T30 MAP SOX Parte 01 Aluno

Mapeamento de Controles Internos SOX
Subsídios para Prática Corporativa
Aula 01
Prof. Frank Pizo

Apresentação
Prof. Frank Pizo
• Graduado em Administração de Empresas, MBA Controles Internos e Compliance pela FIPECAFI e
MBA Banking pela FGV
• 20 anos de experiência profissional em empresas multinacionais automotivas e financeiras, nas
áreas de Controladoria, Planejamento e Controle, Controles Internos e Compliance e Governança
Corporativa.
• Responsável pelo processo de mapeamento de Controles Internos, para fins de obtenção da
certificação SOX e pelo acompanhamento e desenvolvimento de procedimentos de auditoria e
controles internos, avaliação de riscos operacionais, combate e prevenção a fraudes.
• Cursos ministrados na FIPECAFI:
- MBA: Governança Corporativa, Gestão de Riscos, Compliance e Auditoria SOX
- Extensão:
Mapeamento SOX - Módulo I - Subsídios para Prática Corporativa
Mapeamento SOX – Módulo II – Avaliação de Aderência e Efetividade
COSO 2013 – Aplicação Prática da Nova Estrutura Integrada de
Controle Interno (lançamento)
Livro: Fipecafi – Ed. Atlas Gen - 2018
Práticas de Controles Internos Sobre as Demonstrações Financeiras
Objetivos
• Compreender a origem da Lei Sarbanes Oxley (SOX)

• Compreender o funcionamento dos órgãos regulatórios
• Compreender os frameworks COSO e COBIT
• Identificar ambientes de Controles Internos
• Identificar riscos e controles
• Aplicar conceitos de mapeamento SOX
Questionário
https://docs.google.com/forms/d/e/1FAIpQLSc
Y_Wd1Ts2LDcQOEMyyYCfbTrWFKo04Jr4C
L6f7L1ewMtxtUQ/viewform?usp=sf_link)
Aula 01
Prof. Frank Pizo

Origem da Lei
Sarbanes Oxley (SOX/ SOA/SARBOX)
Aula 01
Prof. Frank Pizo

O caso Barings
• Banco de 200 anos de tradição na Inglaterra.

• Fraude de £ 1 bilhão.
• De autoria de Nick Leeson, em 1995.
• Resultado: Falência do Banco Barings.
• Impacto Global: crise no sistema financeiro.
Rogue Trader (1998). A Fraude – filme. Duração: 101min.

Lesson, N.W. (1997). A história do homem que levou o Banco Baring a falência. Trad. Pinheiro de Lemos Janeiro: Ed. Record.
Basiléia II
• Criada para restabelecer a confiança no sistema financeiro.
Pilar I
Pilar I
Capital
Modelos Internos
Mínimo
Pilar II Pilar I
Supervisão Supervisão nos
Bancária Processos e Modelos
Pilar I
Pilar III Qualidade de
Transparência Informações de
Mercado
•Pilares: (1) exigir capital mínimo;

(2) supervisão bancária;
(3) transparência.
Origem da Lei Sarbanes-Oxley
Gigante energética à beira da
• 2001: Enron falência nos EUA
• 5ª Maior empresa dos EUA.

• Fraude contábil de US$ 0.6 bilhões.
• 2002: Arthur Andersen Arthur Andersen fecha com

85.000 funcionários demitidos
• Falta de imparcialidade
em pareceres financeiros.
• Irresponsabilidade.
• De Big Five para Big Four.

Origem da Lei Sarbanes-Oxley
• Jul/2002: Aprovação da Lei Sarbanes Oxley (SOX).
Ações negociadas na NYSE.
• “Eron’s Ride of Broken Dreams” (The Simpsons)
O objetivo foi de restaurar a confiança e segurança das

práticas contábeis e relatórios corporativos.
Leis de Governança no mundo…
SOX é uma Lei de Governança Corporativa dos Estados Unidos, focada

principalmente em Controles Internos.
Estrutura de Controles Internos
• Define-se Controle Internos como:
• Políticas ou procedimentos voltados a redução dos riscos.
• “Processo, cuja finalidade é assegurar, num grau razoável, que os riscos serão
identificados e geridos de tal forma que os objetivos da organização sejam
atingidos” (COSO,1992).
Auditorias Gestão
externas e internas de riscos
e ferramentas
Visão integrada
&
Expertise
Compliance Processos
& de negócios
Controles Internos
• O objetivo é obter controles internos adequados.

Controle Interno x Auditoria
Securities and Exchange Commnission (SEC)
Principais exigências
Aula 01
Prof. Frank
Pizo
SEC
http://www.sec.gov/
Objetivos da Lei Sarbanes-Oxley
• Responsabilizar a alta administração das empresas;
• Fortalecer os princípios de Governança Corporativa;
• Supervisionar as Demonstrações Financeiras;
• Reestabelecer a confiança dos investidores;
• Exigir maior transparência e credibilidade.

Principais artigos
1. Public Company Accounting Oversight Board. (101 a 109)

101. Establishment; administrative provisions.
102. Registration with the Board.
103. Auditing, quality control and independence standards and
rules.
• Resumo: criação do Public Company Accounting Oversight Board

(PCAOB).
Principais artigos
2. Auditor Independence. (201 a 209)

201. Services outside the scope of practice of auditors.
202. Pre-approval requirements.
203. Audit partner rotation.
204. Auditor reports to audit commitees.
• Resumo: criação de restrições às firmas de auditoria independente

(independência).
Principais artigos
3. Corporate Responsibility. (301 a 308)

301. Public company audit committees.
302.Corporate responsibility for financial reports.
303. Improper influence on conduct of audits.
• Resumo: obriga os CFO e CEO certificarem, pessoalmente, as

Demonstrações Financeiras.
Principais artigos
4. Enhanced Financial Disclosures. (401 a 409)
401. Disclosures in periodic reports.
402. Enhanced conflict of interest provisions.
403. Disclosures of transactions involving management and
principal stockholders.
404. Management assessment of internal controls.
• Resumo: criação de requerimentos de controles internos sobre as

divulgações das Demonstrações Financeiras.
Demais seções da Lei
5. Analyst Conflicts of Interest.

