CONTROLES INTERNOS - IMPRESSÃO DE PÁGINA - http://www.cosif.com.

br/ Page 1 of 7

Cosif Eletrônico - http://www.cosif.com.br/

Documento impresso a partir de http://www.cosif.com.br/mostra.asp?arquivo=contabilidade_internacional-coso, em 25/6/2010
09:55:22 hs.

ENTENDENDO O COSO

A AUDITORIA INTERNA SEGUNDO COSO (com comentários)

Roteiro prático para entender os princípios do COSO - The Comitee of Sponsoring Organizations of The
Treadway Commission (Comitê das Organizações Patrocinadoras) sobre CONTROLES INTERNOS

Texto sem data escrito por: Luiz Eduardo Alves Ferreira (redação), Alceu Norberto Valente (revisão) e Fernando Asato
(revisão) - Extraído do site Auditoria Interna (que foi retirado da internet) coordenado por Grupo de Auditores Internos
do Banco do Brasil S/A com comentários e anotações [em vermelho] por Americo G Parada Fº - Contador CRC-RJ 19750.

Revisado em 13/03/2010

1 - Introdução

A Auditoria Independente assim como a Auditoria Interna vem passando por mudanças bastante profundas, que envolvem
não só alterações no instrumental e na metodologia, como também na sua própria função nas empresas.

Este texto era especialmente dirigido para os auditores internos, que trabalhavam (ou ião trabalhar) com o modelo COSO
de gerenciamento de controles internos (COMPLIANCE OFFICE). Ele trazia os conceitos fundamentais, sempre com a
preocupação da aplicação prática. No decorrer do desenvolvimento do texto, os signatários, funcionários do Banco do
Brasil, tiveram o cuidado de direcionar o entendimento para o planejamento e execução de uma missão de auditoria. Na
parte final apresentaram um roteiro prático de auditoria baseada no modelo COSO, procurando resgatar os conceitos
discutidos no corpo principal do texto.

Porém, atualmente é necessário chamar a atenção do leitor para o seguinte:

O Efetivo Controle Governamental Defendido por Keynes

Com base Lei 4.595/1964, na legislação e regulamentação complementar e baseado em recomendações do Comitê de
Supervisão Bancária da Basileia, com sede na Suíça, o Banco Central passou a exigir que as entidades do sistema
financeiro brasileiro tenham bem organizados sistemas de Controle Interno e de Gerenciamento de Riscos.

Mais informações podem ser obtidas no texto denominado Compliance Office.

É importante destacar também que o Banco Central do Brasil exige que os Auditores Independentes, entre outros
relatórios circunstanciados mencionados no COSIF 1.34.7, apresentem um sobre a qualidade dos controles internos e do
gerenciamento de riscos da entidade vistoriada (COSIF 1.34.7.2.b).

Veja ainda o MNI 2-1-20 - Auditores Independentes e todo o conteúdo do COSIF 1.34 - Auditoria

Por sua vez, na condição de entidade máxima reguladora da profissão, o CFC - Conselho Federal de Contabilidade vem se
esforçando, com o auxílio de outras entidades, em revisar todas as NBC - Normas Brasileiras de Contabilidade no
sentido de que se adaptem ao padrão internacional institucionalizado pela IFAC - Federação Internacional do Contadores e
pelo IASB - Comitê das Normas Internacionais de Contabilidade. Para isso, por intermédio da Resolução CFC 1.055/2005
foi criado o CPC - Comitê de Pronunciamentos Contábeis.

Sobre Auditoria Interna foi publicada a Resolução CFC 781/1995 que aprovou a NBC-P-3 - Normas Profissionais de
Auditor Interno e a Resolução CFC 986/2003 que aprovou a NBC-T-12 - Normas Técnicas de Auditoria Interna. É preciso
salientar também que o trabalho do Auditor Interno deve se basear no padrão internacional estabelecido para o Auditor
Independente (NBC-TA), baixadas em 2009, observando ainda o Código de Ética do Contabilista baixado pela Resolução
CFC 803/1996.

