COSO. Comitê das Organizações Patrocinadoras, da Comissão Nacional sobre Fraudes em Relatórios Financeiros.

(1)

COSO

(2)

O que é?

Comitê das Organizações Patrocinadoras, da Comissão Nacional sobre Fraudes em Relatórios Financeiros.

Objetivo

Visa o aperfeiçoamento da qualidade de relatórios financeiros por meio de éticas profissionais, implementação de controles internos e governança corporativa.

COSO

(3)

Processo conduzido pela estrutura de governança, administração e outros profissionais da entidade, e desenvolvido para proporcionar segurança razoável com respeito à realização dos objetivos relacionados a operações, divulgação e conformidade.

Objetivos:

Operacional: eficácia e eficiência das operações da entidade.

Divulgação: divulgações financeiras e não financeiras.

Conformidade: cumprimento de leis e regulamentações.

COSO

(4)

COSO

(5)

Ambiente de Controle

Segundo o IIA, o Ambiente de Controle representa “as atitudes e ações do Conselho e da Administração em relação à importância dos controles dentro da organização, definindo o tom da organização”.

O ambiente de controle deve demonstrar o grau e comprometimento em todos os níveis da administração, com a qualidade do controle interno em seu conjunto.

COSO

(6)

Ambiente de Controle

É o principal componente e os fatores relacionados ao ambiente de controle incluem, dentre outros:

- integridade e valores éticos;

- competência das pessoas da entidade;

- estilo operacional da organização;

- aspectos relacionados com a gestão; e

- forma de atribuição da autoridade e responsabilidade.

COSO

(7)

Princípios

 A organização demonstra compromisso com a integridade e valores éticos.

 O Conselho demonstra independência da administração e fiscaliza o desenvolvimento e a performance do controle interno.

 A administração estabelece, em conjunto com o Conselho, estruturas, linhas de reporte e autoridades e responsabilidade apropriadas ao alcance dos objetivos.

 A organização demonstra comprometimento em atrair, desenvolver e reter indivíduos competentes em linha com os seus objetivos.

 A organização mantém indivíduos responsáveis pelo controle interno que assegurem o alcance dos objetivos.

COSO

(8)

Avaliação de Riscos

A organização deve estar consciente dos riscos relevantes que envolvem o negócio, bem como deve gerenciar esses riscos de forma que os objetivos estratégicos não venham a ser prejudicados. Assim, é pré requisito o estabelecimento, pela Organização, de objetivos estratégicos alinhados a sua Missão e Visão, para que ela opere de forma conjunta e organizada.

Podemos definir risco como evento futuro e incerto (ou seja, ainda não ocorreu, e nem há certeza de que irá ocorrer) que, caso ocorra, pode impactar negativamente o alcance dos objetivos da organização.

COSO

(9)

Princípios

 A organização especifica objetivos com suficiente clareza para possibilitar a identificação e avaliação dos riscos relacionados aos objetivos.

 A organização identifica os riscos ao alcance de seus objetivos e analisa os riscos, de forma a determinar como esses podem ser gerenciados.

 A organização considera o potencial de fraude na avaliação dos riscos ao alcance dos objetivos.

 A organização identifica e avalia alterações que podem impactar significativamente o sistema de controle interno.

COSO

(10)

Atividades de Controle

As Atividades de Controle geralmente estão expressas em politicas e procedimentos de controle, que devem ser estabelecidos e aplicados para auxiliar e assegurar que ações identificadas pela Administração, como necessárias para tratar os riscos relacionados ao cumprimento dos objetivos da Organização, sejam realizadas de forma eficaz.

As atividades de controle estão comumente voltadas para três categorias de riscos: de processo ou operacionais; de registros; e de conformidade.

Assim, as atividades de controle contribuem para assegurar que:

COSO

(11)

 os objetivos sejam alcançados;

 as diretrizes administrativas sejam cumpridas; e

 as ações necessárias para gerenciar os riscos com vistas à consecução dos objetivos da entidade estejam sendo implementadas.

As Atividades de Controle, se estabelecidas de forma tempestiva e adequada, podem vir a prevenir ou administrar os riscos inerentes ou em potencial da entidade. Não são exclusividade de determinada área da organização, sendo realizadas em todos os níveis.

COSO

(12)

São exemplos de tipologias de atividades de controle:

COSO

 Atribuição de autoridade e limites de alçada

 Revisões da Alta Administração

 Revisão de superiores  Normatização Interna

 Autorizações e Aprovações  Controles Físicos

 Segregação de Funções  Capacitação e Treinamento

 Verificações  Conciliações

 Indicadores de Desempenho  Revisão de Desempenho Operacional

 Programas de Contingência  Planos de Continuidade dos Negócios

(13)

Princípios

 A organização seleciona e desenvolve atividades de controle que contribuem para mitigar os riscos ao alcance dos objetivos a níveis aceitáveis.

 A organização seleciona e desenvolve atividades gerais de controle em relação à tecnologia que suporta o alcance dos objetivos.

 A organização implanta atividades de controle através de políticas que estabelecem o que é esperado e procedimentos que coloquem essas políticas em ação.

COSO

(14)

Informação e Comunicação

Abrangem informações e sistemas de comunicação, permitindo que as pessoas da Organização coletem e troquem informações necessárias para conduzir, gerenciar e controlar suas operações.

Importante que toda a informação relevante, relacionada aos objetivos – riscos - controles, sejam capturadas e comunicadas por toda a Organização.

A Organização também deve possuir mecanismos para coletar informações do ambiente externo que possam afetá-la, e deve transmitir externamente aquelas que sejam relevantes aos stakeholders, inclusive à sociedade, que, no caso das organizações públicas, pode ser considerada a principal parte interessada.

