documento protegido pela lei de direito autoral · preocupações dos banqueiros em assegurar-se...
TRANSCRIPT
UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATO SENSU”
AVM FACULDADE INTEGRADA
AUDITORIA INTERNA X CONTROLES INTERNOS:
AS DIFERENÇAS, AS RESPONSABILIDADES E A INTEGRAÇÃO
COMO FERRAMENTAS PARA A GESTÃO NO MERCADO DE
SEGUROS
Por: Aleciano Santana de Souza
Orientador
Prof.ª Luciana Madeira
Rio de Janeiro
2014
DOCUMENTO PROTEGID
O PELA
LEI D
E DIR
EITO AUTORAL
2
UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATO SENSU”
AVM FACULDADE INTEGRADA
AUDITORIA INTERNA X CONTROLES INTERNOS:
AS DIFERENÇAS, AS RESPONSABILIDADES E A INTEGRAÇÃO
COMO FERRAMENTAS PARA A GESTÃO NO MERCADO DE
SEGUROS
Apresentação de monografia à AVM Faculdade
Integrada como requisito parcial para obtenção do
grau de especialista em Auditoria e Controladoria
Por: Aleciano Santana de Souza
3
AGRADECIMENTOS
A Deus, meus familiares, amigos e
todos aqueles com quem tenho a grata
oportunidade de aprender no dia a dia.
4
DEDICATÓRIA
Dedico esse trabalho ao Sr. Antonio e
Sra. Josefa, meus pais, que não só me
deram a vida, mas me ensinaram o valor
que ela possui.
Dedico também à minha linda Carolina e
a meus filhotes Gian Francisco e João
Victor.
5
RESUMO
Dentro de uma realidade de recursos escassos, Auditoria Interna e Controles
Internos apresentam-se como ferramentas eficazes para a gestão das
organizações.
O complemento de papéis entre Auditoria Interna e de Controles Internos
tornam os objetivos mais definidos e os riscos mitigados.
De forma bem abrangente a Lei SOX contribui com esse mecanismo, já que
muitas organizações adotam em suas estruturas de Controles Internos as
recomendações do COSO.
Os Controles Internos podem ser definidos como instrumentos adotados pela
organização para que os Riscos às suas atividades (Processos) sejam
evitados ou minimizado. Pode-se classificar os Controles, quanto às suas
funcionalidades, como detectivos, corretivos ou preventivos.
Como se sabe, é obrigatoriedade imposta às seguradoras brasileiras o
estabelecimento de um Sistema de Controles Internos, por sua vez decorrente
de uma nova, mas já consolidada ordem mundial, que, para efeitos dos
negócios de seguro, tem seu ápice no processo internacional denominado
Solvência. Ele trouxe a necessidade da revisão de conceitos e práticas sobre a
atividade de Auditoria Interna visando dotá-la de instrumentos que fossem
compatíveis.
METODOLOGIA
6
Este trabalho foi desenvolvido por meio de pesquisa bibliográfica que aborda
os assuntos propostos no tema.
A base bibliográfica é constituída com principalmente pelas obras: de Willian
Attie (auditoria) e Sérgio Vidal (Controles Internos).
O trabalho norteou-se também na Legislação vigente para as empresas
brasileiras do setor de Seguros, e para isso fundamentou-se em pesquisas aos
sites SUSEP, IBRACON, CFC e Revista FUNENSEG.
7
SUMÁRIO
INTRODUÇÃO 09
CAPÍTULO I - Fundamentos de Auditoria e Controles Internos 11 1.1 Origem e Evolução da Auditoria 11 1.2 Auditoria Interna e Externa 13 1.3 Controles Internos 15 1.4 Tipos de Controles 16 1.5 O Controle Interno e a Cultura Organizacional 17 CAPÍTULO II – COSO 20 2.1 Conceito 21 2.2 Processo de Implementação 23 2.3 Elementos fundamentais do geren- ciamento de riscos corporativos 24 2.3.1 Ambiente de Controle 24 2.3.2 Fixação de Objetivos 26 2.3.3 Identificação de Eventos 27 2.3.4 Avaliação e Gerenciamento de Riscos 30 2.3.4.1 Escalas de Medição 31 2.3.4.2 Técnicas Qualitativas 32 2.3.5 Respostas a Riscos 32 2.3.6 Atividades de Controles 33 2.3.7 Informação e Comunicação 35 2.3.8 Monitoramento 36 CAPÍTULO III – Lei Sarbanes- Oxley 38 3.1 Introdução à Lei 38 3.2 Questões Relacionadas à SOX 39 3.2.1 Seção 302 40 3.2.2 Seção 404 41 CAPÍTULO IV – Auditoria Interna X Controles Internos no mercado de Seguros 43 4.1 Fundamentos 43
8
4.1.1 Circular 249 42 4.1.2 Circular 118 45 4.1.3 Circular 280 46 4.1.4 Circular 380 50 4.1.5 Circular 340 51 4.1.6 Circular 344 52 4.2 Conteúdos do Planejamento/ Trabalhos de campo 53 4.2.1 Definição de Auditoria Interna 53 4.2.2 Alcance Inferido 54 4.2.3 Auditoria da Qualidade das Atividades de Controle 55 4.2.4 Auditoria da Conformidade 57 4.2.5 Auditoria do Seguimento Das Ações Estratégicas 57 4.2.6 Auditoria do Processo de Gestão De Riscos 58 4.2.7 Auditoria do Ambiente de Controle Comunicação & Divulgação 58 4.3 Dossiês, Relatórios de Auditoria e Planos de Ação 60 CONCLUSÃO 64
BIBLIOGRAFIA 66
INTRODUÇÃO
9
Em muitas organizações confundem-se os papéis da Auditoria Interna
e de Controles Internos. A atuação dessas áreas em complemento uma da
outra pode contribuir para uma Gestão Eficiente? Em alguns segmentos, tais
como o mercado de seguros faz-se obrigatória a existências de ambas. Como
se desenvolve as funções na mitigação dos riscos?
Segundo Lisboa (2012), novos riscos surgem com novos tipos de estruturas
corporativas e mudanças na tecnologia da informação. Muitos controles sobre
informações e ativos têm sido comprometidos ou ate eliminados como
resultado de processos de reengenharia, terceirização, downsizing e redução
de níveis organizacionais.
Compartilha Vidal (2004) que a analise, o mapeamento e a priorização de
decisões são tarefas essenciais para que a estratégia funcione, visando a
Gestão de Riscos, desse modo, uma integração forte das áreas de Auditoria
Interna e Controle Interno.
Ter ciência dos processos de uma organização, dos seus clientes, seus
fornecedores e seus colaboradores é fundamental para a continuidade dos
negócios.
Cita Gomes (2011) que a instituição de controles internos nas organizações é
bem variadas, podendo ser: contábeis, financeiros, patrimoniais e
operacionais. Além disso, deve- considerar aspectos de verificação preventiva,
ou seja, os controles devem preferencialmente atuar juntamente com as
atividades diárias.
Cada membro de uma organização é responsável pelo gerenciamento dos
riscos corporativos. A responsabilidade final recai sobre o presidente, que
deverá assumir o “comando da responsabilidade”. Outros gerentes apoiam a
filosofia de gerenciamento de riscos, fomentam a conformidade com o apetite
a riscos e gerenciam os riscos dentro de suas esferas de responsabilidade, em
consistência com as tolerâncias a riscos. Outras pessoas da organização
10
respondem pela execução do gerenciamento de riscos corporativos, de acordo
com diretrizes e protocolos estabelecidos. A diretoria propicia informações
úteis para a realização do gerenciamento de riscos, porém não responde pela
eficácia do referido gerenciamento.
