Ano XXV - 19 de março de 2024

QR - Mobile Link
início   |   contabilidade
CONTROLES INTERNOS



AVISO:
Serviço restabelecido! Esclarecemos que sofremos instabilidade no portal! E informamos: nossos servidores estão "on-line" todo o tempo, porém a rede sofre ataques conhecidos como "DDoS", ataque distribuído para negação de serviço. Às vezes, a conexão responde como "ERR_CONNECTION_TIMED_OUT", ou seja, o servidor demorou para responder.

Consulte sempre as informações em nossas redes sociais: Facebook, Twitter e LinkedIn.
Agradecemos vossa compreensão. Obrigado!

CONTABILIDADE INTERNACIONAL - ENTENDENDO O COSO

A AUDITORIA INTERNA SEGUNDO COSO (Revisada em 07-03-2024)

Roteiro prático para entender os princípios do COSO - The Comitee of Sponsoring Organizations of The Treadway Commission (Comitê das Organizações Patrocinadoras) sobre CONTROLES INTERNOS

SUMÁRIO:

  1. Introdução
  2. O Que é o COSO?
  3. O Trabalho do COSO
    1. Definição
    2. Processo de Controles Internos
      1. Ambiente de Controle
      2. Avaliação e Gerenciamento dos Riscos
      3. Atividades de Controle
      4. Informação e Comunicação
      5. Monitoramento
  4. Proposta de Roteiro
    1. Objetivo
    2. Riscos
    3. Atividades de Controle
    4. Informação, Comunicação e Monitoramento
    5. O Papel de Trabalho

Texto sem data escrito por: Luiz Eduardo Alves Ferreira (redação), Alceu Norberto Valente (revisão) e Fernando Asato (revisão) - Extraído do site Auditoria Interna (que foi retirado da internet) coordenado por Grupo de Auditores Internos do Banco do Brasil S/A com comentários e anotações Por Américo G Parada Fº - Contador - Coordenador do COSIFE.

NOTA DO COSIFE: A partir de 01/06/2019 passou a vigorar a NBC-PG-01 (Código de Ética Profissional do Contador)

1. Introdução

A Auditoria Independente assim como a Auditoria Interna vem passando por mudanças bastante profundas, que envolvem não só alterações no instrumental e na metodologia, como também na sua própria função nas empresas.

NOTAS DO COSIFE:

Este texto de autoria dos funcionários do Banco do Brasil acima citados era especialmente dirigido para os auditores internos, que trabalhavam (ou iam trabalhar) com o modelo COSO de gerenciamento de controles internos (Compliance Office). Trazia os conceitos fundamentais, sempre com a preocupação da aplicação prática. No decorrer do desenvolvimento do texto, os signatários, tiveram o cuidado de direcionar o entendimento para o planejamento e execução de uma missão de auditoria. Na parte final apresentaram um roteiro prático de auditoria baseada no modelo COSO de 1992 (há nova versão denominada COSO 2013), procurando resgatar os conceitos discutidos no corpo principal do texto.

Veja o:

  1. COSO - Executive Sumay - Maio de 2013
  2. The 2013 COSO Framework & SOX Compliance

Porém, atualmente é necessário chamar a atenção do leitor para o seguinte.

O Efetivo Controle Governamental Defendido por Keynes

Com base Lei 4.595/1964, na legislação e regulamentação complementar e baseado, ainda, em recomendações do Comitê de Supervisão Bancária da Basileia, com sede na Suíça, o Banco Central do Brasil passou a exigir que as entidades do sistema financeiro brasileiro tenham bem organizados sistemas de Controle Interno e de Gerenciamento de Riscos.

Mais informações podem ser obtidas no texto denominado Compliance Office - Gerenciamento de Controles Internos e Riscos.

É importante destacar também que as normas regulamentares do Banco Central do Brasil exige que os Auditores Independentes, entre outros relatórios circunstanciados mencionados no COSIF 1.34.7, apresentem um sobre a qualidade dos controles internos e do gerenciamento de riscos da entidade vistoriada.

