O documento é um termo de isenção de responsabilidade que autoriza o uso do conteúdo apresentado sobre governança de TI, desde que com responsabilidade. Apresenta também uma agenda sobre o Sarbanes-Oxley, incluindo seus objetivos, escopo e impactos na governança corporativa, controles internos e ambiente de negócios e TI.
Os Impactos da Lei Sarbanes Oxley no Processo de Auditoria e Gestão de TI
2. Termo de Isenção de
Responsabilidade
O autor não se responsabiliza pelo uso
inadequado, indevido e/ou desautorizado, em todo
ou em parte, do conteúdo e/ou informações aqui
apresentadas.
A utilização dessa mídia está condicionada a prévia
autorização.
Aproveite a apresentação para ampliar seus
conhecimentos em Governança de TI e usá-los
com responsabilidade.
3. Agenda Introdução: Sarbanes-Oxley
O que é
Contexto histórico
Objetivos
Amplitude
Governança Corporativa
Controles Interno
Ambiente de negócios
Ambiente de TI
O Gestor
A Auditoria
Executivos no Brasil
Sarbanes-Oxley
Seção 302
Seção 404
PCAOB Std 5
Metas do PCAOB
Regulamentações relacionadas com a Sox
SEC
Standard & Poor’s
Impactos da SOX
MW em TI
Novos processos
Conseqüências
9. Contexto histórico
• Descoberta de grandes companhias que manipulavam informações
financeiras (escândalos financeiros da Enron, Tyco, WorldCom...).
• Abalo na estrutura do mercado de capitais americano (fuga de
investidores, queda da captação de recursos).
• Necessidade de maior transparência na divulgação dessas informações
nos atos da alta administração das empresas.
10. Objetivos
• Elevar o nível de responsabilidade e comprometimento da
Direção das Companhias.
• Melhorar a Governança Corporativa das empresas e o ambiente
de controles internos.
• Aumentar a supervisão sobre as Demonstrações Financeiras
apresentadas pelas Companhias.
• Restituir a confiança do investidor no mercado de capital e nos
auditores independentes.
11. Objetivos
Busca, por meios tangíveis, “reparar” a perda da confiança pública nos
líderes empresariais norte-americanos e enfatizar mais uma vez a
importância dos padrões éticos na preparação das informações financeiras
reportadas aos investidores.
13. Sox
TÍTULO I - CONSELHO DE FISCALIZAÇÃO DAS NORMAS PÚBLICAS DE
CONTABILIDADE DAS EMPRESAS
TÍTULO II - AUDITORES INDEPENDENTES
TÍTULO III - RESPONSABILIDADE DAS EMPRESAS
TÍTULO IV - DIVULGAÇÕESFINANCEIRAS ADITADAS
TÍTULO V - CONFLITO DE INTERESSES DOS ANALISTAS
TÍTULO VI - RECURSOS E PODERES DAS COMISSÕES
TÍTULO IX - PENAS PARA CRIMES DE COLARINHO BRANCO
TÍTULO X - RESTITUIÇÃO DE IMPOSTOS PAGOS PELAS EMPRESAS
TÍTULO XI - FRAUDE DENTRO DO ÂMBITO EMPRESARIAL E NA CONTABILIDADE
14. E-Sox
A chamada E-SOx, ou Euro-SOx, na realidade não é uma única norma mas
um conjunto de normas aprovadas entre 2003 e 2006 e que dizem
respeito aos assuntos tratados de forma unitária pelas SOx dos EUA.
Diretiva 2003/6/CE sobre Abusos e Manipulações nos Mercados.
Diretiva 2004/109/CE sobre Transparência nas Demonstrações Financeiras.
Diretiva 2006/43/CE sobre Procedimentos Obrigatórios de Auditoria.
15. E-Sox
• A primeira norma a ser publicada foi, em 2003,
a Diretiva 2003/6/CE sobre Abusos e Manipulações nos Mercados.
