UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · 2012-02-24 · formava um megagrupo...
64
1 UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO SENSU” FACULDADE INTEGRADA AVM AUDITORIA: A IMPORTÂNCIA DOS CONTROLES INTERNOS E COMPLIANCE Por: Marcio Patrick Gomes Martins Tostes Orientador Prof.ª Luciana Chaves Madeira Rio de Janeiro 2011
Transcript of UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO … · 2012-02-24 · formava um megagrupo...
1
UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATO SENSU”
FACULDADE INTEGRADA AVM
AUDITORIA: A IMPORTÂNCIA DOS CONTROLES INTERNOS
E COMPLIANCE
Por: Marcio Patrick Gomes Martins Tostes
Orientador
Prof.ª Luciana Chaves Madeira
Rio de Janeiro
2011
2
UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATO SENSU”
FACULDADE INTEGRADA AVM
AUDITORIA: A IMPORTÂNCIA DOS CONTROLES INTERNOS
E COMPLIANCE
Apresentação de monografia à Universidade Candido
Mendes como requisito parcial para obtenção do grau de
especialista em Auditoria e Controladoria.
Por: Marcio Patrick Gomes Martins Tostes
3
AGRADECIMENTOS
Deus, meu maior inspirador e meus
professores, minha esposa pelo apoio e
incentivo ao estudo.
4
DEDICATÓRIA
Dedico aos Mestres com os quais tive a
oportunidade de aprender, minha Esposa, meus
Pais, Amigos e Familiares.
5
RESUMO
Diante de grandes escândalos em função de fraudes em Demonstrações
Financeiras e Contábeis, ocorridos em empresas multinacionais, que tem suas ações
negociadas na Bolsa de Valores dos Estados Unidos, dois americanos criaram e
conseguiram aprovação da Lei Sarbanes Oxley, cujo nome é composição da
combinação dos nomes de ambos criadores.
Assim, além de levar ao aperfeiçoamento dos padrões contábeis, provocaram
mudanças na responsabilidade dos administradores das Companhias e na forma com
que as empresas tratam os acionistas minoritários e prestam conta ao mercado, e as
companhias de capital aberto que não tiverem suas demonstrações financeiras
apresentadas de forma consistente, com meios de comprovarem sua veracidade,
estarão sujeitas a sanções da Lei.
Os Diretores Executivos terão total responsabilidade pelos números
apresentados, e caso haja inconsistências deverão pagar severas multas, com
possibilidade de até ficarem detidos, cumprindo penas em função das irregularidades.
E mais, as empresas que não estiverem certificadas à lei perderão o direito de
negociar suas ações nas Bolsas de Valores dos Estados Unidos.
A lei, acima de tudo, procura deixar clara e transparente a situação da
empresa perante seus acionistas, de forma a gerar uma confiabilidade aos que
desejam investir.
Portanto, no decorrer do trabalho, será apresentado todo o universo desta lei,
desde conceitos básicos, história, principais características e também qual a
importância dos Controles Internos e Compliance dentro de uma companhia.
6
METODOLOGIA
O Objeto de análise parcial é a Bradesco Saúde S/A, especificamente a área de
Gestão de Compliance, implementada desde 2006. Da Lei Sarbanes-Oxley, dentre as
outras demandas legais pertinentes a Gestão de Compliance.
Como fator preponderante este trabalho visa analisar o poder de contribuição com o
crescimento da empresa na mitigação dos riscos e disseminação da cultura para todos
os colaboradores, incluindo a alta administração, tendo-se em vista a importância dos
Controles Internos para a empresa e os métodos que levam ao problema proposto, a
importância dos Controles Internos e Compliance. Como objeto de pesquisa consultou-se algumas fontes tais como: bibliografias,
intranet Bradesco Saúde S/A, livros, Sites. É importante incluir créditos a Bradesco
Saúde S/A como fonte de material e parcial objeto de observação e estudo.
7
INTRODUÇÃO
Esse trabalho tem por objetivo apresentar as principais mudanças ocorridas
nas companhias de capital aberto, em função da aprovação de uma lei norte
americana que estabelece novos princípios de governança corporativa. A idéia do
assunto que será abordado na monografia, de auditoria com foco em Controles
Internos e Compliance da Bradesco Saúde S/A, ou seja, uma empresa privada que
investe na área de Governança Corporativa e Gerenciamento de Riscos, com isso
mostra a importância desta atuação para as auditorias internas e externas dentro de
uma empresa. Portanto, fica evidente a importância dos Controles Internos e
Compliance para uma empresa privada.
Auditoria e a importância dos controles internos e Compliance foi o tema
escolhido, em função da área profissional atuada.
É impossível falar em processo de auditoria sem deparar-se com os termos
“Controle interno” e “Compliance”, é a essência para que as coisas aconteçam dentro
dos padrões de confiabilidade e segurança estabelecido.
Através dos controles internos e compliance criam-se parâmetros de
qualidade e confiabilidade em todos os níveis empresariais. Quando uma empresa
aplica estes controles e realiza testes de desempenho identifica as falhas e corrigi-las
de forma a reverter a situação e adquirir mais qualidade e se adequar a velocidade da
mudança.
Sendo assim, na elaboração deste trabalho, se abordará os conceitos da
Gestão de Controles Internos e Compliance, Processos e as principais metodologias
de controles, se dará ênfase à implementação e certificação da Lei Sarbanes-Oxley.
8
SUMÁRIO
CAPÍTULO
1 DESENVOLVIMENTO............................................................................... 09 1.1 A Lei Sarbanes Oxley....................................................................... 09 1.2 Mudança de Cultura......................................................................... 15 1.3 Obrigações e Oportunidades............................................................ 16 1.4 As Seções......................................................................................... 19
1.4.1 Seção 302.............................................................................. 20 1.4.2 Seção 404.............................................................................. 21 1.4.3 Seção 302 e Seção 404 - Apenas Uma................................ 22
1.5 Organização e Comprometimento...................................................... 24
2 METODOLOGIA....................................................................................... 27 2.1 O COSO............................................................................................ 27 2.2 A Estrutura do COSO....................................................................... 31
2.2.1 Ambiente de Controle............................................................ 31 2.2.2 Avaliação e Gerenciamento de Riscos.................................. 32 2.2.3 Atividades de Controle........................................................... 35 2.2.4 Informação e Comunicação................................................... 38 2.2.5 Monitoramento........................................................................ 39
3 CONTROLES INTERNOS E COMPLIANCE BRADESCO SAÚDE
41
3.1 Certificação à Sarbanes Oxley......................................................... 41 3.2 O Plano de Ação............................................................................... 44 3.3 A Implementação.............................................................................. 44
3.3.1 Fluxogramação dos Processos.............................................. 45 3.3.2 Identificação e Validação dos Controles Chave..................... 45 3.3.3 Elaboração de um Inventário de Riscos e Controles............. 45 3.3.4 Realização de Testes dos Fluxogramas (Walkthrough)........ 46 3.3.5 Execução dos Testes de Aderência (Evidências).................. 46 3.3.6 Remediação de Controles Deficientes................................... 46 3.3.7 Certificação – Um pequeno Resumo..................................... 47
CONCLUSÃO..................................................................................................... 48 BIBLIOGRAFIA................................................................................................... 50
ANEXOS.............................................................................................................. 52 GLOSSÁRIO Definição de Termos......................................................................... 54
9
CAPÍTULO 1
DESENVOLVIMENTO
1.1 A Lei Sarbanes Oxley
Segundo Euzébio Angelotti (2006), foi assinado em 30 de julho de 2002,
pelos senadores Paul Sarbanes e Michael Oxley, a lei Sarbanes Oxley também
conhecida por Sarbox ou SOX foi criada com o objetivo de recuperar a confiança do
público em geral no conturbado período por que passava o mercado de capitais norte
- americano, devido a uma série de escândalos corporativos ocorridos com grandes
empresas no inicio deste século.
De acordo com o COSIF1
Esta mudança se deve aos escândalos financeiros de grandes empresas nos
Estados Unidos, que alteraram radicalmente as regras no mundo dos negócios. Além
de levarem ao aperfeiçoamento dos padrões contábeis, provocaram mudanças na
responsabilidade dos administradores das Companhias e na forma com que as
empresas tratam os acionistas minoritários e prestam contas ao mercado. Essas
novidades constam da lei norte-americana Sarbanes Oxley, imposta a todas as
corporações, inclusive estrangeiras, com ações negociadas nas bolsas de valores dos
EUA. Em função do nome extenso e inglês, adotam-se também as expressões
"SARBOX" e "SOX" para facilitar a sua utilização no dia-a-dia.
Sarbanes-Oxley, é considerada a lei norte-
americana mais importante para questões corporativas elaborada nos últimos 75
anos. Fez com que as práticas de boa governança corporativa se transformassem em
lei, enfatizando o papel fundamental dos controles internos. A partir do ano
(exercício) de 2004, novos princípios de governança corporativa deixaram de serem
apenas decisões estratégicas dos administradores para se tornarem leis,
regulamentadas e fiscalizadas pela Securities and Exchange Comission também
conhecido como “SEC”, instituição americana equivalente à Comissão de Valores
Mobiliários cuja a sigla é “CVM” no Brasil.
1 Disponível em: http://www.cosif.com.br/mostra.asp?arquivo=contabilidade_internacional-coso Acesso em 17/01/2012.
10
Segundo a Deloitte2
E ainda, a SOX foi uma resposta do governo americano por uma série de
escândalos contábeis ocorridos em grandes empresas dos Estados Unidos, com o
objetivo de recuperar a confiança dos investidores e evitar uma descapitalização das
empresas daquele país. A Deloitte2 enumera os principais escândalos corporativos:
em seu trabalho “Lei Sarbanes- Oxley: Guia para
melhorar a Governança Corporativa”, mostra de forma mais ainda notável que a Lei
Sarbanes-Oxley privilegia o papel crítico do “controle interno”. O Controle interno é
um processo executado pela Diretoria, pelo Conselho de Administração ou por outras
pessoas da companhia que impulsionam o sucesso dos negócios em três categorias:
Eficácia e eficiência das operações; Confiabilidade dos relatos financeiros;
Cumprimento das leis e regulamentos aplicáveis.
a) O caso Enron – Estados Unidos (2001)
A Enron foi fundada em 1985, a partir da fusão de duas empresas distribuídas de gás
natural. No ano de 1989, começou a atuar no mercado de commodities de gás
natural, tendo como estratégia comprar uma empresa geradora ou distribuidora de
gás natural e fazer dela um centro de armazenamento ou comercialização de energia.
Dessa forma, a Enron se tornara a quinta maior empresa norte-americana em 2001,
por cinco anos apontados pelo ranking da revista Fortune como uma das cem
melhores empresas para se trabalhar nos EUA. (BORGERTH, 2007).
O escândalo aconteceu em Novembro de 2001, quando a empresa admitiu ter inflado
seus lucros em aproximadamente US$ 600 milhões nos últimos quatro anos. Com a
finalidade de apresentar uma saúde financeira que lhe possibilitasse acesso a crédito,
a Enron manipulou seus dados contábeis, criando empresas do tipo Specific Purpose
Enterprise (SPE), sendo que executivos da própria Enron eram os acionistas
principais e das quais a própria Enron detinha 3% do controle. Sendo assim, era
desnecessária a consolidação dos resultados dessas empresas nas demonstrações
contábeis da Enron. (BORGERTH, 2007).
2 Disponível em www.deloitte.com.br, acesso 17/01/2012. Deloitte Touche Tohmatsu,Limited é uma empresa de Auditoria, Consultoria, Consultoria Tributária, Corporate Finance e Outsourcing. Fundada em 1845, em Londres.
11
Segundo Silva (2007), os principais executivos, Kenneth Lay e Jeffrey
Skilling, admitiram que não efetuavam a consolidação dos resultados de subsidiárias
deficitárias de acordo com os princípios norte-americanos geralmente aceitos, o que
fez com que o preço das ações da Enron passasse de US$ 81,00 em janeiro de 2001,
para US$ 0,40, doze meses depois. A investigação indicou que os ex-executivos,
contadores, instituições financeiras e escritórios de advocacia foram responsáveis
direta ou indiretamente pelo colapso da empresa, principalmente pela manipulação
das demonstrações contábeis.
b) O caso Arthur Andersen – Estados Unidos (2002)
A Arthur Andersen era tida como uma das mais conceituadas empresas de auditoria e
formava um megagrupo conhecido no mercado como Big Five. As outras empresas
de cinco auditorias que formavam o mega grupo eram: PricewatherhouseCoopers, a
Deloitte Touche Tohmatsu, a Ernst & Young e a KPMG. (BORGERTH, 2007).
Como auditora da Enron, certamente, a Arthur Andersen estava mais do que ciente
das práticas contábeis que a empresa vinha adotando. Mais do que isso, no ano de
2001, a Andersen havia recebido US$ 52 milhões por serviços prestados a Enron.
