SlideShare une entreprise Scribd logo
1  sur  74
Télécharger pour lire hors ligne
Os Impactos da Lei Sarbanes Oxley no Processo de Auditoria e Gestão de TI
Termo de Isenção de
Responsabilidade
O autor não se responsabiliza pelo uso
inadequado, indevido e/ou desautorizado, em todo
ou em parte, do conteúdo e/ou informações aqui
apresentadas.
A utilização dessa mídia está condicionada a prévia
autorização.
Aproveite a apresentação para ampliar seus
conhecimentos em Governança de TI e usá-los
com responsabilidade.
Agenda Introdução: Sarbanes-Oxley
O que é
Contexto histórico
Objetivos
Amplitude
Governança Corporativa
Controles Interno
Ambiente de negócios
Ambiente de TI
O Gestor
A Auditoria
Executivos no Brasil
Sarbanes-Oxley
Seção 302
Seção 404
PCAOB Std 5
Metas do PCAOB
Regulamentações relacionadas com a Sox
SEC
Standard & Poor’s
Impactos da SOX
MW em TI
Novos processos
Conseqüências
Introdução:
Sarbanes-Oxley
Sarbanes Oxley
SOX é um a lei
Senador Paul Sarbanes
Deputado Michael Oxley
Contexto histórico
• Descoberta de grandes companhias que manipulavam informações
financeiras (escândalos financeiros da Enron, Tyco, WorldCom...).
• Abalo na estrutura do mercado de capitais americano (fuga de
investidores, queda da captação de recursos).
• Necessidade de maior transparência na divulgação dessas informações
nos atos da alta administração das empresas.
Objetivos
• Elevar o nível de responsabilidade e comprometimento da
Direção das Companhias.
• Melhorar a Governança Corporativa das empresas e o ambiente
de controles internos.
• Aumentar a supervisão sobre as Demonstrações Financeiras
apresentadas pelas Companhias.
• Restituir a confiança do investidor no mercado de capital e nos
auditores independentes.
Objetivos
Busca, por meios tangíveis, “reparar” a perda da confiança pública nos
líderes empresariais norte-americanos e enfatizar mais uma vez a
importância dos padrões éticos na preparação das informações financeiras
reportadas aos investidores.
Amplitude
SOX
E-SOX
J-SOX
2002
2003
2005
Sox
TÍTULO I - CONSELHO DE FISCALIZAÇÃO DAS NORMAS PÚBLICAS DE
CONTABILIDADE DAS EMPRESAS
TÍTULO II - AUDITORES INDEPENDENTES
TÍTULO III - RESPONSABILIDADE DAS EMPRESAS
TÍTULO IV - DIVULGAÇÕESFINANCEIRAS ADITADAS
TÍTULO V - CONFLITO DE INTERESSES DOS ANALISTAS
TÍTULO VI - RECURSOS E PODERES DAS COMISSÕES
TÍTULO IX - PENAS PARA CRIMES DE COLARINHO BRANCO
TÍTULO X - RESTITUIÇÃO DE IMPOSTOS PAGOS PELAS EMPRESAS
TÍTULO XI - FRAUDE DENTRO DO ÂMBITO EMPRESARIAL E NA CONTABILIDADE
E-Sox
A chamada E-SOx, ou Euro-SOx, na realidade não é uma única norma mas
um conjunto de normas aprovadas entre 2003 e 2006 e que dizem
respeito aos assuntos tratados de forma unitária pelas SOx dos EUA.
Diretiva 2003/6/CE sobre Abusos e Manipulações nos Mercados.
Diretiva 2004/109/CE sobre Transparência nas Demonstrações Financeiras.
Diretiva 2006/43/CE sobre Procedimentos Obrigatórios de Auditoria.
E-Sox
• A primeira norma a ser publicada foi, em 2003,
a Diretiva 2003/6/CE sobre Abusos e Manipulações nos Mercados.
Os pontos principais da Diretiva são:
– Abuso de informações
– Divulgação e controle de informações internas por parte de emissores
– Relatório de transações realizada por executivos
– Manipulação de mercado
– Relatório de transações suspeitas
– Recomendações de pesquisa
– Estabilização e Recompra de ações
• Em 2004 foi criada
a Diretiva 2004/109/CE sobre Transparência nas Demonstrações Financeiras. Os pontos principais da Diretiva
são:
– Divulgação de informações financeiras periódicas
– Critérios e Responsabilidades
– Atualização das informações sobre os principais acionistas
– Disseminação de Informações Regulamentadas
– Comunicação de emendas aos estatutos de incorporação
• Em 2006 foi criada
a Diretiva 2006/43/CE sobre Procedimentos Obrigatórios de Auditoria. Os pontos principais da Diretiva são:
– Educação e Qualificações
– Ética
– Standards (padrões) e Relatórios
– Supervisão Publica, Investigações, Disciplina e cooperação com outras autoridades da EEA
– Contratação e Demissão
– Auditores de Paises Terceiros
– Divulgação da remuneração dos Auditores
J-Sox
J-SOx é o nome informal dado a um conjunto de norma Japonesas relativas a
controles internos e divulgação de relatórios financeiros (ICFR) que fazem parte do
da Lei Japonesa sobre Instrumentos Financeiros e Bolsas (Japanese Financial
Instruments and Exchange Law).
Esta lei foi promulgada em Junho de 2006 na forma de uma emenda da Lei
Japonesa das Ações e Bolsas (Japanese Securities and Exchange Law), como
conseqüência de uma serie de fraudes contábeis e na divulgação de relatórios
financeiros.
Este conjunto de normas é chamado J-SOx porque foi modelado com base na SOx
(Lei Sarbanes-Oxley) dos EUA.
A J-SOx obriga todas as empresas listadas nas bolsas Japonesas a reforçar os
controles internos e a garantir uma completa e acurada divulgação das informações
financeiras.
O guia de implementação da J-SOx, publicado pela Japanese Financial Service
Agency (FSA), recomenda uma postura centrada nos riscos, foco em contas e
processos que sejam significativos.
J-Sox
A seção 1 estipula uma estrutura de controle:
• Ambiente de Controle
• Avaliação dos riscos
• Atividades de Controle
• Informação e Comunicação
• Monitoramento
• Resposta a IT
A seção 2 trata de:
• Definição de “Relatórios Financeiros”.
• Objetivos das avaliações da diretoria
• Estrutura e método para avaliação dos controles internos e uso de especialistas
• Avaliação dos níveis de controle da empresa
• Controles em nível de processos – avaliação da efetividade operacional
• Registro e Retenção dos procedimentos de avaliação
A Seção 3 trata da auditoria:
• O significado do “Relatório Indireto dos Auditores”
• Tamanho da amostra para testar a efetividade operacional
• Uso do trabalho dos auditores internos e/ou outros
• Reporte sobre fraquezas matérias e outras condições dignas de serem relatadas
Governança
Corporativa
Governança Corporativa
Governança Corporativa
Governança Corporativa é o sistema pelo qual as sociedades são
dirigidas e monitoradas, envolvendo os relacionamentos entre
Acionistas/Cotistas, Conselho de Administração, Diretoria, Auditoria
Independente e Conselho Fiscal.
A preocupação da Governança Corporativa é criar um conjunto eficiente
de mecanismos, a fim de assegurar que o comportamento dos executivos
esteja sempre alinhado com o interesse dos acionistas (“agency cost”).
A boa Governança proporciona aos proprietários (acionistas ou cotistas) a
gestão estratégica de sua empresa e a monitoração da direção
executiva.
A empresa que opta pelas boas práticas de Governança Corporativa adota
como linhas mestras a transparência, a prestação de contas, a equidade
e a responsabilidade corporativa (princípios da governança do IBGC).
Fonte: Instituto Brasileiro de Governança Corporativa
Governança Corporativa
Fonte: Instituto Brasileiro de Governança Corporativa
O Controle Interno
O controle é um mecanismo manual ou sistêmico que minimiza ou elimina
a possibilidade de ocorrência dos riscos do negócio.
É desenvolvido para garantir, com razoável margem de segurança, que os
seguintes objetivos serão atingidos:
• Desempenho e eficiência das operações;
• Confiabilidade dos relatórios financeiros; e
• Conformidade com as leis e regulamentações aplicáveis.
O Ambiente de Controles Internos de uma organização deve considerar:
• O nível de Conscientização sobre controles – Geralmente considera a
avaliação dos controles no Nível da Entidade;
• Os Mecanismos de controle - geralmente considera a avaliação no nível
de processos, transações e aplicativos.
Estrutura de controle interno
• SOX requer que as empresas adotem um estrutura de controle (control
framework).
• COSO (Committee of Sponsoring Organizations of the Treadway Commission)
define uma estrutura:
– Controle do ambiente: disciplina e estrutura
– Avaliação de riscos: econômico, industrial, operacional
– Controle das atividades: aprovação, reconciliação, segregação
– Informação e comunicação
– Monitoração
Estrutura de controle interno
O primeiro objeto de estudo do COSO foi o controle interno, resultando na
publicação em 1992 do trabalho "Internal Control - Integrated
Framework" (Controles Internos – Um Modelo Integrado), que se tornou
referência mundial para o estudo e a aplicação dos controles internos
(COSO I).
Em setembro de 2004, foi publicada o “Enterprise Risk Management”
(Gerenciamento de Riscos Corporativos), que se tornou referência para o
gestão de riscos (COSO II).
COSO I COSO II
CONTROLE INTERNO GERENCIAMENTO DE
RISCO
Ambiente de controle.................................Ambiente internoAmbiente interno
FixaFixaççãoão dede objetivosobjetivos
IdentificaIdentificaççãoão dede eventoseventos
Avaliação de riscos....................................Avaliação de riscos
RespostaResposta ao riscoao risco
Atividades de controle................................Atividades de controle
Informação & comunicação.........................Informação & Comunicação
Monitoramento..........................................Monitoramento
Estrutura de controle interno
Componentesdo
gerenciamento
derisco
COSO II
2004
COSO I
1992
Ambiente de Controle
Avaliação de Riscos
Atividades de Controle
Informação e Comunicação
Monitoramento
Controle Sox
O que são Controles Chave?
Ambiente de negócios
Ambiente de TI
O Cobit (Control Objectives for Information and related Technology) é um
modelo estruturado de Governança em TI, que prevê objetivos em nível
corporativo e de atividades por meio de controles associados.
A utilização do COBIT é um dos padrões que permite uma organização
desenhar um sistema de controles de TI, aderentes à SOX 404.
Objetivos de controle de TI para
Sarbanes-Oxley - TIGC
Fonte: PCAOB Auditing Standard No. 2 and Control Objectives for Information and related Technology
Porque TI deve ser considerada no
escopo de um trabalho de SOX?
Ambiente Geral de TI
Sistemas e Aplicativos
Processos de negócios
Demonstrações Financeiras
Identificação do ambiente de TI
que processa os
sistemas/sistemas
Identificação dos aplicativos que
suportam os processos
Identificação dos processos que
afetam as contas
Identificação das contas
significativas das demostrações
Controles de TI – TICA e TIGC
PROCESSO I PROCESSO I I
PROCESSOS SIGNIFICATIVOS
PROCESSO I I I
SISTEMA D SISTEMA ESISTEMA CSISTEMA BSISTEMA A
BANCOS DE DADOS
SISTEMAS OPERACIONAIS
REDE
CONTROLES AUTOMÁTICOS DAS
APLICAÇÕES QUE GERAM IMPACTO
FINANCEIRO (TICA)
CONTROLES DOS
PROCESSOS GERAIS DA
ÁREA DE TECNOLOGIA QUE
SUPORTAM OS PROCESSOS
DE NEGÓCIO E AS
APLICAÇÕES FINANCEIRAS
(TIGC)
Controles de TI
Exemplo
Controles de Aplicação
Podemos considerar que os controles na aplicação se resumem em 2
grupos:
– Perfis de acesso dos aplicativos / sistemas
– Controles Automatizados
Perfis de acesso dos
aplicativos / sistemas
• Direitos de acesso dos usuários às funcionalidades dos aplicativo/sistema
de acordo com suas responsabilidades funcionais
• Foco em segregação de funções
• Ex. Perfis de acesso são configurados na aplicação de forma a possibilitar
que, somente pessoas autorizadas possam executar determinadas
atividades e ter acesso a determinadas informações.
Controles Automatizados
• Controles internos que estão inseridos/implantados nos aplicativos e/ou
sistemas
• O nível de testes a serem executados deve ser suficiente para garantir que
os controles automatizados estão operando eficientemente.
Controles Automatizados
• 1 - Validação de entrada de dados
Ex. O sistema compara a informação inserida com dados pré-definidos, dados contidos em tabelas ou intervalos.
• 2 - Cálculo
Ex. O calculo se baseia em fórmula programada no sistema. O cálculo é suportado por tabelas contendo as
informações necessárias para serem empregadas na fórmula.
• 3 - Interface entre sistemas
Ex. Um sistema compara a informação proveniente de outro sistema e aponta eventuais problemas.
• 4 - Limite de tolerância
Ex. O sistema permite a entrada da informação com base em margem de tolerância previamente definida.
• 5 - Limite de aprovação
Ex. A aplicação é configurada para requerer aprovações de acordo com critérios previamente definidos no
sistema.
• 6 - Totais automatizados
Ex. A aplicação possui relatórios com totais e sub-totais que permitem a verificação de informações inseridas.
• 7 - Atualização de tabelas mestre
Ex. Uma tabela armazena as informações-chave, que serão utilizadas pelas aplicações durante a execução de
uma atividade
Controle humano
Teoria Clássica da Administração – Henry Fayol
Prever, Organizar, Comandar, Coordenar e Controlar
Teoria Neoclássica – Peter Drucker
Planejar, Organizar, Liderar e Controlar
O Gestor
• Promove a mudança na conduta de executivos, impondo
responsabilidade civil e criminal para Presidente (CEO) e Diretor
Financeiro (CFO) das empresas.
• Prevê penalidades criminais para o CEO e CFO, quando ficar caracterizado
o uso de má fé nas informações divulgadas nas demonstrações
financeiras (multa de 1 até U$ 5 milhões e de 10 até 20 anos de prisão).
• Prevê penalidades criminais em caso de alteração, destruição ou
falsificação de registros ou documentos com o objetivo de
dificultar/impedir um procedimento oficial.
O valor da Auditoria Interna para as
partes interessadas
A boa governança, gestão de riscos e controles internos são essenciais
para o sucesso de uma organização e sua longevidade.
A Auditoria Interna auxilia a administração e os órgãos de governo (por
exemplo, o conselho de administração, comitê de auditoria), no
cumprimento de suas responsabilidades, tranzendo uma abordagem
sistemática e disciplinada para avaliar a eficácia do desenho e da
execução do sistema de controles internos e processos de gestão de
riscos.
Fonte: Instituto dos Auditores Internos do Brasil
O que esperar da Auditoria Interna
Fonte: Instituto dos Auditores Internos do Brasil
O que esperar da Auditoria Interna
Fonte: Instituto dos Auditores Internos do Brasil
O que esperar da Auditoria Interna
Fonte: Instituto dos Auditores Internos do Brasil
O que esperar da Auditoria Interna
Fonte: Instituto dos Auditores Internos do Brasil
A Auditoria na Sox
• Determina avaliação anual, pelos auditores externos, dos controles e
procedimentos internos das empresas para emissão de seus relatórios
financeiros, atestando sua eficácia.
• Prevê penalidades para os auditores que deixarem de revelar fatos,
apresentar documentos ou cooperar com eventual investigação financeira.
Executivos no Brasil
• Não existe um tratado de extradição entre Brasil e Estados Unidos.
