Your SlideShare is downloading. ×
www.CompanyWeb.com.br
Uires Tapajós
 Palestrante e Consultor especialista em GRC - Governança, Risco e
Conformidade da CompanyWeb®;
 Professor...
1. http://tp2.teamproject.com.br/tp2/
2. Login: SeuNome.UltimoNome
3. Senha: 123mudar (troque sua senha)
1. http://tp2.tea...
www.CompanyWeb.com.br 4
Vídeo: http://bit.ly/RUrDI0
www.CompanyWeb.com.br 6
S&P 500
Expressiva valorização das
ações na década de 90
Desvalorização das
empresas de
tecnologia...
7
www.CompanyWeb.com.br 8
Em 30 julho de 2002, presidente George W. Bush
assinou de “O Ato Sarbanes-Oxley”, que muda de form...
www.CompanyWeb.com.br 9
www.CompanyWeb.com.br 10
A que se propõe a lei?
Proteger os investidores por meio do
aperfeiçoamento da precisão e da
conf...
www.CompanyWeb.com.br 11
– É considerada a mais importante reforma na lei de
mercados de capitais nos últimos anos;
– Obje...
www.CompanyWeb.com.br 12
A Lei Sarbanes-Oxley de 2002 reescreveu,
literalmente, as regras para a Governança
Corporativa, r...
Conceito de Governança Corporativa
É o sistema pelo qual as empresas são
dirigidas e monitoradas, envolvendo o
relacioname...
Em caso de violação da SOX, os
diretores, auditores e consultores dessas
empresas estarão sujeitos a pena dessa
Lei, que v...
www.CompanyWeb.com.br 15
A lei se aplica às Companhias registradas na SEC,
aumentando, dessa forma, a sua abrangência a
Em...
www.CompanyWeb.com.br 16
ADR - American Depositary Receipts
1. Como funciona: American Depositary Receipts (ADRs), são cer...
www.CompanyWeb.com.br 17
E.U.A. BRASIL
www.CompanyWeb.com.br 18
19
A Administração é responsável pela emissão de
um relatório sobre controles internos, no
relatório anual da Empresa, que...
20
– Responsabilidade da administração para estabelecer e
manter adequados Controles Internos sobre o
reporte financeiro.
...
21
CERTIFICAÇÃO EM CONFORMIDADE COM ÀS REGRAS 13a-15 E 15d-15 CONFORME ADOTADO NA SEÇÃO 302 DA LEI SARBANES-OXLEY
Eu, José...
www.CompanyWeb.com.br 22
CERTIFICAÇÃO EM CONFORMIDADE COM O U.S.C. 18 PARÁGRAFO 1350 CONFORME ADOTADO EM CONFORMIDADE COM ...
www.CompanyWeb.com.br 23
O auditor independente é responsável por avaliar e atestar sobre a avaliação
elaborada pela admin...
www.CompanyWeb.com.br 24
1. Desenho dos controles sobre todas as afirmações relacionadas com
todas as contas significativa...
www.CompanyWeb.com.br 25
SOX: Papéis e Responsabilidades:
Administração É responsável pelos controles internos e pela
prep...
www.CompanyWeb.com.br 26
www.CompanyWeb.com.br 27
À medida que a prática e a Ciência Contábil foram sendo organizadas e estruturadas,
pesquisadores...
Um princípio contábil é um axioma das doutrinas e teorias relativas às
disciplinas contábeis, sendo, portanto, imutável no...
www.CompanyWeb.com.br 29
GAAP - Generally Accepted Accounting Principles - são um conjunto de
princípios e práticas utiliz...
www.CompanyWeb.com.br 30
BR-GAAP – Princípios Contábeis Geralmente Aceitos no Brasil, conforme
as Normas Brasileiras de Co...
www.CompanyWeb.com.br 31
A regulamentação das novas normas e a supervisão do
seu cumprimento, pelos vários elementos do me...
www.CompanyWeb.com.br 32
– Reforça o conceito que uma auditoria das
demonstrações financeiras e uma
auditoria de controles...
www.CompanyWeb.com.br 33
ICOFR - Internal Control Over Financial Reporting
PCAOB - Conselho de Supervisão da
Contabilidade...
Através de conceitos sobre IFRS numa visão crítica, de
como ficaria a demonstração no Balanço, unindo as três
modalidades ...
www.CompanyWeb.com.br 37
38
Seção 302 e 906 – Tratam de certificações dos relatórios anuais
contendo as demonstrações financeiras (20-F e 40-F) por...
39
www.CompanyWeb.com.br 40
Um programa de controles
internos que focaliza
simultaneamente a divulgação e a
emissão de relató...
www.CompanyWeb.com.br 41
O ato foi assinado em 30 de julho de 2002 e inclui onze
seções tituladas
Título I Conselho de Sup...
www.CompanyWeb.com.br 42
1) A Seção 302 determina que Diretores Executivos e Diretores
Financeiros devem declarar pessoalmente que são
responsáveis...
www.CompanyWeb.com.br 44
Em cada arquivo trimestral ou anual, o Diretor Executivo
e o Diretor Financeiro devem declarar qu...
www.CompanyWeb.com.br 45
Outra medida da Lei Sarbanes-Oxley, amplamente divulgada – a
Seção 906 –, entrou em vigor em agos...
www.CompanyWeb.com.br 46
www.CompanyWeb.com.br 47
A Seção 404 determina uma avaliação anual dos
controles e procedimentos internos para a emissão d...
www.CompanyWeb.com.br 48
A Seção 404 obriga as companhias a incluir em seus relatórios
anuais um relatório sobre controles...
www.CompanyWeb.com.br 49
Um programa de controles internos
que focaliza simultaneamente a
divulgação e a emissão de relató...
50
Itaú conclui a certificação dos controles internos
R$ 15 milhões em despesas diretas, 206 mil horas de trabalho interno...
www.CompanyWeb.com.br 51
www.CompanyWeb.com.br 53
Materiality. Generally, the degree to which environmental financial information
is relevant for p...
www.CompanyWeb.com.br 54
 O auditor deve aplicar o conceito de materialidade em uma auditoria dos
controles internos sobr...
www.CompanyWeb.com.br 56
A gravidade de uma deficiência de controle interno pode ser avaliada como um
material weakness ou...
www.CompanyWeb.com.br 57
www.CompanyWeb.com.br 58
A deficiência de controle, ou uma combinação de deficiências
de controle, que afeta negativamente...
www.CompanyWeb.com.br 59
Cenário A - Deficiência Significativa
A empresa processa um número significativo de operações int...
www.CompanyWeb.com.br 60
A descrição apresentada pela SEC para uma deficiência
significativa torna-a análogo a uma “condiç...
www.CompanyWeb.com.br 61
Ao tentar verificar se a deficiência de um controle é “significativa” é preciso considerar alguns...
www.CompanyWeb.com.br 62
www.CompanyWeb.com.br 63
Exemplo:
A empresa processa um número significativo de operações intercompanhias em uma base mens...
www.CompanyWeb.com.br 64
Cenário A - Fraqueza Material
Durante a sua avaliação dos controles internos sobre relatórios fin...
www.CompanyWeb.com.br 65
Uma fraqueza material é uma deficiência
significativa, ou uma combinação de
deficiências signific...
www.CompanyWeb.com.br 66
O que é uma fraqueza material?
 É uma deficiência que resulta em uma probabilidade mais do que r...
www.CompanyWeb.com.br 67
Como os membros dos Comitês de Auditoria devem avaliar uma fraqueza material? Citamos aqui
alguma...
www.CompanyWeb.com.br 68
www.CompanyWeb.com.br 69
Testes de Controle
• São realizados com o objetivo de validar se um
controle está operando eficaz...
www.CompanyWeb.com.br 70
Existe quando o desenho ou operação de um controle não
permite a administração ou empregados, no curso normal da
realizaçã...
• Deficiência de controle existe quando o desenho ou operação de um controle não permite a
administração ou empregados, no...
www.CompanyWeb.com.br 73
De acordo com os padrões de auditoria, insuficiência material é uma
condição reportável, na qual ...
www.CompanyWeb.com.br 74
www.CompanyWeb.com.br 75
Com freqüência, confiabilidade nos controles
internos é uma função das seguintes características:...
www.CompanyWeb.com.br 76
www.CompanyWeb.com.br 77
www.CompanyWeb.com.br 78
Atingir o Estágio 3 significa que os controles internos de uma companhia
são confiáveis, mas não ...
www.CompanyWeb.com.br 79
www.CompanyWeb.com.br 80
Obviamente, políticas e procedimentos expressos
são importantes e exercerão um papel principal na...
www.CompanyWeb.com.br 81
Para facilitar a compreensão do Ambiente de Controle, é
recomendável a execução de uma avaliação ...
www.CompanyWeb.com.br 82
www.CompanyWeb.com.br 83
www.CompanyWeb.com.br 84
√O objetivo do processo de definição do escopo é identificar e
inventariar os riscos relacionados...
www.CompanyWeb.com.br 85
Durante o processo de entrevistas, a administração
deve estar preparada para abordar os seguintes...
www.CompanyWeb.com.br 86
A equipe do projeto deve então documentar e priorizar cada risco
identificado na emissão de relat...
www.CompanyWeb.com.br 87
www.CompanyWeb.com.br 88
O repositório de controles servirá como uma
central de informações e atividades
relacionadas com ...
www.CompanyWeb.com.br 89
Para desenvolver esse repositório de
controles, é recomendável que sejam
seguidas as seguintes et...
www.CompanyWeb.com.br 90
√Como resultado do processo de definição do escopo,
deve ser produzido um inventário dos principa...
www.CompanyWeb.com.br 91
Um objetivo de controle descreve as metas que a administração procura atingir. Na
área de emissão...
www.CompanyWeb.com.br 92
As Atividades de Controle são políticas e procedimentos que
ajudam a companhia a atingir determin...
www.CompanyWeb.com.br 93
www.CompanyWeb.com.br 94
Depois de ter desenvolvido o repositório de controles, a
eficácia operacional das atividades de c...
www.CompanyWeb.com.br 95
Com a finalidade de fornecer suporte para a avaliação trimestral e
anual dos controles internos, ...
www.CompanyWeb.com.br 96
Para muitas companhias, a função de auditoria interna
desempenhará um importante papel no monitor...
www.CompanyWeb.com.br 97
As ferramentas podem auxiliar em inúmeras tarefas,
como desenho de controles, documentação de con...
www.CompanyWeb.com.br 98
www.CompanyWeb.com.br 99
Embora os Controles Internos possam ajudar a atenuar riscos, eles não os eliminam
completamente.
...
www.CompanyWeb.com.br 100
Relatórios
Riscos Chaves
e Inerentes do
negócios
Declarações financeiras
Gestão
Afirmações
(Asse...
www.CompanyWeb.com.br 101
www.CompanyWeb.com.br 102
Os recentes escândalos no mundo dos negócios
trouxeram à tona declarações de executivos que
afi...
www.CompanyWeb.com.br 103
1. Controles internos são fundamentais para registrar de forma
exata transações e a preparação d...
www.CompanyWeb.com.br 104
De forma ainda mais notável, a Lei Sarbanes-Oxley privilegia o papel crítico do
“Controle Intern...
www.CompanyWeb.com.br 105
A SEC propôs definir Controles Internos e
Procedimentos para a emissão de relatórios
financeiros...
Controles:
 PREVENTIVO - Previnem o acontecimento de erros, fraudes, má-conduta ou
irregularidades e minimizam os riscos ...
www.CompanyWeb.com.br 107
Melhores Práticas na implantação de Sistema de Controle Interno:
1.Evite os controles manuais. O...
www.CompanyWeb.com.br 108
Lista de Controle Interno:
Alçadas:
 Delimitação de atuação ou influência de gestor.
Conciliaçã...
www.CompanyWeb.com.br 109
Riscos
Ausência de Controles
Controles
+ Tolerância
à Riscos
Exposição a
Riscos Inaceitáveis
Ris...
110
• Deve assegurar a salvaguarda dos ativos e promover o
desenvolvimento dos negócios
útil
• Apropriado ao tamanho da em...
www.CompanyWeb.com.br 111
Características de um Controle eficiente:
Controle eficiente:
O controle devem responder as segu...
112
Benefícios de uma Estrutura de Controles Internos Consistente:
Controle Interno Consistente:
 Reduz potencial para fr...
113
Enfoque Tradicional
• Foco nos controles. • Foco nos riscos.
• Testes com base em programa de trabalho
padrão.
• Teste...
www.CompanyWeb.com.br 114
115
Não Identificação
do Risco
Ocorrência
do evento
Materialização
do Risco
Exposição
ao Risco
Identificação
do Risco
Anál...
www.CompanyWeb.com.br 116
Definição de Risco (segundo COSO):
 A possibilidade de que um evento ocorra e afete
desfavorave...
www.CompanyWeb.com.br 117
Infra-estrutura:
Disponibilidade de bens
Capacidade dos bens
Acesso ao capital
Complexidade
Pess...
118
118
Tipos de Riscos:
Risco de mercado:
O Risco de Mercado é de fácil entendimento pois está relacionado com a variação...
www.CompanyWeb.com.br 119
Definição de Risco Operacional (segundo Jorion, 1998):
São perdas potenciais resultantes de sist...
www.CompanyWeb.com.br 120
Risco é determinado pela
intencionalidade
Risco é constante
Oportunidades são perseguidas
impuls...
www.CompanyWeb.com.br 121
DE PARA
Monitoramento de Risco é função
dos auditores internos
Monitoramento de risco é atividad...