Voltando ao texto original, com dados históricos sobre o surgimento e a implantação do modelo COSO, vejamos:

http://www.cosif.com.br/imprime.asp?pagina=/mostra.asp&arquivo=contabilidade_inte... 25/6/2010
CONTROLES INTERNOS - IMPRESSÃO DE PÁGINA - http://www.cosif.com.br/ Page 2 of 7

2 - O Que é o COSO?

Muito se tem falado sobre controles internos. O que é um controle interno? É um normativo? É um sistema? Afinal, para
que serve um controle interno? É uma ferramenta para auxiliar as operações de uma empresa ou para atrapalhar? É um
instrumento que só é útil à auditoria ou a toda empresa?

Estas perguntas eram respondidas de diferentes maneiras, conforme a quem se perguntava. Gerentes tinham uma opinião
sobre controle interno que não era a mesma dos auditores internos, que por sua vez tinham uma visão diferente dos
funcionários da controladoria. A falta de um denominador comum ajudava a aumentar a confusão sobre o papel e
significado dos controles internos para a empresa.

Em 1985, foi criada, nos Estados Unidos, a National Commission on Fraudulent Financial Reporting (Comissão Nacional
sobre Fraudes em Relatórios Financeiros), uma iniciativa independente, para estudar as causas da ocorrência de fraudes
em relatórios financeiros/contábeis [Demonstrações Contábeis de publicação obrigatória pelas sociedades de capital aberto
também conhecidas como companhias abertas, pelas instituições do sistema financeiro e pelas grandes empresas depois
das modificações introduzidas na Lei das Sociedades por Ações a partir de 2008]. Esta comissão era composta por
representantes das principais associações de classe de profissionais ligados à área financeira. Seu primeiro objeto de
estudo foram os controles internos. Em 1992 publicaram o trabalho "Internal Control - Integrated Framework" (Controles
Internos - Um Modelo Integrado). Esta publicação tornou-se referência mundial para o estudo e aplicação dos controles
internos, e é a base que fundamenta o presente texto.

Posteriormente a Comissão transformou-se em Comitê, que passou a ser conhecido como COSO - The Comitee of
Sponsoring Organizations (Comitê das Organizações Patrocinadoras). O COSO é uma entidade sem fins lucrativos,
dedicada à melhoria dos relatórios financeiros através da ética, efetividade dos controles internos e governança
corporativa. É patrocinado por cinco das principais associações de classe de profissionais ligados à área financeira nos
Estados Unidos, a saber:

American Institute of Certified Public Instituto Americano de Contadores Públicos

AICPA
Accounts Certificados
AAA American Accounting Association Associação Americana de Contadores
FEI Financial Executives Internacional Executivos Financeiros Internacional
IIA The Insititute of Internal Auditors Instituto dos Auditores Internos
Institute of Management
IMA Instituto dos Contadores Gerenciais
Accountants

O Comitê trabalha com independência, em relação a suas entidades patrocinadoras. Seus integrantes são representantes
da indústria, dos contadores, das empresas de investimento e da Bolsa de Valores de Nova York. O primeiro presidente foi
James C. Treadway, de onde veio o nome "Treadway Comission". Atualmente John Flaherty ocupa a presidência.

Os Problemas Causados pela Autorregulação

Apesar do esforço regulatório dessa entidade não governamental denominada COSO, por falta de legislação repressora os
executivos norte-americanos tornaram-se os idealizadores e praticantes de muitas fraudes contábeis e assim passaram a
iludir e a prejudicar investidores do mundo inteiro, onde se incluem os Fundos de Pensão. Ou seja, os acionistas
controladores das empresas norte-americanas, por intermédio do Conselho de Administração das mesmas, passaram a
utilizar a lábia dos Executivos para convencer os investidores, dizendo que eram otimamente administradas e que tinham
grandes possibilidades de lucros, quando na realidade estavam falidas, como se observou em 2008 ocasião em que eclodiu
a Crise Mundial provocada por grande número de falências nos Estados Unidos da América, o que também já havia
acontecido antes de 2002. No sentido de combater essas fraudes, já tardiamente (em 2002) foi sancionado naquele país o
Sarbanes-Oxley Act tendo como finalidade proteger os sempre vilmente enganados investidores.