Ressalta o COSO (2004) que uma característica típica da forma pela qual o
gerenciamento de riscos corporativos é implementado consiste no grau de
detalhes com que as funções e responsabilidades são claramente definidas e o
fato de estas serem ou não atribuídas de maneira centralizada ou
descentralizada. Embora, a execução do processo possa variar amplamente
de organização para organização, este possui inúmeros pontos comuns.
O surgimento da auditoria e a sua posterior definição nos conceitos de
auditoria interna e externa foram desenvolvendo nas organizações novas
culturas. As necessidades de fomentar ambientes de Controles Internos
inspirados no COSO e as exigências da SOX fazem as organizações reverem
seus conceitos e estratégias. O mercado segurados brasileiro, através da
SUSEP passa a definir suas regras com base nestes conceitos.
CAPÍTULO I
FUNDAMENTOS DE AUDITORIA E CONTROLES
INTERNOS
11
1.1 – Origem e Evolução da Auditoria
Segundo Sá (2005), o termo auditor, evidenciando o titulo de quem pratica esta
técnica, tenha aparecido nos fins do século XIII, na Inglaterra, durante o
reinado de Eduardo.
Ainda conforme Sá (2005) a ‘’Joint Stock Companies Act’’, de 1844 foi à
primeira lei estabelecida especificamente para regular a atividade empresarial.
Em um de seus artigos ela requeria a designação de um auditor para avaliar
apenas o balanço patrimonial da organização. Naquela época não havia
intenção de auditar os demais demonstrativos contábeis, inclusive a
demonstração de resultados porque o seu objetivo era tão somente atender as
preocupações dos banqueiros em assegurar-se que as possuíam condições de
honrar suas dividas.
Almeida (1996) cita que a auditoria contábil surgiu em nosso país como parte
do sistema capitalista. No início, as empresas eram fechadas e pertenciam a
grupos familiares. Com a expansão do mercado e a acirrada concorrência,
surgiu a necessidade de a empresa ampliar as suas instalações, investir no
desenvolvimento tecnológico e aprimorar os controles e procedimentos
internos em geral, principalmente objetivando a redução de custos, na intenção
de tornar seus produtos mais competitivos no mercado.
Como conseqüência, as demonstrações contábeis passaram a ter uma
importância muito grande para os futuros aplicadores de recurso. Como
medida de segurança contra a possibilidade de manipulação de informações,
os futuros investidores passaram a exigir que essas demonstrações fossem
examinadas por um profissional independente da empresa e de reconhecida
capacidade técnica, a exemplo do que já era feito nos EUA, na Inglaterra e em
outros países de economia desenvolvida. (ALMEIDA, 2008).
Para Attie (2008):
12
“Com o surgimento da globalização e expansão dos mercados
– resultando no acirramento da concorrência, as empresas tiveram que
investir em tecnologia e aprimorar os controles e procedimentos
internos, com o interesse de reduzir custos e tornar seus negócios mais
competitivos.
Entretanto, a necessidade de capitais para investimentos tornou
necessária a captação de recursos de terceiro. Para que terceiros
disponibilizassem recursos, exigiam que as demonstrações financeiras
da entidade fossem analisadas por profissionais que não tivessem
ligação com a mesma, ou seja, alguém independente. Surge então a
profissão do auditor, profissional responsável em analisar as contas e
emitir uma opinião.
Em síntese, a causa da evolução da auditoria foi a do desenvolvimento
econômico dos Países, do crescimento das empresas e expansão das
atividades produtoras, gerando crescente complexidade na
administração dos negócios e de práticas financeiras.
No Brasil, o surgimento do mercado de auditoria está relacionado com
influências especificas, entre as quais:
a) A instalação de filiais e subsidiárias de empresas brasileiras através
de entidades internacionais;
b) Necessidades de financiamentos de empresas brasileiras através de
entidades internacionais;
c) Crescimento dos negócios (necessidade de capital de giro e
investimentos fixos), descentralização e diversificação de atividades
econômicas;
d) Evolução de mercado de capitais;
e) criação das normas de auditoria para as instituições financeiras,
determinadas pelo Banco Central do Brasil;
f) Criação da CVM – comissão de valores mobiliários;
g) Promulgação da Lei das Sociedades Anônimas (Lei 6.404) em 1976.”
1.2 – Auditoria Interna e Externa
Existem diferenças entre o Auditor Interno e a Auditor Externo, embora
ambas possuam interesses comuns, como o de evitar ou eliminar o risco de
fraudes e de erros nas organizações. Operam em diferentes graus de
profundidade e extensão.
13
De acordo com o IBRACON (2014):
“O auditor interno preocupa-se com o desenvolvimento do
empreendimento da entidade, é um funcionário integrante do quadro da
empresa e pretende testar a eficiência dos controles internos e dos
sistemas utilizados. A auditoria interna é realizada em muitas empresas
com sucesso, e requer uma organização rígida e autônoma para
necessárias verificações. Com a expansão dos negócios, a
administração da empresa, sentiu a necessidade de dar maior destaque
as normas ou aos procedimentos internos, pelo fato de que com a
expansão empresarial os administrados não haveria como acompanhar
pessoalmente todas suas atividades. Entretanto, de nada valia a
implantação desses procedimentos internos sem que houvesse um
acompanhamento, com a intenção de verificar se estes estavam sendo
seguidos pelos empregados da empresa. A auditoria interna para
atender à administração da empresa tem um maior grau de
periodicidade e profundidade e visando também as outras áreas não
relacionadas com contabilidade. O auditor externo é um profissional
contratado pela organização para realização do trabalho de forma
independente, sem vinculo empregatício. É um consultor que pode
auxiliar na melhor adequação dos registros contábeis da empresa,
inclusive na emissão de parecer, se necessário. Seu foco é a
confiabilidade dos registros da empresa.
A auditoria externa, em virtude de sua função garantidora no exame de
fidedignidade das Demonstrações Financeiras, pode-se utilizar-se de
parte dos serviços da auditoria interna, sem, contudo deixar de cumprir
o seu objetivo. Deve, portanto, Coordenar suas ações de modo que
seus programas adotem procedimentos idênticos e impeçam a
execução de tarefas repetidas.”
Segundo Cavalcante (2012), as principais diferenças entre auditor interno e o
auditor externo são as seguintes:
Auditoria Interna
Auditoria Externa
A auditoria é realizada por um funcionário da empresa
A auditoria é realizada através de contratação de um profissional independente
14
O objetivo principal é atender as necessidades da administração
O objetivo principal é atender as necessidades de terceiros no que diz respeito à fidedignidade das informações financeiras
A revisão das operações e do controle interno é principalmente realizado para desenvolver aperfeiçoamento e para induzir ao cumprimento de políticas e normas, sem estar restrito aos assuntos financeiros
A revisão das operações e do controle interno é principalmente realizado para determinar a extensão do exame e a fidedignidade das demonstrações financeiras
O trabalho é subdividido em relação às áreas operacionais e às linhas de responsabilidade administrativa
O trabalho é subdividido em relação às contas do balanço patrimonial e da demonstração do resultado
O auditor diretamente se preocupa com a detecção e prevenção de fraude
O auditor incidentalmente se preocupa com a detecção e prevenção fraudes, a não ser que haja possibilidade de substancialmente afetar as demonstrações financeiras
O auditor deve ser independente em relação às pessoas cujo trabalho ele examina, porém subordinado às necessidades e desejos da alta administração
O auditor deve ser independente em relação à administração, de fato e de atitude mental
A revisão das atividades da empresa é contínua
O exame das informações comprobatórias das demonstrações financeiras é periódica, geralmente semestral ou anual.
1.3 – Controles Internos
O COSO (2004) define controles como o processo desenvolvido para garantir,
com razoável certeza, que sejam atingidos os objetivos da empresa no que
tange à eficiência e efetividade operacional, confiança nos registros contábeis
e financeiros e conformidade com regras externas e internas.
