Os Impactos da Lei Sarbanes Oxley no Processo de Auditoria e Gestão de TI

Termo de Isenção de Responsabilidade

O autor não se responsabiliza pelo uso inadequado, indevido e/ou desautorizado, em todo ou em parte, do conteúdo e/ou informações aqui apresentadas.

A utilização dessa mídia está condicionada a prévia autorização.

Aproveite a apresentação para ampliar seus conhecimentos em Governança de TI e usá-los com responsabilidade.

Agenda � Introdução: Sarbanes-Oxley� O que é� Contexto histórico� Objetivos� Amplitude

� Governança Corporativa� Controles Interno� Ambiente de negócios� Ambiente de TI� O Gestor� A Auditoria� Executivos no Brasil

� Sarbanes-Oxley� Seção 302� Seção 404� PCAOB Std 5� Metas do PCAOB

� Regulamentações relacionadas com a Sox� SEC� Standard & Poor’s

� Impactos da SOX� MW em TI� Novos processos� Conseqüências

Introdução:

Sarbanes-Oxley

Sarbanes Oxley

SOX é um a lei

Senador Paul Sarbanes

Deputado Michael Oxley

Contexto histórico

• Descoberta de grandes companhias que manipulavam informaçõesfinanceiras (escândalos financeiros da Enron, Tyco, WorldCom...).

• Abalo na estrutura do mercado de capitais americano (fuga de investidores, queda da captação de recursos).

• Necessidade de maior transparência na divulgação dessas informações nos atos da alta administração das empresas.

Objetivos

• Elevar o nível de responsabilidade e comprometimento da Direção das Companhias.

• Melhorar a Governança Corporativa das empresas e o ambiente de controles internos.

• Aumentar a supervisão sobre as Demonstrações Financeirasapresentadas pelas Companhias.

• Restituir a confiança do investidor no mercado de capital e nos auditores independentes.

Objetivos

Busca, por meios tangíveis, “reparar” a perda da confiança pública nos líderes empresariais norte-americanos e enfatizar mais uma vez a importância dos padrões éticos na preparação das informações financeiras reportadas aos investidores.

Amplitude

SOX

E-SOX

J-SOX

2002

2003

2005

Sox

TÍTULO I - CONSELHO DE FISCALIZAÇÃO DAS NORMAS PÚBLICAS DE CONTABILIDADE DAS EMPRESAS

TÍTULO II - AUDITORES INDEPENDENTES

TÍTULO III - RESPONSABILIDADE DAS EMPRESAS

TÍTULO IV - DIVULGAÇÕESFINANCEIRAS ADITADAS

TÍTULO V - CONFLITO DE INTERESSES DOS ANALISTAS

TÍTULO VI - RECURSOS E PODERES DAS COMISSÕES

TÍTULO IX - PENAS PARA CRIMES DE COLARINHO BRANCO

TÍTULO X - RESTITUIÇÃO DE IMPOSTOS PAGOS PELAS EMPRESAS

TÍTULO XI - FRAUDE DENTRO DO ÂMBITO EMPRESARIAL E NA CONTABILIDADE

E-Sox

A chamada E-SOx, ou Euro-SOx, na realidade não é uma única norma mas um conjunto de normas aprovadas entre 2003 e 2006 e que dizem respeito aos assuntos tratados de forma unitária pelas SOx dos EUA.

Diretiva 2003/6/CE sobre Abusos e Manipulações nos Mercados.

Diretiva 2004/109/CE sobre Transparência nas Demonstrações Financeiras.

Diretiva 2006/43/CE sobre Procedimentos Obrigatórios de Auditoria.

E-Sox• A primeira norma a ser publicada foi, em 2003,

a Diretiva 2003/6/CE sobre Abusos e Manipulações nos Mercados.