Os pontos principais da Diretiva são:
– Abuso de informações
– Divulgação e controle de informações internas por parte de emissores
– Relatório de transações realizada por executivos
– Manipulação de mercado
– Relatório de transações suspeitas
– Recomendações de pesquisa
– Estabilização e Recompra de ações
• Em 2004 foi criada
a Diretiva 2004/109/CE sobre Transparência nas Demonstrações Financeiras. Os pontos principais da Diretiva
são:
– Divulgação de informações financeiras periódicas
– Critérios e Responsabilidades
– Atualização das informações sobre os principais acionistas
– Disseminação de Informações Regulamentadas
– Comunicação de emendas aos estatutos de incorporação
• Em 2006 foi criada
a Diretiva 2006/43/CE sobre Procedimentos Obrigatórios de Auditoria. Os pontos principais da Diretiva são:
– Educação e Qualificações
– Ética
– Standards (padrões) e Relatórios
– Supervisão Publica, Investigações, Disciplina e cooperação com outras autoridades da EEA
– Contratação e Demissão
– Auditores de Paises Terceiros
– Divulgação da remuneração dos Auditores
16. J-Sox
J-SOx é o nome informal dado a um conjunto de norma Japonesas relativas a
controles internos e divulgação de relatórios financeiros (ICFR) que fazem parte do
da Lei Japonesa sobre Instrumentos Financeiros e Bolsas (Japanese Financial
Instruments and Exchange Law).
Esta lei foi promulgada em Junho de 2006 na forma de uma emenda da Lei
Japonesa das Ações e Bolsas (Japanese Securities and Exchange Law), como
conseqüência de uma serie de fraudes contábeis e na divulgação de relatórios
financeiros.
Este conjunto de normas é chamado J-SOx porque foi modelado com base na SOx
(Lei Sarbanes-Oxley) dos EUA.
A J-SOx obriga todas as empresas listadas nas bolsas Japonesas a reforçar os
controles internos e a garantir uma completa e acurada divulgação das informações
financeiras.
O guia de implementação da J-SOx, publicado pela Japanese Financial Service
Agency (FSA), recomenda uma postura centrada nos riscos, foco em contas e
processos que sejam significativos.
17. J-Sox
A seção 1 estipula uma estrutura de controle:
• Ambiente de Controle
• Avaliação dos riscos
• Atividades de Controle
• Informação e Comunicação
• Monitoramento
• Resposta a IT
A seção 2 trata de:
• Definição de “Relatórios Financeiros”.
• Objetivos das avaliações da diretoria
• Estrutura e método para avaliação dos controles internos e uso de especialistas
• Avaliação dos níveis de controle da empresa
• Controles em nível de processos – avaliação da efetividade operacional
• Registro e Retenção dos procedimentos de avaliação
A Seção 3 trata da auditoria:
• O significado do “Relatório Indireto dos Auditores”
• Tamanho da amostra para testar a efetividade operacional
• Uso do trabalho dos auditores internos e/ou outros
• Reporte sobre fraquezas matérias e outras condições dignas de serem relatadas
20. Governança Corporativa
Governança Corporativa é o sistema pelo qual as sociedades são
dirigidas e monitoradas, envolvendo os relacionamentos entre
Acionistas/Cotistas, Conselho de Administração, Diretoria, Auditoria
Independente e Conselho Fiscal.
A preocupação da Governança Corporativa é criar um conjunto eficiente
de mecanismos, a fim de assegurar que o comportamento dos executivos
esteja sempre alinhado com o interesse dos acionistas (“agency cost”).
A boa Governança proporciona aos proprietários (acionistas ou cotistas) a
gestão estratégica de sua empresa e a monitoração da direção
executiva.
A empresa que opta pelas boas práticas de Governança Corporativa adota
como linhas mestras a transparência, a prestação de contas, a equidade
e a responsabilidade corporativa (princípios da governança do IBGC).
Fonte: Instituto Brasileiro de Governança Corporativa
22. O Controle Interno
O controle é um mecanismo manual ou sistêmico que minimiza ou elimina
a possibilidade de ocorrência dos riscos do negócio.
É desenvolvido para garantir, com razoável margem de segurança, que os
seguintes objetivos serão atingidos:
• Desempenho e eficiência das operações;
• Confiabilidade dos relatórios financeiros; e
• Conformidade com as leis e regulamentações aplicáveis.
O Ambiente de Controles Internos de uma organização deve considerar:
• O nível de Conscientização sobre controles – Geralmente considera a
avaliação dos controles no Nível da Entidade;
• Os Mecanismos de controle - geralmente considera a avaliação no nível
de processos, transações e aplicativos.
23. Estrutura de controle interno
• SOX requer que as empresas adotem um estrutura de controle (control
framework).
