Nova framework
COSO 2013
Pedro Peralta
20 de Novembro de 2014
O que mudou e
como aplicar nas
organizações
XXI CONFERÊNCIA ANUAL Auditoria Interna: Controlo Interno e Governação
Objectivos da sessão
Nova framework COSO 2013
2 © 2014. Para informações, contacte Deloitte & Associados SROC, S.A.
• Conhecer o enquadramento do COSO Internal Control – Integrated Framework
• Saber distinguir o COSO ICF do COSO ERM
• Saber explicar o cubo COSO (Controlo Interno)
• Conhecer as principais evoluções da versão COSO ICF 2013
• Conhecer os principais desafios do COSO ICF 2013
• Conhecer algumas boas práticas na aplicação do COSO ICF 2013
A iniciativa COSO
COSO Internal Control – Integrated Framework
COSO 2013 – O que mudou?
Desafios e recomendações na aplicação do COSO
Boas práticas
Anexo – Guia de consulta rápida COSO 2013
Agenda
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 3
Origem e áreas de actuação
A iniciativa COSO
COSO – Committee of Sponsoring Organizations of the Treadway Commission é
uma iniciativa conjunta de cinco entidades:
Tem como objectivo criar orientações através do desenvolvimento de modelos e guias
sobre:
• Gestão de Risco Empresarial
• Controlo Interno
• Detenção da Fraude (prevenção e detecção)
4
American Accounting
Association
American Institute of
Certified Public
Accountants
Financial Executives
International
Institute of Management
Accountants
The Institute of
Internal Auditors
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A.
Controlo Interno e principais eventos relacionados
A iniciativa COSO
5 © 2014. Para informações, contacte Deloitte & Associados SROC, S.A.
1975 1980 1985 1990 1995 2000 2005 2010 2015
1977: Foreign Corrupt
Practices Act (FCPA) é
emitido, endereçando os temas
de transparência e suborno a
funcionários públicos
1992: COSO emite o
Internal Control –
Integrated Framework
(1992 edition)
1996: É emitido o COBIT -
Control Objectives for Information
and related
Technology
2004: PCAOB emite o Audit
Standard N.º 2, que foca a
auditoria a Controlo Interno em
conjunção com auditoria às
Demonstrações Financeiras
2007: SOX 404
Interpretive Guidance é
emitido pela SEC
2013: COSO emite o
Internal Control –
Integrated Framework
(2013 edition)
2013: nova liderança na
SEC, dando destaque à
fraude contabilística e à
conformidade com FCPA
1985: Formação da Treadway
Commission (AICPA, AAA,
FEI, IIA e IMA)
1987: Treadway Commission
emite o seu primeiro relatório
com recomendações sobre
contabilidade
2000 – 2002: Ocorrência de
escândalos financeiros que
motivam a alteração ao nível do
Controlo Interno e relato financeiro
2007: PCAOB emite o Audit
Standard N.º 5, que substitui o
standard N.º 2
2002: Sarbanes-Oxley
(SOX) Act é publicado
2011: PCAOB emite normas
para Análise de Risco, dirigido
para a resposta do Auditor ao
risco numa Auditoria
2013: PCAOB emite a Practice
Alert N.º 11, que evidencia
falhas comuns em auditorias de
Controlo Interno
Evolução do COSO Internal Control Framework (ICF)
A iniciativa COSO
6
1992
COSO – Internal Control
Framework (COSO I)
2013
COSO – Internal Control
Framework (update)
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A.
19 anos de evolução
COSO 1992 é oficialmente descontinuado a partir de 15 de Dezembro de 2014
COSO ERM e COSO ICF
A iniciativa COSO
7
1992
COSO – Internal Control
Framework (COSO I)
2004
COSO – Enterprise Risk
Management Framework
(COSO II)
2013
COSO – Internal Control
Framework (update)
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A.
COSO ERM e COSO ICF – Principais diferenças
A iniciativa COSO
8 © 2014. Para informações, contacte Deloitte & Associados SROC, S.A.
COSO Internal Control –
Integrated Framework COSO Enterprise Risk Management –
Integrated Framework
A iniciativa COSO
COSO Internal Control – Integrated Framework
COSO 2013 – O que mudou?
Desafios e recomendações na aplicação do COSO
Boas práticas
Anexo – Guia de consulta rápida COSO 2013
Agenda
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 9
O cubo mágico… do controlo
COSO Internal Control – Integrated Framework
10 © 2014. Para informações, contacte Deloitte & Associados SROC, S.A.
Controlo
Interno
Ambiente
de Controlo
Sistema de
Controlo
Interno
Ambiente
de Controlo
Interno
Actividades
de Controlo
Resolvendo o cubo – O que é Controlo Interno?