6. Commission Resources and Authority.
7. Studies and Reports.
8. Corporate and Criminal Fraud Accountability.
9. White Collar Crime Penalty.
10. Corporate Tax Returns.
11. Corporate Fraud and Accountability.
Seções específicas da Lei SOX
Section 302
Certificação das DFs
pela Administração.
Emissão Relatórios
Relatório de Controles Internos
Section 404 pela administração e certificação
do auditor independente.
Proteger os Whistle Criação e proteção do

Section 806 -Blowers canal de denuncia.
Responsabilidade criminal ao
Penalidades CFO e CEO.
Section 906
Orgãos Reguladores e Metodologias
PCAOB
Aula 01
Prof. Frank
Pizo
PCAOB
http://pcaobus.org/Pages/default.aspx
PCAOB
• Criado pela Lei Sarbanes-Oxley com as funções de:
• registrar as empresas de auditoria independente que prepararão relatórios de

auditoria para empresas registradas na SEC;
• definir regras de auditoria, controles de qualidade, valores éticos,

independência e padrões na preparação de relatórios de auditoria para
empresas registradas na SEC;
• inspecionar as empresas de auditoria independente;
• estabelecer investigações e procedimentos disciplinares sobre as firmas de

auditoria independente e atribuir sanções para empresas e/ou sócios.
Orgãos Reguladores e Metodologias
COSO / COBIT
Aula 01
Prof. Frank
Pizo
COSO
http://www.coso.org/
COSO
• 1985 - National Commission on Fraudulent Financial Reporting (Comissão Nacional sobre
Fraudes em Relatórios Financeiros):
* iniciativa do setor privado americano.
* estudo das causas de fraudes/desvios em relatórios financeiros/contábeis.
* comissão exclusiva para o estudo dos controles internos.
• 1992 - Internal Control - Integrated Framework (Controles Internos – Um Modelo Integrado):

* referência mundial na aplicação de controles internos.
- The Comitee of Sponsoring Organizations (Comitê das Organizações Patrocinadoras):

* resultado da transformação da comissão em comitê, reconhecida pelo
COSO.
* sem fins lucrativos
* aperfeiçoamento dos relatórios financeiros através de boas práticas de governança
corporativa (controles internos efetivos e valores éticos).
• O COSO foi reconhecido pela SEC como modelo a ser aplicado para atendimento de controles
internos (Lei SOX), tornando obrigatório o que antes era considerado boas práticas de
governança.
Os componentes do COSO
3 OBJETIVOS
Ambiente de Controle
o Integridade nos valores éticos
o Comprometimento com competência
o Filosofia
o Estrutura organizacional
o Diretrizes de autoridade e responsabilidades
5 COMPONETES
o Práticas de recursos humanos
Avaliação de Risco
o Objetivos da entidade e das atividades
o Sistemas de informação (Gestão)
o Gestão de mudanças
Atividades de Controle
o Diretrizes, procedimentos, Alçadas
o Bens de Capital
Informação e Comunicação
o Qualidade das informações
o Formas de comunicações
Monitoramento
o Monitoramento contínuo Riscos sobre os
o Avaliações individuais ou especificas Reportes Financeiros
Lei Sarbanes- Oxley
Seção 404 da
Os objetivos do COSO
Eficácia e Eficiência nas Operações

Confiança no Relatórios Financeiros
Conformidade com as Leis e Regulamentos
3 OBJETIVOS
Riscos sobre os
Reportes Financeiros
Lei Sarbanes- Oxley
Seção 404 da
Unidade de Negócios
5 COMPONETES
Funções
Particularidades do COSO
• CONTROLES INTERNOS
• O que faz…
• “Processo, cuja finalidade é assegurar, num grau razoável, que os riscos serão
identificados e geridos de tal forma que os objetivos da organização sejam
atingidos”. (COSO)
• O que o NÃO faz…

• determinar quais os riscos ou controles que serão considerados;
• definir quais os procedimentos de monitoramento;
• melhorar o monitoramento, na empresa, das ações que já estão eficazes;
• NÃO obriga um nível especifico ou processo formal para documentação de
monitoramento.
Cubo do COSO e COSO II
COBIT
https://www.isaca.org/Pages/default.aspx
O que significa COBIT?
C Control
OB OBjectives
I for Information
T and Related Technology
Objetivos de Controles relacionados ao uso de Tecnologia da

Informação.
COBIT
• COBIT - Control Objectives for Information and related Technology: é o framework de

boas práticas de Tecnologia de Informação (T.I.).
• Mantido pelo Information Systems Audit and Control Association (ISACA), que
estabelece recursos-modelo para gestão da TI, baseados em objetivos e controles,
auditorias, ferramentas de implementação e gerenciamento dos recursos
tecnológicos.
• Recomendado para otimizar os investimentos de TI e fornecer métodos para

avaliação dos resultados: Key Performance Indicators (KPI), Key Goal Indicators (KGI) e
Critical Success Factors (CSF).
• O COBIT é o recomendado para atendimento da Lei SOX.

COBIT
COBIT - Maturidade
Nível
SOX
COBIT e outras práticas
• As empresas utilizam diversos frameworks para controlar as operações. É
importante conhecer as suas interações, sendo o COBIT um integrador.
• O COBIT é um complemento para o COSO, que não estabelece controles

específicos para TI.
Lei SOX / Sec / PCAOB / COSO / COBIT
Aula 02
Prof. Frank Pizo

Definição de Escopo de
Mapeamento SOX
MATERIALIDADE
Aula 02
Prof. Frank Pizo

Materialidade
O custo de implementar controles é alto demais, inibindo a criação de

um sistema “perfeito”.
• É a atividade necessária para definir o “apetite” ao risco;
• É o Ponto de Partida para “definir” um mapeamento SOX.
• Uma prática para definir o que é relevante nas Demonstrações

Financeiras.
• Uma estratégia para priorizar o que deve ser mapeado.
• Uma premissa da auditoria de Certificação SOX.

Definição de Materialidade
• A.S.5 - Statement of Audit Standards determina que o auditor deve se basear em

seu julgamento para determinar a materialidade, considerando a percepção das
necessidades que os envolvidos na elaboração das demonstrações financeiras
possuem para tomar decisões.
• NÃO há uma regra explícita sobre como determinar a base para cálculo da
materialidade.
• Prevalece sempre o CONFORTO do auditor.
• Cabe a empresa DEFINIR fatores fundamentais, quantitativos e qualitativos, para

discussão do cálculo de definição da materialidade com o auditor.
• Todos os critérios para definição da materialidade devem ser acordados com

empresa de auditoria das demonstrações financeiras e com a empresa de auditoria
de avaliação dos controles internos financeiros.
Definição de Materialidade
• Identificar as contas significativas com base na relevância. P. ex.: Estoques,

Impostos, Bancos e Aplicações Financeiras.
• Identificar as contas significativas com base nos riscos inerentes. P.ex.: Contas de
Estimativas e Provisões, Perdas.
• Identificar as contas não significativas, mas que podem ter significância quando
agrupadas com outras contas também não significativas. P.ex.: Compras
Improdutivas, Vendas Não Operacionais.
Critérios de Materialidade
ET - Erro Tolerável
Conservador: < 4%
LAIR Recomendado: 5% Mais
BASE DE CÁLCULO
Risco baixo: > 6% utilizado

(negócio)
Faturamento 0.5 – 1%
Margem Bruta 1% – 2%
Patrimônio 1% – 5%
EBITDA 2% – 5%
Ativo total Percentual abaixo dos

ativos totais ( 0.25% - 0.5%)
• PADRÃO: Acordar com a auditoria de Certificação.

