Dia 8 KPMG

Uma visão geral do
Framework COSO 2013

Novembro 2013
Introdução ao COSO
Framework 2013
Introdução ao COSO 2013
Controle Interno Atualizado – Framework

Integrado (2013 Framework) publicado em 14
de Maio de 2013
Documentos associados:
 Controle Interno – Framework Integrado:
Sumário Executivo
 Ferramenta Ilustrativa para Avaliação de
Efetividade de um Sistema de Controle Interno
 Controle Interno sobre Reporte Financeiro
Externo: Um Resumo de Abordagens e
Exemplos
Framework COSO 1992 estará disponível até 15 de Dezembro de 2014, então será
substituído
© 2013 KPMG LLP, a Delaware limited liability partnership and the U.S. member firm of the KPMG network of independent 3
member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
NDPPS 156234
Framework COSO 2013 – Sumário de Mudanças
O que não está O que está mudando...

mudando...
• Definição principal de • Atualização para mudanças
controle interno no negócio e ambientes
operacionais
• Três categorias de
objetivos e cinco • Expansão de operações e
componentes de controle reporte de objetivos
interno
• Conceitos fundamentais
• Cada um dos cinco implícitos permeando os
componentes de controle cinco componentes
interno são requeridos codificados como 17
para um controle interno princípios
efetivo
• Atualizado para o aumento
• Importante papel do da relevância e dependência
julgamento no design, de TI
implementação e
condução do controle • Endereçar avaliação do
interno e avaliação de sua risco de fraude e respostas
efetividade a esse risco
NDPPS 156234
Categorias de objetivo
Objetivos 2013 COSO Framework
• Refere-se a efetividade e eficiência das operações da

entidade, incluindo:
Operações
• Metas de desempenho operacional e financeiro
• Salvaguarda de ativos contra perdas
• Refere-se à reportes internos e externos, financeiros e não

financeiros, incluindo:
• confiabilidade, tempestividade, transparência, ou
Reporte
outros termos conforme estabelecido pelos órgãos
reguladores, formatadores de padrões ou políticas da
entidade
• Refere-se à aderência para com leis, regulamentações e

Conformidade
padrões os quais a entidade está sujeita
NDPPS 156234
Definição de Controle Interno sobre Reporte Financeiro
Regulamentação 13a-15(f) define Controle Interno

sobre Reporte financeiro como:
“Um processo . . . para prover razoável garantia

quanto a confiabilidade de reportes financeiros e
preparação de demonstrações financeiras para
propósitos externos de acordo com princípios
contábeis comumente aceitos . . .”
Inclui políticas e procedimentos para:
1. Manutenção de registros com razoável nível de detalhes que

reflitam de maneira precisa e adequada as transações e
disposições dos ativos do emitente
2. Assegurar que recebíveis e gastos do emitente sejam

efetuados somente com autorização da Administração e
Diretoria, e
3. Proporcionar razoável garantia com relação a prevenção ou

detecção tempestiva de aquisições não autorizadas , uso ou
disposição de ativos do emitente que poderiam ter efeito
material sobre demonstrações financeiras
NDPPS 156234
COSO – Componentes e
Princípios
COSO – Componentes e Princípios
Para um Controle Interno efetivo:

 Cada um dos cinco componentes e 17 princípios devem estar presentes e
funcionando
 Os cinco componentes devem operar juntamente de maneira integrada
1. Demonstra comprometimento com integridade e valores éticos
2. Exerce responsabilidade sobre supervisão
Ambiente de Controle 3. Estabelece estrutura, autoridade e responsabilidade
4. Demonstra comprometimento com a competência
5. Reforça prestação de contas
6. Especifica objetivos adequados
7. Identifica e analisa riscos
Avaliação de Risco
8. Avalia riscos de fraude
9. Identifica e analisa mudanças significativas
10. Seleciona e desenvolve atividades de controle
Atividades de
11. Seleciona e desenvolve controles gerais sobre tecnologia
Controle
12. Implantação por meio de políticas e procedimentos
13. Utiliza informação relevante

Informação e
14. Comunica-se internamente
Comunicação
15. Comunica-se externamente
Atividades de 16. Conduz avaliações contínuas e/ou específicas