COSO Internal Control – Integrated Framework
“Processo realizado pelas pessoas da organização (administração, gestão e restantes
colaboradores), concebido para dar garantia razoável de fiabilidade sobre o atingimento de
objectivos relacionados com as operações, relato de informação e conformidade”
11
• Um processo (tarefas e actividades contínuas) – um
meio para alcançar um fim, e não um fim em sim mesmo;
• Realizado pelas pessoas – não é meramente a
existência de políticas, procedimentos, manuais,
sistemas e formulários, mas sim envolvendo as pessoas;
• Destinado a dar garantia razoável de fiabilidade – mas
não uma garantia total, à administração, accionista e
demais stakeholders;
• Destinado ao atingimento de objectivos em uma ou
mais categorias (não sobrepostas).
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A.
Resolvendo o cubo – Cinco componentes
COSO Internal Control – Integrated Framework
12
De acordo com o modelo COSO, o Controlo Interno tem cinco componentes, que
atravessam os objectivos e a estrutura da organização:
• Ambiente de controlo
• Análise de risco
• Actividades de controlo
• Informação e comunicação
• Actividades de monitorização
Existe uma relação intrínseca entre os objectivos (o que uma organização pretende
alcançar), os componentes (o que é necessário para os alcançar) e a estrutura
organizacional da empresa (onde se materializa a prossecução dos objectivos).
Objectivos
Estrutura
organizacional
Componentes
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A.
Objectivos
Estrutura
organizacional
Componentes
Resolvendo o cubo – Três categorias de objectivos
COSO Internal Control – Integrated Framework
13
A Gestão, com supervisão do Conselho de Administração (CA), define os objectivos da
organização alinhados com a sua visão, missão e estratégia. Os objectivos deverão ser
agrupados em três categorias:
• Conformidade – Aderência a leis e regulamentação à qual a organização está sujeita
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A.
• Operações – Eficácia e eficiência
das operações, incluindo
desempenho financeiro, operacional
e protecção contra perdas de activos.
• Relato – Relato de informação
financeira e não financeira, interna e
externamente. Considera aspectos
de fiabilidade, tempestividade,
transparência e outras características
relevantes
A iniciativa COSO
COSO Internal Control – Integrated Framework
COSO 2013 – O que mudou?
Desafios e recomendações na aplicação do COSO
Boas práticas
Anexo – Guia de consulta rápida COSO 2013
Agenda
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 14
Abrangência no conceito de informação
COSO 2013 – O que mudou?
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 15
Fin
anceira
Não F
inanceira
Externa Interna
• Relatório e contas
• Resultados trimestrais
• Relatórios financeiros por
área de negócio
• Análise de clientes
• Relatório de
sustentabilidade
• Relatório para as entidades
reguladoras / tutela
• Satisfação de clientes
• Relatório de SHST
Componentes Princípios Áreas de foco
COSO 2013 – O que mudou?
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 16
87 Áreas de Foco
17 Princípios
5 Componentes
Ambiente de
controlo
Análise de
Risco
Actividades de
controlo
Informação e
comunicação
Actividades de
monitorização
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
Ambiente de controlo – Princípios
COSO 2013 – O que mudou?
O ambiente de controlo é um conjunto de normas, processos e estruturas que
providenciam a base para o desenvolvimento do controlo interno na organização
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 17
1 A organização demonstra compromisso em relação aos valores éticos e de
integridade
2 O Conselho de Administração demonstra independência da gestão e
supervisiona o desenvolvimento e desempenho do Controlo Interno
3 A gestão define, com supervisão do CA, a estrutura, linhas de reporte,
níveis de autoridade e de responsabilidade, para alcançar os objectivos
4 A organização demonstra compromisso para atrair, desenvolver e reter
colaboradores competentes, em linha com os objectivos
5 A organização atribui responsabilidades aos colaboradores relativamente
ao seu papel ao nível do controlo interno, para alcançar os objectivos
Ambiente de controlo – Áreas de evolução
COSO 2013 – O que mudou?
• Requer a definição de expectativas quanto aos padrões de conduta (colaboradores e
outsourcers), exigindo a avaliação da aderência a estes padrões e tratamento de
desvios de forma atempada
• Estabelece requisitos de independência, competência e habilitações para o CA
• Releva a importância em atribuir responsabilidades pelo controlo interno
• Releva a necessidade de planear e preparar a sucessão para posições chave e
outsourcers
• Requer alinhamento dos incentivos e prémios com:
• Objectivos estratégicos
• Desempenho de curto e longo prazo
• Risco
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 18
Ambiente de controlo e Governance
COSO 2013 – O que mudou?
Áreas de foco
• O CA e a gestão dão o exemplo (tone at the top)
• As expectativas do CA e gestão encontram-se explícitas no código de conduta
• Existem processos para avaliar a aderência ao código de conduta
• Desvios ao código de conduta são endereçados com celeridade
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 19
1 Compromisso perante valores éticos e de integridade
Ambiente de controlo e Governance
COSO 2013 – O que mudou?