• O executivo brasileiro em falta:
– Não corre o risco de ser colocado em uma prisão americana, pelo
menos enquanto não desembarcar nos Estados Unidos.
– Pode ter de arcar como pessoa física com as pesadas multas.
– A CVM (Comissão de Valores Mobiliários) estabelece punições.
– O Ministério Público pode abrir um processo.
– A SEC pode solicitar às autoridades brasileiras que estabeleçam
punições adicionais (multas maiores e impedimento para atuar no
mercado).
Sarbanes-Oxley
Título III – Responsabilidade das empresas
Seção 302 - Responsabilidade Relatórios Financeiros
A Comissão exigirá, por meio de norma, que cada sociedade que faça
relatórios periódicos, de acordo com a seção 13(a) ou 15 (d) da lei da Bolsa
de Valores de 1934 (15 v.S.C. 78 m, 78 o(d)), que o principal executivo ou
executivos, e o diretor, ou diretores, financeiro principal, ou pessoas que
desempenhem funções semelhantes, certifiquem em cada relatório anual
ou trimestral preenchido ou apresentado sob cada seção de tal Lei que:
1) O executivo que estiver assinando, revisou o relatório;
2) Baseado no conhecimento do executivo, o relatório não contém
qualquer declaração falsa de um fato material ou omita a declaração de
um fato material necessário para efetuar as declarações realizadas, à vista
das circunstâncias sob as quais tais declarações foram realizadas, de forma
não-enganosa;
3) Baseado no conhecimento do executivo, as declarações financeiras, e
outras informações financeiras incluídas no relatório, razoavelmente
presente em todos os relatórios dizem respeito à condição financeira e
resultados de operações do emissor referentes, ou para, os períodos
apresentados no relatório;
Título III – Responsabilidade das empresas
Seção 302 - Responsabilidade Relatórios Financeiros
4) os executivos que assinam:
– A) são responsáveis pelo estabelecimento e manutenção de
controles internos;
– B) planejaram tais controles internos para assegurar que informações
importantes em relação ao emissor e suas subsidiárias consolidadas
sejam divulgadas para tais executivos através de outros dentro
daquelas entidades, particularmente durante o período no qual os
relatórios periódicos estão sendo preparados;
– C) avaliaram a vigência dos controles internos do emissor dentro do
prazo de 90 dias anteriores ao relatório; e
– D) apresentaram suas conclusões no relatório sobre a vigência dos
seus controles internos baseadas na avaliação em relação àquele
período;
Título III – Responsabilidade das empresas
Seção 302 - Responsabilidade Relatórios Financeiros
5) os executivos que assinam revelaram para os auditores do emissor e
para o comitê de auditoria do conselho de diretores (ou pessoas que
estejam desempenhando função equivalente):
– A) todas as deficiências significativas no planejamento ou operação
de controles internos que afetassem de forma adversa a capacidade do
emissor para registrar, processar, resumir e relatar dados financeiros e
identificaram para os auditores do emissor qualquer deficiência
importante nos controles internos; e
– B) qualquer fraude, significativa, ou não, que envolva a gerência ou
outros empregados que possuam um papel importante nos controles
internos do emissor; e
Título III – Responsabilidade das empresas
Seção 302 - Responsabilidade Relatórios Financeiros
6) os executivos que assinam indicaram no relatório se ocorreram, ou
não, mudanças significativas nos controles internos ou em outros
fatores que pudessem afetar de forma significativa os controles internos
após a data de sua avaliação, inclusive quaisquer medidas corretivas em
relação a deficiências significativas e fraquezas materiais.
b) REINCORPORAÇÕES ESTRANGEIRAS NÃO POSSUEM NENHUMA
VALIDADE.- Nenhuma parte desta seção 302 será interpretada ou utilizada
para, sob qualquer forma, permitir que um emissor diminua a validade
legal da declaração exigida, pela re-incorporação ou associação de
qualquer emissor em qualquer outra transação que tenha resultado na
transferência do domicílio da sociedade ou dos escritórios do emissor, dos
Estados Unidos para qualquer local fora do mesmo.
c) DATA FINAL: As normas exigidas por esta subseção (a) entrarão em
vigor em prazo não superior a 30 dias após a promulgação desta Lei.
Título IV – Divulgações financeiras aditadas
Seção 404 - Avaliação Gerencial dos Controles Internos
A Comissão determinará normas exigindo que cada relatório anual
exigido pela seção 13(a) ou 15(d) da Lei da Bolsa de Valores de 1934
(15 U.S.C. 78(m) ou 78(d)) contenha um relatório de controle interno,
que irá:
1) definir a responsabilidade de gerenciamento para estabelecer e
manter uma estrutura de controle interno adequado e procedimentos
para os relatórios financeiros; e
2) conter uma avaliação, em relação ao ano fiscal mais recente, do
emissor, da efetividade dos procedimentos e estruturas de controle
interno para os relatórios financeiros.
PCAOB Std 5
Principais tópicos:
• Abordagem Top-Down e Risk Based;
• Entity Level;
• Walkthroughs;
• Prevenção de fraudes;
• Flexibilidade para utilização dos
trabalhos da Administração;
• Avaliação e comunicação de
deficiências;
• Rotação de testes de controles.
Em 24 de maio de 2007, o Public Company Accounting Oversight Board
(PCAOB) aprovou o standard 5.
http://pcaobus.org
Abordagem Top-Down
Os auditores devem iniciar seus trabalhos identificando contas
contábeis significativas, assertivas relevantes e controles que
mitiguem riscos de inconsistências nas Demonstrações Financeiras.
Reforça a idéia de que uma abordagem quantitativa apenas para
identificar contas significativas não é suficiente, existindo sempre a
necessidade de efetuar análises qualitativas em conjunto.
Durante a identificação de controles, devem ser priorizados controles
no nível de entidade (Entity Level) que possam mitigar os riscos de
inconsistências nas Demonstrações Financeiras.
Áreas consideradas de baixo risco podem ser privilegiadas com a
redução de amostras e extensão de testes, desde que não tenham
apresentados controles deficientes em períodos anteriores.
Relevância dos Controles no Nível
de Entidade (Entity Level)
Os controles de nível de entidade (Entity Level) podem mitigar itens de
risco baixo e moderado sem a necessidade de testes detalhados no
nível de transação.
Independente da existência de Controles Diretos no nível de entidade,
controles no nível de processo para as áreas de risco elevado, que
requerem maior atenção, devem ser avaliados.
Flexibilidade para utilização dos
trabalhos da administração
O standard possibilita uma estrutura (framework) de trabalho única,
que permite ao auditor externo utilizar de forma mais abrangente os
trabalhos da administração das empresas na sua avaliação dos
Controles Internos que afetam as Demonstrações Financeiras.
Para utilização efetiva dos trabalhos da administração, os auditores
externos precisam ter confiança de que os trabalhos foram conduzidos
por equipes competentes e independentes, de forma que os
resultados não estejam comprometidos.
O novo standard busca prover flexibilidade para estender a
utilização do trabalhos de outros (Administração), incluindo o
ambiente geral de controles e performance dos walkthroughs.
O auditor sempre deve executar testes em áreas que representem
riscos elevados para as demonstrações financeiras.
Walkthroughs
O standard 2 anterior do PCAOB determinava que procedimentos de
“walkthrough” deveriam ser efetuados para todas as transações
relevantes dentro dos processos
O novo standard 5 do PCAOB determina que os procedimentos de
“walkthrough” devem ser efetuados no nível de processos, e não
de transações como era executado anteriormente.
Muitas empresas já estavam efetuando procedimentos de
“walkthrough” por processos e sub processos, de forma que essa
alteração apenas formalizou o que já estava sendo efetuado e pode
não trazer redução significativa de esforço
Ênfase em controles para
prevenção de fraudes
A administração das empresas e os auditores externos devem
considerar no início dos trabalhos os principais riscos de fraude e
identificar os controles que mitigam esses riscos.
A avaliação de riscos de fraude que é efetuada para a auditoria das
demonstrações financeiras, também deve ser considerada pela
administração e pelos auditores durante os trabalhos de avaliação do
ambiente de controles.
A avaliação dos controles que mitigam riscos de fraude deve considerar
fortemente a existência de controles que possam ser
desconsiderados ou anulados (override) pelos executivos das
empresas.
Mudança na avaliação e
comunicação de deficiências
Alinhamento das definições de deficiência material (Material Weakness)
com o novo guia de implementação da SEC
Alteração da definição de deficiência significativa (Significant
Deficiency)
Deficiência Significativa é menos importante que uma deficiência
material, mas deve ser sempre merecer atenção por parte das
pessoas responsáveis pelos controles que afetam as demonstrações
financeiras
Deficiências materiais e significativas devem ser sempre
reportadas ao Comitê de Auditoria (Conselho Fiscal Turbinado),
independente da inclusão ou não dessas deficiências na avaliação da
administração.
Todas as empresas que apresentarem uma ou mais deficiências
materiais (Material Weakness) terão seu ambiente de controle
considerado ineficaz.
Impossibilidade de efetuar rotação
de testes de controles
O standard não permite que sejam efetuadas rotações de testes para
os controles identificados como chaves para mitigar os riscos de
inconsistências nas demonstrações financeiras
Porém o standard prove flexibilidade para reduzir testes baseados
em conhecimento prévio de anos anteriores. Para alguns controles de
riscos baixos testados depois do primeiro ano, e que não tenham um
histórico de problemas, o walkthrough sozinho ou até um
procedimento de Control Self Assessment pode prover evidência
suficiente de efetividade.
Principais Metas dos Padrões de
Auditoria PCAOB
• Focar a Auditoria nos Assuntos mais Relevantes.
• Eliminar Procedimentos Desnecessários.
• Customizar Auditoria para Companhias Menores.
• Simplificar os Padrões e suas Exigências.
Focar a Auditoria nos Assuntos
mais Relevantes
Requer uma segurança razoável, que significa um alto nível de segurança
sobre a existência de deficiências materiais (Material Weakness)
durante o período especificado na avaliação da Administração.
Utilizar uma abordagem top-down, baseada em risco e consistente com o
guia do PCAOB de 16 de Maio de 2005.
Utilizar avaliação de risco durante a auditoria, considerando inclusive os
resultados de procedimentos de testes substanciais de auditoria.
Entretanto, para obter evidência sobre efetividade de um controle, o
mesmo deve ser testado diretamente (não pode ser inferido através da
auditoria das demonstrações financeiras).
Eliminar Procedimentos
Desnecessários
Eliminar requerimento do auditor dar uma opinião separada sobre a
avaliação da Administração.
Prover flexibilidade para reduzir testes baseados em conhecimento prévio
de anos anteriores. Ainda que rotação de testes para controles chaves
não seja permitida, para alguns controles de riscos baixos testados depois
do primeiro ano, o walkthrough sozinho pode prover evidência suficiente
de efetividade.
Eliminar requerimento de testar controles sobre a “grande parte” da
companhia.
Prover flexibilidade para estender a utilização do trabalhos de outros
(Administração), incluindo o ambiente geral de controles e performance
dos walkthroughs sobre nossa supervisão direta; eliminar em alguns casos
princípios de requerimento de evidência.
Customizar Auditoria para
Companhias Menores
Requer do auditor uma avaliação do tamanho e complexidade da
companhia no planejamento e performance da auditoria.
Incluir descrições de alguns atributos de companhias menores e menos
complexas, que as diferem das companhias maiores.
Simplificar os Padrões e suas
Exigências
Reduzir significativamente o Standard e reorganizá-lo para seguir o fluxo
seqüencial da auditoria.
Revisar as definições de Deficiência Material (Material Weakness) e
Deficiência Significativa (Significant Deficiency), substituindo
“possibilidades razoáveis” por “mais que remota” e “significante” por “mais
que inconseqüente”..
Esclarecer que fortes indicadores de Deficiência Material (Material
Weakness) não começam por ser ao menos uma Deficiência Significativa
(Significant Deficiency),
Medições anuais, e não provisórias, de materialidade devem ser usadas
para o escopo de auditoria. Materialidade para demonstrações financeiras
de interim são consideradas apenas na avaliação de deficiências.
Regulamentações
Relacionadas à SOX
Securities Exchange
Commission - SEC
Guia que demonstra como a
administração das empresas
poderá conduzir a avaliação
dos controles internos que
afetam as demonstrações
financeiras, assim como reduzir
custos.
http://www.sec.gov
Standard & Poor’s
O Standard & Poor’s estabelece
diretrizes de uma avaliação mais
estruturada e disciplinar dos
riscos para elaboração de um
Modelo de Gestão de Risco
Integrada.
http://www.standardandpoors.com
Impactos da Sox
Principais Material Weaknesses
em TI reportados pelas empresas
• Competência e treinamento adequado dos funcionários
• Controles inadequados de TI para acesso aos sistemas contábil e
financeiro e recuperação de informações num eventual desastre.
• Falta de segregação de funções
Novos processos
Anualmente a empresa deve:
• Avaliar as contas significativas;
• Definir a estrutura de controle interno;
• Avaliar o controle interno no nível de entidade;
• Documentar os controles internos financeiros chave para cada processo ou
aplicação significativos e para as classes de transações que podem ter um
impacto material sobre os relatórios financeiros;
• Avaliar as ausências e/ou falhas de controles (Gap’s), corrigir (implementar);
e
• Testar os controles internos chaves sobre os relatórios financeiros para
cada processo significativo, aplicação ou categoria de transações.
Consequências da Sox em relação a
Governança Corporativa
• Maior transparência do ambiente de controle da empresa.
• Torna mandatório a formalização dos controles internos e a gestão de
riscos.
• Exige procedimentos para prevenção e detecção de fraudes.
• Maior credibilidade das divulgações ao mercado.
• Prestação de contas de fatos relevantes que afetem a situação
patrimonial da empresa.
• Aumento da responsabilidade do Board da empresa, em particular do
CEO e CFO.
Obrigado!
Contato: aportinho@hotmail.com
http://alessandroportinhoblog.blogspot.com/

