• Nenhum resultado encontrado

AULA INTRAUD SOX, COSO e COBIT[1]

N/A
N/A
Info
Descarregar agora
Protected

Academic year: 2021

Share "AULA INTRAUD SOX, COSO e COBIT[1]"

Copied!
6
0
0

Carregando.... (Ver texto completo agora)

Descarregar agora ( 6 páginas )

Texto

(1)

1

Disciplina: Introdução à Auditoria

Profª. Ana Cristina Pereira

TEMA DA AULA: LEI SARBANES-OXLEY (SOX), COSO e COBIT

Como surgiu a Lei Sarbanes-Oxley

A Lei Sarbanes Oxley de 2002 também conhecida como Public Company Accounting Reformand Investor

Protection Actof 2002 e comumente chamada SOX ou SarBx, sancionada em 30 de julho de 2002, é uma lei federal

dos USA em resposta aos inúmeros escândalos corporativos e contábeis de grandes proporções ocorridos na época.

Nomeada com base nos nomes de seus patrocinadores legislativos, Senador Sarbanes (democrata de Maryland) e Deputado Michel G. Oxley (republicano de Ohio), a lei foi aprovada pela Câmara por votação de 423 a 3 e pelo Senado por 99 a 0.

Senador Paul S. Sarbanes

Deputado Michael G. Oxley

A regulamentação aumentou a responsabilidade dos executivos e, também, obrigou o detalhamento minucioso sobre os aspectos de controles internos de processos nas organizações.

Principais objetivos:

 Proporcionar mecanismos que aumentassem a responsabilidade da alta administração de uma empresa sobre a confiabilidade das informações por ela fornecida.

 Restringir o alto grau de vulnerabilidade das informações contábeis.  Promover uma ampla reforma nos relatórios financeiros.

 Exigir boas práticas de governança corporativa e práticas éticas na condição dos negócios.

 Privilegiar o controle interno e as formas mais adequadas de divulgação e emissão de relatórios financeiros, contribuindo para o aumento da transparência e confiança no mercado de capitais.

Os procedimentos da Lei Sarbanes-Oxley podem ser divididos em:  Controles Internos.

 Controles Administrativos.  Controles de Auditoria.  Controles de Risco.

(2)

2 A Lei Sarbanes-Oxley é composta de 11 Capítulos e 66 Seções. Para as empresas brasileiras, as seções mais importantes são:

Seção 100: estabelece a criação de um órgão de supervisão das firmas de auditoria independente, denominado

Public Company Accounting Oversight Board – PCAOB, que atua conjuntamente com a Securities and Exchange Comission – SEC.

Seções 202/203: trata-se de um requerimento para divulgação dos serviços de auditoria prestados pelos auditores externos. Nessas seções há também a obrigatoriedade de rotatividade dos serviços prestados pelos auditores independentes, dando mais transparência e segurança às informações prestadas ao público externo. Seção 301: impõe normas ao Comitê de Auditoria. A responsabilidade do Comitê de Auditoria é fornecer condições para que denúncias sobre fraudes relacionadas à auditoria e controles contábeis possam ser apresentadas sem risco para o denunciante. A CVM obteve da SEC autorização para a utilização do Conselho fiscal como alternativa à instalação do Comitê de Auditoria.

Seção 302: destinada ao controle interno e procedimentos de informações financeiras por divulgar.

Seção 303: estabelece questões penais, administrativa e cassação do direito profissional nos casos de conduta imprópria dos trabalhos de auditorias externas.

Seção 304: trata do ressarcimento de dividendos ou bônus nos casos especiais.

Seção 402: tem como principal função restringir empréstimos e linhas de crédito pessoas à Diretoria de forma a evitar o conflito de interesses.

Seção 404: O Chief Executive Officer (CEO) e o Chief Financial Officer (CFO) deverão certificar as informações pertinentes aos controles internos da companhia, com vistas a garantir que as informações divulgadas representem – de fato e de direito – a real situação patrimonial e financeira.

Seção 406: implica na implantação de um código de ética.

Seções 800/900: impõe novas punições aos executivos, dentre as quais penas de prisão de até 20 anos e multas de até US$ 5 milhões para casos de fraudes.