Veja ainda o MNI 2-1-20 - Auditores Independentes (o MNI, embora extinto pelo BACEN, continua automaticamente atualizado neste COSIFE) e todo o conteúdo do COSIF 1.34 - Auditoria

Por sua vez, na condição de entidade máxima reguladora dos profissionais da Contabilidade, o CFC - Conselho Federal de Contabilidade vem se esforçando, com o auxílio de outras entidades públicas e privadas, em revisar todas as NBC - Normas Brasileiras de Contabilidade no sentido de que se adaptem ao padrão internacional institucionalizado pela IFAC - Federação Internacional do Contadores e pelo IASB - Comitê das Normas Internacionais de Contabilidade. Para isso, por intermédio da Resolução CFC 1.055/2005 foi criado o CPC - Comitê de Pronunciamentos Contábeis, indiretamente citado no artigo 5º da Lei 11.638/2007.

Sobre Auditoria Interna foi publicada a Resolução CFC 781/1995 que inicialmente aprovou a NBC-PI-01 - Normas Profissionais de Auditor Interno (Revogada e substituída pela NBC-PG-100 - Aplicação Geral aos Profissionais da Contabilidade) e a Resolução do CFC que inicialmente aprovou a atual NBC-TI-01 (antiga NBC-T-12)- Normas Técnicas de Auditoria Interna.

É preciso salientar também que o trabalho do Auditor Interno deve se basear no padrão estabelecido para o Auditor Independente (NBC-TA), observando-se ainda o contido na NBC-PG-01 (Código de Ética Profissional do Contador).

Com base nas Normas expedidas pelo CFC, o Auditor deve levar em conta a NBC-TA-265 que versa sobre a Comunicação de Deficiências de CONTROLES INTERNOS.

A NBC-TA-265 não impõe responsabilidades adicionais ao auditor na obtenção de entendimento do controle interno, assim como no planejamento e na execução de testes de controle além dos requisitos na NBC-TA-315 (Identificação e Avaliação dos Riscos de Distorção Relevante por meio do Entendimento da Entidade e do seu Ambiente), especialmente quanto ao relatado no item 4 e no item 12 da mesma. Veja também os requisitos da NBC-TA-330 - Resposta do Auditor aos Riscos Avaliados (Compliance).

A NBC-TA-260 estabelece requisitos adicionais e fornece orientação sobre a responsabilidade do auditor na comunicação com os responsáveis pela governança em relação à auditoria de demonstrações contábeis.

Veja os CTA - Comunicados Técnicos - Auditoria Independente em que estão modelos de Relatórios a serem expedidos pelos Auditores.

Voltando ao texto original, com dados históricos sobre o surgimento e a implantação do modelo COSO de 1992, vejamos:

2. O Que é o COSO?

Muito se tem falado sobre controles internos. Pergunta-se:

  1. O que é um controle interno?
  2. É um normativo?
  3. É um sistema?
  4. Afinal, para que serve um controle interno?
  5. É uma ferramenta para auxiliar as operações de uma empresa ou para atrapalhar?
  6. É um instrumento que só é útil à auditoria ou a toda empresa?

Estas perguntas eram respondidas de diferentes maneiras, conforme a quem se perguntava. Gerentes tinham uma opinião sobre controle interno que não era a mesma dos auditores internos, que por sua vez tinham uma visão diferente dos funcionários da controladoria. A falta de um denominador comum ajudava a aumentar a confusão sobre o papel e significado dos controles internos para a empresa.

Em 1985, foi criada, nos Estados Unidos, a National Commission on Fraudulent Financial Reporting (Comissão Nacional sobre Fraudes em Relatórios Financeiros para combater a Manipulação das Demonstrações Contábeis com falsificação material e ideológica da escrituração contábil e de sua documentação), uma iniciativa independente, para estudar as causas da ocorrência de fraudes em relatórios financeiros/contábeis.

NOTA DO COSIFE:

Os referidos "Relatórios Financeiros" na realidade são as Demonstrações Contábeis que devem ser obrigatoriamente publicadas pelas sociedades de capital aberto (também conhecidas como companhias abertas), pelas instituições do sistema financeiro e pelas grandes empresas depois das modificações introduzidas na Lei das Sociedades por Ações a partir de 2007.

No Brasil, desde 1977, a Contabilidade Criativa (fraudulenta) derivada da falsificação material e ideológica da escrituração contábil com o intuito de sonegação fiscal é combatida com base no § 1º do artigo 7º do Decreto-Lei 1.598/1977, com base na Lei 4.729/1965 (Lei de combate à Sonegação Fiscal) e também com base na Lei 8.137/1990 (Combate aos crimes contra a Ordem Econômica e Tributária).