• RECOMENDÁVEL: Estabelecer um limite que supere ao da
auditoria de Certificação.
Objetivo do Cálculo da Materialidade
Deficiência Deficiência
Deficiência
Significativa Material
- - - IMPACTO +++
Deficiência Deficiência
Deficiência
Significativa Significativa
5%
Deficiência Deficiência Deficiência
- - PROBABILIDADE +++
XXXX milhões
Exemplo do Cálculo da Materialidade
ET - Erro
SOX Motor Co Materialidade 5% R$ 443.651,25
Tolerável
Empresa SOX Automoveis Ltda SOX Motos Ltda Banco SOX S/A SOX Serviços Ltda SOX Motor Co
Demonstrações
Financeiras - R$ Venda Bruta R$ 4.758.618,50 R$ 2.337.071,00 R$ 1.501.153,50 R$ 276.182,00 R$ 8.873.025,00
31/12/XX
Participação 53,6% 26,3% 16,9% 3,1% 100,0%
ET da
Controlada R$ 237.930,93 R$ 116.853,55 R$ 75.057,68 R$ 13.809,10 R$ 443.651,25
Comentários: Escopo da Auditoria

Acordado com a auditoria de Certificação a Materialidade de 5%
Ex. Materialidade por Segmento
ET - Erro
Tolerável
Demonstrações
31/12/XX
Participação 53,6% 26,3% 16,9% 3,1% 100,0%
ET da

SOX Automoveis Ltda

Vendas Brutas Materialidade (ET) R$ 237.930,93
Segmento R$ % Mapear Controles Internos?
Luxo R$ 380.689,48 8% SIM
Esporte R$ 1.189.654,63 25% SIM
Popular R$ 2.855.171,10 60% SIM
Peças R$ 190.344,74 4% NÃO
Outras R$ 142.758,56 3% NÃO
R$ 4.758.618,50 100%
ET - Erro
Tolerável
Demonstrações
31/12/XX
Participação 53,6% 26,3% 16,9% 3,1% 100,0%
ET da

SOX Motos Ltda

Luxo R$ 1.051.681,95 45% SIM
Esporte R$ 1.191.906,21 51% SIM
Popular R$ - 0% NÃO
Peças R$ 46.741,42 2% NÃO
Outras R$ 46.741,42 2% NÃO
R$ 2.337.071,00 100%
ET - Erro
Tolerável
Demonstrações
31/12/XX
Participação 53,6% 26,3% 16,9% 3,1% 100,0%
ET da

Banco SOX S/A

Financ. de Autos R$ 900.692,10 60% SIM
Financ. de Motos R$ 420.322,98 28% SIM
CDB R$ 15.011,54 1% NÃO
Emprést. Pessoal R$ 7.505,77 1% NÃO
Outras R$ 150.115,35 10% SIM
R$ 1.501.153,50 100%
ET - Erro
Tolerável
Demonstrações
31/12/XX
Participação 53,6% 26,3% 16,9% 3,1% 100,0%
ET da

SOX Serviços Ltda

Assist. Técnica R$ 151.900,10 55% SIM
Instalações R$ 123.453,35 45% SIM
Suporte R$ 552,36 0,2% NÃO
Consultoria R$ 276,18 0,1% NÃO
Outras R$ - 0% NÃO
R$ 276.182,00 100%
Contas Significativas
Uma conta - ou grupo de contas - é considerada significativa se for passível

de erros materiais.
• Erros Materiais:
- erros que, individual ou coletivamente, podem exercer impacto
significativo sobre as demonstrações financeiras.
- erros que, embora não tenham proporções significativas, podem
afetar a reputação da companhia se não forem detectados.
Exemplos: atos ilegais, conflitos de interesses e gratificações
gerenciais não autorizadas.
Exemplo Identificação de Contas Significativas
Análise das Demostraçôes Financeiras
Análise da Demonstração do Resultado
Objetivo: identificar processos cuja as transações sejam superiores a 5% do total de vendas;

Materialidade
SOX Automoveis Ltda 4.758.618,50 237.930,93
Demonstração do Resultado 31/12/XX Processo Correspondente?
Receita de Vendas 4.758.618,50 SIM Vendas / Faturamento
Impostos s/ Vendas 856.551,33 SIM Fiscal
Vendas Líquidas 3.902.067,17
Custo de Produção 1.665.516,48 SIM Custos

Desp.Vendas 237.930,93 NÃO Contas a Pagar
Desp.c/Pessoal 713.792,78 SIM Folha de Pagamento
Desp. Administrativas 237.930,93 NÃO
Resultado Operacional 1.046.896,07
Resultado Não Operacional 713.792,78 SIM Recebiveis
Lucro Antes do Imposto Renda 1.760.688,85
Imposto Renda / Contrib. Social 316.923,99 SIM Fiscal
Equidade das Filiais 95.000,00 NÃO Equivalencia Patrominial
Lucro Líquido do Exercício 1.538.764,85

Exemplo Identificação de Contas Significativas
Análise de Balanço Patrimonial
As movimentações do exercício refletem no resultado. Porém alguns processos são identificados no Balanço Patrimonial.
Materialidade
237.930,93
Ativo 2.606.749,80 Processo Correspondente
ATIVO CIRCULANTE 1.783.654,75

Disponível 958.979,18 SIM Tesouraria
Clientes 355.764,55 SIM Vendas
Outros Créditos 123.757,39 NÃO
Estoques 345.153,62 SIM Custos e Inventário
REALIZAVEL A LONGO PRAZO 118.217,23 NÃO
PERMANENTE 704.877,83
Investimentos 52.476,82 NÃO
Ativo Imobilizado 594.463,11 SIM Ativo Fixo e Depreciação
Ativo Diferido 57.937,90 NÃO
Passivo 2.606.749,81 Processo Correspondente
PASSIVO CIRCULANTE 763.261,57

Empréstimos 106.712,66 NÃO Tesouraria
Contas a Pagar 376.394,83 SIM Fornecedores
Obrigações Tributárias 108.247,68 NÃO Fiscal
Outras Obrigações 171.906,40 NÃO
EXIGÍVEL A LONGO PRAZO 106.678,58 NÃO
PATRIMÔNIO LÍQUIDO 1.736.809,65

Capital Social 60.738,76 NÃO Fechamento Contábil
Lucros/Prej.
Acumulados 1.676.070,89 SIM Fechamento Contábil
Exemplo de Processos Significativos
Mega-processo Processo
No. Descrição No. Descrição
1 Comercial 1 Vendas
2 Faturamento
3 Contas a Receber
4 Comissões e Incentivos
2 Compras e Suprimentos 1 Compras
2 Recebimento
3 Contas a Pagar
3 Estoques 1 Estoques e Inventário
4 Recursos Humanos 1 Folha de Pagamento
2 Encargos Sociais
3 Benefícios
4 Provisões e Estimativas
5 Financeiro 1 Caixa e Bancos
2 Aplicação de Financeira
3 Captação
6 Investimentos 1 Investimentos
7 Ativo Fixo 1 Ativo Fixo
PPE 2 Depreciação e Amortização
8 Contábil 1 Custos
2 Fechamento contábil
9 Fiscal 1 Impostos Diretos
2 Impostos Indiretos
10 Jurídico 1 Civil / Trabalhista
11 Logistica 1 Distribuição
12 Vendas - outros 1 Produtos de Peças
13 Receitas - outros 2 Venda de Imobilizado / Sucata
14 Fretes 1 Frete - Mercado Interno
2 Fretes - Mercados Externo
Materialidade
Ambientes de Controle
Entity Level Controls (ELC)
Aula 02
Prof. Frank
Pizo
Company Level / Entity Level
1º ) Ambiente SOX
Código de Ética
CLC Organograma
Alçadas
Avaliação em nível da Canal de Denúncia
Company entidade e/ou Orçamento
corporação para
Level identificar áreas que
Diretrizes
Auditoria Interna
Control requerem atenção em
controles internos.
Auditoria Externa
Outros
Process IT
Level General
Control Control
Company Level / Entity Level
TOP-DOWN Avaliação de Riscos Corporativos para Controles Internos

