JULIANE CANDIDO
LEVANTAMENTO DE RISCO OPERACIONAL E AVALIAÇÃO DOS
CONTROLES INTERNOS: CONTRIBUIÇÃO AO ESTUDO DE UMA
METODOLOGIA
FLORIANÓPOLIS (SC)
UNIVERSIDADE DO ESTADO DE SANTA CATARINA
CENTRO DE CIÊNCIAS DA ADMINISTRAÇÃO – CCA/ESAG
MESTRADO EM ADMINISTRAÇÃO
JULIANE CANDIDO
LEVANTAMENTO DE RISCO OPERACIONAL E AVALIAÇÃO DOS
CONTROLES INTERNOS: CONTRIBUIÇÃO AO ESTUDO DE UMA
METODOLOGIA
Dissertação apresentada como requisito parcial
à obtenção do grau de Mestre ao Curso em
Administração, Centro de Ciências da
Administração – ESAG – Universidade
Estadual de Santa Catarina UDESC. Área de
Concentração:
Gestão
Estratégica
de
Organizações, Linha de Pesquisa: Gestão de
Inovações e Tecnologias Organizacionais.
Orientador: Julibio David Ardigo, Dr
FLORIANÓPOLIS (SC)
JULIANE CANDIDO
LEVANTAMENTO DE RISCO OPERACIONAL E AVALIAÇÃO DOS
CONTROLES INTERNOS: CONTRIBUIÇÃO AO ESTUDO DE UMA
METODOLOGIA
Esta dissertação foi julgada adequada para a obtenção do Título de Mestre em Administração,
na área de concentração Gestão Estratégica de Organizações, linha de pesquisa: Gestão de
Inovações e Tecnologias Organizacionais, e aprovada em sua forma final pelo Curso de
Mestrado em Administração da Universidade do Estado de Santa Catarina, em 26 de julho de
2007.
Apresentada à Comissão Examinadora, integrada pelos professores:
Julibio David Ardigo, Dr.
Orientador
Luis Gonzaga Mattos Monteiro, Dr.
Membro
Júlio da Silva Dias, Dr.
Membro
FLORIANÓPOLIS (SC)
As pessoas criam organizações e podem destruí-las. A mercadoria mais valiosa nos negócios
não é a tecnologia nem o capital, são as pessoas.
Se as pessoas não acreditam no mensageiro, elas não acreditarão na mensagem.
O Contador tem preparo e conhecimento para se um bom mensageiro.
Para isso, devemos mudar da cabeça para o coração e buscar a afeição,
a intuição e o desejo das pessoas
AGRADECIMENTOS
A realização de um curso superior no Brasil por si só já é uma vitória singular.
Chegar a um mestrado é uma vitória mais difícil ainda de ser alcançada. Para conquistá-la
precisamos de muito apoio das pessoas que nos cercam e agora é momento de agradecer a
estes seres tão especiais que Deus coloca em nosso caminho:
- A família, base e fortaleza para suportar todo este tempo em que temos que dedicar à
leitura e a confecção da dissertação, abrindo mão da atenção que devíamos ter para com eles.
- Aos professores que não se intimidam ao nos passar o que conhecem e em especial
ao meu orientador professor Julibio, que teve muita paciência em me orientar. E aos demais
professores que compuseram a banca, que dedicaram seu tempo para ler e avaliar este
trabalho, professores Luis Gonzaga Mattos Monteiro, Dr. e Júlio da Silva Dias, Dr.
RESUMO
CÂNDIDO, Juliane.
LEVANTAMENTO DE RISCO OPERACIONAL E AVALIAÇÃO DOS
CONTROLES INTERNOS: CONTRIBUIÇÃO AO ESTUDO DE UMA METODOLOGIA.
2007.
147f.
Dissertação. Programa de Mestrado Acadêmico em Administração, Escola Superior de
Administração e Gerência, Universidade do Estado de Santa Catarina, UDESC, Santa Catarina, 2007.
Tais como os seres vivos, todas as empresas são expostas a riscos durante sua existência.
