Escolar Documentos
Profissional Documentos
Cultura Documentos
DELOITTE 2003 LeiSarbanes... Fol
DELOITTE 2003 LeiSarbanes... Fol
Sarbanes-
Oxley
Guia para melhorar a
governança corporativa
através de eficazes
controles internos
Índice
Em primeiro lugar ............................................................................................................................................................................................................................ página 6
Obrigações e oportunidades .................................................................................................................................................................................................. página 6
Vincular a governança às atividades de controle ............................................................................................................................................... página 7
Embora a situação possa não ser tão crítica, está longe Os benefícios podem exceder o simples cumprimento
de ser ótima. Em muitas companhias existe uma lacuna da Lei Sarbanes-Oxley. Na verdade, uma forte estrutura
significativa entre os funcionários que executam as de controles internos pode ajudar sua companhia a:
atividades de controle e os executivos que tomam as tomar melhores decisões operacionais e obter
decisões estratégicas de governança. informações mais pontuais;
conquistar (ou reconquistar) a confiança dos
A maior parte das companhias não tem – e antes da investidores;
Lei Sarbanes-Oxley não estava obrigada a ter – um evitar a evasão de recursos;
vínculo direto das atividades de governança da Diretoria cumprir leis e regulamentos aplicáveis;
e da Alta Administração com as atividades de controle obter vantagem competitiva através de operações
dinâmicas.
Etapa 2
Comprometer-se e organizar-se
Fazer uma avaliação e certificar com confiança a eficácia de seus controles
Antes de dar início ao projeto de controles internos internos, é óbvio que algumas companhias precisarão
como exige a Lei Sarbanes-Oxley, uma avaliação informal fazer mudanças mais radicais que outras. Em grande
pode ser bastante útil para compreender como a Lei se escala, a natureza das operações ditará o escopo das
aplica à companhia – com base em suas características mudanças necessárias. Por exemplo, é possível que
operacionais – o que poderá favorecer o desenvolvimen- uma companhia altamente descentralizada necessite
to do plano de ação. de uma resposta mais elaborada para as medidas
da Lei Sarbanes-Oxley acerca dos controles internos
Embora provavelmente todas as companhias de capital do que um registrante com características mais
aberto precisarão fazer ajustes antes de poder avaliar simples.
Monitoramento
Confiabilidade dos relatórios financeiros.
Cumprimento de leis e regulamentos aplicáveis.
Informação e Comunicação
operacionais.
financeiros.
ESTRUTURA: OBRIGATÓRIA
Qual a importância da estrutura de controles internos para o programa de controles internos segundo a Lei
Sarbanes-Oxley? Considere os pontos a seguir:
Sem uma estrutura apropriada de controles internos garantia sobre a eficácia de seus controles e procedimen-
(COSO ou similar), provavelmente não será possível aten- tos internos para a emissão de relatórios financeiros. Se a
der às exigências determinadas pela Seção 404 da companhia não tiver adotado uma estrutura de contro-
Lei Sarbanes-Oxley. Segundo essa seção, o auditor inde- les internos, não haverá critérios com os quais a companhia
pendente deve preencher um relatório que ateste sua ou o auditor independente possa comparar a eficácia.
Várias estruturas para a avaliação dos controles inter- pelo Committee on Corporate Governance of the Institute
nos estão disponíveis. Entre as mais proeminentes, of Chartered Accountants in England & Wales, em parce-
encontramos: ria com a London Stock Exchange, o guia foi publicado
em 1999. O Turnbull exige que as companhias identi-
1. COSO – Estrutura Integrada de Controles Internos: fiquem, avaliem e administrem seus riscos significativos
Desenvolvida pelo Committee of Sponsoring e avaliem a eficácia do sistema de controles internos
Organizations of the Treadway Commission e patro- relacionado.
