Embed Size (px)
Citation preview
Módulo 2Implementando a SOX,
identificando riscos, definindo controle, verificando riscos
residuais, analisando processos e exercícios
O que acontecerá a seguir?
Os departamentos de Contabilidade e Finanças devem revisar os procedimentos de Contabilidade e os procedimentos de Controle Internos. A documentação para as tarefas específicas de contabilidade realizadas pela controladoria devem determinar onde os riscos são baseados no volume de transações, valores de ativos, porcentagem da receita bruta, tamanho das contas dos clientes etc.
É melhor utilizar as pessoas que atualmente trabalham na função criando os procedimentos. Os procedimentos e políticas necessitam ser adequados cuidadosamente para a companhia. O uso de cópia das telas do software é hoje uma forma comum e de qualidade para esclarecer melhor os procedimentos de trabalho.
Uma das coisas que os auditores internos vão querer fazer é analisar a realização dos processos e seu foco primário deverá ser nos controles e transações e no que acontece se algo dá errado ou vai mal. Em outras palavras, os auditores estarão olhando os controles dentro da companhia e não necessariamente se os números foram adicionados corretamente desde a última auditoria realizada.
Implementação
Também é recomendado criar fluxogramas para os processos, identificar os donos dos processos, documentos criados e controles internos dentro dos próprios fluxogramas. Desta forma será fácil para os auditores interno e externo seguirem os processos. Também é seguro contratar um auditor externo como consultor para criar os fluxogramas. A estrutura do COSO -Committee of Sponsoring Organizations of the Treadway Commission deve ser incluída na documentação. Desde que os procedimentos e registros sejam criados já teremos um bom começo.
Tendo os fluxogramas documentados, os riscos podem ser identificados e controles podem ser definidos documentados e aplicados (o que fazer e quem é responsável), depois da implantação os controles devem ser auditados para garantir sua eficiência operacional e se necessário devem ser revisados até que se possa garantir a sustentabilidade de todo processo.
Um projeto como esse deve ser iniciado com um planejamento, pois caso contrário pode-se perder o controle e os prazos finais, reuniões de análise crítica são boa prática uma vez que mudar o processo durante o próprio processo faz parte do processo.
Implementação
Mapa para ImplementaçãoV
alo
r p
ara
o N
egó
cio
Conformidade com a SOX
1. Plano e Escopo
2. Avaliação de Riscos
3. Identificar Controles e Responsabilidades
4. Documentar Controles
5. Avaliar Controles
6. Avaliar Eficiência operacional
7. Determinar Fraquezas no material
8. Documentar Resultados
9. Construir SustentabilidadeHavendo fluxogramas de todos os processos
Administração De Riscos
Risco está relacionado à escolha, não ao acaso, pois
decorre da incerteza inerente ao conjunto de possíveis
conseqüências (ganhos e perdas) que resultam de
decisões tomadas diariamente pela organização.
Definição de riscos
Risco é o potencial que uma dada ameaça possui para explorar vulnerabilidades e causar perda ou dano a
organização
Riscos de Negócios
Tipos de RiscosTipos de Riscos
Variáveis que alteram o valor de um instrumento
financeiro.
Perdas resultantes de processos internos, pessoas e sistemas
inadequados.
Atividades nas quais o êxito depende de cumprimento
pela outra parte, emitente ou tomador.
MERCADO OPERACIONAIS CRÉDITO
Visão GeralO Que Todos os Executivos Deveriam Questionar?
� Quais as melhores práticas de controle e gestão de riscos? Existem sistemas de controle e gestão que indiquem eventuais falhas de controle, por exemplo, fraudes, perdas?
� Nossos processos e controles para divulgação nos asseguram que todas as informações relevantes foram identificadas, quantificadas e reportadas?
� Nossa estrutura de governança corporativa está adequada às necessidades?
� Código de ética.� Conselho de Administração e Comitês de Auditoria e
Fiscal.� Parâmetros razoáveis para bônus e lucros.