COSO

(15)

Informação e Comunicação

A comunicação deverá ser oportuna e adequada, além de abordar aspectos financeiros, econômicos, operacionais e estratégicos.

Deve ser entendida como um canal que movimenta as informações em todas as direções – dos superiores aos subordinados, e vice-versa – pois determinados assuntos são mais bem visualizados pelos integrantes dos níveis mais subordinados.

COSO

(16)

Princípios

 A organização obtém/gera e usa informações relevantes e de qualidade para suportar o funcionamento do controle interno.

 A organização comunica suas informações internamente, incluindo objetivos e responsabilidades para controle interno, necessárias para suportar o funcionamento do controle interno.

 A organização se comunica com partes externas sobre as questões que afetam o funcionamento do controle interno.

COSO

(17)

Monitoramento dos Controles

Compreende o acompanhamento da qualidade do controle interno, visando assegurar a sua adequação aos objetivos, ao ambiente, aos recursos e aos riscos. Pressupõe uma atividade desenvolvida ao longo do tempo.

O processo completo de riscos e controles deve ser monitorado e modificações devem ser feitas para o seu aprimoramento. Assim, a estrutura de controle interno pode “reagir” de forma dinâmica, ajustando-se conforme as condições o determinem.

COSO

(18)

O monitoramento pode ser realizado por meio de:

 Atividades contínuas;

 Avaliações independentes (por exemplo, auditorias internas e externas); e

 Auto avaliações.

As atividades contínuas são incorporadas as demais atividades normais da Organização e as avaliações independentes garantem a eficácia do gerenciamento dos riscos ao longo do tempo. Modernamente também são utilizadas as auto avaliações, processo que pode ter um grande auxilio dos auditores.

COSO

(19)

Diferentemente das Atividades de Controle, que são concebidas para dar cumprimento aos processos e políticas da Organização e visam tratar os riscos, as de monitoramento objetivam identificar fragilidades e possibilidades de melhorias.

COSO

(20)

Princípios

 A organização seleciona, desenvolve e realiza avaliações para assegurar se os componentes do controle interno estão presentes e funcionando.

 A organização avalia e comunica deficiências de controle interno tempestivamente para as partes responsáveis por adotar ações corretivas, incluindo a alta administração e o Conselho, quando apropriado.

COSO

(21)

21

 Controle Interno é o processo conduzido pela estrutura de governança, administração e outros profissionais da entidade, e desenvolvido para proporcionar segurança razoável com respeito à realização dos objetivos relacionados a operações, divulgação e conformidade.

 Objetivos:

Operacional: eficácia e eficiência das operações da entidade.

Divulgação: divulgações financeiras e não financeiras.

Conformidade: cumprimento de leis e regulamentações.

RESUMÃO

(22)

22

• Dá o “ritmo” da organização, influenciando a consciência de controle das pessoas que nela trabalham. Base dos demais componentes.

Ambiente de Controle

• Identificação e análise dos riscos relevantes para a consecução dos objetivos.

Avaliação de Riscos

• Políticas e procedimentos para assegurar que as diretrizes sejam seguidas.

Atividades de Controle

• Identificação, captura e troca de informações.

Informação e Comunicação

• Processo que avalia a qualidade do desempenho dos controles internos.

Monitoramento

RESUMÃO

(23)

EXERCÍCIOS - ESAF

(24)

1 - (ESAF / SEFAZ-RN / 2005) - São componentes inter-relacionados de controles internos, exceto o(a):

a) ambiente de controle.

b) avaliação de risco.

c) atividades de controle.

d) método de custos.

e) monitoração.

(25)

EXERCÍCIOS - FCC

(26)

1 - (FCC/TJ PI/2015) - Uma entidade fez a opção de implantar seu sistema de controle interno a partir da Estrutura Integrada de Controle Interno proposta pelo COSO. A Estrutura proposta pelo COSO se desdobra em princípios, que representam os conceitos fundamentais associados a cada componente do Controle Interno.

Dentre as iniciativas da entidade, está a criação de um plano para desenvolvimento e retenção de talentos humanos. Essa iniciativa está em consonância com o componente:

(A) ambiente de controle;

(B) atividades de controle;

(C) avaliação de riscos;

(D) informação e comunicação;

(E) monitoramento.

(27)

2 - (FCC/CGM-São Luís/2015) - Um dos elementos essenciais que compõem a rotina do Auditor Interno são os riscos de auditoria, que devem ser tratados na fase de planejamento. Uma das ferramentas de controle interno mais modernas no trato desse tipo de risco é denominada:

A) modelo COSO.

B) comparativo de riscos.

C) auditoria de riscos.

D) estratégia de antecipação de riscos.

E) auditoria de resultado.

(28)

3 - (FCC/TRT-13ªRegião/2014) - A referência mundial para sistemas de controle interno é o Modelo The Committee of Sponsoring Organizations of the Treadway Commission − COSO, que traz especificações relacionadas a uma:

(A) estrutura voltada para a gestão de riscos.

(B) padronização de papéis de trabalho.

(C) metodologia de circularização de informações de acesso restrito.

(D) metodologia de processamento digital de dados.

(E) padronização de técnicas de amostragem.

(29)

4 - (FCC/TCE-RS/2014) - O Modelo The Committee of Sponsoring Organizations of the Treadway Commission − COSO é mecanismo de auditoria que tem como foco os riscos corporativos. Dentre os componentes do COSO 1 estão: a definição de uma filosofia de tratamento dos riscos e a observação do sistema de controle interno. Esses componentes são denominados, respectivamente;

(A) monitoramento e ambiente de controle.