De velhos Paradigmas Para novos Paradigmas
Avaliação de riscos é eventual
Avaliação de riscos é uma
atividade continua
Aud...
www.CompanyWeb.com.br 123
Definição:
Gerenciamento de Risco é um processo sistemático que tem como objetivo identificação,...
124
Identificar
o risco
Comunicar
o risco
Analisar
o risco
responder
o risco ?
(Resposta) Elaborar
Plano de Ação
Implement...
www.CompanyWeb.com.br 125
126
Em 1985 foi criada, nos Estados Unidos, a National Commission on Fraudulent
Financial Reporting (Comissão Nacional sob...
127
Categoria de Objetivos
Componentes
128
Categoria de Objetivos
Componente
s
Com base na missão
estabelecida, a
administração planeja
seus principais
objetivos...
129
Quatro categorias de objetivos para a organização:
 Estratégicos: referem-se as metas no nível mais elevado.
Alinham-...
130
O gerenciamento de riscos
corporativos é constituído
de oito componentes
inter-relacionados, que se
originam com base ...
131
Ambiente Interno: a
administração estabelece uma
filosofia quanto ao tratamento
de riscos e estabelece um limite
de ap...
www.CompanyWeb.com.br 132
www.CompanyWeb.com.br 133
Fonte www.erm.coso.org
7. Determinar Fraqueza Material
Fraqueza significante
Fraqueza material
Remediação
1. Plano & Escop...
Fonte: http://www.gellerco.com/
Resultado
sumarizado teste
Estabelecer
Escopo
Identificar
Processos de
Negócios
Documentaç...
Fonte: http://www.precipiogroup.com/services/sarbanes-oxley-and-other-regulatory-compliance/sox-timeline
Gerenciamento Pro...
137
Suporte para Gerenciamento do ProjetoSuporte para Gerenciamento do Projeto
Iniciar Projeto
e Avaliação
de Risco
Inicia...
www.CompanyWeb.com.br 138
Fonte: http://tp2.teamproject.com.br/tp2/projects/sox/documents
www.CompanyWeb.com.br 140
www.CompanyWeb.com.br 141
Serviços de TI
Banco de Dados
Sistema Operacional
Rede
Aplicações
ERP BI Outras
Processos
Proces...
www.CompanyWeb.com.br 142
Para atender o SOX, a TI deverá atuar da seguinte forma:
Processos de negócios críticos (contas ...
www.CompanyWeb.com.br 143
Mapeamento dos controles do PCAOB e o Cobit, atrelados aos processos de TI.
www.CompanyWeb.com.br 144
Processo
Cobit
Processo TI / Objetivo de
Controle para SOX
Comentários
AI2
Aquisição e manutençã...
www.CompanyWeb.com.br 145
SOX Seção 404SOX Seção 404
Processo
Cobit
Processo TI / Objetivo de
Controle para SOX
Comentário...
www.CompanyWeb.com.br 146
Como Avaliar Deficiências da TI para SOX
• ITGC - Controles Gerais de Tecnologia de Informação
•...
www.CompanyWeb.com.br 147
www.CompanyWeb.com.br 148
www.CompanyWeb.com.br 149
www.CompanyWeb.com.br 150
1) Descrição do processo adotado pela administração para identificar, classificar e avaliar risc...
www.CompanyWeb.com.br
contato@CompanyWeb.com.br
twitter.com/companyweb
slideshare.net/companyweb
facebook.com/companyweb
V...
Governança | Sarbanes Oxley (SOX)
Governança | Sarbanes Oxley (SOX)
Governança | Sarbanes Oxley (SOX)
Governança | Sarbanes Oxley (SOX)
Governança | Sarbanes Oxley (SOX)
Upcoming SlideShare
Loading in...5
×

Governança | Sarbanes Oxley (SOX)

15,703

Published on

Material com informações, conceitos, estrutura, estudo de casos sobre a Lei Sarbanes Oxley (SOX).

Published in: Business

Transcript of "Governança | Sarbanes Oxley (SOX)"

  1. 1. www.CompanyWeb.com.br
  2. 2. Uires Tapajós  Palestrante e Consultor especialista em GRC - Governança, Risco e Conformidade da CompanyWeb®;  Professor de MBAs em instituições Federais e Privadas;  Especialista em Estratégias pela FGV em São Paulo;  Possui a CGEIT® (Certified in the Governance of Enterprise Information Technology) emitida pelo ISACA® e outras certificações. www.CompanyWeb.com.br http://www.LinkedIn.com/In/Uires/ Uires.Tapajos@CompanyWeb.com.br 2
  3. 3. 1. http://tp2.teamproject.com.br/tp2/ 2. Login: SeuNome.UltimoNome 3. Senha: 123mudar (troque sua senha) 1. http://tp2.teamproject.com.br/tp2/ 2. Login: SeuNome.UltimoNome 3. Senha: 123mudar (troque sua senha)  Este arquivo para download;  Vários outros arquivos e ‘template’ de projetos e formulários;  Acesso a ferramenta colaborativa para a Gestão de Projetos SOX;  Material para a dinâmica do curso. www.CompanyWeb.com.br 3
  4. 4. www.CompanyWeb.com.br 4
  5. 5. Vídeo: http://bit.ly/RUrDI0
  6. 6. www.CompanyWeb.com.br 6 S&P 500 Expressiva valorização das ações na década de 90 Desvalorização das empresas de tecnologiaRevelação do caso Enron Out/2001 Revelação do caso Worldcom Jul/2002 11 de setembro Aprovação SOX Primeiros comentários sobre “exuberância irracional do mercado” Preocupações com disclosure seletivo Regulation FD Forte apelo por regulamentação
  7. 7. 7
  8. 8. www.CompanyWeb.com.br 8 Em 30 julho de 2002, presidente George W. Bush assinou de “O Ato Sarbanes-Oxley”, que muda de forma radical as leis aplicadas a empresas que tem ações negociadas na bolsa americana. Em 2001 e 2002 empresas gigantes como Enron e o Worldcom foram forçadas a declarar a falência. E fraudes contábeis e outras irregularidades foram reveladas em outras empresas, tais como Global Crossing. Após estes escândalos, o governo americano,implementou uma legislação que ampliou os poderes da SEC (Securities and Exchange Commission, órgão regulador do mercado financeiro americano), aumentou consideravelmente a responsabilidade da administração das empresas. 2001 – WorldCom – 20.000 demitidos O ocorreu fraude porque a empresa registrou como investimentos (ativo em seu balanço patrimonial) o que era despesa (demonstrativo de resultados), distorcendo totalmente os dados de suas contas. 2001 – Enron – 7a. Maior empresa dos EUA. A Enron, gigante americana do setor de energia, pediu concordata em dezembro de 2001, após ter sido alvo de uma série denúncias de fraudes contábeis e fiscais. Com uma dívida de US$ 13 bilhões, o grupo arrastou consigo a Arthur Andersen, que fazia a sua auditoria.
  9. 9. www.CompanyWeb.com.br 9
  10. 10. www.CompanyWeb.com.br 10 A que se propõe a lei? Proteger os investidores por meio do aperfeiçoamento da precisão e da confiabilidade nas divulgações societárias, envolvendo, dentre outras, certificações pelo CEO e CFO: – das demonstrações financeiras; – dos controles e procedimentos de divulgação; – dos controles internos sobre as demonstrações financeiras.
  11. 11. www.CompanyWeb.com.br 11 – É considerada a mais importante reforma na lei de mercados de capitais nos últimos anos; – Objetiva recuperar a confiança perdida; – Exige um novo patamar de Governança Corporativa; – Exige a implementação de procedimentos de prevenção e detecção de fraudes; – Altera a forma e a intensidade com que as companhias devem documentar, monitorar e avaliar seus controles internos; – Altera a forma como as empresas serão auditadas; – Estabelece punições mais rígidas (criminais) para CEO e CFO.
  12. 12. www.CompanyWeb.com.br 12 A Lei Sarbanes-Oxley de 2002 reescreveu, literalmente, as regras para a Governança Corporativa, relativas à divulgação e à emissão de relatórios financeiros. Contudo, sob a infinidade de páginas da Lei, repletas de “legalismos”, reside uma premissa simples: a boa governança corporativa e as práticas éticas do negócio não são mais requintes – são leis.
  13. 13. Conceito de Governança Corporativa É o sistema pelo qual as empresas são dirigidas e monitoradas, envolvendo o relacionamento entre os proprietários, Conselho de Administração, Diretoria, Auditoria Independente e Conselho Fiscal. Fonte: IBGC – Código das Melhores Práticas de Governança Corporativa www.CompanyWeb.com.br 13 Wiki:
  14. 14. Em caso de violação da SOX, os diretores, auditores e consultores dessas empresas estarão sujeitos a pena dessa Lei, que vão de 10 a 20 anos de prisão e multa de até US$ 5 milhões.
  15. 15. www.CompanyWeb.com.br 15 A lei se aplica às Companhias registradas na SEC, aumentando, dessa forma, a sua abrangência a Empresas que não são de origem norte-americana. Efeito no Brasil: – Empresas brasileiras listadas na SEC: são aproximadamente 36 empresas, tais como: Cia Vale do Rio Doce, Brasken, Pão de Açúcar, Bradesco, Banco Itaú Unibanco. – Subsidiárias de empresas americanas e não americanas cujas matrizes estão listadas na SEC, tais como: Citigroup, AIG Seguros, Monsanto, Grupo Bunge, Krafft Foods, Unilever, AGCO, Philip Morris, Dupont, 3M, Xerox, IBM, Goodyear, Siemens, SAP.
  16. 16. www.CompanyWeb.com.br 16 ADR - American Depositary Receipts 1. Como funciona: American Depositary Receipts (ADRs), são certificados de ações, emitidos por bancos americanos, com lastro em papéis de empresas brasileiras. A mesma empresa pode participar de diferentes tipos de programas, dependendo do nível de exigência das informações que ela envia à Securities Exchange Comission (SEC), a CVM americana. O nível mais sofisticado é o 3, o único em que a empresa pode lançar novas ações e captar recursos. Nos níveis 1 e 2 - e no 144 não há aumento do volume de emissão de ações. 2. Quem pode negociar: Só pode comprar e vender ADRs os investidores que têm conta no exterior (pessoa física ou jurídica). A abertura da conta é lícita, desde que seja declarada e respeite as regras de tributação. O envio de dinheiro para o exterior só pode ser feito através das instituições financeiras credenciadas a operar câmbio e, se montante ultrapassar US$ 10 mil, o Banco central deverá ser informado. 3. Arbitragem: É chamada de operação de arbitragem aquela na qual o investidor percebe distorções entre o preço de um mesmo ativo em dois ambientes de negociação distintos e se beneficia disso. Por exemplo: se o preço das ações de uma empresa (depois de aplicado o fator de conversão para a ADR e depois para dólar) é de US$ 20 no Bovespa e de US$ 21 nos Estados Unidos, há uma oportunidade de comprar aqui , efetuar a conversão e vender lá no mesmo momento, embolsando a diferença. Para isso, é preciso que o papel tenha uma boa liquidez, para que o negócio se concretize no tempo correto, o que é crucial para este tipo de operação. Conversão: As conversões são feitas pelo banco custodiante. O comprador daqui comunica ao banco que deseja efetuar a conversão e vender imediatamente o papel lá. Nos EUA, o Bank of New York é o principal custodiante de ADRs e, no Brasil, o Banco Itaú detém a maior parte das custódias. São DRs lançadas nos EUA Nivel1 – ADR negociado apenas no mercado de balcão norte- americano. Não pode haver oferta pública nos Estados Unidos. Nível2 – ADR negociado na bolsa Nasdaq (National Association of Securities Dealers Automated Quotation). Não pode haver oferta pública nos Estados Unidos. As demostrações financeiras devem estar de acordo com os GAAP – United States Generally Nível3 – ADR negociado numa bolsa de âmbito nacional nos Estados Unidos ou na Nasdaq, vinculados a uma oferta pública nos EUA das ações depositadas. Emitido com base em ações novas emitidas pela companhia. As demostrações financeiras devem estar de acordo com os GAAP – United States Generally. fonte: http://douglastrader.wordpress.com/2012/12/31/o-que-e- depositary-receipts-adr-bdr-gdr/ Vídeo: http://youtu.be/fdhiqj6Uz1c Entender como as empresas brasileiras vêm evoluindo na adesão às chamadas melhores práticas de governança é um item fundamental para o aprimoramento do mercado de capitais brasileiro. Com esse intuito, a KPMG no Brasil realiza anualmente, desde 2006, o “Estudo sobre as Melhores Práticas de Governança Corporativa no Brasil e nos Estados Unidos – Relatório Anual 20-F”. O estudo consiste em uma análise das práticas de governança das empresas brasileiras emissoras de ADRs Níveis 2 e 3, sujeitas às exigências da Lei Sarbanes-Oxley de 2002 (SOX) e as regras das Bolsas norte- americanas, especificamente a Bolsa de Nova Iorque e a NASDAQ, tendo por base as informações contidas no Relatório Anual 20-F. Fonte: KPMG Wiki:
  17. 17. www.CompanyWeb.com.br 17 E.U.A. BRASIL
  18. 18. www.CompanyWeb.com.br 18
  19. 19. 19 A Administração é responsável pela emissão de um relatório sobre controles internos, no relatório anual da Empresa, que: • Afirme ser responsabilidade da Administração o estabelecimento e a manutenção de uma estrutura e procedimentos de controles internos adequados para a elaboração das demonstrações financeiras; e • Contenha uma avaliação, ao final do mais recente exercício social, sobre a eficácia da estrutura e dos procedimentos de controles internos para a elaboração das demonstrações financeiras da Empresa.