cinada pela AICPA, FEI e IIA entre outros, o COSO é a
estrutura dominante nos Estados Unidos. As diretrizes 4. ACC – Australian Criteria of Control: Emitido em 1998
foram publicadas em 1991, com revisões antecipadas pelo Institute of Internal Auditors – Austrália, o ACC
e atualizações posteriores. Acreditamos que esta será enfatiza a competência da administração e dos funcio-
a estrutura escolhida pela grande maioria das com- nários para desenvolver e operar a estrutura de controles
panhias de capital aberto sediada nos EUA. internos. Trata-se de um controle independente, que
inclui atributos como atitudes, comportamentos e com-
2. CoCo – Modelo de Controles: Desenvolvido pelo Cri- petência, e é promovido como o enfoque mais compen-
teria of Control Committee of Canadian Institute sador em termos de custo para os controles internos.
of Chartered Accountants, o CoCo concentra-se nos
valores comportamentais como a base fundamental 5. King Report – Expedido pelo King Committee on Cor-
para os controles internos de uma companhia, e não porate Governance em 1994, promove padrões gerais
na estrutura e nos procedimentos de controle. para governança corporativa na África do Sul. O King
Report ultrapassa os aspectos financeiros e reguladores
3. Turnbull Report – Controles Internos: Diretrizes para usuais da governança corporativa, direcionando
Diretores sobre o Código Combinado: Desenvolvido questões sociais, éticas e ambientais.
O Ambiente de Controle abrange toda a estrutura de A Informação e Comunicação fornecem suporte aos
controles internos – é o universo no qual todos os outros controles internos, transmitindo diretrizes do nível da
elementos existem. O Ambiente de Controle inclui administração para os funcionários, em um formato e
conceitos como conduta, atitude, consciência, compe- uma estrutura de tempo que lhes permitem executar
tência e estilo. Grande parte de sua força é extraída da suas atividades de controle com eficácia. O processo
conduta estabelecida pelo Conselho de Administração também poderia percorrer o caminho inverso, partindo
e pelos executivos da companhia. dos níveis mais baixos da companhia para a administra-
ção e para o Conselho de Administração, transmitindo
A Avaliação de Riscos envolve a identificação e a análise as informações sobre os resultados, as deficiências
pela Administração dos riscos mais relevantes para a e as questões geradas.
obtenção dos objetivos do negócio. No decorrer de uma
avaliação de riscos, cada objetivo operacional, do nível O Monitoramento é o processo para estimar e
mais alto (como “dirigir uma companhia lucrativa”) ao avaliar a qualidade dos controles internos durante
mais baixo (como “salvaguardar caixa”), é documentado avaliações contínuas e especiais. O Monitoramento
e então cada risco que possa prejudicar ou impedir o pode incluir tanto a supervisão interna quanto externa
alcance do objetivo é identificado e priorizado. dos controles internos pela administração, pelos funcio-
nários, ou pelas partes externas.
As Atividades de Controle são desenvolvidas para
direcionar especificamente cada objetivo de controle,
visando atenuar os riscos identificados anteriormente.
As atividades de controle são políticas, procedimentos
e práticas adotados para assegurar que os objetivos
operacionais sejam atingidos e as estratégias para
atenuar riscos sejam executadas.
Esse modelo, que visualmente retrata o grau de Ao utilizar o Modelo de Confiabilidade nos
confiabilidade dos controles internos, pode ser aplicado Controles Internos, a equipe do projeto deve avaliar
a qualquer unidade para a qual um plano esteja minuciosamente as características da unidade que
sendo criado (por exemplo, a companhia como um está sendo avaliada e determinar o estágio que mais
todo, uma unidade operacional ou uma subsidiária). se assemelha ao status dos controles internos
Uma versão do Modelo de Confiabilidade nos dessa unidade.
Controles Internos, foi desenhada para categorizar
a confiabilidade dos controles internos em quatro Se os controles internos forem classificados como
estágios: (1) não-confiável, (2) insuficiente, (3) confiável não-confiáveis (Estágio 1) ou insuficientes (Estágio 2),
e (4) excelente, com base nas características apresen- provavelmente a estrutura de controles internos não é
tadas na tabela. suficiente para suportar as exigências de certificação
le n
Es te
tá
gi
o
importantes e exercerão um papel principal na eficácia
3–
Co
n
de sua estrutura de controles internos. Na verdade,
fiá
Es
ve
l grande parte do sucesso ou do fracasso de um programa
tá
gi
o de controles internos pode depender da documentação
2–
In
su escrita. Mas também são críticos os atributos menos
fic
Es ien tangíveis de cultura, conduta e atitude, coletivamente
tá te
gi
o 1–
Nã
chamados de “Ambiente de Controle”. Contribuindo
o- com o Ambiente de Controle encontram-se elementos
co
nfiá
ve
l como integridade, valores éticos e competência dos
funcionários de sua companhia; filosofia e estilo
Consciência e Monitoramento operacional da administração; delegação de autoridade
e responsabilidade; e atenção e direção fornecidas pelo
Conselho de Administração. O Ambiente de Controle
anual. Sob tais circunstâncias, recomendamos que a constitui a base para todos os demais componentes
equipe do projeto comece a implementar imediatamente dos controles internos.
