciar o projeto.
Modelo de Confiabilidade nos Controles
Internos Com freqncia, confiabilidade nos controles
internos uma funo das seguintes caractersticas:
Desenho e eficcia operacional dos controles.
Extenso da documentao dos controles e
procedimentos.
Conscincia dos funcionrios acerca das atividades
de controle pelas quais so responsveis.
Monitoramento independente.
Ao desenvolver um plano para o projeto, a Equipe
de Gerenciamento do Programa de Controles Internos
pode utilizar uma ferramenta como o Modelo de
Confiabilidade nos Controles Internos.
O PAPEL DA AUDITORIA INTERNA

Muitas companhias j possuem uma funo de auditoria interna e, levando em considerao as recentes
propostas apresentadas por determinadas bolsas de
valores, provavl que no futuro um nmero ainda
maior de companhias estabelea essa funo. Os
membros da auditoria interna podem exercer um papel importante nas atividades de uma companhia em
relao s regras determinadas pela Lei SarbanesOxley, contribuindo com seu conhecimento de processos e de controles internos, monitorando as atividades de avaliao da administrao, fornecendo
inputs a um processo de avaliao de riscos e atuando
como um importante elo com o Comit de Auditoria.
Modelo de Confiabilidade
Controles, polticas e
procedimentos relacionados
no foram adotados nem
documentados.
CARACTERSTICAS
No h um processo de
criao para a divulgao.
Os funcionrios no
tm conscincia de suas
responsabilidades pelas
atividades de controle.
A eficcia operacional das
atividades de controle no
avaliada em uma base
regular.
As deficincias dos controles
no so identificadas.
foram adotados, mas no
esto completamente
documentados.
foram adotados e esto
completamente
documentados.
H um processo de criao
para a divulgao, mas no
est totalmente
documentado.
H um processo de criao
para a divulgao, que est
documentado de forma
apropriada.
possvel que os
funcionrios no tenham
conscincia de suas
Os funcionrios tm
conscincia de suas

atividades de controle no
adequadamente avaliada
em uma base regular e o
processo no est
completamente
documentado.
IMPLICAES
possvel identificar as
deficincias dos controles,
mas elas no so
prontamente corrigidas.

atividades de controle
avaliada em uma base
peridica (ou seja,
trimestralmente) e o processo
est documentado de forma
apropriada.
As deficincias dos controles
so identificadas e
prontamente corrigidas.
Documentao insuficiente
para suportar a certificao e
a garantia da administrao.
Documentao insuficiente
Documentao suficiente
O nvel de esforo para

documentar, testar e corrigir
controles significativo.

controles significativo.

controles pode ser
significativo, dependendo
das circunstncias da
companhia.
Abrange todas as
caractersticas apresentadas
no Estgio 3.
Existe um programa de
gerenciamento de riscos e
controles que abrange toda
a companhia, de modo que
controles e procedimentos
so documentados e
continuamente reavaliados
para refletir um processo
maior ou mudanas
organizacionais.
Um processo de autoavaliao utilizado para
avaliar o desenho e a eficcia
dos controles.
A tecnologia alavancada
para documentar processos,
objetivos de controle e
atividades, e identificar falhas
e avaliar a eficcia dos
controles.
Implicaes do Estgio 3.
Tomada de decises
aperfeioada em virtude
de informaes pontuais
e de alta qualidade.
Utilizao eficiente de
recursos internos.
Monitoramento em
tempo real.
Esse modelo, que visualmente retrata o grau de

confiabilidade dos controles internos, pode ser aplicado
a qualquer unidade para a qual um plano esteja
sendo criado (por exemplo, a companhia como um
todo, uma unidade operacional ou uma subsidiria).
Uma verso do Modelo de Confiabilidade nos
Controles Internos, foi desenhada para categorizar
a confiabilidade dos controles internos em quatro
estgios: (1) no-confivel, (2) insuficiente, (3) confivel
e (4) excelente, com base nas caractersticas apresentadas na tabela.
Ao utilizar o Modelo de Confiabilidade nos

Controles Internos, a equipe do projeto deve avaliar
minuciosamente as caractersticas da unidade que
est sendo avaliada e determinar o estgio que mais
se assemelha ao status dos controles internos
dessa unidade.
Se os controles internos forem classificados como
no-confiveis (Estgio 1) ou insuficientes (Estgio 2),
provavelmente a estrutura de controles internos no
suficiente para suportar as exigncias de certificao
nos Controles Internos

MODELO DE CONFIABILIDADE
Extenso da Documentao
Extenso da Documentao, Conscincia e