Políticas, procedimentos, atividades e mecanismos,
desenvolvidos para assegurar que os objetivos de
negócios sejam atingidos e que eventos indesejáveis
sejam prevenidos ou detectados e corrigidos.
Definição de controles
• EVITAR RISCOS – exemplo: controles automatizados inibidores com eficácia altíssima,como os controles contra violações do ambiente de tecnologia da informação, queobrigatoriamente devem buscar eficácia de 100%;
• REDUZIR RISCOS – exemplo: controles preventivos ou detentivos para prevenir errosdentro de limites aceitáveis, como controles de revisão e análise para verificar se todasas transações relevantes foram classificadas adequadamente;
• COMPARTILHAR/TRANSFERIR RISCOS – exemplo: segurar bens e direitos contrariscos diversos, como hedge para prevenir perdas (variação de câmbio, preço, juros etc.);
• ACEITAR RISCOS – Após verificar a probabilidade e impacto dos riscos e considerar atolerância de riscos da empresa e o custo das três ações acima, a administração define olimite de exposição a riscos aceitável. As Áreas de Controle Interno, Auditoria Interna eGestão de Riscos auxiliam a Administração à verificar se o nível de exposição estádentro dos limites autorizados.
Fonte: Enterprise RisK Management (COSO II)
Observação:"hedging" consiste em realizar um determinado investimento com o objetivo específico de reduzir ou eliminar o risco de outro investimento ou transação, um exemplo é o caso de uma empresa que tem de pagar uma fatura em moeda estrangeira no prazo de 60 dias. Se comprar hoje, num mercado de futuros, um montante dessa moeda equivalente ao valor da fatura, consegue isolar-se do risco de ocorrerem alterações da taxa de câmbio que tornem a transação mais cara na sua moeda.
Tipos de respostas a riscos
� PREVENTIVO (P) - Executado no início do processo, previne o acontecimento de erros ou irregularidades e minimiza os riscos na fonte. Controle pró-ativo, portanto mais eficaz que o corretivo.
� CORRETIVO (C) - Executado ao longo do processo, detecta erros que são difíceis de definir ou prever, controle reativo, portanto menos eficaz que o preventivo.
� AUTOMATIZADO (A) - Controle executado por sistemas automatizados, não depende de julgamentos pessoais. Para garantir sua consistência e precisão é preciso ter um sistema seguro e confiável.vEste controle é mais eficaz que o manual.
� MANUAL (M) - Controle manual executado por pessoas. Menos eficaz que o automatizado.
� PERIODICIDADE DIVERSIFICADA - a cada evento, diário, semanal, mensal, trimestral, anual etc., a periodicidade do controle deve ser compatível com a freqüência da incidência dos eventos de risco cobertos pelo controle.
Alternativas de controles
O grau de tolerância aos riscos definido pela Alta Administração.
Riscos
Ausência de Controles
Controles + Tolerânciaà Riscos
Exposição aRiscos Inaceitáveis
Riscos
Controles + Tolerânciaà Riscos
Controles em Excesso
Exposição aCustos Excessivos
Riscos
Controles + Tolerânciaà Riscos
Controles Adequados
Controles InternosEficientes
Conceitos BásicosGrau de Tolerância
• A administração discute os riscos e respostas dos riscos associadosem reuniões regulares com os empregados.
• A administração divulga regularmente aos empregados os riscos daempresa como um todo.
• As políticas corporativas da administração de riscos, padrões eprocedimentos devem estar prontamente disponíveis aosempregados junto com declarações claras exigindo o devidocumprimento.
• A administração exige que os empregados consultemadequadamente outros dentro da empresa quando novos eventosforem identificados.
• Sessões de orientação a novos empregados devem incluirinformações e literatura sobre a filosofia da administração de riscos esobre o programa corporativo de administração de riscos.
• É exigido que empregados já na posse de seus cargos façamworkshops e/ou cursos renovadores sobre as iniciativas da empresada administração corporativa de riscos.
• A filosofia da administração de riscos é reforçada através deprogramas internos de divulgação.