Monitoramento 17. Analisa e comunica deficiências
NDPPS 156234
Ambiente de Controle
Ambiente de Controle é o conjunto de padrões, processos e estruturas que fornecem as base implantação do
controle interno através da organização. O corpo diretivo e Alta Administração estabelecem via “Tone at the Top”
a importância do controle interno, incluindo padrões de conduta esperados. A administração reforça as
expectativas nos vários níveis da organização. O Ambiente de Controle abrange a integridade e valores éticos
da organização: os parâmetros que permitem ao corpo diretivo implantar sua supervisão quanto a
responsabilidade de governança; estrutura organizacional, delegação de autoridades e responsabilidades;
processo para atração, desenvolvimento e retenção de indivíduos competentes; e o rigor em torno da medição de
performance, incentivos, e recompensas para direcionar a prestação de contas por performance. O Ambiente de
Controle resultante tem um impacto profundo em todo o sistema de Controle Interno.
Ambiente de Controle – Mudanças no Framework 2013

 Capta sete (7) fatores do Framework 1992 em cinco (5) princípios
 Explica que Ambiente de Controle é a fundação para um sistema de Controle
Interno.
 Expande e esclarece orientação quanto a:
• papel da Governança numa organização, reconhecendo diferenças nas
estruturas, requerimentos e desafios através de diferentes jurisdições, setores
e tipos de entidades
• Expectativas de integridade e valores éticos
• Supervisão do risco e fortalecimento das ligações entre risco e performance a
fim de ajudar na alocação de recurso para suportar a auditoria interna
• Necessidade em considerar controle interno através da organização
expandida, resultante de modelos diferentes de negócio, uso de provedores
de serviços terceirizados e outros parceiros externos
NDPPS 156234
Ambiente de Controle: Princípio #1 e pontos de atenção
1. A organização demonstra comprometimento com integridade e valores éticos
Pontos de atenção
• Estabelece o “Tone at the Top”

− Corpo Diretivo e Administração em todos os níveis demonstram através de diretrizes,
ações e comportamento a importância da integridade e valores éticos para suportar o
funcionamento de um sistema de controle interno
• Estabelecem padrões de conduta
− A expectativa do corpo diretivo e alta administração com relação a integridade e
valores éticos é definida no “Padrão de Conduta” e entendida através da organização,
pelos provedores de serviço terceirizados e parceiros de negócio.
• Avalia aderência para com os “Padrões de Conduta”
− Processos em vigor para avaliar a performance individual e de equipes com relação
aos “Padrões de Conduta”
• Endereça desvios de maneira tempestiva
− Desvios com relação aos “Padrões de Conduta” são identificados e remediados de
maneira consistente e tempestiva
NDPPS 156234
2. O corpo diretivo demonstra independência da administração e exerce supervisão do

desenvolvimento e performance do controle interno
Pontos de atenção
• Estabelece responsabilidade sobre supervisão

− O corpo diretivo identifica e aceita suas responsabilidades sobre supervisão em
relação aos requerimentos estabelecidos e expectativas
• Aplica expertise relevante
− O corpo diretivo define, mantém e avalia periodicamente as habilidades e expertises
necessárias para possibilitá-los a aplicar “probing questions” à alta administração e
tomar ações condizentes.
• Opera independentemente
− O corpo diretivo tem número suficientes de membros independentes e tem objetivo em
avaliações e tomada de decisão.
• Provê supervisão sobre o sistema de controle interno
− O corpo diretivo mantém responsabilidades de supervisão para o design de gestão,
implementação e conduta de controle interno
NDPPS 156234
3. Administração estabelece, com a supervisão do corpo diretivo, estruturas, linhas de

reporte, autoridades e responsabilidades apropriadas na busca dos objetivos
Pontos de atenção
• Considera toda a estrutura da entidade

− Administração e corpo diretivo consideram múltiplas estruturas (incluindo unidades
operacionais, entidades legais, distribuição geográfica e prestadores de serviços
terceirizados) para suportar o alcance dos objetivos
• Estabelece linhas de reporte
− Administração desenha e avalia linhas de reporte para cada estrutura da entidade,
possibilitando a execução de responsabilidades e o fluxo de informação para gerenciar
as atividades da entidade
• Define, atribui e limita autoridades e responsabilidades
− Administração e corpo diretivo delegam autoridades, definem responsabilidades, e
utilizam processos apropriados e tecnologia para atribuir responsabilidade e segregar
funções nos vários níveis da organização (EX.: Corpo diretivo; Executivos Seniores;
funcionários; provedores de serviço terceirizados).
NDPPS 156234
4. A organização demonstra comprometimento na atração, desenvolvimento e

retenção de indivíduos competentes em linha com seus objetivos
Pontos de atenção
• Estabelece políticas e práticas