Áreas de foco
• O CA define, mantém e avalia as competências e conhecimentos para uma supervisão
eficaz
• O CA tem membros independentes
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 20
2 Exercício de responsabilidade pela supervisão
Ambiente de controlo e Governance
COSO 2013 – O que mudou?
Áreas de foco
• A gestão define linhas de reporte formais
• O CA e a gestão delegam autoridade, definem responsabilidades e recorrem-se dos
processos e tecnologia adequados para fazer cumprir esses limites
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 21
3 Definição da estrutura, autoridade e responsabilidade
Ambiente de controlo e Governance
COSO 2013 – O que mudou?
Áreas de foco
• A organização define as políticas e práticas relativas à competência necessária para
alcançar os objectivos
• O CA e a gestão avaliam a competência e endereçam as limitações
• Existe um plano para atrair, desenvolver e reter colaboradores (e outsourcers)
• O CA e a gestão planeiam e preparam a sucessão
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 22
4 Compromisso com a competência
Ambiente de controlo e Governance
COSO 2013 – O que mudou?
Áreas de foco
• O CA e a gestão definem os mecanismos adequados para assegurar a
responsabilização sobre o controlo interno (execução e melhoria)
• O CA e a gestão definem métricas para a avaliação do desempenho, incentivos e
prémios/recompensas, avaliando periodicamente a sua pertinência
• Pressões excessivas são tidas em consideração pelo CA e pela gestão
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 23
5 Atribuição de responsabilidades
Análise de risco – Princípios
COSO 2013 – O que mudou?
A análise de risco é um processo dinâmico e interactivo de identificação e avaliação dos
riscos da organização, definindo ainda uma base para a forma de os gerir.
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 24
6 A organização define objectivos com clareza suficiente de modo a permitir
a identificação e avaliação dos respectivos riscos
7 A organização identifica riscos para o cumprimento dos objectivos e
analisa-os para determinar a forma de os gerir
8 A organização considera o potencial de fraude na avaliação dos riscos
9 A organização identifica e avalia as alterações que podem ter impacto
significativo no sistema de controlo interno
Análise de risco – Áreas de evolução
COSO 2013 – O que mudou?
• Explicita que o processo de análise de risco inclui:
• Identificação
• Análise
• Resposta
• Considera as características de velocidade de propagação e persistência (para além da
probabilidade e impacto)
• Requer a avaliação do risco de fraude (é um princípio!)
• Incorpora considerações específicas para outsourcers
• Coloca relevância na avaliação de alterações (contexto externo, modelo de negócio,
operações, sistemas de informação, relacionamento com outsourcers, liderança) e do
seu impacto no controlo interno
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 25
Actividades de controlo – Princípios
COSO 2013 – O que mudou?
Acções definidas por políticas e procedimentos que ajudam a que as orientações da
gestão para mitigação dos riscos sejam efectuadas. As actividades de controlo são
executadas a todos os níveis da organização e nos vários estágios dos processos e ainda
ao nível do ambiente tecnológico de suporte.
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 26
10 A organização selecciona e implementa actividades de controlo que
contribuem para a mitigação dos riscos para níveis aceitáveis
11 A organização selecciona e implementa actividades de controlo sobre a
tecnologia (controlos informáticos) que permitam alcançar os objectivos
12 A organização implementa actividades de controlo através de políticas que
definem o que é expectável e procedimentos que as colocam em prática
Actividades de controlo – Áreas de evolução
COSO 2013 – O que mudou?
• Coloca ênfase na ligação entre risco e controlo
• Explicita a necessidade de actividades de controlo de várias naturezas (preventivas,
detectivas) e a vários níveis da organização, tendo ainda em consideração a
segregação de funções
• Requer a identificação de actividades de controlo “tecnológicas” (é um princípio!):
• Infra-estrutura tecnológica
• Segurança
• Aquisição, desenvolvimento, manutenção
• Estabelece responsabilidades pela execução das políticas e procedimentos
• Obriga à reavaliação periódica da relevância das políticas e procedimentos
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 27
Informação e comunicação – Princípios
COSO 2013 – O que mudou?
A informação é necessária para que a organização desenvolva as suas responsabilidades
de controlo interno que permitam alcançar os objectivos. A gestão obtém ou gera e usa
informação relevante e de qualidade, a partir de fontes internas e externas, para suportar o
funcionamento do controlo interno.
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 28
13 A organização obtém, gera e usa informação relevante e de qualidade para
suportar o funcionamento do controlo interno
14 A organização comunica internamente, incluindo os objectivos e as
responsabilidades sobre o controlo interno
15 A organização comunica com entidades externas sobre aspectos que
influenciam o funcionamento do controlo interno
Informação e comunicação – Áreas de evolução
COSO 2013 – O que mudou?
• Identificação de requisitos para a informação, validação das fontes de dados, qualidade
ao longo do processamento e utilização de outsourcers
• Considera a protecção e fiabilidade da informação
• Considera como a informação suporta o funcionamento do controlo interno
• Considera a criação de canais de comunicação anónimos/confidenciais (linhas de
denúncia)
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 29
Actividades de monitorização – Princípios
COSO 2013 – O que mudou?