Divulgando a Filosofia de Administração de Riscos
Melhorar o Valor p/ AcionistasRever a Estratégia de
Crescimento Estratégia de Produtividade
Construir aFranquia
Aumentar Valor p/ o Cliente
Melhorar a estruturade custos
Melhorar o usode ativos
Trabalhadores motivados e preparados
Preço
Perspectiva
Financeira
Perspectiva
Clientes
Perspectiva
Processos
Internos
Perspectiva
Aprendizado e
Crescimento
Atributos Produto/Serviço
Competências Tecnologias Vontade
“Construção de Franquias”
“Aumentar o Valorp/ o Cliente”
“Alcançar aexcelência
operacional
“Seja um bom vizinho”
(Processos deInovação)
(Processos degerenciamento
dos Clientes
(Processos operacionaise logística)
(Normas eProcessos Ambientais
Proposta de Valor p/ Cliente
Qualidade
Excelência Operacional
Liderança no Produto
Proximidade c/ o Cliente
� Satisfação do Cliente
� Atração de Clientes � Retenção de Clientes
Prazo Serviço Relações Marca
Relacionamento Imagem
� Fatia de Mercado
Exemplo: Mapa estratégico considerando as 4 perspectivas do BSC e universo de riscos em todas as relações
Monitorar grau de exposicão aos riscos e status de implementação das ações
Selecionar risco para avaliação
Consolidar Planos de ação
Exposição aceitável ou inaceitável?
Aceitável
Inaceitável
Identificar fatores de contribuição
Desenvolver recomendações
Discutir definição do risco, atividades
afetadas e origem do risco
Determinar Impacto do riscoProcesso
Unidade de Negócio
Organização
Discutir controles
DefinirProbabilidade do Risco
Validar recomendações e definir responsáveis pela implementação
Elaboração de Planos de Ação
Avaliação de Risco
Sequência clássica na gestão de riscos
Objetivo de Aquiescência
Unidades de medidas
AlvoTolerância de Risco
Riscos
Pesticidas são utilizados em áreas proibidas
Pesticidas são utilizados nas premissas da empresa de acordo com todas as leis ambientais relevantes e regulamentações
Taxa de Aquiescência
100% de Aquiescência
2%Risco Inerente
Probalidade ImpactoRisco Selecionado Resposta (Controle)
Risco Residual
Probabilidade Impacto
Moderado Multas, sanções, danos na reputação
Distribuição de todos os pesticidas para o uso nas terras da empresa écoordenada através do departamento das Instalações
Um formulário de notificação na internet épreenchido por todas as pessoas base estabelecendo os detalhes chave 72 horas antes que o pesticida seja aplicado
Todas as áreas proibidas estão claramente marcadas
BaixaMultas,
sanções, danos na reputação
Exemplo de quadro de respostas aos Múltiplos Riscos
Uma empresa estima os riscos ao seu objetivo de manter uma força de trabalho com qualidade.
A probabilidade é considerada em termos de mudança percentual dentro de um período específico e impacto em termos de custos de ineficiências operacionais e custos para repor, manter e desenvolver empregados.
Os códigos em cor realçam aqueles riscos que tem maior probabilidade de ocorrer e maior probabilidade de ter efeitos significantes sobre os objetivos.
Exemplo de estimativa dos riscos ao objetivo de “manter uma força de trabalho com qualidade”
Categoria Descrição do risco Probabilidade
Impacto
A Remuneração Insatisfação dos empregados com a remuneração resulta em maiores mudanças de equipe.
Possível Moderado
B Reconhecimento
Empregados se sentem não reconhecidos, resultando em redução do foco nas tarefas e maiores taxas de erros.
Improvável Pequeno
C Perda de Funcionários
Empregados são utilizados em excesso e trabalham consideravelmente além do horário. A equipe procura trabalho em outra organização que ofereça um melhor equilíbrio de trabalho/vida.
Provável Moderado
D Demografia Mudar a composição demográfica do grupo de empregados causa aumento de mudanças.
