Embed Size (px)
Citation preview
UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATO SENSU”
AVM FACULDADE INTEGRADA
O PAPEL DOS CONTROLES INTERNOS E DA AUDITORIA
INTERNA NO SETOR DE SEGUROS DE VIDA E PREVIDÊNCIA
Por: Fábio Fernandes do Amaral
Orientador
Prof. Nelsom Magalhães
Rio de Janeiro
2015
DOCUMENTO PROTEGID
O PELA
LEI D
E DIR
EITO AUTORAL
2
UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATO SENSU”
AVM FACULDADE INTEGRADA
O PAPEL DOS CONTROLES INTERNOS E DA AUDITORIA
INTERNA NO SETOR DE SEGUROS DE VIDA E PREVIDÊNCIA
Apresentação de monografia à AVM Faculdade
Integrada como requisito parcial para obtenção do
grau de especialista em Auditoria e Controladoria.
Por: Fábio Fernandes do Amaral
3
AGRADECIMENTOS
Agradeço a todos que, direta ou
indiretamente e dentro de suas
particularidades, contribuíram para a
realização deste trabalho.
4
DEDICATÓRIA
Dedico este trabalho aos meus pais pelos
valores ensinados, que muito
contribuíram no meu crescimento pessoal
e profissional.
5
RESUMO
Muitas seguradoras têm áreas de Auditoria Interna e Controles Internos
por exigência do Órgão Regulador (SUSEP – Superintendência de Seguros
Privados), com função de mapear, controlar e testar seus processos, porém
não as utilizam de forma plena e adequada. O presente trabalho tem a
intenção de mostrar como estas áreas podem ajudar a Alta Administração e os
Gestores destas empresas a alcançar seus objetivos estratégicos, além de
auxiliar na tomada de decisão.
Será apresentado como é o funcionamento e a atuação das áreas de
Auditoria Interna e Controles Internos dentro das Seguradoras de Vida e
Previdência, e a importância delas para a Alta Administração e Gestores da
empresa. Além de destacar e apontar as diferenças no papel dessas áreas e
identificar a importâncias das mesmas na Gestão dos Riscos e na Governança
para a empresa.
6
METODOLOGIA
O material de estudo será submetido, principalmente, à análise do
referencial teórico sobre o assunto, que consiste em realizar uma revisão dos
trabalhos já existentes sobre o tema abordado, que pode ser em livros, artigos,
monografias, teses e outros materiais cientificamente confiáveis.
Marconi e Lakatos (2001, p.182) justifica que o referencial teórico
permite verificar o estado do problema a ser pesquisado, sob o aspecto teórico
e de outros estudos e pesquisas já realizados.
Já Marion, Dias e Traldi (2002, p.38) explica que o referencial teórico
deve conter um apanhado do que existe, de mais atual na abordagem do tema
escolhido, mesmo que as teorias atuais não façam parte de suas escolhas.
O referencial teórico é que possibilita fundamentar, dar consistência a
todo o estudo, além de ter a função de nortear a pesquisa, apresentando um
embasamento da literatura já publicada sobre o mesmo tema.
7
SUMÁRIO
INTRODUÇÃO 08
CAPÍTULO I - Auditoria – Origens e Conceitos 10
CAPÍTULO II - Controles Internos e Seus Fundamentos 17
CAPÍTULO III - COSO 23
CAPÍTULO IV - Lei Sarbanes- Oxley 41
CAPÍTULO V - Auditoria Interna e Controles Internos no Mercado
de Seguros
45
CONCLUSÃO 64
GLOSSÁRIO 66
BIBLIOGRAFIA 68
WEBGRAFIA 70
ÍNDICE 71
8
INTRODUÇÃO
Os ambientes empresariais estão em constante mudança. Novos
riscos surgem com as mudanças tecnológicas e novas estruturas corporativas,
em função da característica de cada negócio. Cada empresa está exposta a
inúmeros riscos. Há que se destacar os desafios e riscos virtuais, além de
processos terceirizados, que embora não estejam dentro da organização, são
riscos do negócio e também devem ser administrados.
Conhecer os processos da organização, de seus clientes, fornecedores
e colaboradores é vital para a continuidade do negócio. Por isso, analisar,
mapear e priorizar decisões são tarefas essenciais para que a estratégia
funcione. Desta forma, para que a Gestão de Riscos seja eficaz, é necessária
uma forte integração das áreas de Auditoria Interna e Controles Internos.
O gerenciamento dos riscos corporativos é responsabilidade de todos
os funcionários que trabalham dentro de uma empresa. A responsabilidade
maior recai sobre o presidente que deverá assumir os riscos e tomar as
decisões. Os gerentes também tem sua parcela de responsabilidade, apoiando
a filosofia de gerenciamento de riscos da empresa, fomentando a
conformidade com o apetite a riscos e gerenciando os riscos dentro de suas
áreas. Os outros funcionários da organização respondem pela execução do
gerenciamento dos riscos corporativos, de acordo com as diretrizes e
protocolos estabelecidos. A diretoria propicia informações úteis para a
realização do gerenciamento de riscos, porém não responde pela eficácia do
desse gerenciamento.
Uma característica típica da forma pela qual o gerenciamento de riscos
corporativos é implementado consiste no grau de detalhes com que as funções
e responsabilidades são claramente definidas e o fato de serem ou não
9
atribuídas de maneira centralizada ou descentralizada. Embora, a execução do
processo possa variar de organização para organização, ele possui alguns
pontos comuns.
10
CAPÍTULO I
AUDITORIA – ORIGENS E CONCEITOS
1.1. Auditoria no Mundo
De acordo como Attie (2011, p.7), a origem da palavra Auditoria vem
do latim audire, que significa ouvir. Essa atividade é muito antiga, remonta ao
Império Persa, no qual Dario I, ao realizar a reforma político-administrativa,
criou a função de “olhos e ouvidos do rei”, funcionários encarregados de vigiar
a ação dos sátrapas (governadores das províncias persas), garantir o
cumprimento das ordens imperiais e fiscalizar a cobrança de impostos e o uso
do tesouro real.
Segundo Almeida (2012, p.1), muitos anos depois, no Império
Romano, os imperadores também nomeavam altos funcionários com a missão
de supervisionar as operações financeiras de seus administradores provinciais
e prestar contas, verbalmente.
Cordeiro (2013, p.4) afirma que no século XII, na França, os barões
realizavam a leitura pública de suas contas, na presença de funcionários
designados pela Coroa. Na mesma região, durante o período carolíngio, o
imperador Carlos Magno (768-814) instituiu a figura dos missi dominici, seus
auditores nas diversas províncias sob seu domínio.
Já Attie (2011, p.8) ressalva que há informações sobre a utilização do
termo “auditor” nos fins do século XIII, na Inglaterra, pelo rei Eduardo I.
Durante seu reinado, concedeu aos barões o direito de nomear representantes
oficiais e ordenou até mesmo a conferência das contas do testamento da
esposa morta. A aprovação do auditor era atestada em documentos que
constituíram os primeiros relatórios de Auditoria, denominados Probatur sobre
as Contas.
11
Para ele, por toda a Idade Média e após o Renascimento, nas diversas
regiões da Europa, surgiram associações profissionais com a missão de
executar as funções de Auditoria, como os conselhos londrinos, em 1310; o
Tribunal de Contas, em 1640, em Paris; o Collegio dei Raxonati, em 1581, na
cidade de Veneza; e a Academia dei Ragionieri, em 1658, nas cidades de
Milão e Bolonha.
Almeida (2012, p.3) explica que datam do final do século XIX as pri-
meiras associações de classe reunindo profissionais de Contabilidade e
Auditoria. Surgiram na Inglaterra e nos Estados Unidos, países que adotavam
o liberalismo econômico, privilegiando a livre-iniciativa e a propriedade privada.
O pioneirismo da Inglaterra é marcado pelo secular Institute of Chartered
Accountants in England and Wales (1880). Nos Estados Unidos, a mais antiga
organização profissional de auditores é o American Institute of Certified Public
Accountants (1886).
1.2. Auditoria no Brasil
Para Pinho (2007, p.5), o surgimento da Auditoria no Brasil está
intimamente associada a Contabilidade, principalmente pela existência de
registros comerciais privados, como os do tráfico negreiro, da comercialização
do açúcar e de outras atividades mercantis. A presença de profissionais de
Contabilidade, em caráter público ou privado, é notada desde o início da
colonização, uma vez que a primeira nomeação para o cargo de contador-geral
e guarda-livros foi feita por dom João III, rei de Portugal, em 1549.
Ela afirma que a primeira regulamentação da profissão contábil deu-se
somente em 1770, quando dom José I expediu Carta de Lei a todos os
domínios portugueses, estabelecendo a necessidade de matrícula dos guarda-
livros na Junta do Comércio, em livros específicos. A não inclusão do
12
profissional no referido livro o tornava inapto a obter empregos públicos,
impedia também de realizar escriturações, contas ou laudos. Essa lei proibia
os escritórios das casas de negócios de contratar guarda-livros sem matrícula
e exigia que, na Contadoria Pública, só fossem aceitos profissionais que
tivessem cursado aulas de comércio. Já no século XVIII, portanto, teve início a
formação do contador, com o surgimento da aula de comércio.
“O profissional de Contabilidade era, naquela época e
durante a primeira metade do século XX, o guarda-livros,
muito embora se utilizasse também a expressão
“contador-geral”, reservada ao profissional que atuava na
área pública. A atividade ficou definida no Código
Comercial de 1850, que instituiu a obrigatoriedade da
escrituração contábil e da elaboração anual do balanço
geral das empresas comerciais. Fundamentado no
modelo francês, esse código foi o alicerce para a
regulamentação legal das sociedades anônimas e suas
relações comerciais. Mais tarde, diversas leis abordaram
matérias societárias, como o Decreto n° 434, de 1891,
que consolidou as disposições existentes sobre as
sociedades anônimas, e a Lei n° 2.024, de 1908, que as
submeteu ao regime falimentar.” (PINHO, 2007, p.6).
Já Cordeiro (2013, p.4) afirma que a atividade de Auditoria
independente foi introduzida no Brasil no século XIX, em função dos
investimentos internacionais e aplicados, principalmente, em infraestrutura
(portos, ferrovias, navegação, iluminação pública, etc.), base para o início da
industrialização. Instaladas no Brasil, as empresas internacionais de Auditoria
contribuíram muito para o avanço do conhecimento e para a implantação de
técnicas contábeis nas primeiras décadas do século XX.
13
Segundo ele, o primeiro trabalho de Auditoria registrado no Brasil de
que se tem conhecimento ocorreu quando o balanço da São Paulo Tramway,
Light and Power Company relativo ao período compreendido entre junho de
1899 e dezembro de 1902 foi analisado pela empresa de Auditoria Clarkson &
Cross – atualmente Ernst & Young.
Santi (1998, p.17) cita que não existem divulgações de pesquisas
sobre os primórdios da Auditoria no Brasil, sendo certo, porém, que teve
origem inglesa, e que o primeiro parecer foi publicado em 9 de abril de 1903.
Ele se refere justamente ao exame dos livros da São Paulo Tramway, Light
and Power Company, na sua matriz, em Toronto, Canadá. No entanto, de
acordo com Santi, a menção nele contida de que foram examinados também
os recebimentos da filial de São Paulo não permite determinar se eles
mantinham escritório no Brasil ou se enviaram auditores de Toronto para
aquela expressa finalidade.
Sá (1986, p.15) complementa que em razão da chegada dos
investidores estrangeiros, as firmas de Auditoria provenientes dos países onde
as bases do capitalismo já estavam sedimentadas, como Estados Unidos e
Inglaterra, instalaram filiais no Brasil, logo nas primeiras décadas do século XX.
Pela alteração contratual assinada em Londres, em 1911, por Henry Thomas
McAuliffe, Alfred Edward Maidlow e David Bell, a firma de Auditoria McAuliffe
Davis Bell & Co. já mantinha estabelecimento no Rio de Janeiro desde 21 de
outubro de 1909, do qual David Bell era o sócio-presidente. A firma,
antecessora da atual Deloitte Touche Tohmatsu, abriu efetivamente o primeiro
escritório em solo brasileiro em 1911, na cidade do Rio de Janeiro (RJ), e um
segundo na cidade de Recife (PE), em 1917. Em 1915, a
PricewaterhouseCoopers incorporou-se à W. B. Peat & Co. e Touche, Faller &
Co., na América do Sul, abrindo um escritório no Rio de Janeiro e transferindo
Richard Wilson, que era gerente em Nova York, para dirigi-lo. Anos mais tarde,
ingressariam no país outras empresas de grande porte, como a Arthur
14
Andersen em 1957 e a Arthur Young & Co. antecessora da atual Ernst &
Young, em 1959.