Monitoramento
Estgio 1 No-Confivel Estgio 2EstInsuficiente
gi
o4
Estgio 3 Confivel
Estgio 4 Excelente
Es
t
gi
o
Ex
ce
le n
te
Co
n
fi
Es
t
gi
o
Es
t
gi
o
ve
l
In
su
fic
ien
te
N
oco
n
fi
ve
l
Conscincia e Monitoramento
anual. Sob tais circunstncias, recomendamos que a

equipe do projeto comece a implementar imediatamente
o plano do projeto. Se essa implementao demorar,
pode ser que a companhia no esteja preparada para
apresentar seu relatrio anual acerca dos controles
internos ou para atender s exigncias de certificao
do auditor independente.
Atingir o Estgio 3, significa que os controles internos
de uma companhia so confiveis, mas no determina
o fim do processo. Ao contrrio, o Estgio 4 que
representa o propsito da Lei Sarbanes-Oxley, por meio
do qual a governana corporativa est vinculada a
atividades de controle eficazes.
Alm de fornecer informaes teis que a equipe
do projeto pode utilizar ao desenvolver o seu plano
de projeto, o Modelo de Confiabilidade nos Controles
Internos pode servir para vrias outras finalidades,
incluindo:
servir como um modelo comum para a discusso
entre a administrao e o auditor independente,
em relao confiabilidade dos controles internos
da companhia, para a avaliao dos controles
pela administrao e certificao do auditor
independente;
fornecer uma descrio altamente visual sobre a

confiabilidade dos controles internos da companhia
para o Conselho de Administrao e para Alta
Administrao executiva.
Avaliar o ambiente de controle

Obviamente, polticas e procedimentos expressos so
importantes e exercero um papel principal na eficcia
de sua estrutura de controles internos. Na verdade,
grande parte do sucesso ou do fracasso de um programa
de controles internos pode depender da documentao
escrita. Mas tambm so crticos os atributos menos
tangveis de cultura, conduta e atitude, coletivamente
chamados de Ambiente de Controle. Contribuindo
com o Ambiente de Controle encontram-se elementos
como integridade, valores ticos e competncia dos
funcionrios de sua companhia; filosofia e estilo
operacional da administrao; delegao de autoridade
e responsabilidade; e ateno e direo fornecidas pelo
Conselho de Administrao. O Ambiente de Controle
constitui a base para todos os demais componentes
dos controles internos.
Para facilitar a compreenso do Ambiente de Controle,
recomendvel a execuo de uma avaliao cultural.
Ao pesquisar a Alta Administrao e os funcionrios de
toda a organizao, possvel obter rapidamente uma
compreenso sobre a atitude dessas pessoas acerca do
compromisso da companhia em criar um ambiente de
controle eficaz. Se os resultados da avaliao cultural
sugerirem que a companhia no possui um ambiente
de controle consistente, necessrio adotar medidas
corretivas, como:
comunicar a importncia dos controles internos;
reforar seu cdigo de conduta e tica, bem
como o programa de
cumprimento de regras;
Polticas e
restabelecer o apropriado procedimentos expressos
jargo o exemplo vem
so importantes.
de cima;
Mas tambm so crticos
conduzir programas
os atributos menos
de treinamento e
tangveis de cultura,
conscientizao;
estabelecer canais para
conduta e atitude,
comunicao aberta
coletivamente
(incluindo mecanismos
chamados de Ambiente
que possibilitem a
de Controle.
informao annima).
Inversamente, se os resultados da avaliao cultural

indicarem que a companhia possui um slido ambiente
de controle, ela ter uma base concreta sobre a qual
construir seu programa de controles internos.
Definir o escopo
O objetivo do processo de definio do escopo
identificar e inventariar os riscos de estoques relacionados com a divulgao e emisso de relatrios financeiros. Isso permitir que a Equipe de Gerenciamento do
Programa de Controles Internos concentre seus esforos
na identificao ou no desenho de controles para
direcionar esses riscos. (Observe que o foco dessa fase
do projeto riscos na emisso de relatrios financeiros
e divulgao mais restrito do que a avaliao do
risco em larga escala e de toda a empresa.)
Embora algumas companhias j possuam um programa
formal ou informal de avaliao de riscos, o programa
deve ser revisado pela equipe do projeto para assegurar
que ele engloba o processo abrangente de identificao
de todos os riscos financeiros e de divulgao.
A equipe do projeto deve comear o processo de
definio do escopo pela identificao de todas
as principais unidades operacionais, localidades e
subsidirias da companhia. Em seguida, deve entrevistar
o pessoal da administrao dessas unidades
operacionais para identificar riscos na emisso de
relatrios financeiros e na divulgao, que poderiam
afetar de maneira adversa a capacidade da entidade
de reportar com preciso dados financeiros e nofinanceiros, consistentes com o seguinte objetivo:
todos os valores e divulgaes so precisos, completos,
justos e pontuais.
Durante o processo de entrevistas, a administrao
deve estar preparada para abordar os seguintes pontos,
entre outros:
Riscos que podem impedir que a companhia alcance
seus objetivos operacionais.
Riscos na emisso de relatrios financeiros e nas
divulgaes, considerando o seguinte:
principais processos e sistemas operacionais, incluindo
aplicativos e processos
terceirizados;
A equipe do projeto
riscos e processos nodeve documentar e
sistemticos (por exemplo,
priorizar cada risco
lanamentos no dirio
e responsabilidade por
identificado na emisso
contratos);
de relatrios financeiros
padres contbeis
e na divulgao
significativos;
regulamentaes da SEC e do ramo de atividade;