15
O controle é um mecanismo manual ou sistêmico que minimiza ou elimina a
possibilidade de ocorrência dos riscos do negócio. Controles internos são
colocados para prevenir ou detectar erros.
Segundo a Vidal (2004), Pode-se medir a necessidade da existência de
controles analisando-se o ciclo vital de uma empresa. Em sua fase inicial, o
dono é o ponto principal e dele emanam os comandos e as verificações, ou
seja, os controles. Na medida em que a empresa cresce e se diversifica, maior
e mais complexa se torna sua estrutura organizacional e, consequentemente,
torna-se inviável que o empresário sozinho controle todas as fases e
atividades.
A origem do controle interno está relacionada às necessidades de informações
sobre a atuação empresarial. Na busca dessas informações evoluiu-se na
busca de um controle mais efetivo e consciente, segundo as características de
cada empresa.
De acordo com o COSO ERM(1992), toda organização deve possuir uma
hierarquia de objetivos que suportem a execução da estratégia e a realização
daquilo que a organização tem como os seus motivos de existência.
Para atingir os seus objetivos, as organizações dispõem de diversos recursos
como pessoas com as mais diversas competências, processos de negócios de
diversas naturezas e infraestrutura física e tecnológica para suportar suas
operações. Além dos recursos da organização, o ambiente externo também
possui grande influencia.
Atualmente percebe-se que os controles precisam atuar com uma finalidade
extremamente preventiva. Não basta que os problemas sejam identificados e
corrigidos.
Cita Vidal (2004), que cada vez mais os processos têm de se apresentar ágeis
e seguros, através de controles que identifiquem claramente os seus objetivos
16
e assegurem que os riscos de possíveis problemas sejam prevenidos. Ao
mesmo tempo, nem todos os problemas que atuam sobre os processos são
previsíveis.
1.4 – Tipos de Controles
De acordo com Vidal (2004), os controles são empregados segundo uma natureza
específica.
• Preventiva: atuam como uma forma de prevenir a ocorrência dos riscos,
exercendo o papel de uma espécie de guia para execução do processo ou
na definição da atribuições e responsabilidades.
• Detectiva: detectam algum risco no processo, porém não impedem a
ocorrência.
• Corretiva: servem como base de correção das causas, mas após a
ocorrência.
Os principais tipos de controles e suas respectivas naturezas são:
Alçadas (prevenção): são os limites determinados a um funcionário, quanto a
possibilidade de este aprovar valores ou assumir posições em nome da empresa.
Conciliação (detecção): é a confrontação da mesma informação com dados
vindos de bases diferentes, adotando as ações corretivas, quando necessário.
Segregação de Funções (prevenção): a segregação é essencial para a
efetividade dos controles internos. Ela reduz tanto o risco de erros humanos
quanto o risco de ações indesejadas.
Sistemas Informatizados (prevenção e detecção): controles feitos através de
sistemas informatizados.
Normatização Interna (prevenção): é a definição, de maneira formal, das regras
internas necessárias ao funcionamento da entidade. As normas devem definir
17
responsabilidades, políticas corporativas, fluxos operacionais, funções e
procedimentos.
1.5 - O CONTROLE INTERNO E A CULTURA ORGANIZACIONAL
Cita a FUNENSEG (2011) que os riscos que afetam a organização de
forma alguma estão confinados a uma unidade organizacional, processo ou
sistema. Neste sentido, um cliente mal atendido na ponta é consequência de
uma combinação de interconexões casuais complexas e muitas vezes ocultas
entre, por exemplo, um desenvolvimento de produto inadequado, um
treinamento superficial, uma contração de profissional com experiência
limitada, um sistema de informação excessivamente manual etc.
Ainda segundo FUNENSEG (2011), a analogia ideal para a ideia de que um
evento pode ser apenas a consequência visível de um conjunto interconectado
de eventos e a situação em que a colocação da última carta de baralho, em
uma pirâmide de cartas, provoca a queda de todas as cartas da pirâmide.
Certamente, a razão para a queda da pirâmide é bem mais complexa do que a
última carta colocada, a qual pode ter simplesmente disparado a queda de
todas as outras cartas. Por outro lado, analisar a estrutura das cartas
montadas, identificado os potencias pontos de vulnerabilidade na ligação entre
as cartas e definido quais controles poderiam ter impedido a queda, é a tarefa
analítica de grande dificuldade devido à infinidade de possibilidade de
combinações de causas interconectada que justifiquem o evento ocorrido.
“Assim, um dos grandes benefícios trazido por um
sistema de controles internos está no entendimento sistêmico
da operação de uma organização, ajudando a superação da
forma de atuação excessivamente funcional da maioria das
organizações. Essa forma excessivamente funcional está ligada
ao fato de que cada unidade organizacional atua como um silo
independente, solucionando seus problemas e otimizando suas
decisões localmente. Portanto, o risco operacional tende a ser
18
tratado de forma superficial e simplista, não havendo uma
atuação na causa raiz do problema e, por muitas vezes,
gerando novos riscos em outras áreas(FUNENSEG 2011)”.
De acordo com FUNENSEG (2011), ressalta-se a grande dificuldade existente
em organizações para realizar sua rotina operacional do dia a dia e,
periodicamente, reavaliá-la para identificar melhorias e readaptá-la às
mudanças ocorridas no ambiente interno e externo. Não há dúvidas de que
diversos são os motivos para essa inércia organizacional: indisponibilidade de
tempo devido à rotina diária; dificuldade de patrocínio para viabilizar
mudanças; lentidão pra sair da zona de conforto a que todos estão
acostumados etc.
Um terceiro grande benefício que um sistema de controles internos é capaz de
trazer para a organização está relacionado à capacidade dessa organização
demonstrar e comunicar ás diversas partes interessadas a respeito da maneira
como vem assegurando o atingimento dos seus objetivos. Hoje, encontramos-
nos num contexto em que os órgãos regulatórios vêm criando novas
exigências com relação à capacidade das organizações em demonstrar que
possuem o controle sobre os seus riscos, em que os investidores exigem maior
visibilidade em relação à gestão das organizações onde estão investindo, e
clientes, parceiros, funcionários e a sociedade em geral exigem
constantemente maior transparência no que diz a respeito à governança
empresarial.
As análises e documentações relativas a cada riscos identificado e controles
implementados podem ser facilmente compiladas em reportes externos. Dessa
maneira, um sistema de controles internos bem estruturados permite a uma
organização demonstrar que afetivamente se preocupa e age em consonância
com as preocupações dos diversos atores envolvidos no seu negócio.
O capitulo a seguir trará conceitos a cerca do COSO e sua importância nas
auditorias e controles internos das empresas.
19
CAPÍTULO II
COSO – GERENCIAMENTO DE RISCOS
CORPORATIVOS
2.1 – Conceito
Segundo Vidal (2004), em 1985, foi criada, nos Estados Unidos, a
National Commission on Fraudulent Financial Reporting (Comissão Nacional
20
sobre Fraudes em Relatórios Financeiros), uma iniciativa independente, para
estudar as causas da ocorrência de fraudes em relatórios
financeiros/contábeis.
Está comissão era composta por representantes das principais associações de
classe de profissionais ligados à área financeira. Seu primeiro objeto de estudo
foram os controle internos. Em 1992 publicaram o trabalho “ Internal Control –
Integrated Framework” (controles internos – Um modelo integrado). Esta
publicação tornou-se referência mundial para o estudo e aplicação dos
controles internos.