Company
Código de Ética Auditorias

Organograma
Relatórios
Orçamento
Alçadas outros
Denúncia
COMPANY LEVEL CONTROL = Controles Corporativos

Questionário – Nível de Entidade Objetivos
• Identificar os fatores relevantes no ambiente corporativo que

precisam de avaliação;
• Identificar o nível de conscientização corporativa e da alta

administração em relação a controles internos;
• Suportar os cinco componentes de controle interno (COSO):

• Ambiente de Controle.
• Avaliação do Risco.
• Atividades de Controles.
• Informação e Comunicação.
• Monitoramento.
Questionário – Nível de Entidade Questões avaliadas
• A alta administração proporciona um ambiente em que os

colaboradores são comprometidos com a cultura de controles
internos?
• A empresa possui os controle necessários para monitorar e

corrigir deficiências?
• A empresa avalia os riscos e controles como parte do plano de

negócios?
Avaliados no Questionário
• Em nível de Gestão:
• Executivo
• Gerencial
• Estratégia de Gestão:
• Centralizada x Descentralizada
• Unidade única x Várias unidades
• Operações globais ou locais
• A alta administração (CEO e CFO) revisa as respostas?

Avaliados no Questionário
• Toda alta administração deve responder e ser responsável

pelo questionário na organização:
• CEO (Chief Executive Officer).
• CFO (Chief Financial Officer).
• COO (Chief Operations Officer).
• CRO (Chief Risk Officer).
• CO (Compliance Officer).
• Diretor de Auditoria Interna.
• Gerente responsável por filiais.
• Outros gestores que possuem participação específica na
empresa.
Elaboração do Questionário
(1) Criar o próprio questionário.
• As questões devem contemplar os componentes do COSO:
• Monitoramento.
• Necessário customizar o questionário, a fim de:

• atender os propósitos específicos da empresa/ negócio.
• propiciar maior simplicidade e objetividade.
IMPORTANTE: deve ser revisado/ discutido com auditoria de

Certificação.
(2) Utilizar o modelo do COSO.
• As questões contemplam todos componentes:
• Monitoramento.
• Abrangência excessiva:
• Padronizado.
• Alto volume de questões .
• Repetitivo e difícil de consolidar o resultado.
• Necessidade de justificar pontos não aplicáveis à empresa.
(3) Utilizar o modelo da Auditoria de Certificação.

• As questões contemplam todos componentes:
• Monitoramento.
• Atende os requisitos da Lei:

• Padronizado.
• Os resultados são a preocupação do auditor.
• Não prioriza o objetivo da alta administração.
Departamentos Envolvidos no Questionário
• Principais envolvidos:
• Contábil
• Orçamento
• Financeiro
• Recursos Humanos
• Auditoria Interna
• Tecnologia da Informação
Resultados do Questionário
A consolidação das respostas - de forma a obter/ evidenciar que as

afirmações são verdadeiras – requer:
• Identificar os controles que comprovem as respostas.
• Considerar que as respostas dos gestores podem estar baseadas em
julgamentos e que não há evidências objetivas de que os controles
são executados.
• Considerar que muitas análises e conclusões são subjetivas.
• Fazer um resumo dos temas e das principais deficiências dos
controles.
• Realizar um comparativo das respostas com os resultados esperados.
• Definir os controles-chave que suportam o questionário.
• Providenciar os testes em níveis corporativos.
Exemplo de Questionário
• Ambiente de Controle
Integridade, valores éticos e comportamento dos executivos.
• Os membros da diretoria demonstram preocupação com a

integridade e valores éticos da Companhia?
• A empresa possui um código de conduta e/ou política de ética e

este é devidamente difundido?
• As recompensas (bônus e participação nos lucros) estão dentre

dos princípios éticos?
• Ambiente de Controle
Nível de entendimento por parte da gerência dos controles e a

respectiva operacionalização.
• A estrutura gerencial é apropriada?
• A gerencia prática e disseminar o código de conduta ou de ética?
• A gerência dá atenção aos controles internos, incluindo os efeitos

no processamento de Sistemas de Informação?
• A gerência estabelece metas financeiras ao pessoal operacional?

• Avaliação do Risco
Objetivos da entidade e planos estratégicos estabelecidos e

comunicados.
• O plano estratégico da empresa e seus objetivos de negócio

complementam um ao outro?
• Existe um plano estratégico revisado e aprovado pelo comitê diretivo

da entidade?
• Existe um processo para revisar periodicamente e atualizar os planos

estratégicos?
• Existem pessoas ou departamentos responsáveis por antecipar e

identificar potenciais mudanças com consequências para a empresa?
• Avaliação do Risco
Processos estabelecidos pela Contabilidade para identificar

mudanças significativas no GAAP divulgado pelas autoridades
relevantes.
• A contabilidade possui um processo para identificar e adequar

seus procedimentos à mudanças no GAAP, bem como para
aprovar tais mudanças nos seus procedimentos?
• Existem processos para garantir que a contabilidade tome

conhecimento de mudanças nas quais há efeitos nas práticas
contábeis da empresa?
• Atividades de Controles
Normas e procedimentos para cada atividade da empresa e

controles exigidos por cada norma.
• As práticas de contabilidade e de fechamento são seguidas

consistentemente nas datas definidas?
• Existe documentação apropriada e atualizada para as transações

financeiras?
• Existe um sistema de orçamento?
• Os organogramas são revisados de forma adequada à segregação

das atividades?
• Atividades de Controles
Normas para controle de acesso a programas e arquivos de dados

estabelecidas.
• Existem softwares de segurança de acesso, sistemas

operacionais e aplicativos?
• As violações de segurança são automaticamente registradas e

revisadas?
• A empresa conduz revisões/auditorias periódicas da segurança

de TI?
•
• Os resultados da revisão/auditoria são reportados à diretoria ou
ao comitê de auditoria?
• Informação e Comunicação
Fornecimento de relatórios sobre o desempenho da entidade pelo

sistema de informação à gerência.
• A empresa é capaz de preparar relatórios financeiros precisos e

em tempo hábil?
• Existe um nível confiável de coordenação entre a contabilidade e

os departamentos de processamento dos sistemas de
informação?
• Os objetivos da gerência sobre o orçamento, lucro, e outras

metas financeiras e operacionais são mensuráveis?
• Os resultados são medidos de acordo com os objetivos?