Quase certo
Moderado
E Mercado empregatício
Aumento de demanda de empregados por empresas contratantes. Improvável Moderado
F Avaliação de desempenho
Insatisfação dos empregados com as medidas de avaliação de desempenho e processos causam baixa disposição, fazem a equipe se focalizar em objetivos não críticos, e perda da boa convivência da equipe.
Possível Moderado
G Comunicação Comunicação inefetiva entre empregados e a administração resulta em mensagens confusas e na procura de empregos alternativos.
Possível Moderado
H Segurança do local de trabalho
Local de trabalho inseguro causa dano ao empregado e pedido de demissão. A equipe é prejudicada por outros que se preocupam com questões de segurança.
Improvável Alto
I Desenvolvimento da carreira
Os empregados percebem um controle limitado sobre o desenvolvimento de suas carreiras, causando maiores trocas.
Possível Moderado
Exemplo de estimativa dos riscos ao objetivo de “manter uma força de trabalho com qualidade”
A
B
C
D
E
F G
H
I
J
5
4
3
2
1
1 2 3 4 5
Imp
acto
Probabilidade
A. Remuneração
B. Reconhecimento
C. Diminuição
D. Demografia
E. Mercado Empregatício
F. Avaliação
do Desempenho
G. Comunicação
H. Segurança do Local de Trabalho
I. Desenvolvimento da Carreira
J. Diversidade de Trabalho
Mapa do Risco - Probabilidade e Impacto para manter uma força de trabalho com qualidade
Avaliação dos Riscos de Processos – modelo I
� Efetuar análise geral de riscos:
� Entendimento geral dos objetivos de negócio.
� Condução de reuniões com os principais executivos da Organização, com oobjetivo de entendermos os principais riscos.
� Elaboração de questionários de avaliação.
� Seleção e consolidação dos riscos a serem avaliados (Linguagem Comum deRisco).
� Identificação dos indicadores de risco potencial, considerando aspectos decontrole, gestão e tecnologia.
� Mapeamento e avaliação dos riscos selecionados.
� Identificação dos controles que minimizam os riscos existentes.� Avaliar alternativas de ferramentas / sistemas para gestão de riscos,
documentação e acompanhamento dos processos.� Elaboração e validação do plano de trabalho.
Avaliação dos Riscos de Processos – modelo II
� Definir e revisar os processos críticos e principais controles.
� Entendimento do desenho processo (fluxo do processo).
� Avaliação dos riscos aplicáveis ao processo.
� Análise da estrutura de controles do processo (“benchmarking”).� Catalogação das oportunidades de melhoria identificadas na execução da
revisão dos processos de negócio.
� Identificação dos indicadores de risco do processo
� Definição de plano de ação, base para a implantação das oportunidades identificadas.
Implantação de Controles Internos
Visão Geral - Benefícios de uma Estrutura de Controles
Internos Consistente
Controle Interno Consistente
� Reduz potencial para fraudes� Conquista (ou reconquista) a
confiança dos investidores � Observa leis e regulamentações� Reduz o risco de perda de
recursos� Otimiza decisões de negócio com
maior qualidade� Identifica operações ineficientes� Minimiza denúncias
Controle Interno Inconsistente
� Aumenta a exposição a fraudes� Informações financeiras imprecisas� Publicidade desfavorável� Impacto negativo nos valores das
ações� Sanções de órgãos de controle� Processos ou outras ações legais� Perda de ativos� Decisões de negócio sub-otimizadas
Não Confiáveis
Ambiente Imprevisível.Não há sistema de informação integrado.
Informais
Existem controles mas eles não estão adequadamente documentados.
Padronizados
As atividades de controle estão documentadas e padronizadas.
Monitorados
Controles padronizados e testados periodicamente. Os resultados dos testes são reportados à gerência.
Otimizados
Sistemas integrados, hámonitoramento em tempo real e aprimoramento contínuo.