  20. 20. 20 – Responsabilidade da administração para estabelecer e manter adequados Controles Internos sobre o reporte financeiro. – Aceitação da responsabilidade da efetividade dos Controles Internos da companhia sobre o reporte financeiro. – Avaliação da efetividade dos Controles Internos da companhia sobre o reporte financeiro utilizando um critério de controle adequado (como o COSO®). – Suporte de sua avaliação com evidências suficientes, incluindo documentação. – Apresentação de uma avaliação escrita sobre a efetividade dos Controles Internos da companhia sobre reporte financeiro.
  21. 21. 21 CERTIFICAÇÃO EM CONFORMIDADE COM ÀS REGRAS 13a-15 E 15d-15 CONFORME ADOTADO NA SEÇÃO 302 DA LEI SARBANES-OXLEY Eu, José Sergio Gabrielli de Azevedo, certifico que: 1.Examinei o presente relatório anual que integra o documento Form 20-F, da Petróleo Brasileiro S.A - PETROBRAS. 2. Com base em meu conhecimento, este relatório anual não contém nenhuma declaração inverídica a respeito de fato importante nem tampouco omite qualquer menção a fato relevante necessário às afirmações feitas no documento, considerando-se as circunstâncias em que tais declarações foram efetuadas, sendo fiel em relação ao período coberto por este relatório anual; 3. Com base em meu conhecimento, as demonstrações financeiras e outras informações financeiras contidas neste relatório anual refletem devidamente, no tocante aos aspectos relevantes, a condição financeira, os resultados das operações e os fluxos de caixa do requerente, a partir da data especificada e durante todo o período que o presente relatório abrange; 4. O preposto da empresa no processo de certificação e eu somos responsáveis pela criação e manutenção de controles e procedimentos de divulgação de informação (nos termos estabelecidos nas Regras 13a-14 e 15d-14 do Exchange Act) do requerente e: (a) Elaboramos tais controles e procedimentos de divulgação de informação de modo a assegurar que informações importantes relativas ao requerente, incluindo suas subsidiárias consolidadas, nos sejam transmitidas por outros integrantes dessas entidades, especialmente durante o período no qual este relatório anual é preparado; (b) Avaliamos a eficácia dos controles e procedimentos de divulgação de informação do requerente em data compreendida no período de 90 dias que antecedeu a data de arquivamento deste relatório anual (a "Data de Avaliação"); e (c) Apresentamos neste relatório anual nossas conclusões sobre a eficácia dos controles e procedimentos de divulgação de informação, com base em nossa avaliação a partir da Data de Avaliação; 5. O preposto da empresa no processo de certificação e eu, com base em nossa avaliação mais recente, procedemos à divulgação, junto aos auditores e ao Conselho Fiscal do Conselho de Administração do requerente (ou junto aos indivíduos que desempenham as funções equivalentes) dos seguintes aspectos: (a) Todas as deficiências importantes no projeto ou na operação dos controles internos que poderiam prejudicar a capacidade do requerente de registrar, processar, sintetizar e notificar dados financeiros, além de identificarmos e assinalarmos para os auditores do requerente todas as deficiências importantes nos controles internos; e (b) Qualquer fraude, importante ou não, que envolva a gerência ou outros empregados que desempenhem papel significativo nos controles internos do requerente; e 6. O preposto da empresa no processo de certificação e eu indicamos neste relatório anual se houve alteração significativa nos controles internos ou em outros fatores que pudessem afetar substancialmente os controles internos em períodos posteriores à data da nossa avaliação mais recente, incluindo quaisquer ações corretivas relacionadas às deficiências significativas e deficiências relevantes. /s/ JOSÉ SERGIO GABRIELLI DE AZEVEDO José Sergio Gabrielli de Azevedo Diretor Financeiro
  22. 22. www.CompanyWeb.com.br 22 CERTIFICAÇÃO EM CONFORMIDADE COM O U.S.C. 18 PARÁGRAFO 1350 CONFORME ADOTADO EM CONFORMIDADE COM O PARÁGRAFO 906 DA LEI SARBANNES-OXLEY Em conformidade com o parágrafo 906 da Lei Sarbanes-Oxley de 2002 (subparágrafos (a) e (b) do Parágrafo 1350, Capítulo 63 do Documento 18, do Código dos Estados Unidos), o abaixo-assinado presidente da Petróleo Brasileiro S.A. - PETROBRAS (a "Empresa"), por este ato certifica que, ao seu conhecimento : O Relatório Anual do Formulário 20-F do exercício findo em 31 de dezembro de 2002 da Empresa está em conformidade com os requisitos indicados no Parágrafo 13(a) ou 15(d) do Securities Exchange Act de 1934 e as informações contidas no Formulário 20-F apresentam de maneira correta, em todos os aspectos essenciais, a condição financeira e os resultados operacionais da Empresa. /s/ JOSÉ EDUARDO DE BARROS DUTRA Data: 19 de junho de 2003 José Eduardo de Barros Dutra Diretor Presidente O original assinado desta declaração por escrito, tal como requerido no Parágrafo 906, foi entregue à Empresa, sendo por ela retido e fornecido à Securities and Exchange Commission ou a seu represente, a seu pedido. CERTIFICAÇÃO EM CONFORMIDADE COM O U.S.C. 18 PARÁGRAFO 1350 CONFORME ADOTADO NO PARÁGRAFO 906 DA LEI SARBANES-OXLEY Em conformidade com o parágrafo 906 da Lei Sarbanes-Oxley de 2002 (subparágrafos (a) e (b) do Parágrafo 1350, Capítulo 63 do Documento 18, do Código dos Estados Unidos), o abaixo-assinado diretor da Petróleo Brasileiro S.A. - PETROBRAS (a "Empresa"), por este ato certifica que, ao seu conhecimento : O Relatório Anual do Formulário 20-F do exercício findo em 31 de dezembro de 2002 da Empresa esta em conformidade com os requisitos indicados no Parágrafo 13(a) ou 15(d) do Securities Exchange Act de 1934 e as informações contidas no Formulário 20-F apresenta de maneira correta, em todos os aspectos essenciais, a condição financeira e os resultados operacionais da Empresa. /s/ JOSÉ SERGIO GABRIELLI DE AZEVEDO Data: 19 de junho de 2003 José Sergio Gabrielli de Azevedo Diretor Financeiro O original assinado desta declaração por escrito, tal como requerido no Parágrafo 906, foi entregue à Empresa, sendo por ela retido e fornecido à Securities and Exchange Commission ou a seu represente, a seu pedido.
  23. 23. www.CompanyWeb.com.br 23 O auditor independente é responsável por avaliar e atestar sobre a avaliação elaborada pela administração da empresa emissora. Para que o auditor independente execute satisfatoriamente uma auditoria dos controles internos relacionados às demonstrações financeiras, a administração deve cumprir algumas responsabilidades¹, incluindo: • Assumir a responsabilidade pela efetividade da Demonstração Financeira (ICOFR - Internal Control Over Financial Reporting) da empresa; • Avaliar a efetividade do ICOFR da empresa, apoiando-se nas melhores práticas de controles internos, tais como os critérios do COSO® - Committee of Sponsoring Organizations of the Treadway Commission); • Suportar a sua avaliação com base em evidência suficiente, inclusive documentação. ¹ Se o auditor concluir que a administração não cumpriu essas responsabilidades, ele deve comunicar, por escrito, à administração e ao comitê de auditoria que não foi possível concluir satisfatoriamente a auditoria dos controles internos relacionados às demonstrações financeiras e se abster de emitir uma opinião. ¹ Se o auditor concluir que a administração não cumpriu essas responsabilidades, ele deve comunicar, por escrito, à administração e ao comitê de auditoria que não foi possível concluir satisfatoriamente a auditoria dos controles internos relacionados às demonstrações financeiras e se abster de emitir uma opinião.
  24. 24. www.CompanyWeb.com.br 24 1. Desenho dos controles sobre todas as afirmações relacionadas com todas as contas significativa e divulgação das demonstrações financeiras – os cinco componentes, incluindo ambiente de controle e controles no nível da companhia (sobre a companhia). 2. Informação sobre como transações significativas são iniciadas, autorizadas, registradas, processadas e reportadas. 3. Informação suficiente sobre como o fluxo de transações para identificar onde uma divulgação inexata material pode ocorrer devido a erro ou fraude. 4. Desenho de controles para prevenir ou detectar fraudes, incluindo quem realiza o controle e a segregação de responsabilidades relacionada. 5. Controles sobre o processo de reporte financeiro do fim do período. 6. Controles sobre a salvaguarda dos ativos. 7. Os resultados dos testes da gerência e avaliação.
  25. 25. www.CompanyWeb.com.br 25 SOX: Papéis e Responsabilidades: Administração É responsável pelos controles internos e pela preparação das demonstrações financeiras Auditoria Interna É responsável por testar e monitorar os controles internos Auditoria Externa É responsável por certificar a apresentação das demonstrações financeiras e a avaliação efetuada pela Administração para suportar a certificação da eficácia dos controles internos Supervisionar os processos e os participantes Comitê de Auditoria
  26. 26. www.CompanyWeb.com.br 26
  27. 27. www.CompanyWeb.com.br 27 À medida que a prática e a Ciência Contábil foram sendo organizadas e estruturadas, pesquisadores procuraram identificar e compilar quais os princípios que as orientavam, em especial a função de registrar todos os fatos que afetam o patrimônio de uma entidade. Os princípios contábeis ou contabilísticos tornaram-se regras que passaram a ser seguidas e aceitas por todos e hoje constituem a principal teoria que sustenta e fundamenta a Contabilidade. Nos Estados Unidos, país que primeiro procurou compilar os princípios contábeis (conhecidos pela sigla US-GAAP's), eles foram vistos durante um certo tempo como as premissas para um Sistema de Certificação e Avaliação. Posteriormente foram o conjunto de fatores que separaria a Contabilidade americana em duas vertentes: contabilidade financeira (na qual deveria ser observado os princípios contábeis) e contabilidade gerencial (ramo em que os princípios poderiam não ser seguidos e que por isso poderia ser melhor traduzida também como administração contábil).
  28. 28. Um princípio contábil é um axioma das doutrinas e teorias relativas às disciplinas contábeis, sendo, portanto, imutável no tempo e espaço. No Brasil, com forte tendência para a internacionalização, os princípios estavam organizados em sete Princípios Fundamentais de Contabilidade, de acordo com a resolução CFC Nº 750/93, de 29 de dezembro de 1993 . São chamados de Princípios Contábeis, de acordo com a resolução CFC Nº 1282/10, de 28 de maio de 2010. Atualmente são seis (o princípio da correção monetária foi revogado).
  29. 29. www.CompanyWeb.com.br 29 GAAP - Generally Accepted Accounting Principles - são um conjunto de princípios e práticas utilizadas pela comunidade de contabilidade. As demonstrações financeiras apresentadas à SEC por companhias abertas ao público são obrigados a cumprir as normas GAAP. Ao comparar as demonstrações financeiras de diferentes anos, é importante notar qualquer alteração no GAAP para o período de intervenção. Desde GAAP é apenas um conjunto de orientações, não pode garantir as demonstrações financeiras não são fraudulentos. Princípios contábeis geralmente aceitos americanos (Generally Accepted Accounting Principles in the United States - US GAAP) PRINCIPAIS ASPECTOS PARA REPORTAR O BALANÇO PATRIMONIAL NO BRASIL (BR GAAP), EUA (US GAAP) E EUROPA (IFRS).
  30. 30. www.CompanyWeb.com.br 30 BR-GAAP – Princípios Contábeis Geralmente Aceitos no Brasil, conforme as Normas Brasileiras de Contabilidade, regulamentadas através do CFC - Conselho Federal de Contabilidade, sendo utilizado o padrão contábil europeu IFRS (International Financial Reporting Standards). US-GAAP – Princípios Contábeis Geralmente Aceitos nos EUA, padrão americano.
  31. 31. www.CompanyWeb.com.br 31 A regulamentação das novas normas e a supervisão do seu cumprimento, pelos vários elementos do mercado de capitais, passam a ser de responsabilidade do PCAOB (Conselho de Supervisão de Assuntos Contábeis das Companhias Abertas -Public Company Accounting Oversight Board).
  32. 32. www.CompanyWeb.com.br 32 – Reforça o conceito que uma auditoria das demonstrações financeiras e uma auditoria de controles internos sobre o reporte financeiro são agora integradas e inseparáveis. – Delineia:  Responsabilidades;  Documentação requerida da administração;  Responsabilidades do auditor e comunicações requeridas;  Estabelece critério para avaliações das deficiências.