(B) atividade de controle e monitoramento.

(C) ambiente de controle e identificação de riscos.

(D) identificação de riscos e avaliação de riscos.

(E) ambiente de controle e monitoramento.

(30)

EXERCÍCIOS - FGV

(31)

1 - (FGV/TCM-SP/2015) - O Comitê das Organizações Patrocinadoras da Comissão Treadway (COSO, na sigla em inglês) apresentou, em 1992, um modelo amplamente aceito para o estabelecimento de controles internos denominado

“Controle Interno – Estrutura Integrada” – aplicável a entidades de grande, médio e pequeno portes, com ou sem fins lucrativos, bem como ao setor público –, que ficou popularmente conhecido como COSO I. Segundo esse modelo, controle interno:

(A) é um processo de trabalho que deve ficar a cargo da unidade de auditoria interna de cada entidade;

(B) é um processo conduzido pela estrutura de governança, pela administração e por pessoas da organização;

(C) é um processo que consiste de tarefas que devem ser realizadas ao menos uma vez em cada exercício financeiro;

(D) visa proporcionar certeza de que os objetivos da entidade serão alcançados;

(E) não auxilia a organização a prever eventos externos que possam afetar negativamente o alcance de seus objetivos.

(32)

EXERCÍCIOS - OUTROS

(33)

1 - (FUNDATEC / CAGE-RS / 2014) – Ambiente de Controle, estabelecimento de metas, identificação de problemas, avaliação de risco, atividades de controle, informação, comunicação e monitoramento são as oito dimensões do modelo internacional que serve de parâmetro para a auditoria na avaliação da estrutura de controles internos. Assim, esse modelo denomina-se:

a) COSO – Committee of Sponsoring Organizations of the Treadway Comission

b) COBIT – Control Objectives for Information and Related Technology c) SOX – Sarbanes-Oxley

d) SEC – Security Exchange Comission

e) AICPA – American Institute of Certified Public Accountants

(34)

2 - (CESGRANRIO/Petrobrás/2008) - A metodologia estabelecida pelo COSO (Committee of Sponsoring Organizations of the Treadway Commission) foi concebida com a finalidade de auxiliar na gestão empresarial, estabelecendo um padrão de melhores práticas de controles internos. Os cinco componentes básicos definidos pelo COSO (1a Edição) devem estar alinhados para atender os objetivos ligados a:

A) produtividade operacional, transparência e confiabilidade dos relatórios gerenciais e melhoria no ambiente de controle.

B) eficiência no processo de gestão de riscos, capacitação operacional e transparência da alta administração.

(35)

(CESGRANRIO/Petrobrás/2008)

C) conformidade legal (compliance), eficiência na avaliação de riscos e transparência na comunicação interna.

D) eficácia e eficiência das operações, confiabilidade nas demonstrações financeiras e cumprimento de leis e normas (compliance).

E) confiabilidade no ambiente de controle interno, capacitação e treinamento de pessoal e agilidade nos fluxos e processos internos.

(36)

EXERCÍCIOS - CESPE

(37)

No que se refere a definição, objetivos e componentes do controle interno, julgue os itens a seguir.

1 - (CESPE/MPU/2015) - A salvaguarda dos ativos da entidade para evitar perdas ou uso prejudicial dos recursos é um objetivo da atuação do controle interno, sendo o componente relacionado ao ambiente de controle primordial na definição dos riscos para evitar ocorrências indesejáveis.

(38)

2 - (CESPE/MPU/2015) - O sistema de controle interno de uma organização empresarial é uma combinação de políticas e procedimentos operacionais mantidos para a proteção dos ativos da entidade, devendo esse sistema ser estabelecido pelos proprietários, controladores ou administradores.

(39)

3 - (CESPE/MPU/2015) - De acordo com as diretrizes de controle interno definidas pelo COSO (Committee of Sponsoring Organization), constituem componentes inter-relacionados não somente o ambiente de controle, a avaliação de riscos, informação e comunicação, mas também o monitoramento.

(40)

4 - (CESPE/MPU/2015) - O objetivo do aperfeiçoamento do sistema de controles internos das entidades é eliminar de vez os riscos operacionais.

(41)

Em relação ao ambiente de controle e à avaliação de riscos na organização, julgue os próximos itens.

5 - (CESPE/MPU/2015) - Um efetivo ambiente de controle é influenciado por fatores intangíveis, entre os quais se destacam os valores éticos das pessoas nele inseridas.

(42)

6 - (CESPE/MPU/2015) - A alta administração, que exerce a função de governança da entidade, é responsável pela definição de um adequado ambiente de controle, que independe da atuação da auditoria interna ou externa.

(43)

7 - (CESPE/MPU/2015) - Independentemente da existência de uma área específica de gestão de riscos, a auditoria interna é organizada com a função de assegurar o cumprimento dos objetivos do negócio e o gerenciamento de riscos.

(44)

8 - (CESPE/MPU/2015) - Embora o ambiente de controle da organização seja formado por pessoas cujas experiências e habilidades técnicas recebem influência do próprio ambiente de trabalho, a cultura organizacional não pode influenciar os padrões de controles internos definidos.

(45)

Acerca de atividades de controle e avaliação de riscos, julgue os seguintes itens.

9 - (CESPE/MPU/2015) - Uma adequada avaliação de riscos pressupõe estudo dos acontecimentos já vivenciados pela organização para a correta definição de seus objetivos, uma vez que a ocorrência de eventos futuros incertos não é administrável.

(46)

Acerca de atividades de controle e avaliação de riscos, julgue os seguintes itens.