Entre estes figuram os riscos internos, denominados de má gestão ou fraude. Com o objetivo
de minorar estes riscos operacionais são estabelecidos controles internos que são utilizados
tanto para a organização dos procedimentos como para a proteção de seus ativos. Os controles
internos têm sido aprimorados e regulamentados não apenas devido a sua funcionalidade, mas
em decorrência de escândalos de instituições outrora consideradas acima de qualquer suspeita.
A regulamentação mais conhecida é a Lei Sarbanes Oxley (SOX), do congresso
norte-americano, requisito para as empresas que operam na bolsa de Nova York e suas subsidiárias,
que tem sido adotada como padrão internacional. Esta lei, entre outras, regulamenta a atuação
dos auditores externos, cria regras de conduta e estabelece penalidades para os dirigentes das
empresas e demanda a avaliação dos processos e controles internos. Dada esta exigência legal,
metodologias como a COSO (
Committee of Sponsoring Organizations of the Treadway
Commission
), que se constitui em um rol de recomendações, passaram a ser adotadas com
mais freqüência com o objetivo de atender a legislação e minimizar os riscos operacionais. A
COSO aponta a necessidade de se mapear os processos organizacionais, identificando todas as
tarefas, cada qual com os seus responsáveis, e avaliar os controles internos para saber se os
mesmos estão adequados à empresa. Entretanto, ela não estabelece um modelo funcional de
aplicação. Neste trabalho, se propõe um modelo para a implementação da COSO em uma
organização. O modelo proposto foi aplicado parcialmente em cinco empresas e, depois de
completo, em uma sexta empresa brasileira, todas usuárias do ERP (
Enterprise Resources
Planning
) EMS, da DATASUL. Como resultado, a empresa, além de possuir seus principais
processos mapeados, aperfeiçoou sua mão-de-obra e minimizou vários riscos operacionais.
ABSTRACT
CÂNDIDO, Juliane.
SURVEY OF OPERATIONAL RISK AND EVALUATION OF THE
INTERNAL CONTROLS: CONTRIBUTION TO THE STUDY OF METHODOLOGY
. 2007.
147f. Essay. Master Program for Business Administration University of Administration and
Management, Universidade do Estado de Santa Catarina, UDESC, Santa Catarina, 2007.
Such as the beings livings creature, all the companies are displayed the risks during
its existence. Between these they appear the internal, called risks of bad
management or fraud. With the objective of diminish these operational risks internal
controls are established that are used in such a way for the organization of the
procedures as for the protection of its asset. The internal controls have been
improved and regulated not only had its functionality, but in result of scandals of
institutions long ago considered above of any suspicion. The known regulation more
is the Law Sarbanes Oxley (SOX), of the North American, requisite congress for the
companies who operate in the subsidiary stock market of New York and its, that she
has been adopted as international standard. This law, among others, regulates the
performance of the external auditors, it creates behavior rules and it establishes
penalties for the controllers of the companies and demands the internal evaluation of
the processes and controls. Given to this legal requirement, methodologies as COSO
(Committee of Sponsoring Organizations of the Tread way Commission), that
consists in a roll of recommendations, had passed to be adopted with more
frequency with the objective to take care of the legislation and to minimize the
operational risks. COSO points the necessity of if limit the organizational processes,
identifying to all the tasks, each one with its responsible ones, and evaluating the
internal controls to know if the same ones are adjusted the company. However, it
does not establish a functional model of application. In this work, if she considers a
model for the implementation of COSO in an organization. The considered model
was applied partially in five companies and, after complete in one sixth Brazilian
company, all users of ERP (Enterprise Resources Planning) EMS, of the DATASUL.
As result, the company, beyond possessing its main limits processes, it optimized its
man power and it minimized some operational risks.