Veja mais informações em Contabilidade Internacional - Sistemas de Controle Interno e principalmente nos textos
indicados sobre Governança Corporativa e Contabilidade Criativa (Contabilidade Fraudulenta).

Como pode ser observado no texto sobre Governança Corporativa, no Brasil a preocupação em combater as fraudes
contábeis, a sonegação fiscal e a lavagem de dinheiro é bem anterior a iniciada em 2002 nos Estados Unidos e também
anterior a criação do COSO.

Veja o texto sobre A História da Legislação sobre Contabilidade no Brasil.

http://www.cosif.com.br/imprime.asp?pagina=/mostra.asp&arquivo=contabilidade_inte... 25/6/2010
CONTROLES INTERNOS - IMPRESSÃO DE PÁGINA - http://www.cosif.com.br/ Page 3 of 7

Portanto, tudo aquilo que foi feito nos Estados Unidos, sem pleno sucesso, serve apenas como base prática para que seja
aperfeiçoada a legislação e a regulamentação brasileira pré-existente.

3 - O Trabalho do COSO

3.1 - Definição

Para os integrantes do COSO, o ponto de partida é a definição de controle interno. O que é e para que servem os controles
internos? O grupo chegou à seguinte definição:

"Controle Interno é um processo, desenvolvido para garantir, com razoável certeza, que sejam atingidos os objetivos da
empresa, nas seguintes categorias:

Eficiência e efetividade operacional (objetivos de desempenho ou estratégia): esta categoria está relacionada com
os objetivos básicos da entidade, inclusive com os objetivos e metas de desempenho e rentabilidade, bem como da
segurança e qualidade dos ativos;

Confiança nos registros contábeis/financeiros (objetivos de informação): todas as transações devem ser
registradas, todos os registros devem refletir transações reais, consignadas pelos valores e enquadramentos
corretos;

Conformidade (objetivos de conformidade) com leis e normativos aplicáveis à entidade e sua área de atuação.

De acordo com a definição acima, o objetivo principal dos controles internos é auxiliar a entidade atingir seus objetivos.
Controle interno é um elemento que compõe o processo de gestão.

O controle interno é responsabilidade de todos.

Controle interno proporciona uma garantia razoável, nunca uma garantia absoluta. Controle interno efetivo auxilia a
entidade na consecução de seus objetivos, mas não garante que eles serão atingidos. E por que? Por vários motivos:

custo/benefício: todo controle tem um custo, que deve ser inferior à perda decorrente da consumação do risco
controlado;

conluio entre empregados: da mesma maneira que as pessoas são responsáveis pelos controles, estas pessoas
podem valer-se de seus conhecimentos e competências para burlar os controles, com objetivos ilícitos.

eventos externos: eventos externos estão além do controle de qualquer organização. Exemplo disso, foram os
acontecimentos do dia 11/09/2001, nos Estados Unidos. Quem poderia prever ou controlar os fatos ocorridos?

3.2 - Processo de Controles Internos

Como vimos, controle interno é um processo. Este processo é constituído de 5 elementos, que estão interrelacionados
entre si, e presentes em todos o controle interno. Os 5 elementos são:

Ambiente de Controle

Avaliação e Gerenciamento dos Riscos

Atividade de Controle

Informação e Comunicação

Monitoramento

3.2.1 - Ambiente de Controle

Ambiente de controle é a consciência de controle da entidade, sua cultura de controle. Ambiente de controle é efetivo
quando as pessoas da entidade sabem quais são suas responsabilidades, os limites de sua autoridade e se têm a
consciência, competência e o comprometimento de fazerem o que é correto da maneira correta. Ou seja: os funcionários
sabem o que deve ser feito? Se sim, eles sabem como fazê-lo? Se sim, eles querem fazê-lo? A resposta não a quaisquer
dessas perguntas é um indicativo de comprometimento do ambiente de controle.