o plano do projeto. Se essa implementação demorar,
pode ser que a companhia não esteja preparada para Para facilitar a compreensão do Ambiente de Controle,
apresentar seu relatório anual acerca dos controles é recomendável a execução de uma avaliação cultural.
internos ou para atender às exigências de certificação Ao pesquisar a Alta Administração e os funcionários de
do auditor independente. toda a organização, é possível obter rapidamente uma
compreensão sobre a atitude dessas pessoas acerca do
Atingir o Estágio 3, significa que os controles internos compromisso da companhia em criar um ambiente de
de uma companhia são confiáveis, mas não determina controle eficaz. Se os resultados da avaliação cultural
o fim do processo. Ao contrário, é o Estágio 4 que sugerirem que a companhia não possui um ambiente
representa o propósito da Lei Sarbanes-Oxley, por meio de controle consistente, é necessário adotar medidas
do qual a governança corporativa está vinculada a corretivas, como:
atividades de controle eficazes. comunicar a importância dos controles internos;
reforçar seu código de conduta e ética, bem
Além de fornecer informações úteis que a equipe como o programa de
do projeto pode utilizar ao desenvolver o seu plano cumprimento de regras; Políticas e
de projeto, o Modelo de Confiabilidade nos Controles restabelecer o apropriado procedimentos expressos
Internos pode servir para várias outras finalidades, jargão “o exemplo vem
são importantes.
incluindo: de cima”;
Mas também são críticos
servir como um modelo comum para a discussão conduzir programas
entre a administração e o auditor independente, de treinamento e os atributos menos
em relação à confiabilidade dos controles internos conscientização; tangíveis de cultura,
da companhia, para a avaliação dos controles estabelecer canais para conduta e atitude,
pela administração e certificação do auditor comunicação aberta coletivamente
independente; (incluindo mecanismos
chamados de “Ambiente
que possibilitem a
de Controle”.
informação anônima).
A equipe do projeto deve começar o processo de Com o passar do tempo, a companhia pode considerar
definição do escopo pela identificação de todas a integração do processo de priorização de riscos na
as principais unidades operacionais, localidades e emissão de relatórios financeiros e na divulgação
subsidiárias da companhia. Em seguida, deve entrevistar com um programa de avaliação de riscos em toda a
o pessoal da administração dessas unidades empresa, que direcione todos os elementos da estrutura
operacionais para identificar riscos na emissão de do COSO.
relatórios financeiros e na divulgação, que poderiam
afetar de maneira adversa a capacidade da entidade Construir um repositório de controles
de reportar com precisão dados financeiros e não- O repositório de controles servirá como uma central de
financeiros, consistentes com o seguinte objetivo: informações e atividades relacionadas com os controles
“todos os valores e divulgações são precisos, completos, internos. Ele conterá a documentação sobre os objetivos
justos e pontuais”. de controle, o desenho e a implementação das ativida-
des de controle, bem como os métodos para testar a
Durante o processo de entrevistas, a administração eficácia dessas atividades. Será o banco de dados no
deve estar preparada para abordar os seguintes pontos, qual trimestral e anualmente as avaliações da adminis-
entre outros: tração se basearão, conforme determinado pelas
Riscos que podem impedir que a companhia alcance Seções 302 e 404.
seus objetivos operacionais.
Riscos na emissão de relatórios financeiros e nas Para desenvolver esse repositório de controles, é reco-
divulgações, considerando o seguinte: mendável que sejam seguidas as seguintes etapas:
– principais processos e sistemas operacionais, incluindo Definir os principais objetivos de controle.
aplicativos e processos Mapear as atividades de controle existentes e
terceirizados; compará-las com os objetivos de controle.