Os pontos principais da Diretiva são: – Abuso de informações – Divulgação e controle de informações internas por parte de emissores – Relatório de transações realizada por executivos – Manipulação de mercado – Relatório de transações suspeitas – Recomendações de pesquisa – Estabilização e Recompra de ações

• Em 2004 foi criada a Diretiva 2004/109/CE sobre Transparência nas Demonstrações Financeiras. Os pontos principais da Diretiva são: – Divulgação de informações financeiras periódicas – Critérios e Responsabilidades – Atualização das informações sobre os principais acionistas – Disseminação de Informações Regulamentadas – Comunicação de emendas aos estatutos de incorporação

• Em 2006 foi criada a Diretiva 2006/43/CE sobre Procedimentos Obrigatórios de Auditoria. Os pontos principais da Diretiva são: – Educação e Qualificações – Ética – Standards (padrões) e Relatórios – Supervisão Publica, Investigações, Disciplina e cooperação com outras autoridades da EEA – Contratação e Demissão – Auditores de Paises Terceiros – Divulgação da remuneração dos Auditores

J-Sox

J-SOx é o nome informal dado a um conjunto de norma Japonesas relativas a controles internos e divulgação de relatórios financeiros (ICFR) que fazem parte do da Lei Japonesa sobre Instrumentos Financeiros e Bolsas (Japanese Financial Instruments and Exchange Law).

Esta lei foi promulgada em Junho de 2006 na forma de uma emenda da Lei Japonesa das Ações e Bolsas (Japanese Securities and Exchange Law), como conseqüência de uma serie de fraudes contábeis e na divulgação de relatórios financeiros.

Este conjunto de normas é chamado J-SOx porque foi modelado com base na SOx(Lei Sarbanes-Oxley) dos EUA.

A J-SOx obriga todas as empresas listadas nas bolsas Japonesas a reforçar os controles internos e a garantir uma completa e acurada divulgação das informações financeiras.

O guia de implementação da J-SOx, publicado pela Japanese Financial ServiceAgency (FSA), recomenda uma postura centrada nos riscos, foco em contas e processos que sejam significativos.

J-Sox

A seção 1 estipula uma estrutura de controle:• Ambiente de Controle • Avaliação dos riscos • Atividades de Controle • Informação e Comunicação • Monitoramento • Resposta a IT

A seção 2 trata de: • Definição de “Relatórios Financeiros”. • Objetivos das avaliações da diretoria • Estrutura e método para avaliação dos controles internos e uso de especialistas • Avaliação dos níveis de controle da empresa • Controles em nível de processos – avaliação da efetividade operacional • Registro e Retenção dos procedimentos de avaliação

A Seção 3 trata da auditoria: • O significado do “Relatório Indireto dos Auditores” • Tamanho da amostra para testar a efetividade operacional • Uso do trabalho dos auditores internos e/ou outros • Reporte sobre fraquezas matérias e outras condições dignas de serem relatadas

Governança Corporativa



Governança Corporativa é o sistema pelo qual as sociedades são dirigidas e monitoradas, envolvendo os relacionamentos entre Acionistas/Cotistas, Conselho de Administração, Diretoria, Auditoria Independente e Conselho Fiscal.

A preocupação da Governança Corporativa é criar um conjunto eficiente de mecanismos, a fim de assegurar que o comportamento dos executivos esteja sempre alinhado com o interesse dos acionistas (“agency cost”).

A boa Governança proporciona aos proprietários (acionistas ou cotistas) a gestão estratégica de sua empresa e a monitoração da direção executiva.

A empresa que opta pelas boas práticas de Governança Corporativa adota como linhas mestras a transparência, a prestação de contas, a equidade e a responsabilidade corporativa (princípios da governança do IBGC).

Fonte: Instituto Brasileiro de Governança Corporativa


Fonte: Instituto Brasileiro de Governança Corporativa

O Controle Interno

O controle é um mecanismo manual ou sistêmico que minimiza ou eliminaa possibilidade de ocorrência dos riscos do negócio.

É desenvolvido para garantir, com razoável margem de segurança, que os seguintes objetivos serão atingidos:

• Desempenho e eficiência das operações;• Confiabilidade dos relatórios financeiros; e• Conformidade com as leis e regulamentações aplicáveis.

O Ambiente de Controles Internos de uma organização deve considerar:

• O nível de Conscientização sobre controles – Geralmente considera a avaliação dos controles no Nível da Entidade;

• Os Mecanismos de controle - geralmente considera a avaliação no nívelde processos, transações e aplicativos.