exemplos de descumprimento de polticas e
procedimentos da companhia;
questes fortemente relacionadas com avaliaes
que dependem do julgamento profissional;
sistemas e tecnologias de informao mais importante;
situaes nas quais a administrao pode
desconsiderar os controles.
A equipe do projeto deve ento documentar e priorizar
cada risco identificado na emisso de relatrios financeiros e na divulgao, pesando a importncia relativa e
a probabilidade de um efeito potencialmente adverso,
sem levar em considerao a eficcia dos controles
internos da companhia.
Fatores que devem ser considerados ao priorizar os
riscos na emisso de relatrios financeiros e na divulgao incluem:
risco relativo para a companhia;
materialidade das demonstraes financeiras;
probabilidade de ocorrncia.
Com o passar do tempo, a companhia pode considerar
a integrao do processo de priorizao de riscos na
emisso de relatrios financeiros e na divulgao
com um programa de avaliao de riscos em toda a
empresa, que direcione todos os elementos da estrutura
do COSO.
Construir um repositrio de controles

O repositrio de controles servir como uma central de
informaes e atividades relacionadas com os controles
internos. Ele conter a documentao sobre os objetivos
de controle, o desenho e a implementao das atividades de controle, bem como os mtodos para testar a
eficcia dessas atividades. Ser o banco de dados no
qual trimestral e anualmente as avaliaes da administrao se basearo, conforme determinado pelas
Sees 302 e 404.
Para desenvolver esse repositrio de controles, recomendvel que sejam seguidas as seguintes etapas:
Definir os principais objetivos de controle.
Mapear as atividades de controle existentes e
compar-las com os objetivos de controle.
Identificar reas em que os controles necessrios
esto ausentes e corrigi-las.
Definir os principais objetivos de controle Como
resultado do processo de definio do escopo, deve
ser produzido um inventrio dos principais riscos na
emisso de relatrios financeiros e na divulgao.
A Equipe de Gerenciamento do Programa de Controles

Internos deve trabalhar sistematicamente os riscos,
a fim de definir os principais objetivos de controle.
aconselhvel que, em primeiro lugar, a equipe focalize
os riscos que foram considerados prioridade mxima
e prossiga seu trabalho abrangendo as outras categorias
em etapas sucessivas, de acordo com a necessidade do
seu ambiente.
Um objetivo de controle descreve as metas que a
administrao procura atingir. Na rea de emisso de
relatrios financeiros, alguns exemplos de objetivos
gerais de controle incluem:
Autorizao: as transaes so executadas de acordo
com autorizao geral ou especfica da administrao.
Registro: todas as transaes autorizadas so
registradas pelos valores corretos, no perodo correto e
na conta apropriada, a fim de permitir a preparao
das demonstraes financeiras de acordo com os
princpios contbeis geralmente aceitos.
Salvaguarda: a responsabilidade pela custdia fsica
dos ativos designada a pessoas especficas e
independentes das funes de manuteno dos
registros.
Reconciliao: ativos registrados so comparados com
ativos existentes em intervalos razoveis e so
tomadas aes apropriadas em relao a quaisquer
diferenas verificadas.
O objetivo dessa etapa fazer um inventrio das

atividades de controle existentes que so praticadas
na organizao e compar-las com a lista abrangente
de objetivos de controle desenvolvida na etapa
anterior.
Identificar reas em que os controles necessrios
so inexistentes e corrigir o problema Aps
comparar todas as atividades de controle existentes com
os objetivos de controle, provvel que haja objetivos
para os quais no existem atividades de controle
correspondentes. Essas falhas devem ser identificadas
e documentadas para correo.
Ou, de modo inverso, possvel haver atividades
de controle identificadas que no podem ser
comparadas com um objetivo. Nesse contexto, elas
poderiam ser atividades de controle desnecessrias e,
portanto, podem ser eliminadas, ou, ainda, o indcio
de que um objetivo de controle necessrio no foi
identificado.
Todas as falhas descritas anteriormente devem ser
corrigidas atravs de um processo sistemtico, comeando pelos objetivos de controle de prioridade mxima, at
que todos os objetivos de controle significativos tenham
atividades de controle para direcion-los.
Executar testes iniciais e contnuos

Exemplos de objetivos de controle acionveis incluem:
Processo de Gerenciamento de Pedidos: pedidos de
venda somente so processados dentro dos limites
de crdito aprovados para o cliente.
Processo de Compra: os valores lanados nas contas
a pagar representam bens adquiridos.
Mapear as atividades de controle existentes e
compar-las com os objetivos de controle As
atividades de controle so polticas e procedimentos
que ajudam a companhia a atingir determinados
objetivos de controle. Elas devem ser incorporadas nas
operaes do negcio e utilizadas para reduzir, a nveis
razoveis, os riscos na emisso de relatrios financeiros
e na divulgao.
Exemplos de atividades de controle incluem:
Aprovaes, autorizaes e verificaes.
Gerenciamento funcional direto ou gerenciamento
de atividades.
Reviso dos indicadores de desempenho.
Segurana de ativos.
Segregao de funes.
Controles dos sistemas de informtica.
Depois de ter desenvolvido o repositrio de

