Você está na página 1de 63

Controles Internos

Uma abordagem da estrutura conceitual COSO

Introdução

Segundo o “American Institute of Certified Public

Accountants – AICPA” (1947), a importância dos controles internos relacionava-se a:

  • - Extensão, tamanho e complexidade das organizações

  • - Necessidade de proteção contra fraquezas humanas

  • - Limitação da capacidade operacional da Auditoria Independente

Introdução Segundo o “American Institute of Certified Public Accountants – AICPA” (1947), a importância dos controles
Introdução Em 1987, a “National Comission on Fraudulent Financial Reporting” registra em seu relatório que: -

Introdução

Em 1987, a “National Comission on Fraudulent Financial Reporting” registra em

seu relatório que:

  • - A visão da administração sobre “controles

internos” influencia o comportamento de toda a

organização

  • - Os controles se impõem às companhias abertas, para minimizar a possibilidade de produção de relatórios financeiros fraudulentos

COSO

Committee of Sponsoring Organizations

O que é?

Comitê

Comissão

das

Organizações

Patrocinadoras,

da

Nacional

sobre

Fraudes

em

Relatórios

Financeiros.

Objetivo

Visa o aperfeiçoamento

financeiros

por

meio

da

de

implementação

de

corporativa.

controles

qualidade

éticas

de

relatórios

profissionais,

internos

e

governança

Organizações Patrocinadoras

Organizações Patrocinadoras
Organizações Patrocinadoras
Organizações Patrocinadoras
Organizações Patrocinadoras
Organizações Patrocinadoras

Controles Internos

Processo conduzido pela Diretoria, Conselhos ou outros empregados de uma companhia, no intuito de fornecer

uma garantia razoável de que os objetivos da entidade estão sendo alcançados, com relação às seguintes categorias:

1 eficácia e eficiência das operações;

2 confiabilidade dos relatórios financeiros; e

3 conformidade com aplicáveis.

a legislação

e

regulamentos

Limitações do CI

ERROS DE JULGAMENTO: na tomada de decisões

FALHAS: falta de cuidado, distração ou cansaço

CONLUIO: difícil detecção

CUSTO X BENEFÍCIO: custo não pode ser maior que o benefício

EVENTOS EXTERNOS: imprevisibilidade

COSO

“Controle Interno: um modelo integrado”.

Em 1992 o “Comittee of Sponsoring Organizations - COSO” propõe um padrão de entendimento, avaliação e aperfeiçoamento de controles internos, em cinco componentes:

1 Ambiente de Controle

  • 2 Avaliação de Riscos

  • 3 Atividades de Controle

  • 4 Informações e Comunicações

CUBO DO COSO

CUBO DO COSO

COMPONENTES DO COSO

Ambiente de Controle
Ambiente de Controle

Dá o “ritmo” da organização, influenciando a consciência de controle das pessoas que nela trabalham. Base dos demais componentes.

Avaliação de Riscos

Identificação e análise dos riscos relevantes para a consecução dos objetivos.

Atividades de Controle
Atividades de Controle

Políticas e procedimentos para assegurar que as diretrizes sejam seguidas.

Informação e Comunicação
Informação e Comunicação

Identificação, captura e troca de informações.

Monitoramento
Monitoramento

Processo que avalia a qualidade do desempenho dos controles internos.

Controles Internos e Gerenciamento de Riscos

Controles Internos e Gerenciamento de Riscos 11
Controles Internos e Gerenciamento de Riscos 11
Controles Internos e Gerenciamento de Riscos 11
Controles Internos e Gerenciamento de Riscos 11
Controles Internos e Gerenciamento de Riscos 11

O modelo COSO I tornou-se referência mundial, por:

O modelo COSO I tornou-se referência mundial, por: 12
O modelo COSO I tornou-se referência mundial, por: 12

COSO I X COSO II

Estratégico

COSO I X COSO II Estratégico Atividades 13

Atividades

COSO II Enterprise Risk Management Integrated Framework (ERM)