Contenu connexe

Tendances

Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Cleber Fonseca
 
Aula 1 sistema de gestão integrada
Aula 1 sistema de gestão integradaAula 1 sistema de gestão integrada
Aula 1 sistema de gestão integradafrank encarnacão
 
Formação de Auditores Internos
Formação de Auditores InternosFormação de Auditores Internos
Formação de Auditores InternosRogério Souza
 
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationCompanyWeb
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 
Fundamentos de sistemas de informação
Fundamentos de sistemas de informaçãoFundamentos de sistemas de informação
Fundamentos de sistemas de informaçãoLeonardo Melo Santos
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000Fernando Palma
 
Atividade fundamentos-de-redes
Atividade fundamentos-de-redesAtividade fundamentos-de-redes
Atividade fundamentos-de-redesArlimar Jacinto
 
Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001Fernando Palma
 
Aula 04 coneitos de auditoria de sistemas
Aula 04   coneitos de auditoria de sistemasAula 04   coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemassorayaNadja
 
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de SistemasSegurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de SistemasCleber Fonseca
 
Auditoria interna-Apresentacao 1.pptx
Auditoria interna-Apresentacao 1.pptxAuditoria interna-Apresentacao 1.pptx
Auditoria interna-Apresentacao 1.pptxLdiaJoo
 
Segurança da informação - Aula 3 - Ciclo de vida, classificação de ativos
Segurança da informação - Aula 3 - Ciclo de vida, classificação de ativosSegurança da informação - Aula 3 - Ciclo de vida, classificação de ativos
Segurança da informação - Aula 3 - Ciclo de vida, classificação de ativosCleber Fonseca
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoJean Israel B. Feijó
 
Windows Server - Aula 01
Windows Server - Aula 01Windows Server - Aula 01
Windows Server - Aula 01Spartan Digital
 
Introdução a ISO 9001 ISO 20000 e ISO 27001
Introdução a ISO 9001 ISO 20000 e ISO 27001Introdução a ISO 9001 ISO 20000 e ISO 27001
Introdução a ISO 9001 ISO 20000 e ISO 27001Fernando Palma
 

Tendances (20)

Sistemas de gestao integrados
Sistemas de gestao integradosSistemas de gestao integrados
Sistemas de gestao integrados
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002
 
Aula 1 sistema de gestão integrada
Aula 1 sistema de gestão integradaAula 1 sistema de gestão integrada
Aula 1 sistema de gestão integrada
 
Formação de Auditores Internos
Formação de Auditores InternosFormação de Auditores Internos
Formação de Auditores Internos
 
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Fundamentos de sistemas de informação
Fundamentos de sistemas de informaçãoFundamentos de sistemas de informação
Fundamentos de sistemas de informação
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Atividade fundamentos-de-redes
Atividade fundamentos-de-redesAtividade fundamentos-de-redes
Atividade fundamentos-de-redes
 
Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001
 
Aula 5 - 4 Auditoria Interna
Aula 5 - 4 Auditoria InternaAula 5 - 4 Auditoria Interna
Aula 5 - 4 Auditoria Interna
 
Aula 04 coneitos de auditoria de sistemas
Aula 04   coneitos de auditoria de sistemasAula 04   coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemas
 
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de SistemasSegurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
 
Auditoria interna-Apresentacao 1.pptx
Auditoria interna-Apresentacao 1.pptxAuditoria interna-Apresentacao 1.pptx
Auditoria interna-Apresentacao 1.pptx
 
Segurança da informação - Aula 3 - Ciclo de vida, classificação de ativos
Segurança da informação - Aula 3 - Ciclo de vida, classificação de ativosSegurança da informação - Aula 3 - Ciclo de vida, classificação de ativos
Segurança da informação - Aula 3 - Ciclo de vida, classificação de ativos
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da Informação
 
Windows Server - Aula 01
Windows Server - Aula 01Windows Server - Aula 01
Windows Server - Aula 01
 
2012 11-05 - aula 13 - as normas da qualidade
2012 11-05 - aula 13 - as normas da qualidade2012 11-05 - aula 13 - as normas da qualidade
2012 11-05 - aula 13 - as normas da qualidade
 
Introdução a ISO 9001 ISO 20000 e ISO 27001
Introdução a ISO 9001 ISO 20000 e ISO 27001Introdução a ISO 9001 ISO 20000 e ISO 27001
Introdução a ISO 9001 ISO 20000 e ISO 27001
 

En vedette

Impacto da Lei Sarbanes Oxley (SOX) nas ações da empresas brasileiras listada...
Impacto da Lei Sarbanes Oxley (SOX) nas ações da empresas brasileiras listada...Impacto da Lei Sarbanes Oxley (SOX) nas ações da empresas brasileiras listada...
Impacto da Lei Sarbanes Oxley (SOX) nas ações da empresas brasileiras listada...Victor Tubino
 
Uma década da lei americana sarbanes oxley
Uma década da lei americana sarbanes oxleyUma década da lei americana sarbanes oxley
Uma década da lei americana sarbanes oxleyCarlos Ferreira
 
Gerenciamento de Riscos na Cosern - Lei Sarbanes Oxley (SOX)
Gerenciamento de Riscos na Cosern - Lei Sarbanes Oxley (SOX)Gerenciamento de Riscos na Cosern - Lei Sarbanes Oxley (SOX)
Gerenciamento de Riscos na Cosern - Lei Sarbanes Oxley (SOX)Marcus Vinícius
 
Introdução a Governanca corporativa e Controles Internos nas Pequenas e Méid...
Introdução a Governanca corporativa e Controles Internos  nas Pequenas e Méid...Introdução a Governanca corporativa e Controles Internos  nas Pequenas e Méid...
Introdução a Governanca corporativa e Controles Internos nas Pequenas e Méid...HSCE Ltda.
 