COSO (Committee of Sponsoring Organizations of the Treadway Commission)

Criado em 1992, para indicar para indicar as boas práticas de controle interno. É uma entidade sem fins lucrativos, dedicada à melhoria dos relatórios financeiros através da ética, efetividade dos controles internos e adoção das melhores práticas de governança corporativa, cujo objetivo é auxiliar as entidades empresariais e demais organizações a avaliar e aprimorar seus sistemas de controle interno.

Controle Interno.

O controle é um mecanismo manual ou sistêmico que minimiza ou elimina a possibilidade de ocorrência dos riscos do negócio. É desenvolvido para garantir, com razoável margem de segurança, que os seguintes objetivos serão atingidos:

 Desempenho e eficiência das operações;  Confiabilidade dos relatórios financeiros; e

(3)

3 O Ambiente de Controles Internos de uma organização deve considerar:

 O nível de Conscientização sobre controles – Geralmente considera a avaliação dos controles no Nível da Entidade;

 Os Mecanismos de controle - geralmente considera a avaliação no nível de processos, transações e aplicativos.

Pode-se considerar como risco tudo aquilo que foge ao planejamento. Entende-se como uma variação ao que foi inicialmente planejado, a possibilidade de que algo não venha a dar certo devido a ocorrência de situações desfavoráveis ou não conformidades. Envolve aspectos qualitativos e quantitativos das incertezas em relação às perdas/ganhos e aos rumos dos acontecimentos planejados.

De acordo com a Resolução CFC nº. 1.212/09 (NBC TA 315 – Identificação e Avaliação dos Riscos de Distorção Relevante por meio do Entendimento da Entidade e do seu Ambiente), o risco de negócio é o risco que resulta de condições, eventos, circunstâncias, ações ou falta de ações significativas que possam afetar adversamente a capacidade da entidade de alcançar seus objetivos e executar suas estratégias, ou do estabelecimento de objetivos ou estratégias inadequadas.

Dessa forma, o foco na gestão de riscos corporativos está relacionado com eventos que possam afetar o alcance de objetivos organizacionais e também com a parte preventiva, a modelagem de sistemas de controles internos. Ao implementar nas organizações uma estrutura voltada para a gestão global de riscos é recomendável como prevenção a utilização de estruturas de controles internos com base nos modelos COSO 1 (Internal Control

Framework) e COSO 2 (Enterprise Risk Management-ERM).

Para o COSO, a integração dos controles se baseia no uso de uma estrutura tridimensional chamada de cubo do COSO, cujas três dimensões compreendem: i) as categorias de objetivos; ii) os níveis de avaliação; iii) e os componentes de controle.

Figura 01: Cubo de COSO

Fonte: COSO – Estrutura Integrada (2007) COSO 1 (Internal Control Framework)

O modelo de controle interno COSO 1 aborda as necessidades e expectativas da gestão organizacional e apresenta uma modelagem comum para sistemas de controle interno, a qual possa servir de base para as organizações em geral. Procura fornecer um referencial contra o qual as organizações – grandes ou pequenas,

(4)

4 públicas ou privadas, com fins lucrativos ou não – possam avaliar os seus sistemas de controle e determinar como melhorar seu desempenho.

No modelo COSO 1 o controle interno é definido como um processo conduzido pela diretoria de uma entidade ou administração, gestão ou pessoa, destinado a fornecer uma garantia razoável quanto à concretização dos objetivos organizacionais nas seguintes categorias:

1. Efetividade e eficiência nas operações; 2. Confiabilidade nos relatórios financeiras; e

3. Atendimento às leis e regulamentos aplicáveis (compliance).

O modelo COSO 1 aborda o controle interno como um processo estabelecido pela Diretoria ou Conselho de Administração, configurado para proporcionar razoável segurança de que cinco componentes, derivados da forma como estão integrados com o processo de gestão organizacional, sejam observados: ambiente de controle; avaliação de risco; procedimentos de controle; informação e comunicação; e monitoramento.

Ambiente de controle: define a forma como uma organização influencia a consciência de controle dos seus funcionários e como estabelece uma filosofia de tratamento dos riscos corporativos. É a base para todos os outros componentes do processo de controle interno, proporcionando disciplina e estrutura adequada.

Os fatores relacionados com o ambiente de controle incluem: a integridade e valores éticos; a competência das pessoas da entidade; o estilo operacional; aspectos relacionados com a gestão; e a forma de atribuição de autoridade e responsabilidade.