Avaliações contínuas, avaliações autónomas ou uma combinação das duas deverão ser
utilizadas para avaliar se as cinco componentes do modelo de controlo interno se
encontram presentes e a funcionar adequadamente.
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 30
16 A organização selecciona, concebe e realiza avaliações contínuas e / ou
autónomas para avaliar a presença e funcionamento das componentes do
controlo interno.
17 A organização avalia e comunica eventuais deficiências detectadas no
controlo interno, de forma oportuna, para quem tenha que tomar acções
correctivas, incluindo a gestão de topo e o Conselho de Administração,
conforme apropriado.
Actividades de monitorização – Áreas de evolução
COSO 2013 – O que mudou?
• Considera o ritmo das alterações a monitorizar, no desenvolvimento das respectivas
actividades de controlo
• Distingue as avaliações contínuas das avaliações externas
• Considera a monitorização a diferentes níveis da organização e a monitorização dos
outsourcers
• Prevê a utilização de tecnologia no contexto da monitorização
• Considera a monitorização de acções correctivas
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 31
19 anos de mudanças…
COSO 2013 – O que mudou?
Reflecte a evolução verificada no ambiente empresarial desde 1992:
• Avaliação explícita de risco, incluindo o risco de fraude;
• Recurso a entidades em regime de outsourcing;
• Importância da tecnologia e dos sistemas de informação; e
• Relevância Integridade da informação.
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 32
A iniciativa COSO
COSO Internal Control – Integrated Framework
COSO 2013 – O que mudou?
Desafios e recomendações na aplicação do COSO
Boas práticas
Anexo – Guia de consulta rápida COSO 2013
Agenda
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 33
Demonstrar a robustez do programa de ética
Desafios e recomendações na aplicação do COSO
• Programa formal de ética, compreendendo o relato de informação financeira, e que
considere formação numa base regular
• Avaliação da efectividade do programa de ética
• Supervisão do programa de ética pelo órgão de supervisão (Comissão de Auditoria)
• Negligência quanto à revisão do código de conduta em resposta às alterações internas
e de contexto
• Documentação disponível para os colaboradores (traduzida nas línguas relevantes)
• Comunicação das expectativas e requisitos de ética e integridade aos parceiros de
negócio (sobretudo entidades subcontratadas)
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 34
Desafios
Demonstrar a robustez do programa de ética
Desafios e recomendações na aplicação do COSO
• Código de conduta elaborado pelo órgão de supervisão
• Comunicações regulares sobre a relevância dos princípios éticos
• Aceitação formal do código de conduta pelos colaboradores e pelas entidades externas
• Tratamento célere de violações de ética e análise posterior para identificar tendências e
necessidade de medidas correctivas
• Canais diversificados para denúncia de comportamentos não-éticos de colaboradores
• Canais directos para denúncia de comportamentos não-éticos de entidades externas
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 35
Como aplicar nas organizações?
Ambiente de controlo
Informação e comunicação
Monitorizar os outsourcers
Desafios e recomendações na aplicação do COSO
• Comunicação das expectativas e requisitos de ética e integridade
• Conhecimento dos controlos existentes nos outsourcers
• Eficiência da comunicação
• Monitorização da eficácia dos controlos
• Avaliação dos riscos inerentes às operações/actividades das entidades
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 36
Desafios
Monitorizar os outsourcers
Desafios e recomendações na aplicação do COSO
• Explicitar nos contratos com outsourcers as expectativas da organização quanto a:
• Conduta e desempenho
• Níveis de competência
• Informação para monitorização
• Avaliar a competência e desempenho dos outsourcers de acordo com os SLA ou outras
métricas definidas contratualmente
• Considerar, no processo de análise de risco, os riscos com origem nos outsourcers,
nomeadamente relacionados com actos de corrupção
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 37
Como aplicar nas organizações?
• Âmbito da delegação de autoridade
• Fluxo de comunicação e interlocutores
Análise de risco
Ambiente de controlo
Monitorizar os outsourcers
Desafios e recomendações na aplicação do COSO
• Identificar as actividades de controlo críticas ao nível dos outsourcers
• Abrir canais de comunicação específicos para denúncias de comportamentos não-
éticos por parte dos outsourcers
• Obter relatórios independentes de avaliação dos outsourcers (ISAE 3402 / SSAE 16 /
SAS 70)
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 38
Como aplicar nas organizações?