1.3. Auditoria Interna e Auditoria Externa
Embora a Auditoria Interna e a Auditoria Externa possuam interesses
comuns, como o de evitar ou mitigar o risco de fraudes e de erros nas
organizações, elas operam em diferentes graus de profundidade e extensão.
Segundo Lins (2014, p.4), via de regra, o Auditor Interno preocupa-se
com o desenvolvimento do empreendimento da empresa, é um funcionário que
faz parte d da empresa e pretende testar a eficiência dos controles internos e
dos sistemas utilizados. Para que seja realizada com sucesso, requer uma
organização rígida e autônoma para necessárias verificações. Com a
expansão dos negócios, a administração da empresa tem a necessidade de
dar maior destaque as normas ou aos procedimentos internos, pelo fato de que
com a expansão empresarial os administrados não têm como acompanhar
pessoalmente todas suas atividades. Entretanto, a implantação desses
procedimentos internos sem que haja um acompanhamento, com a intenção
de verificar se os mesmos estão sendo seguidos pelos empregados da
empresa, de nada serve. A auditoria interna atende à administração da
empresa e tem um maior grau de periodicidade e profundidade, além de visar
as outras áreas não relacionadas com contabilidade.
Ele explica que já a Auditoria Externa é realizada por um profissional
contratado pela organização para realização do trabalho de forma
independente, sem vínculo empregatício com a empresa. É um consultor que
pode auxiliar na melhor adequação dos registros contábeis da empresa,
inclusive na emissão de um parecer. Seu foco é a confiabilidade dos registros
contábeis da empresa.
15
Ele também esclarece que a auditoria externa pode utilizar-se de parte
dos serviços da auditoria interna. Porém, para cumprir o seu objetivo, deve
coordenar suas ações de modo que seus programas adotem procedimentos
idênticos e impeçam a execução de tarefas repetidas.
Segundo Almeida (2012, p.5-13), as principais diferenças entre o
auditor interno e o externo são:
Auditor Interno Auditor Externo
Geralmente tem vinculo empregatício
com a empresa
Não tem vinculo empregatício com a
empresa auditada
Menor grau de independência Maior grau de independência
Tem como principais objetivos:
a) Verificar se as normas internas estão
sendo seguidas
b) Verificar a necessidade de aprimorar
as normas internas vigentes
c) Verificar a necessidade de novas
normas internas
d) Efetuar auditoria nas diversas áreas da
empresa, nas demonstrações contábeis e
em áreas operacionais
O principal objetivo é emitir um parecer
ou opinião sobre as demonstrações
contábeis, no sentido de verificar se
estas refletem adequadamente a posição
patrimonial e financeira, o resultado das
operações, as alterações no patrimônio
líquido e as origens e aplicações de
recursos da empresa examinada.
Também, se essas demonstrações foram
elaboradas de acordo com os princípios
contábeis e se esses princípios foram
aplicados com uniformidade em relação
ao exercício social anterior
Realiza maior volume de testes (tem
mais tempo na empresa para executar os
serviços de auditoria)
Menor volume de testes, uma vez que o
auditor externo está interessado em erros
que individualmente ou cumulativamente
possam alterar de maneira substancial as
informações das demonstrações
contábeis
16
Ele ressalta que a auditoria interna é um órgão de controle que deve
possuir máxima liberdade para acompanhar os componentes da atividade
empresarial, visando, basicamente:
a) Confiabilidade interna dos sistemas de controle;
b) Confiabilidade interna dos registros contábeis;
c) Confiabilidade interna dos informes.
17
CAPÍTULO II
CONTROLES INTERNOS E SEUS FUNDAMENTOS
De acordo com Audibra (2007, p.6), controle pode ser definido como o
processo desenvolvido para garantir, com razoável certeza, que os objetivos da
empresa no que tange à eficiência e efetividade operacional, confiança nos
registros contábeis e financeiros e conformidade com regras externas e
internas sejam atingidos. O controle é um mecanismo manual ou sistêmico que
minimiza ou elimina a possibilidade de ocorrência dos riscos do negócio. Eles
são colocados para prevenir ou detectar erros.
Já Dias (2011, p.5) afirma que podemos medir a necessidade da
existência de controles analisando-se o ciclo vital de uma empresa. Em sua
fase inicial, o dono é o ponto principal e dele emanam os comandos e as
verificações, ou seja, os controles. Na medida em que a empresa cresce e se
diversifica, maior e mais complexa se torna sua estrutura organizacional e,
consequentemente, torna-se inviável que o empresário sozinho controle todas
as fases e atividades. Desse modo, podemos afirmar que a origem do controle
interno está relacionada às necessidades de informações sobre a atuação
empresarial. A busca dessas informações ocasionou a evolução para controles
mais efetivos e conscientes, segundo as características de cada empresa.
Ainda segundo Audibra (2007, p.6), toda organização deve possuir
uma hierarquia de objetivos que suportem a execução da estratégia e a
realização daquilo que a organização tem como os seus motivos de existência.
Para atingir esses objetivos, as organizações dispõem de diversos recursos,
como pessoas com as mais diversas competências, processos de negócios de
diversas naturezas e infraestrutura física e tecnológica para suportar suas
operações. Além disso, o ambiente externo também possui grande influência.
18
Para Dias (2011, p.7), cada vez mais, os processos têm de se
apresentar ágeis e seguros, através de controles que identifiquem claramente
os seus objetivos e assegurem que os riscos de possíveis problemas sejam
prevenidos. Portanto, não basta que os problemas sejam identificados e
corrigidos, os controles precisam atuar de forma extremamente preventiva.
2.1. Tipos de Controles
Segundo Arima (2013, p.9-10), os controles podem ser conceituados
de acordo com sua natureza e podem ser definidos em:
v Controles Preventivos: atuam de forma a prevenir a ocorrência dos
riscos, exercendo o papel de uma espécie de guia para execução do
processo ou na definição da atribuições e responsabilidades.
v Controles Detectivos: detectam algum risco que já tenha ocorrido no
processo, porém não impedem a ocorrência de novos riscos.
v Controles Corretivos: tem função de correção das causas, mas após a
ocorrência do risco.
Ele cita exemplos dos principais tipos de controles e suas respectivas
naturezas, tais como:
ü Alçadas (controles preventivos): são os limites determinados a um
funcionário, quanto a possibilidade deste aprovar valores ou assumir
posições em nome da empresa.
ü Conciliação (controle detectivo): é a confrontação da mesma
informação com dados vindos de bases diferentes, adotando as ações
corretivas, quando necessário.
19
ü Segregação de Funções (controle preventivo): a segregação é
divisão do controle por funcionário, setor ou área. Como exemplo,
temos: Quando um faz determinada atividade, outro confere, ou, quando
um provisiona, outro paga. Esse tipo de controle é essencial para a
efetividade dos controles internos. Ele reduz tanto o risco de erros
humanos quanto o risco de ações indesejadas.
ü Sistemas Informatizados (controles preventivos e detectivos): são
controles automáticos realizados através de sistemas informatizados.
ü Normatização Interna (controle preventivo): é a definição, de maneira
formal, das regras internas necessárias ao funcionamento da empresa.
As normas devem definir responsabilidades, políticas corporativas,
fluxos operacionais, funções e procedimentos.
2.2. Ambiente de Controle e Sua Percepção na Organização
Dias (2010, p.11) menciona que os riscos que afetam uma empresa de
forma alguma estão confinados a uma unidade organizacional, processo ou
sistema. Neste sentido, um cliente mal atendido na ponta é consequência de
uma combinação de interconexões casuais complexas e muitas vezes ocultas
entre, por exemplo, um desenvolvimento de produto inadequado, um
treinamento superficial, uma contração de profissional com experiência
limitada, um sistema de informação excessivamente manual, entre outros.
Para ele, fazendo uma analogia para mostrar que um evento pode ser
apenas a consequência visível de um conjunto interconectado de eventos,
temos o exemplo da colocação da última carta de baralho, em uma pirâmide
de cartas, provoca a queda de todas as cartas da pirâmide. Certamente, o
motivo da queda da pirâmide é bem mais complexo do que a última carta
colocada, a qual pode ter simplesmente disparado a queda de todas as outras
cartas. Neste caso, temos que analisar a estrutura das cartas montadas,
20
identificado os potencias pontos de vulnerabilidade na ligação entre as cartas
para definir quais controles poderiam ter impedido a queda. Porém, esta tarefa
analítica é de grande dificuldade devido à infinidade de possibilidade de
combinações de causas interconectadas que justifiquem o evento ocorrido.
Deste modo, um dos maiores benefícios trazido por um sistema de
controles internos está no entendimento sistêmico da operação de uma
organização, ajudando a superação da forma de atuação excessivamente
funcional da maioria das empresas. Essa forma excessivamente funcional está
ligada ao fato de que cada unidade atua de forma independente, solucionando
seus problemas e otimizando suas decisões localmente. Portanto, o risco
operacional tende a ser tratado de forma superficial e simplista, não havendo
uma atuação na causa raiz do problema e, por muitas vezes, gerando novos
riscos em outras áreas.
Em segundo lugar, para Dias (2010, p.12), as organizações
apresentam grande dificuldade para realizar sua rotina operacional diária e,
periodicamente, fazer uma reavaliação para identificar melhorias e se
readaptar as mudanças ocorridas no ambiente interno e externo. Neste
contexto, há diversos motivos para essa inércia organizacional:
indisponibilidade de tempo devido à rotina diária; dificuldade de patrocínio para
viabilizar as mudanças; morosidade para sair da zona de conforto a que todos
estão acostumados, entre outras.
Dias contextualiza:
“Porém, atualmente as organizações vivem em um
contexto de grande complexidade e dinamicidade, em
que a única certeza é que o ambiente externo e interno
continuará mudando de forma acelerada. Portanto, outro
benefício importante do sistema de controles internos que
podemos citar é o da construção de mecanismos internos
21
capazes de, rapidamente, perceber modificações no
ambiente interno e externo que modifiquem a exposição
ao risco e realizar alterações necessárias nos controles
que tratem esses riscos.” (DIAS, 2010, p.12).
Ele afirma que o terceiro grande benefício está relacionado à
capacidade dessa organização demonstrar e comunicar as diversas partes
interessadas a respeito da maneira como vem assegurando o atingimento dos
seus objetivos. Hoje, os órgãos regulatórios têm criado, cada vez mais, novas
exigências com relação à capacidade das empresas em demonstrar que
possuem o controle sobre os riscos a que estão sujeitas, em que os
investidores exigem maior visibilidade em relação à gestão das organizações
onde estão investindo, e clientes, parceiros, funcionários e a sociedade em
geral exigem constantemente maior transparência no que diz a respeito à
governança empresarial.
Para ele, as análises e documentações relativas a cada risco
identificado e controle implementado podem ser facilmente compiladas em
reportes externos. Dessa forma, um sistema de controles internos bem
estruturados permite a uma organização demonstrar que efetivamente se
preocupa e age em consonância com as preocupações dos diversos atores
envolvidos no seu negócio.
Dias (2010, p.13) acrescenta que o fato é que o sistema de controles
internos sofre uma pressão muito grande dentro da empresa para que os
resultados sejam obtidos rapidamente. Como é uma disciplina focada na
redução de eventos inesperados, essa pressão se traduz em expectativas de
diminuição de falhas operacionais, de não oscilação do faturamento da
empresa, da redução das despesas e de multas recebidas, entre outras.
Para ele, ainda hoje, não é raro ocorrer que o controle interno esteja
ligado a uma cultura de culpa dentro das organizações, onde um responsável
22
por cada evento de risco deve ser achado e punido. Isso dificulta o fluxo de
informações relacionadas ao registro de evento de risco e pode inviabilizar a
gestão efetiva dele. Portanto, torna-se um grande desafio para o gestor de
risco operacional conseguir instaurar uma cultura de risco na organização,
onde o risco seja visto como parte inerente da operação, e não como um
instrumento de coerção dos funcionários.