Ambiente de controle envolve competência técnica e compromisso ético; é um fator intangível, essencial à efetividade dos
controles internos.

A postura da alta administração desempenha papel determinante neste componente. Ela deve deixar claro para seus
comandados quais são as políticas, procedimentos, Código de Ética e Código de Conduta a serem adotados. Estas
definições podem ser feitas de maneira formal ou informal, o importante é que sejam claras aos funcionários da
organização. O exemplo "vem de cima": quem dá o tom de controle da entidade são seus principais administradores.

http://www.cosif.com.br/imprime.asp?pagina=/mostra.asp&arquivo=contabilidade_inte... 25/6/2010
CONTROLES INTERNOS - IMPRESSÃO DE PÁGINA - http://www.cosif.com.br/ Page 4 of 7

Dicas

O ambiente de controle é mais efetivo na medida em que as pessoas tenham a sensação que estão sendo
controladas;

Certifique-se que os funcionários conhecem suas responsabilidades e a função de seus serviços;

Verifique se há um plano adequado de treinamento;

Verifique se os funcionários sabem qual o padrão de conduta e ética a serem seguidos;

Verifique se são tomadas as ações corretivas disciplinares devidas, quando o funcionário não agir de acordo com os
padrões de conduta e comportamento esperados ou de acordo com as políticas e procedimentos recomendados.

3.2.2 - Avaliação e Gerenciamento dos Riscos

As funções principiais do controle interno, como vimos, estão relacionadas ao cumprimento dos objetivos da entidade.
Portanto, a existência de objetivos e metas é condição "sine qua non" para a existência dos controles internos. Se a
entidade não tem objetivos e metas claros, não há necessidade de controles internos.

Uma vez estabelecidos e clarificados os objetivos, deve-se:

identificar os riscos que ameacem o seu cumprimento; e

tomar as ações necessárias para o gerenciamento dos riscos identificados.

Avaliação de riscos é a identificação e análise dos riscos associados ao não cumprimento das metas e objetivos
operacionais, de informação e de conformidade. Este conjunto forma a base para definir como estes riscos serão
gerenciados.

Os administradores devem definir os níveis de riscos operacionais, de informação e conformidade que estão dispostos a
assumir. A avaliação de riscos é uma responsabilidade da administração, mas cabe à Auditoria Interna fazer uma avaliação
própria dos riscos, confrontando-a com a avaliação feita pelos administradores. A identificação e gerenciamento dos riscos
é uma ação proativa, que permite evitar surpresas desagradáveis.

Identificação dos riscos

Risco é a probabilidade de perda ou incerteza associada ao cumprimento de um objetivo. Para cada objetivo proposto deve
ser feito um processo de identificação dos riscos.

Como auxílio neste processo de identificação dos riscos, sugerimos que o auditor responda as perguntas abaixo, para cada
objetivo elencado, anotando as respostas que representarem uma ameaça possível:

O que pode dar errado?

Como e onde podemos falhar?

O que deve dar certo ?

Onde somos vulneráveis?

Quais ativos devemos proteger?

Temos algum ativo líquido ou de uso alternativo?

Como podemos ser roubados ou furtados?

Como poderiam interromper nossas operações?

Como sabemos se nossos objetivos foram (ou não) alcançados?

Quais informações são as mais importantes ?

Onde gastamos mais dinheiro?

Como faturamos e cobramos nossas vendas?

Quais decisões requerem mais análise?

Quais atividades são mais complexas?

Quais atividades são mais regulamentadas?

Quais são nossas maiores exposição ao risco legal?

Análise dos Riscos

Uma vez identificados os riscos, devemos avaliá-los, levando em conta os seguintes aspectos:

qual a probabilidade (freqüência) dos riscos ocorrerem?

em caso de ocorrer, qual seria o impacto nas operações, considerando os aspectos quantitativos e qualitativos?

verifique, em sua opinião, quais ações seriam necessárias para administrar os riscos identificados.

http://www.cosif.com.br/imprime.asp?pagina=/mostra.asp&arquivo=contabilidade_inte... 25/6/2010
CONTROLES INTERNOS - IMPRESSÃO DE PÁGINA - http://www.cosif.com.br/ Page 5 of 7

Dicas

Certifique-se que a entidade tenha uma missão clara, e que as metas e objetivos estejam formalizados

Avalie os riscos a nível de dependência e setor

Avalie os riscos a nível de processo

Elabore um papel de trabalho para cada atividade relevante, priorize as atividades e processos mais críticos e
aquelas que podem ser melhoradas.