Controles, a eficcia operacional das atividades de
controle deve ser avaliada. Essa avaliao pode ser
executada por pessoas responsveis pelo desempenho
dos controles, pela administrao da companhia ou pela
Equipe de Gerenciamento do Programa de Controles
Internos. Os objetivos dessas atividades iniciais de
teste so:
Assegurar que as atividades de controle esto
operando de forma apropriada.
Fornecer informaes para suportar medidas
corretivas posteriores quando os testes das atividades
revelarem deficincias nos controles internos.
Desenvolver um programa de testes sustentvel que
fornea suporte para as avaliaes trimestrais e anuais
da administrao.
Com a finalidade de fornecer suporte para a avaliao
trimestral e anual dos controles internos, deve ser
conduzida uma anlise da estrutura desses controles,
visando assegurar que no ocorreram mudanas
significativas desde o ltimo perodo de avaliao. Caso
sejam verificados processos operacionais ou mudanas
organizacionais (por exemplo, uma aquisio), ser
necessrio repetir as etapas anteriores para modificar

a estrutura de controles internos e direcionar essas
mudanas.
As pessoas responsveis pelas atividades de controle
devem avaliar sua eficcia como parte do processo
formal de auto-avaliao dos controles internos. Para
tanto, recomendvel que a eficcia operacional das
atividades de controle individuais seja testada e que a
documentao apropriada seja retida, de maneira
que possa ser revisada pelos auditores independentes
como parte de seus procedimentos para o trabalho
de certificao.
Monitorar
Para muitas companhias, a funo de auditoria interna
desempenhar um importante papel no monitoramento
e na emisso de relatrios sobre a eficcia da estrutura
dos controles internos. As companhias que no possuem

uma funo de auditoria interna podem avaliar a
utilizao da Equipe de Gerenciamento do Programa de
Controles Internos para executar essas tarefas.
As atividades de monitoramento que devem ser executadas incluem:
avaliao independente da pertinncia dos dados
contidos no repositrio de controles;
verificao das atividades de testes, ou seja, se elas
so completas, precisas e pontuais;
confirmao de que as pessoas que avaliaram as
atividades de controle o fizeram de modo pontual e
com a compreenso total e completa das implicaes
decorrentes desse tipo de confirmao;
comprovao de que a documentao completa e
precisa mantida.
Disponibilizar tecnologias
para atingir resultados
A simples logstica do cumprimento das medidas da Lei
Sarbanes-Oxley para os controles internos pode parecer
desanimadora. Contudo, a carga pode ser extremamente
amenizada com a utilizao estratgica das ferramentas
apropriadas.
Essas ferramentas podem auxiliar em inmeras tarefas
como desenho de controles, documentao de controles, anlise e correo de falhas nos controles, aperfeioamento de divulgaes, gerenciamento de riscos,
documentao de revises e assinaturas e fornecimento
de relatrios administrativos aperfeioados.
O uso que as companhias fazem dessas ferramentas
limitado apenas por suas necessidades e pelos recursos
financeiros disponveis. Em geral, as necessidades de
companhias menores e tambm a verba disponvel
para a aquisio dessas ferramentas sero menores
do que as verificadas em organizaes mais complexas
ou maiores. Mas, independentemente do tamanho e
da complexidade da companhia, as ferramentas e a
tecnologia selecionadas devem ser consistentes com as
necessidades de sua organizao.
As ferramentas no devem ser encaradas como uma

soluo fcil para um problema difcil. Todas elas precisaro de algum tipo de adaptao para operar de maneira
eficaz. Tambm, no se pode se deixar seduzir pela
tecnologia uma ferramenta prpria deve simplificar em
vez de complicar o processo. Finalmente, vale lembrar
que as ferramentas devem complementar o trabalho
pessoal, no substitu-lo.
Antes de investir em ferramentas, importante
verificar a possibilidade de personalizao dos recursos
existentes que podem dar suporte ao programa de
controles internos. Por exemplo, muitas companhias
mantm uma intranet que pode servir como repositrio
para informaes e documentos relacionados com
os controles internos. Veja a seguir um resumo de
algumas opes.
Banco de dados
Programas de banco de dados esto disponveis para
fornecer suporte ao programa de controles internos.
Um banco de dados de controles pode ajudar as
companhias a documentar seus processos, objetivos
de controles e atividades existentes, e ainda identificar