Dias (2010, p.13) esclarece que a implantação de um sistema de
controles internos envolve desafios substanciais relacionados à integração
entre diversas áreas de uma empresa e mesmo atores externos a ela. Por
isso, uma cultura de culpa, onde cada indivíduo não encontra liberdade para
tratar abertamente os problemas que percebe dentro e fora da sua esfera de
responsabilidade, impede que essa integração seja conseguida.
Para tratar essa dificuldade, é importante que a implantação de um
sistema de controles internos seja considerada como uma trajetória de
melhoria contínua e mudança cultural para a empresa.
Por fim, ele conclui que a inserção das práticas relativas ao sistema de
controles internos deve ser realizada respeitando-se a necessidade de
aceitação das diversas áreas com características e prioridades operacionais
diferentes. É necessário que um conjunto inicial mais limitado de bons
resultados abra o caminho para uma cultura organizacional que reconheça a
necessidade de aceitação de riscos em um nível adequado. Esta abordagem é
conhecida como abordagem de ganhos rápidos, também conhecida como
quick wins no termo original em inglês. À medida que esses bons resultados
forem aparecendo, a iniciativa de controle interno poderá contar com o apoio
crucial das diversas áreas da empresa. No médio prazo, isso permitirá a
construção de um sistema de controles internos robusto, capaz de cumprir com
o que se espera dele que é trazer uma segurança razoável com relação ao
atingimento de todos os objetivos da empresa.
23
CAPÍTULO III
COSO
3.1. Fundamentos
Segundo Lima Negrão (2014, p.31), a National Commission on
Fraudulent Financial Reporting (Comissão Nacional sobre Fraudes em
Relatórios Financeiros) foi criada em 1985, nos Estados Unidos, como uma
iniciativa independente, para estudar as causas da ocorrência de fraudes em
relatórios financeiros/contábeis. Está comissão era composta por
representantes das principais associações de classe de profissionais ligados à
área financeira e os controles internos foram seu primeiro objeto de estudo.
Em 1992, essa comissão publicou o trabalho intitulado Internal Control –
Integrated Framework (Controles Internos – Modelo Integrado), que tornou-se
referência mundial para o estudo e aplicação dos controles internos.
Dias (2010, p.14) explica que, tempos depois, essa Comissão
transformou-se em Comitê, que passou a ser conhecido como COSO – The
Comitee of Sponsoring Organizations (Comitê das Organizações
Patrocinadoras). O COSO é uma entidade sem fins lucrativos, dedicada à
melhoria dos relatórios financeiros através da ética, efetividade dos controles
internos e governança corporativa e é patrocinando por cinco das principais
associações de classe de profissionais ligados à área financeira nos Estados
Unidos:
v AICPA – American Institute Of Certified Public Accounts (Instituto
Americano de Contadores Públicos Certificados).
v AAA – American Accounting Association (Associação Americana de
Contadores).
v FEI – Financial Executives Internacional (Executivos Financeiros
Internacionais).
24
v IIA – The Institute of Internal Auditors (Instituto dos Auditores Internos).
v IMA – Institute of Management Accountants (Instituto dos Contadores
Gerenciais).
Azevedo Braga (2013, p.25) destaca que esse Comitê trabalha de
forma totalmente independente em relação as suas entidades patrocinadoras e
seus integrantes são representantes da indústria, dos contadores, das
empresas de investimento e da Bolsa de Valores de Nova York.
Segundo Dias (2010, p.14), o nome Tradeway Comission originou-se
do nome do primeiro presidente do Comitê que foi James C. Tradeway.
Atualmente este cargo é ocupado por John Flaherty.
Ele frisa que para os integrantes do COSO, o ponto de partida é a
definição de controle interno, entendendo-o como um processo, desenvolvido
para garantir, com razoável certeza, que sejam atingidos os objetivos da
empresa, sendo estruturados, basicamente, em três categorias:
a) Eficiência e Efetividade Operacional (objetivos de desempenho ou
estratégia): que esta categoria está relacionada com os objetivos básicos da
entidade, inclusive com os objetivos e metas de desempenho e rentabilidade,
bem como da segurança e qualidade dos ativos;
b) Confiança nos Registros Contábeis/Financeiros (objetivos de
informação): onde todas as transações devem ser registradas, todos os
registros devem refletir transações reais, consignadas pelos valores e
enquadramentos corretos;
c) Conformidade (objetivos de conformidade): onde busca-se estar
em conformidade com leis e normativos aplicáveis à entidade e sua área de
atuação.
25
3.2. Processo de Implementação na Organização
Para Dias (2010, p.16), o processo de implementação apresenta uma
variedade de técnicas úteis para a aplicação de elementos específicos da
estrutura de gerenciamento de riscos corporativos.
Devido a grande variedade de abordagens e escolhas disponíveis, ele
afirma que mesmo empresas do mesmo ramo e porte podem implementar o
gerenciamento de riscos corporativos de forma diferente, aplicando os
conceitos e princípios pela primeira vez ou avaliando se o processo existente
de gerenciamento de riscos, o qual poderia ter-se desenvolvido com o passar
do tempo, é realmente eficaz.
Em sua análise, Dias (2010, p.17-18) ilustra uma breve descrição das
etapas comuns, em um sentido amplo, adotado pelas empresas:
a) Preparação da Equipe Líder: essa equipe se tornará estreitamente
conhecedora da estrutura de gestão de riscos, que propicia um entendimento e
uma linguagem comum, além do alcance necessário ao desenho e a
implementação do processo de gerenciamento de riscos corporativos que será
capaz de abordar com eficácia as necessidades singulares da organização.
b) Compromisso da Alta Administração: a Alta Administração é
quem articulará os benefícios de gerenciamento de riscos corporativos,
estabelecendo e comunicando os compromissos assumidos, para o respectivo
investimento de recursos. O suporte do presidente da empresa e, pelo menos,
a participação inicial, direta e visível, também contribuirá para o êxito do
processo.
c) Desenvolvimento de um Plano de Implementação: neste plano as
responsabilidades são identificadas e o sistema de gerenciamento do projeto é
26
implementado. O plano serve como meio de comunicação e coordenação
consistente com a liderança da equipe.
d) Avaliação da Situação Atual: esta etapa deve incluir a avaliação
da forma como os componentes, conceitos e princípios do gerenciamento de
riscos corporativos estão atualmente sendo aplicados na organização. Requer
que se determine a filosofia de gerenciamento de riscos que evoluiu na própria
organização e se existe um entendimento uniforme.
e) Visão do Gerenciamento de Riscos Corporativos: a equipe líder
deve desenvolver uma visão que estabeleça a forma como o gerenciamento de
riscos corporativos será utilizado em seu avanço e como será integrado à
organização para que possa alcançar seus objetivos.
f) Desenvolvimento e Capacitação: essa tarefa inclui a definição de
funções e responsabilidades, além de modificações no modelo organizacional,
nas políticas, nos processos, nas metodologias, nas ferramentas, nas técnicas,
nos fluxos de informações e nas tecnologias.
g) Plano de Implementação: este plano inicial deve ser atualizado e
otimizado, adicionando profundidade e amplitude para a cobertura de outras
avaliações, desenho e implementações.
h) Desenvolvimento e Distribuição do Gerenciamento da Mudança:
nesta etapa as ações são desenvolvidas conforme necessário para
implementar e sustentar a visão de gerenciamento de riscos como parte de
seu processo contínuo de gerenciamento.
i) Monitoramento Contínuo: a Alta Administração deverá analisar e
reforçar continuamente as capacidades de gerenciamento de riscos como
parte de seu processo contínuo de gerenciamento.
27
3.3. Elementos Essenciais do Gerenciamento de Riscos
Segundo Assi (2012, p.39), o processo de controle interno é
constituído de elementos que estão inter-relacionados entre si, e presente em
todo o controle interno, como descrito a seguir:
3.3.1. Ambiente de Controle Interno
Para Assi (2012, p.39), o ambiente interno engloba o tom de uma
organização, influenciando a consciência de riscos de seu pessoal. É a base
de todos os outros componentes do gerenciamento de riscos corporativos,
propiciando disciplina e estrutura. Os fatores do ambiente interno incluem a
filosofia de gerenciamento de riscos, seu apetite a riscos, supervisão pela
diretoria executiva, integridade, valores éticos, competência técnica do
pessoal, a forma como a administração atribui autoridade e responsabilidade,
organiza e desenvolve seu pessoal.
Dias (2010, p.18) afirma que o ambiente interno da empresa tem
significante impacto sobre a forma como o gerenciamento de riscos
corporativos é implementado e funciona de forma continua. O ambiente
externo é o contexto no qual os demais componentes do gerenciamento de
riscos são aplicados, tipicamente com um efeito substancial, positivo ou
negativo.
Segundo Assi (2012, p.40), a filosofia de gerenciamento de riscos de
uma empresa é um conjunto de convicções e atitudes compartilhadas que
caracterizam a forma com essa empresa considera o risco em tudo aquilo que
faz do desenvolvimento e implementação de estratégias nas suas atividades
do dia-a-dia. Ela se reflete em tudo aquilo que a administração faz para operar
a organização. A filosofia esta presente em declarações da política,
comunicações escritas e verbais e decisões tomadas. Independente do fato de
a administração enfatizar políticas escritas, normas de conduta, indicadores de
28
desempenho e relatórios de resultados, ou operar mais informalmente,
principalmente mediante contato pessoal não apenas com palavras, mas
também nas ações do dia-a-dia.
Ele cita que, neste contexto, o gerenciamento de riscos corporativos
pode oferecer:
a) Aceitação responsável dos riscos;
b) Suporte a administração e diretoria executiva;
c) Resultados aprimorados;
d) Responsabilidade fortalecida;
e) Gerenciamento otimizado.
Dias (2010, p.19) saliente que a integridade e o compromisso com
valores éticos começam com o individuo. Os julgamentos de valor, de atitude e
de estilo baseiam-se em experiências individuas. Em nenhum outro
funcionário, os valores éticos e a integridade são mais importantes do que para
o presidente e a Alta Administração. O código de conduta de uma organização
possibilita uma conexão entre a missão ou a visão da empresa e suas
políticas.
3.3.2. Estabelecimento de Objetivos Estratégicos e Relacionados
Para Dias (2010, p.19), os objetivos devem ser estabelecidos no
âmbito estratégico, estabelecendo-se uma base para os objetivos
operacionais, de comunicações e de conformidade. Toda empresa está sujeita
há uma variedade de riscos oriundos de fontes externas e internas, sendo o
estabelecimento de objetivos, condição previa para a identificação eficaz
desses eventos, avaliação de riscos e resposta aos riscos. Os objetivos são
alinhados ao apetite a riscos, que impulsiona os níveis de tolerância a riscos
para a organização.
29
“Ao considerar formas alternativas de alcançar seus
objetivos estratégicos, a administração identifica os riscos
associados a uma gama de opções estratégicas e
considera suas implicações. Várias técnicas de
identificação de eventos e de avaliação de riscos podem
ser utilizadas no processo de fixação de estratégias”.
(DIAS, 2010, p.19).
Dias (2010, p.19) esclarece que os objetivos no âmbito de toda a
empresa são vinculados e integrados a objetivos mais específicos que fluem
em cascata através da empresa para sub-objetivos estabelecidos para as
várias atividades, como vendas, produção, administrativo, infraestrutura, etc.
Segundo ele, a tolerância a riscos é o nível aceitável de variação
referente ao cumprimento dos objetivos. Uma operação dentro dos limites de
tolerância a riscos possibilita à administração maior garantia de que a
organização permanece dentro dos limites de seu apetite a riscos, o que, por
sua vez, propicia maior grau de garantia de que a organização atingirá os seus
objetivos.
3.3.3. Identificação de Eventos (Riscos ou Oportunidades)
Dias (2010, p.20) explica que alguns eventos podem ocorrer e afetar a
empresa. Cabe à administração identificar esses eventos em potencial e
determina se são oportunidades ou se são desfavoráveis (riscos). Os eventos
que geram impacto negativo representam riscos, que demandam avaliação e
resposta da administração. Os eventos que geram impacto positivo
representam oportunidades que a administração canaliza de volta aos
processos de fixação de estratégia e de objetivos. Ao identificar eventos, a
administração considera uma variedade de fatores internos e externos que
podem dar origem a riscos e oportunidades, no contexto de toda a
organização.