COSO II – Enterprise Risk Management Integrated Framework (ERM) 14

COSO II 1ª Dimensão Objetivos

Objetivos
Objetivos
COSO II – 1ª Dimensão – Objetivos Objetivos 15
COSO II – 1ª Dimensão – Objetivos Objetivos 15
COSO II – 1ª Dimensão – Objetivos Objetivos 15
COSO II – 1ª Dimensão – Objetivos Objetivos 15
COSO II – 1ª Dimensão – Objetivos Objetivos 15

COSO II 2ª Dimensão Componentes da Metodologia

Componente s
Componente
s
COSO II – 2ª Dimensão – Componentes da Metodologia Componente s 16
COSO II – 2ª Dimensão – Componentes da Metodologia Componente s 16
COSO II – 2ª Dimensão – Componentes da Metodologia Componente s 16
COSO II – 2ª Dimensão – Componentes da Metodologia Componente s 16
COSO II – 2ª Dimensão – Componentes da Metodologia Componente s 16
COSO II – 2ª Dimensão – Componentes da Metodologia Componente s 16
COSO II – 2ª Dimensão – Componentes da Metodologia Componente s 16
COSO II – 2ª Dimensão – Componentes da Metodologia Componente s 16
COSO II – 2ª Dimensão – Componentes da Metodologia Componente s 16
COSO II – 2ª Dimensão – Componentes da Metodologia Componente s 16

COSO II 2ª Dimensão Componentes

COSO II – 2ª Dimensão – Componentes 17

COSO II 2ª Dimensão Componentes

COSO II – 2ª Dimensão – Componentes 18

COSO II 2ª Dimensão Componentes

COSO II – 2ª Dimensão – Componentes 19

COSO II 3ª Dimensão Objetos de Controle

COSO II – 3ª Dimensão – Objetos de Controle Objetos 20
COSO II – 3ª Dimensão – Objetos de Controle Objetos 20
COSO II – 3ª Dimensão – Objetos de Controle Objetos 20
Objetos
Objetos
COSO II – 3ª Dimensão – Objetos de Controle Objetos 20
COSO II – 3ª Dimensão – Objetos de Controle Objetos 20
COSO II – 3ª Dimensão – Objetos de Controle Objetos 20
COSO II – 3ª Dimensão – Objetos de Controle Objetos 20

COSO II 3ª Dimensão Objetos de Controle

COSO II – 3ª Dimensão – Objetos de Controle 21

COSO II Dimensões (Tradução)

Objetivos Objetos - Níveis da organização Componentes
Objetivos
Objetos - Níveis da
organização
Componentes

Componentes do COSO

Componentes do COSO
Componentes do COSO

Ambiente de Controle

Dá o tom de uma organização

Influencia a consciência de controle das pessoas

Fornece disciplina e estrutura

Ambiente de Controle • Dá o tom de uma organização • Influencia a consciência de controle

Ambiente de controle - elementos

Integridade e valores éticos e Filosofia/estilo da administração: exemplo, comunicação, orientação moral, padrão de relacionamento com principais executivos (formal/informal), grau de participação dos

funcionários na elaboração de procedimentos Comprometimento com competência: meritocracia?

Qualidade e independência das instâncias de governança (Conselho de Adm e Comitê de Auditoria)

Estrutura Organizacional Autoridade x Responsabilidade (grau de assimetria e accountability)

Práticas de RH (treinamentos, avaliação periódica de desempenho, ações disciplinares)

Como avaliar o Ambiente de controle

Existe código formalizado de ética/conduta?

Se o funcionário agir em desrespeito ao código de

conduta, são tomadas medidas disciplinares e/ou punitivas?

Há mecanismos de participação dos servidores na elaboração das regras de conduta?

As competências e as atribuições estão adequadamente previstas no Regimento Interno da organização?

Os níveis individuais de autoridade, de responsabilidade e de prestação de contas são claramente estabelecidos?

Existem procedimentos e/ou instruções de trabalho

padronizados?

As decisões críticas são definidas no nível hierárquico adequado? O Regimento Interno trata adequadamente

essa questão?

Como avaliar o Ambiente de controle

As pessoas são questionadas por comportamento inapropriado, por aceitação excessiva de riscos ou por serem excessivamente avessas ao risco?

Os funcionários conhecem suas responsabilidades, a função de seus serviços e o padrão de conduta e ética a serem seguidos?