A Lei 6.404/1976 (Lei das Sociedades por Ações), no seu Capitulo XV e seguintes (com alterações) discorre sobre a escrituração contábil e ainda estabelece regras para serem procedidas pelo Conselho Fiscal, que desde a década de 1940 (quando foi sancionada a Antiga Lei das S/A) tem a função de zelar pela mais perfeita Governança Corporativa.

Sobre a composição do Conselho Fiscal (Lei 6.404/1976) das Companhias Abertas (artigo 22 da Lei 6.385/1976), veja o texto denominado A Função do Conselho Fiscal na Governança Corporativa.

Veja também informações complementares em Histórico da Legislação sobre Contabilidade no Brasil.

Torna-se importante salientar que o SOX - Sarbannes-Oxley Act norte-americano, com  mesmo intento da legislação brasileira, foi tardiamente sancionado em meados de 2002. Mesmo depois de vigorando, tornou-se inócuo porque persistiram as fraudes empresariais nos Estados Unidos que resultaram na bancarrota daquele País, oficialmente declarada somente em 2008. Diante de tais fatos, uma importe empresa de auditoria independente acabou por fechar suas portas.

Ou seja, os esforços da ONG (Organização Não Governamental) National Commission on Fraudulent Financial Reporting de nada adiantaram.

Esta comissão de combate às fraudes empresariais era composta por representantes das principais associações de classe de profissionais ligados à área financeira. Seu primeiro objeto de estudo foram os controles internos. Em 1992 publicaram o trabalho "Internal Control - Integrated Framework" (Controles Internos - Um Modelo Integrado). Esta publicação [sem resultados práticos satisfatórios, em razão da inescrupulosa atuação dos executivos contratados pelos controladores das grandes empresas] tornou-se referência mundial para o estudo e aplicação dos controles internos, e é a base que fundamenta o presente texto.

Posteriormente a Comissão transformou-se em Comitê, que passou a ser conhecido como COSO - The Comitee of Sponsoring Organizations (Comitê das Organizações Patrocinadoras). O COSO é uma entidade sem fins lucrativos, dedicada à melhoria dos relatórios financeiros através da ética, efetividade dos controles internos e governança corporativa. É patrocinado por cinco das principais associações de classe de profissionais ligados à área financeira nos Estados Unidos, a saber:

AICPA American Institute of Certified Public Accounts Instituto Americano de Contadores Públicos Certificados
AAA American Accounting Association Associação Americana de Contadores
FEI Financial Executives Internacional Executivos Financeiros Internacional
IIA The Insititute of Internal Auditors Instituto dos Auditores Internos
IMA Institute of Management Accountants Instituto dos Contadores Gerenciais

O Comitê trabalha com independência, em relação a suas entidades patrocinadoras. Seus integrantes são representantes da indústria, dos contadores, das empresas de investimento e da Bolsa de Valores de Nova York. O primeiro presidente foi James C. Treadway, de onde veio o nome "Treadway Comission". Atualmente John Flaherty ocupa a presidência.

NOTAS DO COSIFE:

Os Problemas Causados pela Autorregulação Contábil nos Estados Unidos da América

Apesar do esforço regulatório dessas entidades não governamentais, e especialmente da denominada COSO, por falta de legislação repressora, os executivos norte-americanos tornaram-se os idealizadores e praticantes de muitas fraudes contábeis, financeiras, jurídicas e operacionais. Desse modo, passaram a iludir e a prejudicar investidores do mundo inteiro, onde se incluem os Fundos de Pensão.

Ou seja, os acionistas controladores das empresas norte-americanas, por intermédio dos seus respectivos Conselhos de Administração, passaram a utilizar a lábia dos Executivos para convencer os incautos investidores. Estes diziam que as empresas eram otimamente administradas e que tinham grandes possibilidades de lucros, quando na realidade estavam falidas.

Então, em 2008, ocasião em que eclodiu a Crise Mundial provocada por grande número de falências nos Estados Unidos da América, verificou-se o mesmo que já havia acontecido antes de 2002. Aconteceu nova onda de falências encadeadas (o tal risco sistêmico).

Como, depois da globalização iniciada na década de 1970, muitas dessas empresas de países desenvolvidos transferiram suas sedes para paraísos fiscais, destacaram-se as fraudes contábeis e financeiras das multinacionais.