30
A seguir, Dias (2010, p.20) cita as etapas da identificação dos eventos:
v Relacionar Eventos com Objetivos
Para ele, em algumas circunstâncias a identificação de eventos
relacionados a um objetivo específico é razoavelmente direta, como os eventos
em potencial e seus impactos são identificados e relacionados com o objetivo,
com a tolerância ao risco associado e com a unidade de medida. Em outras
circunstâncias, a identificação de riscos não é imediatamente evidente e requer
a utilização de inúmeras técnicas.
v Técnicas de identificação de Eventos
Segundo ele, a Alta Administração de uma empresa poderá adotar
qualquer tipo de técnica para identificar eventos em potencial que afetam o
atingimento dos objetivos. Essas técnicas são utilizadas na identificação de
riscos e de oportunidades, por exemplo, na ocasião da implementação de novo
processo comercial, da reformulação de processo existente ou da avaliação de
processo. Podem, também, ser empregadas em conexão com o planejamento
estratégico ou com o planejamento da unidade de negócios, ou mesmo na
ocasião da análise de novas iniciativas ou mudanças organizacionais. Essas
técnicas podem ser utilizadas de forma periódica ou continua.
v Inventário de Eventos
Dias (2010, p.21) explica que a Alta Administração utiliza listas de
eventos em potencial comuns a sua área de atuação ou área funcional, as
quais são desenvolvidas pelo pessoal interno da organização ou são
empregadas, em relação a um projeto, a um processo ou a uma atividade
especifica e podem ser de valia porque asseguram uma visão consistente por
meio de atividades semelhantes na empresa. Caso seja desenvolvido
31
externamente, esse estoque de eventos será otimizados ou personalizado de
acordo com as circunstâncias da empresa para relacionar-se mais
adequadamente com os riscos organizacionais e para ser consiste com a
linguagem comum de gerenciamento de riscos da empresa.
v Reuniões com Facilitadores
Ele esclarece que as reuniões com facilitadores do processo da
identificação de eventos reúnem indivíduos das mais variadas funções e níveis,
e têm a finalidade de extrair conhecimento do grupo como um todo para
desenvolver uma lista de evento, na medida em que se relacionam. Os
resultados dessas reuniões geralmente dependem da profundidade e da
magnitude das informações que os participantes relatam. Algumas empresas
realizam reuniões destinados à alta administração para estabelecer as
estratégias, e, também para identificar eventos capazes de afetar a realização
dos objetos estratégicos corporativos.
v Entrevistas
Ele sugere que as entrevistas geralmente sejam conduzidas
individualmente ou com até dois entrevistados, nas quais o entrevistador pode
estar acompanhado de outra pessoa que fará as anotações ou com um
gravador quando estiver sozinho. Essas entrevistas têm por finalidade
identificar as opiniões pessoas e o conhecimento de eventos reais passados
em potencial.
v Questionários e Pesquisas
Segundo Dias (2010, p.22), os questionários abordam uma gama de
questões que devem ser consideradas pelos participantes, com base na
opinião destes a respeito dos fatores internos e externos que originam ou
podem originar eventos. As perguntas podem ser abertas ou fechadas,
32
dependendo do objeto. Podem, também, ser dirigidas a apenas uma ou a
várias pessoas, ou podem ser utilizadas em conjunto com uma pesquisa de
caráter mais amplo, ou dirigida a clientes, fornecedores ou outras partes
externas.
v Análise do Fluxograma de Processo
Dias (2010, p.22) explica que a análise do fluxo de processo diz
respeito à representação esquemática de um processo, visando entender
melhor as interações de seus componentes de entrada, tarefas,
responsabilidades, de saída. Após esse mapeamento, os eventos poderão ser
identificados e considerados à luz dos objetivos de processo. Da mesma forma
que em outras técnicas de identificação de eventos, a análise de fluxo de
processo pode ser utilizada para observar um nível detalhado na organização.
v Principais Indicadores de Eventos e Sinalizadores de Mudança
Para ele, os principais indicadores de eventos, também denominados
de indicadores de riscos, são medidas qualitativas ou quantitativas que
possibilitam alertar a respeito da ocorrência dos eventos em potencial. Para
que possam se úteis, os principais indicadores de riscos devem estar
disponíveis à administração de forma oportuna, a qual dependendo do tipo de
informação poderá ser diária, semanal, mensal. Os alertas de mudança
enfocam as operações do dia-a-dia e são relatados com base na exceção, isto
é, quando um parâmetro preestabelecido é ultrapassado. Para que possam ser
eficazes, esses alertas devem estabelecer o momento em que a administração
deve ser notificada, e a programação da notificação deve considerar a opinião
da referida administração sobre o tempo necessário para adotar as medidas
adequada.
33
v Interação de Eventos Capazes de Influenciar no Atingimento dos
Objetivos
Dias (2010, p.22) esclarece que, em muitos contextos, diversos
eventos podem influenciar o atingimento de um objetivo. Para conseguir um
melhor entendimento, determinadas empresas utilizam diagramas de árvores
de eventos, também conhecidos como diagramas de espinha de peixe. Esse
diagrama possibilita um meio para identificar e representar graficamente a
forma como diversos eventos podem afetar sua realização.
v Classificação de Eventos
Ele afirma que o agrupamento de eventos em potencial semelhantes
permite que a Alta Administração identifique oportunidades e riscos com maior
eficácia. Algumas organizações classificam os eventos em potencial para
assegurar que seus esforços para identificá-los sejam complementos. A
classificação também pode facilitar o desenvolvimento posterior de uma visão
dos riscos em portfólio.
3.3.4. Avaliação e Gerenciamento de Riscos
Dias (2010, p.23) define que a avaliação de riscos é a identificação e
análise dos riscos associados ao não cumprimento das metas e objetivos
operacionais, de informação e de conformidade. Essa avaliação permite que
uma empresa considere até que ponto os eventos em potencial podem
impactar a realização dos objetivos. O conjunto forma a base para definir como
os riscos serão gerenciados, eles podem ser avaliados como inerentes ou
residuais.
a) Risco Inerente – O risco inerente é aquele que representa a
ausência de qualquer medida que a administração possa adotar para alterar
sua probabilidade ou impacto.
34
b) Risco Residual – O risco residual é o que permanece após a
resposta da administração para reduzir um risco inerente.
3.3.4.1. Escalas de Medição
Dias (2010, p.23) acrescenta que quando se estima a probabilidade e o
impacto de eventos de riscos em potencial, sejam eles inerentes ou residuais,
utiliza-se algum tipo de medição. Para ele, há quatro tipos gerais de medição.
a) Medição nominal – É a forma mais simples de medição e requer o
agrupamento de eventos em categorias, como economia, tecnologia ou meio
ambiente. Não exige nenhum tipo de ordenação. Os números atribuídos são
utilizados apenas para fins de identificação, não podendo ser ordenados,
classificados ou agregados.
b) Medição ordinal – Nesse tipo de medição, os eventos são
relacionados por ordem de importância, com rótulos, como alto, médio, baixo
ou em ordem de classificação ao longo de uma escala.
c) Medição intervalar – As medidas intervalares utilizam uma escala
numérica. Se, por acaso, ao impacto da perda de produção de um
equipamento fundamental for atribuído o valor “três”, ao impacto de uma hora
de falta de energia o valor “seis”, e ao efeito de cem funcionários pedirem
demissão o valor “nove”, a administração poderá afirmar que a diferença no
impacto potencial entre a perda de um equipamento e uma hora de falta de
energia, será a mesma que a diferença entre uma hora de falta de energia e
cem funcionários pedirem demissão.
d) Medição de proporção – A escala de medição de proporção
permite que se conclua que se ao impacto potencial de um evento for atribuído
35
o valor “três” e a outro evento o valor “seis”, o segundo evento terá o dobro de
impacto potencial do primeiro.
3.3.4.2. Técnicas Qualitativas
Segundo Dias (2010, p.24), embora algumas avaliações qualitativas de
risco expressam-se em termos subjetivos e outras em termos mais objetivos, a
qualidade da avaliação dependerá em grande parte do conhecimento e da
capacidade do julgamento das pessoas envolvidas, o seu entendimento dos
eventos em potencial e a dinâmica existente.
3.3.5. Respostas a Riscos
Dias (2010, p.24) conceitua que risco é a probabilidade de perda ou
incerteza associada ao cumprimento de um objetivo. Após identificar e avaliar
os riscos importantes, a organização determina de que forma responderá a
estes.
Ele afirma que, ao considerar as respostas, a organização avalia o
efeito destas na probabilidade e no impacto dos riscos, bem como os custos e
benefícios. No caso de riscos significativos, a organização considerará o
potencial das respostas. Seguem exemplos de respostas para evitar,
compartilhar, reduzir e aceitar o risco:
a) Evitar – abandonar uma unidade de negócios, linha de produtos,
segmento geográfico.
b) Compartilhar – fazer seguro contra perdas imprevistas significa-
tivas. Participação em acordos de formação de consórcios de empresas.
Transferência de riscos mediante instrumentos do mercado de capitais.
Terceirização de processos comerciais.
36
c) Reduzir – diversificação dos produtos oferecidos. Estabelecimento
de limites operacionais. Estabelecimento de processos comerciais eficazes.
Otimização da participação da administração nos processos decisórios e de
monitoramento. Redistribuição do portfólio dos ativos para reduzir a exposição
a certos tipos de perdas. Realocação de capital entre as unidades
operacionais.
d) Aceitar – fazer a própria seguridade contra perdas. Confiar em
proteções naturais no portfólio. Aceitar riscos se compatíveis às tolerâncias a
risco.
Segundo ele, da mesma forma que na avaliação inerente, o risco
residual pode ser avaliado de forma qualitativa ou quantitativa. De um modo
geral, as mesmas medidas utilizadas na avaliação do risco inerente são
também empregadas na avaliação do risco residual.
“Praticamente todas as respostas a risco geram algum
custo direto ou indireto que é comparado com os
benefícios gerados. O custo inicial para formular e
implementar uma resposta (processos, pessoal e
tecnologia) é considerado como o custo para manter a
resposta de forma continua. Os custos e os benefícios
associados podem ser medidos quantitativa ou
qualitativamente, por meio da unidade de medida
tipicamente consistente com aquela que é empregada
para estabelecer o objeto correlato e a tolerância ao
risco.” (DIAS, 2010, p.25).
3.3.6. Atividades de Controles
Dias (2010, p.25) conceitua que atividades de controles são aquelas
que, quando executadas a tempo e de maneira adequadas, permitem mitigar
37
ou tratar os riscos. Elas ocorrem por toda empresa, em todos os níveis e em
todas as funções.
Segundo ele, após selecionar as respostas a risco, a organização
identifica as atividades de controle necessárias para assegurar que estas
sejam executadas adequadas e oportunas. Seguem exemplos de atividades de
controle para evitar, compartilhar, reduzir e aceitar o risco:
a) Atividades de Proteção Contra Riscos – Em seu esforço para
melhorar as margens operacionais, uma empresa de software considerou a
possibilidade de transferir suas atividades de programação para um país com
custos de mão de obra mais reduzidos. Após avaliar os riscos associados, a
administração decidiu que a transferência estaria além do apetite a riscos da
companhia e que a contratação de atividades de programação seria realizada
apenas dentro do país de origem da empresa.
b) Atividades de Redução de Riscos – A administração de um
hospital reconheceu que sua capacidade de proteção de saúde e do bem-estar
de seus pacientes seria afetada desfavoravelmente por falhas no fornecimento
de energia. A administração decidiu instalar geradores elétricos para geração
de energia em casos de falha no fornecimento.
c) Atividades de Compartilhamento de Risco – Uma empresa de
manufatura determinou que uma paralisação prolongada de sua fábrica tivesse
um impacto significativo em sua capacidade de cumprir as metas de produção.
Tendo por base a avaliação do capital da empresa, sua tolerância a riscos e
custos de compartilhar o risco com uma seguradora, a administração aprovou
a contratação de cobertura de seguro para o valor da produção perdida por um
prazo máximo de seis meses.
d) Atividades de Aceitação de Risco – A administração de uma
empresa identificou mudanças nos preços mundiais de commodities como um
38
risco. Após avaliar a probabilidade e o impacto do risco, bem como considerar
a tolerância a riscos da empresa, a administração decidiu aceitar o risco. A
empresa adotou uma política pela qual o departamento de Tesouraria
reavaliaria formalmente a exposição a cada três meses e informaria ao comitê
administrativo da sua recomendação de adotar ou não uma estratégia de
hedge.