• Informação e Comunicação
Estabelecimento de um plano de continuidade de

operação/recuperação de desastres pela gerência.
• A empresa realiza backup dos programas aplicativos e dos arquivos

de dados?
• Os planos de recuperação de desastres e continuidade de

operação são testados periodicamente?
• Os planos de recuperação de desastres e continuidade de

operação são efetivos?
• Monitoramento
A avaliação periódica dos controles com base na execução das

atividades e no funcionamento do sistema de controle interno.
• Os procedimentos exigem que a gerência aprove os processos de

implantação dos controles?
• Os procedimentos são adequados para monitorar os controles?
• As políticas e procedimentos são adequados para ações corretivas

em casos de exceções?
• Monitoramento
Utilização pela gerência das funções da auditoria interna para suporte

as atividades de monitoramento.
• O nível de recrutamento, treinamento e ferramentas são

adequados ao ambiente?
• As funções de auditoria interna são independente das atividades

auditadas?
• Os auditores internos possuem autoridade para examinar quaisquer

operações da empresa?
Avaliação de Controles
no Nível de Entidade
Company Level - Exemplos de Controles Chaves (Keys)
Questionário
Controles- Exercícios
Chave
Company Level - Exemplos de Controles Chaves (Keys)
1. Código de Ética
2. Canal de Denúncia
3. Comitês de Riscos
4. Comitês Financeiros
5. Comites Contábeis
6. Organograma
7. Resultados de Auditoria (Interna e Externa)
Questionário
8. Controles Internos
Controles-
Chave
9. Bonificações e Prêmios
10. Comunicação com auditores externos
11. Diretrizes / Políticas
12. Procedimentos em Recursos Humanos
13. Processo Orçamentário
14. Descrição de Cargos e Salários
15. Treinamentos
16. Segurança da Informação
17. Plano de Continuidade
Company Level - Modelo de Controles
Controle Chave Qual o controle Chave? (Código de Ética / Orçamento, Organograma)
Responsável Departamento e Gestor responsável pelo Controle
Indagação? Observação?
Metodologia do Teste
Inspeção ? Checagem ?
Realização do Teste Data da realização do teste (outubro)
Abrangencia do Teste Período Avaliado (01/01/XXXX a 31/08/XXXX)
Amostras Volume de amostras ( conforme frequência do controle)
I: Qual documento será testado:
I.1: O que será testado?
I.2: Para que será testado?
Procedimento do Teste II: Comprova o que foi respondido no Questionário ?
III: Há informações de alto sigilo?
Processo Deficiente? Sim ou Não

Conclusão O controle testado apresentou-se adequado? Por quê?
Os documentos selecionados, segundo critério de amostragem definida e resultados
verificados, são satisfatórios?
OBS: muitas das avaliações em Company Level são subjetivas, mas

devem trazer conforto para a empresa e para a auditoria de
Certificação.
Controle Chave Código de Ética
Responsável Recursos Humanos (Sr. Tudo Certo da Silva - gerente de RH)
Indagação
Inspeção / Checagem
Realização do Teste 31/10/XXXX
Abrangencia do Teste01/01/XXXX a 31/08/XXXX
Amostras 26 Colaboradores
I: Obtenha uma cópia do Código de Ética/ Conduta e verifique se os seguintes
itens estão devidamente documentados:
I.1: Padrões do Grupo.
I.2: Compromissos dos profissionais quanto à integridade e comportamento
ético.
II: Questionar quando e de que forma foi efetuada a última divulgação do

Procedimento do Código.
Teste
III: Selecionar 26 colaboradores e:
III.1: Solicitar o protocolo de recebimento do Código assinado pelo
colaborador.
III.2: Entrevistar e questionar o colaborador se possui conhecimento quanto à
existência do Código de Ética.
III.3: Questionar se o funcionário possui conhecimento do conteúdo do Código
de Ética.
Processo Deficiente? Não
Conclusão O controle testado apresentou-se adequado de acordo com a execução dos
procedimentos descritos para os documentos selecionados, segundo critério
de amostragem definida e resultados verificados.
Controle Chave Canal de Denúncia
Responsável Governança Corporativa (Sr. Manda Chuva – gerente de governança)
Indagação
Abrangencia do Teste 01/01/XXXX a 31/08/XXXX
Amostras 26 Colaboradores
I: Questionar o colaborador do departamento responsável pelo Canal de
Denúncia:
I.1: Número de casos reportados ao Canal de Denúncias (hotline) e seus
conteúdos.
I.2: Como foi divulgada a existência do Canal de Denúncia aos colaboradores
da Companhia?
II: Questionar de que forma é efetuado o recebimento e compilação das

denúncias reportadas. Coletar documentação comprobatória.
Procedimento do Teste
III: Selecionar 26 colaboradores ativos e questionar:
III.1: Verificar o protocolo de orientações do Canal de Denúncia.
III.2: Para que serve o Canal de Denúncia e como teve conhecimento?
III.3: Você sabe quem é o responsável por apurar as informações do Canal de
Denúncia?
III.4. Caso houvesse uma denúncia de fraude, irregularidade você comunicaria
à Diretoria?

Conclusão O controle testado apresentou-se adequado de acordo com a execução dos
procedimentos descritos para os documentos selecionados, segundo critério de
amostragem definida e resultados verificados.
Controle Chave Avaliação de Desempenho do colaborador
Responsável Recursos Humanos (Sr. Tudo Ótimo - gerente de gestão de pessoas)
Indagação
Amostras 26 colaboradores / avaliações de desempenho
I.1: Selecionar 26 colaboradores ativos e:
I.2: Solicitar os formulários de Avaliação de Desempenho e evidência de

consentimento das avaliações efetuadas.
Procedimento do
I.3: Questionar se compreende a metodologia de avaliação.
Teste
I.4: Questionar se a avaliação é discutida e evidenciar se a avaliação está
com o status "completa" que significa que ambos, avaliado e avaliador,
cumpriram suas etapas no processo.
Processo Deficiente? SIM

O controle testado NÃO apresentou-se adequado de acordo com a execução
Conclusão dos procedimentos descritos para os documentos selecionados, segundo
critério de amostragem definida e resultados verificados.
Identificamos que 10 de 26 colaboradores entrevistados (38% da amostra
selecionada) afirmaram não ter conhecimento/entendimento da metodologia
Resultados de avaliação de desempenho.
Controle Chave Cronograma de Treinamento, Certificado / Lista de Presença
Metodologia do Indagação
Teste Inspeção / Checagem
Realização do Teste 31/10/2012
Abrangencia do 01/01/XXXX a 31/08/XXXX
Teste
Amostras 26 colaboradores / treinamentos
I: Verificar a evidência de Realização de Treinamento.
II: Obter a listagem de treinamentos realizados (que contenha os seguintes

departamentos: Controladoria, Recursos Humanos, Compras, Jurídico e DTI).
Procedimento do
Teste III: Selecionar 26 treinamentos (colaboradores) e:
III.1: Verificar a existência do Certificado de Treinamento ou Lista de Presença.
III.2: Verificar a existência de Avaliação de Eficácia.
Processo Não
Deficiente?
O controle testado apresentou-se adequado de acordo com a execução dos
Conclusão procedimentos descritos para os documentos selecionados, segundo critério de
amostragem definida e resultados verificados.
Controle Chave Processo de Recrutamento e Seleção
Indagação

Amostras 26 colaboradores
I: Selecionar 26 colaboradores admitidos no ano:
I.1: Verificar se a admissão está em conformidade com o Cadastro de

Admissão.
I.2 - Verificar assinatura do DRH no Cadastro de Admissão.
Procedimento do I.3 - Verificar se a data da assinatura do DRH no Cadastro de Admissão é
Teste igual ou inferior a data de admissão.
I.4 - Verificar aprovação da área requisitante.
I.5 - Verificar se a data da aprovação da área requisitante é igual ou inferior a
data de admissão.