Deste montante, US$ 27 milhões foram derivados da prestação de serviços de
consultoria. Em resumo, provavelmente, a Andersen havia participado ativamente da
estruturação das operações antiéticas. Dessa forma, a divisão de auditoria da empresa
jamais poderia condenar tais operações. (BORGERTH, 2007). De acordo com
Borgerth (2007, p. 6) tão logo começaram os rumores sobre problemas na Enron, a
Andersen começou a destruir destruiu toda e qualquer documentação que pudesse
comprometê-los, na mais declarada atitude antiética que uma empresa do seu setor de
atuação poderia tomar. Depois deste comportamento, a Arthur Andersen se extinguiu
no mundo todo, da noite para o dia.
c) O caso WorldCom – Estados Unidos (2002)
12
A WorldCom era conhecida como a segunda maior empresa de telefonia de longa
distância nos Estados Unidos. Durante o período de 1999 a 2002, a empresa havia
expandido intensamente, a partir de fusões e aquisições, usando bilhões de dólares de
suas próprias ações e dívidas de US$ 25 bilhões como mecanismo de financiamento
desta expansão. Para forjar essas fontes, a empresa manipulou suas demonstrações
contábeis. O que a WorldCom vinha fazendo, com a anuência do seu auditor (a
mesma Arthur Andersen envolvida no caso Enron), era contabilizar gastos
operacionais como se fossem operações de investimento (BORGERTH, 2007).
Assim, o que deveria estar no resultado de um só período era ativado e amortizado ao
longo dos anos. De acordo com Borgerth (2007), a WorldCom está se reerguendo
graças ao estabelecimento de um código de Governança Corporativa considerado
austero mesmo pelos mais conservadores. E mudou sua razão social para MCI.
A Lei Sarbanes Oxley determina a certificação de uma série de controles
internos, a fim de garantir que os resultados financeiros divulgados pelas empresas
sejam obtidos de acordo com sólidos padrões de conduta. As movimentações
financeiras devem estar apresentadas de forma clara, os níveis de alçada e
responsabilidades bem definidos.
Com 1.107 artigos, a SOX obriga as Companhias de capital aberto a
reestruturarem processos, para aumentar a transparência do negócio, da gestão de
identidade e gestão da informação. A Companhia que não enquadrar-se aos aspectos
determinados por essa lei estará sujeita a multas de US$ 1 milhão até US$ 25
milhões e a pena de 10 a 20 anos de prisão para os seus Administradores.
Todas as empresas brasileiras, que possuírem ações negociadas no mercado
de Bolsa de Valores, estão obrigadas a cumprir rigorosamente o conjunto normativo
da SOX. Todo o ambiente regulatório do Brasil tende a seguir um pouco a Sarbanes
Oxley que tem como objetivos alcançar governança corporativa, formalizar
processos, controles internos, programar procedimentos de prevenção e detecção de
fraudes e permitir maior transparência em todos os níveis da empresa.
As principais novidades da Sarbanes Oxley estão ligadas às exigências de
criação de um comitê de auditoria, desenvolvimento de controles internos pelas
empresas para a verificação das informações a serem divulgadas e a responsabilidade
13
dos executivos e dos auditores externos em relação aos números apresentados pelas
Companhias.
O trabalho envolve identificar as áreas de negócio, documentar processos e
garantir que as informações precisas e corretas fluam até chegar à administração da
Companhia, responsável pelos resultados financeiros. A SOX requer que, além de
desenvolver controles os executivos da empresa, Presidente e Diretor Financeiro,
analisem e certifiquem o desenho e a operação dos mecanismos de controles.
Segundo Boynton, (2002, p113), temos a seguinte definição “Controles
Internos: São um processo operado pelo conselho de administração, pela
administração e outras pessoas, desenhado para fornecer segurança razoável quanto a
consecução de objetivos nas seguintes categorias:
* confiabilidade de informações financeiras;
* obediência (compliance) às leis e regulamentos aplicáveis;
* eficácia e eficiência de operações”.
Diante desses conceitos, pode-se afirmar que o controle interno envolve todas
as atividades e rotinas, de natureza contábil e administrativa, com o intuito de
organizar a empresa de tal forma que seus colaboradores compreendam, respeitem e
façam cumprir as políticas traçadas pela administração; os ativos tenham sua
integridade protegida; e por fim que, todas as operações da empresa sejam
adequadamente registradas nos registros contábeis e fidedignamente retratadas pelas
demonstrações financeiras.
Os controles internos sobre os relatórios financeiros existem para permitir à
empresa alcançar seus objetivos no sentido de que as demonstrações financeiras
estejam adequadamente apresentadas de acordo com os princípios contábeis aceitos.
Por outro lado, os controles internos existem para avaliar o risco de declarações
inexatas significativas devido a erro ou à fraude. Dessa forma, a avaliação da
administração dos controles internos começa pela avaliação e documentação dos
processos e riscos inerentes ao negócio (vide definição de riscos).
Segundo Borgerth (2007, p.16), “o grande objetivo da SOX é restaurar o
equilíbrio dos mercados por meio de mecanismos que assegurem a responsabilidade
14
da alta administração de uma empresa sobre a confiabilidade da informação por ela
fornecida”. Além disso, tem como objetivo estabelecer padrões mais rígidos de
responsabilidade corporativa, garantindo a criação de mecanismos de auditoria e
segurança das informações através da adoção de práticas de governança corporativa e
ainda reparar a perda da confiança pública no mercado de ações norte-americano.
Segundo Almeida (2003), a auditoria interna surgiu da necessidade de dar
maior ênfase às normas ou aos procedimentos internos e com a expansão dos
negócios, o administrador não poderia supervisionar pessoalmente todas as
atividades da empresa, surgindo o auditor interno que verificaria se tais
procedimentos estavam sendo seguidos pelos funcionários da organização.
A auditoria interna é aquela exercida por funcionário da própria empresa, em caráter
permanente. Apesar de seu vínculo à empresa, o auditor interno deve exercer sua função com
absoluta independência profissional, preenchendo todas as condições necessárias ao auditor
externo, mas também exigindo da empresa o cumprimento daquelas que lhe cabem.
Ele deve exercer sua função com total obediência às normas de auditoria e o vínculo
de emprego não lhe deve tirar a independência profissional, pois sua subordinação à
administração da empresa deve ser apenas sob o aspecto funcional. (FRANCO; MARRA,
2001, p. 219).
De acordo com Crepaldi (2000, p. 43), a função da auditoria interna: “é
auxiliar todos os membros da administração no desempenho efetivo de suas funções
e responsabilidades, fornecendo-lhes análises, apreciações, recomendações e
comentários que possam ser úteis à administração”. Nesse sentido, Franco e Marra
(2001, p. 219) afirmam que “a vantagem da auditoria interna é a existência, dentro da
própria organização, de um departamento que exerce permanente controle – prévio,
concomitante e conseqüente – de todos os atos da administração”. Nota-se que o foco
da auditoria interna e um dos objetivos da Lei Sarbanes-Oxley.
A auditoria tem por fundamentos na empresa, dar garantias aos
administradores quanto as informações geradas pela contabilidade, para se examinar
se elas estão em conformidades com os aspectos legais, e seus relatórios demonstram
as operações da empresa em determinado período. Dessa forma, pode-se dizer que
sua finalidade é segundo Crepaldi (2000):
15
• Integridade das informações e registros;
• Verificar a eficácia e eficiência dos controles;
• Utilizar métodos para salvaguardar os ativos e comprovação da existência,
entre outros.
O auditor externo utiliza-se de um período curto de tempo na empresa e seu
trabalho está totalmente direcionado para análise das demonstrações contábeis. Para
que o mesmo atenda a direção da empresa, tornar-se indispensável uma auditoria
periódica (ex: três em três meses), com um maior grau de profundidade e visando
também outras áreas não relacionadas com a contabilidade. Com isso veio o
aparecimento do auditor interno que deve ampara-se de todos os meios e provas que
dispuser a seu alcance para apurar a qualidade dos registros contábeis, mesmo que
ocorra a provas externas. Ou seja, para chegar as finalidades de auditoria deve-se
buscar os recursos necessários para a conclusão e afirmação das informações e
registros obtidos (ATTIE, 2000).
“A administração necessita fazer-se presente por toda organização, e em cada um
dos sistemas que a compõe, determinando que tudo funcione e flua normalmente conforme
propusera, a auditoria interna funciona, na realidade, como os olhos da administração.
(ATTIE 2000, p. 4)”.
Segundo Franco e Marra (2001, p.220). “O vínculo empregatício do auditor interno
com a empresa deve ser meramente circunstancial, em virtude de seus serviços serem
prestados exclusivamente para a empresa, em tempo integral.”
“Com o aumento da complexidade das operações de uma empresa, aumentou a
necessidade de normas e procedimentos internos (controles internos). Como o proprietário da
empresa (ou administrador) não poderia fazer isto, alguém deveria fazê-lo por ele. Dai surge
a figura do auditor interno cuja função principal é verificar se as normas internas vêm sendo
seguidas. Paralelamente o auditor interno executa auditoria contábil (CHERMAN, 2005,
p.5)”.
1.2 Mudança de Cultura
A Cultura de uma Organização é algo construído com o tempo, assim como a
cultura de uma nação, de uma cidade ou mesmo de um grupo. Schein (1990) ensina
16
que “A Cultura Organizacional é o sistema de ações, valores e crenças compartilhado
que se desenvolve numa organização e orienta o comportamento dos seus
membros.”.
A Lei Sarbanes-Oxley requer o desenvolvimento, implantação e a obediência
a um código de ética, que deve ser incorporado à cultura da organização, para se
tornar presente no cotidiano das ações dos funcionários. As empresas que não
estiverem dispostas a encarar a certificação à lei como um pré-requisito para o
sucesso de seus negócios estarão fadadas à falência. Será necessária uma mudança de
cultura e comprometimento de todos os níveis da empresa, Estratégico, Tático e
Operacional, a fim de prepará-la para a certificação. É imprescindível a
documentação dos processos, identificação dos riscos e por fim a certificação dos
processos documentados e testados, que deve ser realizada por um auditor
independente. Veremos a diante a formação do grupo de trabalho e todos os passos
desde a reunião inicial até a certificação.
1.3 Obrigações e Oportunidades
A Lei Sarbanes delimita padrões corporativos e dentro destes padrões a busca
pela confiança de suas ações pelos órgãos fiscalizadores.
“Repleta de reformas para a governança corporativa, a SOX busca reconquistar a perda de confiança pública nos líderes empresariais e destacar a importância dos padrões éticos na preparação de informações financeiras apresentadas aos seus investidores e órgãos fiscalizadores.”. DELOITTE 3
A SOX e as regras relacionadas emitidas pela SEC (Securities and Exchange
Comission) são leis e regulamentações complexas que geram confusão e
preocupação a todas as empresas. Mas por trás de todas as regras e regulamentações,
a SOX é uma forma simples, encontrada pelos governantes, para estabelecer recursos
legais na governança corporativa e na ética empresarial. A SOX impõe que a
administração da companhia deve conhecer as informações materiais (documentos e
relatórios) arquivadas na SEC e distribuídas aos investidores e deve, também,
responsabilizar-se pela precisão e veracidade dessas informações.
3 Disponível em: www.deloitte.com.br acesso em 18/01/2012.
17
Ainda segundo a Deloitte4, umas das realizações mais importantes é a
obrigatoriedade da SOX. Para uma companhia de capital aberto o enquadramento a
esta lei não é negociável. Para os comitês de auditoria e para a alta administração das
companhias, particularmente diretores financeiros, contábeis e executivos, as ações e
definições de seus administradores financeiros tornaram-se mais claras e os riscos
significativamente mais altos. Não só suas obrigações estão claras, mas também suas
oportunidades. Ao percorrer o enquadramento à lei, o potencial para revisar e
perceber as novas visões corporativas e atingir novos níveis de qualidade e
excelência é imensurável. Todas as empresas só têm a ganhar. Executivos que tem o
perfil inovador certamente aproveitarão as mudanças para melhorar o desempenho
operacional da empresa. Mesmo as empresas que não são obrigadas a se
enquadrarem na SOX, podem fazer a adoção de determinados componentes, como
parte de um plano geral de aperfeiçoamento das operações de seu negócio.
É importante que os executivos das companhias tratem o cumprimento da
SOX como prioridade. Essa nova ênfase nos controles internos e na divulgação
transparente não é um modismo. A SOX mudou profundamente o cenário
empresarial, e as companhias não podem subestimar a tarefa que tem pela frente,
portanto é necessário tomar ações imediatas. Muitas medidas da lei estão em fase de
formulação e adequação, e novas regras e regulamentações deverão ser adicionadas
para sua melhor adequação dentro das empresas.