3.3.7. Informação e Comunicação
Conforme explica Azevedo Braga (2013, p.52), as informações são
necessárias em todos os níveis de uma empresa, para ajudá-la a identificar,
avaliar e responder aos riscos, gerir a empresa, bem como alcançar os seus
objetivos.
Ele afirma que as informações de fontes externas e internas são
colhidas e analisadas na fixação de estratégias e objetivos, na identificação de
eventos, na análise de riscos e na determinação de respostas a riscos, além
da condução de um gerenciamento de riscos eficaz e desempenho de outras
atividades de gestão.
Já Lima Negrão (2014, p.48) esclarece que os sistemas de informação
usam dados gerados internamente e de fontes externas, fornecendo dados
para o gerenciamento de riscos e para a tomada de decisões fundamentadas
em relação aos objetivos. Todo o pessoal recebe uma mensagem clara da
diretoria executiva que as responsabilidades pelo gerenciamento de riscos
devem ser levadas a sério. Os empregados entendem as suas próprias
funções no contexto do gerenciamento de riscos, bem como as suas atividades
individuais relacionam-se com o trabalho de outros. A informação é o
combustível que move a empresa.
Arima (2013, p.37) conceitua que a comunicação é o fluxo de
informações dentro de uma empresa, que ocorre em todas as direções – dos
39
níveis hierárquicos superiores aos níveis hierárquicos inferiores, dos níveis
inferiores aos superiores, além da comunicação horizontal, entre níveis
hierárquicos equivalentes.
Para ele, a comunicação é essencial para o bom funcionamento dos
controles. Informações sobre planos, ambiente de controle, riscos, atividades
de controle e desempenho devem ser transmitidas à todos da empresa. Por
outro lado, as informações recebidas devem ser identificadas, capturadas,
verificadas quanto à sua confiabilidade e relevância, processadas e
comunicadas às pessoas que as necessitem, tempestivamente e de maneira
adequada.
Segundo Azevedo Braga (2013, p.52), a administração fornece
comunicação especifica e dirigida que determina as expectativas de
comportamento e de responsabilidades do pessoal. Esse procedimento inclui
uma declaração clara da filosofia e abordagem de gerenciamento de riscos,
bem como uma delegação nítida de autoridade. A comunicação de processos
e procedimentos deve estar alinhada com a cultura desejada e ser capaz,
dessa forma, de sustentá-la.
Sendo assim, ele define o processo de comunicação como sendo
formal ou informal.
a) Processo formal – Acontece através dos sistemas internos de
comunicação, que podem variar de complexos sistemas computacionais a
simples reuniões de equipes de trabalho, e são importantes para obtenção das
informações necessárias ao acompanhamento dos objetivos operacionais, de
informação e de conformidade.
b) Processo informal – Ocorre em conversas e encontros com
clientes, fornecedores, autoridades e empregados, é importante para obtenção
das informações necessárias à identificação de riscos e oportunidades.
40
3.3.8. Monitoramento
Arima (2013, p.37) conceitua o Monitoramento como sendo o
acompanhamento e avaliação dos controles internos ao longo do tempo. O
Monitoramento tem por função verificar se os controles internos estão sendo
adequados e efetivos ou não.
Segundo ele, o monitoramento pode ser feito tanto através do
acompanhamento continuo das atividades quanto por avaliações pontuais, tais
como auto-avaliação, revisões eventuais e auditoria interna.
Para Azevedo Braga (2013, p.53), embora os procedimentos de
monitoramento contínuo geralmente propiciem informações importantes sobre
e eficácia de outros componentes de gerenciamento de riscos, recomenda-se
conduzir um exame totalmente novo, periodicamente, com enfoque direto na
eficácia do gerenciamento de riscos.
a) Controles Adequados – Segundo ele, são aqueles em que os cinco
elementos do controle (ambiente, avaliação de riscos, atividade de controle,
informação, comunicação e monitoramento) estão presentes e funcionando
conforme planejado.
b) Controles Eficientes – Para ele, os controles são eficientes quando
a Alta Administração tem uma razoável certeza do grau de atingimento dos
objetivos operacionais propostos; de que as informações fornecidas pelos
relatórios e sistemas corporativos são confiáveis; e quando as leis,
regulamentos e normas pertinentes estão sendo cumpridas.
41
CAPÍTULO IV
LEI SARBANES-OXLEY
Segundo Dias (2010, p.28), o Sarbanes-Oxley Act ou Ato Sarbanes-
Oxley foi promulgado em 30 de julho de 2002 pelo Presidente dos Estados
Unidos. Algumas das determinações deste Ato foram de aplicação imediata
pelas companhias abertas com registro na Securities and Exchange
Commission (SEC) e expandiu sua aplicação todas as empresas de origem
norte-americanas.
Ele esclarece que dentre as principais disposições do Sarbanes-Oxley
Act, destaca-se a certificação do CEO (Chief Executive Officer) e do CFO
(Chief Financial Officer) nas informações financeiras e não financeiras contidas
nos relatórios anuais. Nos escândalos contábeis norte-americanos da década
de 1990, executivos alegaram que não tinham conhecimento das praticas
contábeis indevidas (reconhecimento incorreto de receitas, por exemplo). A
Sarbanes-Oxley visou desencorajar alegações deste tipo, por intermédio de
medidas como controles internos mais rigorosos.
Azevedo Braga (2013, p.54) afirma que o modelo de certificação a ser
assinado pelo CEO e CFO deve ser exatamente o mesmo apresentado no Ato,
não sendo permitidas modificações.
Segundo ele, este ato introduziu responsabilidades criminais que, em
certos casos, podem envolver prisão de até vinte anos para CEOs e CFOs pelo
fornecimento, proposital ou não, de certificações incorretas ou não
verdadeiras. O referido processo de certificação introduz os seguintes
requerimentos às empresas e a seus administradores:
• O CEO e o CFO devem certificar as informações financeiras e não
financeiras contidas nos relatórios anuais;
42
• As empresas devem manter controles internos, definidos em duas
dimensões: controles internos propriamente ditos e controles e procedimentos
de divulgação (disclosure controls and procedures); e
• O CEO e o CFO estão certificando que avaliaram a efetividade
desses relatórios até, no máximo, noventa dias da data de arquivamento das
informações (Form 20-F). O Form 20-F deve informar sobre o resultado dessa
avaliação.
Azevedo Braga (2013, p.54) esclarece que o ato não estipulou procedi-
mentos e controles de divulgação específicos que devam ser adotados; ao
contrário, espera que as empresas desenvolvam um processo que seja
consistente com o seu negócio e fundamentado em suas atividades de
gerenciamento, supervisão e controles internos.
Segundo Dias (2010, p.28) a SOX definiu boas práticas de governança
e ética corporativa, tais como:
• Código de ética corporativo;
• Restrição a empréstimo e concessão de crédito para diretores;
• Código de ética para executivos financeiros e insiders;
• Restrição à contratação de serviços dos auditores externos;
• Quarentena para a contratação de funcionários que já atuaram como
auditores externos (nível executivo para a área financeira);
• Comitê de Auditoria;
• Combate a fraudes financeiras;
• Estruturação e monitoramento dos controles internos;
• Governança em tecnologia da informação;
• Gestão e gerenciamento de riscos.
43
Ele explica que, mais notadamente, a SOX é contundente quanto ao
papel crítico dos controles internos, definindo-o como um processo
desempenhado pela alta gestão, diretores, gerentes e demais funcionários,
visando alcançar o sucesso no negócio, em três categorias:
• Eficiência e eficácia das operações;
• Confiança nos reportes financeiros;
• Submissão às leis e regulamentos aplicáveis.
Segundo ele, a Sarbanes-Oxley estabelece, explicitamente, a
responsabilidade da alta gestão pelo estabelecimento, avaliação e
monitoramento da eficácia dos controles internos sobre os relatórios
financeiros. A maior parte da discussão em torno da SOX está focada nas
seções 302 e 404.
4.1. Seção 302
Esta seção estabelece que a alta gestão deve assumir pessoalmente a
responsabilidade pela divulgação dos controles e procedimentos. Uma
certificação de que os controles foram avaliados quanto à sua eficiência deve
ser emitida trimestralmente. Essa certificação deve declarar que todas as
deficiências de controle, deficiências materiais e fraudes foram informadas
para o comitê de Auditoria e para os auditores independentes.
4.2. Seção 404
A seção 404 do Ato determina uma avaliação anual dos controles e
procedimentos internos, para elaboração dos reportes financeiros.
Adicionalmente, os auditores independentes devem emitir um relatório
separado, atestando a aderência da administração em prover eficientes
controles internos e procedimentos, para os reportes financeiros.
44
4.3. Desenvolvendo o Programa de Controles Internos de Acordo com a
SOX
Segundo Dias (2010, p.56), tendo em vista a implementação dos
controles internos preconizados na SOX, deverão ser adotadas as seguintes
medidas:
a) Comprometimento e organização.
Ele afirma que entender como a SOX aplica-se à empresa ajudará no
desenvolvimento do programa de controle interno.
b) Escolher uma estrutura adequada de controle interno.
Ele esclarece que para alcançar os objetivos de controle da SOX,
muitas empresas desenvolveram sua estrutura de controle interno, seguindo as
recomendações do Commettee of Sponsoring Organizations (COSO). Apesar
de outras estruturas existirem, acredita-se que o COSO será um modelo
dominante.
45
CAPÍTULO V
AUDITORIA INTERNA E CONTROLES INTENOS NO
MERCADO DE SEGUROS
5.1. Fundamentos
5.1.1. Circular SUSEP 249
Segundo Arima (2013, p.39), a atividade de Auditoria Interna tornou-se
compulsória no mercado segurador brasileiro a partir da edição da Circular
SUSEP 249, de 2004. Este regulamento estabeleceu a obrigatoriedade da
implantação e implementação de um Sistema de Controles Internos nas
seguradoras brasileiras, inspirado no padrão COSO.
Esta Circular estabelece que:
“Os controles internos não poderão deixar de prever o
acompanhamento sistemático das atividades desenvol-
vidas, de forma a avaliar se os objetivos estão sendo
alcançados, se os limites estabelecidos, as leis e os
regulamentos aplicáveis estão sendo cumpridos, bem
como assegurar a pronta correção de eventuais desvios”.
(CIRCULAR SUSEP 249, 2004, p.2).
Arima (2013, p.39) esclarece que, pela primeira vez, e de forma
inquestionável, vislumbra-se a definição da obrigatoriedade da atividade de
Auditoria Interna nas seguradoras brasileiras. E também se revela o primeiro
subconjunto de atribuições da Auditoria Interna, formado por certas vertentes
que se complementam, tais como:
46
• A avaliação periódica da qualidade dos componentes do Sistema de
Controles Internos (padrão COSO) visando mantê-los como atributos
essenciais para garantir que a seguradora administre de forma eficaz seus
riscos operacionais e, consequentemente, aumentem as possibilidades de
alcançar seus objetivos estratégicos;
• A verificação sistemática da conformidade dos negócios e atividades
da seguradora com relação às leis e regulamentos oficiais e também às
políticas e normas internas, de forma a permitir a correção tempestiva de
eventuais desvios e a implementação de melhorias para mitigar a possibilidade
de sua repetição;
• O acompanhamento das recomendações registradas nos relatórios
até a sua efetiva implantação; e
• A organização e guarda dos dossiês de auditoria (papéis de trabalho,
evidências, desdobramentos das recomendações, etc.).
A Circular SUSEP 249 (2004) também registra que os controles
internos não poderão deixar de prever a existência de testes periódicos de
segurança para os sistemas de informação mantidos em meio eletrônico.
Para Azevedo Braga (2013, p.57), por essa determinação, a
seguradora deve implementar processos eficazes de planejamento, gestão,
desenvolvimento, suporte técnico, segurança lógica, física e de
telecomunicações, planos de contingência e de continuidade dos negócios, e a
Auditoria Interna deve tomar para si a atribuição de, periodicamente, avaliar a
qualidade do que se convencionou chamar de Governança de TI. Esses
trabalhos de “auditoria de sistemas” objetivam aportar sugestões de melhoria
e/ou de correção de eventuais desvios.