Conclusão procedimentos descritos para os documentos selecionados, segundo critério
Controle Chave Relatório de Orçamento
Responsável Orçamento (Sr. Recusa Verbas de Oliveira - gerente de orçamento)

Indagação

Amostras Orçamento de 2012
I: Questionar o pessoal envolvido no Orçamento sobre o processo de
elaboração do orçamento, no nível de entidade e no nível departamental.
II: Verificar se o orçamento sofre revisão e como as alterações são

Procedimento do divulgadas.
Teste
III: Examinar os orçamentos do ano e verificar se estão devidamente
aprovados.

Conclusão de amostragem definida e resultados verificados.
Controle Chave Organograma da Empresa
Responsável Diretoria Administrativa (Sr. Dono da Verdade - diretor executivo)
Indagação

Amostras Organograma da empresa
I: Solicitar o organograma da empresa e evidenciar a aprovação pela
diretoria.
II: Verificar se o organograma é apropriado à estrutura de negócios da

Procedimento do TesteCompanhia.
III: Questionar 26 colaboradores sobre o conhecimento do organograma da

empresa.
Processo Deficiente? Sim
O controle testado apresentou-se NÃO adequado de acordo com a execução

Conclusão dos procedimentos descritos para os documentos selecionados, segundo
critério de amostragem definida e resultados verificados.
Verificamos que o processo de Folha de Pagamento é realizado pelo mesmo
gestor do processo de Contratação. Potencial ausência de segregação de
Resultado funções, havendo risco de criação de colaborações fictícios e pagamentos
indevidos ou em duplicidade.
Controle Chave Pareceres e Relatórios
Responsável Contabilidade (Sr. Partidas Dobradas - gerente contábil)
Indagação
Amostras 1 E-mails, informativos e pareceres
I.1: Questionar um membro da Controladoria sobre como mudanças em BR e
US-GAAP ou mudanças no negócio da Companhia que podem afetar os
princípios contábeis são comunicados às filiais.
I.2: Evidenciar os documentos utilizados para comunicação, por exemplo:

Procedimento do cartas de confirmação e avaliações.
Teste
I.3: Revisar a documentação suporte e questionar sobre como as instruções
são apropriadamente comunicadas aos envolvidos.

Conclusão
Controle Chave Parecer da Auditoria Interna e Externa
Responsável Auditoria Interna (Sr. Checa Tudo Agora - gerente de auditoria)
Indagação
31/10/XXXX
Realização do Teste
01/01/XXXX a 31/08/XXXX
Abrangencia do Teste
Amostras Relatórios de Auditoria

I: Solicitar os relatórios de auditoria externa e interna com os resultados de
seus trabalhos e verificar se está devidamente reportado ao CEO / CFO e ao
Quadro de Diretores.
Procedimento do
Teste II: Verificar como é efetuada a divulgação dos relatórios da auditoria interna
aos executivos da matriz.
Não
Processo Deficiente?

Conclusão de amostragem definida e resultados verificados.
Materialidade e Company Level
Dúvidas
Aula 03
Prof. Frank Pizo

Process Level Control (PLC)
Aula 03
Prof. Frank Pizo

Process Level Control
2º ) Ambiente SOX
Company
Level
Control
Process IT
Level General
Control Control
Vendas
Faturamento
PLC Compras
Recursos Humanos
Avaliação em nível do Custos
processo de negócio Ativo Fixo
Fechamento Contábil
Company Process IT
Audit
Code of Ethics RH Compras Tesouraria Exportação Etc. Committee
Organization
Chart
Monthly Controles
Riscos Reports Budget Internos
Processes
Approval
Hotline Vendas Contas Pagar Cobrança
Standards Ativo Fixo Etc…
PROCESS LEVEL CONTROL = Controle de Processo
IT GENERAL CONTROL = Controles de TI

Desenho do Processo
CONTROLES INTERNOS SOBRE AS DEMONSTRAÇÕES FINANCEIRAS
Relatório de
Definir os
Documentar o Processo Teste de Efetividade Controles
Processos
Internos
(CFO e CEO)
Resultados dos
Eficiente Seleção Eficiente
Materialidade Riscos Processos
de
Eficient
Avaliados
Avaliação controle
e
Critérios de Riscos A Plano Resultados dos
Quantitativos de Controles
Controles
teste
Ineficiente
Ineficiente
Ineficiente
Plano de Efetivos e
Critérios ação Plano de Deficiêntes
Seleção
(Criar Amostral ação
Qualitativos Matriz de controle/ (corrigir Classificação
Riscos e aperfeiçoar Papel de deficiência) das
Controles controle) trabalho A Deficiências
Walkthrough
Oportunidades,
Narrativa Ressalvas e
Ineficiente
Fluxograma Recomendações
SOD
Definir os Documentar Realizar Relatório de

Processos o processo os testes Controles Internos
de
validação (CFO e CEO)
Escopo pela
Materialidade Aprovação:
Definir o Plano de
Testes:
Definir Formato da Alta administração
Documentação:
Qualitativos
Quantitativos
Fluxograma
Narrativa
Segregação de Funções
Matriz de Risco
ET - Erro R$
SOX Motor Co 5%
Materialidade Tolerável443.651,25
Definir os
Processos Empresa
SOX Automoveis SOX Motos
Banco SOX S/A
SOX Serviços
SOX Motor Co
Ltda Ltda Ltda
Demonstrações R$ R$ R$ R$ R$
Financeiras - R$ Venda Bruta 4.758.618,50 2.337.071,00 1.501.153,50 276.182,00 8.873.025,00
31/12/XX
Participação 53,6% 26,3% 16,9% 3,1% 100,0%
Escopo pela ET da R$ R$ R$ R$ R$
Materialidade Controlada 237.930,93 116.853,55 75.057,68 13.809,10 443.651,25

Acordado com a auditoria de Certificação a Materialidade de
5%
Mega-processo Processo
No. Descrição No. Descrição
1 Comercial 1 Vendas
As empresas e segmentos 2 Faturamento
previamente definidos pela 3 Contas a Receber
administração e pela 2 Compras e Suprimentos 1 Compras
auditoria de Certificação 2 Recebimento
3 Contas a Pagar
3 Estoques 1 Estoques e Inventário
4 Recursos Humanos 1 Folha de Pagamento
2 Encargos Sociais
3 Benefícios
4 Provisões e Estimativas
5 Financeiro 1 Caixa e Bancos
2 Aplicação de Financeira
3 Captação
Desenho do Processo
Definir os Documentar
Planilhas Próprias?
Processos o processo
Sistema de Riscos?
Arquivos Físicos?
Arquivos Digitais?
Evidências
Fluxograma Narrativa Segregação Matriz de Riscos Walkthrough Deficiências (GAP)

de Funções
Qual documento é obrigatório para Lei SOX?
Qual é o nível de conforto esperado?
Qual é o mínimo necessário?

