Auditoria,

Auditoria, SOx e Controles Internos

I. Objetivo
Este artigo tem duas finalidades principais. Primeiramente, auxiliar os colaboradores do grupo Myers do
Brasil na compreenso do que vem a ser SOx, Controles Internos e qual a importncia da auditoria. No o
intuito deste guia ser algo tcnico nem mesmo esgotar o assunto, mas ser facilitador para quem sempre teve as
seguintes questes Por que precisamos ser auditados? , Qual o propsito de manter esta evidncia
documental? , O que SOx? , e afins.
Em segundo lugar, as definies dadas aqui procuram servir de guia para a compreenso da Matriz de
Controles implementada pela Companhia. Portanto, trata-se de uma leitura til para todos os colaboradores.

II. Definies utilizadas

Parecer (da auditoria): o resultado das anlises realizadas pela auditoria sobre a integridade e
fidedignidade das informaes inseridas no relatrio financeiro da Companhia, em determinado perodo. Este
parecer apresentado para os acionistas, credores, mercado financeiro, governo e demais interessados.
Relatrio Financeiro: a forma pela qual se demonstra os recursos obtidos e sua aplicao, com base em
documentao autntica e vlida para a situao.
Matriz de Controle: Planilha que agrega todos os controles mapeados, por ciclo de negcio, e demonstra
suas caractersticas operacionais.
Control Owner: Cargo responsvel pela execuo da atividade do controle, evidenciao da sua correta
execuo, manuteno das documentaes e disponibilizao da mesma, quando solicitado.

III. Breve explicao sobre Auditoria, SOx e Controles Internos.

Auditoria Externa
O propsito da auditoria externa, colocando de uma maneira simples, verificar se os nmeros contbeis e
financeiros, transaes e informaes registradas e divulgadas pela Companhia aos seus acionistas, so
ntegros, acurados e apresentados de maneira correta. Tais concluses so refletidas no parecer que auditoria
externa emite sobre o relatrio financeiro. Porm, para chegar a tal concluso, faz-se necessrio realizar testes
nos controles internos, testes substantivos nos saldos de balano e revises analticas.

Auditoria Interna
Por deciso da Myers Industries, o grupo Myers do Brasil tambm auditado por uma empresa de
consultoria, PricewaterhouseCoopers (PwC). Esta auditoria tem por objetivo antecipar e corrigir quaisquer
deficincias nos controles internos ou registros contbeis e financeiros que possam impactar as operaes e
serem refletidos no parecer da auditoria externa

Controles Internos e SOx

A Lei Sarbanes-Oxley foi uma reao da legislao americana aos escndalos financeiros de empresas dos
Estados Unidos no incio dos anos 2000. Tal Lei foi assinada em 30 de julho de 2002 pelo senador Paul
Sarbanes e pelo deputado Michael Oxley.
Motivada por escndalos financeiros corporativos (dentre eles o da Enron, que acabou por afetar
drasticamente a empresa de auditoria Arthur Andersen), essa lei foi redigida com o objetivo de evitar o
esvaziamento dos investimentos financeiros e a fuga dos investidores causada pela aparente insegurana a
respeito da governana adequada das empresas
Esta lei estabelece regras para Governana Corporativa relativas divulgao e emisso de relatrios
financeiros e d grande importncia aos controles internos das Companhias.
 Auditoria,
Auditoria, SOx e Controles Internos
O objetivo da Lei SOx :

Coibir abusos, ampliando exigncias de governana corporativa;