Apostila sistema operacional cor capa ficha 2011 02 04
Apostila sistema operacional cor capa ficha 2011 02 04Apostila sistema operacional cor capa ficha 2011 02 04
Apostila sistema operacional cor capa ficha 2011 02 04MatheusRpz
 
Projeto Sox
Projeto SoxProjeto Sox
Projeto Soxedutaito
 

En vedette (7)

Impacto da Lei Sarbanes Oxley (SOX) nas ações da empresas brasileiras listada...
Impacto da Lei Sarbanes Oxley (SOX) nas ações da empresas brasileiras listada...Impacto da Lei Sarbanes Oxley (SOX) nas ações da empresas brasileiras listada...
Impacto da Lei Sarbanes Oxley (SOX) nas ações da empresas brasileiras listada...
 
Uma década da lei americana sarbanes oxley
Uma década da lei americana sarbanes oxleyUma década da lei americana sarbanes oxley
Uma década da lei americana sarbanes oxley
 
Gestão de risco
Gestão de riscoGestão de risco
Gestão de risco
 
Gerenciamento de Riscos na Cosern - Lei Sarbanes Oxley (SOX)
Gerenciamento de Riscos na Cosern - Lei Sarbanes Oxley (SOX)Gerenciamento de Riscos na Cosern - Lei Sarbanes Oxley (SOX)
Gerenciamento de Riscos na Cosern - Lei Sarbanes Oxley (SOX)
 
Introdução a Governanca corporativa e Controles Internos nas Pequenas e Méid...
Introdução a Governanca corporativa e Controles Internos  nas Pequenas e Méid...Introdução a Governanca corporativa e Controles Internos  nas Pequenas e Méid...
Introdução a Governanca corporativa e Controles Internos nas Pequenas e Méid...
 
Apostila sistema operacional cor capa ficha 2011 02 04
Apostila sistema operacional cor capa ficha 2011 02 04Apostila sistema operacional cor capa ficha 2011 02 04
Apostila sistema operacional cor capa ficha 2011 02 04
 
Projeto Sox
Projeto SoxProjeto Sox
Projeto Sox
 

Similaire à Os Impactos da Lei Sarbanes Oxley no Processo de Auditoria e Gestão de TI

Projeto Sox
Projeto SoxProjeto Sox
Projeto Soxedutaito
 
Jeneffer Ferreira Ribeiro - Artigo Segurança e Auditoria de Sistemas
Jeneffer Ferreira Ribeiro - Artigo Segurança e Auditoria de SistemasJeneffer Ferreira Ribeiro - Artigo Segurança e Auditoria de Sistemas
Jeneffer Ferreira Ribeiro - Artigo Segurança e Auditoria de SistemasJeneffer Ferreira Ribeiro
 
Projeto Sox
Projeto SoxProjeto Sox
Projeto Soxedutaito
 
Aula 9 final 2014.1 ucam - gestao contemp - govern corp
Aula 9 final   2014.1 ucam - gestao contemp - govern corpAula 9 final   2014.1 ucam - gestao contemp - govern corp
Aula 9 final 2014.1 ucam - gestao contemp - govern corpAngelo Peres
 
Comissaocpihsbc-20150401reu004-apresentacaobancocentral
Comissaocpihsbc-20150401reu004-apresentacaobancocentralComissaocpihsbc-20150401reu004-apresentacaobancocentral
Comissaocpihsbc-20150401reu004-apresentacaobancocentralDaniel Reis Duarte Pousa
 
Partes relacionadas
Partes relacionadasPartes relacionadas
Partes relacionadasAnna Beatriz
 
12º Seminário Controles Internos & Compliance, Auditoria e Gestão de Riscos -...
12º Seminário Controles Internos & Compliance, Auditoria e Gestão de Riscos -...12º Seminário Controles Internos & Compliance, Auditoria e Gestão de Riscos -...
12º Seminário Controles Internos & Compliance, Auditoria e Gestão de Riscos -...CNseg
 
Corporate governance
Corporate governanceCorporate governance
Corporate governancebcf36
 
Governança e Gestão - 5ª Aula
Governança e Gestão - 5ª AulaGovernança e Gestão - 5ª Aula
Governança e Gestão - 5ª AulaAlessandro Almeida
 
COMPLIANCE COMO INSTRUMENTO PARA MINIMIZAR RISCOS NA ATUAÇÃO DE ENTIDADES DO ...
COMPLIANCE COMO INSTRUMENTO PARA MINIMIZAR RISCOS NA ATUAÇÃO DE ENTIDADES DO ...COMPLIANCE COMO INSTRUMENTO PARA MINIMIZAR RISCOS NA ATUAÇÃO DE ENTIDADES DO ...
COMPLIANCE COMO INSTRUMENTO PARA MINIMIZAR RISCOS NA ATUAÇÃO DE ENTIDADES DO ...APF6
 
Auditoria Interna e Auditoria Externa: Quais As Principais Diferenças
Auditoria Interna e Auditoria Externa: Quais As Principais DiferençasAuditoria Interna e Auditoria Externa: Quais As Principais Diferenças
Auditoria Interna e Auditoria Externa: Quais As Principais DiferençasMarlon de Freitas
 

Similaire à Os Impactos da Lei Sarbanes Oxley no Processo de Auditoria e Gestão de TI (20)

Controles internos mba trevisan 2010
Controles internos   mba trevisan 2010Controles internos   mba trevisan 2010
Controles internos mba trevisan 2010
 
Projeto Sox
Projeto SoxProjeto Sox
Projeto Sox
 
Função de Compliance
Função de ComplianceFunção de Compliance
Função de Compliance
 
Jeneffer Ferreira Ribeiro - Artigo Segurança e Auditoria de Sistemas
Jeneffer Ferreira Ribeiro - Artigo Segurança e Auditoria de SistemasJeneffer Ferreira Ribeiro - Artigo Segurança e Auditoria de Sistemas
Jeneffer Ferreira Ribeiro - Artigo Segurança e Auditoria de Sistemas
 
Projeto Sox
Projeto SoxProjeto Sox
Projeto Sox
 
Apresentacao auditoria em destaque
Apresentacao auditoria em destaqueApresentacao auditoria em destaque
Apresentacao auditoria em destaque
 
Aula 9 final 2014.1 ucam - gestao contemp - govern corp
Aula 9 final   2014.1 ucam - gestao contemp - govern corpAula 9 final   2014.1 ucam - gestao contemp - govern corp
Aula 9 final 2014.1 ucam - gestao contemp - govern corp
 
Comissaocpihsbc-20150401reu004-apresentacaobancocentral
Comissaocpihsbc-20150401reu004-apresentacaobancocentralComissaocpihsbc-20150401reu004-apresentacaobancocentral
Comissaocpihsbc-20150401reu004-apresentacaobancocentral
 
Treinamento Coso ICF 2013
Treinamento Coso ICF 2013Treinamento Coso ICF 2013
Treinamento Coso ICF 2013
 
Administracao financeira
Administracao financeiraAdministracao financeira
Administracao financeira
 
Partes relacionadas
Partes relacionadasPartes relacionadas
Partes relacionadas
 
Governança Corporativa
Governança CorporativaGovernança Corporativa
Governança Corporativa
 
12º Seminário Controles Internos & Compliance, Auditoria e Gestão de Riscos -...
12º Seminário Controles Internos & Compliance, Auditoria e Gestão de Riscos -...12º Seminário Controles Internos & Compliance, Auditoria e Gestão de Riscos -...
12º Seminário Controles Internos & Compliance, Auditoria e Gestão de Riscos -...
 
Gestão da TI (12/02/2015)
Gestão da TI (12/02/2015)Gestão da TI (12/02/2015)
Gestão da TI (12/02/2015)
 
Corporate governance
Corporate governanceCorporate governance
Corporate governance
 
Governança e Gestão - 5ª Aula
Governança e Gestão - 5ª AulaGovernança e Gestão - 5ª Aula
Governança e Gestão - 5ª Aula
 
Compliance
ComplianceCompliance
Compliance
 
COMPLIANCE COMO INSTRUMENTO PARA MINIMIZAR RISCOS NA ATUAÇÃO DE ENTIDADES DO ...
COMPLIANCE COMO INSTRUMENTO PARA MINIMIZAR RISCOS NA ATUAÇÃO DE ENTIDADES DO ...COMPLIANCE COMO INSTRUMENTO PARA MINIMIZAR RISCOS NA ATUAÇÃO DE ENTIDADES DO ...
COMPLIANCE COMO INSTRUMENTO PARA MINIMIZAR RISCOS NA ATUAÇÃO DE ENTIDADES DO ...
 