Informação e comunicação
Actividades de controlo
Actividades de monitorização
Incluir o risco de fraude na análise de risco
Desafios e recomendações na aplicação do COSO
• Avaliação dos riscos inerentes às operações/actividades das entidades
• Não considerar todos os tipos de fraude:
• Apropriação de activos (pagamentos, recebimentos e bens materiais)
• Relato de informação (sub ou sobrevalorização de receita)
• Corrupção (conflitos de interesse, extorsão, suborno, ofertas)
• Profundidade de análise aos esquemas de fraude no relato de informação financeira
• Utilização do risco residual em vez do risco inerente
• Revisão regular do risco de fraude (alterações de contexto ou de negócio)
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 39
Desafios
Incluir o risco de fraude na análise de risco
Desafios e recomendações na aplicação do COSO
• Efectuar uma análise detalhada dos riscos de fraude, envolvendo as áreas de negócio e
a gestão
• Incluir o órgão de supervisão na discussão sobre os riscos de fraude
• Análise de registos contabilísticos para identificação de padrões não usuais
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 40
Como aplicar nas organizações?
Análise de risco
Actividades de monitorização
Considerar a segregação de funções
Desafios e recomendações na aplicação do COSO
• Segregação de funções ao nível do sistema e na realização de actividades manuais
• Controlo ao nível das alterações efectuadas nos sistemas podendo afectar a confiança
quanto a:
• Controlos automáticos
• Relatórios
• Validade dos dados
• Excepções ao nível de geografias/negócios menos “relevantes”
• Grau de precisão dos controlos de revisão existentes
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 41
Desafios
Considerar a segregação de funções
Desafios e recomendações na aplicação do COSO
• Definir e implementar matriz de segregação de funções
• Considerar controlos alternativos para conflitos que não podem ser solucionados
através de segregação de funções
• Análise de registos contabilísticos para identificação de padrões não usuais
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 42
Como aplicar nas organizações?
Actividades de controlo
Actividades de monitorização
Rigor e detalhe nos controlos de revisão
Desafios e recomendações na aplicação do COSO
• Malha demasiado aberta para os critérios de revisão
• Controlos que avaliação variações/discrepâncias e não a pertinência dos valores per si
• Falta de rigor ao nível das políticas e objectivos
• Profundidade e grau de desagregação da análise (documentação de suporte)
• Nível de confiabilidade sobre a informação de base
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 43
Desafios
Rigor e detalhe nos controlos de revisão
Desafios e recomendações na aplicação do COSO
• Considerar os seguintes aspectos para os controlos de revisão:
• A natureza e a impacto do risco que o controlo pretende mitigar
• A natureza e nível de detalhe dos dados e relatórios utilizados para a realização do
controlo
• A fiabilidade dos dados utilizados
• As competências necessárias para a realização do controlo (e posterior investigação,
se necessário)
• Incluir no trabalho da Auditoria Interna uma análise à eficácia dos controlos de revisão
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 44
Como aplicar nas organizações?
Actividades de controlo
Actividades de monitorização
Considerar controlos sobre os dados fonte
Desafios e recomendações na aplicação do COSO
• Modelo de governance para os dados (políticas, normas e responsabilidades)
• Desenho e implementação de controlos sobre os dados fonte e “lógica” programada
• Adequação dos requisitos de informação face à evolução da organização
• Controlos sobre fontes de informação externas utilizadas para relato de informação
financeira
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 45
Desafios
Considerar controlos sobre os dados fonte
Desafios e recomendações na aplicação do COSO
• Efectuar reconciliações entre dados de diferentes sistemas
• Inventariar aplicações pessoais (incluindo folhas de cálculo) e analisar os respectivos
controlos
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 46
Como aplicar nas organizações?
Actividades de controlo
A iniciativa COSO
COSO Internal Control – Integrated Framework
COSO 2013 – O que mudou?
Desafios e recomendações na aplicação do COSO
Boas práticas
Anexo – Guia de consulta rápida COSO 2013
Agenda
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 47
Relevância do COSO
Boas práticas
Apresentamos de seguida algumas boas práticas que endereçam as principais fragilidades
reveladas na divulgação de deficiências materiais1 e de identificação de fraude2, e como
se encontram cobertas pela framework COSO 2013.