Implementar mudanas efetivas e sustentveis para recuperar a confiana dos investidores no
mercado de capitais;
Aumentar a transparncia das informaes geradas pelas empresas e instituies do mercado de
capitais (os investidores preocupam-se com a forma como seus investimentos so gerenciados e
como so protegidos)
Desencorajar afirmaes dos executivos de que "no tinham conhecimento" das atividades
duvidosas praticadas por suas companhias, tais como:
o Participaes no registradas nos livros,
o Reconhecimento de receitas imprprias,
o Outras falhas de controle interno.
Conforme mencionado, as exigncias da lei so destinadas s empresas americanas, mas tambm atingem
as companhias de capital aberto, independente da nacionalidade, com aes negociadas na Bolsa de Nova
Iorque NYSE. A Myers Industries, por ser uma empresa americana e possuir aes listadas na NYSE,
sujeita a esta lei e, por consequncia, suas subsidirias tambm, incluindo o grupo Myers do Brasil.
Para atender o disposto na Lei Sarbanes-Oxley, a Companhia vem adotando medidas para ter maior
confiana em seus controles internos. Em meados de 2016, a PwC auxiliou o corpo funcional a mapear e
certificar todos os controles internos. Estes controles so sujeitos aos testes da Auditoria Externa, que dever
emitir um parecer sobre a confiabilidade da informao gerada e do ambiente de controles. Este parecer
reportado a Myers Industries.
Posto isto, surge a necessidade de ter-se uma matriz de controles que seja ao mesmo tempo eficaz e
operacional. Eficaz no intuito de mitigar o risco e operacional no intuito de estar dentro da realidade no sendo
um entrave para os objetivos da Companhia. Portanto, tal matriz deve ser gerada atravs de um trabalho
conjunto entre auditoria interna, administrao da Companhia e responsveis pela execuo dos controles.
Tendo a PwC elaborado tal matriz, torna-se necessrio um constante monitoramento sobre as narrativas
destes controles, readequao de responsabilidades, relatrios chaves e demais assuntos que competem para
que se tenha um ambiente de controles internos robustos, eficaz e operacional.

IV. Entendendo a Matriz de Controles

1. Control characteristics
Esta seo traz informaes referentes s caractersticas tcnicas do controle. Estas classificaes alteram
a relevncia do controle e, por consequncia, a quantidade de amostra que a auditoria requerida a testar para
validar a efetividade do controle. Tais caractersticas so descritas na sequncia.

a) Frequncia
A frequncia diz respeito a tempestividade da execuo deste controle. Os controles podem ser
classificados quanto a sua frequncia em: Vrias vezes ao dia, Dirio, Semanal, Mensal, Trimestral, Anual
e/ou Conforme Necessrio. Controles com uma frequncia de execuo maior (dirio, por exemplo), tendem a
requerer um nmero maior de amostra para testes do que um controle com a frequncia menor (um trimestral, por
exemplo)

b) Automao
A automao diz respeito ao nvel de envolvimento humano na execuo do controle, podendo ser
classificado em:
 Auditoria,
Auditoria, SOx e Controles Internos
Manual: Toda atividade do controle executada fora do sistema e a pessoa que executa
responsvel direta pela eficincia operacional do mesmo. Um exemplo de controle manual o
PTP.7 - Solicitao Manual de Pagamento que diz respeito a solicitao e aprovao de pedido
de compra fora do sistema.
Dependentes de TI: Tratam-se de controles que dependem parte do sistema e parte da ao do
Owner. Um exemplo deste tipo de controle o FCR.6 - Criao/Alterao de Contas Contbeis
que ocorre parte em formulrios fsicos (solicitao de incluso) e parte no sistema (parmetro de
bloqueio da conta criada).
Automticos: So controles que so executados em sua totalidade por um sistema. Estes controles
dependem, portanto, de um parmetro configurado previamente ou uma rotina que disparada
automaticamente. Um exemplo de controle automtico o PTP.9 - Bloqueio de Insero de
Fatura Duplicada que, devido a um parmetro, inibe a entrada de uma nota-fiscal de compra em
duplicidade.

c) Tipo
Aqui descrito se o controle do tipo Preventivo ou Detectivo

Controles Preventivos: Controles com a caracterstica de preventivo buscam inibir que um

erro/falha ocorra. Exemplo de controle preventivo o INV.5 - Bloqueio de apontamento sem
saldo que inibe o apontamento de produo quando no houver saldo estoque de matria prima
suficiente para transferir.
Controles Detectivos: Controles com a caracterstica de detectivo buscam identificar possveis
erros/falhas que j ocorreram. Exemplo mais conhecido de controles detectivos so os controles de
conciliao e reconciliao.

d) Review Control
Esta classificao se restringe a sim e no. Um controle caracterizado como Controle de Reviso,
realizado com o intuito de verificar se uma informao, clculo, descrio ou contabilizao foi registrado
corretamente. Um exemplo de Controle de Reviso o FCR.2 - Reviso mensal dos Lanamentos Manuais
realizado mensalmente pelo departamento Contbil.

e) Control Owner
Todo controle deve ter uma pessoa diretamente responsvel pela sua correta execuo. Esta pessoa
tambm responsvel pela reteno de toda documentao de evidencia da execuo do controle.