Estrutura de controle interno

• SOX requer que as empresas adotem um estrutura de controle (control framework).

• COSO (Committee of Sponsoring Organizations of the Treadway Commission) define uma estrutura:– Controle do ambiente: disciplina e estrutura– Avaliação de riscos: econômico, industrial, operacional– Controle das atividades: aprovação, reconciliação, segregação– Informação e comunicação– Monitoração

Estrutura de controle internoO primeiro objeto de estudo do COSO foi o controle interno, resultando na publicação em 1992 do trabalho "Internal Control - Integrated Framework" (Controles Internos – Um Modelo Integrado), que se tornou referência mundial para o estudo e a aplicação dos controles internos(COSO I).

Em setembro de 2004, foi publicada o “Enterprise Risk Management” (Gerenciamento de Riscos Corporativos), que se tornou referência para o gestão de riscos (COSO II).

COSO I COSO II

CONTROLE INTERNO GERENCIAMENTO DE

RISCO

Ambiente de controle.................................Ambiente internoAmbiente interno

FixaFixaççãoão de de objetivosobjetivos

IdentificaIdentificaççãoão de de eventoseventos

Avaliação de riscos....................................Avaliação de riscos

RespostaResposta ao riscoao risco

Atividades de controle................................Atividades de controle

Informação & comunicação.........................Informação & Comunicação

Monitoramento..........................................Monitoramento

Estrutura de controle interno

Componentesdo

gerenciamento

de risco

COSO II

2004COSO I

1992

Ambiente de Controle

Avaliação de Riscos

Atividades de Controle

Informação e Comunicação

Monitoramento

Controle Sox

O que são Controles Chave?

Ambiente de negócios

Ambiente de TI

O Cobit (Control Objectives for Information and related Technology) é um modelo estruturado de Governança em TI, que prevê objetivos em nível corporativo e de atividades por meio de controles associados.

A utilização do COBIT é um dos padrões que permite uma organização desenhar um sistema de controles de TI, aderentes à SOX 404.

Objetivos de controle de TI paraSarbanes-Oxley - TIGC

Fonte: PCAOB Auditing Standard No. 2 and Control Objectives for Information and related Technology

Porque TI deve ser considerada no escopo de um trabalho de SOX?

Ambiente Geral de TI

Sistemas e Aplicativos

Processos de negócios

Demonstrações Financeiras

Identificação do ambiente de TI que processa os sistemas/sistemas

Identificação dos aplicativos que suportam os processos

Identificação dos processos que afetam as contas

Identificação das contas significativas das demostrações

Controles de TI – TICA e TIGC

PROCESSO I PROCESSO I I

PROCESSOS SIGNIFICATIVOS

PROCESSO I I I

SISTEMA D SISTEMA ESISTEMA CSISTEMA BSISTEMA A

BANCOS DE DADOS

SISTEMAS OPERACIONAIS

REDE

CONTROLES AUTOMÁTICOS DAS APLICAÇÕES QUE GERAM IMPACTO

FINANCEIRO (TICA)

CONTROLES DOS PROCESSOS GERAIS DA

ÁREA DE TECNOLOGIA QUE SUPORTAM OS PROCESSOS

DE NEGÓCIO E AS APLICAÇÕES FINANCEIRAS

(TIGC)

Controles de TI

Exemplo

Controles de Aplicação

Podemos considerar que os controles na aplicação se resumem em 2 grupos:

– Perfis de acesso dos aplicativos / sistemas

– Controles Automatizados

Perfis de acesso dos aplicativos / sistemas

• Direitos de acesso dos usuários às funcionalidades dos aplicativo/sistemade acordo com suas responsabilidades funcionais

• Foco em segregação de funções

• Ex. Perfis de acesso são configurados na aplicação de forma a possibilitar que, somente pessoas autorizadas possam executar determinadas atividades e ter acesso a determinadas informações.

Controles Automatizados

• Controles internos que estão inseridos/implantados nos aplicativos e/ou

sistemas

• O nível de testes a serem executados deve ser suficiente para garantir que

os controles automatizados estão operando eficientemente.

