2.8 METODOLOGIAS DE AVALIAÇÃO E IMPLANTAÇÃO DE CONTROLES
2.8.1 COSO
Com a intenção de alcançar os objetivos previstos pela Lei Sarbanes-Oxley, muitas
organizações estão construindo sua estrutura de controles internos segundo as recomendações
do Commitee of Sponsoring Organizations of the Treadway Commission (COSO). Embora
existam outras estruturas de controles internos, e a Sarbanes não traz explicitamente o COSO
como modelo, espera-se que ela se torne o modelo dominante.
Foi criada em 1985 inicialmente como National Commission on Fraudulent Financial
Reporting (Comissão Nacional sobre Fraudes em Relatórios Financeiros). Seu objetivo era
identificar o motivo de muitas demonstrações financeiras publicadas nos EUA com
informações fraudadas e desenvolver recomendações na tentativa de reduzir essa incidência.
Para formar a comissão as principais associações dos profissionais da área
contábil/financeira se uniram. São elas:
AICPA – American Institute of Certified Public Accounts (Instituto
Americano de Contadores Públicos)
AAA – American Accouting Association (Associação Americana de
Contadores)
FEI
– Financial Executives Internacional Executivos Financeiros
Internacional
IIA – The Institute of Internal Auditors (Instituto dos Auditores Internos)
IMA
– Institute of Management Accountants (Instituto dos Contadores
Gerenciais)
O trabalho do COSO é independente das instituições que o formam e sua metodologia
identifica os objetivos essenciais do negócio de uma organização, definindo o Controle
Interno e seus componentes, fornecendo critérios para avaliá-los.
a) Segundo o COSO, Controle Interno é um processo, que se torna efetivo através
das pessoas, as quais devem assegurar com razoável grau de segurança que os
seguintes objetivos fundamentais a qualquer negócio, serão atingidos.
Eficiência e efetividade operacional (objetivos de desempenho ou estratégia):
esta categoria está relacionada com os objetivos básicos da entidade, inclusive
com os objetivos e metas de desempenho e rentabilidade, bem como da
segurança e qualidade dos ativos;
b) Confiança nos registros contábeis/financeiros (objetivos de informação): todas
as transações devem ser registradas, todos os registros devem refletir
transações reais, consignadas pelos valores e enquadramentos corretos;
c) Conformidade (objetivos de conformidade) com leis e normativos aplicáveis à
entidade e sua área de atuação.
Para o COSO, a idéia principal de montar um controle interno é auxiliar a empresa
para que ela alcance seus objetivos, alertando que é responsabilidade de todos o cumprimento
dos controles internos. Porém deve ser do conhecimento dos envolvidos que o controle
interno oferece para a empresa uma garantia razoável e nunca uma garantia total de prevenção
aos riscos. Trata-se, na realidade, de um auxílio para a empresa e não garantia para o alcance
dos objetivos da organização.
O COSO fornecerá a base de discussão sobre a seleção de uma estrutura de controles
internos apropriada. Suas diretrizes não se referem explicitamente aos controles e
procedimentos de divulgação. Ao contrário, a estrutura descrita pelo COSO é mais
abrangente, incluindo tanto os controles e procedimentos de divulgação quanto os controles e
procedimentos internos para a emissão de relatórios financeiros.
A integração dos controles se baseia no uso de uma estrutura tridimensional (cubo do
COSO), cuja dimensão compreende os objetos de avaliação, as categorias de atividades de
controle e os componentes de controle. E que pode ser mais bem percebido na figura a seguir:
Figura 2 - Os cincos componentes essenciais da estrutura de um controle interno de acordo com o cubo COSO
Fonte: COSO Deloitte Guia para melhorar a Governança Corporativa (2003)
2.8.1.1 Ambiente de Controle (Control environment)
O profissional que irá aplicar o COSO como metodologia para avaliar o Controle
Interno deve considerar que o ambiente de controle representa a cultura da organização com
relação a evitar riscos e assimilar a prática de controles.
Qual o comportamento da administração e dos funcionários em relação aos controles,
o grau de aceitação e colaboração em relação aos métodos de prevenção aplicados pela
O processo que assegura que
informações relevantes são
identificadas e comunicadas
tempestivamente
Comunicações da Alta
Administração
Disponibilidade de informações e
sistemas
A avaliação dos fatores internos e
externos que têm impacto no
desempenho de uma organização
Gerenciamento de riscos de
negócio
Gerenciamento de riscos de
processo
Avaliação de riscos na
Auditoria Interna
Cultura de controle de uma organização.
Código de Ética
Políticas e procedimentos formais
Cultura de controles
Objetiva determinar se o
controle interno está
adequadamente desenhado e
monitorado
Análise Gerencial
Comitê de Divulgação
Auditorias Internas
As políticas e procedimentos
que ajudam a assegurar que as
ações identificadas para
gerenciar riscos são executadas
tempestivamente
Limites de autoridade
Aprovações
Segregação de funções
Reconciliações
Controles de tecnologia da
informação
empresa? Para Dijk (2004) o ambiente de controle estabelece o tom da organização
influenciando a percepção de controle de seu pessoal.
2.8.1.2 Avaliação e gerenciamento de risco (Risk Assessment)
As principais funções do controle interno estão relacionadas ao cumprimento dos
objetivos da entidade. Assim, a existência de objetivos e metas é condição básica para a
existência dos controles internos. Se a entidade não possuir objetivos e metas claras, é
inviável a implantação de controles internos.
Uma vez estabelecidos os objetivos, deve-se:
- identificar os riscos que ameacem o seu cumprimento; e
- tomar as ações necessárias para o gerenciamento dos riscos identificados.