10 - (CESPE/MPU/2015) - Na atividade de controle, lidar com o risco é tratar de algo intangível, porém passível de ser quantificado.

(47)

11 - (CESPE/MPU/2015) - Verificação, análise técnica, segregação e rodízio de funções são princípios primários que regem o sistema de controle interno.

(48)

12 - (CESPE/MPU/2015) - Resultante da atividade corretiva de agentes sobre um processo de licitação pública, uma atividade de controle pode ser realizada por meio de análise técnica que produza um relatório, um parecer ou um laudo.

(49)

No que concerne a informação e comunicação e a monitoramento nos sistemas de controle interno, julgue os itens subsecutivos.

13 - (CESPE/MPU/2015) - A atuação de gerentes e auditores internos e externos, bem como a realização de seminários fazem parte das atividades de monitoramento contínuo das operações objeto dos sistemas de controle interno.

(50)

14 - (CESPE/MPU/2015) - Os sistemas de informação e comunicação internos de uma organização precisam ser pré-estabelecidos e formais, sendo inadmissíveis as informalidades na identificação de riscos.

(51)

15 - (CESPE/BACEN/2013) - Entre os elementos do processo de controle interno inclui-se a atividade de controle, que pode ser voltada tanto para a prevenção quanto para a detecção. A execução a tempo e de maneira adequada da atividade de controle permite a redução ou administração de riscos.

(52)

16 - (CESPE / TELEBRAS / 2013) - No modelo COSO, a avaliação de riscos é um dos componentes essenciais de um sistema de controle interno efetivo. Com base nessa informação, julgue os itens subsecutivos.

Um controle interno efetivo pressupõe a existência de mecanismos que antecipem, identifiquem e permitam reagir a eventos que possam afetar o alcance dos objetivos da entidade.

(53)

17 - (CESPE / TELEBRAS / 2013) - No modelo COSO, a avaliação de riscos é um dos componentes essenciais de um sistema de controle interno efetivo. Com base nessa informação, julgue os itens subsecutivos.

A avaliação de riscos baseia-se nos objetivos operacionais, de confiabilidade das informações e de conformidade com leis, regulamentos e normas.

(54)

18 - (CESPE / TELEBRAS / 2013) - Com relação à implementação do controle interno, julgue os itens subsecutivos.

Um dos requisitos do componente informação e comunicação é assegurar que os sistemas informatizados sejam periodicamente revisados, atualizados e validados, para garantir a produção de informações adequadas e confiáveis.

(55)

As entidades devem ser capazes de identificar, capturar, tratar e comunicar, tempestivamente, as informações necessárias ao cumprimento de suas responsabilidades aos entes envolvidos.

(56)

A avaliação do controle interno é uma atribuição exclusiva da unidade de auditoria interna da entidade ou dos auditores independentes contratados para esse fim.

(57)

Com o intuito de proteger as informações de caráter sigiloso da entidade, as informações sobre planos, ambiente de controle, riscos, atividades de controle e desempenho são restritas à alta administração.

(58)

Técnicas de checklists, questionários e fluxogramas correspondem a metodologias de avaliação do controle interno.

(59)

Para assegurar que o sistema de controle interno seja efetivo, as instituições devem implementar ações de monitoramento.

(60)

24 - (CESPE / TELEBRAS / 2013) - Acerca da eficácia e eficiência do controle interno, julgue os itens subsequentes.

Empresas em que os sistemas ou métodos de processamento de dados são sofisticados e informatizados alcançam efetivo controle interno, devido à menor interferência de pessoas nesse controle.

(61)

Sistemas de controle interno estruturados e gerenciados de maneira adequada proporcionam ao gestor a certeza de que todos os objetivos e metas da empresa serão alcançados.

(62)

Sistemas de controle eficazes e eficientes reduzem a probabilidade de que os riscos avaliados necessitem ser mitigados posteriormente.

(63)

27 - (CESPE / TELEBRAS / 2013) - Julgue os itens seguintes, relativos a controle interno.

O sistema de monitoramento proposto pelo COSO (Committee of Sponsoring Organizations of the Treadway Commission) fundamenta-se no princípio segundo o qual as avaliações sempre devem ser efetuadas por consultores externos independentes.

(64)

A comunicação interna, considerada um dos objetivos do controle interno, é o meio pelo qual a informação é disseminada por toda a organização.

(65)

Ao realizar o monitoramento do processo e as modificações necessárias, o sistema reage de forma dinâmica, mudando quando as condições o permitem.

(66)

30 - (CESPE / TELEBRAS / 2013) - O COSO classifica os objetivos da organização, em relação ao controle interno, em diferentes categorias. A respeito dessas categorias, julgue os itens que se seguem.

A categoria eficácia e eficiência das operações objetiva organizar os processos internos para a obtenção do menor custo.

(67)

A categoria informação e comunicação relaciona-se à confiabilidade dos relatórios e das demonstrações financeiras publicadas.

(68)

Dado que, em princípio, as categorias são independentes e não podem ser sobrepostas, o objetivo operacional não pode ser, também, objetivo de comunicação ou de conformidade.

(69)

A categoria conformidade fundamenta-se no cumprimento de leis e regulamentos pertinentes.

(70)

34 - (CESPE / TELEBRAS / 2013) - Com referência à estrutura integrada de controle interno, regida pelo COSO (Committee of Sponsoring Organizations), julgue os itens subsecutivos.

O termo controle interno significa, basicamente, a automação das rotinas operacionais da entidade. Por meio dessa automação é obtida a redução de custos, a redução da probabilidade de erros e o aprimoramento das atividades desenvolvidas.

