Controles Internos

Uma abordagem da estrutura

conceitual COSO
Introduo

Segundo o American Institute of Certified Public

Accountants AICPA (1947), a importncia dos
controles internos relacionava-se a:
- Extenso, tamanho e complexidade das organizaes
- Necessidade de proteo contra fraquezas humanas
- Limitao da capacidade operacional da Auditoria
Independente
Introduo

Em 1987, a National Comission on

Fraudulent Financial Reporting registra em
seu relatrio que:
- A viso da administrao sobre controles
internos influencia o comportamento de toda a
organizao
- Os controles se impem s companhias abertas,
para minimizar a possibilidade de produo de
relatrios financeiros fraudulentos
 COSO
Committee of Sponsoring Organizations

O que ?

Comit das Organizaes Patrocinadoras, da

Comisso Nacional sobre Fraudes em Relatrios
Financeiros.

Objetivo

Visa o aperfeioamento da qualidade de relatrios

financeiros por meio de ticas profissionais,
implementao de controles internos e governana
corporativa.
Organizaes Patrocinadoras
 Controles Internos
Processo conduzido pela Diretoria, Conselhos ou outros
empregados de uma companhia, no intuito de fornecer
uma garantia razovel de que os objetivos da entidade
esto sendo alcanados, com relao s seguintes
categorias:

1 eficcia e eficincia das operaes;

2 confiabilidade dos relatrios financeiros; e

3 conformidade com a legislao e regulamentos

aplicveis.
 Limitaes do CI

ERROS DE JULGAMENTO: na tomada de decises

FALHAS: falta de cuidado, distrao ou cansao

CONLUIO: difcil deteco

CUSTO X BENEFCIO: custo no pode ser maior que o

benefcio

EVENTOS EXTERNOS: imprevisibilidade

 COSO

Controle Interno: um modelo integrado.

Em 1992 o Comittee of Sponsoring Organizations -

COSO prope um padro de entendimento,
avaliao e aperfeioamento de controles internos,
em cinco componentes:

1 Ambiente de Controle
2 Avaliao de Riscos
3 Atividades de Controle
4 Informaes e Comunicaes
5 Monitoramento.
CUBO DO COSO
 COMPONENTES DO COSO
Ambiente de Controle
D o ritmo da organizao, influenciando a conscincia
de controle das pessoas que nela trabalham. Base dos
demais componentes.
Avaliao de Riscos
Identificao e anlise dos riscos relevantes para a
consecuo dos objetivos.

Atividades de Controle
Polticas e procedimentos para assegurar que as diretrizes
sejam seguidas.

Informao e Comunicao
Identificao, captura e troca de informaes.

Monitoramento
Processo que avalia a qualidade do desempenho dos
controles internos.
Controles Internos e Gerenciamento de Riscos