Posteriormente a Comissão transformou-se Comitê, que passou a ser
conhecido como COSO – The comitee of Sponsoring organizations (Comitê
das organizações Patrocinadoras). O COSO é uma entidade sem fins
lucrativos, dedicada à melhoria dos relatórios financeiros através da ética,
efetividade dos controles internos e governança corporativa. É patrocinando
por cinco das principais associações de classe de profissionais ligados à área
financeira no Estados Unidos, saber:
AICPA – American institute os certified public accounts (instituto Americano de
contadores Públicos certificados).
AAA- American Accounting Association (Associação Americana de
Contadores).
FEI – Financial Executives Internacional (Executivos Financeiros Internacional).
IIA – The Institute of Internal Auditors (Instituto dos Auditores Internos).
IMA – Institute of Management Accountants (Instituto dos Contadores
gerenciais).
Vidal (2004) cita:
“Seus integrantes são representantes da indústria, dos
contadores, das empresas de investimento e da Bolsa de
Valores de Nova York. O primeiro presidente foi James C.
Tradeway, de onde originou o nome “Tradeway Comission”
21
Atualmente o cargo da presidência é ocupado por John
Flaherty.
Para os integrantes do COSO, o ponto de partida é a definição
de controle interno, entendendo-o como um processo,
desenvolvido para garantir, com razoável certeza, que sejam
atingidos os objetivos da empresa, que são estruturados nas
seguintes categorias:
a)Eficiência e efetividade operacional (objetivos de
desempenho ou estratégia): esta categoria está relacionada
com os objetivos básicos da entidade, inclusive com os
objetivos e metas de desempenho e rentabilidade, bem como
da segurança e qualidade dos ativos;
b)confiança nos registros contábeis/financeiros (objetivos
de informação): todas as transações devem ser registradas,
todos os registros devem refletir transações reais, consignadas
pelos valores e enquadramentos corretos;
c)Conformidade (objetivos de conformidade) com leis e
normativos aplicáveis à entidade e sua área de atuação”.
5.2 – Processo de Implementação
De acordo com o COSO(2004), o processo de implementação
apresenta uma variedade de técnicas úteis para a aplicação de elementos
específicos da estrutura de gerenciamento de riscos corporativos.
Em vista da ampla gama de abordagens e escolhas disponíveis, mesmo as
organizações semelhantes implementam o gerenciamento de riscos
corporativos de forma diferente, aplicado os conceitos e princípios pela
primeira vez ou avaliando se o processo existente de gerenciamento de riscos,
o qual poderá ter-se desenvolvido com o passar do tempo, é realmente eficaz.
22
Assim, apresenta-se a seguir, uma breve descrição das etapas, comuns em
um sentido mais amplo, adotado pelas administrações:
a) preparo da Equipe Líder: essa equipe se tornará estreitamente familiarizada
da estrutura de gestão de riscos, que propicia um entendimento e uma
linguagem comum, além do alcance necessário ao desenho e a
implementação do processo de gerenciamento de riscos corporativos que será
capaz de abordar com eficácia as necessidades singulares da organização.
b) Compromisso da alta administração: essa liderança executiva articula os
benefícios de gerenciamento de riscos corporativos, estabelece e comunica os
compromissos assumidos, para o respectivo investimento de recursos. O
suporte do presidente da organização e pelo menos a participação inicial direta
e visível também contribui para o êxito do processo.
c)Desenvolvimento do plano de implementação: as responsabilidades são
identificadas, e o sistema de gerenciamento do projeto é implementado. O
plano serve como meio de comunicação e coordenação consistente com a
liderança da equipe.
d)Avaliação da situação atual: inclui uma avaliação da forma como os
componentes, conceitos e princípios do gerenciamento de riscos corporativos
estão atualmente sendo aplicados na organização, requer que se determine a
filosofia de gerenciamento de riscos que evoluiu na própria organização e se
existe um entendimento uniforme.
e) Visão do gerenciamento de riscos corporativos: a equipe líder desenvolve
uma visão que estabelece a forma como o gerenciamento de riscos
corporativos será utilizado em seu avanço e como será integrado à
organização para que possa alcançar seus objetivos.
f)Desenvolvimento de capacidade: essa tarefa inclui a definição de funções e
responsabilidades e modificações no modelo organizacional, nas políticas, nos
processos, nas metodologias, nas ferramentas, nas técnicas, nos fluxos de
informações e nas tecnologias.
g)O plano de implementação: o plano inicial é atualizado e otimizado,
adicionando profundidade e amplitude para a cobertura de outras avaliações,
desenho e implementações.
23
h)Desenvolvimento e distribuição do gerenciamento da mudança: as ações são
desenvolvidas conforme necessário para implementar e sustentar a visão de
gerenciamento de riscos como parte de seu processo contínuo de
gerenciamento.
i)Monitoramento: a administração analisará e reforçara continuamente as
capacidades de gerenciamento de riscos como parte de seu processo contínuo
de gerenciamento.
5.3 – Elementos fundamentais do gerenciamento de
riscos corporativos
FUNENSEG (2011) salienta que o processo de controle interno é
constituído de elementos que estão inter-relacionados entre si, e presente em
todo o controle interno, são eles:
5.3.1 – Ambiente de controle interno
O ambiente interno engloba o tom de uma organização, influenciando a
consciência de riscos de seu pessoal e a base de todos os outros
componentes do gerenciamento de riscos corporativos, propiciando disciplina e
estrutura. Os fatores do ambiente interno incluem a filosofia de gerenciamento
de riscos corporativos, seu apetite a riscos, supervisão pela diretoria executiva,
integridade, valores éticos e competência do pessoal organização e a forma
como a administração atribui autoridade e responsabilidade e organiza e
desenvolve sua pessoal.
24
Impacto
O ambiente interno organizacional tem significado impacto sobre a forma como
o gerenciamento de riscos corporativos é implementado e funciona de forma
continua. O ambiente externo é o contexto no qual os demais componentes do
gerenciamento de riscos são aplicados, tipicamente com um efeito substancial,
positivo ou negativo.
Filosofia de gerenciamento de riscos
A filosofia de gerenciamento de riscos de uma organização é um conjunto de
convicções e atitudes compartilhadas que caracterizam a forma com essa
organização considera o risco em tudo aquilo que faz do desenvolvimento e da
implementação de estratégias ás suas atividades do dia-a-dia, se reflete em
virtualmente tudo aquilo a administração faz para operar a organização. A
filosofia esta presente em declarações da política, comunicações escritas e
verbais e tomada de decisões. Independente do fato de a administração e
enfatizar políticas escritas, normas de conduta, indicadores de desempenho e
relatórios de exceção, ou operar mais informalmente, principalmente mediante
contato pessoal com o apenas com palavras, mas nas ações do dia-a-dia.
O gerenciamento de riscos corporativos nos oferece:
a) Aceitação responsável dos riscos;
b) Suporte a administração e diretoria executiva;
c) Resultados aprimorados;
d) Responsabilidade fortalecida;
e) Gerenciamento otimizado.
Integridade e valores éticos
A integridade e o compromisso com valores começam com o individuo.
Os julgamentos de valor, de atitude e de estilo baseiam-se em experiências
individuas. Em nenhum outro lugar os valores éticos e a integridade são mais
importantes do que o presidente e a equipe da alta administração. O código de
conduta de uma organização possibilita uma conexão entre a missão ou a
visão d organização e suas políticas.
25
5.3.2 – Fixação de Objetivos
São fixados no âmbito estratégico, estabelecendo-se uma base para os
objetivos operacionais, de comunicações e de conformidade. Toda
organização enfrenta uma variedade de riscos oriundos de fontes externas e
internas, sendo o estabelecimento de objetivos, condição previa para a
identificação eficaz de eventos, avaliação de riscos e resposta a rico. Os
objetivos são alinhados ao apetite a riscos, que impulsiona os níveis de
tolerância a risos para a organização.