LISTA DE ILUSTRAÇÕES
Quadro 1 - Comparação controle gerencial x controle de tarefas ... 18
Quadro 2 - Artigos de maior relevância da SOX... 38
Figura 1 – Ferramentas ao longo dos anos ... 43
Figura 2 - Os cincos componentes essenciais da estrutura de um controle interno de
LISTA DE TABELAS
LISTA DE ABREVIATURAS
AAA
– American Accouting Association (Associação Americana de Contadores)
ADRs
- American Depositary Receipts
AICPA
– American Institute of Certified Public Accounts (Instituto Americano de
Contadores Públicos)
ACC
– AUSTRALIAN CRITERIA OF CONTROL
CEO
- Chief Executive Officer (Principal Executivo)
CFO
- Chief Financial Officer (Principal Executivo de Finanças)
CICA
- The Canadian Institute of Chartered Accountants
COCO
– Criteria of Control
CSA
– Control Self Assessment
ERP
- (Enterprise Resources Planning)
FEI
– Financial Executives Internacional (Executivos Financeiros Internacional)
IBRACON
- Instituto de Auditores Internos do Brasil-
ISO
- International Standards Organization
IIA
– The Institute of Internal Auditors (Instituto dos Auditores Internos)
IMA
– Institute of Management Accountants (Instituto dos Contadores Gerenciais)
ISACA
- Information Systems Audit and Control Foundation,
NYSE
- New York Stock Exchange
PCAOB
- Public Company Accounting Oversight Board
SEC
- U.S. Securities and Exchange Commission
SOX
- Sarbanes-Oxley
SUMÁRIO
1 INTRODUÇÃO
... 12
1.1OBJETIVOS... 14
1.1.1 Objetivo geral ... 14
1.1.2 Objetivos específicos... 14
1.2 JUSTIFICATIVA ... 14
1.3 ORGANIZAÇÃO DO TRABALHO ... 16
2 FUNDAMENTAÇÃO TEÓRICA
... 17
2.1 CONTROLES... 17
2.1.1 Controles de tarefas e controles gerenciais... 17
2.1.2 Controles manuais e controles automatizados... 18
2.2 CONTROLE INTERNO ... 19
2.2.1 Controles Internos Contábeis e Controles Internos Administrativos ... 20
2.2.2 Importância do Controle Interno ... 21
2.3 FRAUDES ... 22
2.3.1 Grandes escândalos de fraudes ... 25
2.3.1.1 Enron
... 25
2.3.1.2 Banco Barings
... 25
2.3.1.3 Worldcom
... 26
2.3.1.4 Banco Nacional
... 26
2.3.1.5 Parmalat
... 26
2.4 RISCOS ... 27
2.4.1 Tipos de Riscos... 28
2.4.1.1 Risco de Mercado
... 28
2.4.1.2
Risco de Crédito
... 29
2.4.1.3 Risco Legal
... 29
2.4.1.4 Risco Liquidez
... 29
2.4.1.5 Risco de Imagem
... 29
2.4.1.6 Risco Operacional
... 30
2.4.2 Gestão de Riscos... 31
2.4.3 Análise de risco operacional... 33
2.4.3.1 Análise de Risco Quantitativo ... 34
2.5 ERP (Enterprise Resources Planning) ... 35
2.6 SARBANES OXLEY... 35
2.7 GOVERNANÇA CORPORATIVA... 39
2.7.1 Objetivos e princípios básicos da Governança Corporativa... 39
2.8 METODOLOGIAS DE AVALIAÇÃO E IMPLANTAÇÃO DE CONTROLES
INTERNOS (FRAMEWORKS) ... 43
2.8.1 COSO ... 43
2.8.1.1 Ambiente de Controle (
Control environment
)
... 45
2.8.1.3 Controle de Atividades (
Control activies
)
... 46
2.8.1.4 Informação e comunicação
... 47
2.8.1.5 Monitoração
... 48
2.8.1.6 Princípios COSO de Controle Interno
... 48
2.8.2 COBIT (
Control Objectives for Information and Related Technologies
)... 49
2.8.3 COCO (
Criteria of Control
)... 50
2.8.4 TURNBULL REPORT ... 51
2.8.5 KING REPORT... 51
2.8.6 ACC (
Australian Criteria of Control
)... 53
2.8.7 Control Self Assessment (CSA) ... 53
2.8.8 Metodologia Interna do Banco do Brasil... 54
2.8.9 Resolução 3380 Bacen ... 55
3 ASPECTOS METODOLÓGICOS
... 56
3.1 PROCEDIMENTOS METODOLÓGICOS ... 56
3.2 CARACTERIZAÇÃO E DELIMITAÇÃO DA PESQUISA... 57
3.2.1 Trajetória da pesquisa... 57
3.2.2 Levantamentos preliminares (