− Políticas e práticas refletem as expectativas de competências necessárias para
suportar os objetivos
• Avalia competências e endereça deficiências
− O corpo diretivo e administração avaliam competências na organização e de
provedores de serviço terceirizados com relação às políticas, práticas e leis
estabelecidas, na necessidade de endereçar deficiências
• Atrai, desenvolve e retém indivíduos
− A organização suporta e treina para atrair, desenvolver e reter funcionários suficientes
e competentes, além de prestadores de serviço terceirizados, para suportar o alcance
das metas
• Planeja e prepara para sucessão
− Alta administração e corpo diretivo desenvolvem planos de contingência para
atribuição de importantes responsabilidades de controle interno
NDPPS 156234
5. A organização mantém os indivíduos a par de suas responsabilidades de controle

interno na busca das metas.
Pontos de atenção
• Reforça responsabilidades através de estruturas, autoridades e responsabilidades
− Estabelece mecanismos para comunicar e manter responsabilidades dos indivíduos com
relação ao controle interno na organização e implementação de ações corretivas
• Estabelece medidas de performance, incentivos e recompensas
− . . . apropriada para as responsabilidade em todos os níveis da entidade, refletindo
performance e Padrões de Conduta, considerando a realização dos objetivos de curto e
longo prazo
• Avalia medidas de performance, incentivos e recompensas para uma performance
contínua
− Alinha incentivos e recompensas com o cumprimento das responsabilidades de controle
interno na realização dos objetivos
• Considera pressões excessivas
− Avalia e ajusta pressões associadas com a realização dos objetivos tais como atribuir
responsabilidades, desenvolver medidas de desempenho e avaliar performance
• Avalia performance e gratifica ou disciplina indivíduos
− Avalia performance sobre responsabilidades de controle interno, incluindo aderência com o
“Padrão de Conduta” e competências esperadas; provê gratificações ou ações disciplinares
quando apropriado.
NDPPS 156234
Avaliação de Risco
Avaliação de risco envolve um processo dinâmico e iterativo para identificação a avaliação de risco para a
realização dos objetivos. Riscos de toda a entidade são considerados e relacionados com a tolerância de
risco estabelecida. Portanto, avaliação de risco forma a base para determinar como os riscos serão
gerenciados.
Administração especifica objetivos relacionados à operação, reporte e conformidade com suficiente clareza a
fim de ser capaz de identificar e analisar os riscos para estes objetivos. Avaliação de risco requer à
administração a consideração do impacto de possíveis mudanças no ambiente externo e dentro de seu
próprio modelo de negócio, que possam gerar ineficiência de controle interno.
Avaliação de Risco – Mudanças Framework 2013
 Esclarece que avaliação de risco inclui processos para identificação de

risco, análise de risco e resposta ao risco
 Expande a discussão em:
 tolerância ao risco (níveis de risco aceitáveis) e que o risco pode ser
gerenciado aceitando-se, evitando-se e compartilhando-se o risco
 o grau do risco além de seu impacto e probabilidade, incluindo
velocidade e persistência
 a necessidade do entendimento das mudanças significativas em
fatores internos e externos, bem como o impacto no sistema de
controle interno
 Inclui avaliação específica do risco de fraude relacionada ao reporte de
distorções materiais, salvaguarda inadequada de ativos e corrupção
como parte do processo de avaliação de risco
NDPPS 156234
Avaliação de Risco: Princípio #6 e pontos de atenção
6. A organização especifica objetivos com suficiente clareza a fim de possibilitar a

identificação e avaliação dos riscos relacionados aos seus objetivos
Pontos de atenção
• Segrega características relacionadas às operações; reportes financeiros externos;

reportes não-financeiros externos; reportes internos; objetivos de conformidade
Objetivos de reportes financeiros externos
• Cumpre com padrões contábeis aplicáveis

− Objetivos de reporte Financeiro são consistentes com os princípios contábeis
adequados e válidos para a entidade
− Princípios contábeis selecionados são apropriados perante às circunstâncias
• Considera Materialidade
− Administração considera a materialidade na apresentação das demonstrações
financeiras
• Reflete atividades da entidade
− Reportes externos refletem transações e eventos relacionados, características
qualitativas e premissas adotadas.
NDPPS 156234
7. A organização identifica riscos para a realização de seus objetivos pela entidade a

analisa riscos como uma base para determinação de como os riscos deveriam ser
gerenciados
Pontos de atenção
• Inclui a entidade, subsidiárias, divisões, unidades operacionais e níveis funcionais