2. Associated Risk and Assertions

Nesta seo da matriz, temos o cdigo e descrio do(s) risco(s) que a Myers Inc, entende que sejam
aplicveis s operaes do Brasil e que, no entendimento da Auditoria Interna e Compliance, so mitigados
pelo controle em questo.

a) Risco
O propsito do controle est intrinsecamente associado a possibilidade da materializao de um risco. Em
tratando-se de Controles Internos e Compliance, o termo Risco deve ser entendido como um conjunto de
diversos componentes, incluindo causa (fontes de risco ou vulnerabilidades existentes na organizao que
podem dar origem a um evento), evento (contexto ou situao em que a perda ou ganho ocorre) e
consequncias (diferentes tipos de perdas causadas pelo evento).
Essa descrio ampla do risco permite entender como os Controle Internos poderiam atuar: (1)
minimizando a probabilidade de as causas efetivamente provocarem o evento, ou, (2) minimizando o impacto
das consequncias dado que o evento j ocorreu
 Auditoria,
Auditoria, SOx e Controles Internos
b) Assertions
Assertions uma palavra da lngua inglesa que pode ser traduzida, no contexto de auditoria, como
Assertivas. Tais assertivas so afirmaes que embasam o registro e a divulgao das informaes
financeiras da Companhia. Tais afirmaes so positivas, ou seja, se confirmadas, indicam que o registro e/ou
divulgao foi feito de maneira adequada.
Para exemplificar, tomemos a assertion Accuracy, que, numa traduo livre, quer dizer acuracidade
ou exatido de valor. Vamos utilizar esta assertion numa situao de registro dum ativo fixo no balano da
Companhia. Esta assertion pode ser feita da seguinte maneira neste exemplo: Todo ativo fixo foi registrado
no seu valor correto no mdulo de ativo fixo da Companhia.
No caso acima, cabe ao Controle Interno associado a esta assertion, garantir que a sua afirmao seja
positiva. Ou seja, garantir que toda adio de ativo fixo no sistema da Companhia seja realizada no valor
correto.
Abaixo, so apresentadas as Assertions que so comumente utilizadas para guiar a administrao da
Companhia e a auditoria.
As Assertions podem ser classificadas nas seguintes categorias

Assertions relacionadas a classes de transaes

Assertions Descrio Exemplos: Vendas

Transaes reconhecidas nos

Occurrence As vendas registradas no Sistema
relatrios financeiros ocorreram e
(Ocorrncia) realmente ocorreram.
esto relacionadas a entidade.
Todas as transaes que deviam
Completeness ser registradas foram Todas as vendas que ocorreram,
(Completude ou Integridade) reconhecidas nos relatrios foram registradas no Sistema.
financeiros.

Todas transaes foram Todas as vendas que ocorreram,

Accuracy
registradas de maneira precisa e foram registradas no Sistema no
(Preciso ou Exatido)
nos montantes corretos. seu valor correto.

Todas as transaes foram As receitas com as vendas foram

Cut-off
reconhecidas nos perodos reconhecidas nos perodos
(Corte)
corretos. adequados.
As vendas foram alocadas
Todas as transaes esto
corretamente no balano entre:
Classification razoavelmente classificadas e
- Exportaes;
(Classificao) apresentadas nos relatrios
- Intercompany
financeiros.
- Vendas no Mercado interno.

Assertions relacionadas a saldos de ativos, passivos e patrimnio no fim do perodo

Assertions Descrio Exemplo: Estoques

 Auditoria,
Auditoria, SOx e Controles Internos
Existence Os saldos de ativos, passivos e
O saldo de estoque reconhecido corresponde a
patrimnio existem no perodo em
(Existncia) bens existentes
questo.

Completeness Todos saldos de ativos, passivos e Todo saldo de estoque que deveria ter sido
patrimnio que deviam ser registradas reconhecido no perodo, foi devidamente
(Completude ou foram reconhecidos nos relatrios reconhecido, inclusive itens em poder de
Integridade) financeiros. terceiros.