São tomadas as ações corretivas devidas, quando o funcionário não age de acordo com os padrões de conduta

e de comportamento esperados ou conforme as políticas e

procedimentos recomendados?

Na estrutura implantada foi observada uma adequada segregação de funções, de forma a evitar funções

conflitantes exercidas por um mesmo setor ou por uma

mesma pessoa?

A dotação de pessoal é suficiente, não comprometendo a qualidade dos trabalhos?

Como avaliar o Ambiente de controle

Os procedimentos e rotinas pertinentes à execução

da atividade auditada estão adequadamente

formalizados?

Os gestores, em particular, e os funcionários, de uma forma geral, possuem o necessário conhecimento,

experiência e treinamento para cumprir suas

obrigações?

A Política de Investimento está formalizada?

As normas contemplam aspectos de controle de

acesso a bens, a documentos, a informações e a

registros, informatizados ou não?

Componentes do COSO

Componentes do COSO
Componentes do COSO

Avaliação de Risco

Identificação, análise e administração dos riscos relevantes

Em decorrência de:

Alterações operacionais

Rotatividade de pessoal

Atividades ou produtos novos

Reestruturações corporativas

Novos Sistemas de Informações

Avaliação de Risco • Identificação, análise e administração dos riscos relevantes • Em decorrência de: –

Avaliação de Risco

• Cada objetivo operacional, do nível mais alto (como “dirigir uma companhia lucrativa”) ao mais baixo
Cada objetivo operacional, do nível mais alto (como
“dirigir uma companhia lucrativa”) ao mais baixo
(como “salvaguardar caixa”), deve ser
documentado
Cada risco que possa prejudicar ou impedir o
alcance do objetivo é identificado e priorizado
Avaliação de Risco • Cada objetivo operacional, do nível mais alto (como “dirigir uma companhia lucrativa”)

Avaliação de Risco

É a identificação e análise dos riscos relevantes

para o alcance dos objetivos e metas da

entidade,

com

apropriada.

vistas

a

dar

a

resposta

Risco: evento futuro e incerto que, caso ocorra, pode impactar negativamente o alcance dos objetivos da organização.

Os

riscos

são

analisados

e mensurados

considerando-se a

sua probabilidade

e

o

impacto

como base

para determinar o modo

pelo qual deverão ser geridos.

Avaliação de Risco

Identificar riscos de negócio relevantes para os objetivos da organização Estimar a significância dos riscos Avaliar
Identificar riscos de negócio relevantes para os
objetivos da organização
Estimar a significância dos riscos
Avaliar a probabilidade de sua ocorrência

Decidir sobre ações em resposta a esses riscos

Resposta a Riscos

Evitar

Reduzir

Compartilhar

Aceitar

Resposta a Riscos Evitar Reduzir Compartilhar Aceitar • Suspensão das atividades. • Adoção de procedimentos de

Suspensão das atividades.

Resposta a Riscos Evitar Reduzir Compartilhar Aceitar • Suspensão das atividades. • Adoção de procedimentos de

Adoção de procedimentos de

controle

para

minimizar

a

probabilidade e/ou o impacto do

risco.

  • Redução da probabilidade ou do impacto.

Resposta a Riscos Evitar Reduzir Compartilhar Aceitar • Suspensão das atividades. • Adoção de procedimentos de
  • Não adotar medidas mitigadoras.

Resposta a Riscos Evitar Reduzir Compartilhar Aceitar • Suspensão das atividades. • Adoção de procedimentos de

Resposta a Riscos

Alto Impacto / Alto Impacto / Baixa Probabilidade Alta Probabilidade Evitar Compartilhar Compartilhar Reduzir Baixo Impacto
Alto Impacto /
Alto Impacto /
Baixa Probabilidade Alta Probabilidade
Evitar
Compartilhar
Compartilhar
Reduzir
Baixo Impacto /
Baixo Impacto /
Baixa Probabilidade Alta Probabilidade
Aceitar
Reduzir

Probabilidade

Tolerância a riscos

Tolerância a riscos Alta tolerância a riscos Baixa tolerância a riscos Objetivo Apetite a risco: quantidade
Tolerância a riscos Alta tolerância a riscos Baixa tolerância a riscos Objetivo Apetite a risco: quantidade
Tolerância a riscos Alta tolerância a riscos Baixa tolerância a riscos Objetivo Apetite a risco: quantidade
Alta tolerância a riscos
Alta
tolerância
a riscos
Baixa tolerância a riscos Objetivo
Baixa
tolerância
a riscos
Objetivo

Apetite a risco: quantidade de risco que a organização está disposta a aceitar na busca de sua missão\visão

Como avaliar o processo de Avaliação de Riscos?