É fundamental para a implementação e certificação da SOX que seja
difundida na empresa uma cultura de controle, entre os funcionários e gestores de
todos os níveis hierárquicos. Faz-se necessário também o enquadramento da empresa
numa estrutura de controle, com padrões e metodologias reconhecidas
internacionalmente. Embasado nesta política de cultura de controle, (Attie 2000,
p.121) define alguns meios:
a) Supervisão: a supervisão permanente possibilita melhor rendimento
pessoal, reparando-se rapidamente possíveis desvios e dúvidas decorrentes da
execução das atividades;
b) Sistema de revisão e aprovação: aponta se as políticas e procedimentos
estão sendo seguidas, através de método de revisão e aprovação;
c) Auditoria interna: permite a identificação de transações realizadas pela
18
empresa que estejam em consonância com as políticas determinadas pela
administração.
A alta administração deve trabalhar continuamente para que as políticas e
procedimentos definidos sejam verdadeiramente seguidos e respeitados por
todo o conjunto da administração.
Com tanta exigência e enquadramentos a situação pode não ser tão grave e
tão urgente quanto parece. Quase todas as companhias de capital aberto já possuem
algum tipo de estrutura de controles internos. Por exemplo, sempre que um
funcionário utiliza uma senha para exclusiva para obter acesso a um sistema
qualquer, um controle já está sendo executado. A maior parte das empresas já
implementou algum nível de monitoramento e segurança de suas transações.
Segundo a DELOITTE4 embora a situação pareça não ser tão crítica, está bem
longe de ser ótima. Em muitas empresas existe um intervalo expressivo entre seus
funcionários que executam as atividades de controle e os executivos que tomam
decisões estratégicas de governança. A maior parte das companhias não tem um
vínculo direto das atividades de governança da diretoria com as atividades de
controle da organização.
Mas agora é importante para o cumprimento das regras da SOX que se
estabeleça esse vínculo, já que a lei exige que os altos executivos demonstrem, pelos
registros, o quanto a sua estrutura de controles internos está funcionando bem. Uma
forte estrutura de controles internos pode fornecer benefícios que excedam o
cumprimento da lei Sarbanes Oxley.
Os benefícios podem exceder o simples cumprimento da lei. Na verdade, uma
forte estrutura de controles internos como propõe a Deloitte4 pode ajudar as
companhias a:
• Tomar melhores decisões operacionais e obter informações pontuais;
• Conquistar ou reconquistar a confiança dos investidores e acionistas;
• Evitar a evasão de recursos financeiros;
• Cumprir leis e regulamentos aplicáveis;
• Obter vantagem competitiva através de operações dinâmicas. 4
4 Disponível em: www.deloitte.com.br acesso 19/01/2012.
19
Inversamente, as companhias que se negarem a instituir os controles exigidos
podem se colocar em situações complicadas, tais como segundo a Deloitte4:
• Maior exposição às fraudes;
• Penalidades impostas pela SEC;
• Publicidade desfavorável (falta de credibilidade no mercado em que atuam);
• Impacto negativo sobre o valor das ações;
• Queixas ou ações judiciais impostas por seus acionistas ou governo.
1.4 As Seções
Ao todo a SOX é composta de 11 títulos e cada um com vários artigos,
conhecidos também como seções, que visam à transparência da empresa e impõem
aos seus executivos toda a responsabilidade por fraudes, inclusive com prisão e
severas multas.
Grande parte das discussões e incertezas estão centradas no Título III –
RESPONSABILIDADE SOCIETÁRIA - Art. 302. Responsabilidade societária
pelos relatórios financeiros e no Título IV – DIVULGAÇÕES FINANCEIRAS
APERFEIÇOADAS – Art. 404. Avaliação da administração dos controles internos,
o qual serão abordados detalhadamente pouco mais adiante.
Muitas companhias adotaram ou adotarão estratégias que priorizam o
cumprimento da seção 302 em função da seção 404, pois a seção 302 já está em
vigor desde agosto de 2002 enquanto a seção 404, conforme proposta, não fora
aplicável até o final de 2003.
É importante ressaltar que o direcionamento individual dessas duas seções da
SOX acarretará um processo de enquadramento de riscos e certificação um tanto
quanto ineficiente e provavelmente falho. Dentro deste englobamento abre-se o
termo “Risco de Compliance”, que é segundo a Febraban5
5 Disponível em:
o risco de sanções legais
ou regulatórias, de perda financeira ou de reputação que um banco pode sofrer como
resultado da falha no cumprimento da aplicação de leis, regulamentos, código de
conduta e das Boas Práticas Bancárias.
www.febraban.org.br/Arquivo/Destaques/Funcao_de_Compliance.pdf acesso em 19/01/2012.
20
A Deloitte4 adverte que o foco tem que ser direcionado ambiguamente e não
individualmente, pois os controles internos e avaliações de riscos que serão
abordados, documentados e testados para o cumprimento da seção 404 devem ser
entendidos como caminho, ou mesmo pré-requisitos para a seção 302, pois as
informações contábeis e financeiras consolidadas num determinado momento
deverão estar íntegras, em função de necessariamente, fazerem a composição dos
relatórios finais, os quais a seção 302 impõe que sejam claros e com sua veracidade
comprovada. A seção 302 deverá estar amarrada a seção 404 para uma boa estratégia
de implementação e certificação à lei.
1.4.1 Seção 302: Certificação Trimestral e Anual dos Controles e Procedimentos
De Divulgação
A seção 302 impõe novos níveis de responsabilidade aos diretores executivos
e diretores financeiros, que agora deverão declarar pessoalmente que a divulgação
dos controles e procedimentos foi implementada e avaliada. A SEC também
apresentou uma exigência de divulgação expandida que inclui controles e
procedimentos internos para emissão dos relatórios financeiros, além da exigência
relacionada com os controles e procedimentos de divulgação. Entretanto, é
recomendável que o auditor faça sugestões objetivas no sentido de eliminar as
deficiências existentes no decurso de seus relatórios. Segundo Arantes (1998, p.
175):
É bastante comum que na prática os administradores deleguem responsabilidade de controle às áreas de apoio ou de assessoria, tais como os departamentos de finanças ou de controladoria. Os relatórios são enviados à alta administração e os gerentes participam das reuniões para justificar os maus resultados. Os administradores eficazes, ao contrário, são muito atentos ao controle. Eles se interessam em dispor de bons instrumentos de controles, em obter as informações adequadas para melhorara os resultados e não para preparar justificativas sobre o mal desempenho de sua área de responsabilidade. Eles utilizam as áreas de apoio e de assessoria para auxiliá-los e não para que elas exerçam o controle para eles.
O cumprimento de algumas determinações da seção 302 pode parecer até
relativamente simples. Por exemplo, reafirmar a cada trimestre que o diretor
executivo e o diretor financeiro são responsáveis pelos controles e procedimentos de
divulgação será uma tarefa rotineira. No entanto, a adoção simples de outras medidas
21
não corresponderá ao nível de esforço que poderá ser exigido para o seu
cumprimento, considerando a exigência de que os controles e procedimentos de
divulgação sejam avaliados trimestralmente. Por exemplo, a criação de novos
produtos, mesmo que intangíveis, serão criados novos processos e procedimentos
que deverão ser testados e aprovados, incorrendo em um trabalho de certificação
cíclico, porém renovável. Para uma organização dinâmica que esteja criando novos
produtos e serviços, concluindo fusões e aquisições, formando parcerias e
reorganizando divisões e departamentos, com tarefas e procedimentos, a simples
logística de desenvolver, monitorar e avaliar esses controles pode rapidamente
tornar-se desanimadora, para não falar desesperadora.
1.4.2 Seção 404: Avaliação Anual dos Controles e Procedimentos Internos Para
Emissão de Relatórios Financeiros
Segundo a Deloitte6
incluir em seus relatórios anuais um relatório sobre controles internos
emitidos pela alta administração que:
a seção 404 determina uma avaliação anual dos
controles e procedimentos internos para emissão de relatórios financeiros. Como a
seção 302, ele exige que os diretores executivos e diretores financeiros avaliem e
atestem periodicamente a eficácia desses controles. Ela obriga as companhias a
• Afirme sua responsabilidade pelo estabelecimento e pela manutenção de
controles e procedimentos internos para a emissão de relatórios financeiros;
• Avalie e atinja conclusões acerca da eficácia dos controles e procedimentos
internos para emissão de relatórios financeiros;
• Declare que o auditor independente da companhia atestou e reportou a
avaliação feita pela administração sobre seus controles e procedimentos
internos para a emissão de relatórios financeiros.
6 Disponível em www.deloitte.com.br. Acesso em 22/01/2012.
22
A Deloitte7 também imprime que segundo as regras impostas pela SEC, a
administração também deve certificar a eficácia de seus controles e procedimentos
internos para emissão de relatórios financeiros em uma base trimestral. Além disso, a
SOX exige que um auditor independente da companhia preencha um relatório
individual que ateste a avaliação da administração sobre a eficácia dos controles e
procedimentos internos para a emissão de relatórios financeiros.
1.4.3 Seção 302 e Seção 404 - Apenas Uma
Com um conhecimento mais aprofundado das seções 302 e 404, torna-se
clara uma boa estratégia. As determinações de ambas as seções podem e devem ser
direcionadas através de uma única metodologia.
A Deloitte7 ainda esclarece que, um programa de controles internos que
focaliza simultaneamente a divulgação e emissão de relatórios financeiros pode
atender às exigências trimestrais da seção 302 e as exigências anuais da seção 404,
bem como suprir as necessidades dos auditores independentes para executar seus
procedimentos de certificação, o qual vermos detalhadamente mais à frente. A
reinvidicação para um alinhamento mais próximo das exigências das duas seções da
SOX tem sido unânime entre a comunidade empresarial que já iniciou o trabalho de
conformidade e também a maioria dos consultores espera que a SEC continue
caminhando nessa direção.
Essa nova ênfase nos controles internos e no cumprimento das regras deve ser
disseminada por toda a organização. Companhias de menor porte, que muito
provavelmente não possuem uma infra-estrutura forte e um staff grande pode julgar
essa adaptação especialmente difícil. Companhias de todos os portes serão obrigadas
a destinar recursos significativos a esse trabalho, tempo, pessoal, dinheiro, espaço
físico, até mesmo criação de departamentos exclusivos para atendimento a SOX.
Os custos financeiros para o cumprimento da regra serão consideráveis, mas
deve-se observar que não serão tão altos quanto os custos provocados pelo
descumprimento delas. A Deloitte7 faz uma ressalva quanto aos custos diretos e
indiretos conforme a seguir:
CUSTOS DIRETOS > Podem incluir o tempo dispensado por consultores e
funcionários para avaliação, implementação e monitoramento, bem como a
23
instrução de funcionários acerca de controles internos, despesas com a nova
tecnologia para suportar o programa de controles internos e horários pagos a
auditores independentes para executar os testes dos controles que visam atestar a
sua veracidade quanto à eficácia de seus controles internos.
CUSTOS INDIRETOS > Podem incluir o remanejamento de pessoal e o
realinhamento de outros recursos na organização para criar e manter uma melhor
estrutura de controles internos. Entretanto, como falei anteriormente, muitas
companhias de capital aberto já possuem algum tipo de estrutura de controles
internos em atuação. É possível que as organizações não precisem investir em
sistemas totalmente novos ou desenvolver novos processos, podendo adaptar
recursos já existentes e integrá-los à nova estrutura de controles internos.
Para que o auditor independente faça a certificação e para preparar a própria
avaliação, é preciso adotar uma estrutura de controles internos que contenha critérios
e objetivos os quais possam ser medidos e avaliados. Falaremos mais a frente da
estrutura de controles internos a ser utilizada.
A avaliação fornecida pela companhia aos auditores independentes deve ser
bem documentada, contundente e abrangente. O Plano de Ação resumido deve
contemplar os tópicos a seguir como recomenda a Deloitte7
• Informações acerca do ambiente e controles gerais da companhia;
:
• Descrição do processo adotado pela administração para identificar,
classificar e avaliar riscos que possam impedir que a companhia alcance seus
objetivos de emissão de relatórios financeiros;
• Descrição completa dos objetivos de controle criados pela administração para
direcionar os riscos identificados e as respectivas atividades de controle;
• Descrição dos sistemas de informática, banco de dados e procedimentos de
comunicação adotados para fornecer suporte aos objetivos de controle;
• Resultados e documentação suporte da avaliação mais recente feita pela
administração sobre a eficácia do desenho e das operações das atividades
individuais de controle;
7 Disponível em: www.deloitte.com.br Acesso em 22/01/2012.
24
• Relação de todas as deficiências encontradas no desenho e na implementação
das atividades de controle, bem como os procedimentos propostos para sua
correção;
• Descrição do processo adotado para comunicar deficiências significativas e
insuficiências materiais aos auditores independentes e ao comitê de auditoria,
caso haja um;
• Descrição dos procedimentos de monitoramento executados para assegurar
que a estrutura de controles internos está operando conforme planejado e que
os resultados dos procedimentos de monitoramento são revisados e
executados;
• Descrição do processo de criação da divulgação e das atividades de controle
relacionadas.