design
e perspectiva da pesquisa) ... 58
4 MODELO INTEGRADO PARA PREVENÇÃO DE RISCOS OPERACIONAIS E
ANALISE DOS CONTROLES INTERNOS, APLICANDO A METODOLOGIA COSO
59
4.1 CONTEXTO DATASUL... 59
4.2 METODOLOGIA BASE ... 60
4.2.1 Entendendo o Processo... 61
4.2.2 Avaliando os controles ... 64
4.2.3 Avaliar os riscos inerentes aos processos ... 67
4.2.4 Apresentação dos resultados... 71
4.3 ESTUDO DE CASO ... 73
4.3.1 Pesquisa aplicada... 73
4.3.2 Aplicação do Modelo ... 75
4.3.2.1 Aplicações iniciais
... 76
4.3.2.2 Aplicação Final
... 79
5 CONSIDERAÇÕES FINAIS
... 84
5.1 RECOMENDAÇÕES PARA NOVOS ESTUDOS ... 85
REFERÊNCIAS BIBLIOGRÁFICAS
... 86
APÊNDICES
... 90
1
INTRODUÇÃO
As organizações buscam minimizar seu potencial de perdas, que podem advir de riscos
originados de fatores internos ou externos. Enquanto os fatores externos, em geral, não são de
controle da empresa os internos são passíveis de identificação e controle.
O mapeamento dos processos identificando todas as tarefas e seus responsáveis é o
primeiro e primordial passo para avaliar os controles internos, saber se os mesmos estão
adequados para a empresa e assim poder avaliar os riscos operacionais, gerar um índice que
identifique como estão interagindo os fatores pessoas, ferramentas e processos.
O mapeamento de risco operacional ainda gera dúvidas e questionamentos quanto a
sua avaliação, mensuração e também quanto às análises dos controles internos desses
processos. Que tipo de ferramenta e metodologia usar? A subjetividade desta análise levou à
criação de metodologias e mereceu ainda mais atenção dos estudiosos após os escândalos de
fraudes de grandes empresas multinacionais.
Como garantir que as informações geradas estão de acordo com as leis e qual o risco
de estarem sendo geradas informações erradas? Identificar os pontos frágeis nos processos,
podendo assim aumentar ou melhorar os controles internos em determinadas fases do mesmo,
poderá garantir maior tranqüilidade aos responsáveis por esta tarefa.
A necessidade das empresas em saber o nível de risco dos seus processos operacionais,
a existência de empresas que não conhecem a fragilidade de seus processos e assim possuem
controles internos mal aplicados, e ainda a obrigatoriedade legal, com padrões cada vez mais
elevados, demandam metodologias e ferramentas que gerem essas informações.
Assim, em qualquer situação que a empresa necessite ou simplesmente opte por
levantar os seus possíveis riscos operacionais, precisará de uma ferramenta que a auxilie.
O assunto abordado trata parcialmente dos novos tratamentos a serem aplicados à
atuação dos órgãos de Controladoria e Governança Corporativa (
Corporate Governance
) das
organizações empresariais e a adequação às novas normas internacionais de transparência.
Essas normas exigem que as empresas possuam seus controles internos mapeados, mantendo
assim o conhecimento do nível de risco operacional de seus processos, entre outras
exigências.
está sendo aplicada internacionalmente, poderá ser demorada e dispendiosa.
Em 16/08/2006 foi formado oficialmente no Brasil o Comitê de Pronunciamentos
Contábeis, com a função de estudar, preparar e emitir pronunciamentos técnicos, orientações e
interpretações. O Comitê vai centralizar e uniformizar a produção de procedimentos
contábeis, a fim de estabelecer, em médio prazo, um único conjunto de normas para aplicação
no Brasil, adequado aos padrões internacionais.