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 48
1Baseado em dados da Audit Analytics para o período de 15/11/2012 a 14/11/2013, incluindo relatórios 10-K para o ano de 2013 2Deloitte Forensic Center, Ten Things About Financial Statement Fraud — third edition, 2009
Ambiente de controlo
Boas práticas
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 49
Tópico
Divulgação de
Deficiência
material
Contribuição
para Fraude
material
Princípio
COSO 2013
Definição de um programa de ética 1,2
Definição e formalização de delegação de
competências 3
Formação técnica aos colaboradores da área
financeira (contabilidade) 4
Análise de risco
Boas práticas
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 50
Tópico
Divulgação de
Deficiência
material
Contribuição
para Fraude
material
Princípio
COSO 2013
Verificar a validade e adequação das políticas e
procedimentos contabilísticos 6
Efectuar uma análise de risco por cada conta
relevante, identificando as respectivas actividades
de controlo
7
Analisar risco de fraude:
• Management override of controls
• Manipulação das demonstrações financeiras
• Apropriação indevida de activos
• Corrupção
8
Analisar risco de transacções ou eventos pontuais:
• Alterações significativas a processos ou
sistemas
9
Actividades de controlo
Boas práticas
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 51
Tópico
Divulgação de
Deficiência
material
Contribuição
para Fraude
material
Princípio
COSO 2013
Testar lançamentos contabilísticos (journal entries) 10
Analisar e mitigar riscos de segregação de funções 10, 11
Analisar principais controlos de revisão da gestão:
• Provisões (incobráveis, antiguidade de stocks)
• Imparidades
• Avaliação de investimentos
• Envolvimento de especialistas (e.g. actuários)
10, 12
Monitorizar os fornecedores de outsourcing
(cláusulas contratuais, KPI, SLA) 10, 12
Auditar os Sistemas de Informação e de alterações
aplicacionais 11
Informação e comunicação
Boas práticas
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 52
Tópico
Divulgação de
Deficiência
material
Contribuição
para Fraude
material
Princípio
COSO 2013
Auditar a qualidade dos dados (incluindo dados
utilizados para efeitos de reporting) 13
Definir programa para denúncias anónimas
(whistleblowing) 14, 15
Actividades de monitorização
Boas práticas
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 53
Tópico
Divulgação de
Deficiência
material
Contribuição
para Fraude
material
Princípio
COSO 2013
Avaliar a competência e efectividade da actividade
da Auditoria Interna 16
Monitorizar as áreas de negócio / localizações
associadas a maior risco 16
Avaliar formalmente as root-causes das
deficiências detectadas 17
A iniciativa COSO
COSO Internal Control – Integrated Framework
COSO 2013 – O que mudou?
Desafios e recomendações na aplicação do COSO
Boas práticas
Anexo – Guia de consulta rápida COSO 2013
Agenda
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 54
COSO 2013 Framework on Internal Control Prepare for the changes
On May 14, 2013, the Committee of Sponsoring Organizations of the Treadway Commission (COSO) issued its updated 2013 Internal Control-Integrated
Framework “2013 Framework”. The 2013 Framework retains the core definition of internal control and the five components of internal control, while at the
same time includes enhancements and clarifications intended to ease use and application. One of the most significant changes in the 2013 Framework is
that the key fundamental concepts introduced in the original framework are now principles, which are associated with the five components, providing clarity
for designing and implementing systems of internal control and for understanding requirements for effective internal control.
The 2013 Framework presumes that because the 17 principles are fundamental concepts of the five components, all 17 are relevant to all entities and need
to be present, functioning, and operating together in an integrated manner to have an effective system of internal control.
1. The organization
demonstrates a
commitment to integrity
and ethical values.
2. The board of directors
demonstrates
independence from
management and
exercises oversight of the
development and
performance of internal
control.
3. Management
establisheswith board
oversightstructures,
reporting lines, and
appropriate authorities
and responsibilities in the
pursuit of objectives.
4. The organization
demonstrates a
commitment to attract,
develop, and retain
competent individuals in
alignment with objectives.
5. The organization holds
individuals accountable
for their internal control
responsibilities in the
pursuit of objectives.
6. The organization
specifies objectives
with sufficient clarity to
enable the
identification and
assessment of risks
relating to objectives.
7. The organization
identifies risks to the
achievement of its
objectives across the
entity and analyzes
risks as a basis for
determining how the
risks should be
managed.
8. The organization
considers the potential
for fraud in assessing
risks to the
achievement of
objectives.
9. The organization
identifies and
assesses changes that
could significantly
impact the system of
internal control.
10. The organization
selects and develops
control activities that
contribute to the
mitigation of risks to
the achievement of
objectives to
acceptable levels.
11. The organization
selects and develops
general control
activities over
technology to support
the achievement of
objectives.
12. The organization
deploys control
activities through
policies that establish
what is expected and
procedures that put
policies into action.
13. The organization
obtains or generates
and uses relevant,
quality information to
support the functioning
of internal control.
14. The organization
internally
communicates
information, including
objectives and
responsibilities for
internal control,
necessary to support
the functioning of
internal control.
15. The organization
communicates with
external parties
regarding matters
affecting the
functioning of internal
control.
16. The organization
selects, develops, and
performs ongoing
and/or separate
evaluations to
ascertain whether the
components of internal
control are present
and functioning.
17. The organization
evaluates and
communicates internal
control deficiencies in
a timely manner to
those parties
responsible for taking
corrective action,
including senior
management and the
board of directors, as
appropriate.
The five components of internal control and related 17 principles
Control
environment Risk assessment Control activities
Information and
communication
Monitoring
activities
Control environment
Principles Points of focus
1. The organization demonstrates a commitment to
integrity and ethical values. • Sets the tone at the top
• Establishes standards of conduct
• Evaluates adherence to standards of conduct
• Addresses deviations in a timely manner
2. The board of directors demonstrates independence
from management and exercises oversight of the
development and performance of internal control.