Os controles devem ser focados em áreas de maior risco, como as áreas de
complexidade contábil, unidades com equipe menos experiente ou com alto índice de
rotatividade dos membros-chave e em áreas que requerem estimativas subjetivas. Os controles
também devem estar adequados à avaliação do risco, quando um controle não identificar um
possível erro nos ajustes ou divulgações das informações, devendo ser considerado como
ineficaz para a organização.
A avaliação de riscos é a identificação e análise dos riscos associados ao não
cumprimento das metas aos objetivos operacionais, aos de informações e aos de
conformidade. Esse conjunto forma a base para definir como esses riscos serão gerenciados.
Os administradores devem definir os níveis de riscos operacionais, de informação e de
conformidade que estão dispostos a assumir. A avaliação de riscos é uma responsabilidade da
administração, mas cabe à Auditoria Interna fazer uma avaliação própria dos riscos,
confrontando-a com a avaliação feita pelos administradores. A identificação e gerenciamento
dos riscos é uma ação pró-ativa, que permite evitar surpresas futuras desagradáveis para
empresas que os utilizam.
2.8.1.3 Controle de Atividades (Control activies)
São as atividades que, quando executadas a tempo e de maneira adequada, permitem a
redução ou administração dos riscos.
Podem ser consideradas de duas naturezas: atividades de prevenção ou de detecção.
Políticas, procedimentos e normatizações que irão garantir a boa realização do
tratamento do risco para que os objetivos da empresa sejam alcançados (COSO).
As principais atividades de controle, e suas respectivas naturezas são:
a) Alçadas (prevenção): limites determinados aos funcionários, quanto à
aprovação de valores ou assumir posições em nome da instituição.
b) Autorizações (prevenção): a administração determina as atividades e
transações que necessitam de aprovação de um supervisor para que sejam
efetivadas.
c) Conciliação (detecção): é a confrontação da mesma informação com dados
vindos de bases diferentes, adotando as ações corretivas, quando necessário.
d) Segurança Física (prevenção e detecção): os valores de uma entidade devem
ser protegidos contra uso, compra ou venda não-autorizados.
e) Segregação de Funções (prevenção): a segregação é essencial para a
efetividade dos controles internos. Ela reduz tanto o risco de erros humanos
quanto o risco de ações indesejadas.
2.8.1.4 Informação e comunicação
A comunicação é o fluxo de informações dentro de uma organização, devendo ocorrer
em todas as direções – dos níveis hierárquicos superiores aos inferiores “top down”, dos
inferiores aos superiores “down top” e, horizontalmente, entre níveis equivalentes.
Durante a auditoria, a verificação dos níveis hierárquicos leva a uma melhor análise da
sua forma de comunicação, pois uma hierarquia muito grande dificulta o processo de
comunicação.
Manter informadas todos os envolvidos nos processos é essencial para o bom
funcionamento dos controles. Informações sobre planos, ambiente de controle, riscos,
atividades de controle e desempenho devem ser transmitidas a toda a organização. Por outro
lado, as informações recebidas, independente da forma de comunicação, podendo ser ela, de
fontes externas ou internas, devem ser identificadas, capturadas, verificadas quanto à sua
confiabilidade e relevância, processadas e comunicadas às pessoas que as necessitam,
tempestivamente e de maneira adequada.
dos sistemas internos de comunicação – que podem variar desde complexos sistemas
computacionais a simples reuniões de equipes de trabalho – são importantes para obtenção
das informações necessárias ao acompanhamento dos objetivos operacionais, de informação e
de conformidade. O informal ocorre em conversas e encontros com clientes, fornecedores,
autoridades e empregados e é importante para obtenção das informações necessárias à
identificação de riscos e oportunidades.
2.8.1.5 Monitoração
A monitoração é a avaliação dos controles internos ao longo do tempo. É o melhor
indicador para saber se os controles internos estão sendo efetivos ou não. É feito tanto através
do acompanhamento contínuo das atividades quanto por avaliações eventuais, como auto-
avaliação, revisões e auditoria interna.
Sua função é verificar se os controles internos são adequados e efetivos. Controles
adequados são aqueles em que os cinco elementos do controle (ambiente, avaliação de riscos,
atividade de controle, informação & comunicação e monitoramento) estão presentes e
funcionando conforme planejado. Controles são eficientes quando a alta administração tem
uma razoável certeza do grau de atingimento dos objetivos operacionais propostos, de que as
informações fornecidas pelos relatórios e sistemas corporativos são confiáveis; e que as leis,
regulamentos e normas pertinentes estão sendo cumpridos.
2.8.1.6 Princípios COSO de Controle Interno
Dentro dos cinco componentes do COSO todos os princípios devem ser seguidos para
que os controles internos alcancem seus objetivos.
1- Integridade e Ética de valores
2- Importância do quadro de diretoria
3- Estilo e filosofia de operação da direção
4- Estrutura da Organização
5- Autoridade e responsabilidade
6- Recursos Humanos
7- Elementos do controle de atividades
9- Informação e tecnologia
10- Informação precisa
11- Controle de informação
12- Avaliação de risco e fraude
13- Diretoria de comunicação
14- Monitoração avançada
15- Diretoria e comitê de auditoria
16- Segregação (entre outros)
O COSO pode gerar valor para o gerenciamento da empresa como:
- Alinhamento do interesse por risco e estratégia
- Ligação do crescimento, risco e retorno.
- Melhoramento das decisões em relação à gestão de risco
- Minimização das surpresas e perdas operacionais
- Identificação e gerenciamento de riscos ao nível da organização
- Geração de respostas integradas para riscos múltiplos
- Absorção de oportunidades
- Racionalização do uso de capital.