20042005 2006
(SOX)
Lei Sarbanes OxleyCiclo de Evolução dos Controles Internos
RiscosRiscos
MonitorizaçãoMelhoria
Definição
ExecuçãoVerificação
1. Alta Administração
• Elabora as estratégias de negócio
• Define diretrizes gerais (políticas) e limites de exposição a riscos
• Fornece recursos necessários
• Responsável final pelo adequado funcionamento do ambiente de controles
2. Gestores de Negócio
• Executa as ações
• Monitora as operações no dia-a-dia (tomada de decisão)
• Assume riscos
• Implementa os controles
3. Auditoria Interna
• Realiza trabalhos de revisão de aspectos operacionais e financeiros, assim como das funções de compliance
• Fornece uma avaliação independente do ambiente de controles internos
• Auxilia a organização a melhorar seus processos de negócio
4. Gestão de Riscos e Compliance
• Auxilia a organização na monitorização dos riscos e melhoria do ambiente de controles
• Mensura exposição (base de perdas e auto-avaliação)
• Assegura conformidade:
• Externa: leis e regulamentações
• Interna: políticas e procedimentos e Código de Ética
• Comunica os resultados para a Alta Administração
1
2
22
3
3 44
Fonte: Deloitte
Relação entre papéis e responsabilidades da auditoria com outros relacionados
Exercício
Indique se é Verdadeiro ou Falso:
1. ( ) Definição de controles: são políticas, procedimentos, atividades e mecanismos, desenvolvidos para assegurar que os objetivos de negócios sejam atingidos e que eventos indesejáveis sejam prevenidos ou detectados e corrigidos.
2. ( ) Todos os executivos deveriam poder responder a seguinte pergunta: Nossa estrutura de governança corporativa está adequada às necessidades?
3. ( ) Definição de risco: risco é o potencial que uma dada ameaça possui para explorar vulnerabilidades e causar perda ou dano à organização.
4. ( ) Para que os riscos sejam identificados a organização deve ter seus processos mapeados, uma boa prática é elaborar fluxogramas para identificar com clareza os pontos onde controles existem e onde deveriam ser implantados.
5. ( ) Controles internos consistentes: aumentam a exposição a fraudes, fornecem informações financeiras imprecisas, aumentam a probabilidade de publicidade desfavorável e podem causar impacto negativo nos valores das ações.
6. ( ) A organização pode transferir/compartilhar, reduzir, aceitar e evitar riscos.
7. ( ) Para garantir a eliminação dos riscos a organização deve implantar todos os controles internos que forem possíveis e adequados aos riscos existentes.
8. ( ) Podemos eliminar completamente os riscos.
Resposta do exercício
Indique se é Verdadeiro ou Falso:
1. ( V ) Definição de controles: são políticas, procedimentos, atividades e mecanismos, desenvolvidos para assegurar que os objetivos de negócios sejam atingidos e que eventos indesejáveis sejam prevenidos ou detectados e corrigidos.
2. ( V ) Todos os executivos deveriam poder responder a seguinte pergunta: Nossa estrutura de governança corporativa está adequada às necessidades?
3. ( V ) Definição de risco: risco é o potencial que uma dada ameaça possui para explorar vulnerabilidades e causar perda ou dano à organização.
4. ( V ) Para que os riscos sejam identificados a organização deve ter seus processos mapeados, uma boa prática é elaborar fluxogramas para identificar com clareza os pontos onde controles existem e onde deveriam ser implantados.
5. ( F ) Controles internos consistentes (inconsistentes): aumentam a exposição a fraudes, fornecem informações financeiras imprecisas, aumentam a probabilidade de publicidade desfavorável e podem causar impacto negativo nos valores das ações.
6. ( V ) A organização pode transferir/compartilhar, reduzir, aceitar e evitar riscos.
7. ( F ) Para garantir a eliminação dos riscos a organização deve implantar todos os controles internos que forem possíveis e adequados aos riscos existentes. (burocratiza e tem custo alto)
8. ( F ) Podemos eliminar completamente os riscos. (sempre existem riscos residuais)
Fim do módulo 2