• COSO (Committee of Sponsoring Organizations of the Treadway Commission)
define uma estrutura:
– Controle do ambiente: disciplina e estrutura
– Avaliação de riscos: econômico, industrial, operacional
– Controle das atividades: aprovação, reconciliação, segregação
– Informação e comunicação
– Monitoração
24. Estrutura de controle interno
O primeiro objeto de estudo do COSO foi o controle interno, resultando na
publicação em 1992 do trabalho "Internal Control - Integrated
Framework" (Controles Internos – Um Modelo Integrado), que se tornou
referência mundial para o estudo e a aplicação dos controles internos
(COSO I).
Em setembro de 2004, foi publicada o “Enterprise Risk Management”
(Gerenciamento de Riscos Corporativos), que se tornou referência para o
gestão de riscos (COSO II).
COSO I COSO II
CONTROLE INTERNO GERENCIAMENTO DE
RISCO
Ambiente de controle.................................Ambiente internoAmbiente interno
FixaFixaççãoão dede objetivosobjetivos
IdentificaIdentificaççãoão dede eventoseventos
Avaliação de riscos....................................Avaliação de riscos
RespostaResposta ao riscoao risco
Atividades de controle................................Atividades de controle
Informação & comunicação.........................Informação & Comunicação
Monitoramento..........................................Monitoramento
25. Estrutura de controle interno
Componentesdo
gerenciamento
derisco
COSO II
2004
COSO I
1992
Ambiente de Controle
Avaliação de Riscos
Atividades de Controle
Informação e Comunicação
Monitoramento
29. Ambiente de TI
O Cobit (Control Objectives for Information and related Technology) é um
modelo estruturado de Governança em TI, que prevê objetivos em nível
corporativo e de atividades por meio de controles associados.
A utilização do COBIT é um dos padrões que permite uma organização
desenhar um sistema de controles de TI, aderentes à SOX 404.
30. Objetivos de controle de TI para
Sarbanes-Oxley - TIGC
Fonte: PCAOB Auditing Standard No. 2 and Control Objectives for Information and related Technology
31. Porque TI deve ser considerada no
escopo de um trabalho de SOX?
Ambiente Geral de TI
Sistemas e Aplicativos
Processos de negócios
Demonstrações Financeiras
Identificação do ambiente de TI
que processa os
sistemas/sistemas
Identificação dos aplicativos que
suportam os processos
Identificação dos processos que
afetam as contas
Identificação das contas
significativas das demostrações
32. Controles de TI – TICA e TIGC
PROCESSO I PROCESSO I I
PROCESSOS SIGNIFICATIVOS
PROCESSO I I I
SISTEMA D SISTEMA ESISTEMA CSISTEMA BSISTEMA A
BANCOS DE DADOS
SISTEMAS OPERACIONAIS
REDE
CONTROLES AUTOMÁTICOS DAS
APLICAÇÕES QUE GERAM IMPACTO
FINANCEIRO (TICA)
CONTROLES DOS
PROCESSOS GERAIS DA
ÁREA DE TECNOLOGIA QUE
SUPORTAM OS PROCESSOS
DE NEGÓCIO E AS
APLICAÇÕES FINANCEIRAS
(TIGC)
35. Controles de Aplicação
Podemos considerar que os controles na aplicação se resumem em 2
grupos:
– Perfis de acesso dos aplicativos / sistemas
– Controles Automatizados
36. Perfis de acesso dos
aplicativos / sistemas
• Direitos de acesso dos usuários às funcionalidades dos aplicativo/sistema
de acordo com suas responsabilidades funcionais
• Foco em segregação de funções
• Ex. Perfis de acesso são configurados na aplicação de forma a possibilitar
que, somente pessoas autorizadas possam executar determinadas
atividades e ter acesso a determinadas informações.
37. Controles Automatizados
• Controles internos que estão inseridos/implantados nos aplicativos e/ou
sistemas
• O nível de testes a serem executados deve ser suficiente para garantir que
os controles automatizados estão operando eficientemente.
38. Controles Automatizados
• 1 - Validação de entrada de dados
Ex. O sistema compara a informação inserida com dados pré-definidos, dados contidos em tabelas ou intervalos.
• 2 - Cálculo
Ex. O calculo se baseia em fórmula programada no sistema. O cálculo é suportado por tabelas contendo as
informações necessárias para serem empregadas na fórmula.