A postura da alta administração, representada pela Diretoria ou Conselho de Administração, desempenha papel determinante para o ambiente de controle, ao deixar claro para seus comandados quais são as metas, as políticas, os procedimentos e o código de conduta a serem adotados. O importante é que tais informações sejam claras a todos os componentes da organização. Cabe ressaltar que se a entidade não possui objetivos e metas bem estabelecidas não haverá a necessidade de controles internos.

Cabe ressaltar que as pessoas nem sempre executam suas tarefas de uma forma uniforme e consistente, em virtude de suas experiências e habilidades técnicas específicas. Portanto, devem conhecer suas responsabilidades e seus limites de autoridade. Para isso, é necessário que exista uma relação clara entre as atribuições de cada um e a forma pela qual as atribuições são realizadas.

Avaliação dos riscos: Envolve a identificação e a análise, pela administração, dos riscos mais relevantes para a obtenção dos objetivos organizacionais. No decorrer da avaliação de riscos, cada objetivo, do nível mais alto (estabelecimento de metas de longo prazo) ao mais baixo (proteção de ativos), deve ser documentado e, então, cada risco que possa prejudicar ou impedir o alcance do objetivo deve ser identificado e priorizado.

As organizações cotidianamente enfrentam uma série de riscos provenientes de fontes externas e internas, chamados de ameaças e fatores de fraqueza, os quais devem ser avaliados, semelhante a elaboração de uma matriz SWOT. A referida avaliação consiste na identificação e análise dos riscos relevantes para o alcance dos objetivos, formando uma base para determinar como os riscos devem ser geridos.

A matriz SWOT, é uma ferramenta utilizada para fazer análise de cenário ou de ambiente, sendo usada como base para gestão e planejamento estratégico de corporações ou empresas. O significado da sigla SWOT é: Strenghts (Forças ou Pontos Fortes), Weaknesses (Fraqueza ou Pontos Fracos), Opportunities (Oportunidades) e Threats (Ameaças). A elaboração da matriz SWOT visa explicitar as interações relevantes entre as oportunidades e ameaças, pontes fortes e pontos fracos, que serviram de base para identificação dos principais objetivos estratégicos.

(5)

5 Uma condição prévia para avaliação dos riscos é o estabelecimento dos objetivos organizacionais, indicado no primeiro componente, ambiente de controle, associado aos diferentes níveis e situações organizacionais. A avaliação de riscos funciona como uma avaliação das condições internas, externas e previsões futuras da organização, em algumas situações implementadas pelas auditorias interna e externa.

Atividades de controle: São atividades que, quando executadas a tempo e de maneira adequada, permitem a redução ou administração dos riscos. São as políticas e procedimentos que ajudarão a garantir a realização das diretivas da gestão e não ocorrência de situações desfavoráveis e não-conformidades. As atividades de controle ajudam a assegurar que as ações necessárias sejam tomadas, no momento e proporção adequada, para neutralização dos riscos, contribuindo dessa forma para a realização dos objetivos da organização.

As atividades de controle ocorrem em toda a organização, em todos os níveis e em todas as funções. Possui como referência uma gama de atividades, incluindo as aprovações, autorizações, verificações, reconciliações, monitoramento, revisões sobre o desempenho operacional, segregação de funções, culminando na proteção de ativos. As atividades de controle funcionam como partições de um sistema de controle maior, possuindo importância estratégica ao manter as organizações nos trilhos e rumos pretendidos.

Informação e Comunicação: as informações devem ser identificadas, capturadas e transmitidas em formato e prazos que permitam às pessoas conduzir suas tarefas e responsabilidades da forma mais adequada. Para isso, os sistemas de informação deverão produzir relatórios gerenciais contendo informações econômicas, financeiras, físicas e de produtividade, que possibilitarão o planejamento, controle e tomada de decisão.

Monitoramento: inclui a observação dos sistemas de controle interno, através de processos que possam avaliar a qualidade do seu desempenho ao longo do tempo e efetividade. Isto é conseguido através de atividades de monitoração em curso, avaliações em separado, ou a combinação de ambas as situações.