Os objetivos centrais são claramente estabelecidos e

comunicados aos responsáveis por esses objetivos?

Os objetivos contemplam os aspectos de efetividade e de eficiências das operações, de confiabilidade nos relatórios financeiros e/ou gerenciais e de conformidade

em relação às leis e normativos aplicáveis?

Os objetivos da atividade estão ligados aos objetivos da organização e aos planos estratégicos?

Os objetivos e os riscos da atividade são revisados

periodicamente para garantir sua permanente

relevância?

Existem mecanismos para prever, para identificar e para reagir a eventos que possam afetar o alcance dos

objetivos?

Como avaliar o processo de Avaliação de Riscos?

Os riscos e as oportunidades são tratados em nível

suficientemente alto na organização, de modo a que

suas implicações sejam integralmente identificadas e planos de ação sejam formulados e cumpridos?

As decisões de resposta ao risco são tomadas por quem

tem competência para tal e, quando pertinente, são

formalizadas?

O risco residual assumido é compatível com os parâmetros institucionais?

Os indicadores de desempenho importantes para o

alcance dos objetivos são identificados e monitorados?

A evolução dos indicadores de desempenho é acompanhada pelo diretor da área, por meio de

relatórios específicos?

Componentes do COSO

Componentes do COSO
Componentes do COSO

Atividades de Controle

Atividades que, quando executadas a tempo e

maneira adequados, permitem a redução ou administração dos riscos.

Atividades de Controle • Atividades que, quando executadas a tempo e maneira adequados, permitem a redução

Atividades de Controle

São as políticas e procedimentos que contribuem para assegurar se:

  • os objetivos estão sendo alcançados;

  • as diretrizes administrativas estão sendo cumpridas;

  • estão sendo realizadas as ações necessárias para gerenciar os riscos com vistas à consecução dos objetvos da entidade.

Se estabelecidas de forma tempestiva e adequada,

podem vir a prevenir ou administrar os riscos inerentes ou em potencial da entidade. Não são exclusividade de determinada área da organização, sendo realizadas em

todos os níveis.

Atividades de Controle - prevenção

Alçadas: são os limites determinados a um funcionário, quanto a possibilidade deste aprovar valores ou assumir

posições em nome da instituição.

Autorizações: a administração determina as atividades e transações que necessitam de aprovação de um supervisor para que sejam efetivadas.

Normatização Interna: é a definição, de maneira formal, das regras internas necessárias ao funcionamento da

entidade. As normas devem ser de fácil acesso para os funcionários da organização, e devem definir

responsabilidades, políticas corporativas, fluxos

operacionais, funções e procedimentos

Atividades de Controle - prevenção • Alçadas : são os limites determinados a um funcionário, quanto

Atividades de Controle - prevenção

Segregação de funções

Há a possibilidade de que um indivíduo cometa um erro ou fraude e esteja em posição que lhe permita escondê-lo?

Comparação da obrigação contabilizada com os ativos existentes

Separação entre custódia e contabilização reduz o risco pois não há como eliminar o registro do ativo

Separação de pagamentos e conciliação bancária

reduz risco de que pgto com cheque não sejam

contabilizados

Separação de aprovação de crédito e realização de vendas reduz risco de atingimento de metas

“podres”

Atividade de Controle Segregação de Funções

Execução

Registro

Atividade de Controle – Segregação de Funções Execução Custódia de Ativos Comparação periódica entre responsabilidade contabilizada

Custódia de Ativos

Atividade de Controle – Segregação de Funções Execução Custódia de Ativos Comparação periódica entre responsabilidade contabilizada

Comparação periódica entre responsabilidade contabilizada e ativos existentes

Atividades de Controle - detecção

Conciliação: é a confrontação da mesma informação com dados vindos de bases diferentes, adotando as ações corretivas, quando necessário.