Como as citadas organizações privadas autorreguladoras não conseguiram o resultado esperado, no sentido de verdadeiramente combater essas fraudes, tardiamente (em 2002) naquele país símbolo do capitalismo anárquico foi sancionado o SOX - Sarbanes-Oxley Act tendo como finalidade proteger os sempre vilmente enganados investidores.

Para combater a manipulação das cotações nas Bolsas de Valores, no Brasil foi sancionada a Lei 7.913/1989 e, 12 anos depois, a Lei 10.303/2001, porque a lei anterior foi considerada "Letra Morta" pelos dirigentes da  CVM - Comissão de Valores Mobiliários, daquela ocasião.

Veja mais informações em Contabilidade Internacional - Sistemas de Controle Interno e principalmente nos textos indicados sobre Compliance - Gerenciamento de Controles Internos e de Riscos Diversos, Governança Corporativa e Contabilidade Criativa (Contabilidade Fraudulenta).

Como pode ser observado no texto sobre Governança Corporativa, no Brasil a preocupação em combater as fraudes contábeis, a sonegação fiscal e a lavagem de dinheiro é bem anterior a efetivamente iniciada em 2002 nos Estados Unidos e também anterior a criação do COSO. Portanto, o Brasil sempre esteve um passo à frente daquele país em matéria de controles contábeis e fiscais, ao contrário do que dizem os propagandistas ianques.

Depois da eclosão da Crise Mundial de 2008, que novamente aconteceu em 2011, pela terceira vez (2001, 2008 e 2011) ficou provado que as normas de contabilidade vigentes nos Estados Unidos da América são ineficientes, especialmente porque lá não existem rigorosas penalidades contra os auditores independentes que geralmente não conseguem identificar as fraudes empresariais ou pelo menos não as identificam em seus pareceres.

Essa ineficiência existe porque a legislação norte-americana é imensamente complacente com os desmandos praticados pelos detentores do poderio econômico, os quais são partidários de um capitalismo anárquico, sem qualquer tipo controle governamental. Observe que as entidades mencionadas não são governamentais e por essa razão não têm poderes para reprimir a ilegalidade.

No que se refere ao Brasil, no texto sobre A História da Legislação sobre Contabilidade no Brasil pode ser verificado que o Poder Legislativo sempre esteve muito atento às ilegalidades cometidas pelos empresários e por suas empresas.

Portanto, tudo aquilo que foi feito nos Estados Unidos, sem pleno sucesso, serve apenas como base prática para que seja aperfeiçoada a já antiga legislação e regulamentação brasileira, embora sejam mais eficientes que a norte-americana.

Veja os seguintes textos sobre a Autorregulação dos Mercados:

  1. Cartões de Crédito - O Perigo da Autorregulação
  2. A Manipulação de Resultados Nas Demonstrações Contábeis
  3. O Banco Panamericano e o Fundo Garantidor de Créditos
  4. A Megalomania e a Irresponsabilidade das Agências de Rating - Agências de Classificação de Riscos
  5. Agências de Rating Novamente Acusadas
  6. A Contabilidade Não Funciona - Contabilidade Criativa - Fraudes Contábeis e Financeiras das Multinacionais
  7. Como Quebrar Uma Empresa - Contabilidade Criativa
  8. Capitalismo Bandido dos Barões Ladrões - Titãs dos Negócios à Custa de Práticas Condenáveis

3. O Trabalho do COSO

  1. Definição
  2. Processo de Controles Internos
    1. Ambiente de Controle
    2. Avaliação e Gerenciamento dos Riscos
    3. Atividades de Controle
    4. Informação e Comunicação
    5. Monitoramento

3.1. Definição

Para os integrantes do COSO, o ponto de partida é a definição de controle interno. O que é e para que servem os controles internos? O grupo chegou à seguinte definição:

"Controle Interno é um processo, desenvolvido para garantir, com razoável certeza, que sejam atingidos os objetivos da empresa, nas seguintes categorias:

  1. Eficiência e efetividade operacional (objetivos de desempenho ou estratégia): esta categoria está relacionada com os objetivos básicos da entidade, inclusive com os objetivos e metas de desempenho e rentabilidade, bem como da segurança e qualidade dos ativos;
  2. Confiança nos registros contábeis/financeiros (objetivos de informação): todas as transações devem ser registradas, todos os registros devem refletir transações reais, consignadas pelos valores e enquadramentos corretos;
  3. Conformidade (objetivos de conformidade) com leis e normativos aplicáveis à entidade e sua área de atuação.