47
Independentemente da seguradora já ter adotado ou não um padrão
de Governança de TI, é recomendável que a Auditoria Interna realize seus
trabalhos de campo de auditoria de sistemas tendo em conta a referência
aceita internacionalmente e já aventada pela SUSEP denominada COBIT
(Control Objectives for Information and related Technology), recomendado pela
ISACF – Information Systems Audit and Control Foundation, e que contém os
aspectos Planejamento e Organização, Aquisição e Implementação, Entrega e
Suporte e Monitoração da Governança de TI.
A Circular SUSEP 249 (2004, p.3) estipula ainda que as sociedades
supervisionadas deverão solicitar ao auditor independente que produza os
seguintes documentos: relatório circunstanciado sobre o descumprimento de
dispositivos legais e regulamentares, que tenha, ou possa vir a ter, reflexos
relevantes na continuidade das operações da sociedade; relatório
circunstanciado sobre a adequação dos controles internos aos riscos
suportados pela sociedade.
No tocante à fonte de recursos para executar os trabalhos de campo
de Auditoria Interna, a Circular regulamenta que:
“A atividade de auditoria, quando não executada por
unidade de específica da própria sociedade ou entidade
integrante do mesmo conglomerado, poderá ser exercida
por auditor independente, desde que não seja aquele
responsável pela auditoria das demonstrações
financeiras”. (CIRCULAR SUSEP 249, 2004, p.3).
Desta forma, Arima (2013, p.40) analisa que a atividade de Auditoria
Interna nas seguradoras brasileiras pode ser executada também sob regime de
terceirização de serviços. Essa abertura remete a três possibilidades:
48
• A terceirização integral da atividade, ou seja, a entrega a terceiro, em
regime de outsourcing, de todas as tarefas pertinentes (planejamento,
execução dos trabalhos de campo, emissão de relatórios, seguimento de
recomendações, etc.);
• A designação de um responsável próprio pela atividade para gerir as
tarefas de planejamento, emissão de relatórios e seguimento de
recomendações, contratando-se terceiro para executar todos os trabalhos de
campo; ou
• A terceirização parcial dos trabalhos de campo da unidade própria,
em especial daqueles aspectos em que a carga horária ou a especialização
requerida não justifique contar com recursos humanos em tempo integral na
folha de pagamento.
Segundo ele, a adoção da melhor forma dependerá da cultura da
seguradora, de seu porte, de suas necessidades e circunstâncias inerentes a
cada caso. Na decisão é recomendado levar em conta também a
obrigatoriedade da subordinação da atividade de Auditoria Interna ao Conselho
de Administração ou à Diretoria, posto que, dependendo da opção, o contato
com os Altos Administradores, com o Comitê de Auditoria, com os Auditores
Externos e, eventualmente, com a SUSEP, será exercido por pessoa
formalmente alheia à estrutura organizacional da seguradora.
5.1.2. Resolução CNSP 118
Azevedo Braga (2013, p.59) esclarece que muito embora a Resolução
CNSP 118, de 2004, tenha sido emitida para regular a prestação de serviços
dos Auditores Independentes às seguradoras, ela contém aspectos
importantes relacionados a esta atividade, como descrito no trecho a seguir:
49
“É vedada a contratação e a manutenção de auditor
independente caso fique configurada prestação conco-
mitante de serviços de auditoria independente e de
consultoria, principalmente com serviços de consultoria
que envolvam auditoria interna”. (RESOLUÇÃO CNSP
118, 2004, p.3)
Esse ponto ratifica o que já foi mencionado com relação à Circular 249
no tocante à proibição de se contratar o Auditor Independente que revisa as
demonstrações financeiras para, também, executar a atividade de Auditoria
Interna de forma terceirizada.
Para Arima (2013, p.41), a resolução determina que, entre os relatórios
semestrais que devem ser encomendados aos Auditores Independentes, um
deles verse sobre a conformidade das atividades e negócios e outro à
qualidade dos controles internos, que são também parte das atribuições da
Auditoria Interna.
Segundo ele, infere-se ainda que cabe ao Comitê de Auditoria, por
delegação do Conselho de Administração, entre outras atribuições correlatas,
o acompanhamento da qualidade da atividade de Auditoria Interna, de seu
planejamento ao acompanhamento de suas recomendações — notadamente
do que diz respeito aos alcances antes comentados —, sempre que entender
necessário, convocar a dar explicações qualquer gestor que não tiver
implantado o que tiver sido recomendado.
5.1.3. Circular SUSEP 280
Segundo Arima (2013, p.42), a Circular SUSEP 280, de 2004,
regulamenta e detalha o escopo dos trabalhos de campo que devem resultar
nos dois relatórios circunstanciados que as seguradoras devem encomendar
aos Auditores Independentes: um sobre a adequação dos controles internos e
50
outro sobre o descumprimento de dispositivos legais e regulamentares. Deste
modo, percebe-se estreita afinidade com o alcance a ser seguido pela
atividade de Auditoria Interna, conforme já comentado, motivo pelo qual esse
regulamento é importante referência para o planejamento e os trabalhos de
campo desta.
Para ele, outro ponto que pode-se destacar é que o relatório
circunstanciado sobre a adequação dos controles internos deve avaliar a
eficácia e a eficiência, destacando as deficiências encontradas, levando em
consideração os principais processos existentes na sociedade e abordando o
ambiente de controle, a avaliação de riscos, as atividades e procedimentos de
controles, os processos de informação e comunicação, e a monitoração.
Azevedo Braga (2013, p.60) afirma que apesar de não estar
explicitamente mencionado, nota-se que o padrão de controle interno exigido é
o COSO. Com efeito, Ambiente de Controle, Avaliação de Riscos, Atividades
de Controle, Informação e Comunicação e Monitoração, associados ao
Estabelecimento de Objetivos Estratégicos, são os elementos que confirmam
uma tendência internacional, que define o controle interno como sendo um
processo desenvolvido para garantir, com razoável certeza, que sejam
atingidos os objetivos da empresa no que tange a eficiência e efetividade
operacional, confiança nos registros contábeis e financeiros e conformidade
com regras externas e internas.
Essa inferência ganha força quando a Circular 280 descreve cada um
desses papéis e destaca o que eles devem conter:
“Entende-se, como ambiente de controle, a cultura de
controles da sociedade, especialmente a postura da
sociedade supervisionada e a consciência de controles
das pessoas que a compõe; como avaliação de riscos, a
identificação e a análise dos riscos associados aos
51
objetivos do negócio; como atividades de controle, as
políticas e os procedimentos que asseguram que as
ações necessárias para gerenciar riscos sejam
executadas adequadamente; como processos de
informação e comunicação, aqueles que garantem a
identificação, a captura e a comunicação das informações
necessárias ao gerenciamento da sociedade
supervisionada; e como monitoração, o processo que
avalia a qualidade da performance do sistema ao longo
do tempo, através de um acompanhamento continuo das
atividades, avaliações separadas, ou uma combinação
dos dois.
A avaliação do ambiente de controle deverá incluir fatores
como integridade e valores éticos, competência e
experiência dos administradores, planejamento
estratégico, aspectos de governança e estrutura
organizacional, estilo e filosofia de administração,
atribuição de responsabilidades, práticas e políticas de
recursos humanos.
A análise da avaliação de riscos deve incluir a capacidade
da sociedade supervisionada na análise de fatores
internos e externos, e de levar em consideração a
probabilidade de ocorrência e o impacto nas operações.
Os processos de informação e comunicação devem
permitir que todos os funcionários entendam suas
responsabilidades na estrutura de controles internos, bem
como a forma pela qual suas atividades estão
relacionadas às atividades dos outros. A avaliação deve
levar em consideração a capacidade de manter uma
comunicação efetiva, em um sentido amplo, fluindo
através de toda a organização, tanto verticalmente como
horizontalmente.
52
A avaliação da monitoração deve levar em consideração
a independência da auditoria interna, a frequência das
inspeções e se a sociedade supervisionada implementa
suas recomendações. O monitoramento contínuo deve
ser avaliado quanto à sua independência, sua eficácia e
sua eficiência”. (CIRCULAR SUSEP 280, 2004, p.1-2).
Para Arima (2013, p.42), neste sentido, a Auditoria Interna relaciona-se
com todos os elementos do COSO definidos pela Circular, uma vez que cabe a
ela executar o monitoramento periódico da qualidade de cada um, nos termos
da Circular 249.
5.1.4. Circular SUSEP 340
Azevedo Braga (2013, p.61) explica que a Circular SUSEP 340, de
2007, dispõe sobre o tratamento que é dado aos resultados das fiscalizações
da SUSEP que tenham como escopo a avaliação do Sistema de Controles
Internos. Nela podemos destacar os seguintes aspectos:
“A sociedade / entidade supervisionada poderá requerer
ao Chefe do Departamento de Fiscalização da SUSEP,
em até 30 (trinta) dias, contados do recebimento do Ofício
de recomendações mencionado no art. 1º, prazos para
saneamento das deficiências dos controles internos
encontradas. No requerimento enviado à SUSEP deverá
constar o plano de ação e o prazo de implementação de
cada item de deficiência. Auditoria Interna da sociedade /
entidade deverá acompanhar a execução dos planos de
ação. A sociedade/ entidade deverá encaminhar à
SUSEP relatório validado pela Auditoria Interna caso seja
identificado descumprimento dos prazos constantes dos
53
planos de ação aprovados”. (CIRCULAR SUSEP 340,
2007, p.1).
Para ele, como pode-se notar, à Auditoria Interna foi atribuída a missão
de acompanhar a implementação das recomendações da SUSEP dirigidas à
melhoria ou ajustes de aspectos do Sistema de Controles Internos das
seguradoras fiscalizadas, bem como de validar os argumentos, explicações e
justificativas apresentadas àquele órgão no caso de descumprimento dos
prazos de implementação registrados nos planos de ação elaborados.
5.1.5. Circular SUSEP 344
Azevedo Braga (2013, p.62) afirma que a Circular SUSEP 344, de
2007, disciplina acerca dos controles internos específicos visando à prevenção
contra fraudes. Nesse documento a SUSEP volta a reforçar conceitos e
práticas dos controles internos mencionados no COSO e as atribuições que se
espera da atividade de Auditoria Interna:
“As sociedades deverão desenvolver estudos sobre o
risco de serem objeto de fraudes, principalmente com
relação aos produtos comercializados e suas práticas
operacionais. Com base nos estudos, deverá ser
desenvolvida e implementada, na forma da legislação
vigente, estrutura de controles internos específicos,
validada pela auditoria interna, para tratar dos riscos
identificados. A estrutura de controles internos deverá
contemplar, no mínimo, o estabelecimento de uma política
de prevenção, detecção e correção de fraudes, avaliação
de riscos na contratação de funcionários e no
desenvolvimento de produtos, implementação de
procedimentos de identificação de riscos de fraude
referentes a produtos e procedimentos, manualização e
54
implementação dos procedimentos de prevenção,
monitoração e identificação de fraudes, elaboração e
execução de programa de treinamento contra fraudes
para os funcionários e pessoas com as quais mantenham
relacionamento comercial, e elaboração e execução de
programa de auditoria interna que verifique o
cumprimento dos procedimentos referidos”. (CIRCULAR
SUSEP 344, 2007, p.1-2).
Ele analisa que repete-se nesta Circular, a visão dos elementos do
COSO onde, novamente, menciona-se claramente a definição do papel da
Auditoria Interna no assunto tratado pela norma, isto é, a validação da
qualidade da estrutura de controles internos implementada com o objetivo
específico de prevenir fraudes, em linha também com a Circular 249.
5.1.6. Circular SUSEP 380
Azevedo Braga (2013, p.62) esclarece que a Circular SUSEP 380, de
2008, dispõe sobre os controles internos específicos visando à prevenção dos
delitos de lavagem de dinheiro, ocultação de bens, direitos e valores, ou que
possam relacionar-se com eles, o acompanhamento das operações propostas
por pessoas politicamente expostas e à prevenção e coação do financiamento
ao terrorismo. Com isso, a SUSEP reforça conceitos e práticas do controle
interno sob o COSO e as atribuições que se espera da atividade de Auditoria
Interna para esse tema específico:
“As sociedades devem desenvolver e implementar
procedimentos de controles internos efetivos e
consistentes que contemplem a identificação, avaliação e
controle e monitoramento dos riscos de serem envolvidas
em situações relacionadas à lavagem de dinheiro, bem
como para prevenir e coibir o financiamento ao terrorismo.