A Entidade possui o direito

O estoque existente pertence a Companhia e
propriedade ou uso do ativo
esta possui o direito de utiliza-lo. Itens de
Direitos e reconhecido, e os passivos
terceiro em poder da Cia esto devidamente
Obrigaes reconhecidos nos balanos da
segregados e corretamente contabilizados como
Companhia representam obrigaes da
tal.
mesma.

O estoque est reconhecido pelo menor custo ou

Valuation de Mercado. Todo custo que no pode ser
Saldos de ativos, passivos e patrimnio
(Valorao ou reconhecido como custo de produo (ex.
foram valorizados de maneira correta.
Avaliao) despesas gerais e administrativas) no foi
considerado no saldo de estoque.

Assertions relacionadas a apresentao e divulgaes

Assertions Descrio Exemplo: Intercompany

Transaes e eventos divulgados nos As transaes reportadas no relatrio

Occurrence
relatrios financeiros ocorreram e esto financeiro como sendo Intercompany
(Ocorrncia)
relacionados a Entidade. realmente ocorreram.
Todas as transaes, saldos, eventos e
Completeness Todas as transaes que ocorreram
outros assuntos que deveriam ser
(Completude ou com Intercompany foram registradas e
divulgados, o foram nos relatrios
Integridade) esto sendo divulgadas.
financeiros da Cia.
Eventos divulgados, transaes, saldos e
A natureza das transaes
outros assuntos financeiros foram
Classification & Intercompany foram divulgadas de
classificados de maneira adequada e
Understandability maneira apropriada e o usurio final do
apresentados de uma maneira clara que
(Classificao e Clareza relatrio financeiro pode facilmente
proporciona a inteligibilidade da
ou Inteligibilidade) entender e identificar os impactos de
informao contida nos relatrios
tais transaes na Companhia.
financeiros.
Eventos divulgados, transaes, saldos e
Accuracy & Valuation
outros assuntos financeiros foram Os saldos de transaes Intercompany
(Acuracidade/Preciso e
divulgados precisamente nos valores foram divulgados nos valores corretos.
Valorao)
apropriados.
 Auditoria,
Auditoria, SOx e Controles Internos
3. Control summary
Nesta parte feito uma breve e concisa descrio do que o controle. necessria para a rpida e fcil
identificao de qual o objetivo final do controle. Por exemplo:
RH.04: Todo apontamento de horas passa pela reviso do funcionrio e aprovao de seu superior
imediato antes de seguir para o RH calcular o salrio mensal.

4. Control activities description

Nesta parte, as atividades executadas para operar o controle so descritas mais detalhadamente. Utilizando
ainda o controle RH.04 como exemplo, temos a seguinte descrio das atividades do controle:
RH.04: Os relatrios so enviados aos funcionrios que devem revisar os horrios de atraso e hora extra
para posteriormente submeter aos gestores imediatos, que devem aprovar formalmente as horas extras e faltas
incorridas. Se for necessria alguma alterao, o RH ir realizar uma alterao manual no ERP Protheus no
caminho: " Ponto Eletrnico > Atualizaes > Lanamentos > Integrados > Aes > Alterar ". Posteriormente,
o RH acessa o ERP Protheus no caminho:" Gesto de Ponto > Relatrios Mensais > Espelho do Ponto",
imprime as timesheets e recolhe a assinatura dos empregados.

5. Key Report(s) used in the execution of this Control

Aqui demonstrado quais so os relatrios chaves utilizados na execuo da atividade controle. Por
relatrio chave, entende-se aqueles documentos sem os quais a informao contbil/financeira no pode ser
produzida ou a anlise no pode ser concluda. So documentos que devem ser mantidos como evidncia da
execuo do controle e que sero testados para cobrir as Assertions Completeness e Accuracy.

a) Informaes Produzidas pela Entidade (IPE)

Relatrios chaves so considerados na auditoria como IPE ou Informao Produzida pela Entidade. A
definio do que vem a ser um IPE pode ser resumida em: Um "relatrio" que pode ser gerado pelo sistema, preparado
manualmente ou uma combinao de ambos, que est sendo usado para executar uma atividade de controle pela
Companhia, seja este controle um registro, uma anlise ou uma tomada de deciso.

A ideia simples: Utilizando as definies de Assertions dadas anteriormente, se a documentao utilizada como
base para uma contabilizao, anlise, clculo ou tomada de deciso no estiver matematicamente precisa (Accuracy) e
integra (Completeness), h o risco de que a contabilizao, anlise, clculo ou tomada de deciso tenha sido feita de
maneira errnea e imprecisa.