Desenho do Processo

de
Ineficiente
Riscos Matriz de Risco Plano e Ação

Fluxo / Narrativa (Criar controle /
Processo de
Walkthrough aperfeiçoar o
Ativos Fixo
(Avaliação do controle)
Controles? controle /
evidência)
Ineficiente
Testes Certificação
Eficiente Interna: CEO e
Eficiente CFO.
Externa: Registro
na SEC.
Desenho do Processo
Mapear ou revisar o Desenho
Evidências
MAPEAMENTO:
• Entrevistar
• Documentar
(Coletar 01
Amostra)
Fluxograma Narrativa Segregação Matriz de Riscos Walkthrough Deficiencia
(TOD) (TOD) de Funções e Controles (Gap) List Interna
(TOD)
Equipe
(TOD)
ou
Testes de Efetividade Consultoria
Auditoria
Externa
Teste(TOE) GAP TESTES:
• Quantitativos e
Re-Testes ou Testes Complementares Qualitativos
Teste (RF) GAP

IT General Control (ITGC)
Aula 03
Prof. Frank Pizo

IT General Controls
3º ) Ambiente SOX
ITGC
Controle de Acesso
Avaliação de Segregação de Funções
Suporte a Sistemas
Company controles em nível
Proteção de Dados
Level de sistemas que
proporcionam Politicas de TI
Control suporte aos Backup
negócios
Process IT
Level General
Control Control
IT General Controls
Company Process IT
Audit
Code of Ethics RH Compras Tesouraria Exportação Etc. Committee
Organization
Chart
- Segurança
IT - Back-up
General Monthly Controles
Reports Budget - Controle de Acesso
Controls Internos
- Segregação
Processes
(ITGC) de Funções
- Etc
Approval
Hotline Vendas Contas Pagar Cobrança
Standards Ativo Fixo Etc…
PROCESS LEVEL CONTROL = Controle de Processo
IT GENERAL CONTROL = Controles de TI

IT General Controls
Desenho do Processo

de
Sistema Sistemas Sistemas Sistema

Chave X X X
X Back-up Controle de Segregação
Segurança (Recuperação) Acesso de Função
(Processos) (Revisão) (Outros)
Positivo: Os controles de aplicação proporcionam maior confiança.

Negativo: Os controles de aplicação ineficazes podem invalidar um
processo mapeado.
Desenho do Processo
Mapear ou revisar o Desenho
Evidências
MAPEAMENTO:
• Entrevistar
• Documentar
(Coletar 01
Amostra)
Fluxograma Narrativa Segregação Matriz de Riscos Walkthrough Deficiencia
(TOD) (TOD) de Funções e Controles (Gap) List Interna
Eletrônica
Equipe
(TOD)
ou
Testes de Efetividade Consultoria
Auditoria
Externa
Teste(TOE) GAP TESTES:
• Quantitativos e
Re-Testes ou Testes Complementares Qualitativos
Teste (RF) GAP

IT General Controls
• Contabilidade
• Tesouraria Controles Aplicativos
• Compras
• Folha de Pagamento
Processo Interface Cálculo Automático
Parâmetro Alçada Eletrônica
• Sistema Contábil
• Sistema Financeiro
• Sistema Logístico
• Sistema de RH
Aplicação
Controles Gerais de TI
• Banco de Dados
• Sistema Operacional Gestão de Mudança Back-up
• Rede Corporativa Gestão de Acessos Recuperação
• Servidores
Infraestrutura
de TI
Revisão
❖ Origem da Lei Sabarnes Oxley (SOX)
✓ Orgãos Regulatórios
✓ Metodologias (COSO / COBIT)
❖ Definição de Escopo
✓ Materialidade
✓ Identificação de Processos
❖ Ambientes de Controle
✓ ELC – Entity Level Control
✓ PLC – Process Level Control
✓ ITGC – IT General Control
Process Level / IT General Controls
Dúvidas
Aula 04
Prof. Frank Pizo

Mapeamento de Processo
Identificação de Riscos
Aula 04
Prof. Frank Pizo

O que é risco?
• É a possibilidade de que um evento possa acontecer

de forma negativa no cumprimento de um objetivo.
• É tudo que pode acontecer de errado.

O que é risco inerente?
• É o risco para uma entidade antes mesmo que ela

possa existir. (Basiléia II)
• Não existe risco zero. (Consenso em auditoria)

Riscos
VIDEOS
Tipos de Riscos
Quais os tipos de riscos?

Tipos de Riscos
• Riscos de Compliance
- Risco de sanções legais e regulatórias, de perda financeira ou
reputação que um banco pode sofrer como resultado da falha
no cumprimento da aplicação de leis, regulamentos, código de
conduta e das boas práticas bancárias (BIS).
- Estão em conformidade com leis e regulamentos:

• Pilares de Basiléia: impactam sobre instituições
financeiras.
Tipos de Riscos
• Riscos de Operacional
- Riscos de perdas resultantes de falha, deficiência ou
inadequação de processos internos, pessoas e sistemas, ou de
eventos externos, incluindo o risco legal associado à
inadequação ou deficiência em contratos (BACEN).
- Estão relacionados à fraudes internas e externas e à falhas

sobre sistemas e atividades, eficiência das operações!
Tipos de Riscos
• Riscos de Reporte Financeiro
- Riscos de perda financeira que afetam os reportes da
empresa.
- Balanços apresentados não representam a realidade

econômica da empresa.
Tipos de Riscos
• Quais são os riscos relevantes para a SOX 404?
• Somente os riscos associados aos reportes financeiros.
• Riscos operacionais e de compliance não devem ser

considerados para Certificação SOX 404.
RISCOS
Risco é a possibilidade de que um evento possa acontecer de forma
negativa no cumprimento de um objetivo. Ou seja, tudo que pode dar
errado.
Tipos de Riscos
Riscos de Compliance Riscos Operacionais Riscos de Reporte

• Risco de sanções legais e • Riscos de perdas resultantes Financeiro
regulatórias, de perda de falha, deficiência ou • Riscos de omissão ou
financeira ou reputação inadequação de processos distorção nas demonstrações
internos, pessoas e sistemas, financeiras em razão de erro
que um banco pode ou de eventos externos,
sofrer como resultado da ou fraude. São os riscos
incluindo o risco legal considerados na auditoria de
falha no cumprimento da associado à inadequação ou SOX404.
aplicação de leis, deficiência em contratos
regulamentos, código de (BACEN).
conduta e das boas
práticas bancárias (BIS).
SOX 404
Como identificar riscos de reportes financeiros?
Riscos
Riscos
Potencial Reportes
Operacional Compliance
Financeiros
–Somente os riscos associados aos reportes financeiros.