Controles Automatizados

• 1 - Validação de entrada de dadosEx. O sistema compara a informação inserida com dados pré-definidos, dados contidos em tabelas ou intervalos.

• 2 - CálculoEx. O calculo se baseia em fórmula programada no sistema. O cálculo é suportado por tabelas contendo as informações necessárias para serem empregadas na fórmula.

• 3 - Interface entre sistemas Ex. Um sistema compara a informação proveniente de outro sistema e aponta eventuais problemas.

• 4 - Limite de tolerânciaEx. O sistema permite a entrada da informação com base em margem de tolerância previamente definida.

• 5 - Limite de aprovaçãoEx. A aplicação é configurada para requerer aprovações de acordo com critérios previamente definidos no sistema.

• 6 - Totais automatizadosEx. A aplicação possui relatórios com totais e sub-totais que permitem a verificação de informações inseridas.

• 7 - Atualização de tabelas mestre Ex. Uma tabela armazena as informações-chave, que serão utilizadas pelas aplicações durante a execução de uma atividade

Controle humano

Teoria Clássica da Administração – Henry FayolPrever, Organizar, Comandar, Coordenar e Controlar

Teoria Neoclássica – Peter DruckerPlanejar, Organizar, Liderar e Controlar

O Gestor

• Promove a mudança na conduta de executivos, impondo responsabilidade civil e criminal para Presidente (CEO) e Diretor Financeiro (CFO) das empresas.

• Prevê penalidades criminais para o CEO e CFO, quando ficar caracterizadoo uso de má fé nas informações divulgadas nas demonstrações financeiras (multa de 1 até U$ 5 milhões e de 10 até 20 anos de prisão).

• Prevê penalidades criminais em caso de alteração, destruição ou falsificação de registros ou documentos com o objetivo de dificultar/impedir um procedimento oficial.

O valor da Auditoria Interna para as partes interessadas

A boa governança, gestão de riscos e controles internos são essenciais para o sucesso de uma organização e sua longevidade.

A Auditoria Interna auxilia a administração e os órgãos de governo (por exemplo, o conselho de administração, comitê de auditoria), no cumprimento de suas responsabilidades, tranzendo uma abordagem sistemática e disciplinada para avaliar a eficácia do desenho e da execução do sistema de controles internos e processos de gestão de riscos.

Fonte: Instituto dos Auditores Internos do Brasil

O que esperar da Auditoria Interna








A Auditoria na Sox

• Determina avaliação anual, pelos auditores externos, dos controles e procedimentos internos das empresas para emissão de seus relatórios financeiros, atestando sua eficácia.

• Prevê penalidades para os auditores que deixarem de revelar fatos, apresentar documentos ou cooperar com eventual investigação financeira.

Executivos no Brasil

• Não existe um tratado de extradição entre Brasil e Estados Unidos.

• O executivo brasileiro em falta:

– Não corre o risco de ser colocado em uma prisão americana, pelo menos enquanto não desembarcar nos Estados Unidos.

– Pode ter de arcar como pessoa física com as pesadas multas.

– A CVM (Comissão de Valores Mobiliários) estabelece punições.

– O Ministério Público pode abrir um processo.

– A SEC pode solicitar às autoridades brasileiras que estabeleçam punições adicionais (multas maiores e impedimento para atuar no mercado).

Sarbanes-Oxley

Título III – Responsabilidade das empresasSeção 302 - Responsabilidade Relatórios Financeiros

A Comissão exigirá, por meio de norma, que cada sociedade que faça relatórios periódicos, de acordo com a seção 13(a) ou 15 (d) da lei da Bolsa de Valores de 1934 (15 v.S.C. 78 m, 78 o(d)), que o principal executivo ou executivos, e o diretor, ou diretores, financeiro principal, ou pessoas que desempenhem funções semelhantes, certifiquem em cada relatório anual ou trimestral preenchido ou apresentado sob cada seção de tal Lei que:

1) O executivo que estiver assinando, revisou o relatório;

2) Baseado no conhecimento do executivo, o relatório não contém qualquer declaração falsa de um fato material ou omita a declaração de um fato material necessário para efetuar as declarações realizadas, à vista das circunstâncias sob as quais tais declarações foram realizadas, de forma não-enganosa;