(71)

35 - (CESPE / TELEBRAS / 2013) - Com referência à estrutura integrada de controle interno, regida pelo COSO (Committee of Sponsoring Organizations), julgue os itens subsecutivos.

O controle interno é um processo que envolve toda a organização, principalmente a alta administração.

(72)

COSO II

(73)

“Gerenciamento de Riscos Corporativos – Estrutura Integrada”

O gerenciamento de riscos corporativos é um processo conduzido em uma organização pelo conselho de administração, diretoria e demais empregados, aplicado no estabelecimento de estratégias, formuladas para identificar em toda a organização eventos em potencial, capazes de afetá-la, e administrar os riscos de modo a mantê-los compatíveis com o apetite a risco da organização e possibilitar garantia razoável do cumprimento dos seus objetivos.

COSO II

(74)

No COSO II, os componentes passaram de 5 para 8, da seguinte forma:

1. Ambiente Interno

2. Fixação de Objetivos

3. Identificação de Eventos 4. Avaliação de Riscos

5. Resposta a Risco 6. Atividades de Controle

7. Informações e Comunicações 8. Monitoramento

COSO II

(75)

Categorias Operacionais

Comunicação

Conformidade Estratégicos

COSO II

(76)

Na estrutura de gerenciamento de riscos corporativos, orientada a fim de alcançar os objetivos de uma organização, foi inserida mais uma categoria, a estratégica. Dessa forma, no COSO II as 4 categorias são:

• Estratégicos: objetivos e metas alinhados à missão da entidade;

• Operacionais: utilização eficaz e eficiente dos recursos;

• Comunicação: confiabilidade dos relatórios;

• Conformidade: cumprimento das leis e regulamentos aplicáveis.

COSO II

(77)

COSO II

(78)

Filosofia de Gerenciamento de

Riscos

Atribuição de Autoridade e de Responsabilidade

Apetite a risco Integridade e Valores Éticos

Comprometimento

da Direção Compromisso com a Competência

AMBIENTE INTERNO

(79)

COSO II

(80)

Definidos pela alta administração, devem ser divulgados a todos os componentes da organização, antes da identificação dos eventos que possam influenciar na consecução dos objetivos.

Os objetivos devem estar alinhados à missão da entidade e devem ser compatíveis com o apetite a riscos.

• Objetivos Estratégicos

• Objetivos Correlatos

• Apetite e Tolerância a risco

FIXAÇÃO DOS OBJETIVOS

(81)

Tolerância a riscos

Objetivo Baixa tolerância

a riscos Alta tolerância

a riscos

Tolerância a riscos representa o nível aceitável de variação em relação à meta para o cumprimento de um objetivo específico.

(82)

COSO II

(83)

Eventos: situações em potencial – que

ainda não

ocorreram – que

podem causar

impacto na

consecução dos

objetivos da

organização, caso venham a ocorrer.

EVEN TO

^Positivos(Oportunidades) Negativos (Riscos)

IDENTIFICAÇÃO DOS EVENTOS

(84)

Eventos Externos Econômicos

Meio Ambiente

Sociais Políticos

Tecnológicos

EVENTOS EXTERNOS

(85)

Eventos Internos

Infra- estrutura

Processo

Tecnologia Pessoal

EVENTOS INTERNOS

(86)

S – Strengths (Forças)

W – Weaknesses (Fraquezas)

O – Opportunities (Oportunidades) T – Threats (Ameaças)

I. Ambiente externo: oportunidades e ameaças (SWOT)

II. Ambiente interno: pontos fortes e fracos (SWOT)

ANÁLISE DE SWOT

(87)

COSO II

(88)

É a identificação e análise dos riscos relevantes para o alcance dos objetivos e metas da entidade, com vistas a dar a resposta apropriada.

Risco: evento futuro e incerto que, caso ocorra, pode impactar negativamente o alcance dos objetivos da organização.

Os riscos são analisados e mensurados considerando-se a sua probabilidade e o impacto como base para determinar o modo pelo qual deverão ser geridos.

AVALIAÇÃO DE RISCOS

(89)

Decidir sobre ações em resposta a esses riscos

Avaliar a probabilidade de sua ocorrência Estimar a significância dos riscos

Identificar riscos de negócio relevantes para os objetivos da organização

AVALIAÇÃO DE RISCOS

(90)

Os riscos são avaliados com base em suas características inerentes e residuais.

• Risco inerente é o risco que uma organização terá de enfrentar na falta de medidas que a administração possa adotar para alterar a probabilidade ou o impacto dos eventos.

• Risco residual é aquele que ainda permanece após a resposta da administração. A avaliação de riscos é aplicada primeiramente aos riscos inerentes.

AVALIAÇÃO DE RISCOS

(91)

(92)

Exemplo de avaliação de Riscos:

 Um ganho certo de R$ 250,00 ou 25% de chance de ganhar R$ 1.000,00, e 75% de chance de não ganhar nada.

 Um prejuízo certo de R$ 750,00, ou 75% de chance de perder R$ 1.000,00 e 25% de chance de não perder nada.

 Segundo a Teoria das Expectativas, as pessoas não desejam colocar em risco o que já tem ou pensam que podem ter, mas apresentam maior tolerância a riscos quando podem minimizar prejuízos.

AVALIAÇÃO DE RISCOS

(93)

COSO II

(94)

Após a avaliação dos riscos, a Administração determina como responderá aos riscos.

As respostas incluem evitar, reduzir, compartilhar ou aceitar os riscos.

Identifica as oportunidades e chega a uma visão de toda organização – visão de portfólio, determinando se os riscos residuais gerais são compatíveis com o apetite a riscos da organização.