Riscos operacionais e de compliance não fazem parte do
escopo do projeto SOX 404.
Tipos de Riscos
–Exercícios Práticos
Riscos
Riscos Potencial Reportes
Financeiros
a
Notas fiscais de fornecedores registradas
em duplicidade no contas a pagar
Ingresso de pessoa não autorizada nas

dependências da companhia
a
a
Atraso no envio da declaração de imposto
de renda
Tipos de Riscos
Riscos
Financeiros
Prorrogação de pagamento a fornecedores
Antecipação de pagamentos ou
recebimentos
Provisão de recursos financeiros
Multas e juros em contratos e serviços
Limites na aprovação de pagamentos

Tipos de Riscos
Riscos
Financeiros
Compra de produtos e serviços
(divergência)
Concessão de crédito para funcionários
Sistemas ou operações inoperantes
Registro de entrada e saída de

mercadorias
Concessão de acessos a sistemas

Tipos de Riscos
Riscos
Financeiros
Vendas de ativos a preço inferior ao preço
de mercado
Operações com fornecedores com

problemas de crédito
Transações não autorizadas com bancos
Pagamento de PIS, COFINS, Contribuição

Social
Envio do “Sped Contábil”

Tipos de Riscos
Riscos
Financeiros
Falha no envio de relatórios (auditoria de
balanço trimestral).
Aquisição de mercadoria a preço inferior

ao da cotação realizada.
Divergência entre o pedido de compra e a

Nota Fiscal.
Divergência na conferência física de

mercadoria
Adequação à Lei. 11.638

Tipos de Riscos
Riscos
Financeiros
Divergência no pagamento de tributos.
Divergência na folha de pagamento.
Divergência no relatório de Headcount.
Registro de contabilização em conta

errada.
Abertura de conta contábil

Para que mapear riscos?
• Para identificar pontos onde são necessários controles.
• Para ajudar a identificar todos os riscos relevantes de

erros ou fraudes e os controles que podem minimizar ou
extinguir a ocorrência destes.
• Para ajudar a formular perguntas adicionais que

precisam ser realizadas de modo a identificar os
controles apropriados.
Assertivas / Afirmações de Risco
Perigo Assertivas Risco SOX

Assertivas / Afirmações de Risco
Assertivas são representações ou conjunto de declarações da Administração,
explícitas ou implícitas, contidas nas demonstrações financeiras.
Assertivas
(de acordo com o PCAOB – A.S. No 15)
Existência ou Valorização Diretos e Apresentação

Integridade
Ocorrência ou Alocação Obrigações e Divulgação
Ativos ou A empresa
Ativo, passivo,
passivos detém ou
Todas as patrimônio Os elementos
existem numa controla os
operações e as líquido, receitas das
determinada direitos sobre os
contas que e despesas demonstrações
data e as ativos e as
devem constar foram incluídos financeiras são
transações obrigações
nas nas devidamente
registradas sobre os
demonstrações demonstrações classificados,
ocorreram passivos em
financeiras financeiras em descritos e
durante um uma
foram incluídas. quantidades divulgados.
determinado determinada
adequadas.
período. data.

T30 MAP SOX Parte 01 Aluno

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

T30 MAP SOX Parte 01 Aluno

Enviado por

Direitos autorais:

Formatos disponíveis

Mapeamento de Controles Internos SOX

Subsídios para Prática Corporativa

Prof. Frank Pizo

• Compreender a origem da Lei Sarbanes Oxley (SOX)

Prof. Frank Pizo

Sarbanes Oxley (SOX/ SOA/SARBOX)

Prof. Frank Pizo

• Banco de 200 anos de tradição na Inglaterra.

Rogue Trader (1998). A Fraude – filme. Duração: 101min.

•Pilares: (1) exigir capital mínimo;

• 5ª Maior empresa dos EUA.

• 2002: Arthur Andersen Arthur Andersen fecha com

• De Big Five para Big Four.

• “Eron’s Ride of Broken Dreams” (The Simpsons)

O objetivo foi de restaurar a confiança e segurança das

SOX é uma Lei de Governança Corporativa dos Estados Unidos, focada

• O objetivo é obter controles internos adequados.

• Responsabilizar a alta administração das empresas;

• Fortalecer os princípios de Governança Corporativa;

• Supervisionar as Demonstrações Financeiras;

• Reestabelecer a confiança dos investidores;

• Exigir maior transparência e credibilidade.

1. Public Company Accounting Oversight Board. (101 a 109)

• Resumo: criação do Public Company Accounting Oversight Board

2. Auditor Independence. (201 a 209)

• Resumo: criação de restrições às firmas de auditoria independente

3. Corporate Responsibility. (301 a 308)

• Resumo: obriga os CFO e CEO certificarem, pessoalmente, as

• Resumo: criação de requerimentos de controles internos sobre as

5. Analyst Conflicts of Interest.

Proteger os Whistle Criação e proteção do

• registrar as empresas de auditoria independente que prepararão relatórios de

• definir regras de auditoria, controles de qualidade, valores éticos,

• inspecionar as empresas de auditoria independente;

• estabelecer investigações e procedimentos disciplinares sobre as firmas de

• 1992 - Internal Control - Integrated Framework (Controles Internos – Um Modelo Integrado):

- The Comitee of Sponsoring Organizations (Comitê das Organizações Patrocinadoras):

Eficácia e Eficiência nas Operações

• O que o NÃO faz…

Objetivos de Controles relacionados ao uso de Tecnologia da

• COBIT - Control Objectives for Information and related Technology: é o framework de

• Recomendado para otimizar os investimentos de TI e fornecer métodos para

• O COBIT é o recomendado para atendimento da Lei SOX.

• O COBIT é um complemento para o COSO, que não estabelece controles

Subsídios para Prática Corporativa

Prof. Frank Pizo

Prof. Frank Pizo

O custo de implementar controles é alto demais, inibindo a criação de

• É a atividade necessária para definir o “apetite” ao risco;

• É o Ponto de Partida para “definir” um mapeamento SOX.

• Uma prática para definir o que é relevante nas Demonstrações

• Uma estratégia para priorizar o que deve ser mapeado.

• Uma premissa da auditoria de Certificação SOX.

• A.S.5 - Statement of Audit Standards determina que o auditor deve se basear em

• Prevalece sempre o CONFORTO do auditor.

• Cabe a empresa DEFINIR fatores fundamentais, quantitativos e qualitativos, para

• Todos os critérios para definição da materialidade devem ser acordados com

• Identificar as contas significativas com base na relevância. P. ex.: Estoques,

Risco baixo: > 6% utilizado

Ativo total Percentual abaixo dos

• PADRÃO: Acordar com a auditoria de Certificação.

Comentários: Escopo da Auditoria

Comentários: Escopo da Auditoria