De acordo com a definição acima, o objetivo principal dos controles internos é auxiliar a entidade atingir seus objetivos. Controle interno é um elemento que compõe o processo de gestão.

O controle interno é responsabilidade de todos.

Controle interno proporciona uma garantia razoável, nunca uma garantia absoluta. Controle interno efetivo auxilia a entidade na consecução de seus objetivos, mas não garante que eles serão atingidos. E por que? Por vários motivos:

  1. custo/benefício: todo controle tem um custo, que deve ser inferior à perda decorrente da consumação do risco controlado;
  2. conluio entre empregados: da mesma maneira que as pessoas são responsáveis pelos controles, estas pessoas podem valer-se de seus conhecimentos e competências para burlar os controles, com objetivos ilícitos.
  3. eventos externos: eventos externos estão além do controle de qualquer organização. Exemplo disso, foram os acontecimentos do dia 11/09/2001, nos Estados Unidos. Quem poderia prever ou controlar os fatos ocorridos?

3.2. Processo de Controles Internos

  1. Ambiente de Controle
  2. Avaliação e Gerenciamento dos Riscos
  3. Atividades de Controle
  4. Informação e Comunicação
  5. Monitoramento

Como vimos, controle interno é um processo. Este processo é constituído de 5 elementos, que estão interrelacionados entre si, e presentes em todos o controle interno. Os 5 elementos são:

  1. Ambiente de Controle
  2. Avaliação e Gerenciamento dos Riscos
  3. Atividade de Controle
  4. Informação e Comunicação
  5. Monitoramento

3.2.1. Ambiente de Controle

Ambiente de controle é a consciência de controle da entidade, sua cultura de controle. Ambiente de controle é efetivo quando as pessoas da entidade sabem quais são suas responsabilidades, os limites de sua autoridade e se têm a consciência, competência e o comprometimento de fazerem o que é correto da maneira correta. Ou seja: os funcionários sabem o que deve ser feito? Se sim, eles sabem como fazê-lo? Se sim, eles querem fazê-lo? A resposta não a quaisquer dessas perguntas é um indicativo de comprometimento do ambiente de controle.

Ambiente de controle envolve competência técnica e compromisso ético; é um fator intangível, essencial à efetividade dos controles internos.

A postura da alta administração desempenha papel determinante neste componente. Ela deve deixar claro para seus comandados quais são as políticas, procedimentos, Código de Ética e Código de Conduta a serem adotados. Estas definições podem ser feitas de maneira formal ou informal, o importante é que sejam claras aos funcionários da organização. O exemplo "vem de cima": quem dá o tom de controle da entidade são seus principais administradores.

Dicas

  1. O ambiente de controle é mais efetivo na medida em que as pessoas tenham a sensação que estão sendo controladas;
  2. Certifique-se que os funcionários conhecem suas responsabilidades e a função de seus serviços;
  3. Verifique se há um plano adequado de treinamento;
  4. Verifique se os funcionários sabem qual o padrão de conduta e ética a serem seguidos;
  5. Verifique se são tomadas as ações corretivas disciplinares devidas, quando o funcionário não agir de acordo com os padrões de conduta e comportamento esperados ou de acordo com as políticas e procedimentos recomendados.
  6. /ol>

    3.2.2. Avaliação e Gerenciamento dos Riscos

    As funções principiais do controle interno, como vimos, estão relacionadas ao cumprimento dos objetivos da entidade. Portanto, a existência de objetivos e metas é condição "sine qua non" para a existência dos controles internos. Se a entidade não tem objetivos e metas claros, não há necessidade de controles internos.

    Uma vez estabelecidos e clarificados os objetivos, deve-se:

    1. identificar os riscos que ameacem o seu cumprimento; e
    2. tomar as ações necessárias para o gerenciamento dos riscos identificados.

    Avaliação de riscos é a identificação e análise dos riscos associados ao não cumprimento das metas e objetivos operacionais, de informação e de conformidade. Este conjunto forma a base para definir como estes riscos serão gerenciados.