• 3 - Interface entre sistemas
Ex. Um sistema compara a informação proveniente de outro sistema e aponta eventuais problemas.
• 4 - Limite de tolerância
Ex. O sistema permite a entrada da informação com base em margem de tolerância previamente definida.
• 5 - Limite de aprovação
Ex. A aplicação é configurada para requerer aprovações de acordo com critérios previamente definidos no
sistema.
• 6 - Totais automatizados
Ex. A aplicação possui relatórios com totais e sub-totais que permitem a verificação de informações inseridas.
• 7 - Atualização de tabelas mestre
Ex. Uma tabela armazena as informações-chave, que serão utilizadas pelas aplicações durante a execução de
uma atividade
39. Controle humano
Teoria Clássica da Administração – Henry Fayol
Prever, Organizar, Comandar, Coordenar e Controlar
Teoria Neoclássica – Peter Drucker
Planejar, Organizar, Liderar e Controlar
40. O Gestor
• Promove a mudança na conduta de executivos, impondo
responsabilidade civil e criminal para Presidente (CEO) e Diretor
Financeiro (CFO) das empresas.
• Prevê penalidades criminais para o CEO e CFO, quando ficar caracterizado
o uso de má fé nas informações divulgadas nas demonstrações
financeiras (multa de 1 até U$ 5 milhões e de 10 até 20 anos de prisão).
• Prevê penalidades criminais em caso de alteração, destruição ou
falsificação de registros ou documentos com o objetivo de
dificultar/impedir um procedimento oficial.
41. O valor da Auditoria Interna para as
partes interessadas
A boa governança, gestão de riscos e controles internos são essenciais
para o sucesso de uma organização e sua longevidade.
A Auditoria Interna auxilia a administração e os órgãos de governo (por
exemplo, o conselho de administração, comitê de auditoria), no
cumprimento de suas responsabilidades, tranzendo uma abordagem
sistemática e disciplinada para avaliar a eficácia do desenho e da
execução do sistema de controles internos e processos de gestão de
riscos.
Fonte: Instituto dos Auditores Internos do Brasil
42. O que esperar da Auditoria Interna
Fonte: Instituto dos Auditores Internos do Brasil
43. O que esperar da Auditoria Interna
Fonte: Instituto dos Auditores Internos do Brasil
44. O que esperar da Auditoria Interna
Fonte: Instituto dos Auditores Internos do Brasil
45. O que esperar da Auditoria Interna
Fonte: Instituto dos Auditores Internos do Brasil
46. A Auditoria na Sox
• Determina avaliação anual, pelos auditores externos, dos controles e
procedimentos internos das empresas para emissão de seus relatórios
financeiros, atestando sua eficácia.
• Prevê penalidades para os auditores que deixarem de revelar fatos,
apresentar documentos ou cooperar com eventual investigação financeira.
47. Executivos no Brasil
• Não existe um tratado de extradição entre Brasil e Estados Unidos.
• O executivo brasileiro em falta:
– Não corre o risco de ser colocado em uma prisão americana, pelo
menos enquanto não desembarcar nos Estados Unidos.
– Pode ter de arcar como pessoa física com as pesadas multas.
– A CVM (Comissão de Valores Mobiliários) estabelece punições.
– O Ministério Público pode abrir um processo.
– A SEC pode solicitar às autoridades brasileiras que estabeleçam
punições adicionais (multas maiores e impedimento para atuar no
mercado).