− A organização identifica e avalia os riscos da entidade, subsidiária, divisão, unidade
operacional e níveis funcionais relevantes para a realização dos objetivos
• Analisa fatores internos e externos
− Identificação de risco considera tanto fatores internos quanto externos bem como seus
impactos na realização dos objetivos
• Envolve níveis apropriados da administração
− A organização implementa mecanismos de avaliação de risco que envolve níveis
apropriados da administração.
• Estima significância dos riscos identificados
− Riscos identificados são analisados através de um processo que inclui estimativa de
significância potencial do risco
• Determina resposta ao risco
− Avaliação de risco inclui considerações de como o risco deveria ser gerenciado e
como aceitar, evitar, reduzir ou compartilhar o risco
NDPPS 156234
8. A organização considera o potencial de fraude na avaliação de riscos para o alcance

dos objetivos
Pontos de atenção
• Considera diversos tipos de fraude

− A avaliação de fraude considera reporte fraudulento, possível perda de ativos, e
corrupção [e não respeito aos controles pela administração] resultante das várias
formas de fraude e ocorrência de má conduta
• Avalia incentivos e pressões
− A avaliação do risco de fraude considera incentivos e pressões
• Avalia oportunidades
− A avaliação do risco de fraude considera oportunidades de aquisições não
autorizadas, uso ou alienação de ativos, alteração nos registros de reportes da
entidade e outras ações inapropriadas
• Avalia atitudes e racionalizações
− A avaliação do risco de fraude considera como a administração e outros funcionários
devem envolver-se ou justificar ações inapropriadas
NDPPS 156234
9. A organização identifica e avalia mudanças que poderiam impactar

significativamente o sistema de controle interno
Pontos de atenção
• Avalia mudanças no ambiente externo

− O processo de identificação de risco considera mudanças no ambiente regulatório,
econômico e físico no qual a entidade opera
• Avalia mudanças no modelo de negócio
− A organização considera impacto potencial de novas linhas de negócio, alterações
dramáticas na composição das linhas de negócio existentes, operações de negócio
adquiridas ou desfeitas relacionadas com o sistema de controle interno, crescimento
rápido, expansão geográfica e novas tecnologias.
• Avalia mudanças na liderança
− A organização considera mudanças na administração, respectivas atitudes e filosofias
no sistema de controle interno
NDPPS 156234
Atividades de Controle
Atividades de Controle são as ações estabelecidas através de políticas e procedimentos para mitigar os
riscos na realização dos objetivos. Atividades de Controle são efetuadas em todos os níveis da entidade, em
vários estágios dentro dos processos de negócio, e sobre o ambiente tecnológico. Estas devem ser
preventivas ou detectivas em sua natureza e devem envolver uma variedade de atividades manuais e
automáticas tais como autorizações e aprovações, verificações, reconciliações e revisões de performance
do negócio.
Segregação de funções é tipicamente construída dentro da seleção e desenvolvimento das atividades de

controle. Onde a segregação de funções não é possível, a administração deve selecionar e desenvolver
atividades de controle alternativas.
Atividades de Controle - Mudanças Framework 2013
 Atualiza-se com a evolução na tecnologia desde 1992 (ex.: substitui

os conceitos de datacenter com uma discussão mais geral sobre infra-
estrutura de tecnologia)
 Endereça ligação entre processos de negócio, atividades de controle
automatizadas e GITCs
 Contrasta controles em nível de transação de controles em outros
níveis da organização
 Atualiza a aplicação de GITCs (infra-estrutura de TI; gerenciamento de
segurança; aquisição de tecnologia; desenvolvimento e manutenção)
sobre todas as plataformas tecnológicas
 Esclarece que atividades de controle são ações estabelecidas por
políticas e procedimentos ao invés de ser apenas políticas e
procedimentos
NDPPS 156234
Atividades de Controle: Princípio #10 e pontos de atenção
10. A organização seleciona e desenvolve atividades de controle que contribuem na

mitigação de riscos em níveis aceitáveis para a realização dos objetivos.
Pontos de atenção
• Integra-se com Avaliação de Risco