    Os administradores devem definir os níveis de riscos operacionais, de informação e conformidade que estão dispostos a assumir. A avaliação de riscos é uma responsabilidade da administração, mas cabe à Auditoria Interna fazer uma avaliação própria dos riscos, confrontando-a com a avaliação feita pelos administradores. A identificação e gerenciamento dos riscos é uma ação proativa, que permite evitar surpresas desagradáveis.

    Identificação dos riscos

    Risco é a probabilidade de perda ou incerteza associada ao cumprimento de um objetivo. Para cada objetivo proposto deve ser feito um processo de identificação dos riscos.

    Como auxílio neste processo de identificação dos riscos, sugerimos que o auditor responda as perguntas abaixo, para cada objetivo elencado, anotando as respostas que representarem uma ameaça possível:

    1. O que pode dar errado?
    2. Como e onde podemos falhar?
    3. O que deve dar certo ?
    4. Onde somos vulneráveis?
    5. Quais ativos devemos proteger?
    6. Temos algum ativo líquido ou de uso alternativo?
    7. Como podemos ser roubados ou furtados?
    8. Como poderiam interromper nossas operações?
    9. Como sabemos se nossos objetivos foram (ou não) alcançados?
    10. Quais informações são as mais importantes ?
    11. Onde gastamos mais dinheiro?
    12. Como faturamos e cobramos nossas vendas?
    13. Quais decisões requerem mais análise?
    14. Quais atividades são mais complexas?
    15. Quais atividades são mais regulamentadas?
    16. Quais são nossas maiores exposição ao risco legal?

    Análise dos Riscos

    Uma vez identificados os riscos, devemos avaliá-los, levando em conta os seguintes aspectos:

    1. qual a probabilidade (freqüência) dos riscos ocorrerem?
    2. em caso de ocorrer, qual seria o impacto nas operações, considerando os aspectos quantitativos e qualitativos?
    3. verifique, em sua opinião, quais ações seriam necessárias para administrar os riscos identificados.

    Dicas

    1. Certifique-se que a entidade tenha uma missão clara, e que as metas e objetivos estejam formalizados
    2. Avalie os riscos a nível de dependência e setor
    3. Avalie os riscos a nível de processo
    4. Elabore um papel de trabalho para cada atividade relevante, priorize as atividades e processos mais críticos e aquelas que podem ser melhoradas.

    3.2.3. Atividades de Controle

    São aquelas atividades que, quando executadas a tempo e maneira adequados, permitem a redução ou administração dos riscos. As atividades de controle compreendem o que, na sistemática de trabalho anterior à do COSO, era tratado como controle interno. Podem ser de duas naturezas: atividades de prevenção ou de detecção. As principais atividades de controle, e suas respectivas naturezas, são:

    a) - Alçadas (prevenção): são os limites determinados a um funcionário, quanto a possibilidade deste aprovar valores ou assumir posições em nome da instituição. Exemplos:

    1. Estabelecimento de valor máximo para um caixa pagar um cheque
    2. Estabelecimento dos tetos assumidos por um operador de mercado para cada horizonte de investimento
    3. Estabelecimento de alçada operacional para o Comitê de Crédito de uma agência.

    b) - Autorizações (prevenção): a administração determina as atividades e transações que necessitam de aprovação de um supervisor para que sejam efetivadas. A aprovação de um supervisor, de forma manual ou eletrônica, implica que ele (ou ela) verificou e validou a atividade ou transação, e assegurou que a mesma está em conformidade com as políticas e procedimentos estabelecidos. Os responsáveis pela autorização devem verificar a documentação pertinente, questionar itens pouco usuais, e assegurarem-se de que as informações necessárias à transação foram checadas, antes de darem sua autorização. Jamais devem assinar em branco ou fornecerem sua senha eletrônica

    c) - Conciliação (detecção): é a confrontação da mesma informação com dados vindos de bases diferentes, adotando as ações corretivas, quando necessário

    d) - Revisões de Desempenho (detecção): Acompanhamento de uma atividade ou processo, para avaliação de sua adequação e/ou desempenho, em relação às metas, aos objetivos traçados e aos benchmarks, assim como acompanhamento contínuo do mercado financeiro (no caso de bancos), de forma a antecipar mudanças que possam impactar negativamente a entidade. Exemplos:

    1. monitoração do comportamento de usuários de cartões de crédito (lugares inusitados, produtos diferentes etc.)
    2. monitoração e questionamento de flutuações abruptas nos resultados de agências, produtos, carteiras próprias e de terceiros
    3. monitoração de valores realizados e orçados em unidades, com o objetivo de identificar dificuldades/problemas
    4. acompanhamento da concorrência, visando o lançamento de novos produtos

    e) - Segurança Física (prevenção e detecção): os valores de uma entidade devem ser protegidos contra uso, compra ou venda não-autorizados. Um dos melhores controles para proteger estes ativos é a segurança física, que compreende controle de acessos, controle da entrada e saída de funcionários e materiais, senhas para arquivos eletrônicos, ‘call-back’ para acessos remotos, criptografia e outros. Incluem-se neste controle os processos de inventário dos itens mais valiosos para a entidade (p.ex., conferência de numerário)

    f) - Segregação de Funções (prevenção): a segregação é essencial para a efetividade dos controles internos. Ela reduz tanto o risco de erros humanos quanto o risco de ações indesejadas. Contabilidade e conciliação, informação e autorização, custódia e inventário, contratação e pagamento, administração de recursos próprios e de terceiros, normatização (gerenciamento de riscos) e fiscalização (auditoria) devem estar segregadas entre os funcionários

    g) - Sistemas Informatizados (prevenção e detecção): controles feitos através de sistemas informatizados dividem-se em dois tipos:

    1. controles gerais: pressupõe os controles nos centros de processamentos de dados e controles na aquisição, desenvolvimento e manutenção de programas e sistemas. Exemplos: organização e manutenção dos arquivos de back-up, arquivo de log do sistema, plano de contingência;
    2. controles de aplicativos: são os controles existentes nos aplicativos corporativos, que têm a finalidade de garantir a integridade e veracidade dos dados e transações. Exemplos: validação de informações (checagem das informações com registros armazenados em banco de dados).

    h) - Normatização Interna (prevenção): é a definição, de maneira formal, das regras internas necessárias ao funcionamento da entidade. As normas devem ser de fácil acesso para os funcionários da organização, e devem definir responsabilidades, políticas corporativas, fluxos operacionais, funções e procedimentos.

    As atividades de controle devem ser implementadas de maneira ponderada, consciente e consistente. Nada adianta implementar um procedimento de controle, se este for executado de maneira mecânica, sem foco nas condições e problemas que motivaram à sua implantação. Também é essencial que as situações adversas identificadas pelas atividades de controles sejam investigadas, adotando-se tempestivamente as ações corretivas apropriadas.

    3.2.4. Informação e Comunicação

    A comunicação é o fluxo de informações dentro de uma organização, entendendo que este fluxo ocorre em todas as direções - dos níveis hierárquicos superiores aos níveis hierárquicos inferiores, dos níveis inferiores aos superiores, e comunicação horizontal, entre níveis hierárquicos equivalentes.

    A comunicação é essencial para o bom funcionamento dos controles. Informações sobre planos, ambiente de controle, riscos, atividades de controle e desempenho devem ser transmitidas à toda entidade. Por outro lado, as informações recebidas, de maneira formal ou informal, de fontes externas ou internas, devem ser identificadas, capturadas, verificadas quanto à sua confiabilidade e relevância, processadas e comunicadas às pessoas que as necessitam, tempestivamente e de maneira adequada.

    O processo de comunicação pode ser formal ou informal. O processo formal acontece através dos sistemas internos de comunicação - que podem variar desde complexo sistemas computacionais a simples reuniões de equipes de trabalho - e são importantes para obtenção das informações necessárias ao acompanhamento dos objetivos operacionais, de informação e de conformidade. O processo informal, que ocorre em conversas e encontros com clientes, fornecedores, autoridades e empregados é importante para obtenção das informações necessárias à identificação de riscos e oportunidades.

    A informação é o combustível que move as organizações.

    Dicas

    Informação e comunicação são conceitos simples. No entanto, comunicar e conseguir informações com as pessoas, de maneira prática e tempestiva, é sempre um desafio. Quando o auditor estiver preenchendo um PT sobre uma atividade ou processo, é importante avaliar a qualidade dos sistemas e fluxos das informação pertinentes na dependência auditada. Uma maneira de fazer esta avaliação é responder às seguintes perguntas:

    1. A dependência consegue a informação que necessita de maneira prática e tempestiva?
    2. A dependência tem conseguido obter as informações importantes para avaliação dos riscos internos e externos?
    3. A dependência tem conseguido obter informações de desempenho - i.e., informações que permitem saber se os objetivos operacionais, de informação e conformidade estão sendo atingidos?
    4. A dependência identifica, captura, processa e comunica as informações necessárias a seus clientes e fornecedores em tempo hábil e de maneira prática?