O IPE possui 3 componentes bsicos:

Fonte das Informaes: A Fonte de Informaes o banco de dados de onde as informaes

esto sendo coletadas. Isso pode incluir dados mantidos no sistema de TI ou pode ser externo ao
sistema (por exemplo, dados mantidos em uma planilha do Excel ou mantidos manualmente em
forma fsica).
Por exemplo: a Fonte das Informaes do relatrio de Clientes cadastrados no ms de dezembro/2016 o
universo de todos os registros de clientes que existem no sistema da Companhia:
 Auditoria,
Auditoria, SOx e Controles Internos
Lgica do Relatrio: Quando gerado um relatrio no Protheus, o sistema utiliza-se de cdigo-
fonte que busca, na fonte de informaes, aquelas que so se enquadram nos critrios definidos no
parmetro. Portanto, a Lgica do Relatrio nada mais do que um Cdigo, algoritmos ou
frmulas utilizadas para transformar, extrair ou carregar os dados de origem relevantes e, em
seguida, criar o relatrio. Este item no deve ser confundido com o Parmetros do Relatrio pois
ele opera em um nvel abaixo, ou seja, apenas o programador (departamento de TI) tem acesso a
ele. No exemplo acima, a Lgica do Relatrio o cdigo fonte do relatrio de cadastro de clientes.
Parmetros do relatrio: Os parmetros de relatrio permitem que o usurio veja somente as
informaes que so de interesse para eles. Utilizaes comuns dos parmetros de relatrio,
incluindo a definio da estrutura do relatrio, especificao ou filtragem de dados utilizados num
relatrio ou ligao de relatrios relacionados (dados ou resultados) em conjunto. Os parmetros
de relatrio podem ser definidos manualmente pelo usurio ou podem ser pr-definidos no
sistema. Utilizando ainda o mesmo exemplo, os Parmetros do Relatrio podem ser a data, a
empresa, algum filtro de quais clientes no trazer, etc.
Caso no tenha ficado claro a distino entre estes 3 componentes do IPE, vide abaixo um exemplo
alegrico de como seria esta distino:
Suponhamos que determinada pessoa solicite um amigo que v at o supermercado e traga algumas
frutas. Em termos de IPE, podemos fazer a seguinte classificao:

Fonte de Informaes: O supermercado com todas as frutas disponveis

Lgica do Relatrio: A pessoa que tem a funo de ir at o supermercado e trazer aquilo que foi
solicitado
Parmetros do relatrio: A prpria lista de compras.

b) Relatrios Chave
Uma vez entendido o que vem a ser IPE, temos abaixo os 3 tipos de relatrios chave e suas caractersticas
quanto aos componentes do IPE destes:

Relatrio Padro do Sistema: Relatrios padres so aqueles nativos do sistema ERP

Protheus que no sofreram qualquer customizao por parte do departamento de TI e podem
ser extrados utilizando-se, quando aplicvel, apenas dos parmetros (datas, cdigos, etc.). A
Fonte da Informao o banco de dados do Protheus. A Lgica do Relatrio o cdigo fonte
que apenas a Totvs possui acesso. E, por fim, o Parmetro do Relatrio so aqueles inseridos
por quem est extraindo o mesmo. Exemplos destes relatrios so: SD1, SC7, SN3, CTT, etc.
Relatrio Customizado do Sistema: Relatrios customizados so aqueles que o
departamento de TI criou para atender a alguma necessidade especfica. A Fonte da
Informao tambm o banco de dados do Protheus. A Lgica do Relatrio o cdigo fonte
desenvolvido e mantido pelo departamento de TI. E, por fim, o Parmetro do Relatrio so
aqueles inseridos por quem est extraindo o mesmo. Exemplos destes relatrios so: Relatrio
de Comisses de Vendedor e Relatrio Anlise de Estoque.
Planilhas e outros relatrios extra sistema: Estes so quaisquer planilhas, relatrios ou
algum outro documento que foi elaborado pelo funcionrio e utilizado na execuo de algum
controle. A Fonte da Informao pode ser o banco de dados do Protheus (no caso das views)
ou outros. A Lgica do Relatrio so as frmulas, macros e conexes com bancos de dados
existentes. E, por fim, o Parmetro do Relatrio os filtros, a arrumao das tabelas, entre
outros. Exemplos destes relatrios so: Views de Faturamento e Views de Estoque.
A razo de haver um cuidado especial por parte da auditoria com este assunto que boa parte dos erros
contbeis/financeiros que podem ocorrer e levar a empresa a ter algum tipo de prejuzo, originam-se na
 Auditoria,
Auditoria, SOx e Controles Internos
ausncia de controles que visam garantir que estamos utilizando um relatrio confivel. Portanto, devemos dar
uma ateno especial para este assunto tambm.
Conforme mencionado no incio, todo relatrio chave dever ser testado para garantir que as Assertions
Completeness e Accuracy esto cobertas.
Voltando matriz de controle, na seo de Key-Reports temos uma tabela com os seguintes campos:

Report Name: Nome pelo qual o relatrio conhecido

Technical Report Name (If different from name used by the business): Nomenclatura tcnica
do relatrio, caso a mesma seja diferente do nome pelo qual o relatrio conhecido
"Key Fields Used in the Report (Is management concerned with completeness and/or accuracy)":
Campos do relatrio que so considerados crticos para a informao
System Report is Generated From: Nome do Sistema no qual gerado tal relatrio.
Standard or Custom Report: Trata-se de um relatrio padro ou customizado?
"IT Contact (Support contact who we could reach out to with technical questions regarding
the report)": Contato da pessoa que responsvel por auxiliar na extrao do relatrio e corrigir
quaisquer erros no mesmo
"What procedures does Management perform to assess completeness and accuracy? (As
part of the control)": Procedimentos efetuados pela pessoa que extra o relatrio para garantir a
integridade e acuracidade do relatrio.
Unit applicable: A qual(is) das unidades o relatrio aplicvel?

6. Control testing steps & Evidence of execution

Na ltima seo da matriz de controles, temos os procedimentos que so realizados para validar a
execuo do controle e a sua concluso. Para os testes, realizado uma amostra conforme as caractersticas do
controle (frequncia, automao, tipo, etc.) e analisado a documentao de evidncia descrita para cada
pergunta.
O auditor dever concluir sobre dois aspectos do controle:

a) Eficcia do Desenho.
Neste caso, atravs de seu know-how, o auditor ir verificar se o controle est desenhado de maneira que
consiga mitigar o risco eficazmente. Isso ele dever fazer atravs de uma anlise da descrio detalhada do
controle. Caso ele conclua que o desenho do controle (a sequncia das atividades efetuadas) no seja suficiente
para mitigar o risco, o auditor no ir nem selecionar as amostras para testar a eficincia operacional do
controle. Ele dever procurar na matriz ou nos processos (atividades) da rea uma outra atividade que mitigue
o risco.

b) Eficcia Operacional
No basta o controle ter sido desenhado de maneira adequada. preciso que o mesmo esteja
implementado e operando conforme o desenho. Para isso, o auditor dever realizar uma amostra de itens a
serem testados e analisar as documentaes que servem de evidncia da execuo do controle.
 Auditoria,
Auditoria, SOx e Controles Internos
V. Bibliografia
ACCOUNTING-SIMPLIFIED.COM. Accounting-Simplified.com. Accounting-Simplified.com.
Disponivel em: <http://accounting-simplified.com/audit/introduction/audit-assertions.html>. Acesso em: 29
Dezembro 2016.
COPEL. Copel. Conceito Sarbanes Oxley. Disponivel em:
<http://www.copel.com/hpcopel/root/nivel2.jsp?endereco=%2Fhpcopel%2Froot%2Fpagcopel2.nsf%2Fdocs%
2F9BB98D0A605769C00325742600606088>. Acesso em: 29 Dezembro 2016.
GRUPO ELO. Boas Prticas para o uso Estratgico de Controles Internos. Disponivel em:
<http://elogroup.com.br/conhecimento/insights/boas-praticas-para-o-uso-estrategico-de-controles-internos/>.
Acesso em: 29 Dezembro 2016.
WIKEPDIA. Lei Sarbanes-Oxley. Wikepdia. Disponivel em:
<https://pt.wikipedia.org/wiki/Lei_Sarbanes-Oxley>. Acesso em: 29 Dezembro 2016.