Por meio dessas ações, vai revisar as normas brasileiras de contabilidade à luz das
regras internacionais e avaliar quais já estão de acordo com esses padrões e quais, dentre as
que se encontram em desenvolvimento, têm potencial de convergência.
O alto custo para a adaptação as Leis em questão está levando muitas empresas a
questionar a implantação da mesma, uma vez que a maioria não possui processos mapeados e
controles internos definidos de acordo com o artigo mais problemático da Lei Sarbanes
Oxley, o artigo 404.
As empresas brasileiras geram suas demonstrações contábeis, na maioria somente para
atender as exigências governamentais, sempre baseadas nas leis e normas impostas por eles.
Porém, muitas vezes sem conhecimento suficiente da avaliação dos controles internos e do
nível de risco operacional da empresa para gerá-las de forma fidedigna. Assim, mesmo que as
leis brasileiras sejam atendidas a maioria delas satisfará demandas exclusivas do governo e
não dos sócios e administradores da empresa, que é a preocupação atual do mercado.
Tratando-se das demonstrações contábeis, a legislação é comum a todas às empresas.
Porém, excluindo as estas de cunho obrigatório, as empresas não são adeptas voluntariamente
a outras normas mais abrangentes e adequadas a outros interessados que não o governo.
Muitas vezes os números gerados não são confiáveis ou não são claros.
Dado esta exigência legal, metodologias como a COSO (Committee of Sponsoring
Organizations of the Treadway Commission), que se constitui em um rol de recomendações,
passaram a ser adotadas com mais freqüência com o objetivo de atender a legislação e
minimizar os riscos operacionais.
1.1 OBJETIVOS
1.1.1
Geral
O objetivo geral do presente trabalho é propor um modelo para implementação da
metodologia COSO no levantamento de risco operacional e avaliação dos controles internos
aos clientes Datasul.
1.1.2
Específicos
Para alcançar o objetivo geral, é necessário atingir os seguintes objetivos específicos:
•
Identificar metodologias existentes para levantamento do risco
operacional;
•
Levantar a legislação vigente sobre o tema;
•
Demonstrar a importância dos Controles Internos na prevenção dos riscos
operacionais;
•
Propor sugestão de uma metodologia a para o levantamento do risco
operacional inerente a cada processo, para melhorar o entendimento
relativo da vulnerabilidade correspondente;
•
Testar a metodologia.
1.2
JUSTIFICATIVA
Este estudo será realizado levando em consideração a metodologia criada pela autora
para ser implantada na atividade de levantamento do risco operacional nos clientes Datasul,
através da qual, mapeiam-se os processos, avaliam seus controles internos e mensuram-se os
riscos operacionais.
Para a Datasul ter um estudo aprofundado da metodologia por ela aplicada em seus
trabalhos
é garantia de funcionalidade.
soluções para facilitar os controles da empresa.
Nesse processo de adaptação às leis e até mesmo aos processos de governança
demandam uma abrangente avaliação do ambiente tecnológico para reavaliar a expectativa de
falhas nos processos operacionais. As solicitações do artigo 404 da SOX refletem essa
importância, pois interfere em todos os processos operacionais da empresa.
Assim, conhecendo muito dos sistemas operacionais das empresas, a Datasul poderá
oferecer um diferencial para ajudar seus clientes nessa adaptação. Outras adaptações serão
necessárias, mas as da área de TI constituirão a maior e mais dispendiosa tarefa.
A automação dos controles otimizando os processos é sem dúvida o que mais se tem
discutido, fazendo com que as empresas desenvolvedoras de ERPs ganhem forças à medida
que surjam as necessidades de seus clientes, sempre atentando para a redução de riscos, e,
conseqüentemente, gerando economia de valores.
Mudanças no âmbito dos conselhos administrativos de grandes organizações
brasileiras, e ainda os escândalos de grandes empresas internacionais que abalaram o mercado
financeiro como Enron, Worldcom e Parmalat que, pela falta de controle, levou ao mercado
informações distorcidas, também justificam a escolha deste tema.