3) Baseado no conhecimento do executivo, as declarações financeiras, e outras informações financeiras incluídas no relatório, razoavelmente presente em todos os relatórios dizem respeito à condição financeira e resultados de operações do emissor referentes, ou para, os períodos apresentados no relatório;


4) os executivos que assinam:

– A) são responsáveis pelo estabelecimento e manutenção de controles internos;

– B) planejaram tais controles internos para assegurar que informações importantes em relação ao emissor e suas subsidiárias consolidadas sejam divulgadas para tais executivos através de outros dentro daquelas entidades, particularmente durante o período no qual osrelatórios periódicos estão sendo preparados;

– C) avaliaram a vigência dos controles internos do emissor dentro do prazo de 90 dias anteriores ao relatório; e

– D) apresentaram suas conclusões no relatório sobre a vigência dos seus controles internos baseadas na avaliação em relação àquele período;


5) os executivos que assinam revelaram para os auditores do emissor e para o comitê de auditoria do conselho de diretores (ou pessoas que estejam desempenhando função equivalente):

– A) todas as deficiências significativas no planejamento ou operação de controles internos que afetassem de forma adversa a capacidade do emissor para registrar, processar, resumir e relatar dados financeiros e identificaram para os auditores do emissor qualquer deficiência importante nos controles internos; e

– B) qualquer fraude, significativa, ou não, que envolva a gerência ou outros empregados que possuam um papel importante nos controles internos do emissor; e


6) os executivos que assinam indicaram no relatório se ocorreram, ou não, mudanças significativas nos controles internos ou em outros fatores que pudessem afetar de forma significativa os controles internos após a data de sua avaliação, inclusive quaisquer medidas corretivas em relação a deficiências significativas e fraquezas materiais.

b) REINCORPORAÇÕES ESTRANGEIRAS NÃO POSSUEM NENHUMA VALIDADE.- Nenhuma parte desta seção 302 será interpretada ou utilizada para, sob qualquer forma, permitir que um emissor diminua a validade legal da declaração exigida, pela re-incorporação ou associação de qualquer emissor em qualquer outra transação que tenha resultado na transferência do domicílio da sociedade ou dos escritórios do emissor, dos Estados Unidos para qualquer local fora do mesmo.

c) DATA FINAL: As normas exigidas por esta subseção (a) entrarão em vigor em prazo não superior a 30 dias após a promulgação desta Lei.

Título IV – Divulgações financeiras aditadasSeção 404 - Avaliação Gerencial dos Controles Internos

A Comissão determinará normas exigindo que cada relatório anual exigido pela seção 13(a) ou 15(d) da Lei da Bolsa de Valores de 1934 (15 U.S.C. 78(m) ou 78(d)) contenha um relatório de controle interno, que irá:

1) definir a responsabilidade de gerenciamento para estabelecer e manter uma estrutura de controle interno adequado e procedimentos para os relatórios financeiros; e

2) conter uma avaliação, em relação ao ano fiscal mais recente, do emissor, da efetividade dos procedimentos e estruturas de controle interno para os relatórios financeiros.

PCAOB Std 5

Principais tópicos:

• Abordagem Top-Down e Risk Based;

• Entity Level;

• Walkthroughs;

• Prevenção de fraudes;

• Flexibilidade para utilização dos trabalhos da Administração;

• Avaliação e comunicação de deficiências;

• Rotação de testes de controles.

Em 24 de maio de 2007, o Public Company Accounting Oversight Board(PCAOB) aprovou o standard 5.

http://pcaobus.org

Abordagem Top-Down

� Os auditores devem iniciar seus trabalhos identificando contas contábeis significativas, assertivas relevantes e controles que mitiguem riscos de inconsistências nas Demonstrações Financeiras.

� Reforça a idéia de que uma abordagem quantitativa apenas para identificar contas significativas não é suficiente, existindo sempre a necessidade de efetuar análises qualitativas em conjunto.

� Durante a identificação de controles, devem ser priorizados controles no nível de entidade (Entity Level) que possam mitigar os riscos de inconsistências nas Demonstrações Financeiras.