  33. 33. www.CompanyWeb.com.br 33 ICOFR - Internal Control Over Financial Reporting PCAOB - Conselho de Supervisão da Contabilidade das Companhias de Capital Aberto Controle interno dos relatórios financeiros IFRS: • Normas contábeis internacionais (IFRS - International Financial Reporting Standard); • São Normas Internacionais de Contabilidade emitida com o objetivo de padronizar as demonstrações contábeis no mundo. Até 2001 eram conhecidas como International Accounting Standards, IAS (Normas Internacionais de Contabilidade)
  34. 34. Através de conceitos sobre IFRS numa visão crítica, de como ficaria a demonstração no Balanço, unindo as três modalidades contábeis (BRGAAP, USGAAP e IFRS) de maneira a estabelecer o ponto de vista do escopo, da harmonização, que o fundamento da nova norma, objetiva, em proporcionar para o mercado mundial, colocando os profissionais do mundo todo em uma base padrão de negociação. WIKI:
  35. 35. www.CompanyWeb.com.br 37
  36. 36. 38 Seção 302 e 906 – Tratam de certificações dos relatórios anuais contendo as demonstrações financeiras (20-F e 40-F) por parte dos administradores (CEO e CFO), sob penalidades de responsabilidade civil e criminal. Seção 404, 407, 408 e 409 – Tratam sobre os aspectos de controle interno, fiscalização da SEC sobre informação pública, código de ética para diretores financeiros e publicação de alterações operacionais e/ou financeiras. Determina a emissão de relatório especial, com parecer, entregue à SEC, que ateste a realização anual de avaliação e de controles e processos internos que são a base de relatórios financeiros. Seção 802 - Penalidades criminais pela alteração de documentos. www.CompanyWeb.com.br
  37. 37. 39
  38. 38. www.CompanyWeb.com.br 40 Um programa de controles internos que focaliza simultaneamente a divulgação e a emissão de relatórios financeiros pode atender às exigências trimestrais da Seção 302 e as exigências anuais da Seção 404, bem como suprir as necessidades dos auditores independentes para executar seus procedimentos de certificação.
  39. 39. www.CompanyWeb.com.br 41 O ato foi assinado em 30 de julho de 2002 e inclui onze seções tituladas Título I Conselho de Supervisão da Contabilidade das Companhias de Capital de Aberto (PCAOB) Título II Independência do Auditor Título III Responsabilidade Corporativa – Art 302 Título IV Divulgação das Demonstrações Financeiras – Art 404 Título V Conflito de interesse Título VI Autoridade e recursos da comissão Título VII Estudos e relatórios Título VIII Responsabilidade Corporativa e de fraudes criminais Título IX Elevação das penalidades para crime de colarinho branco – Art 906 Título X Imposto sobre lucro Corporativo Título XI Responsabilidade e fraudes corporativas
  40. 40. www.CompanyWeb.com.br 42
  41. 41. 1) A Seção 302 determina que Diretores Executivos e Diretores Financeiros devem declarar pessoalmente que são responsáveis pelos controles e procedimentos de divulgação. 2) Cada arquivo trimestral deve conter a certificação de que eles executaram a avaliação do desenho e da eficácia desses controles. 3) Os executivos certificados também devem declarar que divulgaram todas e quaisquer deficiências significativas de controles, insuficiências materiais e atos de fraude ao seu Comitê de Auditoria. 4) A SEC também propôs uma exigência de certificação mais abrangente que inclui os controles internos e os procedimentos para a emissão de relatórios financeiros, além da exigência relacionada com os controles e procedimentos de divulgação.
  42. 42. www.CompanyWeb.com.br 44 Em cada arquivo trimestral ou anual, o Diretor Executivo e o Diretor Financeiro devem declarar que: 1) São responsáveis pelos controles e procedimentos de divulgação; 2) Desenharam esses controles (ou supervisionaram seu desenho) para assegurar que as informações materiais cheguem ao seu conhecimento; 3) Avaliaram a eficácia desses controles a cada trimestre; 4) Apresentaram suas conclusões em relação à eficácia desses controles; 5) Divulgaram ao seu Comitê de Auditoria e aos seus auditores independentes todas as deficiências significativas encontradas nos controles, as insuficiências materiais e os atos de fraude envolvendo funcionários da administração ou outros funcionários que desempenham papéis significativos nos controles internos da companhia; 6) Indicaram no arquivamento na SEC todas as alterações significativas efetuadas nos controles.
  43. 43. www.CompanyWeb.com.br 45 Outra medida da Lei Sarbanes-Oxley, amplamente divulgada – a Seção 906 –, entrou em vigor em agosto de 2002. Essa seção exige que Diretores Executivos e Diretores Financeiros assinem e certifiquem o relatório periódico contendo as demonstrações financeiras. A certificação executiva declara que o relatório cumpre as exigências de emissão de relatórios determinadas pela SEC e que representam adequadamente a condição financeira da companhia, bem como os resultados de suas operações. O descumprimento dessa exigência tem um alto preço: multas de até US$5 milhões e até 20 anos de prisão podem ser as penas impostas para o descumprimento intencional. Esta é uma medida que sustenta a “engrenagem” da Lei.
  44. 44. www.CompanyWeb.com.br 46
  45. 45. www.CompanyWeb.com.br 47 A Seção 404 determina uma avaliação anual dos controles e procedimentos internos para a emissão de relatórios financeiros. Além disso, o auditor independente da companhia deve emitir um relatório distinto que ateste a asserção da administração sobre a eficácia dos controles internos e dos procedimentos executados para a emissão dos relatórios financeiros.
  46. 46. www.CompanyWeb.com.br 48 A Seção 404 obriga as companhias a incluir em seus relatórios anuais um relatório sobre controles internos emitido pela administração que: 1. Afirme sua responsabilidade pelo estabelecimento e pela manutenção de controles e procedimentos internos para a emissão de relatórios financeiros; 2. Avalie e atinja conclusões acerca da eficácia dos controles e procedimentos internos para a emissão de relatórios financeiros; 3. Declare que o auditor independente da companhia atestou e reportou a avaliação feita pela administração sobre seus controles e procedimentos internos para a emissão de relatórios financeiros.
  47. 47. www.CompanyWeb.com.br 49 Um programa de controles internos que focaliza simultaneamente a divulgação e a emissão de relatórios financeiros pode atender às exigências trimestrais da Seção 302 e as exigências anuais da Seção 404, bem como suprir as necessidades dos auditores independentes para executar seus procedimentos de certificação. Um programa de controles internos que focaliza simultaneamente a divulgação e a emissão de relatórios financeiros pode atender às exigências trimestrais da Seção 302 e as exigências anuais da Seção 404, bem como suprir as necessidades dos auditores independentes para executar seus procedimentos de certificação.
  48. 48. 50 Itaú conclui a certificação dos controles internos R$ 15 milhões em despesas diretas, 206 mil horas de trabalho interno e 40 mil dos auditores externos garantiram ao Banco Itaú Holding Financeira o recorde de primeiro banco estrangeiro com ações negociadas na Bolsa de Nova York (NYSE) a cumprir as exigências da seção 404 da Lei Sarbanes-Oxley (SOX). Uma das seções - equivalentes a artigos na legislação brasileira - mais complexas da SOX é exatamente a 404, que determina a avaliação anual dos controles e procedimentos internos para a emissão de relatórios financeiros. A administração da empresa precisa documentar, avaliar e certificar a eficiência dos controles internos e dos processos de obtenção dos números registrados nos relatórios financeiros. Além disso, um auditor externo tem que certificar a avaliação. Desde o final de 2004, o Itaú está envolvido na tarefa, afirmou o vice-presidente sênior, Henri Penchas. A exigência inicial da Securities and Exchange Commission SEC) - equivalente à comissão de valores mobiliário brasileira - era que as empresas estrangeiras com ações negociadas na Bolsa de Nova York atendessem as exigências da SOX no balanço de 31 de dezembro de 2005. Posteriormente, a SEC deu mais um ano de prazo. Mas, o Itaú conseguiu atender a exigência no prazo original e acaba de arquivar na SEC o relatório anual 20-F, referente ao exercício concluído em 31 de dezembro de 2005, com o relatório do auditor externo PricewaterhouseCoopers certificando a avaliação da direção do banco a respeito da qualidade dos processos e veracidade das informações contidas no balanço. O objetivo é assegurar aos investidores e ao mercado que os processos de obtenção dos números estão corretos. "É um trabalho extremamente burocrático, técnico e minucioso, que implicou o mapeamento de cerca de 1050 processos do banco", disse Penchas, desde conta corrente, cartão de crédito a empréstimos e custódia. Alguns tiveram que ser alterados até que os auditores externos estivessem satisfeitos. o Itaú designou um diretor gerente, João Costa, para tocar o projeto. Penchas acredita que o trabalho será mais fácil no próximo balanço pois só será necessário desenvolver novos testes para os novos produtos. Nos demais, só será preciso repetir os testes já elaborados. Para acionistas e investidores, o resultado é a certeza da qualidade dos números; para os depositantes e clientes, a veracidade nos balanços. Costa lembrou que o trabalho do auditor externo também está sujeito à averiguação do órgão de supervisão da atividade, o Conselho de Supervisão Contábil das Companhias de Capital Aberto (PCAOB - Public Company Accounting Oversight Board). Maria Christina Carvalho
  49. 49. www.CompanyWeb.com.br 51
  50. 50. www.CompanyWeb.com.br 53 Materiality. Generally, the degree to which environmental financial information is relevant for purposes of financial reporting. The concept of materiality is a primary consideration in every aspect of financial reporting. The specific application of the concept varies slightly depending on the circumstances and the particular application. Tradução livre: Materialidade. Geralmente, o grau de informação financeira ambiental é relevante para efeitos de reporte financeiro. O conceito de materialidade é uma consideração primordial em todos os aspectos da informação financeira. A aplicação específica do conceito varia ligeiramente dependendo das circunstâncias e da aplicação em particular.
  51. 51. www.CompanyWeb.com.br 54  O auditor deve aplicar o conceito de materialidade em uma auditoria dos controles internos sobre relatórios financeiros, tanto na declaração financeiras nível e ao nível saldo da conta individual.  O auditor usa materialidade no nível de instrução-financeiras na avaliação se uma deficiência, ou uma combinação de deficiências nos controles é uma deficiência significativa ou uma fraqueza material.  A materialidade, tanto a declaração financeira e no nível saldo da conta individual é relevante para o planejamento os procedimentos de auditoria e de projeto. Referem-se as distorções que não pode ser impedido ou detectado pelo controle interno sobre relatórios financeiros, individualmente ou coletivamente, tenham um efeito material sobre o quantitativo financeiro declarações.
  52. 52. www.CompanyWeb.com.br 56 A gravidade de uma deficiência de controle interno pode ser avaliada como um material weakness ou significant deficiency, fundamentada no potencial de erros ou fraudes nas demonstrações financeiras que estas deficiências possam gerar, não sendo necessário que esses erros ou fraudes tenham efetivamente ocorrido.  Uma deficiência significativa é uma deficiência de controle, ou uma combinação de deficiências de controle, que afete adversamente a capacidade da empresa para iniciar, autorizar, registrar processo, ou relatório externo de dados financeiros de forma confiável, de acordo com os princípios contabilísticos geralmente aceites, tal que não é mais do que uma probabilidade remota que uma distorção de declarações anuais ou trimestrais que é mais inconseqüentes que não serão prevenidos ou detectados.  A fraqueza material é uma deficiência significativa ou uma combinação de deficiências significativas que resulta em mais de uma probabilidade remota de que a distorção de um material das declarações anuais ou trimestrais não serão impedidas ou detectada.  Uma deficiência significativa é uma deficiência de controle, ou uma combinação de deficiências de controle, que afete adversamente a capacidade da empresa para iniciar, autorizar, registrar processo, ou relatório externo de dados financeiros de forma confiável, de acordo com os princípios contabilísticos geralmente aceites, tal que não é mais do que uma probabilidade remota que uma distorção de declarações anuais ou trimestrais que é mais inconseqüentes que não serão prevenidos ou detectados.  A fraqueza material é uma deficiência significativa ou uma combinação de deficiências significativas que resulta em mais de uma probabilidade remota de que a distorção de um material das declarações anuais ou trimestrais não serão impedidas ou detectada.  Uma deficiência do controle interno existe quando o , no curso normal da execução das respectivas funções, para prevenir ou detectar erros em tempo hábil.
  53. 53. www.CompanyWeb.com.br 57
  54. 54. www.CompanyWeb.com.br 58 A deficiência de controle, ou uma combinação de deficiências de controle, que afeta negativamente a capacidade da entidade para iniciar, autorizar, registrar, processar, ou relatório externo de dados financeiros de forma confiável, de acordo com de tal forma que há mais de uma probabilidade remota a possibilidade de distorção da empresa anuais ou demonstrações financeiras que é mais do que inconsequente não serão prevenidos ou detectados.
  55. 55. www.CompanyWeb.com.br 59 Cenário A - Deficiência Significativa A empresa processa um número significativo de operações intercompanhias mensalmente. Uma política formal de gestão exige a conciliação das contas intercompanhias sejam mensais e a confirmação de saldos entre as unidades de negócio. No entanto, não há um processo para garantir a realização desses procedimentos. Como resultado, as conciliações de contas intercompanhias não são realizados em tempo hábil. A gestão não realiza os procedimentos mensais para investigar as contas se há diferenças entre as empresas. Com base apenas nesse fato, o auditor deve determinar que essa deficiência represente uma deficiência significativa pelas seguintes razões:  A magnitude de uma distorção das demonstrações financeiras resultantes desta deficiência seria razoável esperar ser mais do que inconsequente, mas menos do que o material, porque operações intercompanhias não são materiais, e os controles de compensação operacional mensal deve detectar distorções materialmente relevantes.  Além disso, as transações são basicamente restrita ao equilíbrio das contas da folha. No entanto, os controles de detecção de compensação são concebidos apenas para detectar distorções relevantes.