− Atividades de Controle ajudam a garantir que respostas ao risco que endereçam e mitigam
os riscos sejam efetuadas
• Considera fatores específicos da entidade
− Administração considera como o ambiente, complexidades, natureza e escopo de suas
operações afetam a seleção e desenvolvimento das atividades de controle
• Determina processos relevantes do negócio
− Administração determina quais processos relevantes do negócio requerem atividades de
controle
• Avalia mix de tipos de controle
− Atividades de Controle incluem uma série e variedade de controles; considerando tanto
controles manuais e automáticos, controles preventivos e detectivos.
• Considera em que nível os controles são aplicados
− Administração considera atividades de controle em vários níveis da organização
• Endereça segregação de funções
− Administração segrega funções incompatíveis. No caso de não ser possível uma segregação
adequada, seleciona e desenvolve atividades de controle alternativas
NDPPS 156234
11. A organização seleciona e desenvolve atividades de controle gerais sobre

tecnologia para suportar a realização dos objetivos.
Pontos de atenção
• Determina grau de dependência entre o uso de tecnologia nos processos de negócio e

GITCs
− Administração entende e determina grau de dependência e ligação entre os processos de
negócio, atividades de controle automatizadas e GITCs
• Estabelece atividades de controle relevantes de Infra-estrutura de Tecnologia
− . . . as quais são desenhadas e implementas para ajudar a completude, precisão e a
disponibilidade do processamento de tecnologia
• Estabelece atividade de controle relevantes do Processo de Gerenciamento da Segurança
− . . . As quais são desenhadas e implementadas a fim de restringir privilégios de acesso a
tecnologia para usuários autorizados adequados com suas responsabilidades e proteger os
ativos da entidade de ameaças externas
• Estabelece Aquisição de Tecnologia relevante, Desenvolvimento e processo de
manutenção das Atividades de Controle
− Administração seleciona e desenvolve atividades de controles sobre aquisições,
desenvolvimento e manutenção de tecnologia e sua infra-estrutura para a realização dos
objetivos.
NDPPS 156234
12. A organização implanta atividades de controle através de políticas que estabeleçam

o que é esperado e através de procedimentos que colocam as políticas em ação
Pontos de atenção
• Estabelece políticas e procedimentos para suportar a implantação das diretrizes da
Administração
− Controles são construídos dentro dos processos de negócio através de políticas e
procedimentos específicos
• Estabelece responsabilidade e prestação de contas na execução de políticas e
procedimentos
− Administração atribui responsabilidade e prestação de contas para os controles na unidade de
negócio ou função onde o risco reside
• Executa de maneira tempestiva
− Funcionários responsáveis executam de maneira tempestiva
• Toma ação corretiva
− Funcionários responsáveis investigam e agem sobre problemas identificados como resultado da
execução do controle
• Executam usando funcionários competentes
− Funcionários competentes com autoridade suficiente executam controles com diligência e
atenção contínua.
• Reavaliam políticas e procedimentos
− Administração periodicamente revisa controles para determinar sua relevância, além de
atualizá-los quando necessário
NDPPS 156234
Informação e Comunicação
Informação é necessária para a entidade na execução das responsabilidades de controle interno para
suportar a realização de seus objetivos. Administração obtém/ gera uso relevante informação com qualidade
de fontes internas e externas, para suportar o funcionamento de outros componentes de controle interno.
Comunicação é um processo contínuo, iterativo que provê, compartilha e obtêm informações necessárias.
Comunicação Interna é o meio pelo qual informação é disseminada pela organização, fluindo através da
entidade. Isso possibilita os funcionários a receber uma mensagem clara da alta administração que as
responsabilidades de controle devem ser levadas a sério. Comunicação externa tem duas faces: possibilita
entrada da comunicação de informação externa relevante e provê informação para partes externas em
resposta a requerimentos e expectativas.
Informação & Comunicação – Mudanças Framework 2013
 Enfatiza a importância da qualidade da informação

− Incluindo como a entidade gerencia informação e comunicação com
provedores de serviço terceirizados, bem como com aqueles que operam
for a de seus limites operacionais e legais.
 Expande a discussão em:
 o impacto dos requerimentos regulatórios na confiança e proteção da
informação
 O volume e fontes de informação, tendo em conta o aumento da
complexidade dos processos de negócio, maior interação com partes
externas e avanços tecnológicos
 Reflete o impacto da tecnologia e outros mecanismos de comunicação em
sua velocidade, meios e qualidade no fluxo de informações
NDPPS 156234
Informação e Comunicação: Princípio #13 e pontos de atenção
13. A organização obtém/ gera e usa informação relevante e de qualidade para suportar
os outros componentes de controle interno
Pontos de atenção
• Identifica requerimentos da informação