1.5 Organização e Comprometimento
Entendidos os enquadramentos necessários para cada uma das seções, antes
de dar início ao projeto de controles internos na organização, como exige a SOX,
uma avaliação informal pode ser bastante útil para compreender como a lei se aplica
à companhia, com base em suas características operacionais, o que poderá favorecer
o desenvolvimento do plano de ação. Embora todas as companhias de capital aberto
precisarão fazer ajustes antes de poder avaliar e certificar com confiança a eficácia de
seus controles internos, é claro que algumas companhias precisarão fazer mudanças
mais radicais que outras. Em grande escala, a natureza das operações ditará as regras
e o esboço das mudanças necessárias. É possível que uma companhia altamente
descentralizada necessite de uma resposta mais rápida e elaborada para as medidas
da SOX acerca dos controles internos, do que uma companhia com características
mais simples. Conforme esclarece a Deloitte8
“O porte da companhia e a sua complexidade apresentam uma relação interessante. É fácil imaginar que a implementação de controles internos em uma companhia de menor porte é mais simples, já que há um número menos expressivo de pessoas, divisões e processos para acomodar. No entanto esse tipo de companhia pode possuir uma infra-estrutura tão informal que precisará de ações corretivas muito mais abrangentes.
:
De outra forma, companhias grandes, enormes, globais, que devem instituir atividades de controle em diversas localidades, podem encontrar um desafio significativo, já que tentam conciliar vários sistemas e procedimentos em toda a empresa. Além disso, essas companhias grandes enfrentam 8 Disponível em : WWW.deloitte.com.br Acesso em 22/01/2012
25
os desafios de regulamentações específicas em cada país que atuam. Essas companhias podem se beneficiar do enfoque e da consistência da aplicação que seu o programa de controles pode gerar.”
De acordo com Bergamini Junior (2008)9
Nesse processo, cabe ao conselho de Administração a definição das
diretrizes estratégicas e de algumas diretrizes específicas, geralmente ligadas à
otimização do processo de supervisão. A Diretoria Executiva deve implementar as
ações diretas necessárias para o cumprimento dessas diretrizes. Com relação aos
instrumentos e mecanismos de governança corporativa e ao ambiente de controle,
devem ser avaliadas cinco questões segundo Bergamini Junior (2008)9:
considera-se que os controles
internos serão implementados pela alta administração, compreendendo intervenções
tanto do conselho administrativo quanto da Diretoria Executiva, pelo fato de que se
trata de ambos a responsabilidade de estabelecer o Plano de Organização. Esse plano
define o desenho organizacional de empresa (organograma), estabelece
responsabilidades básicas de cada unidade (atribuições funcionais) e aloca os
recursos necessários para a adequada gestão dessas atribuições, representados por
pessoas qualificadas, recursos materiais e sistemas de tecnologia de informação.
“ Responsabilidade da alta administração na definição dos limites éticos que banalizam a atuação da empresa; Os papeis do Conselho da Administração e da Diretoria Executiva para a manutenção de um ambiente de controle robusto e para a difusão de uma forte cultura de gerenciamento de riscos; O nível de segregação entre as funções do Conselho de Administração e a Diretoria Executiva na definição, e implementação dos controles internos; A verificação do alinhamento da atuação da Diretoria Executiva às diretrizes estratégicas estabelecidas pelo Conselho de Administração principalmente no que se refere à supervisão da gestão de risco e à aderência dessa gestão ao nível de propensão ao risco previamente estabelecido; O papel da auditoria interna no ambiente de controle .”
9 Disponível em: http://www.bndes.gov.br/SiteBNDES/export/sites/default/bndes_pt/Galerias/Arquivos/conhecimento/revista/rev2406.pdf Acesso 14/02/2012
26
Uma vez que a alta direção tenha uma visão completa das demandas da lei
Sarbanes Oxley, os administradores da alta direção devem comprometer
formalmente a companhia com a tarefa, e reconhecer a responsabilidade por cumprir
as regras e exigências. Um ambiente de
Segundo Bergamini Junior (2008)10
Para formalizar a inserção desta cultura de controle de riscos, deve-se emitir
um comunicado formal para a alta administração e todos os funcionários. Esse
comunicado deve incluir diretrizes para o cumprimento das medidas da lei Sarbanes
Oxley, uma definição de toda a tarefa a ser aplicada, despendida, instruções gerais e
ampla designação de recursos. Tais recursos podem ser partes inteiras de
departamentos, salas de trabalho exclusivas, equipamentos eletrônicos, etc...
Bergamini Junior (2008)10 esclarece que é de extrema necessidade uma forte cultura
de gerenciamento de riscos no âmbito interno da empresa, secundada pela supervisão
constante a fim de fortalecer esta cultura em todas as camadas operacionais.
um controle robusto tem por base a
integridade e a ética dos funcionários em todos os escalões, portanto, a existência de
um clima organizacional permissivo e/ou um contexto operacional corrupto
comprometem o atendimento dos objetivos da empresa. Os executivos da alta
administração dão, na prática, o tom ético da organização; e o padrão ético vigente
na empresa afeta, diretamente, todos os demais componentes e instrumentos de
controles internos.
Ainda conforme explicita a Deloitte11
outro ponto importante para uma boa
organização e comprometimento a certificação, é criar um Comitê Diretor de
Trabalho, cuja sigla é CDT, para supervisionar e coordenar todas as atividades
ligadas a lei, incluído aquelas que não estão relacionadas com as seções 302 e 404,
em todas a organização. O CDT pode ser formado por funcionários internos, mas
sempre com auxílio de uma auditoria para aplicar as melhores práticas de
implementação.
10 Disponível em: http://www.bndes.gov.br/SiteBNDES/export/sites/default/bndes_pt/Galerias/Arquivos/conhecimento/revista/rev2406.pdf Acesso 14/02/2012 11 Disponível em: www.deloitte.com.br Acesso 23/01/2012.
27
CAPÍTULO 2
METODOLOGIA
2.1 O Coso
Começando da estaca zero ou mesmo aperfeiçoando a estrutura de controles
internos já existentes na empresa o grupo de trabalho deve desenvolver a
implementação de uma estrutura de controles internos que preencha quatro critérios
básicos: Objetividade, Mensuração, Integridade e Pertinência. Muitas empresas
constróem sua estrutura de controles internos em torno do COSO (Committe of
Sponsoring of the Treadway Commission). O COSO representa apenas uma entre
várias estruturas de controles internos existentes, no entanto é a mais amplamente
conhecida e adotada no mercado. Em 1985 foi criada nos Estados Unidos a National
Commission on Fraudulent Financial Reporting (Comissão Nacional sobre Fraudes
em Relatórios Financeiros), uma iniciativa independente, para estudar as causas da
ocorrência de fraudes em relatórios financeiro-contábeis. Esta comissão era
composta por representantes das principais associações de classe de profissionais
ligados à área financeira. Seu primeiro objeto de estudo foram os controles internos.
O Committee of Sponsoring Organizations of the Treadway Commission (COSO),
conforme destacado por Simmons (1997), elaborou, em 1992, um estudo publicado
com o título Internal Control – Integrated Framework, cujo relatório descreve
controle interno como um processo efetuado pelo conselho de administração,
gerentes e outros funcionários, com o intuito de garantir razoável segurança do
cumprimento dos objetivos. Esta publicação tornou-se referência mundial para o
estudo e aplicação dos controles internos, e é a base que fundamenta o COSO.
Boyton (2002) apresenta a definição do COSO para Controles Internos:
“Controles Internos são um processo operado pelo conselho de administração e
outras pessoas, desenhado para fornecer segurança razoável quanto à consecução
de objetivos nas seguintes categorias:
*Confiabilidade de informações financeiras
*Obediência (compliance) às leis e regulamentos aplicáveis
*Eficácia e eficiência de operações” (BOYTON, P.113, 2002)
28
De uma forma mais individualizada Oliveira, Perez Jr. e Silva (2002) explicitam os principais objetivos do conjunto de sistema de controle interno: “a) verificar e assegurar os cumprimentos às políticas e normas da companhia, incluindo o código de éticas nas relações comerciais e profissionais; b) obter informações adequadas, confiáveis, de qualidade e em tempo hábil, que sejam realmente úteis para as tomadas de decisões; c) comprovar a veracidade de informes e relatórios contábeis, financeiros e operacionais; d) proteger os ativos da entidade, o que compreende bens e direitos; e) prevenir erros e fraudes. Em caso de ocorrência dos mesmos, possibilitar a descoberta o mais rápido possível, determinar sua extensão e atribuições de corretas responsabilidades; f) servir como ferramenta para a localização de erros e desperdícios, promovendo ao mesmo tempo a uniformidade e a correção; g) registrar adequadamente as diversas operações, de modo a assegurar a eficiente utilização dos recursos da empresa; h) estimular a eficiência do pessoal, mediante a vigilância exercida por meio de relatórios; i) assegurar a legitimidade dos passivos da empresa, com o adequado registro e controle das provisões, perdas reais e previstas; j) assegurar o processamento correto das transações da empresa, bem como a efetiva autorização de todos os gastos incorridos no período; e k) permitir a observância e estrito cumprimento da legislação em vigor.” (OLIVEIRA..., P. 84-85, 2002)
29
Diante desses conceitos, pode-se afirmar que os controles internos
envolvem todas as atividades e rotinas, de natureza contábil e administrativa, com o
intuito de organizar a empresa de tal forma que seus colaboradores compreendam,
respeitem e façam cumprir as políticas traçadas pela administração; os ativos tenham
sua integridade protegida; e por fim que, todas as operações da empresa sejam
adequadamente registradas nos registros contábeis e fidedignamente retratadas pelas
demonstrações financeiras.
Para o COSO12
, o ponto de partida é a definição de controle interno.
Controle Interno é um processo desenvolvido para garantir, com razoável certeza,
que sejam atingidos os objetivos da empresa. Por se o controle interno um processo,
ele é constituído de cinco elementos que estão inter-relacionados entre si. São eles:
a) Entorno ou ambiente de controle – Control Environment.
b) Avaliação e Gerenciamento dos Riscos – Risk Assessment.
c) Atividade de Controle – Control Activities.
d) Informação e Comunicação – Information & Communication.
e) Monitoramento – Monitoring.
Posteriormente a Comissão Nacional sobre Fraudes em Relatórios Financeiros
transformou-se em comitê, que passou a ser conhecido como COSO que chamamos
no Brasil de Comitê das Organizações Patrocinadoras. O COSO12 se define como
uma entidade sem fins lucrativos, dedicada à melhoria dos relatórios financeiros
através da ética, efetividade dos controles internos e governança corporativa. É
patrocinado pelas cinco das principais associações de classe de profissionais ligados
à área financeira nos Estados Unidos, sendo:
• Instituto Americano de Contadores Públicos Certificados (AICPA);
• Associação Americana de contadores (AAA);
• Executivos Financeiros Internacionais (FEI);
• Instituto dos Auditores Internos (IIA);
• Instituto dos Contadores Gerenciais (IMA).
12 Disponível em http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_Portuguese.pdf Acesso 14/02/2012
30
A Deloitte13
Os Controles Internos, conforme definidos no COSO14, são processos
executados pelo Conselho de Administração, pela Diretoria ou por outras pessoas da
companhia, que levam ao sucesso operacional em três categorias:
esclarece que o comitê trabalha com independência, em relação a
suas entidades patrocinadoras. Seus integrantes são representantes da indústria, dos
contadores, das empresas de investimentos e da Bolsa de Valores de Nova York. O
primeiro presidente foi James C. Treadway, de onde veio o nome “Treadway
Comission”. Atualmente John Flaherty ocupa a presidência.
• Eficiência e efetividade operacional (objetivos de desempenho ou
estratégia): Esta categoria está relacionada com os objetivos básicos da
entidade, inclusive com os objetivos e metas de desempenho e rentabilidade,
bem como da segurança e qualidade dos ativos;
• Confiança nos registros contábeis/financeiros (objetivos de informação):
Todas as transações devem ser registradas, todos os registros devem refletir
transações reais, consignadas pelos valores e enquadramentos corretos;
• Conformidade e cumprimento de leis e regulamentos (objetivos de
conformidade): Com leis e normativos aplicáveis à entidade e sua área de
atuação.