  56. 56. www.CompanyWeb.com.br 60 A descrição apresentada pela SEC para uma deficiência significativa torna-a análogo a uma “condição reportável”, conforme descrito nos padrões de auditoria. Condições reportáveis são deficiências nos controles que chegam ao conhecimento dos auditores e que segundo seu julgamento, devem ser comunicadas ao Comitê de Auditoria porque representam deficiências significativas no desenho ou na operação de controles internos, que podem afetar adversamente a capacidade de a companhia iniciar, registrar, processar, resumir e reportar dados financeiros e não financeiros precisos.
  57. 57. www.CompanyWeb.com.br 61 Ao tentar verificar se a deficiência de um controle é “significativa” é preciso considerar alguns fatores, como o porte da organização, os aspectos qualitativos e quantitativos dos fatores de riscos que a atividade pretende atenuar e a complexidade das operações. Exemplos de deficiência potencialmente significativas no desenho e na implementação de uma atividade de controle incluem:  A companhia não possui procedimentos adotados para avaliar o limite de crédito de novos clientes.  A companhia não possui procedimentos adotados para rastrear o valor de seus investimentos em ações. (Esses exemplos pressupõem que os processos operacionais relacionados e os saldos são materiais para a companhia em questão.) Deficiências potencialmente significativas na eficácia operacional das atividades de controle podem incluir:  Embora a companhia possua procedimentos adotados para avaliar o limite de crédito de novos clientes, os pedidos quase sempre são processados para contas que foram bloqueadas.  Embora a companhia rastreie seus investimentos em ações, as diferenças entre os registros mantidos pela companhia e as demonstrações de terceiros não são investigadas imediatamente.
  58. 58. www.CompanyWeb.com.br 62
  59. 59. www.CompanyWeb.com.br 63 Exemplo: A empresa processa um número significativo de operações intercompanhias em uma base mensal. As transacções internas dizem respeito a uma vasta gama de atividades, incluindo a transferência de estoque, com lucro intercompanhia entre unidades de negócio, alocação de custos de pesquisa e desenvolvimento de unidades de negócio, e os encargos das empresas. As transações entre empresas individuais são freqüentemente material. Uma política formal de gestão exige a conciliação mensal das contas intercompanhias e confirmação de saldos entre unidades de negócio. No entanto, não há um processo no local para garantir que esses procedimentos são realizados em uma base consistente. Como resultado, as conciliações das contas intercompanhias não são realizados em tempo hábil, e as diferenças nas contas intercompanhias são freqüentes e significativos. A Administração não executar qualquer alternativa controles para investigar diferenças significativas entre empresas. Com base apenas nesses fatos, o auditor deve determinar que essa deficiência represente uma fraqueza material, pelas seguintes razões:  A magnitude de uma distorção das demonstrações financeiras resultantes desta deficiência seria razoável supor ser material, porque as transações entre empresas individuais são freqüentemente material e se relacionar com uma ampla gama de atividades.  Além disso, reais diferenças irreconciliáveis nas contas intercompanhias foram, e são, material.  A probabilidade de tal distorção é mais remota, porque tais distorções têm ocorrido com freqüência e os controles de compensação não são eficazes, porque não são devidamente concebidos ou não funcionam de maneira eficaz.  Tomados em conjunto, a magnitude e a probabilidade da distorção das demonstrações financeiras resultantes desta deficiência de controle interno satisfaçam a definição de uma fraqueza material.
  60. 60. www.CompanyWeb.com.br 64 Cenário A - Fraqueza Material Durante a sua avaliação dos controles internos sobre relatórios financeiros, de gestão identificou as seguintes deficiências. O auditor concorda que estas deficiências representam individualmente deficiências significativas: • Segregação inadequada dos direitos de acesso a certas informações sobre o sistema de controle. Diversos exemplos de transações que não foram devidamente registradas em livros subsidiários; • A falta de conciliações dos saldos das contas afetadas. Com base apenas nesses fatos, o auditor deve determinar que a combinação desses deficiências significativas representa uma fraqueza material, pelas seguintes razões: Individualmente, Estas deficiências foram avaliados como representando um risco mais remoto que um distorção que é mais do que inconsequente, mas menos do que o material, poderia ocorrer. No entanto, cada uma dessas deficiências significativas afeta o mesmo conjunto de contas. Tomados em conjunto, essas deficiências significativas representam um risco mais remoto que uma distorção relevante pode ocorrer e não ser impedido ou detectado. Portanto, em conjunto, essas deficiências significativas representam uma fraqueza material. Cenário B - Fraqueza Material Durante a sua avaliação dos controles internos sobre relatórios financeiros foi identificado deficiências no projeto de controle sobre a estimativa de perdas de crédito (uma estimativa contábil crítica), a eficácia operacional dos controles para iniciar o processamento, análise e ajustes à provisão para perdas de crédito e a eficácia operacional dos controles projetados para prevenir e detectar o reconhecimento indevido de juros. A gestão e o auditor concordam que, no seu contexto geral, cada uma dessas deficiências individualmente representa uma deficiência significativa. Além disso, durante o ano passado, a empresa experimentou um significativo nível de crescimento dos saldos de empréstimos que foram submetidos aos controles que regem estimativa de perda de crédito e de reconhecimento de receita, e um maior crescimento é esperado no próximo ano. Com base apenas nesses fatos, o auditor deve determinar que a combinação desses deficiências significativas representa uma fraqueza material, pelas seguintes razões: • Os saldos das contas de empréstimo afetados por essas deficiências significativas aumentou relativamente ao ano passado e devem aumentar no futuro. • O crescimento dos saldos de empréstimos, juntamente com o efeito combinado das deficiências significativas descrito, resulta em uma probabilidade mais remota que a distorção de um material da provisão para perdas de crédito ou renda de juros poderia ocorrer. Portanto, em combinação, essas deficiências correspondem à definição de uma fraqueza material.
  61. 61. www.CompanyWeb.com.br 65 Uma fraqueza material é uma deficiência significativa, ou uma combinação de deficiências significativas, que resultados em mais de uma probabilidade remota de que uma distorção relevante nas declarações anuais ou demonstrações financeiras não serão prevenidos ou detectados. Insuficiências materiais devem ser apresentados no Formulário 10-K. Uma fraqueza material é uma deficiência significativa, ou uma combinação de deficiências significativas, que resultados em mais de uma probabilidade remota de que uma distorção relevante nas declarações anuais ou demonstrações financeiras não serão prevenidos ou detectados. Insuficiências materiais devem ser apresentados no Formulário 10-K.
  62. 62. www.CompanyWeb.com.br 66 O que é uma fraqueza material?  É uma deficiência que resulta em uma probabilidade mais do que remota de que um erro material contido em uma demonstração financeira anual ou de um determinado período não será evitado ou detectado.  Não significa que um erro relevante TENHA ocorrido ou VÁ OCORRER, mas que PODERIA ocorrer.  Depende de julgamento da probabilidade de ocorrência e da magnitude de impacto do erro. Quais são os indicadores de uma fraqueza material? 1.Um ambiente de controle ineficaz; 2.Republicação em razão de erro ou fraude; 3.Supervisão ineficaz pelo Comitê de Auditoria; 4.Atuação ineficaz da auditoria interna; 5.Fraude cometida pela alta gestão; 6.Deficiências significativas que não são remediadas após um determinado período de tempo.
  63. 63. www.CompanyWeb.com.br 67 Como os membros dos Comitês de Auditoria devem avaliar uma fraqueza material? Citamos aqui algumas questões que deveriam ser feitas à Administração por membros de um Comitê de Auditoria: No caso de uma fraqueza material, até que ponto ela está relacionada à cultura, à conduta ética e à integridade da organização? No caso de fraude por parte da Administração, quem são os envolvidos? E o que se sabe sobre a natureza da fraude? Quanto tempo durou? Resultou de uma falha temporária nos processos ou é uma questão maior, que abrange o sistema como um todo? E até que ponto o problema se espalha pela organização? Será que se aplica a vários processos da empresa ou é algo mais restrito? Será que o problema está relacionado com outros processos-chave? Por exemplo, ao processo de reconhecimento de receita da empresa ou é algo bem restrito? Resulta da investigação por parte de um órgão regulamentar ou do surgimento de uma contingência? Também deve-se descobrir se a empresa possui um histórico de republicações e correções de seus relatórios financeiros, e o que se pode dizer sobre a qualidade dos funcionários e dos processos envolvidos na elaboração dos relatórios financeiros. Nesse sentido, é possível que o mercado tenha altas expectativas quanto à reação da Administração à existência de uma fraqueza material: Será que a empresa estará disposta a divulgá-la ao público? E a linguagem utilizada? É suficientemente aberta e transparente para permitir que os leitores das demonstrações financeiras tenham uma boa compreensão dessas deficiências ou tenta-se não fornecer tantas informações assim, negando a existência do problema ou amenizando seus efeitos?
  64. 64. www.CompanyWeb.com.br 68
  65. 65. www.CompanyWeb.com.br 69 Testes de Controle • São realizados com o objetivo de validar se um controle está operando eficazmente ou não. Testes Substantivos • São realizados para validar o saldo de uma conta contábil ou divulgação.
  66. 66. www.CompanyWeb.com.br 70
  67. 67. Existe quando o desenho ou operação de um controle não permite a administração ou empregados, no curso normal da realização das suas tarefas, de prevenir ou detectar divulgação inexata em tempo hábil. Uma “deficiência nos controles” indica uma falha no desenho, na implementação e/ou na eficácia operacional de uma atividade de controle. Essas falhas podem afetar adversamente a capacidade da companhia para iniciar, registrar, processar, resumir e reportar dados financeiros.
  68. 68. • Deficiência de controle existe quando o desenho ou operação de um controle não permite a administração ou empregados, no curso normal da realização das suas tarefas, de prevenir ou detectar divulgação inexata em tempo hábil. – Uma Deficiência no Desenho existe quando (a) um controle necessário para se chegar ao objetivo de controle está faltando ou (b) um controle existente não está apropriadamente desenhado, de forma que mesmo que o controle opere como esperado, o objetivo de controle nem sempre é atingido. – Uma Deficiência na Operação existe quando um controle apropriadamente criado não opera da forma como foi desenhado, ou quando a pessoa que realiza o controle não possui a necessária autoridade ou qualificação para executar o controle efetivamente.
  69. 69. www.CompanyWeb.com.br 73 De acordo com os padrões de auditoria, insuficiência material é uma condição reportável, na qual o desenho ou a operação de um ou mais componentes dos controles internos não reduz a um nível relativamente baixo o risco de erros monetários. Por sua vez, esses erros monetários são causados por erro ou fraude em valores que seriam materiais em relação às demonstrações financeiras que estão sendo auditadas e podem ocorrer e não ser detectados em tempo hábil pelos funcionários, no curso normal da execução das funções que lhes foram atribuídas. Avaliar se uma condição reportável também é uma insuficiência material é um processo subjetivo que depende de fatores como: (a) a natureza do sistema contábil e dos valores ou das transações da demonstração financeiras expostos à condição reportável; (b) o ambiente de controles gerais; (c) pessoas tomam as decisões; e (d) outros controles. A presença de uma insuficiência material ou mais pode indicar que a estrutura de controles internos não é eficaz.
  70. 70. www.CompanyWeb.com.br 74
  71. 71. www.CompanyWeb.com.br 75 Com freqüência, confiabilidade nos controles internos é uma função das seguintes características: 1. Desenho e eficácia operacional dos controles; 2. Extensão da documentação dos controles e procedimentos; 3. Consciência dos funcionários acerca das atividades de controle pelas quais são responsáveis; 4. Monitoramento independente.
  72. 72. www.CompanyWeb.com.br 76
  73. 73. www.CompanyWeb.com.br 77
  74. 74. www.CompanyWeb.com.br 78 Atingir o Estágio 3 significa que os controles internos de uma companhia são confiáveis, mas não determina o fim do processo. Ao contrário, é o Estágio 4 que representa o propósito da Lei Sarbanes-Oxley, por meio do qual a governança corporativa está vinculada a atividades de controle eficazes. Além de fornecer informações úteis que a equipe do projeto pode utilizar ao desenvolver o seu plano de projeto, o Modelo de Confiabilidade nos Controles Internos pode servir para várias outras finalidades, incluindo:  Servir como um modelo comum para a discussão entre a administração e o auditor independente, em relação à confiabilidade dos controles internos da companhia, para a avaliação dos controles pela administração e certificação do auditor independente;  Fornecer uma descrição altamente visual sobre a confiabilidade dos controles internos da companhia para o Conselho de Administração e para Alta Administração executiva.
  75. 75. www.CompanyWeb.com.br 79
  76. 76. www.CompanyWeb.com.br 80 Obviamente, políticas e procedimentos expressos são importantes e exercerão um papel principal na eficácia de sua estrutura de controles internos. Na verdade, grande parte do sucesso ou do fracasso de um programa de controles internos pode depender da documentação escrita. Mas, também são críticos os atributos menos tangíveis de cultura, conduta e atitude, coletivamente chamados de “Ambiente de Controle”. Contribuindo com o Ambiente de Controle encontram-se elementos como integridade, valores éticos e competência dos funcionários de sua companhia; filosofia e estilo operacional da administração; delegação de autoridade e responsabilidade; e atenção e direção fornecidas pelo Conselho de Administração. O Ambiente de Controle constitui a base para todos os demais componentes dos controles internos.
