Controles Internos
Uma abordagem da estrutura
conceitual COSO
Introdução
Segundo o “American Institute of Certified Public
Accountants – AICPA” (1947), a importância dos
controles internos relacionava-se a:
- Extensão, tamanho e complexidade das organizações
- Necessidade de proteção contra fraquezas humanas
- Limitação da capacidade operacional da Auditoria
Independente
Introdução
Em 1987, a “National Comission on
Fraudulent Financial Reporting” registra em
seu relatório que:
- A visão da administração sobre “controles
internos” influencia o comportamento de toda a
organização
- Os controles se impõem às companhias abertas,
para minimizar a possibilidade de produção de
relatórios financeiros fraudulentos
COSO
Committee of Sponsoring Organizations
O que é?
Comitê das Organizações Patrocinadoras, da
Comissão Nacional sobre Fraudes em Relatórios
Financeiros.
Objetivo
Visa o aperfeiçoamento da qualidade de relatórios
financeiros por meio de éticas profissionais,
implementação de controles internos e governança
corporativa.
Organizações Patrocinadoras
Controles Internos
Processo conduzido pela Diretoria, Conselhos ou outros
empregados de uma companhia, no intuito de fornecer
uma garantia razoável de que os objetivos da entidade
estão sendo alcançados, com relação às seguintes
categorias:
1 – eficácia e eficiência das operações;
2 – confiabilidade dos relatórios financeiros; e
3 – conformidade com a legislação e regulamentos
aplicáveis.
Limitações do CI
ERROS DE JULGAMENTO: na tomada de decisões
FALHAS: falta de cuidado, distração ou cansaço
CONLUIO: difícil detecção
CUSTO X BENEFÍCIO: custo não pode ser maior que o
benefício
EVENTOS EXTERNOS: imprevisibilidade
COSO
“Controle Interno: um modelo integrado”.
Em 1992 o “Comittee of Sponsoring Organizations COSO” propõe um padrão de entendimento,
avaliação e aperfeiçoamento de controles internos,
em cinco componentes:
1 – Ambiente de Controle
2 – Avaliação de Riscos
3 – Atividades de Controle
4 – Informações e Comunicações
5 – Monitoramento.
CUBO DO COSO
COMPONENTES DO COSO
Ambiente de Controle
• Dá o “ritmo” da organização, influenciando a consciência
de controle das pessoas que nela trabalham. Base dos
demais componentes.
Avaliação de Riscos
• Identificação e análise dos riscos relevantes para a
consecução dos objetivos.
Atividades de Controle
• Políticas e procedimentos para assegurar que as diretrizes
sejam seguidas.
Informação e Comunicação
• Identificação, captura e troca de informações.
Monitoramento
• Processo que avalia a qualidade do desempenho dos
controles internos.
Controles Internos e Gerenciamento de Riscos
11
O modelo COSO I tornou-se referência mundial, por:
12
COSO I X COSO II
Estratégico
Atividades
13
COSO II – Enterprise Risk Management Integrated
Framework (ERM)
14
COSO II – 1ª Dimensão –
Objetivos
Objetivos
15
Componente
s
COSO II – 2ª Dimensão –
Componentes da Metodologia
16
COSO II – 2ª Dimensão – Componentes
17
COSO II – 2ª Dimensão – Componentes
18
COSO II – 2ª Dimensão – Componentes
19
COSO II – 3ª Dimensão – Objetos de Controle
Objetos
20
COSO II – 3ª Dimensão –
Objetos de Controle
21
COSO II – Dimensões
(Tradução)
Objetivos
Objetos - Níveis da
organização
Componentes
22
Componentes do COSO
Ambiente de Controle
• Dá o tom de uma organização
• Influencia a consciência de controle das pessoas
• Fornece disciplina e estrutura
Ambiente de controle - elementos
• Integridade e valores éticos e Filosofia/estilo da
administração: exemplo, comunicação, orientação
moral, padrão de relacionamento com principais
executivos (formal/informal), grau de participação dos
funcionários na elaboração de procedimentos
• Comprometimento com competência: meritocracia?