Auditoria Interna e Auditoria Externa: Quais As Principais Diferenças
Auditoria Interna e Auditoria Externa: Quais As Principais DiferençasAuditoria Interna e Auditoria Externa: Quais As Principais Diferenças
Auditoria Interna e Auditoria Externa: Quais As Principais Diferenças
 
Modelo de-diagnostico-estrategico
Modelo de-diagnostico-estrategicoModelo de-diagnostico-estrategico
Modelo de-diagnostico-estrategico
 

Plus de TI Infnet

Mit em Arquitetura de Software
Mit em Arquitetura de SoftwareMit em Arquitetura de Software
Mit em Arquitetura de SoftwareTI Infnet
 
MBA em Comércio Eletrônico
MBA em Comércio EletrônicoMBA em Comércio Eletrônico
MBA em Comércio EletrônicoTI Infnet
 
Mit em Gestão de Bancos de Dados com Oracle
Mit em Gestão de Bancos de Dados com OracleMit em Gestão de Bancos de Dados com Oracle
Mit em Gestão de Bancos de Dados com OracleTI Infnet
 
Inúmeras Razões para Migrar de Oracle 10g para 11g
Inúmeras Razões para Migrar de Oracle 10g para 11g Inúmeras Razões para Migrar de Oracle 10g para 11g
Inúmeras Razões para Migrar de Oracle 10g para 11g TI Infnet
 
Paralelos Pmbok & Engenharia de Software
Paralelos Pmbok & Engenharia de SoftwareParalelos Pmbok & Engenharia de Software
Paralelos Pmbok & Engenharia de SoftwareTI Infnet
 
Desenvolvimento Ria com Java
Desenvolvimento Ria com JavaDesenvolvimento Ria com Java
Desenvolvimento Ria com JavaTI Infnet
 
Metodologia de Gerenciamento De Projetos
Metodologia de Gerenciamento De ProjetosMetodologia de Gerenciamento De Projetos
Metodologia de Gerenciamento De ProjetosTI Infnet
 
Palestra infnet cenário da terceirização de ti no setor público melhores p...
Palestra infnet   cenário da terceirização de ti no setor público  melhores p...Palestra infnet   cenário da terceirização de ti no setor público  melhores p...
Palestra infnet cenário da terceirização de ti no setor público melhores p...TI Infnet
 
Utilização do Modelo de Processos de Negócio pela TI
Utilização do Modelo de Processos de Negócio pela TIUtilização do Modelo de Processos de Negócio pela TI
Utilização do Modelo de Processos de Negócio pela TITI Infnet
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoTI Infnet
 
Apresentação de Governança
Apresentação de GovernançaApresentação de Governança
Apresentação de GovernançaTI Infnet
 
Atualizações do PMBOK 4ª Edição
Atualizações do PMBOK 4ª EdiçãoAtualizações do PMBOK 4ª Edição
Atualizações do PMBOK 4ª EdiçãoTI Infnet
 
O desafio na Gestão de Projetos de TI
O desafio na Gestão de Projetos de TIO desafio na Gestão de Projetos de TI
O desafio na Gestão de Projetos de TITI Infnet
 
Gestão de Carreira em TI
Gestão de Carreira em TIGestão de Carreira em TI
Gestão de Carreira em TITI Infnet
 
Orientação a objetos na prática
Orientação a objetos na práticaOrientação a objetos na prática
Orientação a objetos na práticaTI Infnet
 
Conhecendo Java
Conhecendo JavaConhecendo Java
Conhecendo JavaTI Infnet
 
Virtualização em Sistemas Computacionais - Palestra Infnet
Virtualização em Sistemas Computacionais - Palestra InfnetVirtualização em Sistemas Computacionais - Palestra Infnet
Virtualização em Sistemas Computacionais - Palestra InfnetTI Infnet
 
Portaria No 1 398, De 18 De Setembro De 2009
Portaria No  1 398, De 18 De Setembro De 2009Portaria No  1 398, De 18 De Setembro De 2009
Portaria No 1 398, De 18 De Setembro De 2009TI Infnet
 

Plus de TI Infnet (19)

Mit em Arquitetura de Software
Mit em Arquitetura de SoftwareMit em Arquitetura de Software
Mit em Arquitetura de Software
 
MBA em Comércio Eletrônico
MBA em Comércio EletrônicoMBA em Comércio Eletrônico
MBA em Comércio Eletrônico
 
Mit em Gestão de Bancos de Dados com Oracle
Mit em Gestão de Bancos de Dados com OracleMit em Gestão de Bancos de Dados com Oracle
Mit em Gestão de Bancos de Dados com Oracle
 
Inúmeras Razões para Migrar de Oracle 10g para 11g
Inúmeras Razões para Migrar de Oracle 10g para 11g Inúmeras Razões para Migrar de Oracle 10g para 11g
Inúmeras Razões para Migrar de Oracle 10g para 11g
 
Paralelos Pmbok & Engenharia de Software
Paralelos Pmbok & Engenharia de SoftwareParalelos Pmbok & Engenharia de Software
Paralelos Pmbok & Engenharia de Software
 
Desenvolvimento Ria com Java
Desenvolvimento Ria com JavaDesenvolvimento Ria com Java
Desenvolvimento Ria com Java
 
Liderança
LiderançaLiderança
Liderança
 
Metodologia de Gerenciamento De Projetos
Metodologia de Gerenciamento De ProjetosMetodologia de Gerenciamento De Projetos
Metodologia de Gerenciamento De Projetos
 
Palestra infnet cenário da terceirização de ti no setor público melhores p...
Palestra infnet   cenário da terceirização de ti no setor público  melhores p...Palestra infnet   cenário da terceirização de ti no setor público  melhores p...
Palestra infnet cenário da terceirização de ti no setor público melhores p...
 
Utilização do Modelo de Processos de Negócio pela TI
Utilização do Modelo de Processos de Negócio pela TIUtilização do Modelo de Processos de Negócio pela TI
Utilização do Modelo de Processos de Negócio pela TI
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da Informação
 
Apresentação de Governança
Apresentação de GovernançaApresentação de Governança
Apresentação de Governança
 
Atualizações do PMBOK 4ª Edição
Atualizações do PMBOK 4ª EdiçãoAtualizações do PMBOK 4ª Edição
Atualizações do PMBOK 4ª Edição
 
O desafio na Gestão de Projetos de TI
O desafio na Gestão de Projetos de TIO desafio na Gestão de Projetos de TI
O desafio na Gestão de Projetos de TI
 
Gestão de Carreira em TI
Gestão de Carreira em TIGestão de Carreira em TI
Gestão de Carreira em TI
 
Orientação a objetos na prática
Orientação a objetos na práticaOrientação a objetos na prática
Orientação a objetos na prática
 
Conhecendo Java
Conhecendo JavaConhecendo Java
Conhecendo Java
 
Virtualização em Sistemas Computacionais - Palestra Infnet
Virtualização em Sistemas Computacionais - Palestra InfnetVirtualização em Sistemas Computacionais - Palestra Infnet
Virtualização em Sistemas Computacionais - Palestra Infnet
 
Portaria No 1 398, De 18 De Setembro De 2009
Portaria No  1 398, De 18 De Setembro De 2009Portaria No  1 398, De 18 De Setembro De 2009
Portaria No 1 398, De 18 De Setembro De 2009
 

Dernier

O coelho que não era da Páscoa.pp Saibreiras 2024t
O coelho que não era da Páscoa.pp Saibreiras 2024tO coelho que não era da Páscoa.pp Saibreiras 2024t
O coelho que não era da Páscoa.pp Saibreiras 2024tTeresaCosta92
 
O nazismo é um tema da História que foi e continua sendo muito estudado pela ...
O nazismo é um tema da História que foi e continua sendo muito estudado pela ...O nazismo é um tema da História que foi e continua sendo muito estudado pela ...
O nazismo é um tema da História que foi e continua sendo muito estudado pela ...assessoriaff08
 
atividades-de-portugues-para-3-ano-1.pdf
atividades-de-portugues-para-3-ano-1.pdfatividades-de-portugues-para-3-ano-1.pdf
atividades-de-portugues-para-3-ano-1.pdfDanielle Silva
 
Slides Lição 1, CPAD, O Início da Caminhada, 2Tr24, Pr Henrique.pptx
Slides Lição 1, CPAD, O Início da Caminhada, 2Tr24, Pr Henrique.pptxSlides Lição 1, CPAD, O Início da Caminhada, 2Tr24, Pr Henrique.pptx
Slides Lição 1, CPAD, O Início da Caminhada, 2Tr24, Pr Henrique.pptxLuizHenriquedeAlmeid6
 
Ciclo de vida do mosquito Aedes aegypti e cruzadinha
Ciclo de vida do mosquito Aedes aegypti  e cruzadinhaCiclo de vida do mosquito Aedes aegypti  e cruzadinha
Ciclo de vida do mosquito Aedes aegypti e cruzadinhaMary Alvarenga
 
Treinamento de Avaliação de Desempenho HBB
Treinamento de Avaliação de Desempenho HBBTreinamento de Avaliação de Desempenho HBB
Treinamento de Avaliação de Desempenho HBBDiegoFelicioTexeira
 
Mês da Leitura - Agrupamento de Escolas de Vagos 2024.pdf
Mês da Leitura - Agrupamento de Escolas de Vagos 2024.pdfMês da Leitura - Agrupamento de Escolas de Vagos 2024.pdf
Mês da Leitura - Agrupamento de Escolas de Vagos 2024.pdfEscolaSecundria2
 
O Espectro do Autismo e a inclusão escolarpdf
O Espectro do Autismo e a inclusão escolarpdfO Espectro do Autismo e a inclusão escolarpdf
O Espectro do Autismo e a inclusão escolarpdfLucliaResende1
 
01 - Introdução ao fundamentos de lógica
01 - Introdução ao fundamentos de lógica01 - Introdução ao fundamentos de lógica
01 - Introdução ao fundamentos de lógicapedrinabrasil071
 
A Voz na Sua Cabeça: Desvendando o Poder da Auto conversa
A Voz na Sua Cabeça: Desvendando o Poder da Auto conversaA Voz na Sua Cabeça: Desvendando o Poder da Auto conversa
A Voz na Sua Cabeça: Desvendando o Poder da Auto conversarosanastf2
 
Termo de audiência de Mauro Cid na ìntegra
Termo de audiência de Mauro Cid na ìntegraTermo de audiência de Mauro Cid na ìntegra
Termo de audiência de Mauro Cid na ìntegrafernando846621
 
Caça palavras - BULLYING
Caça palavras  -  BULLYING  Caça palavras  -  BULLYING
Caça palavras - BULLYING Mary Alvarenga
 
Depende De Nós! José Ernesto Ferraresso.ppsx
Depende De Nós! José Ernesto Ferraresso.ppsxDepende De Nós! José Ernesto Ferraresso.ppsx
Depende De Nós! José Ernesto Ferraresso.ppsxLuzia Gabriele
 
Slides Lição 1, Betel, Ordenança para crer e descer às águas batismais, 2Tr24...
Slides Lição 1, Betel, Ordenança para crer e descer às águas batismais, 2Tr24...Slides Lição 1, Betel, Ordenança para crer e descer às águas batismais, 2Tr24...
Slides Lição 1, Betel, Ordenança para crer e descer às águas batismais, 2Tr24...LuizHenriquedeAlmeid6
 
Cruzadinha da dengue - Mosquito Aedes aegypti
Cruzadinha da dengue - Mosquito Aedes aegyptiCruzadinha da dengue - Mosquito Aedes aegypti
Cruzadinha da dengue - Mosquito Aedes aegyptiMary Alvarenga
 
AS REBELIÕES NA AMERICA IBERICA (Prof. Francisco Leite)
AS REBELIÕES NA AMERICA IBERICA (Prof. Francisco Leite)AS REBELIÕES NA AMERICA IBERICA (Prof. Francisco Leite)
AS REBELIÕES NA AMERICA IBERICA (Prof. Francisco Leite)profesfrancleite
 
Análise do Comportamento Aplicada e Inclusão
Análise do Comportamento  Aplicada  e InclusãoAnálise do Comportamento  Aplicada  e Inclusão
Análise do Comportamento Aplicada e Inclusãovivianecristinadenar
 
Trabalho DAC História 25 de Abril de 1974
Trabalho DAC História 25 de Abril de 1974Trabalho DAC História 25 de Abril de 1974
Trabalho DAC História 25 de Abril de 1974AnaRitaFreitas7
 
Explique o modelo de determinação social da saúde proposto por Dahlgren e Whi...
Explique o modelo de determinação social da saúde proposto por Dahlgren e Whi...Explique o modelo de determinação social da saúde proposto por Dahlgren e Whi...
Explique o modelo de determinação social da saúde proposto por Dahlgren e Whi...excellenceeducaciona
 