Objetivos Estratégicos
Ao considerar formas alternativas de alcançar seus objetivos estratégicos, a
administração identifica os riscos associados a uma taxa de opções
estratégicas e considera suas implicações. Várias técnicas de identificação de
eventos e de avaliação de riscos discutidas a seguir e em capítulos posteriores
podem ser utilizadas no processo de fixação de estratégias.
Objetivos correlatos
Os objetivos no âmbito de toda a organização são vinculados e integrados a
objetivos mais específicos que fluem em cascata através da organização, para
os sub-objetivos estabelecidos para várias atividades, como vendas, produção
e funções de engenharia e de infra-estutura.
Determinação das tolerâncias a Riscos
Tolerâncias a riscos são níveis aceitáveis de variação referentes ao
cumprimento dos objetivos (...). Uma operação dentro dos limites de tolerância
a ricos possibilita à administração maior garantia de que a organização
permanece dentro dos limites de seu apetite a riscos, o que, por sua vez,
propicia maior grau de conforto de que a organização atingirá os seus
objetivos.
26
5.3.3 – Identificação de Eventos
Alguns eventos podem ocorrer a afetar a organização, a administração
identifica esses eventos em potencial e determina se estes são oportunidades
ou se são eventos desfavoráveis Os eventos que geram impacto negativo
representam riscos, que demandam avaliação e resposta da administração. Os
eventos que geram impacto positivo representam oportunidades que a
administração canaliza de volta aos processos de fixação de estratégia e de
objetivos. Ao identificar eventos, a administração considera uma variedade de
fatores internos e externos que podem dar origem a riscos e oportunidades, no
contexto de toda a organização.
Vínculo de Eventos com Objetivos
Em algumas circunstâncias a identificação de eventos relacionados a um
objetivos específicos é razoavelmente direta, como os eventos em potencial e
seus impactos são identificados e relacionados com o objetivo, com a
tolerância ao risco associado e com a unidade de medida. Em outras
circunstâncias, a identificação de riscos não é imediatamente evidente e requer
a utilização de inúmeras técnicas que também serão analisadas.
Técnicas de identificação de eventos
A administração de uma organização poderá adotar qualquer quantidade de
técnicas para identificar eventos em potencial que afetam a realização dos
objetivos. Essas técnicas são utilizadas na identificação de riscos e de
oportunidades, por exemplo, na ocasião da implementação de novo processo
comercial, da reformulação de processo existente ou da avaliação de
processo. Podem, também, ser empregadas em conexão com o planejamento
estratégico ou com o planejamento da unidade de negócios, ou mesmo na
ocasião da análise de novas iniciativas ou mudanças organizacionais. Essas
técnicas podem ser utilizadas periódica ou continuamente.
Inventário de Eventos
27
A administração utiliza listas de eventos em potencial comuns a uma
determinada indústria ou área funcional, as quais são desenvolvidas pelo
pessoal interno da organização ou são empregadas, em relação a um projeto,
a um processo ou a uma atividade especifica e podem ser de valia porque
asseguram uma visão consistente por meio de atividades semelhantes na
organização. Caso seja desenvolvido externamente, esse estoque de eventos
será otimizados ou personalizado de acordo com as circunstâncias da empresa
para relacionar-se mais adequadamente com os riscos da organização e para
ser consiste com a linguagem comum de gerenciamento de riscos
empresariais.
Seminários com facilitadores
Os seminários com facilitadores do processo da identificação de ventos
reúnem indivíduos das mais variadas funções e níveis com a finalidade de
extrair conhecimento do grupo como um todo para desenvolver uma lista de
evento, na medida em que se relacionam. Os resultados desses seminários
geralmente dependem da profundidade e da magnitude das informações que
os participantes relatam. Algumas organizações realizam seminários
destinados à alta administração para estabelecer as estratégias, e, também
para identificar eventos capazes de afetar a realização dos objetos estratégicos
corporativos.
Entrevistas
É comum as entrevistas serem conduzidas individualmente ou, ás vezes, com
até dois entrevistados, nas quais o entrevistador estará acompanhado de outra
pessoa que fará as anotações. Essas entrevistas têm por finalidade identificar
as opiniões pessoas e o conhecimento de eventos reias passados em
potencial.
Questionários e pesquisas
Os questionários abordam uma gama de questões que devem ser
consideradas pelos participantes, com base na opinião destes a respeito dos
28
fatores internos e externos que originam ou podem originar eventos. As
questões podem ser abertas ou fechadas, dependendo do objeto. Podem,
também, ser dirigidas a apenas uma ou a várias pessoas, ou podem ser
utilizadas em conjunto com uma pesquisa de caráter mais amplo, em uma
organização u dirigida a clientes, fornecedores ou outras partes externas.
Análise do fluxo de processo
No geral, a análise do fluxo de processo diz respeito à representação
esquemática de um processo, visando entender melhor os inter-
relacionamentos de seus componentes de entrada, tarefas, saída e
responsabilidades. Após esse mapeamento, os eventos podem ser
identificados e considerados à luz dos objetivos de processo. Da mesma forma
que em outras técnicas de identificação de eventos, a análise de fluxo de
processo pode ser utilizada para observar um nível detalhado na organização.
Principais indicadores de eventos e alerta de mudança
Os principais indicadores de eventos, geralmente denominados de indicadores
de riscos, são medidas qualitativas ou quantitativas de que possibilitam insight
a respeito de eventos em potencial. Para que possam se úteis, os principais
indicadores de riscos devem estar disponíveis à administração de forma
oportuna, a qual dependendo do tipo de informação poderá ser diária,
semanal, mensal ou tempo real. Os alertas de mudança enfocam as
operações da dia-a-dia e são relatados com base na exceção, isto é, quando
um parâmetro preestabelecido é ultrapassado. As organizações geralmente
possuem alerta de mudança estabelecimento entre unidades comerciais ou
departamentos. Para que possam ser eficazes, esses alertas devem
estabelecer o momento em que a administração deve ser notificada, e a
programação da notificação deve considerar a opinião da referida
administração sobre o tempo necessário para adotar as medidas cabíveis.
Inter-relacionamentos de eventos capazes de afetar os objetivos
29
Em muitas circunstâncias, diversos eventos podem influenciar a realização de
um objetivo. Para conseguir algum entendimento determinadas empresas
utilizam diagramas de árvores de eventos, também conhecidos como
diagramas de espinha de peixe. Esse diagrama possibilita um meio para
identificar e representar gratificamente a forma como diversos eventos podem
afetar sua realização.
Classificação de eventos
Há agrupamento de eventos em potencial semelhantes permite que a
administração identifique oportunidades e riscos com maior eficácia. Algumas
organizações classificam os eventos em potencial para assegurar que seus
esforços para identificá-los sejam complementos. A classificação também pode
facilitar o desenvolvimento posterior de uma visão dos riscos em portfólio.
5.3.4 – Avaliação e Gerenciamento de Riscos
A avaliação de riscos permite que uma organização considere até que ponto os
eventos em potencial podem impactar a realização dos objetivos.
Avaliação de riscos é a identificação e análise dos riscos associados ao não
cumprimento das metas e objetivos operacionais, de informação e de
conformidade. Este conjunto forma a base para definir como estes riscos serão
gerenciados, eles podem ser avaliados como inerentes ou residuais.
a) Risco Inerente
O risco inerente para uma organização é aquele que representa a ausência de
qualquer medida que a administração possa adotar para alterar sua
probabilidade ou impacto.
b) Risco Residual
30
O risco residual é o que permanece após a resposta da administração para
reduzir um risco inerente.