11
O modelo COSO I tornou-se referncia mundial, por:

12
COSO I X COSO II
Estratgico

Atividades

13
COSO II Enterprise Risk Management Integrated
Framework (ERM)

14
COSO II 1 Dimenso
Objetivos

Objetivos

15
COSO II 2 Dimenso
Componentes da Metodologia
Componente
s

16
COSO II 2 Dimenso Componentes

17
COSO II 2 Dimenso Componentes

18
COSO II 2 Dimenso Componentes

19
COSO II 3 Dimenso Objetos de Controle

Objetos

20
COSO II 3 Dimenso
Objetos de Controle

21
COSO II Dimenses
(Traduo)

Objetivos

Objetos - Nveis da
organizao

Componentes

22
Componentes do COSO
 Ambiente de Controle
D o tom de uma organizao
Influencia a conscincia de controle das pessoas
Fornece disciplina e estrutura
Ambiente de controle - elementos
Integridade e valores ticos e Filosofia/estilo da
administrao: exemplo, comunicao, orientao
moral, padro de relacionamento com principais
executivos (formal/informal), grau de participao dos
funcionrios na elaborao de procedimentos
Comprometimento com competncia: meritocracia?
Qualidade e independncia das instncias de
governana (Conselho de Adm e Comit de Auditoria)
Estrutura Organizacional Autoridade x
Responsabilidade (grau de assimetria e accountability)
Prticas de RH (treinamentos, avaliao peridica de
desempenho, aes disciplinares)
 Como avaliar o Ambiente de controle
Existe cdigo formalizado de tica/conduta?
Se o funcionrio agir em desrespeito ao cdigo de
conduta, so tomadas medidas disciplinares e/ou
punitivas?
H mecanismos de participao dos servidores na
elaborao das regras de conduta?
As competncias e as atribuies esto adequadamente
previstas no Regimento Interno da organizao?
Os nveis individuais de autoridade, de responsabilidade e
de prestao de contas so claramente estabelecidos?
Existem procedimentos e/ou instrues de trabalho
padronizados?
As decises crticas so definidas no nvel hierrquico
adequado? O Regimento Interno trata adequadamente
essa questo?
 Como avaliar o Ambiente de controle
As pessoas so questionadas por comportamento
inapropriado, por aceitao excessiva de riscos ou por
serem excessivamente avessas ao risco?
Os funcionrios conhecem suas responsabilidades, a
funo de seus servios e o padro de conduta e tica a
serem seguidos?
So tomadas as aes corretivas devidas, quando o
funcionrio no age de acordo com os padres de conduta
e de comportamento esperados ou conforme as polticas e
procedimentos recomendados?
Na estrutura implantada foi observada uma adequada
segregao de funes, de forma a evitar funes
conflitantes exercidas por um mesmo setor ou por uma
mesma pessoa?
A dotao de pessoal suficiente, no comprometendo a
qualidade dos trabalhos?
 Como avaliar o Ambiente de controle
Os procedimentos e rotinas pertinentes execuo
da atividade auditada esto adequadamente
formalizados?
Os gestores, em particular, e os funcionrios, de uma
forma geral, possuem o necessrio conhecimento,
experincia e treinamento para cumprir suas
obrigaes?
A Poltica de Investimento est formalizada?
As normas contemplam aspectos de controle de
acesso a bens, a documentos, a informaes e a
registros, informatizados ou no?
Componentes do COSO
 Avaliao de Risco
Identificao, anlise e administrao dos riscos
relevantes
Em decorrncia de:
Alteraes operacionais
Rotatividade de pessoal
Atividades ou produtos novos
Reestruturaes corporativas
Novos Sistemas de Informaes
 Avaliao de Risco
Cada objetivo operacional, do nvel mais alto (como
dirigir uma companhia lucrativa) ao mais baixo
(como salvaguardar caixa), deve ser
documentado
Cada risco que possa prejudicar ou impedir o
alcance do objetivo identificado e priorizado
 Avaliao de Risco
a identificao e anlise dos riscos relevantes
para o alcance dos objetivos e metas da
entidade, com vistas a dar a resposta
apropriada.

Risco: evento futuro e incerto que, caso ocorra,

pode impactar negativamente o alcance dos
objetivos da organizao.

Os riscos so analisados e mensurados

considerando-se a sua probabilidade e o
impacto como base para determinar o modo
pelo qual devero ser geridos.
 Avaliao de Risco
Identificar riscos de negcio relevantes para os
objetivos da organizao

Estimar a significncia dos riscos

Avaliar a probabilidade de sua ocorrncia

Decidir sobre aes em resposta a esses riscos

 Resposta a Riscos

Evitar Suspenso das atividades.

Adoo de procedimentos de
controle para minimizar a
Reduzir
probabilidade e/ou o impacto do
risco.

Reduo da probabilidade ou do
Compartilhar
impacto.

Aceitar No adotar medidas mitigadoras.