FORMAÇÃO POVO BRASILEIRO atividade de história
FORMAÇÃO POVO BRASILEIRO atividade de históriaFORMAÇÃO POVO BRASILEIRO atividade de história
FORMAÇÃO POVO BRASILEIRO atividade de históriaBenigno Andrade Vieira
 

Dernier (20)

O coelho que não era da Páscoa.pp Saibreiras 2024t
O coelho que não era da Páscoa.pp Saibreiras 2024tO coelho que não era da Páscoa.pp Saibreiras 2024t
O coelho que não era da Páscoa.pp Saibreiras 2024t
 
O nazismo é um tema da História que foi e continua sendo muito estudado pela ...
O nazismo é um tema da História que foi e continua sendo muito estudado pela ...O nazismo é um tema da História que foi e continua sendo muito estudado pela ...
O nazismo é um tema da História que foi e continua sendo muito estudado pela ...
 
atividades-de-portugues-para-3-ano-1.pdf
atividades-de-portugues-para-3-ano-1.pdfatividades-de-portugues-para-3-ano-1.pdf
atividades-de-portugues-para-3-ano-1.pdf
 
Slides Lição 1, CPAD, O Início da Caminhada, 2Tr24, Pr Henrique.pptx
Slides Lição 1, CPAD, O Início da Caminhada, 2Tr24, Pr Henrique.pptxSlides Lição 1, CPAD, O Início da Caminhada, 2Tr24, Pr Henrique.pptx
Slides Lição 1, CPAD, O Início da Caminhada, 2Tr24, Pr Henrique.pptx
 
Ciclo de vida do mosquito Aedes aegypti e cruzadinha
Ciclo de vida do mosquito Aedes aegypti  e cruzadinhaCiclo de vida do mosquito Aedes aegypti  e cruzadinha
Ciclo de vida do mosquito Aedes aegypti e cruzadinha
 
Treinamento de Avaliação de Desempenho HBB
Treinamento de Avaliação de Desempenho HBBTreinamento de Avaliação de Desempenho HBB
Treinamento de Avaliação de Desempenho HBB
 
Mês da Leitura - Agrupamento de Escolas de Vagos 2024.pdf
Mês da Leitura - Agrupamento de Escolas de Vagos 2024.pdfMês da Leitura - Agrupamento de Escolas de Vagos 2024.pdf
Mês da Leitura - Agrupamento de Escolas de Vagos 2024.pdf
 
O Espectro do Autismo e a inclusão escolarpdf
O Espectro do Autismo e a inclusão escolarpdfO Espectro do Autismo e a inclusão escolarpdf
O Espectro do Autismo e a inclusão escolarpdf
 
01 - Introdução ao fundamentos de lógica
01 - Introdução ao fundamentos de lógica01 - Introdução ao fundamentos de lógica
01 - Introdução ao fundamentos de lógica
 
A Voz na Sua Cabeça: Desvendando o Poder da Auto conversa
A Voz na Sua Cabeça: Desvendando o Poder da Auto conversaA Voz na Sua Cabeça: Desvendando o Poder da Auto conversa
A Voz na Sua Cabeça: Desvendando o Poder da Auto conversa
 
Termo de audiência de Mauro Cid na ìntegra
Termo de audiência de Mauro Cid na ìntegraTermo de audiência de Mauro Cid na ìntegra
Termo de audiência de Mauro Cid na ìntegra
 
Caça palavras - BULLYING
Caça palavras  -  BULLYING  Caça palavras  -  BULLYING
Caça palavras - BULLYING
 
Depende De Nós! José Ernesto Ferraresso.ppsx
Depende De Nós! José Ernesto Ferraresso.ppsxDepende De Nós! José Ernesto Ferraresso.ppsx
Depende De Nós! José Ernesto Ferraresso.ppsx
 
Slides Lição 1, Betel, Ordenança para crer e descer às águas batismais, 2Tr24...
Slides Lição 1, Betel, Ordenança para crer e descer às águas batismais, 2Tr24...Slides Lição 1, Betel, Ordenança para crer e descer às águas batismais, 2Tr24...
Slides Lição 1, Betel, Ordenança para crer e descer às águas batismais, 2Tr24...
 
Cruzadinha da dengue - Mosquito Aedes aegypti
Cruzadinha da dengue - Mosquito Aedes aegyptiCruzadinha da dengue - Mosquito Aedes aegypti
Cruzadinha da dengue - Mosquito Aedes aegypti
 
AS REBELIÕES NA AMERICA IBERICA (Prof. Francisco Leite)
AS REBELIÕES NA AMERICA IBERICA (Prof. Francisco Leite)AS REBELIÕES NA AMERICA IBERICA (Prof. Francisco Leite)
AS REBELIÕES NA AMERICA IBERICA (Prof. Francisco Leite)
 
Análise do Comportamento Aplicada e Inclusão
Análise do Comportamento  Aplicada  e InclusãoAnálise do Comportamento  Aplicada  e Inclusão
Análise do Comportamento Aplicada e Inclusão
 
Trabalho DAC História 25 de Abril de 1974
Trabalho DAC História 25 de Abril de 1974Trabalho DAC História 25 de Abril de 1974
Trabalho DAC História 25 de Abril de 1974
 
Explique o modelo de determinação social da saúde proposto por Dahlgren e Whi...
Explique o modelo de determinação social da saúde proposto por Dahlgren e Whi...Explique o modelo de determinação social da saúde proposto por Dahlgren e Whi...
Explique o modelo de determinação social da saúde proposto por Dahlgren e Whi...
 
FORMAÇÃO POVO BRASILEIRO atividade de história
FORMAÇÃO POVO BRASILEIRO atividade de históriaFORMAÇÃO POVO BRASILEIRO atividade de história
FORMAÇÃO POVO BRASILEIRO atividade de história
 