Revisões de Desempenho: Acompanhamento de uma atividade ou processo, para avaliação de sua adequação e/ou desempenho, em relação às metas, aos objetivos traçados e aos benchmarks, assim como acompanhamento contínuo do mercado financeiro (no caso de bancos), de forma a antecipar mudanças que possam impactar negativamente a entidade.

Atividades de Controle - detecção • • Conciliação: é a confrontação da mesma informação com dados

Atividades de Controle prevenção e detecção

Segurança Física: proteção do patrimônio e das informações contra uso, compra ou venda não-autorizados, por meio de controle de acessos, controle da entrada e saída de funcionários e materiais, senhas para arquivos eletrônicos, ‘call-back’ para acessos remotos, criptografia e outros.

Sistemas Informatizados:

controles gerais: aquisição, desenvolvimento e manutenção de programas e sistemas. Exemplos:

organização e manutenção dos arquivos de back-up,

arquivo de log do sistema, plano de contingência;

controles de aplicativos: garantem a integridade e veracidade dos dados e transações.

Como avaliar os procedimentos de controle?

Para cada um dos riscos identificados, a administração

implementou mecanismos de controle que minimizem a

probabilidade de os objetivos da atividade não ser alcançados?

As atividades de controle são implementadas de

maneira ponderada, consciente e consistente,

considerando, entre outras questões, a relação custo/benefício do controle?

Para a definição dos controles a serem implementados a administração utiliza algum tipo de benchmark de boas práticas que possam ser aplicados?

A administração dispõe de instrumentos que permitam se certificar de que as atividades de controle são

adequadas?

Como avaliar os procedimentos de controle?

São adotados controles de prevenção e de detecção

para garantir que as operações realizadas sejam

adequadamente iniciadas, autorizadas, registradas, processadas e divulgadas?

Estão previstas rotinas de conformidade, de conferência

e de conciliação que garantam a fidedignidade dos

registros contábeis?

As informações sigilosas, eventualmente tratadas no âmbito da atividade sob exame, têm recebido o

tratamento previsto na política de segurança da

instituição?

Como avaliar os procedimentos de controle?

São adotadas providências para garantir que na

realização de procedimentos conflitantes seja observado

o princípio da segregação de funções?

Há políticas e procedimentos para assegurar que decisões críticas sejam tomadas com aprovação

adequada (nível hierárquico)?

Para processos críticos existem planos de continuidade instituídos?

A organização instituiu mecanismo para

acompanhamento contínuo dos indicadores de

desempenho?

Componentes do COSO

Componentes do COSO
Componentes do COSO

Informações e Comunicação

As informações são documentadas e de qualidade

As informações são oportunas e precisas

A comunicação ocorre em todos os níveis da organização

Informações e Comunicação • As informações são documentadas e de qualidade • As informações são oportunas

Como avaliar o processo de Informações e Comunicação

O órgão consegue as informações de que necessita de maneira prática e tempestiva?

O órgão tem conseguido obter as informações importantes para avaliação dos riscos internos e externos?

O órgão tem conseguido obter informações que lhe permitem saber se os objetivos operacionais, de informação e conformidade estão sendo atingidos?

O órgão identifica, captura, processa e comunica as

informações necessárias a seus clientes e fornecedores em tempo hábil e de maneira prática?

Como avaliar o processo de Informações e Comunicação

Todos os funcionários recebem informações quanto às suas tarefas e como elas impactam outros funcionários da própria ou de outras unidades da organização?

Há políticas e procedimentos para assegurar que as

informações sejam fornecidas tempestivamente, de modo

a permitir o efetivo monitoramento dos eventos e atividades?

A organização conta com uma estrutura organizacional e

de suporte tecnológico que garanta o processamento de

dados e a elaboração de informações gerenciais de forma confiável e tempestiva?

Como avaliar o processo de Informações e Comunicação

Os sistemas de informática são seguros e confiáveis,

contemplando aspectos como: segurança no

acesso/identificação; crítica na entrada de dados; procedimentos de backup; e planos de contingência para questões chave?

A organização produz e/ou recebe, tempestivamente,

informações sobre desempenho?

A organização identifica, captura, processa e comunica as informações necessárias ao diretor da área, aos demais componentes administrativos e aos participantes de forma

geral em tempo hábil e de maneira prática?