49. Título III – Responsabilidade das empresas
Seção 302 - Responsabilidade Relatórios Financeiros
A Comissão exigirá, por meio de norma, que cada sociedade que faça
relatórios periódicos, de acordo com a seção 13(a) ou 15 (d) da lei da Bolsa
de Valores de 1934 (15 v.S.C. 78 m, 78 o(d)), que o principal executivo ou
executivos, e o diretor, ou diretores, financeiro principal, ou pessoas que
desempenhem funções semelhantes, certifiquem em cada relatório anual
ou trimestral preenchido ou apresentado sob cada seção de tal Lei que:
1) O executivo que estiver assinando, revisou o relatório;
2) Baseado no conhecimento do executivo, o relatório não contém
qualquer declaração falsa de um fato material ou omita a declaração de
um fato material necessário para efetuar as declarações realizadas, à vista
das circunstâncias sob as quais tais declarações foram realizadas, de forma
não-enganosa;
3) Baseado no conhecimento do executivo, as declarações financeiras, e
outras informações financeiras incluídas no relatório, razoavelmente
presente em todos os relatórios dizem respeito à condição financeira e
resultados de operações do emissor referentes, ou para, os períodos
apresentados no relatório;
50. Título III – Responsabilidade das empresas
Seção 302 - Responsabilidade Relatórios Financeiros
4) os executivos que assinam:
– A) são responsáveis pelo estabelecimento e manutenção de
controles internos;
– B) planejaram tais controles internos para assegurar que informações
importantes em relação ao emissor e suas subsidiárias consolidadas
sejam divulgadas para tais executivos através de outros dentro
daquelas entidades, particularmente durante o período no qual os
relatórios periódicos estão sendo preparados;
– C) avaliaram a vigência dos controles internos do emissor dentro do
prazo de 90 dias anteriores ao relatório; e
– D) apresentaram suas conclusões no relatório sobre a vigência dos
seus controles internos baseadas na avaliação em relação àquele
período;
51. Título III – Responsabilidade das empresas
Seção 302 - Responsabilidade Relatórios Financeiros
5) os executivos que assinam revelaram para os auditores do emissor e
para o comitê de auditoria do conselho de diretores (ou pessoas que
estejam desempenhando função equivalente):
– A) todas as deficiências significativas no planejamento ou operação
de controles internos que afetassem de forma adversa a capacidade do
emissor para registrar, processar, resumir e relatar dados financeiros e
identificaram para os auditores do emissor qualquer deficiência
importante nos controles internos; e
– B) qualquer fraude, significativa, ou não, que envolva a gerência ou
outros empregados que possuam um papel importante nos controles
internos do emissor; e
52. Título III – Responsabilidade das empresas
Seção 302 - Responsabilidade Relatórios Financeiros
6) os executivos que assinam indicaram no relatório se ocorreram, ou
não, mudanças significativas nos controles internos ou em outros
fatores que pudessem afetar de forma significativa os controles internos
após a data de sua avaliação, inclusive quaisquer medidas corretivas em
relação a deficiências significativas e fraquezas materiais.
b) REINCORPORAÇÕES ESTRANGEIRAS NÃO POSSUEM NENHUMA
VALIDADE.- Nenhuma parte desta seção 302 será interpretada ou utilizada
para, sob qualquer forma, permitir que um emissor diminua a validade
legal da declaração exigida, pela re-incorporação ou associação de
qualquer emissor em qualquer outra transação que tenha resultado na
transferência do domicílio da sociedade ou dos escritórios do emissor, dos
Estados Unidos para qualquer local fora do mesmo.
c) DATA FINAL: As normas exigidas por esta subseção (a) entrarão em
vigor em prazo não superior a 30 dias após a promulgação desta Lei.
53. Título IV – Divulgações financeiras aditadas
Seção 404 - Avaliação Gerencial dos Controles Internos
A Comissão determinará normas exigindo que cada relatório anual
exigido pela seção 13(a) ou 15(d) da Lei da Bolsa de Valores de 1934
(15 U.S.C. 78(m) ou 78(d)) contenha um relatório de controle interno,
que irá:
1) definir a responsabilidade de gerenciamento para estabelecer e
manter uma estrutura de controle interno adequado e procedimentos
para os relatórios financeiros; e
2) conter uma avaliação, em relação ao ano fiscal mais recente, do
emissor, da efetividade dos procedimentos e estruturas de controle
interno para os relatórios financeiros.
54. PCAOB Std 5
Principais tópicos:
• Abordagem Top-Down e Risk Based;
• Entity Level;
• Walkthroughs;
• Prevenção de fraudes;
• Flexibilidade para utilização dos
trabalhos da Administração;
• Avaliação e comunicação de
deficiências;
• Rotação de testes de controles.
Em 24 de maio de 2007, o Public Company Accounting Oversight Board
(PCAOB) aprovou o standard 5.
http://pcaobus.org
55. Abordagem Top-Down
Os auditores devem iniciar seus trabalhos identificando contas
contábeis significativas, assertivas relevantes e controles que
mitiguem riscos de inconsistências nas Demonstrações Financeiras.