3.2.3 - Atividades de Controle

São aquelas atividades que, quando executadas a tempo e maneira adequados, permitem a redução ou administração dos
riscos. As atividades de controle compreendem o que, na sistemática de trabalho anterior à do COSO, era tratado como
controle interno. Podem ser de duas naturezas: atividades de prevenção ou de detecção. As principais atividades de
controle, e suas respectivas naturezas, são:

a) - Alçadas (prevenção): são os limites determinados a um funcionário, quanto a possibilidade deste aprovar valores
ou assumir posições em nome da instituição. Exemplos:

Estabelecimento de valor máximo para um caixa pagar um cheque

Estabelecimento dos tetos assumidos por um operador de mercado para cada horizonte de investimento

Estabelecimento de alçada operacional para o Comitê de Crédito de uma agência.

b) - Autorizações (prevenção): a administração determina as atividades e transações que necessitam de aprovação de

um supervisor para que sejam efetivadas. A aprovação de um supervisor, de forma manual ou eletrônica, implica que ele
(ou ela) verificou e validou a atividade ou transação, e assegurou que a mesma está em conformidade com as políticas e
procedimentos estabelecidos. Os responsáveis pela autorização devem verificar a documentação pertinente, questionar
itens pouco usuais, e assegurarem-se de que as informações necessárias à transação foram checadas, antes de darem sua
autorização. Jamais devem assinar em branco ou fornecerem sua senha eletrônica

c) - Conciliação (detecção): é a confrontação da mesma informação com dados vindos de bases diferentes, adotando
as ações corretivas, quando necessário

d) - Revisões de Desempenho (detecção): Acompanhamento de uma atividade ou processo, para avaliação de sua
adequação e/ou desempenho, em relação às metas, aos objetivos traçados e aos benchmarks, assim como
acompanhamento contínuo do mercado financeiro (no caso de bancos), de forma a antecipar mudanças que possam
impactar negativamente a entidade. Exemplos:

monitoração do comportamento de usuários de cartões de crédito (lugares inusitados, produtos diferentes etc.)

monitoração e questionamento de flutuações abruptas nos resultados de agências, produtos, carteiras próprias e de
terceiros

monitoração de valores realizados e orçados em unidades, com o objetivo de identificar dificuldades/problemas

acompanhamento da concorrência, visando o lançamento de novos produtos

e) - Segurança Física (prevenção e detecção): os valores de uma entidade devem ser protegidos contra uso, compra
ou venda não-autorizados. Um dos melhores controles para proteger estes ativos é a segurança física, que compreende
controle de acessos, controle da entrada e saída de funcionários e materiais, senhas para arquivos eletrônicos, ‘call-back’
para acessos remotos, criptografia e outros. Incluem-se neste controle os processos de inventário dos itens mais valiosos
para a entidade (p.ex., conferência de numerário)

f) - Segregação de Funções (prevenção): a segregação é essencial para a efetividade dos controles internos. Ela
reduz tanto o risco de erros humanos quanto o risco de ações indesejadas. Contabilidade e conciliação, informação e
autorização, custódia e inventário, contratação e pagamento, administração de recursos próprios e de terceiros,
normatização (gerenciamento de riscos) e fiscalização (auditoria) devem estar segregadas entre os funcionários

g) - Sistemas Informatizados (prevenção e detecção): controles feitos através de sistemas informatizados dividem-
se em dois tipos:

controles gerais: pressupõe os controles nos centros de processamentos de dados e controles na aquisição,
desenvolvimento e manutenção de programas e sistemas. Exemplos: organização e manutenção dos arquivos de
back-up, arquivo de log do sistema, plano de contingência;

controles de aplicativos: são os controles existentes nos aplicativos corporativos, que têm a finalidade de garantir a
integridade e veracidade dos dados e transações. Exemplos: validação de informações (checagem das informações
com registros armazenados em banco de dados).