• Qualidade e independência das instâncias de
governança (Conselho de Adm e Comitê de Auditoria)
• Estrutura Organizacional – Autoridade x
Responsabilidade (grau de assimetria e accountability)
• Práticas de RH (treinamentos, avaliação periódica de
desempenho, ações disciplinares)
Como avaliar o Ambiente de controle
• Existe código formalizado de ética/conduta?
• Se o funcionário agir em desrespeito ao código de
conduta, são tomadas medidas disciplinares e/ou
punitivas?
• Há mecanismos de participação dos servidores na
elaboração das regras de conduta?
• As competências e as atribuições estão adequadamente
previstas no Regimento Interno da organização?
• Os níveis individuais de autoridade, de responsabilidade e
de prestação de contas são claramente estabelecidos?
• Existem procedimentos e/ou instruções de trabalho
padronizados?
• As decisões críticas são definidas no nível hierárquico
adequado? O Regimento Interno trata adequadamente
essa questão?
Como avaliar o Ambiente de controle
• As pessoas são questionadas por comportamento
inapropriado, por aceitação excessiva de riscos ou por
serem excessivamente avessas ao risco?
• Os funcionários conhecem suas responsabilidades, a
função de seus serviços e o padrão de conduta e ética a
serem seguidos?
• São tomadas as ações corretivas devidas, quando o
funcionário não age de acordo com os padrões de conduta
e de comportamento esperados ou conforme as políticas e
procedimentos recomendados?
• Na estrutura implantada foi observada uma adequada
segregação de funções, de forma a evitar funções
conflitantes exercidas por um mesmo setor ou por uma
mesma pessoa?
• A dotação de pessoal é suficiente, não comprometendo a
qualidade dos trabalhos?
•
•
•
•
Como avaliar o Ambiente de controle
Os procedimentos e rotinas pertinentes à execução
da atividade auditada estão adequadamente
formalizados?
Os gestores, em particular, e os funcionários, de uma
forma geral, possuem o necessário conhecimento,
experiência e treinamento para cumprir suas
obrigações?
A Política de Investimento está formalizada?
As normas contemplam aspectos de controle de
acesso a bens, a documentos, a informações e a
registros, informatizados ou não?
Componentes do COSO
Avaliação de Risco
• Identificação, análise e administração dos riscos
relevantes
• Em decorrência de:
– Alterações operacionais
– Rotatividade de pessoal
– Atividades ou produtos novos
– Reestruturações corporativas
– Novos Sistemas de Informações
Avaliação de Risco
• Cada objetivo operacional, do nível mais alto (como
“dirigir uma companhia lucrativa”) ao mais baixo
(como “salvaguardar caixa”), deve ser
documentado
• Cada risco que possa prejudicar ou impedir o
alcance do objetivo é identificado e priorizado
Avaliação de Risco
É a identificação e análise dos riscos relevantes
para o alcance dos objetivos e metas da
entidade, com vistas a dar a resposta
apropriada.
Risco: evento futuro e incerto que, caso ocorra,
pode impactar negativamente o alcance dos
objetivos da organização.
Os riscos são analisados e mensurados
considerando-se a sua probabilidade e o
impacto como base para determinar o modo
pelo qual deverão ser geridos.
Avaliação de Risco
Identificar riscos de negócio relevantes para os
objetivos da organização
Estimar a significância dos riscos
Avaliar a probabilidade de sua ocorrência
Decidir sobre ações em resposta a esses riscos
Resposta a Riscos
Evitar
• Suspensão das atividades.
Reduzir
• Adoção de procedimentos de
controle
para
minimizar
a
probabilidade e/ou o impacto do
risco.
Compartilhar
• Redução da probabilidade ou do
impacto.
Aceitar
• Não adotar medidas mitigadoras.