RESPOSTA A RISCOS

(95)

Evitar • Suspensão das atividades.

Reduzir

• Adoção de procedimentos de controle para minimizar a probabilidade e/ou o impacto do risco.

Compartil har

• Redução da probabilidade ou do impacto.

Aceitar • Não adotar medidas mitigadoras.

RESPOSTA A RISCOS

(96)

Alto Impacto / Baixa Probabilidade

Compartilhar

Alto Impacto / Alta Probabilidade

Evitar

Compartilhar

Reduzir

Baixo Impacto / Baixa Probabilidade

Aceitar

Baixo Impacto / Alta Probabilidade

Reduzir

Probabilidade

RESPOSTA A RISCOS

(97)

COSO II

(98)

São as políticas e procedimentos que contribuem para assegurar se:

 os objetivos estão sendo alcançados;

 as diretrizes administrativas estão sendo cumpridas; e

 estão sendo realizadas as ações necessárias para gerenciar os riscos com vistas à consecução dos objetivos da entidade.

Se estabelecidas de forma tempestiva e adequada, podem vir a prevenir ou administrar os riscos inerentes ou em potencial da entidade. Não são exclusividade de determinada área da organização, sendo realizadas em todos os níveis.

ATIVIDADES DE CONTROLE

(99)

ATIVIDADES DE CONTROLE

 Atribuição de autoridade e limites de alçada

 Revisões da Alta Administração

 Revisão de superiores  Normatização Interna

 Autorizações e Aprovações  Controles Físicos

 Segregação de Funções  Capacitação e Treinamento

 Verificações  Conciliações

 Indicadores de Desempenho  Revisão de Desempenho Operacional

 Programas de Contingência  Planos de Continuidade dos Negócios

São exemplos de tipologias de atividades de controle:

(100)

COSO II

(101)

Identificação e comunicação oportuna das informações permite:

 cumprimento das responsabilidades;

 tomada de decisões tempestivas;

 o melhor aproveitamento de recursos;

 ganhos operacionais.

As informações devem ser coletadas e comunicadas de forma coerente e tempestiva. TODOS os níveis de uma organização devem receber informações, para identificar, avaliar e responder a riscos.

INFORMAÇÃO E COMUNICAÇÃO

(102)

 As informações são necessárias em todos os níveis de uma organização, para identificar, avaliar e responder a riscos. Requisitos: pontualidade e profundidade.

 Comunicação interna: papéis e responsabilidades.

 Comunicação externa: stakeholders (clientes, fornecedores, sociedade).

 Infra-estrutura de TI: suporte à conversão de dados em informações.

INFORMAÇÃO E COMUNICAÇÃO

(103)

COSO II

(104)

A integridade da gestão de riscos corporativos é monitorada e são feitas as modificações necessárias.

O monitoramento é realizado através de:

 Atividades gerenciais contínuas

Avaliações independentes.

 Auto avaliações.

MONITORAMENTO

(105)

Objetiva verificar se os Controles Internos são adequados e eficientes, examinando:

 os 8 componentes estão presentes e funcionando como planejado.

 o alcance dos objetivos operacionais;

 as informações dos relatórios e sistemas corporativos confiáveis;

 o cumprimento de leis, normas e regulamentos.

Compreende o acompanhamento da qualidade do controle interno, visando assegurar a sua adequação aos objetivos, ao ambiente, aos recursos e aos riscos.

MONITORAMENTO

(106)

 No COSO II as 4 categorias de objetivos são:

• Estratégicos: objetivos e metas alinhados à missão da entidade;

• Operacionais: utilização eficaz e eficiente dos recursos;

• Comunicação: confiabilidade dos relatórios;

• Conformidade: cumprimento das leis e regulamentos aplicáveis.

 No COSO II os 8 componentes são: Ambiente Interno, Fixação de Objetivos, Identificação de Eventos, Avaliação de Riscos, Resposta aos Riscos, Atividades de Controle, Informação e Comunicação e Monitoramento.

 Os riscos são avaliados considerando-se a sua probabilidade e o impacto como base para determinar o modo pelo qual deverão ser geridos. As respostas incluem evitar, reduzir, compartilhar ou aceitar os riscos.

(107)

EXERCÍCIOS - ESAF

(108)

1 - (ESAF / CGU / 2012) - De acordo com o COSO, o gerenciamento de riscos corporativos é constituído de oito componentes interrelacionados.

Um deles, realizado por meio de atividades gerenciais contínuas, avaliações independentes ou uma combinação desses dois procedimentos, cuida da integridade do processo de gerenciamento de riscos corporativos, provendo suas alterações, quando necessário. Trata- se da(o):

a) Avaliação de riscos.

b) Identificação de eventos.

c) Atividade de controle.

d) Monitoramento.

e) Fixação de objetivos.

(109)

2 - (ESAF / CGU / 2012) - Acerca da aplicação da estrutura conceitual de análise de risco, é correto afirmar que:

a) o gerenciamento de riscos corporativos é um processo em série, por meio do qual um componente afeta apenas o próximo, e assim sucessivamente.

b) uma fórmula bem sucedida de gerenciamento de riscos pode ser replicada de maneira homogênea entre diversas organizações, desde que elas atuem em campos semelhantes.

c) o controle interno, dado seu caráter fiscalizador, não pode ser tido como parte integrante do gerenciamento de riscos corporativos.

d) um eficaz gerenciamento de riscos corporativos dita não só os objetivos que a administração deve escolher, mas também sua estratégia.

e) o fato de um agente externo contribuir diretamente para que uma organização alcance seus objetivos não o torna parte do gerenciamento de riscos corporativos.