http://www.cosif.com.br/imprime.asp?pagina=/mostra.asp&arquivo=contabilidade_inte... 25/6/2010
CONTROLES INTERNOS - IMPRESSÃO DE PÁGINA - http://www.cosif.com.br/ Page 6 of 7

h) - Normatização Interna (prevenção): é a definição, de maneira formal, das regras internas necessárias ao
funcionamento da entidade. As normas devem ser de fácil acesso para os funcionários da organização, e devem definir
responsabilidades, políticas corporativas, fluxos operacionais, funções e procedimentos.

As atividades de controle devem ser implementadas de maneira ponderada, consciente e consistente. Nada adianta
implementar um procedimento de controle, se este for executado de maneira mecânica, sem foco nas condições e
problemas que motivaram à sua implantação. Também é essencial que as situações adversas identificadas pelas atividades
de controles sejam investigadas, adotando-se tempestivamente as ações corretivas apropriadas.

3.2.4 - Informação e Comunicação

A comunicação é o fluxo de informações dentro de uma organização, entendendo que este fluxo ocorre em todas as
direções - dos níveis hierárquicos superiores aos níveis hierárquicos inferiores, dos níveis inferiores aos superiores, e
comunicação horizontal, entre níveis hierárquicos equivalentes.

A comunicação é essencial para o bom funcionamento dos controles. Informações sobre planos, ambiente de controle,
riscos, atividades de controle e desempenho devem ser transmitidas à toda entidade. Por outro lado, as informações
recebidas, de maneira formal ou informal, de fontes externas ou internas, devem ser identificadas, capturadas, verificadas
quanto à sua confiabilidade e relevância, processadas e comunicadas às pessoas que as necessitam, tempestivamente e de
maneira adequada.

O processo de comunicação pode ser formal ou informal. O processo formal acontece através dos sistemas internos de
comunicação - que podem variar desde complexo sistemas computacionais a simples reuniões de equipes de trabalho - e
são importantes para obtenção das informações necessárias ao acompanhamento dos objetivos operacionais, de
informação e de conformidade. O processo informal, que ocorre em conversas e encontros com clientes, fornecedores,
autoridades e empregados é importante para obtenção das informações necessárias à identificação de riscos e
oportunidades.

A informação é o combustível que move as organizações.

Dicas

Informação e comunicação são conceitos simples. No entanto, comunicar e conseguir informações com as pessoas, de
maneira prática e tempestiva, é sempre um desafio. Quando o auditor estiver preenchendo um PT sobre uma atividade ou
processo, é importante avaliar a qualidade dos sistemas e fluxos das informação pertinentes na dependência auditada.
Uma maneira de fazer esta avaliação é responder às seguintes perguntas:

A dependência consegue a informação que necessita de maneira prática e tempestiva?

A dependência tem conseguido obter as informações importantes para avaliação dos riscos internos e externos?

A dependência tem conseguido obter informações de desempenho - i.e., informações que permitem saber se os
objetivos operacionais, de informação e conformidade estão sendo atingidos?

A dependência identifica, captura, processa e comunica as informações necessárias a seus clientes e fornecedores
em tempo hábil e de maneira prática?

3.2.5 - Monitoramento

O monitoramento é a avaliação dos controles internos ao longo do tempo. Ele é o melhor indicador para saber se os
controles internos estão sendo efetivos ou não.

O monitoramento é feito tanto através do acompanhamento contínuo das atividades quanto por avaliações pontuais, tais
como auto-avaliação, revisões eventuais e auditoria interna.

A função do monitoramento é verificar se os controles internos são adequados e efetivos. Controles adequados são aqueles
em que os cinco elementos do controle (ambiente, avaliação de riscos, atividade de controle, informação & comunicação e
monitoramento) estão presentes e funcionando conforme planejado. Controles são eficientes quando a alta administração
tem uma razoável certeza:

Do grau de atingimento dos objetivos operacionais propostos;

De que as informações fornecidas pelos relatórios e sistemas corporativos são confiáveis; e

Leis, regulamentos e normas pertinentes estão sendo cumpridos.