    3.2.5. Monitoramento

    O monitoramento é a avaliação dos controles internos ao longo do tempo. Ele é o melhor indicador para saber se os controles internos estão sendo efetivos ou não.

    O monitoramento é feito tanto através do acompanhamento contínuo das atividades quanto por avaliações pontuais, tais como auto-avaliação, revisões eventuais e auditoria interna.

    A função do monitoramento é verificar se os controles internos são adequados e efetivos. Controles adequados são aqueles em que os cinco elementos do controle (ambiente, avaliação de riscos, atividade de controle, informação & comunicação e monitoramento) estão presentes e funcionando conforme planejado. Controles são eficientes quando a alta administração tem uma razoável certeza:

    1. Do grau de atingimento dos objetivos operacionais propostos;
    2. De que as informações fornecidas pelos relatórios e sistemas corporativos são confiáveis; e
    3. Leis, regulamentos e normas pertinentes estão sendo cumpridos.

    4. Proposta de Roteiro

    1. Objetivo
    2. Riscos
    3. Atividades de Controle
    4. Informação, Comunicação e Monitoramento
    5. O Papel de Trabalho

    Um dos grandes dificultadores das novas tecnologias é conciliar a teoria com a prática. É comum ser tortuoso e sofrido o caminho que leva o profissional a entender, como os novos conceitos são aplicados em sua atividade. O presente roteiro não tem a pretensão de eliminar este caminho, pretende apenas torná-lo menos "sofrido".

    4.1. Objetivo

    O primeiro passo é definir qual o objetivo que vamos auditar. No caso do Banco, já temos os riscos pré-definidos, mas na maioria dos casos esta definição deve ser mais aprofundada. Os riscos definidos pressupõem uma atividade, com os respectivos objetivos pré-estabelecidos. Levante o maior número de informações sobre os seguintes pontos:

    1. Quais são as metas traçadas para o objetivo que vai ser auditado. Levante números que permitam uma medição clara e objetiva (valores, quantidade, etc...).
    2. Quais são os sistemas e relatórios que permitirão o acompanhamento das metas traçadas.
    3. Quais as leis e normativos que regem o objetivo que vai ser auditado.

    4.2. Riscos

    Passo 2: Verifique os riscos ao cumprimento de cada objetivo. Faça as perguntas do item "Identificação dos Riscos" para cada objetivo, registrando as respostas que você considera importantes. Selecione os riscos com maior probabilidade de ocorrência e que causem perdas, no caso de sua consumação. Anote os riscos no quadro, para cada objetivo.

    4.3. Atividades de Controle

    Passo 3: Para cada risco elencado, verifique quais são, em sua opinião, as atividades de controle que, se conduzidas de maneira adequada, podem mitigar ou permitir o gerenciamento do risco. Como auxílio, utilize as atividades de controle do subtítulo "Atividades de Controle" - veja quais, dos controles elencados, podem ser usados, e quais, em sua opinião, são os mais recomendados para o risco em análise.

    4.4. Informação, Comunicação e Monitoramento

    Passo 4: Verifique, para cada atividade de controle apontada, quais as que já estão sendo cumpridas e estão sendo efetivas (estão efetivamente permitindo a mitigação/gerenciamento do risco). Esta também é a ocasião para identificar as fontes de informações, métodos de comunicação e atividades de monitoramento. Assinale S para os casos em que os controles estão sendo efetivos e N para os casos em que não estão.

    4.5. O Papel de Trabalho

    Passo 5: Elaboração do PT. Para os assinalamentos ‘N’, elabore as perguntas para avaliar as ocorrências: as perdas estão acontecendo? A probabilidade do risco ocorrer é grande? Os gestores estão cientes destes riscos?

    Também é na fase da elaboração do PT que vamos incluir as verificações necessárias para avaliação dos elementos ambiente de controle, informação & comunicação e monitoramento. Uma dica é verificar os pontos das "Dicas" dos subtítulos que abordaram cada elemento.







Megale Mídia Interativa Ltda. CNPJ 02.184.104/0001-29.
©1999-2024 Cosif-e Digital. Todos os direitos reservados.