Resposta a Riscos
Alto Impacto /
Alto Impacto /
Baixa Probabilidade Alta Probabilidade
Compartilhar
Evitar
Compartilhar
Reduzir
Baixo Impacto /
Baixo Impacto /
Baixa Probabilidade Alta Probabilidade
Aceitar
Reduzir
Probabilidade
Tolerância a riscos
Alta
tolerância
a riscos
Baixa
tolerância
a riscos
Objetivo
Apetite a risco: quantidade de risco que a organização
está disposta a aceitar na busca de sua missão\visão
Como avaliar o processo de Avaliação de Riscos?
• Os objetivos centrais são claramente estabelecidos e
comunicados aos responsáveis por esses objetivos?
• Os objetivos contemplam os aspectos de efetividade e
de eficiências das operações, de confiabilidade nos
relatórios financeiros e/ou gerenciais e de conformidade
em relação às leis e normativos aplicáveis?
• Os objetivos da atividade estão ligados aos objetivos da
organização e aos planos estratégicos?
• Os objetivos e os riscos da atividade são revisados
periodicamente para garantir sua permanente
relevância?
• Existem mecanismos para prever, para identificar e para
reagir a eventos que possam afetar o alcance dos
objetivos?
Como avaliar o processo de Avaliação de Riscos?
• Os riscos e as oportunidades são tratados em nível
suficientemente alto na organização, de modo a que
suas implicações sejam integralmente identificadas e
planos de ação sejam formulados e cumpridos?
• As decisões de resposta ao risco são tomadas por quem
tem competência para tal e, quando pertinente, são
formalizadas?
• O risco residual assumido é compatível com os
parâmetros institucionais?
• Os indicadores de desempenho importantes para o
alcance dos objetivos são identificados e monitorados?
• A evolução dos indicadores de desempenho é
acompanhada pelo diretor da área, por meio de
relatórios específicos?
Componentes do COSO
Atividades de Controle
• Atividades que, quando executadas a tempo e
maneira adequados, permitem a redução ou
administração dos riscos.
Atividades de Controle
São as políticas e procedimentos que contribuem para
assegurar se:
 os objetivos estão sendo alcançados;
 as
diretrizes
administrativas
estão
sendo
cumpridas;
 estão sendo realizadas as ações necessárias para
gerenciar os riscos com vistas à consecução dos
objetvos da entidade.
Se estabelecidas de forma tempestiva e adequada,
podem vir a prevenir ou administrar os riscos inerentes
ou em potencial da entidade. Não são exclusividade de
determinada área da organização, sendo realizadas em
todos os níveis.
Atividades de Controle - prevenção
• Alçadas: são os limites determinados a um funcionário,
quanto a possibilidade deste aprovar valores ou assumir
posições em nome da instituição.
• Autorizações: a administração determina as atividades e
transações que necessitam de aprovação de um supervisor
para que sejam efetivadas.
• Normatização Interna: é a definição, de maneira formal,
das regras internas necessárias ao funcionamento da
entidade. As normas devem ser de fácil acesso para os
funcionários da organização, e devem definir
responsabilidades, políticas corporativas, fluxos
operacionais, funções e procedimentos
Atividades de Controle - prevenção
• Segregação de funções
– Há a possibilidade de que um indivíduo cometa um
erro ou fraude e esteja em posição que lhe permita
escondê-lo?
– Comparação da obrigação contabilizada com os ativos
existentes
• Separação entre custódia e contabilização reduz o
risco pois não há como eliminar o registro do ativo
• Separação de pagamentos e conciliação bancária
reduz risco de que pgto com cheque não sejam
contabilizados
• Separação de aprovação de crédito e realização de
vendas reduz risco de atingimento de metas
“podres”
Atividade de Controle – Segregação de
Funções
Execução
Registro
Custódia de Ativos
Comparação periódica entre responsabilidade
contabilizada e ativos existentes
Atividades de Controle - detecção
• Conciliação: é a confrontação da mesma informação com
dados vindos de bases diferentes, adotando as ações
corretivas, quando necessário.