A equipe do projeto Identificar áreas em que os controles necessários
– riscos e processos não-
deve documentar e sistemáticos (por exemplo, estão ausentes e corrigi-las.
priorizar cada risco lançamentos no diário
identificado na emissão e responsabilidade por Definir os principais objetivos de controle – Como
de relatórios financeiros contratos); resultado do processo de definição do escopo, deve
– padrões contábeis ser produzido um inventário dos principais riscos na
e na divulgação
significativos; emissão de relatórios financeiros e na divulgação.
Disponibilizar tecnologias
para atingir resultados
A simples logística do cumprimento das medidas da Lei As ferramentas não devem ser encaradas como uma
Sarbanes-Oxley para os controles internos pode parecer solução fácil para um problema difícil. Todas elas precisa-
desanimadora. Contudo, a carga pode ser extremamente rão de algum tipo de adaptação para operar de maneira
amenizada com a utilização estratégica das ferramentas eficaz. Também, não se pode se deixar seduzir pela
apropriadas. tecnologia – uma ferramenta própria deve simplificar em
vez de complicar o processo. Finalmente, vale lembrar
Essas ferramentas podem auxiliar em inúmeras tarefas que as ferramentas devem complementar o trabalho
como desenho de controles, documentação de contro- pessoal, não substituí-lo.
les, análise e correção de falhas nos controles, aperfei-
çoamento de divulgações, gerenciamento de riscos, Antes de investir em ferramentas, é importante
documentação de revisões e assinaturas e fornecimento verificar a possibilidade de personalização dos recursos
de relatórios administrativos aperfeiçoados. existentes que podem dar suporte ao programa de
controles internos. Por exemplo, muitas companhias
O uso que as companhias fazem dessas ferramentas é mantêm uma intranet que pode servir como repositório
limitado apenas por suas necessidades e pelos recursos para informações e documentos relacionados com
financeiros disponíveis. Em geral, as necessidades de os controles internos. Veja a seguir um resumo de
companhias menores – e também a verba disponível algumas opções.
para a aquisição dessas ferramentas – serão menores
do que as verificadas em organizações mais complexas Banco de dados
ou maiores. Mas, independentemente do tamanho e Programas de banco de dados estão disponíveis para
da complexidade da companhia, as ferramentas e a fornecer suporte ao programa de controles internos.
tecnologia selecionadas devem ser consistentes com as Um banco de dados de controles pode ajudar as
necessidades de sua organização. companhias a documentar seus processos, objetivos
Seja qual for o sistema adotado, é aconselhável executar 2 Promover a compreensão dos controles
um programa piloto em uma escala gerenciável – como internos dentro da organização.
uma divisão, departa- Estudos recentes realizados pelas agências reguladoras
A carga imposta mento ou unidade demonstraram que, no caso de dois grandes bancos,
pelas medidas da Lei operacional – antes de os executivos assinaram declarações de boa-fé. Contudo,
Sarbanes-Oxley pode implantar o sistema em não estavam aptos a demonstrar nenhum controle
ser amenizada com a toda a empresa. acerca do processo de avaliação, já que não compreen-
diam todas as implicações de suas declarações. Em
utilização estratégica
outros casos, descobriu-se que funcionários arquivavam
de ferramentas.
checklists e pacotes de relatórios de controles internos
5B Planejar o Programa 17
5E Definir o Escopo 20
5K Monitorar 22
Esta publicação contém apenas informações gerais e não deve servir de base para a presta-
ção de serviços de consultoria, auditoria, financeiros, empresariais, advocatícios, tributários,
de investimentos, ou qualquer outro serviço profissional. Esta publicação não substitui os
serviços ou o aconselhamento profissional, nem deve ser utilizada como base para a toma-
da de qualquer decisão ou atitude que possa afetar o seu negócio. Consulte um profissional
qualificado antes de tomar qualquer decisão ou atitude que possa afetar o seu negócio.
Provavelmente, as informações aqui divulgadas sofrerão alterações no aspecto material, e
não nos obrigamos a atualizá-las.