Em relação aos papéis e responsabilidades inerentes à observação dos cinco componentes acima citados, o modelo COSO 1 ensina que, nas organizações, a gerência de nível intermediário é a responsável perante o Conselho de Administração pelo acompanhamento desses cinco componentes. Ao selecionar os gestores, o conselho de administração exerce um papel importante na definição do que o mesmo espera em relação à integridade e valores éticos, passando a confirmar suas expectativas através da fiscalização de suas atividades. Em 2001 o COSO iniciou estudos com o objetivo de desenvolver uma estrutura que fosse prontamente utilizável pelos administradores para avaliar e melhorar o gerenciamento dos riscos numa organização, independente de seu porte. Os estudos deram origem ao Enterprise Risk Management-ERM (Gerenciamento Corporativo de Riscos), o modelo COSO 2, considerado estrutura mais abrangente em relação à gestão de riscos corporativos com terminologia comum, mas que não possui a pretensão de substituir o modelo COSO 1 (Internal Control

(6)

6 COBIT (Control Objectives for Information and Related Technology) que é um modelo de estrutura de controles internos para Tecnologia da Informação (TI), orientado para o entendimento e o gerenciamento dos riscos associados, além de assegurar a integridade da informação e dos sistemas de informação.

Figura 2: Framework do COBIT

Fonte: WANDERLEY, C. A. N. Auditoria. Teoria e Questões. Rio de Janeiro : Ed. Ferreira, 2011, p. 482 O objetivo central do COBIT é conectar os domínios, processos e atividades de TI aos processos operacionais e às atividades da entidade, facilitando a realização dos objetivos do negócio. Os objetivos do negócio são consultados como exigências do negócio para a informação e incluem os seguintes itens:

 Exigências de qualidade (qualidade, custo e entrega).

 Exigências definidas pelo COSO (eficácia e eficiências das operações, da confiabilidade da informação, e da conformidade com leis e regulamentos).

 Exigências de segurança (confidencialidade, integridade e disponibilidade). Vantagens de adotar o COBIT

 É aceito por terceiros e órgãos reguladores

 É compatível com outros padrões e deve ser usado como apoio para projetos de implantação de processos.

 As práticas sugeridas representam um consenso dos especialistas.

 Fornece uma abordagem para avaliar se os serviços de TI e as novas iniciativas estão atendendo aos requisitos do negócio e estão entregando os benefícios esperados.

 Ajuda a desenvolver e documentar estruturas, processos e ferramentas para um gerenciamento efetivo da TI.

Referências

Descarregar agora ( PDF - 6 páginas - 723.56 KB )

Documentos relacionados

Midiatização e redes digitais: os usos e as apropriações entre a dádiva e os mercados

Assistimos, então, a uma transformação da escuta da televisão, a um desmantelamento das fronteiras entre vida pri- vada e vida pública. Fui convidado, no mês de outubro de 2012,

Acidentes de trabalho e o uso de equipamentos de proteção individuais pelos profissionais de saúde em um Hospital Terciário

Quando se reporta a acidentes de trabalho na área da saúde, os acidentes com perfurocortantes se sobrepõem frente aos demais, sendo, portanto, um risco presente de

Uma análise de otimização de redes neurais MLP por exames de partículas

• linha 1 após escolher um número máximo de unidades escondidas Hmax , m arquiteturas são sorteadas aleatoriamente no intervalo [1, Hmax ]; • linha 4 todas as partículas do PSO

O Novo Acordo Ortográfico_pdf

Eliminação obrigatória do acento circunflexo nas formas nominais e verbais das palavras graves em que o “o” tónico fechado faz hiato com o outro “o” (típico da norma culta

INSTITUIÇÃO DE COOPERAÇÃO INTERMUNICIPAL DO MÉDIO PARAOPEBA i.cismep EDITAL DE LICITAÇÃO PROCESSO LICITATÓRIO Nº 003/2016

6.19 - A CONTRATADA deverá manter equipe cirúrgica para atendimento médico em regime de unidade de trabalho ou linhas de cuidado, capazes de efetuar até

CAPA DO RELATÓRIO DE VIAGEM

• Todas as ESPÉCIES são registadas nesse snapshot (com a indicação de idade à frente quando possível e aplicável), Nº INDIVÍDUOS observados e o COMPORTAMENTO (que,

Constituição do professor universitário iniciante no contexto de uma instituição em implantação: envolvimento e responsabilidade individual e institucional

Retomo Sánchez Moreno e Mayor Ruiz (2006) que, ao falarem dos professores universitários e da formação pedagógica, frisam que deve ser o próprio docente a demandar algum

Pré-tratamento e hidrólise enzimática da biomassa lignocelulósica de milho em reator batelada

Como observado na Tabela 8, os resultados foram repetidos em relação ao teste com melhor rendimento realizado anteriormente (ensaio 5), sendo definida esta como sendo a