• Revisões de Desempenho: Acompanhamento de uma
atividade ou processo, para avaliação de sua adequação
e/ou desempenho, em relação às metas, aos objetivos
traçados e aos benchmarks, assim como acompanhamento
contínuo do mercado financeiro (no caso de bancos), de
forma a antecipar mudanças que possam impactar
negativamente a entidade.
Atividades de Controle – prevenção e
detecção
• Segurança Física: proteção do patrimônio e das
informações contra uso, compra ou venda não-autorizados,
por meio de controle de acessos, controle da entrada e
saída de funcionários e materiais, senhas para arquivos
eletrônicos, ‘call-back’ para acessos remotos, criptografia e
outros.
• Sistemas Informatizados:
– controles gerais: aquisição, desenvolvimento e
manutenção de programas e sistemas. Exemplos:
organização e manutenção dos arquivos de back-up,
arquivo de log do sistema, plano de contingência;
– controles de aplicativos: garantem a integridade e
veracidade dos dados e transações.
Como avaliar os procedimentos de controle?
• Para cada um dos riscos identificados, a administração
implementou mecanismos de controle que minimizem a
probabilidade de os objetivos da atividade não ser
alcançados?
• As atividades de controle são implementadas de
maneira ponderada, consciente e consistente,
considerando, entre outras questões, a relação
custo/benefício do controle?
• Para a definição dos controles a serem implementados
a administração utiliza algum tipo de benchmark de
boas práticas que possam ser aplicados?
• A administração dispõe de instrumentos que permitam
se certificar de que as atividades de controle são
adequadas?
Como avaliar os procedimentos de controle?
• São adotados controles de prevenção e de detecção
para garantir que as operações realizadas sejam
adequadamente iniciadas, autorizadas, registradas,
processadas e divulgadas?
• Estão previstas rotinas de conformidade, de conferência
e de conciliação que garantam a fidedignidade dos
registros contábeis?
• As informações sigilosas, eventualmente tratadas no
âmbito da atividade sob exame, têm recebido o
tratamento previsto na política de segurança da
instituição?
Como avaliar os procedimentos de controle?
• São adotadas providências para garantir que na
realização de procedimentos conflitantes seja observado
o princípio da segregação de funções?
• Há políticas e procedimentos para assegurar que
decisões críticas sejam tomadas com aprovação
adequada (nível hierárquico)?
• Para processos críticos existem planos de continuidade
instituídos?
• A organização instituiu mecanismo para
acompanhamento contínuo dos indicadores de
desempenho?
Componentes do COSO
Informações e Comunicação
• As informações são documentadas e de
qualidade
• As informações são oportunas e precisas
• A comunicação ocorre em todos os níveis da
organização
Como avaliar o processo de Informações e
Comunicação
• O órgão consegue as informações de que necessita de
maneira prática e tempestiva?
• O órgão tem conseguido obter as informações
importantes para avaliação dos riscos internos e
externos?
• O órgão tem conseguido obter informações que lhe
permitem saber se os objetivos operacionais, de
informação e conformidade estão sendo atingidos?
• O órgão identifica, captura, processa e comunica as
informações necessárias a seus clientes e fornecedores
em tempo hábil e de maneira prática?
Como avaliar o processo de Informações e
Comunicação
• Todos os funcionários recebem informações quanto às
suas tarefas e como elas impactam outros funcionários da
própria ou de outras unidades da organização?
• Há políticas e procedimentos para assegurar que as
informações sejam fornecidas tempestivamente, de modo
a permitir o efetivo monitoramento dos eventos e
atividades?
• A organização conta com uma estrutura organizacional e
de suporte tecnológico que garanta o processamento de
dados e a elaboração de informações gerenciais de forma
confiável e tempestiva?
Como avaliar o processo de Informações e
Comunicação
• Os sistemas de informática são seguros e confiáveis,
contemplando aspectos como: segurança no
acesso/identificação; crítica na entrada de dados;
procedimentos de backup; e planos de contingência para
questões chave?