5.3.4.1 - Escalas de medição
Quando se estima a probabilidade e o impacto de eventos em potencial, sejam
eles inerentes ou residuais, utiliza-se algum tipo de medição Há quatro tipo
gerais medição. Há quatro tipos gerais de medição.
a) medição nominal – É a forma mais simples de medição e requer o
agrupamento de eventos em categorias, como econômicas, tecnologia ou meio
ambiente. Não exige nenhum tipo de ordenação. Os números atribuídos são
utilizados apenas para fins de identificação, não podem ser ordenadas,
classificados ou agregados.
b) Medição ordinal – Nesse tipo de medição, os eventos são relacionados por
ordem de importância, possivelmente com rótulos, como alto, médio, baixo ou
em ordem de classificação ao longo de uma escala.
c)Medição intervalar – As medidas intervalares utilizares utilizam uma escala
numérica. Se, por acaso, ao impacto da perda de produção de um
equipamento fundamental for atribuído o valor “três”, ao impacto de uma hora
de falta de energia o valor “seis”, e ao efeito 100 postos vagos o valor “nove”, a
administração poderá afirmar que a diferença no impacto potencial entre a
perda de um equipamento e uma hora de falta de energia, será a mesma que
a diferença entre uma hora de falta de energia e 100 postos vagos.
d) Medição de proporção – A escala de medição de proporção permite que se
conclua que se ao impacto potencial de um evento for atribuído o valor “três” e
a outro evento o valor “seis”, o segundo evento terá o dobro de impacto
potencial do primeiro.
5.3.4.2 - Técnicas Qualitativas
A despeito do fato que algumas avaliações qualitativas de risco expressam-
se em termos subjetivos e outras em termos mais objetivos, a qualidade da
31
avaliação dependerá em grande parte do conhecimento e da capacidade do
julgamento das pessoas envolvidas, o seu entendimento dos eventos em
potencial e a dinâmica existente.
5.3.5 – Respostas a Riscos
Risco é a probabilidade de perda ou incerteza associada ao cumprimento de
um objetivo. Após identificar e avaliar os riscos importantes, a organização
determina de que forma responderá a estes.
Ao considerar as respostas, a organização avalia o efeito destas na
probabilidade e no impacto dos riscos, bem como os custos e benefícios. No
caso de riscos significativos, a organização considerará o potencial das
respostas.
Exemplos de respostas para evitar, compartilhar, reduzir e aceitar o risco:
a) evitar: abandonar uma unidade de negócios, linha de produtos, segmento
geográfico.
b)Compartilhar: seguro contra perdas imprevistas significativas. Participação
em acordos de formação de consórcios de empresas. Transferência de riscos
mediante instrumentos do mercado de capitais. Terceirização de processos
comerciais.
c) Reduzir: diversificação dos produtos oferecidos. Estabelecimento de limites
operacionais. Estabelecimento de processos comerciais eficazes. Otimização
da participação da administração nos processos decisórios e monitoramento.
Redistribuição do portfólio dos ativos para reduzir a exposição a certos tipos de
perdas. Realocação de capital entre as unidades operacionais.
d) Aceitar: fazer a própria seguridade contra perdas. Confiar em proteções
naturais no portfólio. Aceitar riscos se compatíveis às tolerâncias a risco.
32
Na mesma forma que na avaliação inerente, o risco residual pode ser avaliado
de forma qualitativa ou quantitativa. De um modo geral, as mesmas medidas
utilizadas na avaliação do risco inerente são também empregadas na avaliação
do risco residual.
Praticamente todas as respostas a risco geram algum custo direto ou indireto
que é comparado com os benefícios gerados. O custo inicial para formular e
implementar uma resposta (processos, pessoal e tecnologia) é considerado
como o custo para manter a resposta de forma continua. Os custos e os
benefícios associados podem ser medidos quantitativa ou qualitivamente, por
meio da unidade de medida tipicamente consistente com aquela que é
empregada para estabelecer o objeto correlato e a tolerância ao risco.
5.3.6 – Atividades de Controles
São aquelas que, quando executadas a tempo e de maneira
adequadas,Permitem a redução ou administração dos riscos. As atividades de
controle ocorrem por toda organização, em todos os níveis e em todas as
funções.
Após selecionar as respostas a risco, a organização identifica as atividades de
controle necessárias para assegurar que estas sejam executadas adequadas e
oportunas.
Exemplos de como as atividades de controle se alinham com cada tipo de
respostas para evitar, compartilhar, reduzir e aceitar o risco:
a) Proteção contra riscos: em seu esforço para melhorar as margens
operacionais, uma empresa de software considerou a possibilidade de
transferir suas atividades de programação para um país com custos de mão de
obra mais reduzidos. Após avaliar os riscos associados, a administração
decidiu que a referida transferência estaria além do apetite a riscos da
33
companhia e que a contratação de atividades de programação seria realizada
apenas dentro do país de origem da empresa.
b) Redução de riscos: a administração de um hospital reconheceu que sua
capacidade de proteção de saúde e do bem-estar de seus pacientes seria
afetada desfavoravelmente por falhas no fornecimento de energia. A
administração decidiu instalar geradores elétricos para geração de energia em
casos de falha no fornecimento.
c) Compartilhamento de risco: uma empresa de manufatura determinou que
uma paralisação prolongada de sua fábrica tivesse um impacto significativo em
sua capacidade de cumprir as metas de produção. Tendo por base a avaliação
do capital da empresa, sua tolerância a riscos e custos de compartilhar o risco
com uma seguradora, a administração aprovou a contratação de cobertura de
seguro para o valor da produção perdida por um prazo máximo de seis meses.
d) aceitação de risco: a administração de uma empresa identificou mudanças
nos preços mundiais de commodities como um risco. Após avaliar a
probabilidade e o impacto do risco, bem como considerar a tolerância a riscos
da empresa, a administração decidiu aceitar o risco. A empresa adotou uma
política pela qual o departamento de tesouraria reavalia formalmente a
exposição a cada três meses e informa ao comitê administrativo da sua
recomendação de adotar ou não uma estratégia de hedge.
5.3.7 – Informação e Comunicação
Informação
As informações são necessárias em todos os níveis de uma organização, para
ajudá-la a identificar, avaliar e responder aos riscos, gerir a empresa, bem
como alcançar os seus objetivos.
As informações de fontes externas e internas são colhidas e analisadas na
fixação de estratégias e objetivos, na identificação de eventos, na análise de
riscos e na determinação de respostas a riscos, alem da condução de um
34
gerenciamento de riscos empresariais eficazes e desempenho de outras
atividades de gestão.
Os sistemas de informação usam dados gerados internamente e de fontes
externas, fornecendo dados para o gerenciamento de riscos e para decisões
bem fundamentadas em relação aos objetivos. Todo o pessoal recebe uma
mensagem clara da diretoria executiva que as responsabilidades pelo
gerenciamento de riscos corporativos devem ser levadas a sério. Os
empregados entendem as suas próprias funções no contexto do
gerenciamento de riscos empresariais, bem como as suas atividades
individuais relacionam-se com o trabalho de outros.
A informação é o combustível que move as organizações.
Comunicação
A comunicação é o fluxo de informações dentro de uma organização,
entendendo que este fluxo ocorre em todas as direções – dos níveis
hierárquicos superiores aos níveis hierárquicos inferiores, dos níveis inferiores
aos superiores, e comunicação horizontal, entre níveis hierárquicos
equivalentes.
A comunicação é essencial para o bom funcionamento dos controles.
Informações sobre planos, ambiente de controle, riscos, atividades de controle
e desempenho devem ser transmitidas à toda entidade. Por outro lado, as
informações recebidas devem ser identificadas, capturadas, verificadas quanto
à sua confiabilidade e relevância, processadas e comunicadas às pessoas que
as necessitem, tempestivamente e de maneira adequada.