falhas e traar aes para corrigir essas deficincias.
Ao adicionar uma camada de visualizao no banco
de dados dos controles, a administrao pode rapidamente compreender os resultados da avaliao que
auxiliar no preenchimento da certificao trimestral
dos controles.
Concluso
O cumprimento da Lei Sarbanes-Oxley pode ser uma
tarefa difcil. Mas, para atingir um nvel superior de
integridade e desempenho corporativos, o cumprimento
da Lei por si pode ser inadequado.
Ferramentas patenteadas
Para auxiliar as companhias, muitas empresas de servios
profissionais oferecem ferramentas patenteadas com o
desenvolvimento de um programa de controles internos.
A Deloitte Touche Tohmtsu, por exemplo, utiliza o Risk
and Controls KnowledgebaseTM RACK, um repositrio
central de informaes especficas ao ramo de atividade
e aos controles, estruturado de acordo com o processo
operacional. Com a utilizao do RACK, os profissionais
da Deloitte Touche Tohmatsu podem rapidamente
personalizar o processo e as informaes de controle
para as companhias.
Sistemas rastreadores de riscos e controles so sistemas
de auto-avaliao e monitoramento baseados na web
desenhados para atender a grandes corporaes ou
companhias com operaes mais complexas. Com
freqncia, so ferramentas flexveis e escalonveis
que ajudam as organizaes a documentar, monitorar
e periodicamente avaliar a eficcia da estrutura de
controles internos. Esses sistemas so desenhados para
direcionar as necessidades das companhias, que
englobam desde a avaliao inicial, e o rastreamento
de riscos, at o suporte da certificao e, portanto, so
desenhados para suportar as mltiplas fases do processo
de cumprimento das regras. A Deloitte ToucheTohmatsu
desenvolveu o Risk and Control Tracking System RCTS
para ajudar as companhias a estruturar, gerenciar e
rastrear o processo de avaliao e os planos de correo,
bem como agregar resultados em um nico repositrio.
Esse enfoque estruturado tem por finalidade melhorar
o controle da administrao e a emisso centralizada
de relatrios, o que deve facilitar o processo de
divulgao.
Seja qual for o sistema adotado, aconselhvel executar
um programa piloto em uma escala gerencivel como
uma diviso, departaA carga imposta
mento ou unidade
operacional antes de
pelas medidas da Lei
implantar o sistema em
Sarbanes-Oxley pode
toda a empresa.
ser amenizada com a
utilizao estratgica
de ferramentas.
A esse respeito, certos precedentes podem ajudar a

apontar armadilhas e destacar as melhores prticas.
Por exemplo, o Federal Deposit Insurance Corporation
Improvement Act FDICIA de 1991 foi para as instituies
financeiras o que a Lei Sarbanes-Oxley hoje para as
companhias de capital aberto: ambos introduziram
regulamentaes para corrigir falhas observadas no
mercado e cada um deles decretou novas exigncias
significativas para a emisso de relatrios. Decorridos
mais de dez anos desde que o FDICIA entrou em
vigor, at os crticos mais ferrenhos admitem que os
principais objetivos da regulamentao a preveno
de falncias de grandes instituies depositrias foram
amplamente alcanados.
H vrias lies que as companhias de capital aberto
podem aprender a partir do exemplo do FDICIA que
ajudaro a assegurar o sucesso tanto em nvel da
companhia individual (integridade e responsabilidade
corporativas) como tambm em nvel dos mercados
financeiros (transparncia e simetria de informaes).
1 Aceitar que o ambiente sofreu profundas

mudanas.
As companhias precisam reconhecer que esto
operando em um novo ambiente que demanda mais
esforos e responsabilidade. Se a companhia no
conseguir desenvolver uma estrutura de controles
internos abrangente, no ter a documentao adequada para corroborar sua avaliao trimestral e anual dos
controles internos, e o auditor independente enfrentar
problemas para entregar o trabalho com a qualidade
que necessria e em uma base pontual.
2 Promover a compreenso dos controles

internos dentro da organizao.
Estudos recentes realizados pelas agncias reguladoras
demonstraram que, no caso de dois grandes bancos,
os executivos assinaram declaraes de boa-f. Contudo,
no estavam aptos a demonstrar nenhum controle
acerca do processo de avaliao, j que no compreendiam todas as implicaes de suas declaraes. Em
outros casos, descobriu-se que funcionrios arquivavam
checklists e pacotes de relatrios de controles internos
trimestrais sem compreender a finalidade de cada

documento. A questo aqui que, embora as companhias se vejam tentadas a demonstrar o cumprimento
superficial da Lei Sarbanes-Oxley, esse tipo de enfoque
pode gerar um efeito adverso se os controles falharem
porque a forma sobrepujou o contedo.
COMPREENDENDO OS
LIMITES DOS CONTROLES INTERNOS
Embora os controles internos possam ajudar a atenuar
riscos, eles no os eliminam completamente. Controles internos somente podem fornecer segurana razovel mas no absoluta de que os objetivos de
uma companhia foram alcanados. Os controles internos so, afinal de contas, construdos por processos
que envolvem pessoas e, assim, esto sujeitos a todas
as limitaes pertinentes ao envolvimento humano.
Os controles internos podem ser deliberadamente
logrados por atos fraudulentos praticados por pessoas
ou por conspiraes entre funcionrios. Esses controles podem ser inadvertidamente enfraquecidos por
julgamento equivocado, negligncia, distrao ou
outras falhas nos processos ou procedimentos. E tambm podem ser debilitados ou at mesmo eliminados por restries de recursos. Os custos relativos e os
benefcios dos controles internos devem ser continuamente reavaliados.
3 Levar em conta o custo do desenvolvimento