− Existe processo para identificar a informação requerida e esperada para suporte do
funcionamento de outros componentes e realização dos objetivos da entidade
• Capta dados de fontes internas e externas
− Sistemas de informação captam dados de fontes internas e externas
• Processa dados relevantes em informações
− Sistemas de informação processam e transformam dados relevantes em informação
• Mantêm qualidade em seu processamento
− Sistemas de informação produzem informação oportuna, atual, precisa, completa,
acessível, protegida, verificável e manutenível. Informação é revisada para avaliar sua
relevância no suporte aos componentes.
• Considera custos e benefícios
− A natureza, quantidade e precisão da informação comunicada é proporcional para
com o suporte a realização dos objetivos.
NDPPS 156234
14. A organização comunica informações internamente, incluindo objetivos e

responsabilidades para controle interno, necessários para suportar funcionamento
de outros componentes de controle interno
Pontos de atenção
• Comunica informação de controle interno

− Existe um processo em vigor para comunicar informação requerida a fim de possibilitar
o entendimento de todos os funcionários para a execução de suas responsabilidades
quanto ao controle interno.
• Comunica-se com o Corpo Diretivo
− Comunicação existe entre a Administração e o Corpo Diretivo de maneira que ambos
tenham informações necessárias para cumprir suas funções.
• Provêem linhas independentes de comunicação
− Canais de comunicação independentes, tais como hotlines, estão implementados e
servem como mecanismos anti-falha para possibilitar comunicação anônima ou
confidencial.
• Seleciona métodos de comunicação relevantes
− O método de comunicação considera a tempestividade, audiência e a natureza da
informação
NDPPS 156234
15. A organização comunica-se com partes externas com relação a problemas que
afetam o funcionamento de outros componentes de controle interno.
Pontos de atenção
• Comunica-se com partes externas

− Processos estão em vigor para comunicar informação relevante e de maneira tempestiva
aos acionistas, sócios, reguladores, clientes, analistas financeiros e outras entidades
• Possibilita comunicações internas
− Abertura de canais de comunicação possibilita à administração e ao Corpo Diretivo receber
informação relevante de clientes, consumidores, fornecedores, auditores externos,
reguladores, analistas financeiros e outros.
• Comunica-se com o Corpo Diretivo
− Informação relevante de avaliações conduzidas por entidades externas são comunicadas
ao Corpo Diretivo
• Provê linhas de comunicação independentes
− Canais de comunicação independentes, tais como hotlines, estão implementados e servem
como mecanismos anti-falha para possibilitar comunicação anônima ou confidencial.
• Seleciona métodos relevantes de comunicação
− O método de comunicação considera a tempestividade, audiência e natureza da
comunicação legal, regulatória, requerimentos e expectativas fiduciárias
NDPPS 156234
Atividades de monitoramento
Avaliações contínuas, avaliações específicas, ou uma combinação das duas, são utilizadas para
determinar se cada um dos cinco componentes de controle interno, incluindo controles que afetam
os princípios dentro de cada componente, estão presentes e em funcionamento.
Avaliações contínuas, incorporadas aos processos de negócio em diferentes níveis da entidade,

provêem informações tempestivas. Avaliações específicas, conduzidas periodicamente, irão variar
em escopo e freqüência dependendo da avaliação de risco, efetividade das avaliações contínuas e
outras considerações da Administração.
Descobertas são avaliadas contra critérios estabelecidos por reguladores, reconhecidos órgãos
normativos ou pela Administração e Corpo Diretivo, deficiências são comunicadas à Administração e
ao Corpo Diretivo de maneira apropriada.
Atividades de Monitoramento – Mudanças Framework 2013
 Refina a terminologia, onde duas categorias principais de

monitoramento de atividades são agora referidas à “avaliações
contínuas” e “avaliações específicas”
 Adicionada a necessidade por um patamar de entendimento no
estabelecimento de avaliações contínuas e específicas.
 Expansão da discussão do uso de tecnologia e de prestadores
externos de serviço.
NDPPS 156234
Atividades de monitoramento: Princípio #16 e pontos de atenção
16. A organização seleciona, desenvolve e efetua avaliações contínuas e/ou específicas para
determinar se os componentes de controle interno estão presentes e em funcionamento
Pontos de atenção
• Considera um mix de avaliações contínuas e específicas