� Áreas consideradas de baixo risco podem ser privilegiadas com a redução de amostras e extensão de testes, desde que não tenham apresentados controles deficientes em períodos anteriores.

Relevância dos Controles no Nível de Entidade (Entity Level)

� Os controles de nível de entidade (Entity Level) podem mitigar itens de risco baixo e moderado sem a necessidade de testes detalhados no nível de transação.

� Independente da existência de Controles Diretos no nível de entidade, controles no nível de processo para as áreas de risco elevado, que requerem maior atenção, devem ser avaliados.

Flexibilidade para utilização dos trabalhos da administração

� O standard possibilita uma estrutura (framework) de trabalho única, que permite ao auditor externo utilizar de forma mais abrangente os trabalhos da administração das empresas na sua avaliação dos Controles Internos que afetam as Demonstrações Financeiras.

� Para utilização efetiva dos trabalhos da administração, os auditores externos precisam ter confiança de que os trabalhos foram conduzidos por equipes competentes e independentes, de forma que os resultados não estejam comprometidos.

� O novo standard busca prover flexibilidade para estender a utilização do trabalhos de outros (Administração), incluindo o ambiente geral de controles e performance dos walkthroughs.

� O auditor sempre deve executar testes em áreas que representem riscos elevados para as demonstrações financeiras.

Walkthroughs

� O standard 2 anterior do PCAOB determinava que procedimentos de “walkthrough” deveriam ser efetuados para todas as transações relevantes dentro dos processos

� O novo standard 5 do PCAOB determina que os procedimentos de “walkthrough” devem ser efetuados no nível de processos, e não de transações como era executado anteriormente.

� Muitas empresas já estavam efetuando procedimentos de “walkthrough” por processos e sub processos, de forma que essa alteração apenas formalizou o que já estava sendo efetuado e pode não trazer redução significativa de esforço

Ênfase em controles para prevenção de fraudes

� A administração das empresas e os auditores externos devem considerar no início dos trabalhos os principais riscos de fraude e identificar os controles que mitigam esses riscos.

� A avaliação de riscos de fraude que é efetuada para a auditoria das demonstrações financeiras, também deve ser considerada pela administração e pelos auditores durante os trabalhos de avaliação do ambiente de controles.

� A avaliação dos controles que mitigam riscos de fraude deve considerar fortemente a existência de controles que possam serdesconsiderados ou anulados (override) pelos executivos das empresas.

Mudança na avaliação e comunicação de deficiências

� Alinhamento das definições de deficiência material (Material Weakness) com o novo guia de implementação da SEC

� Alteração da definição de deficiência significativa (SignificantDeficiency)

� Deficiência Significativa é menos importante que uma deficiência material, mas deve ser sempre merecer atenção por parte das pessoas responsáveis pelos controles que afetam as demonstraçõesfinanceiras

� Deficiências materiais e significativas devem ser sempre reportadas ao Comitê de Auditoria (Conselho Fiscal Turbinado), independente da inclusão ou não dessas deficiências na avaliação da administração.

� Todas as empresas que apresentarem uma ou mais deficiências materiais (Material Weakness) terão seu ambiente de controle considerado ineficaz.

Impossibilidade de efetuar rotação de testes de controles

� O standard não permite que sejam efetuadas rotações de testes para os controles identificados como chaves para mitigar os riscos de inconsistências nas demonstrações financeiras

� Porém o standard prove flexibilidade para reduzir testes baseados em conhecimento prévio de anos anteriores. Para alguns controles de riscos baixos testados depois do primeiro ano, e que não tenham um histórico de problemas, o walkthrough sozinho ou até um procedimento de Control Self Assessment pode prover evidência suficiente de efetividade.

Principais Metas dos Padrões de Auditoria PCAOB

• Focar a Auditoria nos Assuntos mais Relevantes.

• Eliminar Procedimentos Desnecessários.

• Customizar Auditoria para Companhias Menores.

• Simplificar os Padrões e suas Exigências.

Focar a Auditoria nos Assuntos mais Relevantes

� Requer uma segurança razoável, que significa um alto nível de segurança sobre a existência de deficiências materiais (Material Weakness) durante o período especificado na avaliação da Administração.