de um programa de controles internos no seu
modelo operacional.
Vrios bancos de pequeno porte tinham planos
operacionais apropriados, mas falharam porque no
levaram em considerao os custos (substanciais)
associados ao desenvolvimento de um programa de
controles internos para cumprir as regulamentaes
impostas pelo FDICIA. Isso pode ocorrer com as
companhias de capital aberto sujeitas Lei SarbanesOxley. Bons controles internos no representam uma
despesa nica; ao contrrio, alteram fundamentalmente
o custo operacional.
Eventos recentes situaram-nos em um perodo mpar
da histria empresarial americana. A demanda pela
responsabilidade corporativa nunca foi to grande.
Nunca foi to evidente a necessidade de vincular
uma adequada governana corporativa s eficazes
atividades de controle. Empresas e executivos que
tm o pensamento inovador vo aproveitar essa
oportunidade.
Momento de sustentao
Efetuar as mudanas necessrias para cumprir as
determinaes da Lei Sarbanes-Oxley pode ajudar as
companhias a ganhar mais e obter mais sucesso. A boa
governana corporativa envolve muitos outros processos que, ainda no obrigatrios por lei, podem proporcionar uma vantagem competitiva ao negcio. Portanto,
no interesse de maximizar o sucesso a longo prazo,
apresentamos algumas outras questes que possivelmente voc abordar ao reavaliar seus procedimentos
de governana corporativa.
j que est adaptando seus sistemas e procedimentos

para cumprir as exigncias da Lei Sarbanes-Oxley,
para consolidar o gerenciamento de seus controles
operacionais e de cumprimento de regras dentro da
mesma infra-estrutura de seus controles de divulgao
e emisso de relatrios financeiros. A formalizao de
procedimentos similares em torno de seus controles
operacionais e de cumprimento de regras propiciar
uma confiana muito maior em sua capacidade
operacional de evitar ciladas e obstculos nessas
duas esferas.
Estabelecer um Cdigo de tica

A administrao responsvel por certificar-se de
que todos os integrantes da companhia, do Diretor
Executivo aos funcionrios que ocupam cargos inferiores, conhecem o Cdigo de tica e tambm se comportam de acordo com esse cdigo. possvel fazer isso do
mesmo modo que se estabelece os controles internos
eficazes: doutrinando, impondo, modelando, instruindo
e infiltrando. Acima de tudo, certifique-se de que todos
compreendem, em termos concretos, o que devem
fazer para cumprir o cdigo. Pode ser de grande ajuda
desenhar vrias ilustraes que definam o comportamento apropriado para as pessoas que exercem diferentes papis corporativos, de modo que cada funcionrio
saiba o que significa comportamento tico em relao
ao seu prprio trabalho.
A dificuldade para implementar boas ticas corporativas
no reside somente na resoluo de questes, mas,
em primeiro lugar, na identificao dessas questes.
Nesse atual ambiente operacional complexo, em que h
incontveis sombras cinzas e poucas cores bem definidas, quase impossvel prever todas as situaes que
apresentam um dilema tico. Os esforos devem se
concentrar no auxlio aos funcionrios para que identifiquem essas situaes potencialmente espinhosas e os
encoragem a procurar diretrizes atravs dos mecanismos
estabelecidos para report-las.
Formalizar controles operacionais

e de cumprimento de regras
Embora esta publicao tenha discutido vrios
controles controles de divulgao e emisso de
relatrios financeiros foram os mais proeminentes ,
outros controles tambm merecem a nossa ateno.
Recomendamos que voc aproveite a oportunidade,
Envolver o Comit de Auditoria