Os sistemas informatizados são periodicamente revisados, atualizados e validados, no sentido de garantir a produção de informações adequadas e confiáveis?

Componentes do COSO

Componentes do COSO
Componentes do COSO

Monitoramento

Os controles internos são avaliados Os controles internos têm contribuído para o resultado?

Monitoramento • Os controles internos são avaliados • Os controles internos têm contribuído para o resultado?

Monitoramento

Avaliação da qualidade do desempenho dos controles internos ao longo do tempo (arquitetura, prontidão e ações corretivas)

Inputs: reclamações de clientes, fornecedores e gerentes

Supervisão dos controles internos pela administração, pelos funcionários ou pelas partes externas

Avaliações periódicas pela auditoria interna

Informações de órgãos de controle, agências reguladoras, auditorias externas, órgãos de supervisão bancária.

Como avaliar o processo de monitoramento?

A performance é medida e monitorada numa base

regular em comparação aos objetivos da atividade?

A administração instituiu a divulgação de relatórios de exceção, para acompanhar as situações que se

configurem como “fora dos padrões”?

A abrangência e a qualidade dos relatórios periódicos

de acompanhamento do controle interno da área de operações são adequadas em relação aos seus propósitos?

As deficiências de controle interno identificadas são

reportadas tempestivamente ao nível gerencial apropriado ou à alta administração e adequadamente tratadas?

Uma análise a partir dos componentes COSO

 Ambiente de Controle:  firma de natureza familiar;  filhos e sobrinhos do fundador (que
Ambiente de Controle:
firma de natureza familiar;
filhos e sobrinhos do fundador (que é o
presidente da empresa) são diretores;
contratações realizadas a partir de indicações de
parentes e amigos;
não há ações de desenvolvimento de pessoas;
funcionários que não têm relação de parentesco
mantêm seus cargos gerenciais a partir da
manifestação de lealdade inequívoca ao
respectivo diretor, trabalhando até 12 horas por
dia.

Uma análise a partir dos componentes COSO

 Avaliação de risco:  um dos diretores é sócio de uma empresa que é uma
Avaliação de risco:
um dos diretores é sócio de uma empresa que é uma das
principais compradoras da firma;
os limites de crédito concedidos aos clientes são
deferidos de forma centralizada pelo Presidente da firma;
a empresa escreveu seu planejamento estratégico há 4
anos e neste período não foi realizada revisão dos
objetivos estratégicos;
houve uma elevação da inadimplência nos últimos meses
e a firma teve que tomar empréstimo bancário para
honrar folha de pagamento;
apesar do clima de recessão mundial, a área de vendas
tem feito enorme pressão por aumento nas receitas.

Uma análise a partir dos componentes COSO

 Atividade de Controle:  a fim de garantir melhores resultados, a firma contratou um diretor
Atividade de Controle:
a fim de garantir melhores resultados, a firma
contratou um diretor no mercado, que passou a
responder pela aprovação do crédito e gerenciamento
das vendas;
estão em fase de manualização as rotinas relativas à
realização de compras pela firma;
em função da contratação do novo Diretor Executivo,
foi necessário dispensar o gerente de patrimônio. O
controle de itens patrimoniais passou a ser realizado
pelo Contador.

Uma análise a partir dos componentes COSO

 Informação e Comunicação:  o Presidente reúne-se informalmente com diretores por ele escolhidos, a cada
Informação e Comunicação:
o Presidente reúne-se informalmente com diretores
por ele escolhidos, a cada semana;
somente os gerentes utilizam correio eletrônico;
ainda não foi implantada sistemática de avaliação de
desempenho dos funcionários;
as informações são centralizadas na Diretoria.

Uma análise a partir dos componentes COSO

 Monitoramento:  Não há uma unidade de auditoria interna  como há um clima de
Monitoramento:
Não há uma unidade de auditoria interna
como há um clima de competição, os gerentes
manipulam as informações sobre resultados atingidos
em cada uma de suas áreas;
os diretores não supervisionam as atividades de
controle dos gerentes a eles vinculados;
ações corretivas somente são aplicadas quando há
suspeita de fraude ou dolo, com a demissão sumária.