Reforça a idéia de que uma abordagem quantitativa apenas para
identificar contas significativas não é suficiente, existindo sempre a
necessidade de efetuar análises qualitativas em conjunto.
Durante a identificação de controles, devem ser priorizados controles
no nível de entidade (Entity Level) que possam mitigar os riscos de
inconsistências nas Demonstrações Financeiras.
Áreas consideradas de baixo risco podem ser privilegiadas com a
redução de amostras e extensão de testes, desde que não tenham
apresentados controles deficientes em períodos anteriores.
56. Relevância dos Controles no Nível
de Entidade (Entity Level)
Os controles de nível de entidade (Entity Level) podem mitigar itens de
risco baixo e moderado sem a necessidade de testes detalhados no
nível de transação.
Independente da existência de Controles Diretos no nível de entidade,
controles no nível de processo para as áreas de risco elevado, que
requerem maior atenção, devem ser avaliados.
57. Flexibilidade para utilização dos
trabalhos da administração
O standard possibilita uma estrutura (framework) de trabalho única,
que permite ao auditor externo utilizar de forma mais abrangente os
trabalhos da administração das empresas na sua avaliação dos
Controles Internos que afetam as Demonstrações Financeiras.
Para utilização efetiva dos trabalhos da administração, os auditores
externos precisam ter confiança de que os trabalhos foram conduzidos
por equipes competentes e independentes, de forma que os
resultados não estejam comprometidos.
O novo standard busca prover flexibilidade para estender a
utilização do trabalhos de outros (Administração), incluindo o
ambiente geral de controles e performance dos walkthroughs.
O auditor sempre deve executar testes em áreas que representem
riscos elevados para as demonstrações financeiras.
58. Walkthroughs
O standard 2 anterior do PCAOB determinava que procedimentos de
“walkthrough” deveriam ser efetuados para todas as transações
relevantes dentro dos processos
O novo standard 5 do PCAOB determina que os procedimentos de
“walkthrough” devem ser efetuados no nível de processos, e não
de transações como era executado anteriormente.
Muitas empresas já estavam efetuando procedimentos de
“walkthrough” por processos e sub processos, de forma que essa
alteração apenas formalizou o que já estava sendo efetuado e pode
não trazer redução significativa de esforço
59. Ênfase em controles para
prevenção de fraudes
A administração das empresas e os auditores externos devem
considerar no início dos trabalhos os principais riscos de fraude e
identificar os controles que mitigam esses riscos.
A avaliação de riscos de fraude que é efetuada para a auditoria das
demonstrações financeiras, também deve ser considerada pela
administração e pelos auditores durante os trabalhos de avaliação do
ambiente de controles.
A avaliação dos controles que mitigam riscos de fraude deve considerar
fortemente a existência de controles que possam ser
desconsiderados ou anulados (override) pelos executivos das
empresas.
60. Mudança na avaliação e
comunicação de deficiências
Alinhamento das definições de deficiência material (Material Weakness)
com o novo guia de implementação da SEC
Alteração da definição de deficiência significativa (Significant
Deficiency)
Deficiência Significativa é menos importante que uma deficiência
material, mas deve ser sempre merecer atenção por parte das
pessoas responsáveis pelos controles que afetam as demonstrações
financeiras
Deficiências materiais e significativas devem ser sempre
reportadas ao Comitê de Auditoria (Conselho Fiscal Turbinado),
independente da inclusão ou não dessas deficiências na avaliação da
administração.
Todas as empresas que apresentarem uma ou mais deficiências
materiais (Material Weakness) terão seu ambiente de controle
considerado ineficaz.
61. Impossibilidade de efetuar rotação
de testes de controles
O standard não permite que sejam efetuadas rotações de testes para
os controles identificados como chaves para mitigar os riscos de
inconsistências nas demonstrações financeiras
Porém o standard prove flexibilidade para reduzir testes baseados
em conhecimento prévio de anos anteriores. Para alguns controles de
riscos baixos testados depois do primeiro ano, e que não tenham um
histórico de problemas, o walkthrough sozinho ou até um
procedimento de Control Self Assessment pode prover evidência
suficiente de efetividade.
62. Principais Metas dos Padrões de
Auditoria PCAOB
• Focar a Auditoria nos Assuntos mais Relevantes.
• Eliminar Procedimentos Desnecessários.