(110)

3 - (ESAF / CGU / 2012) - Acerca do gerenciamento de riscos voltado para a governança no setor público, é correto afirmar que:

a) um de seus principais benefícios é a melhoria do controle a posteriori, resultando em melhor qualidade dos gastos públicos e na ampliação da accountability.

b) é instrumento de pouca valia para casas legislativas, tribunais, ministérios e secretarias, haja vista que a gestão de tais órgãos não se sujeita a riscos.

c) se inapropriadamente aplicado, o gerenciamento de riscos pode trazer efeitos adversos, expondo a organização a riscos enquanto passa uma falsa impressão de controlabilidade.

d) aplicável a estruturas organizacionais, o gerenciamento de riscos não alcança a execução de programas finalísticos e/ou administrativos, como os contidos na LOA e no PPA.

e) independente de o contexto ser público ou privado, quanto maior é o controle dos riscos, menor é o estímulo à inovação e ao empreendedorismo por parte dos gestores.

(111)

4 - (ESAF / CGU / 2012) Da análise do conceito de risco, é correto afirmar que:

a) eventos de impacto negativo podem originar-se a partir de condições aparentemente positivas.

b) qualquer evento que cause impacto na organização deve ser considerado um risco.

c) oportunidade é a possibilidade de que um evento ocorra e não influencie a realização dos objetivos.

d) um evento não pode causar um impacto positivo e negativo ao mesmo tempo.

e) os efeitos dos riscos afetam apenas o futuro, não o presente.

(112)

EXERCÍCIOS - FCC

(113)

1 - (FCC/TRT-13ªRegião/2014) - O Modelo COSO é estruturado sob a forma de componentes relacionados ao controle interno. É componente que diferencia o Modelo COSO I do COSO II,

(A) a informação e comunicação.

(B) o procedimento de controle.

(C) o ambiente de controle.

(D) o monitoramento.

(E) a definição dos objetivos.

(114)

EXERCÍCIOS - FGV

(115)

1 - (FGV/TCM-SP/2015) - O Comitê das Organizações Patrocinadoras da Comissão Treadway (COSO, na sigla em inglês) publicou, em 2004, o modelo denominado “Gerenciamento de Riscos Corporativos” (ERM, na sigla em inglês), popularizado como COSO II. Segundo esse modelo, as quatro categorias de objetivos comuns à maioria das organizações são:

(A) objetivos contábeis; objetivos de controle; objetivos estratégicos e objetivos de salvaguarda de ativos;

(B) objetivos estratégicos; objetivos sociais; objetivos de lucro e objetivos de divulgação;

(C) objetivos estratégicos; objetivos operacionais; objetivos de comunicação e objetivos de conformidade;

(D) objetivos de conformidade; objetivos de comunicação; objetivos de relacionamento com partes interessadas e objetivos ambientais e de sustentabilidade;

(E) objetivos de comunicação; objetivos operacionais; objetivos de relacionamento com partes interessadas e objetivos ambientais e de sustentabilidade.

(116)

EXERCÍCIOS - CESPE

(117)

1 - (CESPE/MPU/2015) - Se os elementos do gerenciamento de riscos corporativos não estiverem inteiramente documentados, eles não poderão ser testados, nem executados de forma eficaz, o que impossibilitará a avaliação dos riscos envolvidos.

(118)

2 - (CESPE/MPU/2015) - Na atividade de controle, lidar com o risco é tratar de algo intangível, porém passível de ser quantificado.

(119)

3 - (CESPE/FUB/2015) - O componente monitoramento, por propiciar disciplina e estrutura, minimizando os riscos e assegurando que os controles internos funcionem como o previsto, está posicionado estrategicamente na base do cubo tridimensional proposto pelo COSO ERM (COSO II), com o propósito de suportar todos os outros componentes do sistema.

(120)

4 - (CESPE / CNJ / 2013 - adaptada) - Em relação às fases, aos objetivos e às técnicas de auditoria, julgue os itens subsecutivos.

De acordo com as definições do COSO II (Committe of sponsoring organizations of the Treadway Commission), a monitoração de riscos em relação ao alcance de objetivos da entidade é dirigida apenas para riscos de origem financeira, não sendo um relevante instrumento de gerenciamento de riscos para subsidiar a governança corporativa.

(121)

5 - (CESPE / TELEBRAS / 2013) - No que concerne aos objetivos relacionados à governança corporativa no controle interno, julgue os itens.

A corporação, para atingir seus objetivos estratégicos, depende da ação de eventos externos, que frequentemente não estão sob seu controle.

(122)

Os riscos a que estão sujeitas as organizações podem ter origem interna ou externa. A aprovação de nova lei ou decreto, por exemplo, é considerado fator externo de risco e pode implicar alteração em políticas operacionais e estratégicas de determinada organização.

(123)

De acordo com o COSO, os incentivos e tentações criados pela empresa com determinado estilo de gestão podem afetar o comportamento ético da organização, aumentando a probabilidade de fraude e de relatórios financeiros questionáveis. A oferta de recompensas para que se alcance alto desempenho é considerada esse tipo de incentivo.

(124)

8 - (CESPE / TCU / 2011) - De acordo com a abordagem adotada pelo COSO II, no documento conhecido como ERM (Enterprise Risk Management), as estruturas de controles internos tradicionais devem ser substituídas por controles focados nos aspectos financeiros das organizações, dirigidos aos empregados ou servidores, e são de responsabilidade exclusiva dos órgãos de direção e de fiscalização.