O COSO14
Sem uma estrutura apropriada de controles internos, sendo o COSO ou
similar, provavelmente não será possível atender às exigências determinadas pela
seção 404 da lei Sarbanes Oxley. Segundo essa seção, o auditor independente deve
preencher um relatório que ateste sua garantia sobre a eficácia de seus controles e
procedimentos internos para emissão de relatórios financeiros.
apontará a base de discussão sobre a seleção de uma estrutura
apropriada. Em suas diretrizes, publicadas em 1991, não se referem explicitamente
aos controles e procedimentos de divulgação. Ao contrário, a estrutura descrita pelo
COSO é mais abrangente, incluindo tanto os controles e procedimentos de
divulgação quanto os controles e procedimentos internos para emissão de relatórios
financeiros.
13 Disponível em: www.deloitte.com.br Acesso 23/01/2012. 14 Disponível em: http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_Portuguese.pdf Acesso 14/02/2012.
31
Se a companhia não tiver adotado uma estrutura de controles internos, não
haverá critérios com os quais a companhia ou o auditor independente possa comparar
a eficácia de seus controles.
2.2 A Estrutura do Coso
A estrutura do COSO15
bem como se esclarece, divide os controles internos
eficazes em cinco componentes inter-relacionados, com o objetivo de simplificar a
tarefa da administração para gerenciar e supervisionar todas as atividades que fazem
parte de uma estrutura de controles internos. Estes cinco componentes são
primordiais para a implementação de uma cultura e estrutura de controle eficiente
dentro da companhia, sendo eles:
• Ambiente de Controle
• Avaliação e Gerenciamento dos Riscos
• Atividades de Controle
• Informação e Comunicação
• Monitoramento.
2.2.1 Ambiente de Controle
O ambiente de controle possui base para todos os demais componentes dos
controles internos. Para ver se os controles internos estão corretos é necessário a
companhia adotar medidas para que os mesmos sejam seguidos corretamente. A
companhia deve comunicar aos funcionários a importância dos controles internos,
reforçar o código de ética, restabelecer o exemplo vem de cima, conduzir programas
de treinamento e conscientização, estabelecer comunicações abertas. É o início do
processo de implementação da cultura de controle dentro da companhia, é o tiro
inicial para conscientização dos funcionários de todos os níveis, ou seja, é a
consciência de controle da entidade.
Conforme Simmons (1997) o ambiente de controle é a consciência de controle
da entidade, sua cultura de controle. O ambiente de controle é efetivo quando as
15 Disponível em: http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_Portuguese.pdf loc. cit. p. 28
32
pessoas da companhia sabem quais são suas responsabilidades, os limites de
autoridade e se tem a consciência, competência e o comprometimento de fazerem o
que é correto da maneira correta. Ou seja, todos os funcionários deverão saber o que
deve ser feito, como fazê-lo e acima de tudo querer desempenhar suas atividades da
melhor maneira possível, com qualidade e segurança, respeitando as regras e
procedimentos impostos. Ambiente de controle envolve competência técnica e
compromisso ético, é um fator intangível, essencial à efetividade dos controles
internos. Segundo Peleias (2003), esse ambiente consiste no acatamento de políticas,
aplicação de procedimentos, uso de sistemas operacionais e de informação e outros
instrumentos de controle, existentes ou que sejam relacionados ao porte da empresa,
condicionando a eficácia do sistema de controle interno, que é afetada pelo enfoque
dado ao controle por proprietários, controladores e administradores, refletido na
organização e na estrutura da empresa.
A postura da alta administração da empresa desempenha papel determinante
nesta etapa de ambiente de controle. Segundo a Deloitte16
Estas definições podem ser feitas de maneira formal ou informal, o
importante é que sejam claras aos funcionários da organização. O exemplo tem que
vir de cima, quem dá o tom do controle da companhia são seus principais gestores ou
administradores. É necessário que cada funcionário saiba de suas atribuições e
responsabilidades dentro da organização, como bem afirma a Deloitte16:
deve-se deixar claro para
os funcionários subordinados quais são as políticas, procedimentos, código de ética e
código de conduta a serem adotados.
“O ambiente de controle é mais efetivo e funcional quando os funcionários conhecem suas responsabilidades e respectivamente as atribuições de seus serviços executados. “
2.2.2 Avaliação e Gerenciamento dos Riscos
As funções principais dos controles internos estão relacionadas ao
cumprimento dos objetivos da companhia. A existência de objetivos e metas é
condição primordial para a existência de controles internos. Se a companhia não tem
objetivos e metas claras, não há necessidade de controles internos Uma vez
16 Disponível em: www.deloitte.com.br Acesso em 14/02/12.
33
estabelecidos e apontados os objetivos deve-se identificar os riscos que ameacem seu
cumprimento e tomar ações necessárias para gerenciamento destes riscos.
De acordo com a COSIF17
Ainda segundo a COSIF17 a Avaliação de Riscos é a identificação e análise
dos riscos associados ao não cumprimento das metas e objetivos operacionais, de
informação e de conformidade. Este conjunto forma a base para definir como estes
riscos serão gerenciados. Os administradores devem definir os níveis de riscos
operacionais, de informação e conformidade que estão dispostos a assumir.
seguindo a metodologia do COSO, a
avaliação de risco pode ser quantitativa como qualitativa. A administração adota as
técnicas qualitativas de avaliação se os riscos não apresentam ser dados confiáveis e
suficientes para elaboração das avaliações quantitativas, ou também, se a relação
custo-benefício para obtenção e análise de dados não for viável.
A avaliação de riscos é uma responsabilidade da administração, mas cabe à
auditoria interna fazer uma avaliação própria dos riscos e confrontar com a avaliação
feita pelos administradores. A identificação e gerenciamento dos riscos é uma ação
pró-ativa, que certamente evita surpresas desagradáveis. Conforme já mencionado
existem vários tipos de riscos que podem ser identificados (risco de mercado, risco
de liquidez, risco assumido, risco atuarial, risco estratégico, entre outros). O autor
Brasiliano (2008) nos aponta como identificar riscos estratégicos dentro do
planejamento da gestão de riscos corporativos. Considera ideal antes, de iniciar o
levantamento de riscos, a realização do benckmarking – comparação com padrões
de excelência/melhores práticas referenciadas - de processos e recursos internos. O
roteiro a seguir é um conjunto de atividades sugerido:
17 Disponível em: http://www.cosif.com.br/mostra.asp?arquivo=contabilidade_internacional-coso Acesso em 14/02/2012.
34
1) Identificação de processos e recursos críticos: entrevistas com os responsáveis
pelos setores/desmembramento de macroprocessos em processos-chave/identificação
de fatores críticos/informações em outras organizações congêneres;
2) Descrição de processos e recursos críticos – formular as seguintes questões:
Qual o papel deste processo dentro da organização?
O processo é crítico (é relevante/tem impacto na sociedade/o seu custo é alto, baixo
ou imaterial/qual a natureza do risco associado/é possível ter monitoramento ou
percepção do seu grau de efetividade)?
Que recursos necessito para colocar o processo em andamento?
De quais e de quantas pessoas eu preciso?
Que informações são cruciais para o seu planejamento?
3) Identificando Riscos: quais os riscos que podem afetar o desempenho dos
respectivos processos? Daí a decomposição do risco em fatores – causas que podem
estar dentro do controle da empresa e são monitoráveis. Existem várias técnicas para
elucidação das causas (origem) de cada risco. A mais comum e funcional entre elas é
a espinha de peixe (também conhecido como Diagrama de Ishikawa), utilizada para
“dissecar” o fluxo de cada processo e separar os fatores de risco (“causas”).
Uma vez identificados os riscos, deve-se avaliá-los, levando em consideração
a probabilidade deles ocorrerem e em caso de ocorrerem qual seria o impacto nas
operações da companhia, levando em consideração os aspectos quantitativos e
qualitativos. A COSIF18
• Certifique que a companhia tenha uma missão clara, e que as metas e
objetivos estejam formalizados;
compreende que deve-se verificar quais ações são
necessárias para administrar os riscos identificados, para tanto é fundamental que se:
• Avalie os riscos em nível de dependências, departamentos e setores;
• Avalie os riscos em nível de processo;
18 Disponível em: http://www.cosif.com.br/mostra.asp?arquivo=contabilidade_internacional-coso Acesso em 14/02/2012.
35
• Elabore um papel de trabalho para cada atividade relevante, priorizando as
atividades e processos mais críticos e aqueles que podem ser melhorados.
2.2.3 Atividades de Controle
Na avaliação e gerenciamento dos riscos serão identificadas todas as
atividades de controle que serão foco do inventário de riscos para certificação à
Sarbanes Oxley (veremos mais à frente como são trabalhadas e documentadas estas
atividades na Bradesco Saúde S/A). Cada atividade de controle identificada no
levantamento dos processos será catalogada e receberá um número de cadastro
específico. Com base nesse número será elaborada uma matriz de riscos.
As atividades de controle compreendem o que antes da metodologia do COSO,
era meramente tratado como controle interno. Simmons (1997) aborda que
procedimentos de controle, segundo relatório do COSO, são aquelas atividades que,
quando executadas a tempo e de maneira adequada, permitem a redução ou
administração dos riscos. As atividades de controle podem ser de duas naturezas:
atividade de prevenção ou de detecção. As principais atividades envolvidas
segundo Simmons (1997) são:
Alçadas (prevenção): São os limites determinados a um funcionário, quanto a
possibilidade deste aprovar valores, efetuar pagamentos ou assumir posições em
nome da companhia.
Autorizações (prevenção): A administração determina as atividades e transações que
necessitam de aprovação de um nível superior para que sejam efetivadas. A
aprovação de um supervisor, de forma manual ou eletrônica, indica que o
funcionário verificou e validou a atividade ou transação, e assegurou que a mesma
está em conformidade com as políticas e procedimentos estabelecidos. Os
responsáveis pela autorização devem verificar a documentação pertinente,
questionar itens pouco usuais, e assegurarem-se de que as informações necessárias à
transação foram checadas, antes de darem sua autorização. Jamais devem assinar
em branco ou fornecerem sua senha eletrônica.
Conciliações (detecção): É a confrontação e conferência da mesma informação com
dados vindos de bases diferentes, adotando as ações corretivas, quando necessário.
36
Revisões de Desempenho (detecção): Acompanhamento de uma atividade ou
processo, para avaliação de sua adequação e/ou desempenho, em relação às metas,
aos objetivos traçados, assim como acompanhamento contínuo do mercado
financeiro (no caso de bancos), de forma a antecipar mudanças que possam impactar
negativamente a entidade.
Segurança Física (prevenção e detecção): Os valores de uma entidade devem ser
protegidos contra uso, compra ou venda não-autorizados. Um dos melhores controles
para proteger estes ativos é a segurança física, que compreende controle de acessos,
controle da entrada e saída de funcionários e materiais, senhas para arquivos
eletrônicos, para acessos remotos, criptografia e outros. Incluem-se neste controle os
processos de inventário dos itens mais valiosos para a companhia.
Segregação de Funções (prevenção): A segregação é essencial para a efetividade
dos controles internos. Ela reduz tanto o risco de erros humanos quanto o risco de
ações indesejadas. Contabilidade e conciliação, informação e autorização, custódia e
inventário, contratação e pagamento, administração de recursos próprios e de
terceiros, normatização (gerenciamento de riscos) e fiscalização (auditoria) devem
estar segregadas entre os funcionários.
Sistemas Informatizados (prevenção e detecção): Controles feitos através de
sistemas informatizados dividem-se em dois tipos:
Controles gerais: Pressupõem os controles nos centros de processamentos de dados
e controles na aquisição, desenvolvimento e manutenção de programas e sistemas.
Controles de aplicativos: São os controles existentes nos aplicativos corporativos,
que têm a finalidade de garantir a integridade e veracidade dos dados e transações.
Normatização Interna (prevenção): É a definição, de maneira formal, das regras
internas necessárias ao funcionamento da companhia. As normas devem ser de fácil
acesso para os funcionários da organização, e devem definir responsabilidades,
políticas corporativas, fluxos operacionais, funções e procedimentos.
Só é possível identificar as atividades de controle após conhecimento
profundo dos processos da companhia. Para tanto torna-se fundamental o
levantamento e fluxogramação dos processos, para posterior identificação das
atividades de controle. O levantamento pode ser efetuado por uma equipe interna, no
37
entanto, o auxílio de uma empresa de consultoria ajuda na metodologia do trabalho,
diminuindo o tempo de levantamento e auxiliando a identificação das atividades que
podem expor a companhia aos riscos eminentes.
As atividades de controle devem ser implementadas de maneira ponderada,
consciente e consistente. Nada adianta implementar um procedimento de controle, se
este for executado de maneira mecânica, sem foco nas condições e problemas que
motivaram a sua implantação. Também é essencial que as situações adversas
identificadas pelas atividades de controles sejam investigadas, adotando-se em tempo
hábil as ações corretivas apropriadas. Segundo a Deloitte19
há níveis de deficiências
que devem servir de base para tomada de decisões quando os controles não estão
sendo executados da maneira correta, sendo eles Deficiência nos Controles,
Deficiência Significativa e Insuficiência Material:
Deficiência nos Controles - uma deficiência nos controles indica uma falha no
desenho, na implementação ou na eficácia operacional de uma atividade de
controle. Essas falhas podem afetar adversamente a capacidade da companhia para
iniciar, registrar, resumir e reportar dados financeiros e não financeiros preciosos.