• Customizar Auditoria para Companhias Menores.
• Simplificar os Padrões e suas Exigências.
63. Focar a Auditoria nos Assuntos
mais Relevantes
Requer uma segurança razoável, que significa um alto nível de segurança
sobre a existência de deficiências materiais (Material Weakness)
durante o período especificado na avaliação da Administração.
Utilizar uma abordagem top-down, baseada em risco e consistente com o
guia do PCAOB de 16 de Maio de 2005.
Utilizar avaliação de risco durante a auditoria, considerando inclusive os
resultados de procedimentos de testes substanciais de auditoria.
Entretanto, para obter evidência sobre efetividade de um controle, o
mesmo deve ser testado diretamente (não pode ser inferido através da
auditoria das demonstrações financeiras).
64. Eliminar Procedimentos
Desnecessários
Eliminar requerimento do auditor dar uma opinião separada sobre a
avaliação da Administração.
Prover flexibilidade para reduzir testes baseados em conhecimento prévio
de anos anteriores. Ainda que rotação de testes para controles chaves
não seja permitida, para alguns controles de riscos baixos testados depois
do primeiro ano, o walkthrough sozinho pode prover evidência suficiente
de efetividade.
Eliminar requerimento de testar controles sobre a “grande parte” da
companhia.
Prover flexibilidade para estender a utilização do trabalhos de outros
(Administração), incluindo o ambiente geral de controles e performance
dos walkthroughs sobre nossa supervisão direta; eliminar em alguns casos
princípios de requerimento de evidência.
65. Customizar Auditoria para
Companhias Menores
Requer do auditor uma avaliação do tamanho e complexidade da
companhia no planejamento e performance da auditoria.
Incluir descrições de alguns atributos de companhias menores e menos
complexas, que as diferem das companhias maiores.
66. Simplificar os Padrões e suas
Exigências
Reduzir significativamente o Standard e reorganizá-lo para seguir o fluxo
seqüencial da auditoria.
Revisar as definições de Deficiência Material (Material Weakness) e
Deficiência Significativa (Significant Deficiency), substituindo
“possibilidades razoáveis” por “mais que remota” e “significante” por “mais
que inconseqüente”..
Esclarecer que fortes indicadores de Deficiência Material (Material
Weakness) não começam por ser ao menos uma Deficiência Significativa
(Significant Deficiency),
Medições anuais, e não provisórias, de materialidade devem ser usadas
para o escopo de auditoria. Materialidade para demonstrações financeiras
de interim são consideradas apenas na avaliação de deficiências.
68. Securities Exchange
Commission - SEC
Guia que demonstra como a
administração das empresas
poderá conduzir a avaliação
dos controles internos que
afetam as demonstrações
financeiras, assim como reduzir
custos.
http://www.sec.gov
69. Standard & Poor’s
O Standard & Poor’s estabelece
diretrizes de uma avaliação mais
estruturada e disciplinar dos
riscos para elaboração de um
Modelo de Gestão de Risco
Integrada.
http://www.standardandpoors.com
71. Principais Material Weaknesses
em TI reportados pelas empresas
• Competência e treinamento adequado dos funcionários
• Controles inadequados de TI para acesso aos sistemas contábil e
financeiro e recuperação de informações num eventual desastre.
• Falta de segregação de funções
72. Novos processos
Anualmente a empresa deve:
• Avaliar as contas significativas;
• Definir a estrutura de controle interno;
• Avaliar o controle interno no nível de entidade;
• Documentar os controles internos financeiros chave para cada processo ou
aplicação significativos e para as classes de transações que podem ter um
impacto material sobre os relatórios financeiros;
• Avaliar as ausências e/ou falhas de controles (Gap’s), corrigir (implementar);
e
• Testar os controles internos chaves sobre os relatórios financeiros para
cada processo significativo, aplicação ou categoria de transações.
73. Consequências da Sox em relação a
Governança Corporativa
• Maior transparência do ambiente de controle da empresa.
• Torna mandatório a formalização dos controles internos e a gestão de
riscos.
• Exige procedimentos para prevenção e detecção de fraudes.
• Maior credibilidade das divulgações ao mercado.
• Prestação de contas de fatos relevantes que afetem a situação
patrimonial da empresa.
• Aumento da responsabilidade do Board da empresa, em particular do
CEO e CFO.