  77. 77. www.CompanyWeb.com.br 81 Para facilitar a compreensão do Ambiente de Controle, é recomendável a execução de uma avaliação cultural. Ao pesquisar a Alta Administração e os funcionários de toda a organização, é possível obter rapidamente uma compreensão sobre a atitude dessas pessoas acerca do compromisso da companhia em criar um ambiente de controle eficaz. Se os resultados da avaliação cultural sugerirem que a companhia não possui um ambiente de controle consistente, é necessário adotar medidas corretivas, como:  Comunicar a importância dos controles internos;  Reforçar seu código de conduta e ética, bem como o programa de cumprimento de regras;  Restabelecer o apropriado jargão “o exemplo vem de cima”;  Conduzir programas de treinamento e conscientização;  Estabelecer canais para comunicação aberta (incluindo mecanismos que possibilitem a informação anônima). Inversamente, se os resultados da avaliação cultural indicarem que a companhia possui um sólido ambiente de controle, ela terá uma base concreta sobre a qual construirá seu programa de controles internos.
  78. 78. www.CompanyWeb.com.br 82
  79. 79. www.CompanyWeb.com.br 83
  80. 80. www.CompanyWeb.com.br 84 √O objetivo do processo de definição do escopo é identificar e inventariar os riscos relacionados com a divulgação e emissão de relatórios financeiros. √Isso permitirá que a Equipe de Gerenciamento do Programa de Controles Internos concentre seus esforços na identificação ou no desenho de controles para direcionar esses riscos. (Observe que o foco dessa fase do projeto – riscos na emissão de relatórios financeiros e divulgação – é mais restrito do que a avaliação do risco em larga escala e de toda a empresa.) √Embora algumas companhias já possuam um programa formal ou informal de avaliação de riscos, o programa deve ser revisado pela equipe do projeto para assegurar que ele engloba o processo abrangente de identificação de todos os riscos financeiros e de divulgação.
  81. 81. www.CompanyWeb.com.br 85 Durante o processo de entrevistas, a administração deve estar preparada para abordar os seguintes pontos, entre outros: Riscos que podem impedir que a companhia alcance seus objetivos operacionais. Riscos na emissão de relatórios financeiros e nas divulgações, considerando o seguinte: 1. Principais processos e sistemas operacionais, incluindo aplicativos e processos terceirizados; 2. Regulamentações da SEC e do ramo de atividade; 3. Exemplos de descumprimento de políticas e procedimentos da companhia.
  82. 82. www.CompanyWeb.com.br 86 A equipe do projeto deve então documentar e priorizar cada risco identificado na emissão de relatórios financeiros e na divulgação, pesando a importância relativa e a probabilidade de um efeito potencialmente adverso, sem levar em consideração a eficácia dos controles internos da companhia. Fatores que devem ser considerados ao priorizar os riscos na emissão de relatórios financeiros e na divulgação incluem:  Risco relativo para a companhia;  Materialidade das demonstrações financeiras;  Probabilidade de ocorrência. Com o passar do tempo, a companhia pode considerar a integração do processo de priorização de riscos na emissão de relatórios financeiros e na divulgação com um programa de avaliação de riscos em toda a companhia, que direcione todos os elementos da estrutura do COSO.
  83. 83. www.CompanyWeb.com.br 87
  84. 84. www.CompanyWeb.com.br 88 O repositório de controles servirá como uma central de informações e atividades relacionadas com os controles internos. – Ele conterá a documentação sobre os objetivos de controle, o desenho e a implementação das atividades de controle, bem como os métodos para testar a eficácia dessas atividades. √Será o banco de dados no qual trimestral e anualmente as avaliações da administração se basearão, conforme determinado pelas Seções 302 e 404.
  85. 85. www.CompanyWeb.com.br 89 Para desenvolver esse repositório de controles, é recomendável que sejam seguidas as seguintes etapas: Definir os principais objetivos de controle; Mapear as atividades de controle existentes e compará-las com os objetivos de controle; Identificar áreas em que os controles necessários estão ausentes e corrigi-las.
  86. 86. www.CompanyWeb.com.br 90 √Como resultado do processo de definição do escopo, deve ser produzido um inventário dos principais riscos na emissão de relatórios financeiros e na divulgação. √A Equipe de Gerenciamento do Programa de Controles Internos deve trabalhar sistematicamente os riscos, a fim de definir os principais objetivos de controle. É aconselhável que, em primeiro lugar, a equipe focalize os riscos que foram considerados “prioridade máxima” e prossiga seu trabalho abrangendo as outras categorias em etapas sucessivas, de acordo com a necessidade do seu ambiente.
  87. 87. www.CompanyWeb.com.br 91 Um objetivo de controle descreve as metas que a administração procura atingir. Na área de emissão de relatórios financeiros, alguns exemplos de objetivos gerais de controle incluem: 1. Autorização: as transações são executadas de acordo com autorização geral ou específica da administração. 2. Registro: todas as transações autorizadas são registradas pelos valores corretos, no período correto e na conta apropriada, a fim de permitir a preparação das demonstrações financeiras de acordo com os princípios contábeis geralmente aceitos. 3. Salvaguarda: a responsabilidade pela custódia física dos ativos é designada a pessoas específicas e independentes das funções de manutenção dos registros. 4. Reconciliação: ativos registrados são comparados com ativos existentes em intervalos razoáveis e são tomadas ações apropriadas em relação a quaisquer diferenças verificadas. Exemplos de objetivos de controle “acionáveis” incluem:  Processo de Gerenciamento de Pedidos: pedidos de venda somente são processados dentro dos limites de crédito aprovados para o cliente.  Processo de Compra: os valores lançados nas contas a pagar representam bens adquiridos.
  88. 88. www.CompanyWeb.com.br 92 As Atividades de Controle são políticas e procedimentos que ajudam a companhia a atingir determinados objetivos de controle. Elas devem ser incorporadas nas operações do negócio e utilizadas para reduzir, a níveis razoáveis, os riscos na emissão de relatórios financeiros e na divulgação. Exemplos de atividades de controle incluem: 1. Aprovações, autorizações e verificações; 2. Gerenciamento funcional direto ou gerenciamento de atividades; 3. Revisão dos indicadores de desempenho; 4. Segurança de ativos; 5. Segregação de funções; 6. Controles dos sistemas de informática.
  89. 89. www.CompanyWeb.com.br 93
  90. 90. www.CompanyWeb.com.br 94 Depois de ter desenvolvido o repositório de controles, a eficácia operacional das atividades de controle deve ser avaliada. Essa avaliação pode ser executada por pessoas responsáveis pelo desempenho dos controles, pela administração da companhia ou pela Equipe de Gerenciamento do Programa de Controles Internos. Os objetivos dessas atividades iniciais de teste são: Assegurar que as atividades de controle estão operando de forma apropriada; Fornecer informações para suportar medidas corretivas posteriores quando os testes das atividades revelarem deficiências nos controles internos; Desenvolver um programa de testes sustentável que forneça suporte para as avaliações trimestrais e anuais da administração.
  91. 91. www.CompanyWeb.com.br 95 Com a finalidade de fornecer suporte para a avaliação trimestral e anual dos controles internos, deve ser conduzida uma análise da estrutura desses controles, visando assegurar que não ocorreram mudanças significativas desde o último período de avaliação. Caso sejam verificados processos operacionais ou mudanças organizacionais (por exemplo, uma aquisição), será necessário repetir as etapas anteriores para modificar a estrutura de controles internos e direcionar essas mudanças. As pessoas responsáveis pelas atividades de controle devem avaliar sua eficácia como parte do processo formal de auto-avaliação dos controles internos. Para tanto, é recomendável que a eficácia operacional das atividades de controle individuais seja testada e que a documentação apropriada seja retida, de maneira que possa ser revisada pelos auditores independentes como parte de seus procedimentos para o trabalho de certificação.
  92. 92. www.CompanyWeb.com.br 96 Para muitas companhias, a função de auditoria interna desempenhará um importante papel no monitoramento e na emissão de relatórios sobre a eficácia da estrutura dos controles internos. As companhias que não possuem uma função de auditoria interna podem avaliar a utilização da Equipe de Gerenciamento do Programa de Controles Internos para executar essas tarefas. As atividades de monitoramento que devem ser executadas incluem:  Avaliação independente da pertinência dos dados contidos no repositório de controles;  Verificação das atividades de testes, ou seja, se elas são completas, precisas e pontuais;  Confirmação de que as pessoas que avaliaram as atividades de controle o fizeram de modo pontual e com a compreensão total e completa das implicações decorrentes desse tipo de confirmação;  Comprovação de que a documentação completa e precisa é mantida.
  93. 93. www.CompanyWeb.com.br 97 As ferramentas podem auxiliar em inúmeras tarefas, como desenho de controles, documentação de controles, análise e correção de falhas nos controles, aperfeiçoamento de divulgações, gerenciamento de riscos, documentação de revisões e assinaturas e fornecimento de relatórios administrativos aperfeiçoados.
  94. 94. www.CompanyWeb.com.br 98
  95. 95. www.CompanyWeb.com.br 99 Embora os Controles Internos possam ajudar a atenuar riscos, eles não os eliminam completamente. Controles Internos somente podem fornecer segurança razoável, mas não absoluta, de que os objetivos de uma companhia foram alcançados. Os Controles Internos são, afinal de contas, construídos por Processos que envolvem pessoas e, assim, estão sujeitos a todas as limitações pertinentes ao envolvimento humano. Os Controles Internos podem ser deliberadamente logrados por atos fraudulentos praticados por pessoas ou por conspirações entre funcionários. Esses controles podem ser inadvertidamente enfraquecidos por julgamento equivocado, negligência, distração ou outras falhas nos processos ou procedimentos. E também podem ser debilitados ou até mesmo eliminados por restrições de recursos. Os custos relativos e os benefícios dos Controles Internos devem ser continuamente reavaliados.
  96. 96. www.CompanyWeb.com.br 100 Relatórios Riscos Chaves e Inerentes do negócios Declarações financeiras Gestão Afirmações (Assertions management) Contas significantes Processos significantes O que pode dá de errado? Controles Avaliação/monitoramento Definir as contas relevantes e suas asserções: Exemplo: Determina-se junto à auditoria a materialidade em 3% do Lucro Líquido: a conta de estoques é selecionada e uma das 'assertions' desta conta é Valor Correto.
  97. 97. www.CompanyWeb.com.br 101
  98. 98. www.CompanyWeb.com.br 102 Os recentes escândalos no mundo dos negócios trouxeram à tona declarações de executivos que afirmavam “não ter conhecimento” das atividades duvidosas praticadas por suas companhias – participações não registradas nos livros, reconhecimentos de receitas impróprios, etc. A Lei Sarbanes-Oxley foi criada para desencorajar essas alegações através de várias medidas que intensificam as conferências internas e aumentam a responsabilidade dos executivos.
  99. 99. www.CompanyWeb.com.br 103 1. Controles internos são fundamentais para registrar de forma exata transações e a preparação de relatórios financeiros confiáveis. 2. As empresas necessitam realizar os objetivos dos relatórios financeiros para atender às obrigações externas. 3. Sem controles adequados para assegurar o registro adequado das transações, os dados financeiros resultantes poderiam tornar-se não confiáveis e comprometer a tomada de decisões pela Administração e, sobre tudo, afetar a credibilidade com acionistas, reguladores e o público.
  100. 100. www.CompanyWeb.com.br 104 De forma ainda mais notável, a Lei Sarbanes-Oxley privilegia o papel crítico do “Controle Interno”. 1. Eficácia e eficiência das operações; 2. Confiabilidade dos relatórios financeiros; 3. Cumprimento de leis e regulamentos aplicáveis. A Lei Sarbanes-Oxley torna Diretores Executivos e Diretores Financeiros explicitamente responsáveis por estabelecer, avaliar e monitorar a eficácia dos controles internos sobre relatórios financeiros e divulgações. A Lei Sarbanes-Oxley torna Diretores Executivos e Diretores Financeiros explicitamente responsáveis por estabelecer, avaliar e monitorar a eficácia dos controles internos sobre relatórios financeiros e divulgações. A definição de Controles Internos mais amplamente aceita foi desenvolvida pelo Committee of Sponsoring Organizations of the Treadway Commission – COSO: “... um processo, efetuado pelo Conselho de Administração, pela administração ou por outras pessoas da companhia, visa fornecer segurança razoável quanto à possibilidade de atingir objetivos nas seguintes categorias: A definição de Controles Internos mais amplamente aceita foi desenvolvida pelo Committee of Sponsoring Organizations of the Treadway Commission – COSO: “... um processo, efetuado pelo Conselho de Administração, pela administração ou por outras pessoas da companhia, visa fornecer segurança razoável quanto à possibilidade de atingir objetivos nas seguintes categorias:
  101. 101. www.CompanyWeb.com.br 105 A SEC propôs definir Controles Internos e Procedimentos para a emissão de relatórios financeiros como “controles relativos à preparação de demonstrações financeiras para fins externos que são apresentados de maneira apropriada e em conformidade com os princípios contábeis nacionais”.
  102. 102. Controles:  PREVENTIVO - Previnem o acontecimento de erros, fraudes, má-conduta ou irregularidades e minimizam os riscos na fonte. (Pró-ativo). (Maior eficácia)  DETECTIVO - Detectam erros, fraudes, má-conduta e irregularidades quando eles ocorrem, geralmente são difíceis de definir ou prever. (Reativo). Tipos de Controles:  AUTOMATIZADO - Controles executados por sistemas automatizados, não dependendo de julgamentos pessoais. Para garantir sua consistência, precisão e tempestividade, é preciso ter um sistema seguro e confiável. (Maior eficácia)  MANUAL - Controles manuais executados por pessoas. Periodicidade:  Deve ser atrelado a ocorrência do evento, a cada evento, diário, semanal, quinzenal, mensal, trimestral, semestral, anual. A periodicidade do controle deve ser compatível com a freqüência da incidência dos eventos de risco cobertos pelo controle.