Deficiência Significativa – a descrição apresentada pela SEC para uma deficiência
significativa torna-se primordial para uma condição reportável, conforme descrito
nos padrões de auditoria. Condições reportáveis são deficiências nos controles que
chegam ao conhecimento dos auditores e que segundo seu julgamento, devem ser
comunicadas ao comitê de auditoria porque representam deficiências significativas
no desenho ou na operação de controles internos.
Insuficiência Material - é uma situação na qual o desenho ou a operação de um ou
mais componentes dos controles internos não reduz a um nível relativamente baixo o
risco e erros monetários. Por sua vez, esses erros monetários são causados por erro
ou fraude em valores que seriam materiais em relação às demonstrações financeiras
que estão sendo auditadas e podem ocorrer e não ser detectados em tempo hábil
pelos funcionários, dentro de suas rotinas normais. A presença de uma insuficiência
material, ou mais, pode indicar que a estrutura de controles internos não é eficaz.
19 Disponível em: www.deloitte.com.br Acesso em 14/02/12.
38
2.2.4 Informação e Comunicação
A comunicação é o fluxo de informações dentro de uma companhia,
entendendo que este fluxo ocorre em todas as direções – dos níveis hierárquicos
superiores aos níveis hierárquicos inferiores, dos níveis inferiores aos superiores, e
comunicação horizontal, entre níveis hierárquicos equivalentes.
Conforme a Resolução 1135/08 do Conselho Federal de Contabilidade (CFC)20
O COSO
o sistema de informação e comunicação deve identificar, armazenar e comunicar
toda informação relevante, na forma e no período determinados, a fim de permitir
a realização dos procedimentos estabelecidos e outras responsabilidades, orientar a
tomada de decisão, permitir o monitoramento de ações e contribuir para a realização
de todos os objetivos de controle interno. 21
estipula que a comunicação é essencial para o bom funcionamento
dos controles. Informações sobre planos, ambiente de controle, riscos, atividades de
controle e desempenho devem ser transmitidas à toda entidade. Por outro lado, as
informações recebidas, de maneira formal ou informal, de fontes externas ou
internas, devem ser identificadas, capturadas, verificadas quanto à sua confiabilidade
e relevância, processadas e comunicadas às pessoas que as necessitam de maneira
adequada. As informações devem ser identificadas, coletadas e comunicadas de
forma coerente e dentro do prazo, para as pessoas cumprir com suas
responsabilidades na administração.
20 Disponível em: http://www.crcsp.org.br/portal_novo/legislacao_contabil/resolucoes/Res1135.htm Acesso em 14/02/2012. 21 Disponível em: http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_Portuguese.pdf Acesso em 25/01/2012.
39
A COSIF22
O processo formal > Acontece através dos sistemas internos de comunicação, que
podem variar desde complexos sistemas de grande porte, a simples reuniões de
equipes de trabalho. São importantes para obtenção das informações necessárias ao
acompanhamento dos objetivos operacionais, de informação e de conformidade.
esclarece que o processo de comunicação pode ser formal ou
informal:
O processo informal > É o que ocorre em conversas e encontros com clientes,
fornecedores, autoridades e empregados. É importante para obtenção das
informações necessárias à identificação de riscos e oportunidades.
A informação é o combustível que move as organizações.
2.2.5 Monitoramento
É a avaliação e apreciação dos controles internos ao longo do tempo, sendo o
melhor indicador para saber se os controles internos estão sendo efetivos ou não. O
monitoramento é feito tanto através do acompanhamento contínuo das atividades
quanto por avaliações pontuais, como é o caso da auto-avaliação, revisões eventuais
e auditoria interna. O The Institute of Internal Auditors – IIA, instituto com
representatividade global de auditores internos, sediado nos Estados Unidos da
América, define que:
Auditoria interna é uma atividade independente e objetiva que presta serviços de avaliação (assurance) e consultoria e tem como objetivo adicionar valor e melhorar as operações de uma organização. A auditoria auxilia a organização a alcançar seus objetivos através de uma abordagem sistemática e disciplinada para a avaliação e melhoria da eficácia dos processos de gestão de riscos, de controle e governança corporativa. (AUDIBRA, 2006).
A função do monitoramento feito pela auditoria é verificar se os controles
internos são adequados e efetivos e se estão sendo executados da maneira correta.
Controles adequados são aqueles em que os cinco elementos do controle (ambiente,
avaliação de riscos, atividade de controle, informação e comunicação e
monitoramento) estão presentes e funcionando conforme planejado. R
22 Disponível em: http://www.cosif.com.br/mostra.asp?arquivo=contabilidade_internacional-coso Acesso em 14/02/2012.
40
Monitoramento compreende o acompanhamento dos pressupostos do controle
interno, visando assegurar a sua adequação aos objetivos, ao ambiente, aos recursos e
aos riscos, como aponta a Resolução CFC Nº 1135/0823
.
23 Disponível em: http://www.crcsp.org.br/portal_novo/legislacao_contabil/resolucoes/Res1135.htm Acesso em 15/02/2012.
41
CAPÍTULO 3
CONTROLES INTERNOS E COMPLIANCE BRADESCO SAÚDE 3.1 Certificação à Sarbanes-Oxley A boa governança corporativa vem ganhando grande destaque nas
discussões organizacionais e tornando-se indispensável para a sobrevivência das
organizações num mercado cada vez mais competitivo e exigente. Dificilmente hoje,
uma empresa que não possua um mínimo de práticas de boa governança consegue
vender suas ações no mercado ou adquirir reduzidas taxas de
financiamento ou investimentos de alguma instituição financeira. (KPMG, 2007)24
Em reunião realizada em 12.08.2004, na Matriz do Banco Bradesco, em
Osasco, aberta pelo Sr. Márcio Artur Laurelli Cypriano, Diretor-Presidente,
conduzida por Diretores Executivos e que contou com a participação dos Diretores
Departamentais, foi informado que a Organização Bradesco, bem como todas as
corporações, com ações negociadas na NYSE (ações negociadas na Bolsa de Valores
de Nova York), está obrigada a observar as exigências estabelecidas na Lei Sarbanes
Oxley. Assim sendo, a partir de 18.10.2004, foram empreendidas ações à consecução
do projeto para atendimento ao requerido nas Seções 302 e 404. (BRADESCO, 2008
p.3)
A partir com daí, o intuito de preservar altos padrões de desempenho e
práticas operacionais, e focado no alcance dos seus objetivos estratégicos e na
adoção de práticas consistentes de governança corporativa, foi constituído o Grupo
de Trabalho composto por representantes das Unidades de Negócio do Grupo
Bradesco e da PriceWaterhouseCoopers, auditoria independente. (BRADESCO,
2008 p.3)
Como empresa de auditoria independente a PriceWaterhouseCoopers tem um
papel fundamental na implementação do projeto com o objetivo de alinhar a
24 Disponível em: www.kpmg.com.br. Acesso em: 10/12/2011
42
metodologia, definir critérios baseados nas melhores práticas de mercado e eqüalizar
o entendimento das demandas e das providências a serem conduzidas, de modo a
estabelecer os papéis e responsabilidades dos envolvidos no processo, de disseminar
o conhecimento das atividades a serem exercidas e de eliminar futuras divergências
de interpretação quanto a qualidade e aderência do trabalho executado.
Com a definição da constituição do grupo de trabalho a
PriceWaterhouseCoopers promoveu uma reunião inicial para estabelecimento de
prazos e principalmente dos papeis e responsabilidades dos constituintes na
Seguradora, como segue:
PriceWaterhouseCoopers25
• Atuar como facilitador e disseminador de informação da SOX na Bradesco
Saúde S/A;
• Disseminar o conhecimento dos critérios e procedimentos adotados e envidar
esforços para que sejam observados pelos participantes do projeto;
• Recomendar a adoção de melhores práticas, métricas e metodologia;
• Acompanhar o projeto para auditá-lo na certificação;
• Buscar o alinhamento do projeto com as melhores práticas, procurando
minimizar a ocorrência de possíveis Gap’s (inconsistências) no processo de
certificação. (BRADESCO, 2011, p.30)
Unidades de Negócios
• Dar suporte a área de Organização & Processos para levantamento e
documentação do fluxograma;
• Auxiliar a Superintendência de Controles Internos e Compliance e o
Departamento de Organização & Processos a identificar os controle-chave;
• Fornecer todas as informações solicitadas pelo grupo de trabalho no que tange
a procedimentos adotados, controles existentes e quaisquer outras dúvidas
existentes quanto as rotinas desempenhadas;
25 PwC é um network global de firmas separadas e independentes que trabalham de forma integrada na prestação de serviços de Assessoria Tributária e Empresarial e de Auditoria. Disponível em : http://www.pwc.com.br/ Acesso em 15/02/2012
43
• Dar suporte aos testes de aderência para verificação de que os controles
estejam sendo executados da maneira correta.
Organização & Processos
• Fluxogramar e documentar os processos críticos ou parte destes, conforme o
caso, associados às rubricas contábeis objetos da certificação;
• Colaborar com sua experiência na identificação dos Controles Chaves (Key
Controls) a serem certificados e na elaboração das instruções (Check List) para
execução dos Testes de Aderência por parte dos Agentes de Compliance;
• Colaborar com os Coordenadores do Projeto, no que tange as rubricas a serem
certificadas e na revisão dos trabalhos produzidos pelos Grupos;
• Acompanhar todo o projeto visando a preparar os testes de auditoria interna
voltados aos aspectos da SOX. (BRADESCO, 2008, p.32)
Controles Internos e Compliance
• Intermediar os contatos entre o Grupo de Trabalho e demais Áreas da
Organização.
• Garantir, de acordo com os prazos preestabelecidos, a implementação das
ações corretivas visando a eliminação de deficiências de controles e/ou
ausência de evidências da execução da atividade de controle;
• Manter atualizados os Inventários de Riscos e Controles, mediante a inclusão,
exclusão ou alteração de Controles-Chaves, resguardando a existência de
rigorosa consonância com os Fluxos do Processo;
• Manter igualmente atualizados, os Planos de Testes de Aderência, mediante a
realização de revisão, com vistas a garantir que o tamanho da amostra, critério
de seleção e forma de execução, obedecem aos critérios estabelecidos e
suficiência dos mesmos para que os Objetivos do Controle estejam sendo
plenamente atendidos;
• Executar os Testes de Aderência de acordo com os Planos estabelecidos,
observando o tamanho da amostra requerida pela lei e ratificada pelo Grupo de
Trabalho;
44
• Conservar sob sua guarda e de forma organizada, por 18 (dezoito) meses – de
janeiro do ano em curso até junho do ano seguinte - as evidências referentes
aos Testes de Aderência executados, fornecendo-os quando requisitados, à
Inspetoria Geral e Auditoria Independente;
• Adotar ações corretivas para as não conformidades reveladas na execução dos
Testes de Aderência, seguidas das respectivas justificativas. (BRADESCO,
2011, p.5)
Assim sendo todas as áreas ficaram sabendo exatamente quais os procedimentos,
papéis e responsabilidades no projeto. Em seqüência segue a descrição do início do
plano de ação de implementação.
3.2 O Plano de Ação
O Plano de Ação envolve a implementação de Controles Internos e
Compliance visando minimizar os níveis de risco e deficiências possivelmente
identificadas. (BRADESCO, 2011. p.25)
O Agente de Compliance será responsável por validar os Planos da Ação
implementados, buscando junto aos gestores informações sobre as implementações
das Ações, evidências quanto à eficiência e eficácia destas Ações. (BRADESCO,
2011, p.35)
3.3 A Implementação
Após identificados os papeis e responsabilidades dos departamentos e os
ramos que seriam trabalhados, foi traçado o escopo do projeto pela
PriceWaterhouseCoopers com: fluxogramação dos processos, elaboração ou
aprimoramento das informações contidas nos inventários de riscos e controles,
identificação e validação dos controles-chaves, Walkthrough dos fluxogramas,
definição e priorização de planos de ação para correção de deficiências identificadas
bem como a elaboração de planos para execução dos testes. (BRADESCO, 2011,
p.30)
3.3.1 Fluxogramação dos Processos
45
Consiste em levantar, entender e documentar através de fluxograma os
processos dos ramos citados acima. O desenho do processo contempla todas as
etapas, desde a criação do produto até o pagamento de sinistro, passando pela emissão
da apólice, acerto de críticas, reservas técnicas, ou seja, todas as etapas que compõem
o processo do produto. Através do fluxograma podemos visualizar detalhadamente
todas as atividades desenvolvidas e suas respectivas áreas responsáveis. Só assim
conseguimos identificar e apontar onde são realizados os Controles Chave. Tal
atividade é responsabilidade da área de Organização & Processos, que além de
documentar, tem a responsabilidade de manter em arquivo eletrônico e impressos
todos os fluxos dos processos, devidamente atualizados com as atividades que são
desempenhadas na Cia. (BRADESCO, 2008, p.15).