 Resposta a Riscos

Alto Impacto / Alto Impacto /

Baixa Probabilidade Alta Probabilidade
Compartilhar Evitar
Compartilhar
Reduzir

Baixo Impacto / Baixo Impacto /

Baixa Probabilidade Alta Probabilidade
Aceitar Reduzir

Probabilidade
Tolerncia a riscos
Alta
tolerncia
a riscos

Baixa
tolerncia
a riscos

Objetivo

Apetite a risco: quantidade de risco que a organizao

est disposta a aceitar na busca de sua misso\viso
Como avaliar o processo de Avaliao de Riscos?
Os objetivos centrais so claramente estabelecidos e
comunicados aos responsveis por esses objetivos?
Os objetivos contemplam os aspectos de efetividade e
de eficincias das operaes, de confiabilidade nos
relatrios financeiros e/ou gerenciais e de conformidade
em relao s leis e normativos aplicveis?
Os objetivos da atividade esto ligados aos objetivos da
organizao e aos planos estratgicos?
Os objetivos e os riscos da atividade so revisados
periodicamente para garantir sua permanente
relevncia?
Existem mecanismos para prever, para identificar e para
reagir a eventos que possam afetar o alcance dos
objetivos?
Como avaliar o processo de Avaliao de Riscos?
Os riscos e as oportunidades so tratados em nvel
suficientemente alto na organizao, de modo a que
suas implicaes sejam integralmente identificadas e
planos de ao sejam formulados e cumpridos?
As decises de resposta ao risco so tomadas por quem
tem competncia para tal e, quando pertinente, so
formalizadas?
O risco residual assumido compatvel com os
parmetros institucionais?
Os indicadores de desempenho importantes para o
alcance dos objetivos so identificados e monitorados?
A evoluo dos indicadores de desempenho
acompanhada pelo diretor da rea, por meio de
relatrios especficos?
Componentes do COSO
 Atividades de Controle
Atividades que, quando executadas a tempo e
maneira adequados, permitem a reduo ou
administrao dos riscos.
 Atividades de Controle
So as polticas e procedimentos que contribuem para
assegurar se:

os objetivos esto sendo alcanados;

as diretrizes administrativas esto sendo
cumpridas;
esto sendo realizadas as aes necessrias para
gerenciar os riscos com vistas consecuo dos
objetvos da entidade.

Se estabelecidas de forma tempestiva e adequada,

podem vir a prevenir ou administrar os riscos inerentes
ou em potencial da entidade. No so exclusividade de
determinada rea da organizao, sendo realizadas em
todos os nveis.
 Atividades de Controle - preveno

Aladas: so os limites determinados a um funcionrio,

quanto a possibilidade deste aprovar valores ou assumir
posies em nome da instituio.
Autorizaes: a administrao determina as atividades e
transaes que necessitam de aprovao de um supervisor
para que sejam efetivadas.
Normatizao Interna: a definio, de maneira formal,
das regras internas necessrias ao funcionamento da
entidade. As normas devem ser de fcil acesso para os
funcionrios da organizao, e devem definir
responsabilidades, polticas corporativas, fluxos
operacionais, funes e procedimentos
Atividades de Controle - preveno
Segregao de funes
H a possibilidade de que um indivduo cometa um
erro ou fraude e esteja em posio que lhe permita
escond-lo?
Comparao da obrigao contabilizada com os ativos
existentes
Separao entre custdia e contabilizao reduz o
risco pois no h como eliminar o registro do ativo
Separao de pagamentos e conciliao bancria
reduz risco de que pgto com cheque no sejam
contabilizados
Separao de aprovao de crdito e realizao de
vendas reduz risco de atingimento de metas
podres
Atividade de Controle Segregao de
Funes
Execuo