55
Os procedimentos de controles internos devem
contemplar estabelecimento de uma política que inclua
diretrizes sobre avaliação de riscos, manualização e
implementação dos procedimentos, elaboração e
execução de programa de treinamento específico de
qualificação dos funcionários, elaboração e execução de
programa de auditoria interna”. (CIRCULAR SUSEP 380,
2008, p.5).
Segundo ele, pode-se identificar, nos dispositivos destacados, os
elementos do COSO e a clara definição do papel da Auditoria Interna, qual
seja a validação da qualidade da estrutura de controles internos implementada
com o objetivo específico de prevenir a consecução dos mencionados crimes,
e que está em linha com a Circular 249 que trata do Sistema de Controles
Internos em sua abrangência maior.
5.2. Conteúdo do Planejamento e dos Trabalhos de Campo
5.2.1. Perspectiva da Auditoria Interna no IIA
Segundo Dias (2010, p.66), alinhado com as referências internacionais
de controles internos, em especial com o padrão COSO, o IIA – Institute of
Internal Auditors, que, no Brasil, tem seu representante no AUDIBRA – Instituto
dos Auditores Internos do Brasil, define a missão da atividade de Auditoria
Interna deste modo:
Para ele, a Auditoria Interna deve agregar valor e contribuir para
melhorar as operações. Sua missão é aportar ajuda para que os objetivos
sejam atingidos, mediante ações sistemáticas de avaliação e melhora da
efetividade da gestão de riscos, do controle interno e dos processos de
governança corporativa.
56
Dias (2010, p.66) esclarece que esse enfoque deve ser dado mediante
criteriosa avaliação da qualidade do controle interno e da governança
corporativa, que, portanto, passa a ser a função mais nobre da Auditoria
Interna segundo o padrão COSO e, por consequência, segundo a SUSEP. É
evidente que trabalhos de campo de Auditoria Interna podem, direta ou
indiretamente, redundar na identificação de erros, omissões, negligências,
imperícias ou atos de má fé; no entanto, esses devem ocupar cada vez menos
espaço no planejamento anual e, sempre que realizados, ficar caracterizados
pelo estudo aprofundado do que deve ser melhorado no sistema de controles
internos para que eventuais situações anômalas não voltem a ocorrer.
5.2.2. Alcance da Auditoria Interna
Para Dias (2010, p.67), em resumo, pode-se inferir que o planejamento
da atividade de Auditoria Interna nas seguradoras brasileiras deve, pelo
menos, alcançar trabalhos que:
• Avaliem a qualidade das Atividades de Controle, inclusive daquelas
voltadas especificamente à prevenção de fraudes internas e externas e ao
tratamento dos indícios de lavagem de dinheiro, tratamento de pessoas
politicamente expostas e prevenção do financiamento ao terrorismo;
• Permitam aferir o grau de conformidade dos negócios e atividades à
legislação, à regulamentação, às políticas corporativas e às normas internas;
• Propiciem opinião independente sobre o andamento e evolução das
Ações Estratégicas;
• Validem a consistência do processo de Gestão de Riscos;
57
• Levem ao diagnóstico do grau do Ambiente de Controle e do
processo de Comunicação & Divulgação, inclusive a medição do nível da
cultura interna de controle e da conscientização do público interno a respeito;
• Permitam coletar dados gerais para emitir o informe semestral sobre
o Controle Interno preconizado pela Circular 249; e
• Representem adequado seguimento da implementação de
recomendações de melhoria de aspectos do Sistema de Controles Internos
e/ou de correções de desvios de conformidade, inclusive daquelas oriundas de
fiscalizações da SUSEP.
5.2.3. Auditoria da Qualidade das Atividades de Controle
Segundo Dias (2010, p.67) essa variação da Auditoria Interna tem por
objetivo comprovar se os controles internos são efetivos e consistentes —
qualidades preconizadas na Circular 249 — para gerir um processo ou um
subprocesso correspondente à formalização de políticas, normas,
procedimentos, controles e meios de monitoramento permanente. Deve-se
levar em conta, inclusive, a definição dos níveis hierárquicos e das
responsabilidades, a segregação de funções, os níveis de controle e os
objetivos dos mecanismos de controle.
Ele sugere que o escopo dos trabalhos de campo não tenham como
foco áreas da estrutura organizacional, mas sim o fluxo de um processo ou
subprocesso, independentemente da quantidade de áreas que ele alcance.
Podemos, assim, inferir que essa estratégia:
• Alarga a visão do Auditor dando a ideia de começo, meio e fim;
• Permite identificar oportunidades de melhoria que não seriam visíveis
caso a ótica fosse localizada; e
58
• Auxilia antecipar os efeitos de recomendações importantes em todo o
fluxo, evitando sugestões que podem ter impacto negativo ou nulo quando
considerado o processo integral.
Para ele, desta forma, por exemplo, pode-se auditar a qualidade das
Atividades de Controle do processo de sinistros iniciando-se pelo subprocesso
de aviso, passando-se pelos subprocessos de constituição de reserva,
regulação, análise e liquidação, e terminando no subprocesso de
contabilização da indenização, sem importar quantas áreas ou subáreas
estejam envolvidas (no exemplo poderiam ser a Central de Atendimento, a
Área de Análise de Sinistros, o Atuarial, o Contas a Pagar e a Contabilidade).
Além disso, essa estratégia despersonaliza a auditoria e auxilia no esforço de
eliminar o ranço fiscalizador na medida em que considera como mais
importantes os procedimentos, rotinas, sistemas e controles, ao invés das
pessoas e/ou das unidades por elas geridas.
5.2.4. Auditoria da Conformidade
Dias (2010, p.68) esclarece que essa vertente da Auditoria Interna tem
por objetivo verificar a conformidade das atividades e negócios da seguradora
à legislação vigente, à regulamentação estabelecida, às políticas editadas e às
normas internas. Essa fase dos trabalhos de campo pode ser antevista na
auditoria da qualidade das atividades de controle, mediante a identificação de
pontos críticos e a identificação prévia de testes de aderência, sistêmicos ou
documentais.
Ele recomenda realizar essa fase da auditoria tão logo se encerre a
fase da avaliação da qualidade das atividades de controle, não só porque a
memória recente do fluxo do processo ou subprocesso auditado facilita a
tarefa, mas também porque seus resultados auxiliam a corroborar a
necessidade da implementação de melhorias sugeridas.
59
Segundo ele, o destaque nessa etapa dos trabalhos de campo é a boa
definição do alcance dos exames, de forma que se possa, por um lado,
concentrá-los nas transações mais importantes, consideradas as variáveis de
tempo (período de análise), materialidade, relevância dos negócios, e, por
outro lado, a conveniência de alcançar todos os ramos e produtos operados
pela seguradora.
5.2.5. Auditoria da Performance das Ações Estratégicas
Para Dias (2010, p.69), esta parte dos trabalhos de campo não deve
ser entendida como de avaliação das ações estratégicas ou até mesmo dos
objetivos estratégicos, ou seja, à emissão de opinião se eles são corretos ou
adequados. Isso porque a definição do planejamento estratégico cabe ao
Conselho de Administração, apoiado pela Alta Administração ou,
eventualmente, por um Comitê Estratégico, para os quais a Auditoria Interna
serve como consultoria e não como avaliadora.
Ele analisa que esta parte da Auditoria Interna tem por objetivo agregar
valor à Alta Direção, mediante o oferecimento de uma análise independente,
primeiro sobre a qualidade da gestão do modelo de estabelecimento de
objetivos estratégicos e segundo sobre o andamento das ações estratégicas
previamente definidas com vistas à consecução dos objetivos estratégicos.
Esta atividade também está descrita na Circular 249, no padrão COSO de
controle interno e na definição de Auditoria Interna do IIA, que mencionam
claramente que a Auditoria Interna tem que dedicar parte de suas atividades à
efetivação dos objetivos estratégicos.
Dias (2010, p.69) afirma que para executar essa importante parte de
suas atribuições, a Auditoria Interna tem que conhecer o processo e a
metodologia do planejamento estratégico, as atividades estratégicas
concebidas para alcançar os objetivos traçados, os gestores responsáveis
60
pelas ações, os prazos estimados para sua implementação e as métricas que
possibilitam avaliar a evolução de determinada ação.
5.2.6. Auditoria da Gestão de Riscos
Segundo Dias (2010, p.70), de acordo com o padrão COSO de
controle interno, a Gestão de Riscos é formada pela Identificação dos Riscos,
pela Avaliação dos Riscos e pela Resposta aos Riscos. Trata-se da principal
base do controle interno, uma vez que deve levar em conta os objetivos
estratégicos e ser a fonte para o desenho das Atividades de Controle.
Por isso, para ele, a Auditoria Interna deve dedicar especial atenção à
auditoria da qualidade do processo de Gestão de Riscos, independentemente
de ele ser centralizado ou descentralizado, manual ou sistêmico, corporativo ou
individualizado, permanente ou periódico.
5.2.7. Auditoria do Ambiente de Controle, Comunicação e
Divulgação
Dias (2010, p.70) esclarece que a Auditoria do Ambiente de Controle
exige certa flexibilidade dos auditores internos, por envolver os aspectos
subjetivos do Sistema de Controles Internos, uma vez que raramente serão
encontradas as condições materiais e as evidências físicas ou lógicas com que
se está acostumado a trabalhar. Esse aspecto da auditoria de controle interno
tem estreita relação com a cultura da seguradora e sua filosofia no trato com
os colaboradores, clientes e parceiros, detalhes que devem ser
necessariamente levados em conta.
Ele sugere que, por afinidade, pode-se incluir nos trabalhos de campo
avaliações que permitam aferir também a qualidade da Comunicação e
Divulgação, que é outro componente do Sistema de Controles Internos.
61
“Nos trabalhos dessa espécie deve-se buscar aferir o
sentimento do público interno com relação a fatores como
atitude, obediência a leis, regulamentos, políticas e
normas internas, integridade e valores éticos,
competência e experiência, planejamento estratégico,
governança, estrutura organizacional, estilo e filosofia de
administração, atribuição de responsabilidades e práticas
e políticas de recursos humanos, com o maior grau de
objetividade possível. Em suma, há que se encontrar uma
forma de medir a consciência dos colaboradores, de
qualquer nível, com relação aos controles internos”.
(DIAS, 2010, p.70).
Para ele, com o intuito de diminuir o grau de subjetividade que
caracteriza essa parte do Sistema de Controles Internos, o auditor deve
conhecer e analisar os mecanismos utilizados pela seguradora visando à
disseminação da cultura de controle entre seus colaboradores e os recursos
utilizados para bem divulgar e comunicar ao público interno o que ela espera
em termos de atitude, postura e comportamento com relação ao assunto.
5.3. Dossiês, Relatórios de Auditoria e Planos de Ação
Segundo Dias (2010, p.71), condicionar os resultados de seus
trabalhos de campo à evidência da verdade, convenientemente apurada faz
parte do Princípio da Imparcialidade da Auditoria Interna. Em razão disso, é
relevante organizar as evidências que respaldam os exames realizados,
notadamente aquelas que redundarem em comentários de auditoria e
recomendações de melhoria ou de tratamento de eventuais desvios.
Dias (2010, p.71) conceitua os papéis de trabalho como sendo o
conjunto de documentos físicos, programas computadorizados ou outras
evidências de quaisquer espécies que consubstanciam e comprovam a
62
realização dos trabalhos de campo. Independentemente de terem sido
fornecidos pelos auditados ou terceiros ou gerados ou obtidos pelos próprios
auditores, devem receber tratamento adequado no que se refere à
organização, guarda e confidencialidade. Ele divide esses papéis em:
•••• Permanentes: São aqueles que podem ser utilizados em trabalhos
futuros, tais como o fluxograma do processo de análise de sinistros de
incêndio, um programa computadorizado do cruzamento entre a data da
proposta e a data de emissão da apólice.
•••• Temporários: São aqueles que dizem respeito exclusivamente ao
trabalho realizado, tais como um relatório computadorizado de apólices de vida
emitidas após quinze dias do recebimento da proposta e um recibo de
indenização não assinado pelo beneficiário.