• Establishes oversight responsibilities
• Applies relevant expertise
• Operates independently
• Provides oversight for the system of internal control
3. Management establishes, with board oversight,
structures, reporting lines, and appropriate authorities
and responsibilities in the pursuit of objectives.
• Considers all structures of the entity
• Establishes reporting lines
• Defines, assigns, and limits authorities and responsibilities
4. The organization demonstrates a commitment to
attract, develop, and retain competent individuals in
alignment with objectives.
• Establishes policies and practices
• Evaluates competence and addresses shortcomings
• Attracts, develops, and retains individuals
• Plans and prepares for succession
5. The organization holds individuals accountable
for their internal control responsibilities in the pursuit of
objectives.
• Enforces accountability through structures, authorities, and responsibilities
• Establishes performance measures, incentives, and rewards
• Evaluates performance measures, incentives, and rewards for ongoing relevance
• Considers excessive pressures
• Evaluates performance and rewards or disciplines individuals
Risk assessment
Principles Objectives Points of focus
6. The organization specifies
objectives with sufficient
clarity to enable the
identification and assessment
of risks relating to objectives.
Operations Objectives
• Reflects management’s choices
• Considers tolerances for risk
• Includes operations and financial performance goals
• Forms a basis for committing of resources
External Financial
Reporting Objectives
• Complies with applicable accounting standards
• Considers materiality
• Reflects entity activities
External Non-Financial
Reporting Objectives
• Complies with externally established standards and frameworks
• Considers the required level of precision
• Reflects entity activities
Internal Reporting
Objectives
• Reflects management’s choices
• Considers the required level of precision
• Reflects entity activities
Compliance Objectives • Reflects external laws and regulations
• Considers tolerances for risk
7. The organization identifies risks to the
achievement of its objectives across the entity and
analyzes risks as a basis for determining how the risks
should be managed.
• Includes entity, subsidiary, division, operating unit, and functional levels
• Analyzes internal and external factors
• Involves appropriate levels of management
• Estimates significance of risks identified
• Determines how to respond to risks
8. The organization considers the potential for fraud in
assessing risks to the achievement of objectives. • Considers various types of fraud
• Assesses incentive and pressures
• Assesses opportunities
• Assesses attitudes and rationalizations
9. The organization identifies and assesses changes that
could significantly impact the system of
internal control.
• Assesses changes in the external environment
• Assesses changes in the business model
• Assesses changes in leadership
Control activities
Principles Points of focus
10. The organization selects and develops control
activities that contribute to the mitigation of risks to
the achievement of objectives to acceptable levels.
• Integrates with risk assessment
• Considers entity-specific factors
• Determines relevant business processes
• Evaluates a mix of control activity types
• Considers at what level activities are applied
• Addresses segregation of duties
11. The organization selects and develops general
control activities over technology to support the
achievement of objectives.
• Determines dependency between the use of technology in business process and
technology general controls
• Establishes relevant technology infrastructure control activities
• Establishes relevant security management process control activities
• Establishes relevant technology acquisition, development, and maintenance
process control activities
12. The organization deploys control activities through
policies that establish what is expected and
procedures that put policies into action.
• Establishes policies and procedures to support deployment of
management’s directives
• Establishes responsibility and accountability for executing policies and
procedures
• Performs in a timely manner
• Takes corrective action
• Performs using competent personnel
• Reassesses policies and procedures
Information and communication
Principles Points of focus
13. The organization obtains or generates and uses
relevant, quality information to support the functioning
of internal control.
• Identifies information requirements
• Captures internal and external sources of data
• Processes relevant data into information
• Maintains quality throughout processing
• Considers costs and benefits
14. The organization internally communicates
information, including objectives and responsibilities
for internal control, necessary to support the
functioning of internal control.
• Communicates internal control information
• Communicates with the board of directors
• Provides separate communication lines
• Selects relevant method of communication
15. The organization communicates with external
parties regarding matters affecting the functioning of
internal control.
• Communicates to external parties
• Enables Inbound Communications
• Communicates with the board of directors
• Provides separate communication lines
• Selects relevant method of communication
Monitoring activities
Principles Points of focus
16. The organization selects, develops, and performs
ongoing and/or separate evaluations to ascertain
whether the components of internal control are
present and functioning.
• Considers a mix of ongoing and separate evaluations
• Considers rate of change
• Establishes baseline understanding
• Uses knowledgeable personnel
• Integrates with business processes
• Adjusts scope and frequency
• Objectively evaluates
17. The organization evaluates and communicates
internal control deficiencies in a timely manner to
those parties responsible for taking corrective action,
including senior management and the board of
directors, as appropriate.