Os Impactos da Lei Sarbanes Oxley no Processo de Auditoria e Gestão de TI

  • 2. Termo de Isenção de Responsabilidade O autor não se responsabiliza pelo uso inadequado, indevido e/ou desautorizado, em todo ou em parte, do conteúdo e/ou informações aqui apresentadas. A utilização dessa mídia está condicionada a prévia autorização. Aproveite a apresentação para ampliar seus conhecimentos em Governança de TI e usá-los com responsabilidade.
  • 3. Agenda Introdução: Sarbanes-Oxley O que é Contexto histórico Objetivos Amplitude Governança Corporativa Controles Interno Ambiente de negócios Ambiente de TI O Gestor A Auditoria Executivos no Brasil Sarbanes-Oxley Seção 302 Seção 404 PCAOB Std 5 Metas do PCAOB Regulamentações relacionadas com a Sox SEC Standard & Poor’s Impactos da SOX MW em TI Novos processos Conseqüências
  • 6. SOX é um a lei
  • 9. Contexto histórico • Descoberta de grandes companhias que manipulavam informações financeiras (escândalos financeiros da Enron, Tyco, WorldCom...). • Abalo na estrutura do mercado de capitais americano (fuga de investidores, queda da captação de recursos). • Necessidade de maior transparência na divulgação dessas informações nos atos da alta administração das empresas.
  • 10. Objetivos • Elevar o nível de responsabilidade e comprometimento da Direção das Companhias. • Melhorar a Governança Corporativa das empresas e o ambiente de controles internos. • Aumentar a supervisão sobre as Demonstrações Financeiras apresentadas pelas Companhias. • Restituir a confiança do investidor no mercado de capital e nos auditores independentes.
  • 11. Objetivos Busca, por meios tangíveis, “reparar” a perda da confiança pública nos líderes empresariais norte-americanos e enfatizar mais uma vez a importância dos padrões éticos na preparação das informações financeiras reportadas aos investidores.
  • 13. Sox TÍTULO I - CONSELHO DE FISCALIZAÇÃO DAS NORMAS PÚBLICAS DE CONTABILIDADE DAS EMPRESAS TÍTULO II - AUDITORES INDEPENDENTES TÍTULO III - RESPONSABILIDADE DAS EMPRESAS TÍTULO IV - DIVULGAÇÕESFINANCEIRAS ADITADAS TÍTULO V - CONFLITO DE INTERESSES DOS ANALISTAS TÍTULO VI - RECURSOS E PODERES DAS COMISSÕES TÍTULO IX - PENAS PARA CRIMES DE COLARINHO BRANCO TÍTULO X - RESTITUIÇÃO DE IMPOSTOS PAGOS PELAS EMPRESAS TÍTULO XI - FRAUDE DENTRO DO ÂMBITO EMPRESARIAL E NA CONTABILIDADE
  • 14. E-Sox A chamada E-SOx, ou Euro-SOx, na realidade não é uma única norma mas um conjunto de normas aprovadas entre 2003 e 2006 e que dizem respeito aos assuntos tratados de forma unitária pelas SOx dos EUA. Diretiva 2003/6/CE sobre Abusos e Manipulações nos Mercados. Diretiva 2004/109/CE sobre Transparência nas Demonstrações Financeiras. Diretiva 2006/43/CE sobre Procedimentos Obrigatórios de Auditoria.
  • 15. E-Sox • A primeira norma a ser publicada foi, em 2003, a Diretiva 2003/6/CE sobre Abusos e Manipulações nos Mercados. Os pontos principais da Diretiva são: – Abuso de informações – Divulgação e controle de informações internas por parte de emissores – Relatório de transações realizada por executivos – Manipulação de mercado – Relatório de transações suspeitas – Recomendações de pesquisa – Estabilização e Recompra de ações • Em 2004 foi criada a Diretiva 2004/109/CE sobre Transparência nas Demonstrações Financeiras. Os pontos principais da Diretiva são: – Divulgação de informações financeiras periódicas – Critérios e Responsabilidades – Atualização das informações sobre os principais acionistas – Disseminação de Informações Regulamentadas – Comunicação de emendas aos estatutos de incorporação • Em 2006 foi criada a Diretiva 2006/43/CE sobre Procedimentos Obrigatórios de Auditoria. Os pontos principais da Diretiva são: – Educação e Qualificações – Ética – Standards (padrões) e Relatórios – Supervisão Publica, Investigações, Disciplina e cooperação com outras autoridades da EEA – Contratação e Demissão – Auditores de Paises Terceiros – Divulgação da remuneração dos Auditores
  • 16. J-Sox J-SOx é o nome informal dado a um conjunto de norma Japonesas relativas a controles internos e divulgação de relatórios financeiros (ICFR) que fazem parte do da Lei Japonesa sobre Instrumentos Financeiros e Bolsas (Japanese Financial Instruments and Exchange Law). Esta lei foi promulgada em Junho de 2006 na forma de uma emenda da Lei Japonesa das Ações e Bolsas (Japanese Securities and Exchange Law), como conseqüência de uma serie de fraudes contábeis e na divulgação de relatórios financeiros. Este conjunto de normas é chamado J-SOx porque foi modelado com base na SOx (Lei Sarbanes-Oxley) dos EUA. A J-SOx obriga todas as empresas listadas nas bolsas Japonesas a reforçar os controles internos e a garantir uma completa e acurada divulgação das informações financeiras. O guia de implementação da J-SOx, publicado pela Japanese Financial Service Agency (FSA), recomenda uma postura centrada nos riscos, foco em contas e processos que sejam significativos.
  • 17. J-Sox A seção 1 estipula uma estrutura de controle: • Ambiente de Controle • Avaliação dos riscos • Atividades de Controle • Informação e Comunicação • Monitoramento • Resposta a IT A seção 2 trata de: • Definição de “Relatórios Financeiros”. • Objetivos das avaliações da diretoria • Estrutura e método para avaliação dos controles internos e uso de especialistas • Avaliação dos níveis de controle da empresa • Controles em nível de processos – avaliação da efetividade operacional • Registro e Retenção dos procedimentos de avaliação A Seção 3 trata da auditoria: • O significado do “Relatório Indireto dos Auditores” • Tamanho da amostra para testar a efetividade operacional • Uso do trabalho dos auditores internos e/ou outros • Reporte sobre fraquezas matérias e outras condições dignas de serem relatadas
  • 20. Governança Corporativa Governança Corporativa é o sistema pelo qual as sociedades são dirigidas e monitoradas, envolvendo os relacionamentos entre Acionistas/Cotistas, Conselho de Administração, Diretoria, Auditoria Independente e Conselho Fiscal. A preocupação da Governança Corporativa é criar um conjunto eficiente de mecanismos, a fim de assegurar que o comportamento dos executivos esteja sempre alinhado com o interesse dos acionistas (“agency cost”). A boa Governança proporciona aos proprietários (acionistas ou cotistas) a gestão estratégica de sua empresa e a monitoração da direção executiva. A empresa que opta pelas boas práticas de Governança Corporativa adota como linhas mestras a transparência, a prestação de contas, a equidade e a responsabilidade corporativa (princípios da governança do IBGC). Fonte: Instituto Brasileiro de Governança Corporativa
  • 21. Governança Corporativa Fonte: Instituto Brasileiro de Governança Corporativa
  • 22. O Controle Interno O controle é um mecanismo manual ou sistêmico que minimiza ou elimina a possibilidade de ocorrência dos riscos do negócio. É desenvolvido para garantir, com razoável margem de segurança, que os seguintes objetivos serão atingidos: • Desempenho e eficiência das operações; • Confiabilidade dos relatórios financeiros; e • Conformidade com as leis e regulamentações aplicáveis. O Ambiente de Controles Internos de uma organização deve considerar: • O nível de Conscientização sobre controles – Geralmente considera a avaliação dos controles no Nível da Entidade; • Os Mecanismos de controle - geralmente considera a avaliação no nível de processos, transações e aplicativos.
  • 23. Estrutura de controle interno • SOX requer que as empresas adotem um estrutura de controle (control framework). • COSO (Committee of Sponsoring Organizations of the Treadway Commission) define uma estrutura: – Controle do ambiente: disciplina e estrutura – Avaliação de riscos: econômico, industrial, operacional – Controle das atividades: aprovação, reconciliação, segregação – Informação e comunicação – Monitoração
  • 24. Estrutura de controle interno O primeiro objeto de estudo do COSO foi o controle interno, resultando na publicação em 1992 do trabalho "Internal Control - Integrated Framework" (Controles Internos – Um Modelo Integrado), que se tornou referência mundial para o estudo e a aplicação dos controles internos (COSO I). Em setembro de 2004, foi publicada o “Enterprise Risk Management” (Gerenciamento de Riscos Corporativos), que se tornou referência para o gestão de riscos (COSO II). COSO I COSO II CONTROLE INTERNO GERENCIAMENTO DE RISCO Ambiente de controle.................................Ambiente internoAmbiente interno FixaFixaççãoão dede objetivosobjetivos IdentificaIdentificaççãoão dede eventoseventos Avaliação de riscos....................................Avaliação de riscos RespostaResposta ao riscoao risco Atividades de controle................................Atividades de controle Informação & comunicação.........................Informação & Comunicação Monitoramento..........................................Monitoramento
  • 25. Estrutura de controle interno Componentesdo gerenciamento derisco COSO II 2004 COSO I 1992 Ambiente de Controle Avaliação de Riscos Atividades de Controle Informação e Comunicação Monitoramento
  • 27. O que são Controles Chave?
  • 29. Ambiente de TI O Cobit (Control Objectives for Information and related Technology) é um modelo estruturado de Governança em TI, que prevê objetivos em nível corporativo e de atividades por meio de controles associados. A utilização do COBIT é um dos padrões que permite uma organização desenhar um sistema de controles de TI, aderentes à SOX 404.
  • 30. Objetivos de controle de TI para Sarbanes-Oxley - TIGC Fonte: PCAOB Auditing Standard No. 2 and Control Objectives for Information and related Technology
  • 31. Porque TI deve ser considerada no escopo de um trabalho de SOX? Ambiente Geral de TI Sistemas e Aplicativos Processos de negócios Demonstrações Financeiras Identificação do ambiente de TI que processa os sistemas/sistemas Identificação dos aplicativos que suportam os processos Identificação dos processos que afetam as contas Identificação das contas significativas das demostrações
  • 32. Controles de TI – TICA e TIGC PROCESSO I PROCESSO I I PROCESSOS SIGNIFICATIVOS PROCESSO I I I SISTEMA D SISTEMA ESISTEMA CSISTEMA BSISTEMA A BANCOS DE DADOS SISTEMAS OPERACIONAIS REDE CONTROLES AUTOMÁTICOS DAS APLICAÇÕES QUE GERAM IMPACTO FINANCEIRO (TICA) CONTROLES DOS PROCESSOS GERAIS DA ÁREA DE TECNOLOGIA QUE SUPORTAM OS PROCESSOS DE NEGÓCIO E AS APLICAÇÕES FINANCEIRAS (TIGC)
  • 35. Controles de Aplicação Podemos considerar que os controles na aplicação se resumem em 2 grupos: – Perfis de acesso dos aplicativos / sistemas – Controles Automatizados
  • 36. Perfis de acesso dos aplicativos / sistemas • Direitos de acesso dos usuários às funcionalidades dos aplicativo/sistema de acordo com suas responsabilidades funcionais • Foco em segregação de funções • Ex. Perfis de acesso são configurados na aplicação de forma a possibilitar que, somente pessoas autorizadas possam executar determinadas atividades e ter acesso a determinadas informações.
  • 37. Controles Automatizados • Controles internos que estão inseridos/implantados nos aplicativos e/ou sistemas • O nível de testes a serem executados deve ser suficiente para garantir que os controles automatizados estão operando eficientemente.
  • 38. Controles Automatizados • 1 - Validação de entrada de dados Ex. O sistema compara a informação inserida com dados pré-definidos, dados contidos em tabelas ou intervalos. • 2 - Cálculo Ex. O calculo se baseia em fórmula programada no sistema. O cálculo é suportado por tabelas contendo as informações necessárias para serem empregadas na fórmula. • 3 - Interface entre sistemas Ex. Um sistema compara a informação proveniente de outro sistema e aponta eventuais problemas. • 4 - Limite de tolerância Ex. O sistema permite a entrada da informação com base em margem de tolerância previamente definida. • 5 - Limite de aprovação Ex. A aplicação é configurada para requerer aprovações de acordo com critérios previamente definidos no sistema. • 6 - Totais automatizados Ex. A aplicação possui relatórios com totais e sub-totais que permitem a verificação de informações inseridas. • 7 - Atualização de tabelas mestre Ex. Uma tabela armazena as informações-chave, que serão utilizadas pelas aplicações durante a execução de uma atividade
  • 39. Controle humano Teoria Clássica da Administração – Henry Fayol Prever, Organizar, Comandar, Coordenar e Controlar Teoria Neoclássica – Peter Drucker Planejar, Organizar, Liderar e Controlar
  • 40. O Gestor • Promove a mudança na conduta de executivos, impondo responsabilidade civil e criminal para Presidente (CEO) e Diretor Financeiro (CFO) das empresas. • Prevê penalidades criminais para o CEO e CFO, quando ficar caracterizado o uso de má fé nas informações divulgadas nas demonstrações financeiras (multa de 1 até U$ 5 milhões e de 10 até 20 anos de prisão). • Prevê penalidades criminais em caso de alteração, destruição ou falsificação de registros ou documentos com o objetivo de dificultar/impedir um procedimento oficial.
  • 41. O valor da Auditoria Interna para as partes interessadas A boa governança, gestão de riscos e controles internos são essenciais para o sucesso de uma organização e sua longevidade. A Auditoria Interna auxilia a administração e os órgãos de governo (por exemplo, o conselho de administração, comitê de auditoria), no cumprimento de suas responsabilidades, tranzendo uma abordagem sistemática e disciplinada para avaliar a eficácia do desenho e da execução do sistema de controles internos e processos de gestão de riscos. Fonte: Instituto dos Auditores Internos do Brasil
  • 42. O que esperar da Auditoria Interna Fonte: Instituto dos Auditores Internos do Brasil
  • 43. O que esperar da Auditoria Interna Fonte: Instituto dos Auditores Internos do Brasil
  • 44. O que esperar da Auditoria Interna Fonte: Instituto dos Auditores Internos do Brasil
  • 45. O que esperar da Auditoria Interna Fonte: Instituto dos Auditores Internos do Brasil
  • 46. A Auditoria na Sox • Determina avaliação anual, pelos auditores externos, dos controles e procedimentos internos das empresas para emissão de seus relatórios financeiros, atestando sua eficácia. • Prevê penalidades para os auditores que deixarem de revelar fatos, apresentar documentos ou cooperar com eventual investigação financeira.