Para ele, o dossiê de auditoria é composto pelos papéis de trabalho e
a sua coleção adequadamente organizada. Estes documentos devem registrar
as informações obtidas, os exames e análises procedidos e constituir base
confiável, suficiente e inquestionável das conclusões obtidas, tanto as
relacionadas com o atestado da boa qualidade do Sistema de Controles
Internos e da conformidade, quanto as inerentes às recomendações de
melhoria ou de correções de desvios. Eles formam a base fundamental do
relatório de auditoria e, caso não se possa obter evidências com aquelas
qualidades, devem ser feitas as ressalvas necessárias para explicar essa
circunstância.
Dias (2010, p.72) sugere que os relatórios de auditoria, por sua vez,
devam ser organizados e redigidos de forma a propiciar perfeita compreensão
do alcance ou escopo do trabalho, os limites dos testes realizados em termos
de tempo e abrangência, as conclusões gerais e específicas, a evolução desde
a auditoria anterior e, dependendo da cultura da seguradora, a manifestação
dos auditados. Devem se pautar por serem documentos bem fundamentados
63
para, mediante comentários, justificativas, recomendações e sugestões,
agregar valor e auxiliar a Alta Administração na melhoria contínua do Sistema
de Controles Internos da seguradora e na consecução de seus objetivos
estratégicos.
Segundo ele, podem existir ainda os planos de ação, derivados das
recomendações registradas nos relatórios, a serem preenchidos pelos
responsáveis diretos. Neles devem ser mencionadas as providências a serem
adotadas, as datas estimadas de suas implantações e nomes de quem
conduzirão as ações. Isto permitira que a Auditoria Interna acompanhe as
implementações, faça as cobranças necessárias e providencie o
encaminhamento ao Comitê de Auditoria nos termos da Resolução 118.
É importante considerar que a Circular 249 determina que evidências e
relatórios de Auditoria Interna fiquem à disposição da SUSEP pelo prazo de
cinco anos.
64
CONCLUSÃO
De um modo amplo, hoje em dia, é fundamental que as empresas
conheçam seus processos operacionais, e identifiquem e avaliem seus riscos
operacionais, com o propósito de ter segurança de que seu planejamento será
alcançado ou detectar possíveis desvios com tempo hábil para poder tratá-lo.
O presente trabalho buscou a análise dos procedimentos e objetivos
do controle interno e da auditoria interna, com o intento de mostrar que os
mesmos, embora sendo diferenciados, podem ser complementares.
Assim sendo, a conformidade consiste no processo de avaliação e
regulamentação dos desempenhos operacionais da empresa, visando sua
eficiência e eficácia através do cumprimento da governança corporativa, bem
como salvaguardando os seus ativos e controlando os exigíveis por meio de
registros contábeis confiáveis, tempestivos e oportunos. Além disto, a
maturidade nos níveis de controles internos garante que a instituição esteja
também em conformidade com as leis e regulamentos internos e externos,
bem como pode evitar, detectar e tratar qualquer desvio ou inconformidade
que possa ocorrer.
A atuação da Auditoria Interna assessora a Alta Administração com o
intuito de revisar e avaliar a adequação dos sistemas de controles internos
agregando valor as operações das Seguradoras. Este fato dar-se-á por
intermédio de testes de observância e testes substantivos, dos papéis de
trabalho, embasando-se desta forma suas conclusões e recomendações.
Em suma, as análises e definições expostas aqui, apontam que
Controles Internos e Auditoria Interna não podem ser considerados sinônimos,
porém podem atuar de forma complementar. Desta forma, o atingimento dos
objetivos estratégicos das empresas atende referencias de:
65
• Efetividade e eficiência operacional: refere-se aos objetivos básicos
da empresa, inclusive com os objetivos e metas de desempenho e
rentabilidade, bem como da segurança e da qualidade dos ativos;
• Confiabilidade nos relatórios financeiros: refere-se aos registros de
todas as transações, que devem refletir transações reais, consignadas pelos
valores e enquadramentos corretos;
• Conformidade: refere-se as leis e normativos aplicáveis à entidade e
sua área de atuação.
Deste modo, podemos concluir a imensa contribuição da Auditoria
Interna e dos Controles Internos no auxílio das empresas, impulsionando
alcançar seus objetivos, proporcionando sua exatidão e estruturando melhor o
aproveitamento de suas potencialidades.
66
GLOSSÁRIO
AAA American Accounting Association – Tradução: Associação Americana de Contadores
AICPA American Institute of Certified Public Accountants – Tradução: Instituto Americano de Contadores Públicos Certificados
AUDIBRA Instituto dos Auditores Internos do Brasil
Audire Tradução: Ouvir
CEO Chief Executive Officer – Tradução: Diretor Presidente
CFO Chief Financial Officer – Tradução: Diretor Financeiro
COBIT Control Objectives for Information and related Technology – Tradução: Objetivo de Controle para Tecnologia da Informação e Áreas Relacionadas
COSO The Comitee of Sponsoring Organizations – Tradução: Comitê das Organizações Patrocinadoras
Disclosure controls and procedures
Tradução: Controles e procedimentos de divulgação
FEI Financial Executives Internacional – Tradução: Executivos Financeiros Internacionais
Form 20-F Tradução: Formulário 20-F
ICAEW Institute of Chartered Accountants in England and Wales – Tradução: Instituto dos Revisores Oficiais de Contas na Inglaterra e Wales)
IIA Institute of Internal Auditors – Tradução: Instituto dos Auditores Internos
IMA Institute of Management Accountants – Tradução: Instituto dos Contadores Gerenciais
Internal Control – Integrated Framework
Tradução: Controles Internos – Modelo Integrado
ISACF Information Systems Audit and Control Foundation – Tradução: Fundação de Auditoria de Sistemas e Informação e Controle
67
Missi Dominici Significado: Auditores nas diversas províncias da França durante o período do imperador Carlos Magno (768-814)
NCFFR National Commission on Fraudulent Financial Reporting – Tradução: Comissão Nacional sobre Fraudes em Relatórios Financeiros
Outsourcing Tradução: Terceirização integral da atividade
Probatur sobre as Contas
Significado: Relatórios de Auditoria, nos fins do século XIII, na Inglaterra do rei Eduardo I
Quick wins Tradução: Ganhos rápidos
Sátrapas Significado: Governadores das províncias Persas
SEC Securities and Exchange Commission – Tradução: Comissão de Valores Mobiliários
SOX Sarbanes-Oxley Act – Tradução: Ato Sarbanes-Oxley
SUSEP Superintendência de Seguros Privados
TI Tecnologia da Informação
68
BIBLIOGRAFIA
ALMEIDA, Marcelo Cavalcanti. Auditoria: Um Curso Moderno e Completo. São Paulo: Atlas, 2012. ARIMA, Carlos Hideo. GIL, Antonio de Loureiro. NAKAMURA, Wilson Toshiro. Gestão - Controle Interno, Risco e Auditoria. Rio de Janeiro: Editora Saraiva, 2013. ASSI, Marcos. Gestão de Riscos Com Controles Internos. São Paulo: Saint Paul Editora, 2012.
ATTIE, Willian. Auditoria: Conceitos e Aplicações. São Paulo: Atlas, 2011.
____________. Auditoria Interna. 2ª Ed. São Paulo: Atlas, 2007.
AUDIBRA (Associação de Auditores do Brasil) e PricewaterhouseCoopers.
COSO - Gerenciamento de Riscos Corporativos. Audibra e
PricewaterhouseCoopers,2007
AZEVEDO BRAGA, Marcus Vinicius de. Controle Interno - Estudos e Reflexões. Minas Gerais: Editora Fórum, 2013. CORDEIRO, Cláudio Marcelo Rodrigues. Auditoria Interna e Operacional: Fundamentos, Conceitos e Aplicações Práticas. São Paulo: Atlas, 2013. DIAS, Sergio Vidal dos Santos. Manual de Controles Internos: Desenvolvimento e Implantação – Exemplos de Processos Organizacionais. São Paulo: Atlas, 2010. _________________________. Auditoria de Processos Organizacionais: Teoria, Finalidade, Metodologia de Trabalho e Resultados Esperados. São Paulo: Atlas, 2011. GIL, Antonio de Loureiro. Auditoria de Negócios. São Paulo: Atlas, 2002. GONÇALVES, Juliano P. Desafios atuais para Auditoria. Niterói, RJ, 2007.
69
JUND, S. Auditoria: Conceitos e Normas. São Paulo: Impetus, 2002. LIMA NEGRÃO, Célia. PONTELO, Juliana de Fátima. Compliance, Controles Internos e Riscos - A Importância da Área de Gestão de Pessoas. São Paulo: SENAC, 2014. LINS, Luiz dos Santos. Auditoria: Uma Abordagem Prática com Ênfase na Auditoria Externa: Atualizada e Revisada - Contém Exercícios. 3 ed. São Paulo: Atlas, 2014. MARCONI, Eva Maria; LAKATOS, Marina de Andrade. Fundamentos da metodologia científica. 4ª. ed. São Paulo: Atlas, 2001. MARION, José Carlos; DIAS, Reinaldo; TRALDI, Maria Cristina. Monografia para cursos de administração, contabilidade e economia. São Paulo: Atlas, 2002. MOTA, J. M. Auditoria: Princípios e Técnicas. São Paulo: Atlas, 1998 PINHO, Ruth Carvalho de Santana. Fundamentos de Auditoria: Auditoria Contábil. Outras Aplicações de Auditoria. São Paulo: Atlas, 2007. SÁ, Antônio Lopes de. Curso de Auditoria. 6 ed. São Paulo: Atlas, 1986. SANTI, Paulo Adolpho. Introdução à Auditoria. São Paulo: Atlas, 1998.
70
WEBGRAFIA
Portal IBRACON. Normas e Procedimentos de Auditoria. <http://www.ibracon.com.br/ibracon/Portugues/>. Acesso em 22 de dezembro de 2014.
Portal SUSEP. Regulamentação referente a Seguradoras.
<http://www.susep.gov.br>. Acesso em 22 de dezembro de 2014.
71
ÍNDICE
INTRODUÇÃO 08
CAPÍTULO I - Auditoria – Origens e Conceitos 10
1.1. Auditoria no Mundo 10
1.2. Auditoria no Brasil 11
1.3. Auditoria Interna e Auditoria Externa 14
CAPÍTULO II - Controles Internos e Seus Fundamentos 17
2.1. Tipos de Controles 18
2.2. Ambiente de Controle e Sua Percepção na Organização 19
CAPÍTULO III - COSO 23
3.1. Fundamentos 23
3.2. Processo de Implementação na Organização 25
3.3. Elementos Essenciais do Gerenciamento de Riscos 27
3.3.1. Ambiente de Controle Interno 27
3.3.2. Estabelecimento de Objetivos Estratégicos e Relacionados 28
3.3.3. Identificação de Eventos (Riscos ou Oportunidades) 29
3.3.4. Avaliação e Gerenciamento de Riscos 33
3.3.4.1. Escalas de Medição 34
3.3.4.2. Técnicas Qualitativas 35
3.3.5. Respostas a Riscos 35
3.3.6. Atividades de Controles 36
3.3.7. Informação e Comunicação 38
3.3.8. Monitoramento 40
CAPÍTULO IV - Lei Sarbanes- Oxley 41
4.1. Seção 302 43
4.2. Seção 404 43
4.3. Desenvolvendo o Programa de Controles Internos de Acordo
com a SOX
44
CAPÍTULO V - Auditoria Interna e Controles Internos no Mercado
de Seguros
45
72
5.1. Fundamentos 45
5.1.1. Circular SUSEP 249 45
5.1.2. Resolução CNSP 118 48
5.1.3. Circular SUSEP 280 49
5.1.4. Circular SUSEP 340 52
5.1.5. Circular SUSEP 344 53
5.1.6. Circular SUSEP 380 54
5.2. Conteúdo do Planejamento e dos Trabalhos de Campo 55
5.2.1. Perspectiva da Auditoria Interna no IIA 55
5.2.2. Alcance da Auditoria Interna 56
5.2.3. Auditoria da Qualidade das Atividades de Controle 57
5.2.4. Auditoria da Conformidade 58
5.2.5. Auditoria da Performance das Ações Estratégicas 59
5.2.6. Auditoria da Gestão de Riscos 60
5.2.7. Auditoria do Ambiente de Controle, Comunicação e
Divulgação
60
5.3. Dossiês, Relatórios de Auditoria e Planos de Ação 61
CONCLUSÃO 64
GLOSSÁRIO 66
BIBLIOGRAFIA 68
WEBGRAFIA 70
ÍNDICE 71