• Assesses results
• Communicates deficiencies
• Monitors corrective actions
17 COSO principles and related 87 points of focus (i.e., characteristics that may assist in designing, implementing, and conducting internal control and in assessing the whether the principles are present and functioning)
About Deloitte
Deloitte refers to one or more of Deloitte Touché Tohmatsu Limited, a UK private company limited by guarantee, and its network of member firms, each of which is a legally
separate and independent entity. Please see www.deloitte.com/about for a detailed description of the legal structure of Deloitte Touché Tohmatsu Limited and its member
firms. Please see www.deloitte.com/us/about for a detailed description of the legal structure of Deloitte LLP and its subsidiaries. Certain services may not be available to
attest clients under the rules and regulations of public accounting.
Copyright © 2013 Deloitte Development LLC. All rights reserved.
Member of Deloitte Touché Tohmatsu Limited
This document contains general information only and Deloitte is not, by means of this document, rendering accounting, business, financial,
investment, legal, tax, or other professional advice or services. This document is not a substitute for such professional advice or services, nor
should it be used as a basis for any decision or action that may affect your business. Before making any decision or taking any action that may
affect your business, you should consult a qualified professional advisor.
Deloitte shall not be responsible for any loss sustained by any person who relies on this document.
“Deloitte” refere-se a Deloitte Touche Tohmatsu Limited, uma sociedade privada de responsabilidade limitada do Reino Unido (DTTL), ou a uma ou mais entidades da sua
rede de firmas membro e suas entidades relacionadas. A DTTL e cada uma das firmas membro da sua rede são entidades legais separadas e independentes. A DTTL
(também referida como "Deloitte Global") não presta serviços a clientes. Para aceder à descrição detalhada da estrutura legal da DTTL e suas firmas membro consulte
http://www.deloitte.com/view/pt_PT/pt/quem-somos/index.htm
A Deloitte presta serviços de auditoria, consultoria fiscal, consultoria de negócios e de gestão e corporate finance a clientes nos mais diversos sectores de actividade. Com
uma rede globalmente ligada de firmas membro em mais de 150 países e territórios, a Deloitte combina competências de elevado nível com oferta de serviços qualificados
conferindo aos clientes o conhecimento que lhes permite abordar os desafios mais complexos dos seus negócios. Os mais de 200.000 profissionais da Deloitte
empenham-se continuamente para serem o padrão de excelência.
Esta comunicação apenas contém informação de carácter geral, pelo que não constitui aconselhamento ou prestação de serviços profissionais pela Deloitte Touche
Tohmatsu Limited, pelas suas firmas membro ou pelas suas entidades relacionadas (a “Rede Deloitte”). Nenhuma entidade da Rede Deloitte é responsável por quaisquer
danos ou perdas sofridos pelos resultados que advenham da tomada de decisões baseada nesta comunicação.
57 © 2014. Para informações, contacte Deloitte & Associados SROC, S.A.
Ambiente de controlo – Princípios
COSO 2013 – O que mudou?
O ambiente de controlo é um conjunto de normas, processos e estruturas que
providenciam a base para o desenvolvimento do controlo interno na organização
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 58
1 Compromisso perante valores éticos e de integridade
2 Exercício de responsabilidade pela supervisão
3 Definição da estrutura, autoridade e responsabilidade
4 Compromisso com a competência
5 Atribuição de responsabilidades
Análise de risco – Princípios
COSO 2013 – O que mudou?
A análise de risco é um processo dinâmico e interactivo de identificação e avaliação dos
riscos da organização, definindo ainda uma base para a forma de os gerir.
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 59
6 Define objectivos relevantes
7 Identifica e analisa riscos
8 Avalia o risco de fraude
9 Identifica e analisa alterações significativas
Actividades de controlo – Princípios
COSO 2013 – O que mudou?
Acções definidas por políticas e procedimentos que ajudam a que as orientações da
gestão para mitigação dos riscos sejam efectuadas. As actividades de controlo são
executadas a todos os níveis da organização e nos vários estágios dos processos e ainda
ao nível do ambiente tecnológico de suporte.
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 60
10 Selecciona e implementa actividades de controlo
11 Selecciona e implementa actividades de controlo sobre a tecnologia
12 Baseia-se em políticas e procedimentos
Informação e comunicação – Princípios
COSO 2013 – O que mudou?
A informação é necessária para que a organização desenvolva as suas responsabilidades
de controlo interno que permitam alcançar os objectivos. A gestão obtém ou gera e usa
informação relevante e de qualidade, a partir de fontes internas e externas, para suportar o
funcionamento do controlo interno.
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 61
13 Usa informação relevante
14 Comunica internamente
15 Comunica externamente
Actividades de monitorização – Princípios
COSO 2013 – O que mudou?
Avaliações contínuas, avaliações autónomas ou uma combinação das duas deverão ser
utilizadas para avaliar se as cinco componentes do modelo de controlo interno se
encontram presentes e a funcionar adequadamente.
© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 62
16 Concebe e realiza avaliações contínuas e / ou autónomas
17 Avalia e comunica eventuais deficiências