3.3.2 Identificação e Validação dos Controles Chave
Após o fluxo desenhado e validado pelos gestores, serão identificados todos
os Controles Chave, ou seja, aquelas atividades de aprovação e conferência de
informações, valores, quantidades, etc..., as quais farão parte da Matriz de Riscos e
servirão como base para certificação a ser realizada pela auditoria. Está atividade é de
responsabilidade da área de Controles Internos e Compliance. (BRADESCO, 2008,
p.16)
3.3.3 Elaboração de um Inventário de Riscos e Controles
Depois de identificados no fluxograma todos os Controles Chave, estes serão
numerados (catalogados) e relacionados numa planilha a parte. Cada ramo terá sua
respectiva planilha, a qual chamamos de Matriz de Riscos. Para cada controle chave
há uma série de informações pertinentes (periodicidade da atividade, grau de risco,
sistemas envolvidos, funcionários, etc...). Tal documentação é fundamental para a
realização dos testes de aderência, ou seja, a comprovação de que o controle está
sendo executado a maneira e tempo corretos. Quem elabora o inventário de riscos é a
área de Controles Internos. Todos os controles relacionados deverão ser aprovados
pela Administração da Companhia e posteriormente, após todos os testes e
46
aprovações, serão submetidas à Auditoria, para Certificação. (BRADESCO, 2011,
p.27).
3.3.4 Realização de Testes dos Fluxogramas (Walkthrough)
Periodicamente devem-se realizar testes para validar se os fluxogramas estão
atualizados, ou seja, se as informações documentadas estão de fato ocorrendo. Tal
procedimento é fundamental pois caso haja alterações de procedimentos os Controles
Chave podem ter sido alterados e se não forem identificado, nossa Matriz de Riscos
estará defasada. Caso haja alterações a área de Controles Internos aciona a área de
Organização e Processos e indica os pontos do fluxograma que devem ser alterados.
Só após todos os fluxos atualizados é que se pode realizar os testes de aderência.
(BRADESCO, 2008, p.25)
3.3.5 Execução de Testes de Aderência (Evidências)
Consiste em validar os Controles Chave relacionado na Matriz de Riscos. A
área de Controles Internos com base nas informações da Matriz de Riscos efetua
levantamento na área que desempenha a rotina e verifica como estão sendo
executados os procedimentos de Controle. Tal atividade é semelhante ao trabalho que
o auditor realizará na Certificação, porém servirá apenas de teste para verificar se o
que está documentado na Matriz de Riscos realmente está ocorrendo. Trata-se
vulgarmente falando de uma “Certificação Interna” visando preparar a empresa para a
Certificação da Auditoria. (BRADESCO, 2008, p.27)
3.3.6 Remediação de Controles Deficientes
Tendo sido encontrados divergências nos testes de aderência, deve-se tomar
ações para corrigir os pontos não conformes com a Matriz de Riscos. Primeiramente
deve-se identificar o que está ocasionando a deficiência, relacionar os motivos e atuar
junto a área de negócio para que o procedimento seja desempenhado da maneira
correta. Certas vezes as deficiências são transparecidas em sistemas e não em rotinas
manuais, as quais deverão ter uma atenção mais rebuscada em função da
complexidade de acerto. (BRADESCO, 2008, p.32)
47
3.3.7 Certificação – Um pequeno Resumo
Após todas as etapas acima concluídas chegou a hora da verdade, certificar ou
não a empresa. A Lei requer que a Administração documente, avalie e certifique a
eficácia do desenho e da operação dos controles internos e que o auditor externo
certifique a avaliação da administração e emita relatório sobre sua certificação. Agora
a Auditoria fará a validação dos fluxos do processo e principalmente dos Controles
Chave e da Matriz de Riscos. A documentação será entregue pelas áreas responsáveis
e a partir daí será iniciado o trabalho. Os auditores visitarão as áreas, conforme
relacionadas no fluxograma, e farão a conferência dos Controles Chave executados.
Tal atividade será realizada para cada um dos Controles relacionados na Matriz de
Riscos. De acordo com a medição da execução do Controle Chave na área, será
atribuído um determinado grau de consistência e veracidade com as informações
descritas na Matriz de Riscos. Após realizadas as conferências em todos os Controles,
o somatório do grau de consistência indicará se a empresa está certificada à Lei. Sendo
assim a empresa de auditoria elabora uma “Nota de Auditoria” certificando a empresa
à Sarbanes Oxley, afirmando que todas as transações são registradas, todos os registros
refletem transações reais, consignadas pelos valores e enquadramentos corretos. De
posse deste documento a empresa adquire a “autorização” para continuar negociando
suas ações na Bolsa de Valores dos EUA.
48
CONCLUSÃO
Diante dos escândalos, os acionistas, gestores e a sociedade em geral
começaram a se preocupar mais com as demonstrações financeiras divulgadas pelas
organizações, a fim de identificarem que as informações divulgadas pelas empresas
correspondiam à realidade das organizações. Estes escândalos contábeis tiveram
consequências, tais como, a perda da confiança dos investidores nas informações
financeiras divulgadas pelas empresas; a forte retirada de recursos do mercado de
capitais e, com isso, as ações das empresas começaram a cair (SILVA, 2007). Então
se deu origem à SOX. A Lei norte-americana Sarbanes – Oxley (SOX) abrange as
empresas estrangeiras, incluindo as brasileiras, registradas na SEC, que possuem ações
negociadas nas bolsas de valores dos EUA e também as subsidiárias brasileiras de empresas
americanas. Atualmente as práticas de governança corporativa são vistas pelos profissionais,
cientistas e acadêmicos de todo o mundo como um meio de otimizar o desempenho das
empresas, tornando as transações financeiras mais transparentes, atraindo a confiança dos
investidores e, conseqüentemente, ganhando mais espaço no competitivo mercado de
capitais.
Dentre os principais impactos da SOX que as empresas tiveram destacam-se:
a área da auditoria interna, devido ao grau de detalhamento dos processos das áreas
envolvendo o controle interno; a transparência das demonstrações financeiras e o
grau de responsabilidade dos gestores e altos executivos para com a comprovação
dos números informados nas demonstrações. As empresas que forem obrigadas ao
enquadramento e não o fizerem, estarão sujeitas à penalidade de até 20 anos de
prisão e multas estipuladas em até cinco milhões de dólares. Embora existam outros
modelos de estrutura de controle interno, a empresa estudada adotou a do Commitie
of Sponsoring Organization of Tradeway Commission – COSO, dominante nos
Estados Unidos, que foi essencial na implementação das adequações de seu controle
interno às exigências da SOX.
Muito além de certificar a Bradesco Saúde S/A à Lei Sarbanes Oxley, a criação
de uma cultura de controle disseminada em todos os níveis da companhia certamente
gera o início de um caminho de mudanças de seus colaboradores no que tange a
responsabilidades e comprometimento no desempenho de suas atividades. Todos
49
agora se sentem responsáveis de alguma forma a contribuir para o perfeito
andamento de seus departamentos, contribuindo para a melhoria constante nos
processos internos da Companhia e a repercussão dela no mercado nacional e
internacional.
Após todas as etapas desde o levantamento dos Fluxogramas, Identificação
dos Controles Chave até a Certificação, a SOX nos deixa um cenário de mudanças e
melhorias constantes, ou seja, o processo de maturação dos controles e no momento
de sustentação, não é simplesmente obter a certificação, mas fazer destes controles,
processos evolutivos, aprendizados adquiridos ao longo deste árduo e cíclico
projeto.
Dos assuntos abordados nesta monografia, foram utilizadas bibliografias,
citadas e mencionadas de acordo com o respectivo autor, intranet da Bradesco Saúde
S/A, Deloitte, CFC, FEBRABAN, dentre outros não menos importantes.
Cabe ressaltar que, procurou-se o máximo destrinchar alguns conceitos para
facilitar o entendimento. Da importância para auditoria que tem os controles internos
e compliance dentro de uma empresa, atuando como papel de facilitador para
auditoria interna e externa, bem como a serenidade de que é respeitosamente passada
pela alta administração em relação às demais áreas da empresa.
A Gestão de Compliance segundo esclarece a FEBRABAN26
A garantia de um bom funcionamento dentro dos padrões da SOX da Gestão
de Compliance, e o comprometimento da Alta Direção nas bases éticas, somados à
busca constante da melhoria dos seus Controles, seguramente coloca a empresa
frente a um dos seus maiores ativos: A boa Imagem junto ao público e ao meio
Corporativo Nacional e Internacional.
, em conjunto
com as outras Áreas que formam os Pilares da Governança Corporativa, têm
assegurado à Alta Administração das Instituições Financeiras a existência de um
Sistema de Controles Internos que demonstra, de maneira transparente, que a
estrutura organizacional adotada e os procedimentos internos estão em
conformidades com os regulamentos externos e internos afeto às Instituições.
26 Disponível em: www.febraban.org.br/Arquivo/Destaques/Funcao_de_Compliance.pdf acesso em 19/01/2012.
50
REFERÊNCIAS BIBLIOGRÁFICAS
ALMEIDA, Marcelo Cavalcanti. Auditoria: um curso moderno e completo. 6. ed. São Paulo, SP: Atlas, 2003. 590 p. ANGELOTTI, Euzébio. VI Seminário Internacional de Gerenciamento de projetos. Rumo às Próximas Fronteiras. KPMG, SP, 2006. ARANTES, Nélio. Sistema de gestão empresarial: conceitos permanentes na administração de empresas válidas. 2.ed. São Paulo: Atlas, 1998. ATTIE, William. Auditoria: conceitos e aplicações. São Paulo – SP, 2000. Editora
Atlas. AUDIBRA, Práticas para o Exercício Profissional da Auditoria Interna – Estrutura Geral, SP, 2006. p.25 BERGAMINI JUNIOR, Sebastião - Revista do BNDES, Rio de Janeiro, Dez. 2005. http://www.bndes.gov.br/SiteBNDES/export/sites/default/bndes_pt/Galerias/Arquivos/conhecimento/revista/rev2406.pdf BORGETH, Vânia Maria da Costa. SOX Entendendo a Lei Sarbanes-Oxley 1. São
Paulo – SP, 2007. Freitas Bastos. 96p. BOYTON, William. Auditoria. São Paulo – SP, 2002. Editora Atlas. BRASILIANO&ASSOCIADOS - RevistaEletrônica http://www.brasiliano.com.br/revistas/edicao_32.pdf - Setembro - Outubro 2008 , Edição 32ª. 4 - 5 p. Acesso 19/01/2012. BRADESCO - Cartilha De Procedimentos Operacionais Da Lei Sarbane-Oxley. Bradesco Saúde - Rio de Janeiro – RJ, 2008. BRADESCO - Controles Internos e Compliance. Bradesco Saúde - Rio de Janeiro – RJ, 2011. CFC. Normas Brasileiras de Contabilidade. NBC T 12 – Da auditoria interna. Aprovado pela Resolução n.1135/08 (Publicada no Diário Oficial da União de 25 de novembro de 2008.) Brasília: 2008. CHERMAN, Bernardo. Auditoria interna, externa e governamental. São Paulo – SP, 2005. Freitas Bastos. COSIF ELETRÔNICO – Portal de Contabilidade - http://www.cosif.com.br/, Dezembro 2012
51
(http://www.cosif.com.br/mostra.asp?arquivo=contabilidade_internacional-coso) Revisado em 28/02/2011. CREPALDI, Silvio Aparecido. Auditoria contábil: teoria e prática. São Paulo, SP: Atlas, 2000. 477 p. DELOITTE, www.deloitte.com.br. Lei Sarbanes-Oxley. Rio de Janeiro – RJ, 2003. DIAS, Sergio Vidal dos Santos. Auditoria de Processos Organizacionais, Teoria, Finalidade, Metodologia de Trabalho e Resultados. São Paulo – SP, 2002. Editora Atlas. 241p. FEBRABAN - Federação Brasileira de Bancos - ABBI. http://www.febraban.org.br/Arquivo/Destaques/Funcao_de_Compliance.pdf Função de Compliance, São Paulo – SP, 2004. FEBRABAN - Federação Brasileira de Bancos. Auditoria de Tesouraria,
PriceWaterhouseCoopers. São Paulo – SP, 2005. Editora IBCB. 214p. FRANCO, Hilário; MARRA, Ernesto. Auditoria contábil. 4. ed. atual. São Paulo, SP: Atlas, 2001. KPMG. 6° Mesa de Debates – SOX 301, Conselho Fiscal ou Comitê de Auditoria- 2005. Disponível em <www.kpmg.com.br> OLIVEIRA, Luis M. PEREZ Jr., José H., SILVA, Carlos A. S. Controladoria estratégica. São Paulo, 2002, Atlas. 84-85 p. PASSETTI, Luiz Carlos. Controles Internos, Preparando as Empresas para
Aderência à Lei Sarbanes Oxley. São Paulo – SP, 2004. Editora E&Y. 27p. PELEIAS, Ivam Ricardo. Boletim IOB nº 37, São Paulo, 2003. p.3 SCAICO, Oswaldo. Organização Flexível, Qualidade na Gestão de Processos. São Paulo – SP, 1997. Editora Atlas. 335 p. SCHEIN, Edgar. Organizational Culture. New York. 1990, Ed: American Psychologist, 114 p.