Para uma organização, ter todo o processo definido é um grande auxílio quando da
necessidade de divulgar informações com fidelidade, transparência, qualidade, pontualidade e
consistência. Uma divulgação confiável gerará maior garantia e passará mais tranqüilidade ao
mercado e aos acionistas.
Nos últimos anos os grandes escândalos de fraudes geraram um estudo mais
consistente e também a elaboração de muitas regras. De fato, muitos dos fracassos de
empresas que se conhece hoje ocorrem por falhas não identificadas de controles internos, ou
ainda avaliação ineficiente dos riscos operacionais. Este trabalho pode subsidiar a elaboração
de novas regras brasileiras que gerem mais detalhes em relação aos trabalhos de avaliação de
riscos de controles internos e assim melhor orientar os profissionais que desenvolvem esse
trabalho.
1.3 ORGANIZAÇÃO DO TRABALHO
Após esta introdução, apresenta-se a fundamentação teórica, onde se buscou
apresentar as normas e legislações que regem o tema, bem como as metodologias mais
adotadas, como a COSO, e casos clássicos de fraudes que poderiam ser evitados pela adoção
dos procedimentos recomendados.
A seguir é apresentada a metodologia adotada neste trabalho, o modelo proposto e os
resultados de sua aplicação em várias empresas.
2
FUNDAMENTAÇÃO TEÓRICA
Para alcançar o objetivo proposto para este trabalho será necessária uma ampla
pesquisa bibliográfica de diversas áreas que interagem entre si. Temas atuais, como as normas
e legislações, a metodologia COSO, que será base do nosso trabalho, passando por conceitos
históricos como o papel dos controles na administração.
As fraudes que ocorreram por falhas dos controles, os
frameworks
existentes também
serão citadas.
2.1
CONTROLES
Esse assunto tem sido amplamente estudado na atualidade e divulgado na mídia
especializada, gerando discussões em eventos relacionados à área. Apesar de configurar com
maior ênfase na contabilidade está inserido em toda a empresa, fazendo parte das funções da
Administração. DRAFT (1999) relaciona o processo da administração como:
- Planejamento: seleção de objetivos e maneiras de realizá-los;
- Organização: designação das responsabilidades para a execução das tarefas;
- Liderança: uso da influência para motivar funcionários;
- Controle: monitoramento de atividades e execução de correções, recursos,
pessoas, financeiros, matérias-primas, tecnológicos e informações.
Desta forma, o controle está incluso no processo de administração e, para Atkinson
(2000, p. 581), controle “[...] é o conjunto de métodos que os membros da empresa usam para
mantê-la na trajetória para alcançar seus objetivos. Um sistema está sob controle se ele está no
caminho para alcançar seus objetivos”.
2.1.1
Controles de tarefas e controles gerenciais
compreendem o comportamento de executivos e comportamentos que não podem ser
expressos em equações. Após a leitura destes conceitos identificou-se que o tipo de controle
utilizado para este trabalho é o controle de tarefas.
Atkinson (2000, p. 583) assinala que o “controle por tarefas é o processo que certifica
se uma tarefa está completa da maneira predeterminada”.
Para ilustrar e melhor diferenciar controle gerencial de controle de tarefas, observe-se
o quadro a seguir:
Formulação de estratégia Controle Gerencial
Controle de tarefas
Adquirir negócio de outro
ramo
Introduzir novos produtos ou
uma nova marca em linha
existente
Coordenar a entrada de
pedidos
Entrar em novo negócio.
Expandir a fabrica
Planejar a produção
Adotar vendas por mala
direta
Definir
orçamento
de
publicidade
Encomendar comerciais
de TV
Alterar
o
índice
de
endividamento
Contratar novo empréstimo
Gerir fluxo de caixa
Adotar
uma
política
afirmativa de ação
Implementar programa de
recrutamento de minorias.
Manter
pessoal
registro
de
Delinear uma política de
especulação com estoques
Determinar
estoques
níveis
de
Pedir itens faltantes
Determinar a magnitude e
a direção da pesquisa
Controlar a organização da
pesquisa
Executar os projetos de
pesquisa
Quadro 1 - Comparação controle gerencial x controle de tarefas Fonte: Anthony (2002, p. 41)