• Considera grau de mudança
− Administração considera grau de mudança no negócio e em seus processos quando da
seleção e desenvolvimento de avaliações contínuas ou específicas
• Estabelece patamares de entendimento
− O desenho e estado atual de um sistema de controle interno são utilizados para estabelecer
patamares para avaliações contínuas e específicas.
• Utiliza funcionários com bom entendimento
− Avaliadores que efetuam avaliações contínuas e específicas têm conhecimento suficiente
para entender o que está sendo avaliado.
• Integra-se com processos do negócio
− Avaliações contínuas são incorporadas ao processos do negócio e ajustam-se às mudanças
de condições
• Ajusta escopo e freqüência
− Administração varia o escopo e freqüência das avaliação específicas dependendo do risco
• Avalia objetivamente
− Avaliações específicas são efetuadas periodicamente a fim de prover feedback objetivo
NDPPS 156234
Atividades de monitoramento: Princípio #17 e pontos de atenção
17. A organização avalia e comunica deficiências de controle interno de maneira

tempestiva para as partes responsáveis pela tomada de medidas corretivas,
incluindo alta administração e corpo diretivo , quando apropriado.
Pontos de atenção
• Avalia resultados
− Administração e corpo diretivo avaliam os resultados de avaliações contínuas e
específicas.
• Comunica deficiências
− Deficiências são comunicadas às partes responsáveis pela tomada de medidas
corretivas e à alta administração e corpo diretivo, quando apropriado
• Monitora ações corretivas
− Administração acompanha se as deficiências são remediadas tempestivamente
NDPPS 156234
Considerações
Adicionais
Considerações adicionais
 Julgamento
– Framework não determina controles específicos; estabelece os princípios
– Controles são a função da administração; Julgamento do Corpo Diretivo
 Fronteiras organizacionais
– Administração detém responsabilidades gerenciando riscos; selecionando, desenvolvendo
e implantando controles efetivos sobre provedores terceirizados de serviços
– Maior importância da Informação e Comunicação
 Grandes Entidades vs. Pequenas Entidades
– Princípios são aplicáveis para todas as entidades
– Diferentes riscos e vantagens devem ser consideradas
 Benefícios e custos do controle interno
NDPPS 156234
Documentação
 A documentação efetiva do sistema de controle interno da organização é necessária

para:
– Prover evidência de sua efetividade
– Possibilitar monitoramento adequado
 Documentação efetiva também é útil para:
– Designar responsabilidades e prestação de contas aos funcionários
– Treinamento para funcionários novos e já experientes, os quais implementam e monitoram
controles
– Promover consistência através da organização
– Reter conhecimento organizacional
 Nível mais alto de documentação é necessário quando a administração confirma
efetividade dos controles internos à órgãos reguladores, acionistas e outros públicos
terceiros
– Suporte documental para desenho e eficiência operacional dos controles para Auditores
– Suficiência em testes e opiniões/julgamentos
NDPPS 156234
Limitações de Controle Interno
Um sistema de controle interno efetivo proporciona razoável garantia , não garantia

absoluta, devido a:
 Adequação dos objetivos estabelecidos como uma condição prévia para controle
interno
 Julgamento humano pode ser falho e sujeito a vieses
 Colapsos devido à falhas humanas
 Não-respeito do controle interno pela Administração
 Evasão de controle interno através de conluio (fraude, conivência dos envolvidos e
responsáveis)
 Eventos além do controle da organização
NDPPS 156234
Fernando Lage
Sócio Diretor
Obrigado!
flage@kpmg.com.br
(61) 2104 2400

Apêndice “A” – Guia de
acompanhamento ao
Framework
Guia de acompanhamento ao Framework
Framework 2013 também inclui os seguintes documentos associados:

 Ferramentas Ilustrativas para Avaliação de efetividade de um sistema de controle
interno
 Controle Interno sobre Reportes Financeiros Externos: Um resumo de Abordagens e
Exemplos
NDPPS 156234
Ferramentas Ilustrativas para Avaliação de efetividade de um sistema
de controle interno
 Ferramentas incluem uma coleção de templates e cenários que podem ajudar usuários
quando da avaliação de efetividade de um sistema de controle interno baseado nos
requerimentos estabelecidos no Framework atualizado
 Templates ajudam a administração apresentar um sumário da avaliação de resultados
e na determinação se os componentes e princípios estão presentes e em
funcionamento.
 Cenários ilustram como templates podem ser utilizados para suportar uma avaliação
de efetividade de um sistema de controle interno, incluindo:
– Um componente e princípios relevantes estão presentes e em funcionamento?
– Os cinco componentes estão presentes, funcionando e operando juntos de maneira
integrada?
 Ferramentas ilustrativas não substituem ou modificam o Framework atualizado
NDPPS 156234
Controle Interno sobre Reportes Financeiros Externos: Um resumo de
Abordagens e Exemplos
 Ilustra a partir de abordagens e exemplos como os princípios aplicam-se aos objetivos