  • 47. Executivos no Brasil • Não existe um tratado de extradição entre Brasil e Estados Unidos. • O executivo brasileiro em falta: – Não corre o risco de ser colocado em uma prisão americana, pelo menos enquanto não desembarcar nos Estados Unidos. – Pode ter de arcar como pessoa física com as pesadas multas. – A CVM (Comissão de Valores Mobiliários) estabelece punições. – O Ministério Público pode abrir um processo. – A SEC pode solicitar às autoridades brasileiras que estabeleçam punições adicionais (multas maiores e impedimento para atuar no mercado).
  • 49. Título III – Responsabilidade das empresas Seção 302 - Responsabilidade Relatórios Financeiros A Comissão exigirá, por meio de norma, que cada sociedade que faça relatórios periódicos, de acordo com a seção 13(a) ou 15 (d) da lei da Bolsa de Valores de 1934 (15 v.S.C. 78 m, 78 o(d)), que o principal executivo ou executivos, e o diretor, ou diretores, financeiro principal, ou pessoas que desempenhem funções semelhantes, certifiquem em cada relatório anual ou trimestral preenchido ou apresentado sob cada seção de tal Lei que: 1) O executivo que estiver assinando, revisou o relatório; 2) Baseado no conhecimento do executivo, o relatório não contém qualquer declaração falsa de um fato material ou omita a declaração de um fato material necessário para efetuar as declarações realizadas, à vista das circunstâncias sob as quais tais declarações foram realizadas, de forma não-enganosa; 3) Baseado no conhecimento do executivo, as declarações financeiras, e outras informações financeiras incluídas no relatório, razoavelmente presente em todos os relatórios dizem respeito à condição financeira e resultados de operações do emissor referentes, ou para, os períodos apresentados no relatório;
  • 50. Título III – Responsabilidade das empresas Seção 302 - Responsabilidade Relatórios Financeiros 4) os executivos que assinam: – A) são responsáveis pelo estabelecimento e manutenção de controles internos; – B) planejaram tais controles internos para assegurar que informações importantes em relação ao emissor e suas subsidiárias consolidadas sejam divulgadas para tais executivos através de outros dentro daquelas entidades, particularmente durante o período no qual os relatórios periódicos estão sendo preparados; – C) avaliaram a vigência dos controles internos do emissor dentro do prazo de 90 dias anteriores ao relatório; e – D) apresentaram suas conclusões no relatório sobre a vigência dos seus controles internos baseadas na avaliação em relação àquele período;
  • 51. Título III – Responsabilidade das empresas Seção 302 - Responsabilidade Relatórios Financeiros 5) os executivos que assinam revelaram para os auditores do emissor e para o comitê de auditoria do conselho de diretores (ou pessoas que estejam desempenhando função equivalente): – A) todas as deficiências significativas no planejamento ou operação de controles internos que afetassem de forma adversa a capacidade do emissor para registrar, processar, resumir e relatar dados financeiros e identificaram para os auditores do emissor qualquer deficiência importante nos controles internos; e – B) qualquer fraude, significativa, ou não, que envolva a gerência ou outros empregados que possuam um papel importante nos controles internos do emissor; e
  • 52. Título III – Responsabilidade das empresas Seção 302 - Responsabilidade Relatórios Financeiros 6) os executivos que assinam indicaram no relatório se ocorreram, ou não, mudanças significativas nos controles internos ou em outros fatores que pudessem afetar de forma significativa os controles internos após a data de sua avaliação, inclusive quaisquer medidas corretivas em relação a deficiências significativas e fraquezas materiais. b) REINCORPORAÇÕES ESTRANGEIRAS NÃO POSSUEM NENHUMA VALIDADE.- Nenhuma parte desta seção 302 será interpretada ou utilizada para, sob qualquer forma, permitir que um emissor diminua a validade legal da declaração exigida, pela re-incorporação ou associação de qualquer emissor em qualquer outra transação que tenha resultado na transferência do domicílio da sociedade ou dos escritórios do emissor, dos Estados Unidos para qualquer local fora do mesmo. c) DATA FINAL: As normas exigidas por esta subseção (a) entrarão em vigor em prazo não superior a 30 dias após a promulgação desta Lei.
  • 53. Título IV – Divulgações financeiras aditadas Seção 404 - Avaliação Gerencial dos Controles Internos A Comissão determinará normas exigindo que cada relatório anual exigido pela seção 13(a) ou 15(d) da Lei da Bolsa de Valores de 1934 (15 U.S.C. 78(m) ou 78(d)) contenha um relatório de controle interno, que irá: 1) definir a responsabilidade de gerenciamento para estabelecer e manter uma estrutura de controle interno adequado e procedimentos para os relatórios financeiros; e 2) conter uma avaliação, em relação ao ano fiscal mais recente, do emissor, da efetividade dos procedimentos e estruturas de controle interno para os relatórios financeiros.
  • 54. PCAOB Std 5 Principais tópicos: • Abordagem Top-Down e Risk Based; • Entity Level; • Walkthroughs; • Prevenção de fraudes; • Flexibilidade para utilização dos trabalhos da Administração; • Avaliação e comunicação de deficiências; • Rotação de testes de controles. Em 24 de maio de 2007, o Public Company Accounting Oversight Board (PCAOB) aprovou o standard 5. http://pcaobus.org
  • 55. Abordagem Top-Down Os auditores devem iniciar seus trabalhos identificando contas contábeis significativas, assertivas relevantes e controles que mitiguem riscos de inconsistências nas Demonstrações Financeiras. Reforça a idéia de que uma abordagem quantitativa apenas para identificar contas significativas não é suficiente, existindo sempre a necessidade de efetuar análises qualitativas em conjunto. Durante a identificação de controles, devem ser priorizados controles no nível de entidade (Entity Level) que possam mitigar os riscos de inconsistências nas Demonstrações Financeiras. Áreas consideradas de baixo risco podem ser privilegiadas com a redução de amostras e extensão de testes, desde que não tenham apresentados controles deficientes em períodos anteriores.
  • 56. Relevância dos Controles no Nível de Entidade (Entity Level) Os controles de nível de entidade (Entity Level) podem mitigar itens de risco baixo e moderado sem a necessidade de testes detalhados no nível de transação. Independente da existência de Controles Diretos no nível de entidade, controles no nível de processo para as áreas de risco elevado, que requerem maior atenção, devem ser avaliados.
  • 57. Flexibilidade para utilização dos trabalhos da administração O standard possibilita uma estrutura (framework) de trabalho única, que permite ao auditor externo utilizar de forma mais abrangente os trabalhos da administração das empresas na sua avaliação dos Controles Internos que afetam as Demonstrações Financeiras. Para utilização efetiva dos trabalhos da administração, os auditores externos precisam ter confiança de que os trabalhos foram conduzidos por equipes competentes e independentes, de forma que os resultados não estejam comprometidos. O novo standard busca prover flexibilidade para estender a utilização do trabalhos de outros (Administração), incluindo o ambiente geral de controles e performance dos walkthroughs. O auditor sempre deve executar testes em áreas que representem riscos elevados para as demonstrações financeiras.
  • 58. Walkthroughs O standard 2 anterior do PCAOB determinava que procedimentos de “walkthrough” deveriam ser efetuados para todas as transações relevantes dentro dos processos O novo standard 5 do PCAOB determina que os procedimentos de “walkthrough” devem ser efetuados no nível de processos, e não de transações como era executado anteriormente. Muitas empresas já estavam efetuando procedimentos de “walkthrough” por processos e sub processos, de forma que essa alteração apenas formalizou o que já estava sendo efetuado e pode não trazer redução significativa de esforço
  • 59. Ênfase em controles para prevenção de fraudes A administração das empresas e os auditores externos devem considerar no início dos trabalhos os principais riscos de fraude e identificar os controles que mitigam esses riscos. A avaliação de riscos de fraude que é efetuada para a auditoria das demonstrações financeiras, também deve ser considerada pela administração e pelos auditores durante os trabalhos de avaliação do ambiente de controles. A avaliação dos controles que mitigam riscos de fraude deve considerar fortemente a existência de controles que possam ser desconsiderados ou anulados (override) pelos executivos das empresas.
  • 60. Mudança na avaliação e comunicação de deficiências Alinhamento das definições de deficiência material (Material Weakness) com o novo guia de implementação da SEC Alteração da definição de deficiência significativa (Significant Deficiency) Deficiência Significativa é menos importante que uma deficiência material, mas deve ser sempre merecer atenção por parte das pessoas responsáveis pelos controles que afetam as demonstrações financeiras Deficiências materiais e significativas devem ser sempre reportadas ao Comitê de Auditoria (Conselho Fiscal Turbinado), independente da inclusão ou não dessas deficiências na avaliação da administração. Todas as empresas que apresentarem uma ou mais deficiências materiais (Material Weakness) terão seu ambiente de controle considerado ineficaz.
  • 61. Impossibilidade de efetuar rotação de testes de controles O standard não permite que sejam efetuadas rotações de testes para os controles identificados como chaves para mitigar os riscos de inconsistências nas demonstrações financeiras Porém o standard prove flexibilidade para reduzir testes baseados em conhecimento prévio de anos anteriores. Para alguns controles de riscos baixos testados depois do primeiro ano, e que não tenham um histórico de problemas, o walkthrough sozinho ou até um procedimento de Control Self Assessment pode prover evidência suficiente de efetividade.
  • 62. Principais Metas dos Padrões de Auditoria PCAOB • Focar a Auditoria nos Assuntos mais Relevantes. • Eliminar Procedimentos Desnecessários. • Customizar Auditoria para Companhias Menores. • Simplificar os Padrões e suas Exigências.
  • 63. Focar a Auditoria nos Assuntos mais Relevantes Requer uma segurança razoável, que significa um alto nível de segurança sobre a existência de deficiências materiais (Material Weakness) durante o período especificado na avaliação da Administração. Utilizar uma abordagem top-down, baseada em risco e consistente com o guia do PCAOB de 16 de Maio de 2005. Utilizar avaliação de risco durante a auditoria, considerando inclusive os resultados de procedimentos de testes substanciais de auditoria. Entretanto, para obter evidência sobre efetividade de um controle, o mesmo deve ser testado diretamente (não pode ser inferido através da auditoria das demonstrações financeiras).
  • 64. Eliminar Procedimentos Desnecessários Eliminar requerimento do auditor dar uma opinião separada sobre a avaliação da Administração. Prover flexibilidade para reduzir testes baseados em conhecimento prévio de anos anteriores. Ainda que rotação de testes para controles chaves não seja permitida, para alguns controles de riscos baixos testados depois do primeiro ano, o walkthrough sozinho pode prover evidência suficiente de efetividade. Eliminar requerimento de testar controles sobre a “grande parte” da companhia. Prover flexibilidade para estender a utilização do trabalhos de outros (Administração), incluindo o ambiente geral de controles e performance dos walkthroughs sobre nossa supervisão direta; eliminar em alguns casos princípios de requerimento de evidência.
  • 65. Customizar Auditoria para Companhias Menores Requer do auditor uma avaliação do tamanho e complexidade da companhia no planejamento e performance da auditoria. Incluir descrições de alguns atributos de companhias menores e menos complexas, que as diferem das companhias maiores.
  • 66. Simplificar os Padrões e suas Exigências Reduzir significativamente o Standard e reorganizá-lo para seguir o fluxo seqüencial da auditoria. Revisar as definições de Deficiência Material (Material Weakness) e Deficiência Significativa (Significant Deficiency), substituindo “possibilidades razoáveis” por “mais que remota” e “significante” por “mais que inconseqüente”.. Esclarecer que fortes indicadores de Deficiência Material (Material Weakness) não começam por ser ao menos uma Deficiência Significativa (Significant Deficiency), Medições anuais, e não provisórias, de materialidade devem ser usadas para o escopo de auditoria. Materialidade para demonstrações financeiras de interim são consideradas apenas na avaliação de deficiências.
  • 68. Securities Exchange Commission - SEC Guia que demonstra como a administração das empresas poderá conduzir a avaliação dos controles internos que afetam as demonstrações financeiras, assim como reduzir custos. http://www.sec.gov
  • 69. Standard & Poor’s O Standard & Poor’s estabelece diretrizes de uma avaliação mais estruturada e disciplinar dos riscos para elaboração de um Modelo de Gestão de Risco Integrada. http://www.standardandpoors.com
  • 71. Principais Material Weaknesses em TI reportados pelas empresas • Competência e treinamento adequado dos funcionários • Controles inadequados de TI para acesso aos sistemas contábil e financeiro e recuperação de informações num eventual desastre. • Falta de segregação de funções
  • 72. Novos processos Anualmente a empresa deve: • Avaliar as contas significativas; • Definir a estrutura de controle interno; • Avaliar o controle interno no nível de entidade; • Documentar os controles internos financeiros chave para cada processo ou aplicação significativos e para as classes de transações que podem ter um impacto material sobre os relatórios financeiros; • Avaliar as ausências e/ou falhas de controles (Gap’s), corrigir (implementar); e • Testar os controles internos chaves sobre os relatórios financeiros para cada processo significativo, aplicação ou categoria de transações.
  • 73. Consequências da Sox em relação a Governança Corporativa • Maior transparência do ambiente de controle da empresa. • Torna mandatório a formalização dos controles internos e a gestão de riscos. • Exige procedimentos para prevenção e detecção de fraudes. • Maior credibilidade das divulgações ao mercado. • Prestação de contas de fatos relevantes que afetem a situação patrimonial da empresa. • Aumento da responsabilidade do Board da empresa, em particular do CEO e CFO.