� Utilizar uma abordagem top-down, baseada em risco e consistente com o guia do PCAOB de 16 de Maio de 2005.

� Utilizar avaliação de risco durante a auditoria, considerando inclusive os resultados de procedimentos de testes substanciais de auditoria.Entretanto, para obter evidência sobre efetividade de um controle, o mesmo deve ser testado diretamente (não pode ser inferido através da auditoria das demonstrações financeiras).

Eliminar Procedimentos Desnecessários

� Eliminar requerimento do auditor dar uma opinião separada sobre a avaliação da Administração.

� Prover flexibilidade para reduzir testes baseados em conhecimento prévio de anos anteriores. Ainda que rotação de testes para controles chaves não seja permitida, para alguns controles de riscos baixos testados depois do primeiro ano, o walkthrough sozinho pode prover evidência suficiente de efetividade.

� Eliminar requerimento de testar controles sobre a “grande parte” da companhia.

� Prover flexibilidade para estender a utilização do trabalhos de outros(Administração), incluindo o ambiente geral de controles e performance dos walkthroughs sobre nossa supervisão direta; eliminar em alguns casos princípios de requerimento de evidência.

Customizar Auditoria para Companhias Menores

� Requer do auditor uma avaliação do tamanho e complexidade da companhia no planejamento e performance da auditoria.

� Incluir descrições de alguns atributos de companhias menores e menos complexas, que as diferem das companhias maiores.

Simplificar os Padrões e suas Exigências

� Reduzir significativamente o Standard e reorganizá-lo para seguir o fluxo seqüencial da auditoria.

� Revisar as definições de Deficiência Material (Material Weakness) e Deficiência Significativa (Significant Deficiency), substituindo “possibilidades razoáveis” por “mais que remota” e “significante” por “mais que inconseqüente”..

� Esclarecer que fortes indicadores de Deficiência Material (Material Weakness) não começam por ser ao menos uma Deficiência Significativa (Significant Deficiency),

� Medições anuais, e não provisórias, de materialidade devem ser usadas para o escopo de auditoria. Materialidade para demonstrações financeiras de interim são consideradas apenas na avaliação de deficiências.

Regulamentações

Relacionadas à SOX

Securities Exchange Commission - SEC

Guia que demonstra como a administração das empresas poderá conduzir a avaliaçãodos controles internos que afetam as demonstrações financeiras, assim como reduzir custos.

http://www.sec.gov

Standard & Poor’s

O Standard & Poor’s estabelece diretrizes de uma avaliação mais estruturada e disciplinar dos riscos para elaboração de um Modelo de Gestão de Risco Integrada.

http://www.standardandpoors.com

Impactos da Sox

Principais Material Weaknessesem TI reportados pelas empresas

• Competência e treinamento adequado dos funcionários

• Controles inadequados de TI para acesso aos sistemas contábil e financeiro e recuperação de informações num eventual desastre.

• Falta de segregação de funções

Novos processos

Anualmente a empresa deve:

• Avaliar as contas significativas;

• Definir a estrutura de controle interno;

• Avaliar o controle interno no nível de entidade;

• Documentar os controles internos financeiros chave para cada processo ou aplicação significativos e para as classes de transações que podem ter um impacto material sobre os relatórios financeiros;

• Avaliar as ausências e/ou falhas de controles (Gap’s), corrigir (implementar); e

• Testar os controles internos chaves sobre os relatórios financeiros para cada processo significativo, aplicação ou categoria de transações.

Consequências da Sox em relação a Governança Corporativa

• Maior transparência do ambiente de controle da empresa.

• Torna mandatório a formalização dos controles internos e a gestão de riscos.

• Exige procedimentos para prevenção e detecção de fraudes.

• Maior credibilidade das divulgações ao mercado.

• Prestação de contas de fatos relevantes que afetem a situação patrimonial da empresa.

• Aumento da responsabilidade do Board da empresa, em particular do CEO e CFO.

Obrigado!Contato: [email protected]

http://alessandroportinhoblog.blogspot.com/

Education

Os Impactos da Lei Sarbanes Oxley no Processo de Auditoria e Gestão de TI