Registro Custdia de Ativos

Comparao peridica entre responsabilidade

contabilizada e ativos existentes
 Atividades de Controle - deteco

Conciliao: a confrontao da mesma informao com

dados vindos de bases diferentes, adotando as aes
corretivas, quando necessrio.
Revises de Desempenho: Acompanhamento de uma
atividade ou processo, para avaliao de sua adequao
e/ou desempenho, em relao s metas, aos objetivos
traados e aos benchmarks, assim como acompanhamento
contnuo do mercado financeiro (no caso de bancos), de
forma a antecipar mudanas que possam impactar
negativamente a entidade.
 Atividades de Controle preveno e
deteco
Segurana Fsica: proteo do patrimnio e das
informaes contra uso, compra ou venda no-autorizados,
por meio de controle de acessos, controle da entrada e
sada de funcionrios e materiais, senhas para arquivos
eletrnicos, call-back para acessos remotos, criptografia e
outros.
Sistemas Informatizados:
controles gerais: aquisio, desenvolvimento e
manuteno de programas e sistemas. Exemplos:
organizao e manuteno dos arquivos de back-up,
arquivo de log do sistema, plano de contingncia;
controles de aplicativos: garantem a integridade e
veracidade dos dados e transaes.
 Como avaliar os procedimentos de controle?
Para cada um dos riscos identificados, a administrao
implementou mecanismos de controle que minimizem a
probabilidade de os objetivos da atividade no ser
alcanados?
As atividades de controle so implementadas de
maneira ponderada, consciente e consistente,
considerando, entre outras questes, a relao
custo/benefcio do controle?
Para a definio dos controles a serem implementados
a administrao utiliza algum tipo de benchmark de
boas prticas que possam ser aplicados?
A administrao dispe de instrumentos que permitam
se certificar de que as atividades de controle so
adequadas?
 Como avaliar os procedimentos de controle?
So adotados controles de preveno e de deteco
para garantir que as operaes realizadas sejam
adequadamente iniciadas, autorizadas, registradas,
processadas e divulgadas?
Esto previstas rotinas de conformidade, de conferncia
e de conciliao que garantam a fidedignidade dos
registros contbeis?
As informaes sigilosas, eventualmente tratadas no
mbito da atividade sob exame, tm recebido o
tratamento previsto na poltica de segurana da
instituio?
 Como avaliar os procedimentos de controle?
So adotadas providncias para garantir que na
realizao de procedimentos conflitantes seja observado
o princpio da segregao de funes?
H polticas e procedimentos para assegurar que
decises crticas sejam tomadas com aprovao
adequada (nvel hierrquico)?
Para processos crticos existem planos de continuidade
institudos?
A organizao instituiu mecanismo para
acompanhamento contnuo dos indicadores de
desempenho?
Componentes do COSO
 Informaes e Comunicao

As informaes so documentadas e de
qualidade
As informaes so oportunas e precisas
A comunicao ocorre em todos os nveis da
organizao
 Como avaliar o processo de Informaes e
Comunicao
O rgo consegue as informaes de que necessita de
maneira prtica e tempestiva?
O rgo tem conseguido obter as informaes
importantes para avaliao dos riscos internos e
externos?
O rgo tem conseguido obter informaes que lhe
permitem saber se os objetivos operacionais, de
informao e conformidade esto sendo atingidos?
O rgo identifica, captura, processa e comunica as
informaes necessrias a seus clientes e fornecedores
em tempo hbil e de maneira prtica?
 Como avaliar o processo de Informaes e
Comunicao
Todos os funcionrios recebem informaes quanto s
suas tarefas e como elas impactam outros funcionrios da
prpria ou de outras unidades da organizao?
H polticas e procedimentos para assegurar que as
informaes sejam fornecidas tempestivamente, de modo
a permitir o efetivo monitoramento dos eventos e
atividades?
A organizao conta com uma estrutura organizacional e
de suporte tecnolgico que garanta o processamento de
dados e a elaborao de informaes gerenciais de forma
confivel e tempestiva?
 Como avaliar o processo de Informaes e
Comunicao
Os sistemas de informtica so seguros e confiveis,
contemplando aspectos como: segurana no
acesso/identificao; crtica na entrada de dados;
procedimentos de backup; e planos de contingncia para
questes chave?
A organizao produz e/ou recebe, tempestivamente,
informaes sobre desempenho?
A organizao identifica, captura, processa e comunica as
informaes necessrias ao diretor da rea, aos demais
componentes administrativos e aos participantes de forma
geral em tempo hbil e de maneira prtica?
Os sistemas informatizados so periodicamente revisados,
atualizados e validados, no sentido de garantir a produo
de informaes adequadas e confiveis?
Componentes do COSO
 Monitoramento