• A organização produz e/ou recebe, tempestivamente,
informações sobre desempenho?
• A organização identifica, captura, processa e comunica as
informações necessárias ao diretor da área, aos demais
componentes administrativos e aos participantes de forma
geral em tempo hábil e de maneira prática?
• Os sistemas informatizados são periodicamente revisados,
atualizados e validados, no sentido de garantir a produção
de informações adequadas e confiáveis?
Componentes do COSO
Monitoramento
• Os controles internos são avaliados
• Os controles internos têm
contribuído para o resultado?
Monitoramento
• Avaliação da qualidade do desempenho dos
controles internos ao longo do tempo (arquitetura,
prontidão e ações corretivas)
• Inputs: reclamações de clientes, fornecedores e
gerentes
• Supervisão dos controles internos pela
administração, pelos funcionários ou pelas partes
externas
• Avaliações periódicas pela auditoria interna
• Informações de órgãos de controle, agências
reguladoras, auditorias externas, órgãos de
supervisão bancária.
Como avaliar o processo de monitoramento?
• A performance é medida e monitorada numa base
regular em comparação aos objetivos da atividade?
• A administração instituiu a divulgação de relatórios de
exceção, para acompanhar as situações que se
configurem como “fora dos padrões”?
• A abrangência e a qualidade dos relatórios periódicos
de acompanhamento do controle interno da área de
operações são adequadas em relação aos seus
propósitos?
• As deficiências de controle interno identificadas são
reportadas tempestivamente ao nível gerencial
apropriado ou à alta administração e adequadamente
tratadas?
Uma análise a partir dos componentes COSO
 Ambiente de Controle:
 firma de natureza familiar;
 filhos e sobrinhos do fundador (que é o
presidente da empresa) são diretores;
 contratações realizadas a partir de indicações de
parentes e amigos;
 não há ações de desenvolvimento de pessoas;
 funcionários que não têm relação de parentesco
mantêm seus cargos gerenciais a partir da
manifestação de lealdade inequívoca ao
respectivo diretor, trabalhando até 12 horas por
dia.
Uma análise a partir dos componentes COSO
 Avaliação de risco:
 um dos diretores é sócio de uma empresa que é uma das
principais compradoras da firma;
 os limites de crédito concedidos aos clientes são
deferidos de forma centralizada pelo Presidente da firma;
 a empresa escreveu seu planejamento estratégico há 4
anos e neste período não foi realizada revisão dos
objetivos estratégicos;
 houve uma elevação da inadimplência nos últimos meses
e a firma teve que tomar empréstimo bancário para
honrar folha de pagamento;
 apesar do clima de recessão mundial, a área de vendas
tem feito enorme pressão por aumento nas receitas.
Uma análise a partir dos componentes COSO
 Atividade de Controle:
 a fim de garantir melhores resultados, a firma
contratou um diretor no mercado, que passou a
responder pela aprovação do crédito e gerenciamento
das vendas;
 estão em fase de manualização as rotinas relativas à
realização de compras pela firma;
 em função da contratação do novo Diretor Executivo,
foi necessário dispensar o gerente de patrimônio. O
controle de itens patrimoniais passou a ser realizado
pelo Contador.
Uma análise a partir dos componentes COSO
 Informação e Comunicação:
 o Presidente reúne-se informalmente com diretores
por ele escolhidos, a cada semana;
 somente os gerentes utilizam correio eletrônico;
 ainda não foi implantada sistemática de avaliação de
desempenho dos funcionários;
 as informações são centralizadas na Diretoria.
Uma análise a partir dos componentes COSO
 Monitoramento:
 Não há uma unidade de auditoria interna
 como há um clima de competição, os gerentes
manipulam as informações sobre resultados atingidos
em cada uma de suas áreas;
 os diretores não supervisionam as atividades de
controle dos gerentes a eles vinculados;
 ações corretivas somente são aplicadas quando há
suspeita de fraude ou dolo, com a demissão sumária.