A administração fornece comunicação especifica e dirigida que determina as
expectativas de comportamento e de responsabilidades do pessoal. Esse
procedimento inclui uma declaração clara da filosofia e abordagem de
gerenciamento de riscos, bem como uma delegação nítida de autoridade. A
35
comunicação de processos e procedimentos deverá estar alinhada com a
cultura desejada a ser capaz, dessa forma, de sustentá-la.
O processo de comunicação pode ser formal ou informal.
a) Processo formal: acontece através dos sistemas internos de comunicação-
que podem varias desde complexos sistemas computacionais a simples
reuniões de equipes de trabalho – e são importantes para obtenção das
informações necessárias ao acompanhamento dos objetivos operacionais, de
informação e de conformidade.
b) Processo informal: ocorre em conversas e encontros em clientes,
fornecedores, autoridades e empregados, é importante para obtenção das
informações necessárias à identificação de riscos e oportunidades.
5.3.8 – Monitoramento
O Monitoramento é a avaliação dos controles internos ao longo do tempo. Ele
é melhor indicador para saber se os controles internos estão sendo efetivos ou
não.
O monitoramento é feito tanto através do acompanhamento continuo das
atividades quanto por avaliações pontuais, tais como auto-avaliação, revisões
e eventuais e auditoria interna.
Embora os procedimentos de monitoramento contínuo geralmente propiciem
informações importantes sobre e eficácia de outros componentes de
gerenciamento de riscos corporativos, recomenda-se conduzir um exame
totalmente novo, de tempos em tempos, com enfoque direto na eficácia do
gerenciamento de riscos corporativos.
A função do monitoramento é verificar se os controles internos são adequados
e efetivos.
36
a) controles adequados: são aqueles em que os cinco elementos do controle
(ambiente, avaliação de riscos, atividade de controle, informação, comunicação
e monitoramento)estão presentes e funcionando conforme planejado.
b) controles eficientes: são eficientes quando a alta administração tem uma
razoável certeza do grau de atingimento dos objetivos operacionais propostos;
de que as informações fornecidas pelos relatórios e sistemas corporativos são
confiáveis; e quando as leis, regulamentos e normas pertinentes estão sendo
cumpridos.
A abordagem do próximo capitulo tratará da ênfase à Lei Sarbanes Oxley.
37
CAPÍTULO III
LEI SARBANES-OXLEY
Cita Vidal (2004) que em 30 de julho de 2002, o Presidente dos Estados
Unidos sancionou em lei o Sarbanes-Oxley Act (o Ato). Algumas das
determinações do Ato são de aplicação imediata pelas companhias abertas
com registro na Securities and Exchange Commission (SEC)
Ainda de acordo com Vidal (2004), o Ato aplica-se a todas as companhias
registradas da SEC, o que expande sua aplicação a empresas que são de
origem norte-americanas.
Dentre as principais disposições, destaca-se:
• certificação do CEO (Chief Executive Officer) e do CFO (Chief Financial
Officer).
“Nos escândalos contábeis norte-americanos,
executivos alegaram que não tinham conhecimento das
praticas contábeis indevidas(reconhecimento incorreto de
receitas, por exemplo). A Sarbanes-Oxley visa desencorajar
alegações deste tipo, por intermédio de medidas como
controles internos mais rigorosos(VIDAL 2004).”
6.1 - INTRODUÇÃO À LEI
Vidal (2004) ressalta que a seção 302(a) do Ato passa a requerer que o CEO e
o CFO certifiquem as informações financeiras e não financeiras contidas nos
relatórios anuais. Esta certificação também inclui controles internos, definidos
em duas dimensões:
38
a) controles internos propriamente ditos;
b) controles e procedimentos de divulgação.
O modelo de certificação a ser assinado pelo CEO e CFO deve ser
exatamente o mesmo apresentado no Ato, não sendo permitidas modificações.
Este ato introduziu responsabilidades criminais que, em certos casos, podem
envolver prisão de até vinte anos para CEOs e CFOs pelo fornecimento,
proposital ou não, de certificações incorretas ou não verdadeiras. O referido
processo de certificação introduz os seguintes requerimentos às empresas e a
seus administradores:
• o CEO e o CFO devem certificar as informações financeiras e não
financeiras contidas nos relatórios anuais;
• as empresas devem manter controles internos, definidos em duas
dimensões: controles internos propriamente ditos e controles e
procedimentos de divulgação (disclosure controls and procedures); e
• o CEO e o CFO estarão certificando que avaliaram a efetividade
desses relatórios até, no máximo, noventa dias da data de
arquivamento das informações (Form 20-F). O Form 20-F deve
informar sobre o resultado dessa avaliação.
A SEC não estipulou procedimentos e controles de divulgação específicos que
devam ser adotados; ao contrário, espera que as empresas desenvolvam um
processo que seja consistente com o seu negócio e fundamentado em suas
atividades de gerenciamento, supervisão e controles internos.
39
6.2 - QUESTÕES RELACIONADAS A SOX
De acordo com Vidal (2004), A SOX define boas práticas de governança e
ética corporativa, tais como:
• código de ética corporativo;
• restrição a empréstimo e concessão de crédito para diretores;
• código de ética para executivos financeiros e insiders;
• restrição à contratação de serviços dos auditores externos;
• quarentena para a contratação de funcionários que já atuaram como
auditores externos (nível executivo para a área financeira);
• comitê de Auditoria;
• combate a fraudes financeiras;
• estruturação e monitoramento dos controles internos;
• governança em tecnologia da informação;
• gestão e gerenciamento de riscos.
Mais notadamente, a SOX é contundente quanto ao papel critico dos controles
internos, definindo-o como um processo desempenhado pela alta gestão,
diretores, gerentes e demais funcionários, visando a alcançar o sucesso no
negócio, em três categorias:
• eficiência e eficácia das operações;
• confiança nos reportes financeiros;
• submissão às leis e regulamentos aplicáveis.
“A Sarbanes-Oxley estabelece,
explicitamente, a responsabilidade da alta gestão pelo
estabelecimento, avaliação e monitoramento da eficácia dos
controles internos sobre os relatórios financeiros.
40
A maior parte da discussão em
torno da SOX está focada nas seções 302 e 404.
6.2.1 - Seção 302
A alta gestão deve assumir
pessoalmente a responsabilidade pela divulgação dos controles
e procedimentos. Uma certificação de que os controles foram
avaliados quanto à sua eficiência deve ser emitida,
trimestralmente. Essa certificação deve declarar que todas as
deficiências de controle, deficiências materiais e fraudes foram
informadas para o comitê de Auditoria e para os auditores
independentes.
6.2.2 - Seção 404
Determina uma avaliação anual dos controles e
procedimentos internos, para elaboração dos reportes
financeiros. Adicionalmente, os auditores independentes devem
emitir um relatório separado, atestando a aderência da
administração em prover eficientes controles internos e
procedimentos, para os reportes financeiros.
Passos para o desenvolvimento
do programa de controle interno.
1) Comprometimento e organização
Entender como a SOX aplica-
se à empresa ajudará no desenvolvimento do programa de
controle interno.
2) Escolher uma estrutura adequada de controle interno
Para alcançar os objetivos de
controle da SOX, muitas cias. desenvolveram sua estrutura de
controle interno, seguindo as recomendações do Commettee of
Sponsoring Organizations of the Treadway Comission (COSO).
41
Apesar de outras estruturas existirem, acredita-se que o COSO
será um modelo dominante (VIDAL 2004)”.
A seqüência abordará o papel conjunto de Auditoria Interna e Controles
Internos nas empresas do mercado segurador; as determinações da SUSEP, e
como estas áreas agregam para a estratégia empresarial.