  103. 103. www.CompanyWeb.com.br 107 Melhores Práticas na implantação de Sistema de Controle Interno: 1.Evite os controles manuais. Opte por controles automatizados; 2.Implemente os controles do tipo preventivo; 3.Definir a quantidade de controle adequado; 4.Evite o controle do controle; 5.Faça uma revisão de toda vez que o custo de um controle for maior que o benefício que ele traz; 6.Implemente o ciclo de melhoria continua nos controles.
  104. 104. www.CompanyWeb.com.br 108 Lista de Controle Interno: Alçadas:  Delimitação de atuação ou influência de gestor. Conciliação:  Comparação de informações de origens distintas, o foco identificar inconsistências. Normatização interna:  Estabelecimento formal de normas internas. Segregação de funções:  Separação de funções conflitantes ou funções que possam ter conflito de interesses . Validação:  Exame de procedimentos relacionados a algumas atividades com objetivo de validar as informações. Controle de Acesso:  Controle na entrada e saída de pessoas, equipamentos e produtos. Autorização:  Autorização formal para execução de uma operação ou uma atividade. Monitoramento:  Acompanhamento de processo, operação ou atividade de modo avaliar sua correta adequação com os objetivos.
  105. 105. www.CompanyWeb.com.br 109 Riscos Ausência de Controles Controles + Tolerância à Riscos Exposição a Riscos Inaceitáveis Riscos Controles + Tolerância à Riscos Controles em Excesso Exposição a Custos Excessivos Riscos Controles + Tolerância à Riscos Controles Adequados Controles Internos Eficientes O peso dos controles:
  106. 106. 110 • Deve assegurar a salvaguarda dos ativos e promover o desenvolvimento dos negócios útil • Apropriado ao tamanho da empresa e ao porte das operações, objetivo em relação ao que controlar e simples na sua aplicação prático • O benefício de se manter um controle deve ser maior que o seu custo (custo/benefício) econômico
  107. 107. www.CompanyWeb.com.br 111 Características de um Controle eficiente: Controle eficiente: O controle devem responder as seguintes questões: - Quem, quando, como e por que Evidencia (documentos probatórios) Quem fez o lançamento ? Em que data foi feito o lançamento ? Existem documentos (evidências) ? O por que do lançamento ? Como foi feito lançamento ?
  108. 108. 112 Benefícios de uma Estrutura de Controles Internos Consistente: Controle Interno Consistente:  Reduz potencial para fraudes  Conquista (ou reconquista) a confiança dos investidores  Observa leis e regulamentações  Reduz o risco de perda de recursos  Otimiza decisões de negócio com maior qualidade  Identifica operações ineficientes  Minimiza denúncias Controle Interno Inconsistente:  Aumenta a exposição a fraudes  Informações financeiras imprecisas  Publicidade desfavorável  Impacto negativo nos valores das ações  Sanções de órgãos de controle  Processos ou outras ações legais  Perda de ativos  Decisões de negócio sub-otimizadas  São descobertas através de Controles Internos (42%) ou, em menor escala, através de denúncias (28%) identificadas (de funcionários) ou de auditoria interna (21%)  São descobertas através de Controles Internos (42%) ou, em menor escala, através de denúncias (28%) identificadas (de funcionários) ou de auditoria interna (21%) Perfil das fraudes  Em geral, as fraudes descobertas1: Nota 1- Fonte: Relatório Enfoque, elaborado pela Ernest & Young
  109. 109. 113 Enfoque Tradicional • Foco nos controles. • Foco nos riscos. • Testes com base em programa de trabalho padrão. • Testes de todos os controles. • Testes com base no levantamento das informações. • Testes focalizados, somente dos controles que minimizam os riscos relevantes. Enfoque era SOX (Foco em Riscos) • Riscos avaliados com base na experiência do auditor. • Padronização do processo de avaliação de riscos. • Maior parte do tempo gasto em revisão e consolidação. • Maior parte do tempo gasto em levantamento e análise de informações.
  110. 110. www.CompanyWeb.com.br 114
  111. 111. 115 Não Identificação do Risco Ocorrência do evento Materialização do Risco Exposição ao Risco Identificação do Risco Análise/Avaliação do Risco Resposta ao Risco Risco Mitigado
  112. 112. www.CompanyWeb.com.br 116 Definição de Risco (segundo COSO):  A possibilidade de que um evento ocorra e afete desfavoravelmente a realização dos objetivos. Evento:  Incidente ou ocorrência, a partir de fontes internas ou externas a um entidade (uma organização ou empresa), capaz de afetar a realização dos objetivos. Oportunidade:  A possibilidade que um evento ocorrerá e afetará favoravelmente a realização dos objetivos Definição de Risco (segundo COSO):  A possibilidade de que um evento ocorra e afete desfavoravelmente a realização dos objetivos. Evento:  Incidente ou ocorrência, a partir de fontes internas ou externas a um entidade (uma organização ou empresa), capaz de afetar a realização dos objetivos. Oportunidade:  A possibilidade que um evento ocorrerá e afetará favoravelmente a realização dos objetivos
  113. 113. www.CompanyWeb.com.br 117 Infra-estrutura: Disponibilidade de bens Capacidade dos bens Acesso ao capital Complexidade Pessoal: Capacidade dos empregados Atividade fraudulenta Saúde e segurança Processo: Capacidade Design Execução Dependências / fornecedores Tecnologia: Integridade de dados Disponibilidade de dados Disponibilidade de sistemas Seleção de sistemas Desenvolvimento Alocação Manutenção EventosInternos Econômicos: Disponibilidade de capital Emissões de crédito, inadimplência Concentração Liquidez Mercados financeiros Desemprego Concorrência Fusões / aquisições Meio Ambiente: Emissões e dejetos Energia Desastres naturais Desenvolvimento sustentável Políticos: Mudanças de governo Legislação Política pública Regulamentos Sociais: Características demográficas Comportamento do consumidor Privacidade Terrorismo Tecnológicos: Interrupções Comércio eletrônico Dados externos Tecnologias emergentes EventosExternos Categorias dos Eventos:
  114. 114. 118 118 Tipos de Riscos: Risco de mercado: O Risco de Mercado é de fácil entendimento pois está relacionado com a variação do valor dos ativos (bens, serviços, índices, commodities). É o risco de ganhar ou perder quantia financeiros pela simples mudança dos preços dos ativos no mercado financeiro. Por exemplo: Considere que uma pessoa (um investidor) que comprou 1000 ações preferenciais da Petrobrás ao preço unitário de R$ 75,00 desembolsando R$ 75.000,00. Quanto esta carteira valerá ao final do dia de amanhã, decorrente das alterações no valor desta ação ? Como o valor dos ativos negociados é determinado pelo mercado, a incerteza em relação ao valor futuro do ativo (cuja oscilação pode representar perdas ou ganhos) é o que caracteriza então o Risco de Mercado . Risco de crédito: Risco de crédito se refere a uma possível incapacidade da instituição financeira, responsável pela emissão de ativos financeiros usados em investimentos, de honrar seus compromissos financeiros assumidos com os investidores. Essa situação pode ser causada por problemas financeiros oriundos de uma má administração ou gestão, dificuldades com planos econômicos, etc. Risco Legal/Compliance Fraquezas à mostra1 Ao cumprir a seção 404 da Lei Sarbanes-Oxley, Telemar e Copel revelam fragilidades nos controles de seus balanços. Nota:1 Revista Capital Aberto edição 48
  115. 115. www.CompanyWeb.com.br 119 Definição de Risco Operacional (segundo Jorion, 1998): São perdas potenciais resultantes de sistemas inadequados, má administração, controles defeituosos ou falha humana, a qual inclui o risco de execução, correspondente a situações em que as operações não são executadas, resultando em atrasos ou penalidades; o risco de execução relaciona-se a qualquer problema nas operações de back-office, relativas ao registro de transações e reconciliações de operações. Também incluem fraude e a necessidade de proteger os sistemas contra acesso não autorizado e violações. Exemplos: Falhas de sistemas, prejuízos decorrente de desastre naturais ou acidentes Definição de Risco Operacional (segundo Chouhy, 1998): É o risco de eventos externos, ou deficiências de controles internos e sistema de informação, resultarem em perdas, estando associado ao erro humanos, falhas em sistemas e procedimentos e controles inadequados. Risco Operacional (RO): Risco Operacional é o risco associado à operação de uma empresa. Exemplo de Risco Operacional (classes ou sub-tipos): - Risco de reputação; - Risco de Liquidação; - Risco Humano; - Risco de Controle Interno Inadequado ou falto de controle; - Risco Tecnologia Inadequada ou Insuficiente; - Risco Sistêmico; - Risco de Imagem; - Risco de Fraude.
  116. 116. www.CompanyWeb.com.br 120 Risco é determinado pela intencionalidade Risco é constante Oportunidades são perseguidas impulsivamente Oportunidades são quantificadas em termos de risco e retorno Somente a Auditoria é responsável Alta gestão (CEO) são os principais responsáveis Controles precisam focalizar riscos financeiros e resultados somente Controles precisam focalizar riscos do negócio de todo tipo Foco nas ações corretivas Foco nas ações preventivas As pessoas são as fontes primárias de risco Os processos são a fonte primárias de riscos. DE PARA Velho Paradigma Novo Paradigma
  117. 117. www.CompanyWeb.com.br 121 DE PARA Monitoramento de Risco é função dos auditores internos Monitoramento de risco é atividade do CEO Risco é um fator negativo a ser controlado Risco é uma oportunidade Os risco são gerenciados separadamente O gerenciamento de risco é integrado e corporativo Responsabilidade pelo gestão de risco é delegada a níveis inferiores Gestão de risco é responsabilidade de um gerente de linha sênior Mensuração do risco é subjetiva Risco é quantificado Funções de gerenciamento de riscos são desestruturadas e divergentes Gestão de riscos é construído dentro do sistema de gerenciamento corporativo Velho Paradigma Novo Paradigma
  118. 118. De velhos Paradigmas Para novos Paradigmas Avaliação de riscos é eventual Avaliação de riscos é uma atividade continua Auditoria interna é responsável por verificar controles e riscos Todos devem aplicar o gerenciamento de riscos O gerenciamento de riscos é departamental Avaliação e controle de riscos possuem metodologia corporativa Controles com foco em riscos financeiros Controles com foco em garantir a sustentabilidade do negócio Inspecionar, detectar e reagir aos riscos Monitorar controles em um processo contínuo www.CompanyWeb.com.br 122
  119. 119. www.CompanyWeb.com.br 123 Definição: Gerenciamento de Risco é um processo sistemático que tem como objetivo identificação, análise, resposta (plano de ação), comunicação, monitoramento de riscos.
  120. 120. 124 Identificar o risco Comunicar o risco Analisar o risco responder o risco ? (Resposta) Elaborar Plano de Ação Implementar Plano de Ação Monitorar Macro fluxo das atividades: Monitoramento contínuo ? fim inicio sim não sim não
  121. 121. www.CompanyWeb.com.br 125
  122. 122. 126 Em 1985 foi criada, nos Estados Unidos, a National Commission on Fraudulent Financial Reporting (Comissão Nacional sobre Fraudes em Relatórios Financeiros), uma iniciativa independente, para estudar as causas da ocorrência de fraudes em relatórios financeiros/contábeis. Esta comissão era composta por representantes das principais associações de classe de profissionais ligados à área financeira. Seu primeiro objeto de estudo foram os controles internos. Em 1992, publicaram o trabalho "Internal Control - Integrated Framework”. Esta publicação tornou-se referência mundial para o estudo e aplicação dos controles internos. Posteriormente a Comissão transformou-se em Comitê, que passou a ser conhecido como COSO – The Comitee of Sponsoring Organizations of the Tradeway Commission. O COSO é uma entidade sem fins lucrativos, dedicada à melhoria dos relatórios financeiros através da ética, efetividade dos controles internos e governança corporativa. O Comitê trabalha com independência, em relação a suas entidades patrocinadoras. Seus integrantes são representantes da industria, dos contadores, das empresas de investimento e da Bolsa de Valores de Nova York. O primeiro presidente foi James C. Tradeway, de onde originou o nome “Tradeway Commission”.
  123. 123. 127 Categoria de Objetivos Componentes
  124. 124. 128 Categoria de Objetivos Componente s Com base na missão estabelecida, a administração planeja seus principais objetivos, seleciona estratégias e estabelece outros planos a serem adotados por toda a organização, alinhados com a estratégia e a ela vinculados. Há uma estrutura que estabelece quatro categorias de objetivos para a organização: Com base na missão estabelecida, a administração planeja seus principais objetivos, seleciona estratégias e estabelece outros planos a serem adotados por toda a organização, alinhados com a estratégia e a ela vinculados. Há uma estrutura que estabelece quatro categorias de objetivos para a organização:
  125. 125. 129 Quatro categorias de objetivos para a organização:  Estratégicos: referem-se as metas no nível mais elevado. Alinham-se e fornecem apoio à missão da organização;  Operações: tem como meta a utilização eficaz e eficiente dos recursos;  Comunicação: relacionados à confiabilidade dos relatórios;  Conformidade: fundamentam-se no cumprimento das leis e regulamentos pertinentes.