4 - Proposta de Roteiro

http://www.cosif.com.br/imprime.asp?pagina=/mostra.asp&arquivo=contabilidade_inte... 25/6/2010
CONTROLES INTERNOS - IMPRESSÃO DE PÁGINA - http://www.cosif.com.br/ Page 7 of 7

Um dos grandes dificultadores das novas tecnologias é conciliar a teoria com a prática. É comum ser tortuoso e sofrido o
caminho que leva o profissional a entender, como os novos conceitos são aplicados em sua atividade. O presente roteiro
não tem a pretensão de eliminar este caminho, pretende apenas torná-lo menos "sofrido".

4.1 - Objetivo

O primeiro passo é definir qual o objetivo que vamos auditar. No caso do Banco, já temos os riscos pré-definidos, mas na
maioria dos casos esta definição deve ser mais aprofundada. Os riscos definidos pressupõem uma atividade, com os
respectivos objetivos pré-estabelecidos. Levante o maior número de informações sobre os seguintes pontos:

Quais são as metas traçadas para o objetivo que vai ser auditado. Levante números que permitam uma medição
clara e objetiva (valores, quantidade, etc...).

Quais são os sistemas e relatórios que permitirão o acompanhamento das metas traçadas.

Quais as leis e normativos que regem o objetivo que vai ser auditado.

4.2 - Riscos

Passo 2: Verifique os riscos ao cumprimento de cada objetivo. Faça as perguntas do item "Identificação dos Riscos" para
cada objetivo, registrando as respostas que você considera importantes. Selecione os riscos com maior probabilidade de
ocorrência e que causem perdas, no caso de sua consumação. Anote os riscos no quadro, para cada objetivo.

4.3 - Atividades de Controle

Passo 3: Para cada risco elencado, verifique quais são, em sua opinião, as atividades de controle que, se conduzidas de
maneira adequada, podem mitigar ou permitir o gerenciamento do risco. Como auxílio, utilize as atividades de controle do
subtítulo "Atividades de Controle" - veja quais, dos controles elencados, podem ser usados, e quais, em sua opinião, são os
mais recomendados para o risco em análise.

4.4 - Informação, Comunicação e Monitoramento

Passo 4: Verifique, para cada atividade de controle apontada, quais as que já estão sendo cumpridas e estão sendo
efetivas (estão efetivamente permitindo a mitigação/gerenciamento do risco). Esta também é a ocasião para identificar as
fontes de informações, métodos de comunicação e atividades de monitoramento. Assinale S para os casos em que os
controles estão sendo efetivos e N para os casos em que não estão.

4.5 - O Papel de Trabalho

Passo 5: Elaboração do PT. Para os assinalamentos ‘N’, elabore as perguntas para avaliar as ocorrências: as perdas estão
acontecendo? A probabilidade do risco ocorrer é grande? Os gestores estão cientes destes riscos?

Também é na fase da elaboração do PT que vamos incluir as verificações necessárias para avaliação dos elementos
ambiente de controle, informação & comunicação e monitoramento. Uma dica é verificar os pontos das "Dicas" dos
subtítulos que abordaram cada elemento.

Bibliografia

Manual da Audit - versão 1.3 - site da Auditoria Interna na intranet do Banco

Internal Control - Integrated Framework- http://www.coso.org

Controles internos e gestão de riscos operacionais em instituições financeiras brasileiras:
classificação, definições e exemplos - Resenha BM&F 143

Understanding Internal Controls, - http://www.oc.ca.gov/audit

©1999-2010 - Todos os direitos reservados para Cosif Eletrônico - http://www.cosif.com.br/.

Portal sobre contabilidade coordenado por Américo Garcia Parada Filho.

Fim do documento.

http://www.cosif.com.br/imprime.asp?pagina=/mostra.asp&arquivo=contabilidade_inte... 25/6/2010