de reporte financeiro externo
– ICFR
– Postagens em Website, comunicados de imprensa, AGMs, etc.
 Abordagens ilustram como a organização deveria desenhar, implementar e conduzir
certos aspectos de ICEFR
– Abordagens aplicam-se a qualquer tamanho ou tipo de Entidade
– Abordagens incluídas no Resumo não são uma lista compreensiva ou impositiva
 Pontos de atenção são utilizados para demonstrar a ligação entre atividades exemplo
e característica de um princípio
– Exemplos são baseados em experiências reais
– Exemplos não pretendem ser melhores práticas ou demonstrar de maneira suficiente que
um princípio é efetivo
NDPPS 156234

Dia 8 KPMG

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Dia 8 KPMG

Enviado por

Direitos autorais:

Formatos disponíveis

Uma visão geral do

Framework COSO 2013

Controle Interno Atualizado – Framework

O que não está O que está mudando...

Objetivos 2013 COSO Framework

• Refere-se a efetividade e eficiência das operações da

• Refere-se à reportes internos e externos, financeiros e não

• Refere-se à aderência para com leis, regulamentações e

Regulamentação 13a-15(f) define Controle Interno

“Um processo . . . para prover razoável garantia

Inclui políticas e procedimentos para:

1. Manutenção de registros com razoável nível de detalhes que

2. Assegurar que recebíveis e gastos do emitente sejam

3. Proporcionar razoável garantia com relação a prevenção ou

Para um Controle Interno efetivo:

13. Utiliza informação relevante

Atividades de 16. Conduz avaliações contínuas e/ou específicas

Ambiente de Controle – Mudanças no Framework 2013

1. A organização demonstra comprometimento com integridade e valores éticos

• Estabelece o “Tone at the Top”

2. O corpo diretivo demonstra independência da administração e exerce supervisão do

• Estabelece responsabilidade sobre supervisão

3. Administração estabelece, com a supervisão do corpo diretivo, estruturas, linhas de

• Considera toda a estrutura da entidade

4. A organização demonstra comprometimento na atração, desenvolvimento e

• Estabelece políticas e práticas

5. A organização mantém os indivíduos a par de suas responsabilidades de controle

 Esclarece que avaliação de risco inclui processos para identificação de

6. A organização especifica objetivos com suficiente clareza a fim de possibilitar a

• Segrega características relacionadas às operações; reportes financeiros externos;

Objetivos de reportes financeiros externos

• Cumpre com padrões contábeis aplicáveis

7. A organização identifica riscos para a realização de seus objetivos pela entidade a

• Inclui a entidade, subsidiárias, divisões, unidades operacionais e níveis funcionais

8. A organização considera o potencial de fraude na avaliação de riscos para o alcance

• Considera diversos tipos de fraude

9. A organização identifica e avalia mudanças que poderiam impactar

• Avalia mudanças no ambiente externo

Segregação de funções é tipicamente construída dentro da seleção e desenvolvimento das atividades de

Atividades de Controle - Mudanças Framework 2013

 Atualiza-se com a evolução na tecnologia desde 1992 (ex.: substitui

10. A organização seleciona e desenvolve atividades de controle que contribuem na

• Integra-se com Avaliação de Risco

11. A organização seleciona e desenvolve atividades de controle gerais sobre

• Determina grau de dependência entre o uso de tecnologia nos processos de negócio e

12. A organização implanta atividades de controle através de políticas que estabeleçam

Informação & Comunicação – Mudanças Framework 2013

 Enfatiza a importância da qualidade da informação

• Identifica requerimentos da informação

14. A organização comunica informações internamente, incluindo objetivos e

• Comunica informação de controle interno

• Comunica-se com partes externas

Avaliações contínuas, incorporadas aos processos de negócio em diferentes níveis da entidade,

Atividades de Monitoramento – Mudanças Framework 2013

 Refina a terminologia, onde duas categorias principais de

• Considera um mix de avaliações contínuas e específicas

17. A organização avalia e comunica deficiências de controle interno de maneira

 A documentação efetiva do sistema de controle interno da organização é necessária

Um sistema de controle interno efetivo proporciona razoável garantia , não garantia

(61) 2104 2400

Framework 2013 também inclui os seguintes documentos associados:

 Ilustra a partir de abordagens e exemplos como os princípios aplicam-se aos objetivos

Você também pode gostar