(125)

GOVERNANÇA

(126)

Agente Principal

Teoria da Firma

(127)

Governança Corporativa é o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo as práticas e os relacionamentos entre proprietários, conselho de administração, diretoria e órgãos de controle. As boas práticas de Governança Corporativa convertem princípios em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da organização, facilitando seu acesso ao capital e contribuindo para a sua longevidade. (IBGC, 2014)

Definição

(128)

Finalidades segundo o IBGC

Aumentar o valor da organização

Facilitar o acesso ao

capital

Contribuir

para sua

perenidade

(129)

• Transparência (DISCLOSURE)

• Equidade (FAIRNESS)

• Prestação de Contas (ACCOUNTABILITY)

• Responsabilidade Corporativa (RESPONSABILITY)

Princípios segundo o IBGC

(130)

Editada em 2002, teve como objetivo resgatar a confiança nos mercados, abalada pelos escândalos contábeis do início da década passada, além de recuperar o equilíbrio dos mercados por meio de mecanismos que assegurassem a responsabilidade da alta administração sobre a confiabilidade da informação fornecida.

Casos Enron, Worldcom, Arthur Andersen, etc.

O que devemos saber é que a Lei exige dos administradores uma certificação de que as informações fornecidas sobre as empresas são confiáveis; que assumam a responsabilidade pela transparência de suas empresas.

Lei Sarbanes-Oxley

(131)

Reforçou a importância do COSO e incorporou boas práticas de governança, dentre elas:

 Criar um Conselho com o objetivo de supervisionar o trabalho das firmas de auditorias das companhias abertas.

 Reforçar a independência dos Auditores, ao proibir as empresas de auditoria registradas a fornecerem outros serviços aos seus clientes.

 Definir que o Comitê de Auditoria tem a responsabilidade direta de supervisionar o serviço da auditoria independente, desvinculando o serviço de auditoria da diretoria financeira.

Lei Sarbanes-Oxley

(132)

Reforçou a importância do COSO e incorporou boas práticas de governança, dentre elas:

 Tratar da responsabilidade pelas demonstrações contábeis e financeiras, envolvendo fortemente o monitoramento dos controles dessas demonstrações.

 Estabelecer a necessidade de manutenção de controles internos e a documentação, certificação e avaliação desses controles periodicamente pela Alta Administração.

Lei Sarbanes-Oxley

(133)

Conceito

(134)

Relação principal-agente em um modelo direto de interação

Teoria da Agência no SP

(135)

Transparência (Openness)

Accountability Integridade

(Integrity)

Princípios de Governança no Setor Público

(136)

Princípios da Governança no Setor Público (IFAC):

• Transparência (Openness): necessária para assegurar que as partes interessadas (sociedade) tenham confiança nas ações e no processo de tomada de decisão das entidades do setor público. Objetiva reduzir a assimetria informacional entre agente e principal.

• Integridade (Integrity): compreende procedimentos honestos e perfeitos.

• Accountability (responsabilidade em prestar contas): além de administrar, o agente deve responder por uma responsabilidade conferida.

Governança Pública

(137)

De acordo com o IFAC, esses princípios são refletidos em cada uma das recomendações de governança das entidades do setor público, a seguir (P – R – E – C):

• Padrões de comportamento: como a administração da entidade exercita a liderança em determinar os valores e padrões da organização.

• Estruturas e processos organizacionais: como a cúpula é designada e organizada.

• Controle: rede de vários controles estabelecidos.

• Relatórios externos: como a cúpula demonstra a prestação de contas.

Governança Pública

(138)

Slomski (2008) aborda os objetivos do Código das Melhores Práticas de Governança Corporativa vistos sob a ótica de suas aplicações na gestão pública governamental.

Aumentar o valor da sociedade se traduz em melhorar a qualidade de vida e as características daquele local, fazendo com que seja percebido como um bom lugar para se morar ou investir, o que certamente fará com que o preço dos imóveis suba, agregando valor para os proprietários.

Governança Pública

(139)

Facilitar o acesso ao capital se mostra pelo fato de que, quanto mais saudável financeiramente, mais fácil ao poder público tomar emprestado por meio de títulos públicos.

Contribuir para a perenidade deve ser percebido não pela existência a longo prazo do ente governamental, o que se pode deduzir com certa certeza, mas pela perenidade dos serviços públicos colocados à disposição da sociedade. Ou seja, a perenidade não está ligada ao desaparecimento do ente público, mas aos serviços que ele produz.

Governança Pública

(140)

Referencial Básico do TCU

(141)

Referencial Básico do TCU

(142)

Os órgãos de auditoria interna e externa são os instrumentos organizacionais tradicionais para se avaliar a governança.

A auditoria interna, caso seja bem estruturada e com sua independência assegurada (reportando-se diretamente ao Conselho de Administração) pode auxiliar significativamente as empresas na melhoria dos processos de gerenciamento dos riscos, controles internos e governança corporativa.

Papel da Auditoria na Governança

(143)

A auditoria auxilia nos processos de gestão de riscos, controles e governança corporativa, tornando-os mais eficazes.

A primeira função de uma auditoria em um sistema de riscos é verificar se as diretrizes e limites fixados pela governança estão sendo respeitados.

Além disso, observa se o sistema de gerenciamento de riscos está funcionando de modo adequado, além de examinar a relação custo x benefício desse sistema.

Papel da Auditoria na Governança

(144)

Quanto ao gerenciamento de riscos, verifica se os limites são aceitáveis.

Na governança do setor público, o papel essencial da auditoria pública é fomentar e assegurar a accountability (prestação de contas responsável), o que inclui a disseminação de boas práticas de gestão (INTOSAI).