Os controles internos so avaliados

Os controles internos tm
contribudo para o resultado?
 Monitoramento
Avaliao da qualidade do desempenho dos
controles internos ao longo do tempo (arquitetura,
prontido e aes corretivas)
Inputs: reclamaes de clientes, fornecedores e
gerentes
Superviso dos controles internos pela
administrao, pelos funcionrios ou pelas partes
externas
Avaliaes peridicas pela auditoria interna
Informaes de rgos de controle, agncias
reguladoras, auditorias externas, rgos de
superviso bancria.
 Como avaliar o processo de monitoramento?
A performance medida e monitorada numa base
regular em comparao aos objetivos da atividade?
A administrao instituiu a divulgao de relatrios de
exceo, para acompanhar as situaes que se
configurem como fora dos padres?
A abrangncia e a qualidade dos relatrios peridicos
de acompanhamento do controle interno da rea de
operaes so adequadas em relao aos seus
propsitos?
As deficincias de controle interno identificadas so
reportadas tempestivamente ao nvel gerencial
apropriado ou alta administrao e adequadamente
tratadas?
 Uma anlise a partir dos componentes COSO
Ambiente de Controle:
firma de natureza familiar;
filhos e sobrinhos do fundador (que o
presidente da empresa) so diretores;
contrataes realizadas a partir de indicaes de
parentes e amigos;
no h aes de desenvolvimento de pessoas;
funcionrios que no tm relao de parentesco
mantm seus cargos gerenciais a partir da
manifestao de lealdade inequvoca ao
respectivo diretor, trabalhando at 12 horas por
dia.
Uma anlise a partir dos componentes COSO
Avaliao de risco:
um dos diretores scio de uma empresa que uma das
principais compradoras da firma;
os limites de crdito concedidos aos clientes so
deferidos de forma centralizada pelo Presidente da firma;
a empresa escreveu seu planejamento estratgico h 4
anos e neste perodo no foi realizada reviso dos
objetivos estratgicos;
houve uma elevao da inadimplncia nos ltimos meses
e a firma teve que tomar emprstimo bancrio para
honrar folha de pagamento;
apesar do clima de recesso mundial, a rea de vendas
tem feito enorme presso por aumento nas receitas.
 Uma anlise a partir dos componentes COSO
Atividade de Controle:
a fim de garantir melhores resultados, a firma
contratou um diretor no mercado, que passou a
responder pela aprovao do crdito e gerenciamento
das vendas;
esto em fase de manualizao as rotinas relativas
realizao de compras pela firma;
em funo da contratao do novo Diretor Executivo,
foi necessrio dispensar o gerente de patrimnio. O
controle de itens patrimoniais passou a ser realizado
pelo Contador.
 Uma anlise a partir dos componentes COSO
Informao e Comunicao:
o Presidente rene-se informalmente com diretores
por ele escolhidos, a cada semana;
somente os gerentes utilizam correio eletrnico;
ainda no foi implantada sistemtica de avaliao de
desempenho dos funcionrios;
as informaes so centralizadas na Diretoria.
Uma anlise a partir dos componentes COSO

Monitoramento:
No h uma unidade de auditoria interna
como h um clima de competio, os gerentes
manipulam as informaes sobre resultados atingidos
em cada uma de suas reas;
os diretores no supervisionam as atividades de
controle dos gerentes a eles vinculados;
aes corretivas somente so aplicadas quando h
suspeita de fraude ou dolo, com a demisso sumria.