A Seo 301 da Lei Sarbanes-Oxley exige que todas
as companhias de capital aberto listadas nas bolsas
de valores ou com negociaes na Association of
Securities realer Automated Quotation System Nasdaq
tenham um Comit de Auditoria, e muitas companhias
privadas tambm optaram pela formao desse comit.
Trabalhar em um Comit de Auditoria tarefa cada vez
mais desafiadora. Os membros do seu Comit de Auditoria devem ser pessoas dispostas e aptas a dedicar o tempo
e a energia necessrios para assumir a responsabilidade
de supervisores vigilantes, a bem do interesse dos
acionistas de sua companhia. A Seo 407 da Lei tambm
esclarece se o Comit de Auditoria precisa incluir um
especialista financeiro para proteger os interesses dos
investidores. As regras finais que implementam a Seo
407 exigem a divulgao da existncia de pelo menos um
especialista financeiro entre os membros do comit,
conforme definido pela SEC. Os nomes desses membros
devem ser divulgados no arquivo anual e, se no houver
nenhum especialista no comit, a companhia deve
divulgar o motivo. Alm de selecionar e supervisionar
o auditor independente da companhia, o Comit de
Auditoria deve revisar os relatrios financeiros para ver
se esto completos e precisos e propiciar discusses entre
a administrao, os auditores independentes e os auditores internos acerca de questes relativas qualidade e
integridade.
Portanto, convide seu Comit de Auditoria para cuidar
da implementao de seus controles internos e do
cumprimento das Sees 302 e 404 da Lei. O comit
pode agregar valor real ao processo atravs da superviso objetiva e de uma perspectiva experiente.
Anexo: Checklist do
cumprimento de regras
N da etapa
Descrio
Ver Pgina
1A
Familiarizar-se com a Seo 302 da Lei Sarbanes-Oxley
1B
Familiarizar-se com a Seo 404 da Lei Sarbanes-Oxley
2A
Executar a Avaliao Informal da Situao da Companhia
11
2B
Compromissos do Diretor Executivo e do Diretor Financeiro com a

Tarefa de Cumprimento das Regras
12
2C
Criar um Comit Diretor de Trabalho
12
3A
Familiarizar-se com as Estruturas de Controles Internos
13
3B
Selecionar a Estrutura de Controles Internos
13
Criar um Comit de Divulgao
15
5A
Estabelecer um Programa de Controles Internos
17
5B
Planejar o Programa
17
5C
Formar uma Equipe de Gerenciamento do Programa de Controles Internos
19
5D
Avaliar o Ambiente de Controle
19
5E
Definir o Escopo
20
5F
Construir um Repositrio de Controles
20
5G
Definir os Principais Objetivos de Controle
20
5H
Mapear as Atividades de Controle Existentes e Compar-las com os

Objetivos de Controle;
22
5I
Identificar as Deficincias dos Controles e Corrigi-las
22
5J
Executar Testes Iniciais e Contnuos
22
5K
Monitorar
22
Propiciar Tecnologias para Atingir Resultados
22
Lei Sarbanes-Oxley Guia para melhorar a governana corporativa atravs de eficazes controles internos uma publicao dos Servios de Governana Corporativa da
Deloitte Touche Tohmatsu, desenvolvida para auxili-lo a compreender de forma clara as
exigncias dos novos regulamentos e regras do mercado acionrio, mantendo sua resposta
alinhada com suas estratgias e seus objetivos corporativos mais amplos. Esses servios
concentram-se em quatro reas especficas papis e responsabilidades do Conselho de
Administrao, tica e cumprimento corporativo, gerenciamento de riscos e controles e transparncia e divulgao.
Para obter mais informaes, acesse www.deloitte.com/us/corpgov.
Esta publicao contm apenas informaes gerais e no deve servir de base para a prestao de servios de consultoria, auditoria, financeiros, empresariais, advocatcios, tributrios,
de investimentos, ou qualquer outro servio profissional. Esta publicao no substitui os
servios ou o aconselhamento profissional, nem deve ser utilizada como base para a tomada de qualquer deciso ou atitude que possa afetar o seu negcio. Consulte um profissional
qualificado antes de tomar qualquer deciso ou atitude que possa afetar o seu negcio.
Provavelmente, as informaes aqui divulgadas sofrero alteraes no aspecto material, e
no nos obrigamos a atualiz-las.
A Deloitte Touche Tohmatsu ou qualquer de suas afiliadas ou entidades relacionadas no se
responsabilizam por qualquer perda sofrida por pessoas que se baseiem nesta publicao.
Maio 2003
Deloitte Touche Tohmatsu

Presente em 140 pases com mais de 119.000 profissionais,
a Deloitte Touche Tohmatsu uma das maiores empresas do
mundo na prestao de servios especializados de auditoria,
consultoria tributria, consultoria em gesto de riscos
empresariais, corporate finance, consultoria e planejamento
atuarial, consultoria empresarial, outsourcing e consultoria em
gesto de capital humano.
No Brasil desde 1911, lder no seu segmento de atuao.
Conta com 2.500 profissionais e atua nacionalmente com 10
escritrios nas cidades de So Paulo, Belo Horizonte, Braslia,
Campinas, Curitiba, Fortaleza, Porto Alegre, Recife, Rio de
Janeiro e Salvador.
Nossos escritrios
So Paulo
Rua Bela Cintra, 881
01415-910 - So Paulo - SP
Fone +55 (11) 3150-1800
Fax +55 (11) 3258-8456
Campinas
Av. Dr. Carlos Grimaldi, 1.701 - 1 e 2 andares
13091-000 - Campinas - SP
Fone +55 (19) 3707-3000
Fax +55 (19) 3707-3001
Rio de Janeiro
Av. Presidente Wilson, 231 - 8 e 22 andares
20030-021 - Rio de Janeiro - RJ
Fone +55 (21) 3981-0500
Fax +55 (21) 3981-0600
Rua Alexandre Dumas, 1.981