SIMMONS, M.R.. O COSO: Committee of Sponsoring Organizations of the Treadway Commission Based Auditing. 1997. Altamont Springs, Internal Auditor, Dec, p. 68-73. SILVA, Letícia Medeiros. A Influência da Lei Sarbanes – Oxley e do Código Civil Brasileiro nos Controles Internos de Empresas Localizadas no Brasil. São Leopoldo: 2007. 155p. Dissertação apresentada ao Programa de Pós-Graduação – Mestrado em Ciências Contábeis da Universidade do Vale do Rio dos Sinos (UNISINOS), como requisito parcial para obtenção do título de Mestre em Ciências Contábeis.
52
Anexo 1 – Autorização da Bradesco Saúde
53
54
55
56
ÍNDICE
Folha de rosto.................................................................................... 02 Agradecimentos................................................................................. 03 Dedicatória........................................................................................ 04 Resumo............................................................................................. 05
Metodologia...................................................................................... 06 Introdução......................................................................................... 07 Sumário............................................................................................. 08
CAPÍTULO
1 DESENVOLVIMENTO........................................................................ 09 1.1 A Lei Sarbanes Oxley....................................................................... 09 1.2 Mudança de Cultura......................................................................... 15 1.3 Obrigações e Oportunidades............................................................ 16 1.4 As Seções......................................................................................... 19
1.4.1 Seção 302.............................................................................. 20 1.4.2 Seção 404.............................................................................. 21 1.4.3 Seção 302 e Seção 404 - Apenas Uma................................ 22
1.5 Organização e Comprometimento...................................................... 24
2 METODOLOGIA.................................................................................... 27 2.1 O COSO............................................................................................ 27 2.2 A Estrutura do COSO....................................................................... 31
2.2.1 Ambiente de Controle............................................................ 31 2.2.2 Avaliação e Gerenciamento de Riscos.................................. 32 2.2.3 Atividades de Controle........................................................... 35 2.2.4 Informação e Comunicação................................................... 38 2.2.5 Monitoramento....................................................................... 39
3 CONTROLES INTERNOS E COMPLIANCE BRADESCO ............. 41
3.1 Certificação à Sarbanes Oxley......................................................... 41 3.2 O Plano de Ação............................................................................... 44 3.3 A Implementação.............................................................................. 44
3.3.1 Fluxogramação dos Processos.............................................. 45 3.3.2 Identificação e Validação dos Controles Chave..................... 45 3.3.3 Elaboração de um Inventário de Riscos e Controles............. 45 3.3.4 Realização de Testes dos Fluxogramas (Walkthrough)........ 46 3.3.5 Execução dos Testes de Aderência (Evidências).................. 46 3.3.6 Remediação de Controles Deficientes................................... 46 3.3.7 Certificação – Um pequeno Resumo..................................... 47
57
CONCLUSÃO..................................................................................................... 48 REFERÊNCIAS BIBLIOGRÁFICAS................................................................
50 GLOSSÁRIO
Definição de Termos......................................................................... 54
58
ANEXOS
Índice de Anexo
Anexo 1 – Autorização da Bradesco Saúde ...........................................................
52
59
GLOSSÁRIO
1.1 Definição de Termos
Para um melhor entendimento e familiarização com os termos que serão
mencionados, abaixo serão citados alguns conceitos para que ao decorrer do trabalho
não haja dúvidas quanto a sua aplicação.
Controle: Em nosso meio, todas as rotinas vêm sendo executadas
diariamente, portanto, existe uma engrenagem em nosso cérebro que não nos deixa
esquecer qualquer passo a ser tomado, com conseqüências de prejuízo a ele. Como
em nossa vida pessoal em que precisamos ter o controle de nossas funções orgânicas,
do dinheiro, do tempo, das datas, etc..., em nossa vida profissional os controles são
necessários para se ter qualidade, evitar prejuízos e retrabalho, além de atender a
legislações vigentes, cada vez mais rígidas e severas. Os controles têm essa
finalidade.
Controle Interno: Nas empresas é necessário haver controles em todas as
atividades, produtos, serviços, sistemas de informações, sejam financeiros,
operacionais ou gerenciais, com um acompanhamento sistematizado, pois só assim
podem-se atingir os objetivos de desempenho, de informações e de conformidade
com as regras instituídas pelos órgãos reguladores.
Portanto Controle Interno é um processo, desenvolvido para garantir, com
razoável certeza, que sejam atingidos os objetivos da empresa, ou seja, é o conjunto
de políticas, metodologias e normas, além de atividades de acompanhamento,
automatizadas ou não para reduzir o grau de exposição ao Risco, subsidiar o
cumprimento dos objetivos estabelecidos pela direção, assegurar a existência de
conformidade com as leis, regulamentos, assim como promover e disseminar a
confiabilidade dos relatórios financeiros e gerenciais. Todas as transações devem ser
registradas, todos os registros devem refletir transações reais, consignadas pelos
valores e enquadramentos corretos. Controles Internos = Política + Normas +
Procedimentos.
60
Compliance: Não pode-se deixar de citar o termo compliance, que dentro do
ambiente de controles é muito importante, posto que a mesma é uma palavra de
origem inglesa que significa estar em conformidade com normas, procedimentos,
controles e registros existentes, buscando prevenir e minimizar os riscos das
atividades. Compliance = Conformidade.
Processo: É o conjunto de causas que produzem um ou mais efeitos. Define-
se um processo agrupando em seqüência todas as tarefas dirigidas à obtenção de um
resultado, bem ou serviço. Pode-se dizer que um processo é constituído de pessoas,
equipamentos, materiais ou insumos, métodos ou procedimentos, informações ou
medidas, condições ambientais, combinados de modo a gerar um produto, bem ou
serviço. Uma série de tarefas correlatas pode ser chamada de processo e um grupo de
processos correlatos pode ser visto como um sistema. Qualquer organização ou
empresa é um processo e dentro dela encontramos diversos sub-processos de
manufatura ou serviços. Um processo é controlado através dos seus efeitos. Ou seja,
tudo nessa vida é baseado em processos! Podemos entender processo como o modo
pelo qual as coisas acontecem, com auxílio de insumos. Todo processo tem um início
e fim, ou seja, uma entrada e uma saída.
Auditoria: É a atividade conduzida por uma organização externa e
independente da empresa examinada. Que consiste na condução das análises
necessárias à verificação das demonstrações financeiras, que devem refletir a
situação patrimonial e os resultados da empresa auditada. É a confirmação dos
registros e demonstrações contábeis, obtidos através do exame de todos os
documentos, livros e registros. Os auditores emitem uma opinião de sua precisão,
consistência e conformidade com os padrões contábeis estabelecidos. E também
temos a Auditoria Interna, onde podemos conceituar como um controle gerencial que
funciona por meio de medição e avaliação da eficácia de outros controles. Deve ser
entendida como uma atividade de assessoramento à administração quanto ao
desempenho das atribuições definidas para cada área da empresa, mediante as
diretrizes políticas e objetivos por aquelas determinado.
61
Risco: Segundo a definição da palavra risco é a probabilidade de perda ou
incerteza associada ao cumprimento de um objetivo, ou mesmo, a medida de
incerteza a respeito de um evento ao qual um determinado órgão está exposto. Os
riscos sempre existirão, eles nunca serão zerados. O que se pode fazer num ambiente
de controles internos é monitorá-los para que no desempenho das atividades eles
sejam minimizados. Uma empresa sempre estará exposta a riscos, abaixo alguns
exemplos de riscos mais comuns no ambiente de negócios.
Risco Assumido: São os riscos identificados, ponderados e mensuráveis
existentes em determinadas, atividades, processos, produtos e serviços,
fundamentalmente assumidos e cujo custo com adoção de controles arca com o
respectivo benefício. Estes riscos devem ser gerenciados de forma a serem
controlados e administrados dentro dos padrões estabelecidos.
Risco Residual: É representado pela parcela não totalmente reduzida do risco
após a análise da estrutura de controles internos existentes, podendo ser de dois tipos:
Aceitável – Quando a análise de custo x benefício x risco não recomenda a adoção
de controles, devendo os valores de perdas registradas serem regularmente
monitorados e reportados. Não Aceitável - Quando a análise de custo x benefício x
risco recomenda a elaboração de plano de ação para reduzi-lo a nível aceitável ou
descontinuar a atividade.
Risco de Crédito: É representado pela possibilidade de insolvência de
devedores, podendo acarretar perda no recebimento de ativos, ou seja, quando há
créditos a receber e de alguma forma estes valores não são alcançados. Há alguns
fatores que podem estar direcionado ao não recebimento, mas principalmente a
inadimplência é o principal.
Risco de Mercado: É representado pela possibilidade de perda em função de
oscilações de preços e taxas de mercado, além da ausência de liquidez de
instrumentos financeiros, que impactem no valor da carteira de uma instituição. Pode
ocorrem em função da taxa de juros, taxa de câmbio e ações, dentre outros.
62
Risco de Liquidez: É representado por descasamentos no fluxo de caixa,
decorrente de dificuldade de se desfazer rapidamente de um ativo ou de obter
recursos, impossibilitando a liquidação e posições ou gerando responsabilidades em
aberto.
Risco Regulatório: É representado por modificações legais estabelecidas por
autoridades governamentais que interfiram nas relações privadas e modifiquem
direitos e obrigações legalmente contratados.
Risco Atuarial: É representado por metodologias ou cálculos incorretos da
tarifação de seguro e pela inadequada constituição de reservas técnicas. Tal risco é
contemplado principalmente em Companhias de Seguro.
Risco Reputacional: É representado pela perda de credibilidade e reputação
junto a clientes, concorrentes, fornecedores, órgãos governamentais, mercado de
atuação ou comunidade, decorrentes de ações, atos ou atitudes indevidos e
impróprios e má conduta operacional.
Risco Estratégico: É representado pela falta de capacidade ou habilidade da
empresa em proteger-se, adaptar-se ou antecipar-se a mudanças que possam impedir
o alcance dos objetivos corporativos estabelecidos. Os riscos estratégicos podem ser
vistos de duas formas:
Inadaptação a Mudanças – Incapacidade da empresa em adaptar-se ou
resistir a mudanças oriundas de fatores externos, sejam eles por ações de
concorrentes, regulamentações ou legislação sobre a atividade, ambientes políticos e
econômicos adversos ou instabilidade nos mercados em que atua, fatores estes que
efetivamente possam afetar receitas e despesas.
Inabilidade de Gestão – Inabilidade na definição da estratégia operacional e
administrativa ou ausência de direção e foco para cumprimento dos objetivos
empresariais, afetando negativamente o posicionamento da empresa no mercado, sua
rentabilidade, liquidez e valor patrimonial ou de mercado.
Risco Operacional: Este é o risco que maior impacta o ambiente de controle
nas organizações. É aquele que é visto com maior atenção, pois engloba parte de
todos aqueles descritos anteriormente, com exceção do risco estratégico e
63
reputacional. É o risco da perda resultante de processos internos, pessoas e sistemas
inadequados ou falhos e também de eventos externos. Podem-se identificar através
de fraudes internas, fraudes externas, recursos humanos, relações comerciais,
tecnologia da informação e processos inadequados.
64
UNIVERSIDADE CÂNCIDO MENDES E AVM FACULDADE INTEGRADA DIRETORIA DE DESENVOLVIMENTO EDUCACIONAL DEPARTAMENTO DE PESQUISA E PÓS - GRADUAÇÃO COORDENADORIA DE CURSOS DE PÓS - GRADUAÇÃO LATU SENSU PÓS- GRADUAÇÃO: AUDITORIA E CONTROLADORIA CONCEITO ATRIBUÍDO À MONOGRAFIA: AUDITORIA A IMPORTANCIA
DOS CONTROLES INTERNOS E COMPLIANCE
AUTOR: MARCIO PATRICK GOMES MARTINS TOSTES PROFESSORA ORIENTADORA: LUCIANA CHAVES MADEIRA CONCEITO:___________________________________________________
RIO DE JANEIRO 2011