  126. 126. 130 O gerenciamento de riscos corporativos é constituído de oito componentes inter-relacionados, que se originam com base na maneira como a administração gerencia a organização e que se integram ao processo de gestão, são eles: O gerenciamento de riscos corporativos é constituído de oito componentes inter-relacionados, que se originam com base na maneira como a administração gerencia a organização e que se integram ao processo de gestão, são eles: Categoria de Objetivos Componente s
  127. 127. 131 Ambiente Interno: a administração estabelece uma filosofia quanto ao tratamento de riscos e estabelece um limite de apetite a risco. Abrange o tom da organização, a base para como o risco é visto e dirigido por uma entidade, incluindo a filosofia do risco e da gerência de risco, a integridade, os valores éticos e o ambiente em que se operam. Fixação de Objetivos: os objetivos devem existir antes que a administração identifique as situações em potencial que poderão afetar a realização destes. Os objetivos devem estar predefinidos, cabendo à gerência identificar os eventos potenciais que afetam sua realização. A gerência de risco da empresa assegura o processo para ajustar-se aos objetivos e aqueles objetivos escolhidos devem suportar e alinharem-se com a missão da entidade, de maneira consistente com sua predisposição ao risco. Identificação de Eventos: os eventos em potencial que podem impactar a organização devem ser identificados, gerados por fontes internas ou externas, afetam a realização dos objetivos. Avaliação de Risco: os riscos identificados são analisados com a finalidade de determinar a forma como serão administrados e, depois, serão associados aos objetivos que podem influenciar. Os riscos são analisados, considerando a probabilidade e o impacto, como uma base para determinar como devem ser controlados. Os riscos inerentes são avaliados em uma base residual. Resposta a Risco: a equipe identifica e avalia as possíveis respostas aos riscos: evitar, aceitar, reduzir ou compartilhar. A gerência seleciona respostas aos riscos – evitando, aceitando, reduzindo ou compartilhando o risco, desenvolvendo um conjunto de ações para alinhar riscos com as tolerâncias do risco da entidade e sua predisposição ao risco. Atividades de Controle: políticas e procedimentos são estabelecidos e implementados para assegurar que as respostas aos riscos selecionados pela administração sejam executadas com eficácia. Informações e Comunicações: a forma e o prazo em que as informações relevantes são identificadas, colhidas e comunicadas permitam com que as pessoas cumpram com suas atribuições. A informação relevante é identificada, capturada e comunicada em um formulário ou outro meio que permitam pessoas de realizar a sua responsabilidade. Monitoramento: a integridade do processo de gerenciamento de riscos corporativos é monitorada e as modificações necessárias que são realizadas. Todos os riscos são identificados e monitorados.
  128. 128. www.CompanyWeb.com.br 132
  129. 129. www.CompanyWeb.com.br 133
  130. 130. Fonte www.erm.coso.org 7. Determinar Fraqueza Material Fraqueza significante Fraqueza material Remediação 1. Plano & Escopo • Processos Relatório Financeiro • Sistemas de apoio 2. Avaliação de Riscos • Probabilidade & Impacto nos negócios 3. Identificação de Controles Significativos • Controles para registro, processamento e relatório • Controle geral da TI 5. Desenho da Avaliação do Controle • Mitigação dos riscos para nível aceitável 8. Resultados dos documentos • Coordenação com auditores • De acordo - Interno (302, 404) • De acordo - Auditoria Independente 9. Construção da sustentabilidade • Avaliação interna • Avaliação externa 4. Controles dos documentos • Manuais das políticas • Procedimentos • Fluxo dos Processos 6. Avaliação da Efetividade Operacional • Auditoria interna • Auto-avaliação
  131. 131. Fonte: http://www.gellerco.com/ Resultado sumarizado teste Estabelecer Escopo Identificar Processos de Negócios Documentação Processo Desenho Plano de Testes Revisão Políticas & Procedimentos Estabelecer Escopo Identificar Objetivos de Controles Significativos Avaliação de Riscos Controle Documentação Desenho Avaliação Planos Execução Testes Resultado Avaliação Endereçar deficiências Relatório final
  132. 132. Fonte: http://www.precipiogroup.com/services/sarbanes-oxley-and-other-regulatory-compliance/sox-timeline Gerenciamento Projeto Planejamento Avaliação de Risco & Escopo Documentação Processo & Walkthrough Definição Controle Chave & Gap Analysis Desenho remediação Gap Plano Teste & Desenvolvimen to Programa Auditoria Teste Efetividade Controle Chave Remediação Teste Avaliação remanescente coordenação com auditor externo
  133. 133. 137 Suporte para Gerenciamento do ProjetoSuporte para Gerenciamento do Projeto Iniciar Projeto e Avaliação de Risco Iniciar Projeto e Avaliação de Risco Documentar e Avaliar o Desenho do Controle Documentar e Avaliar o Desenho do Controle Preparar Relatório de Controles Internos Sobre os Relatórios Financeiros Preparar Relatório de Controles Internos Sobre os Relatórios Financeiros CorreçãoCorreção Teste a Eficácia Operacional Teste a Eficácia Operacional Auditar e Reportar Auditar e Reportar Administração Auditor Melhoria ContínuaMelhoria Contínua • Equipe do Projeto • Treinamento • Definir escopo: • Itens das Demonstrações financeiras e não-financeiras • Ciclos • Unidades de Negócio • Plano de Comunicação • Documentação Padrão e Modelo • Relatórios de Exceção manuais • Inventário da documentação existente • Avaliar “desenho de controles” – análise de intervalos (gap) • Execute um plano para corrigir esforços • Documentação Padrão e Modelo • Requisitos para documentação de testes (ex., quem, o que, onde, quando, com que freqüência) • Tamanho de amostras para testes • Identificação e solução manual das exceções • Identificação dos controles chave • Determine o tipo da avaliação a ser realizada (indagação, exame, observação e/ou re-execução) • Baseado no desenho e avaliação da eficácia, documente as afirmações sobre o reporte financeiro • Revise a documentação suporte 404 do cliente para reporte da administração acerca do controle interno sobre os relatórios financeiros • Desenhe testes para os procedimentos de controle chave do cliente • Execute teste e avaliação dos resultados
  134. 134. www.CompanyWeb.com.br 138
  135. 135. Fonte: http://tp2.teamproject.com.br/tp2/projects/sox/documents
  136. 136. www.CompanyWeb.com.br 140
  137. 137. www.CompanyWeb.com.br 141 Serviços de TI Banco de Dados Sistema Operacional Rede Aplicações ERP BI Outras Processos Processo A Processo B Processo C Declarações Financeiras Balanço Demonstrativo de resultado Demonstrativo do Fluxo de Caixa Controles: Para atender o SOX, a TI deverá atuar da seguinte forma: Estabelecer controle para o ambiente geral de TI que abrangem: - Desenvolvimento; - Mudanças; - Operações e - Controle de Acesso. Seção 404: Controle Internos A Gestão deve ter responsabilidade em estabelecer, manter e analisar a estrutura dos controle internos e fazer avaliação de eficiência dos processos TIUnidadedeNegócio
  138. 138. www.CompanyWeb.com.br 142 Para atender o SOX, a TI deverá atuar da seguinte forma: Processos de negócios críticos (contas significativos de balanço). Mapear as aplicações que suportam as informações financeiras e respectivos controles; Identificar os riscos de TI relacionados as aplicações; Implantar e monitorar controles que mitiguem os riscos; Documentar e testar os controles de TI; Assegurar que os controles de TI sejam atualizados e adequados para suportar as mudanças nos controles internos.
  139. 139. www.CompanyWeb.com.br 143 Mapeamento dos controles do PCAOB e o Cobit, atrelados aos processos de TI.
  140. 140. www.CompanyWeb.com.br 144 Processo Cobit Processo TI / Objetivo de Controle para SOX Comentários AI2 Aquisição e manutenção de sistemas aplicativos (software) Prover funções automatizadas que efetivamente suportem o negócio AI3 Aquisição e manutenção de tecnologia de infra-estrutura Fornecer plataformas apropriadas para sustentar os aplicativos de negócios P04 Definição da organização de TI e relacionamentos A adequada entrega dos serviços de TI é permitida por uma empresa que tem papéis definidos e comunicados, responsáveis identificados (em número e habilidades), e por estar alinhada com o negócio, facilita a implementação das estratégias, e fornece controles adequados AI7 Instalação e homologação de soluções e mudanças Os novos sistemas precisam entrar em operação depois de concluído o processo de desenvolvimento. Isso exige os devidos testes em um ambiente apropriado com informações relevantes sobre os testes, definição do processo de implementação e instruções específicas sobre migração, planejamento de novas versões, encaminhamento para a produção e revisão pós-implementação para garantir sistemas operacionais alinhados com as expectativas acordadas e resultados desejados AI6 Gerenciar Mudanças Tem por objetivo minimizar a probabilidade de ocorrência de erros decorrentes das alterações efetuadas. Isto é habilitado pelo gerenciamento de sistemas que garantam a análise das implementações, revisão de todas as mudanças solicitadas, e acompanhamento da operação da infra-estrutura de TI DS1 Definir e Gerenciar Níveis de Serviço Estabelecer entendimento comum sobre os níveis de serviços requeridos pelo negócio e acordos específicos (Service Level Agreements - SLA´s) que formalizam os critérios de desempenho e os níveis de qualidade de serviços DS2 Gerenciar serviços de terceiros Assegurar que os papéis e responsabilidades dos prestadores de serviço estão definidos e aderentes aos requisitos de satisfação estabelecidos pela empresa. Isto é habilitado por procedimentos de controle direcionados a revisar e monitorar os acordos e procedimentos de adequação às políticas empresariais SOX Seção 404SOX Seção 404
  141. 141. www.CompanyWeb.com.br 145 SOX Seção 404SOX Seção 404 Processo Cobit Processo TI / Objetivo de Controle para SOX Comentários DS5 Garantir a Segurança dos Sistemas Garantir a salvaguarda das informações, divulgações, destruição, modificação, perda e uso não autorizado. A segurança é habilitada por controles para garantir que somente usuários autorizados obtenham acesso aos sistemas, programas e as informações classificadas como restritas DS9 Gerenciar a Configuração Garantir o controle sobre os componentes de TI, prevenir alterações não autorizadas, inventariar e fornecer base para a gestão de mudanças. Isto é habilitado por controles que identificam e registram os ativos de TI, sua localização física e programas de verificação regulares para confirmar a existência destes ativos DS8 Gerenciar Service Desk e Incidentes Assegurar que os problemas que afetam os usuários serão resolvidos adequadamente. Isto é habilitado pela existência de equipe e processo de Service Desk que suporta os usuários e fornece recomendações de soluções DS10 Gerenciar Problemas Garantir que os problemas e incidentes sejam resolvidos e que as causas investigadas sirvam para prevenir novas ocorrências. O sistema de gerenciamento de problemas deve classificar, registrar e avaliar todos os incidentes ocorridos DS11 Gerenciar Dados Assegurar que os dados permaneçam completos, internos e validos após sua entrada, armazenamento e processamento. Isto é permitido pela combinação eficácia entre os controles das aplicações e os controles gerais do ambiente de TI DS12 Gerenciar ambiente físico A área responsável pelo gerenciamento das instalações deve prover segurança para proteção dos equipamentos e profissionais de TI contra fatores humanos e ambientais DS13 Gerenciar operações Assegurar que as funções de suporte de TI são realizadas regularmente e de forma ordenada, com base na programação das atividades que devem ser registradas e atualizadas
  142. 142. www.CompanyWeb.com.br 146 Como Avaliar Deficiências da TI para SOX • ITGC - Controles Gerais de Tecnologia de Informação • Como Avaliar TI Controle Geral Deficiências para SOX Acesse a WIKI:
  143. 143. www.CompanyWeb.com.br 147
  144. 144. www.CompanyWeb.com.br 148
  145. 145. www.CompanyWeb.com.br 149
  146. 146. www.CompanyWeb.com.br 150 1) Descrição do processo adotado pela administração para identificar, classificar e avaliar riscos que possam impedir que a companhia alcance seus objetivos de emissão de relatórios financeiros; 1) Descrição do processo adotado pela administração para identificar, classificar e avaliar riscos que possam impedir que a companhia alcance seus objetivos de emissão de relatórios financeiros; 2) Descrição completa dos objetivos de controle criados pela administração para direcionar os riscos identificados e as respectivas atividades de controle; 3) Resultados e documentação-suporte da avaliação mais recente feita pela administração sobre a eficácia do desenho e das operações das atividades individuais de controle (observação: talvez não seja suficiente a mera confiança nas declarações de subordinados); 4) Relação de todas as deficiências encontradas no desenho e na implementação das atividades de controle, bem como os procedimentos propostos para sua correção; 5) Descrição do processo adotado para comunicar deficiências significativas e insuficiências materiais aos auditores independentes e ao Comitê de Auditoria; 6) Descrição dos procedimentos de monitoramento executados para assegurar que a estrutura de controles internos está operando conforme planejado e que os resultados dos procedimentos de monitoramento são revisados e executados; 7) Descrição do processo de criação da divulgação e das atividades de controle relacionadas.
  147. 147. www.CompanyWeb.com.br contato@CompanyWeb.com.br twitter.com/companyweb slideshare.net/companyweb facebook.com/companyweb Vídeos: Gestão & Governança http://bit.ly/eMR2Vt 151

×