04717-906 - So Paulo - SP
Fone +55 (11) 5185-2444
Fax +55 (11) 5181-2911
Curitiba
Rua Pasteur, 463 - 5 andar
80250-080 - Curitiba - PR
Fone +55 (41) 312-1400
Fax +55 (41) 312-1470
Recife
Rua Padre Carapuceiro, 733 - 11 andar
51020-280 - Recife - PE
Fone +55 (81) 3464-8100
Fax +55 (81) 3464-8142
Fortaleza
Av. Desembargador Moreira, 2.120 - sls. 201/202
60170-002 - Fortaleza - CE
Fone +55 (85) 264-7050
Fax +55 (85) 264-7055
Salvador
Av. Tancredo Neves, 450 - 29 andar
41820-021 - Salvador - BA
Fone +55 (71) 273-9400
Fax +55 (71) 273-9440
Belo Horizonte
Rua Paraba, 1.122 - 20 e 21 andares
30130-141 - Belo Horizonte - MG
Fone +55 (31) 3269-7400
Fax +55 (31) 3269-7470
Braslia
SCN Quadra 1 - Bloco C - 18 andar
70710-902 - Braslia - DF
Fone +55 (61) 327-4011
Fax +55 (61) 327-3891
Porto Alegre
Av. Carlos Gomes, 403 - 12 andar
90480-003 - Porto Alegre - RS
Fone +55 (51) 3328-8995
Fax +55 (51) 3328-8997
Para mais informaes contate-nos, tambm, pelo e-mail: comunicacao@deloitte.com.br
www.deloitte.com.br
2003 Deloitte Touche Tohmatsu

Todos os direitos reservados.

Sarbanes Oxley Portugues

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Sarbanes Oxley Portugues

Enviado por

Direitos autorais:

Formatos disponíveis

Lei

A Lei Sarbanes-Oxley torna Diretores Executivos e

Etapas para o desenvolvimento de um

1 Correto direcionamento das sees

4 Lei Sarbanes-Oxeley Maio 2003

considerados. Por exemplo, companhias de maior porte

3 Selecionar uma apropriada estrutura de

4 Conferir poderes ao Comit de Divulgao

5 Estabelecer um programa de controles

Disponibilizar tecnologias para

Para esta etapa de trabalho intensivo, so necessrias

Existem inmeras ferramentas que podem auxiliar no

Lei Sarbanes-Oxeley Maio 2003 5

promulgadas. Sem dvida, os efeitos da Lei SarbanesOxley sero sentidos no futuro.

Vincular a governana s atividades

da organizao. Mas agora

8 Lei Sarbanes-Oxeley Maio 2003

Afinal de contas, a Seo 302 j est em vigor (desde

Seo 906: responsabilidade corporativa

desenharam esses controles (ou supervisionaram seu

emisso de relatrios financeiros.

DEFININDO DEFICINCIAS E PONTOS FRACOS

10 Lei Sarbanes-Oxeley Maio 2003

independente da companhia preencha um relatrio

suficiente a mera confiana nas declaraes de

e certificar com confiana a eficcia de seus controles

O porte da companhia e a sua complexidade apresentam um paradoxo interessante. Via de regra, a

Comprometer-se com a tarefa

esse trabalho, elas devem ser programadas. Uma vez

Criar um Comit Diretor de Trabalho

Selecionar uma estrutura de

Conseqentemente, muitas companhias constroem

Controles Internos segundo o COSO

Devido sua presena por toda a parte, o COSO

As informaes so necessrias para todas as trs categorias

Os controles internos, conforme definidos pelo COSO,

O controle interno pertinente para a

Lei Sarbanes-Oxeley Maio 2003 13

Quer esteja comeando da estaca zero ou aperfeioando

ESTRUTURAS PARA CONTROLES INTERNOS

O Ambiente de Controle abrange toda a estrutura de

14 Lei Sarbanes-Oxeley Maio 2003

pelo Committee on Corporate Governance of the Institute

A Informao e Comunicao fornecem suporte aos

Conferir poderes ao Comit

Outros funcionrios (incluindo representantes da

COMITS DE CRUCIAL IMPORTNCIA

Lei Sarbanes-Oxeley Maio 2003 15

Determinao da pertinncia das divulgaes nos

16 Lei Sarbanes-Oxeley Maio 2003

de suas responsabilidades. Ele deve tambm obter a

Aps a formao da equipe, um plano de projeto deve

O PAPEL DA AUDITORIA INTERNA

Lei Sarbanes-Oxeley Maio 2003 17

A eficcia operacional das

A eficcia operacional das

O nvel de esforo para

O nvel de esforo para

O nvel de esforo para

Esse modelo, que visualmente retrata o grau de

Ao utilizar o Modelo de Confiabilidade nos

nos Controles Internos

Extenso da Documentao, Conscincia e

anual. Sob tais circunstncias, recomendamos que a