42
CAPÍTULO IV
AUDITORIA INTERNA X CONTROLES INTENOS
NO MERCADO DE SEGUROS
7.1 - FUNDAMENTOS
7.1.1 - Circular 249
De acordo com FUNENSEG (2011), no mercado segurador brasileiro a
atividade de Auditoria Interna tornou-se compulsória a partir da edição da
Circular SUSEP 249, de vinte de fevereiro de 2004. Aquele regulamento
estabeleceu a obrigatoriedade da implantação e implementação de um
Sistema de Controles Internos nas seguradoras brasileiras, inspirado no
padrão COSO (Commitee of Sponsoring Organizations of Treadway
Commision), que, por sua vez, tem como um de seus elementos o
Monitoramento.
Reza a Circular 249:
“Os controles internos (...) não poderão deixar de
prever (...) o acompanhamento sistemático das
atividades desenvolvidas, de forma a avaliar se os
objetivos estão sendo alcançados, se os limites
estabelecidos, as leis e os regulamentos aplicáveis
estão sendo cumpridos, bem como assegurar a
pronta correção de eventuais desvios”( Circular
SUSEP 249, de vinte de fevereiro de 2004)
43
A atividade de auditoria interna deve fazer parte do Sistema de Controles
Internos.
Nesses dispositivos vislumbra-se, em primeiro lugar, e de forma
inquestionável, a definição da obrigatoriedade da atividade de Auditoria Interna
nas seguradoras brasileiras.
Em seguida se revela o primeiro subconjunto de atribuições da Auditoria
Interna, formado por certas vertentes que se complementam:
ü a avaliação periódica da qualidade dos componentes do Sistema de
Controles Internos (padrão COSO) visando mantê-los como atributos
essenciais para garantir que a seguradora administre eficazmente seus
riscos operacionais e, consequentemente, aumente as possibilidades de
alcançar seus objetivos estratégicos;
ü a verificação sistemática da conformidade dos negócios e atividades da
seguradora com relação, por um lado, a leis e regulamentos oficiais e, por
outro, a políticas e normas internas, de forma a permitir a rápida correção
de eventuais desvios e a implementação de melhorias para mitigar a
possibilidade de sua repetição;
ü o acompanhamento das recomendações registradas nos relatórios até a
sua efetiva implantação; e
ü a organização e guarda dos dossiês de auditoria (papéis de trabalho,
evidências, desdobramentos das recomendações, etc.).
A Circular SUSEP 249(2004) também registra que os controles internos (...)
não poderão deixar de prever (...) a existência de testes periódicos de
segurança para os sistemas de informação mantidos em meio eletrônico (...).
44
Por essa determinação, em paralelo com a implementação de processos
eficazes de planejamento, gestão, desenvolvimento, suporte técnico,
segurança lógica, física e de telecomunicações, planos de contingência e de
continuidade dos negócios, se pode inferir que a Auditoria Interna deve tomar
para si a atribuição de, periodicamente, avaliar a qualidade do que se
convencionou chamar de Governança de TI. Esses trabalhos de “auditoria de
sistemas” objetivam aportar sugestões de melhoria e/ou de correção de
eventuais desvios. Independentemente da seguradora já ter adotado ou não
um padrão de Governança de TI, é recomendável que a Auditoria Interna
realize seus trabalhos de campo de auditoria de sistemas tendo em conta a
referência aceita internacionalmente e já aventada pela SUSEP denominada
COBIT (Control Objectives for Information and related Technology),
recomendado pela ISACF – Information Systems Audit and Control Foundation,
e que abarca os aspectos Planejamento e Organização, Aquisição e
Implementação, Entrega e Suporte e Monitoração da Governança de TI.
No tocante à fonte de recursos para executar os trabalhos de campo de
Auditoria Interna, a Circular 249 estipula que:
“(...) a atividade de auditoria (...), quando não executada
por unidade de específica da própria sociedade ou
entidade integrante do mesmo conglomerado (...), poderá
ser exercida por auditor independente, desde que não seja
aquele responsável pela auditoria das demonstrações
financeiras”.
Verifica-se assim que a atividade de Auditoria Interna nas seguradoras
brasileiras pode ser também executada sob regime de terceirização de
serviços. Essa abertura remete a três possibilidades:
ü a terceirização integral da atividade, ou seja, a entrega a terceiro, em
regime de outsourcing, de todas as tarefas pertinentes (planejamento,
45
execução dos trabalhos de campo, emissão de relatórios, seguimento de
recomendações, etc.);
ü a designação de um responsável próprio pela atividade para gerir as tarefas
de planejamento, emissão de relatórios e seguimento de recomendações,
contratando-se terceiro para executar todos os trabalhos de campo; ou
ü a terceirização parcial dos trabalhos de campo da unidade própria, em
especial daqueles aspectos em que a carga horária ou a especialização
requerida não justifique contar com recursos humanos em tempo integral
na folha de pagamento.
FUNENSEG(2004) considera que a eleição da melhor alternativa dependerá
da cultura da seguradora, de seu porte, de suas necessidades e circunstâncias
inerentes a cada caso. Na decisão recomenda-se levar em conta também a
obrigatoriedade da subordinação da atividade de Auditoria Interna ao Conselho
de Administração ou à Diretoria, posto que, dependendo da opção, o contato
com os Altos Administradores, com o Comitê de Auditoria, com os Auditores
Externos e, eventualmente, com a SUSEP, será exercido por pessoa
formalmente alheia à estrutura organizacional da seguradora.
7.1.2 - Resolução 118
Muito embora a Resolução CNSP 118, de vinte e dois de dezembro de 2004,
tenha sido emitida para regular a prestação de serviços dos Auditores
Independentes às seguradoras, ela contém aspectos importantes relacionados
à atividade de Auditoria Interna. É de se destacar os seguintes:
“É vedada a contratação e a manutenção de auditor
independente (...) caso fique configurada (...)
prestação concomitante de serviços de auditoria
independente e de consultoria, principalmente com
46
serviços de consultoria que envolvam (...) auditoria
interna”.
“As sociedades supervisionadas deverão solicitar ao
auditor independente que produza (...) os seguintes
documentos: (...) relatório circunstanciado sobre o
descumprimento de dispositivos legais e
regulamentares, que tenha, ou possa vir a ter,
reflexos relevantes (...) na continuidade das
operações da sociedade (...); relatório
circunstanciado sobre a adequação dos controles
internos aos riscos suportados pela sociedade
(...)”(Circular SUSEP 118, de vinte e dois de
dezembro de 2004).
Esses pontos da Resolução 118, em primeiro lugar, ratificam o que já foi
mencionado com relação à Circular 249 no tocante à proibição de se contratar
o Auditor Independente que revisa as demonstrações financeiras para,
também, executar a atividade de Auditoria Interna de forma terceirizada. Em
segundo lugar, determina que, entre os relatórios semestrais que devem ser
encomendados aos Auditores Independentes, um deles verse sobre a
conformidade das atividades e negócios e outro à qualidade dos controles
internos, alcances que, como já comentado, são também parte das atribuições
da Auditoria Interna
Infere-se ainda, pelas regras da Resolução 118, que ao Comitê de Auditoria,
por delegação do Conselho de Administração, entre outras atribuições
correlatas, cabe o acompanhamento da qualidade da atividade de Auditoria
Interna, de seu planejamento ao acompanhamento de suas recomendações —
notadamente do que diz respeito aos alcances antes comentados —, tocando-
lhe, sempre que entender necessário convocar a dar explicações qualquer
gestor que não tiver implantado o que tiver sido recomendado.
47
7.1.3 - Circular 280
Cita FUNENSEG (2011) que a Circular 280 regulamenta e detalha o escopo
dos trabalhos de campo que devem resultar nos dois relatórios
circunstanciados que as seguradoras devem encomendar aos Auditores
Independentes: o sobre a adequação dos controles internos e o sobre o
descumprimento de dispositivos legais e regulamentares. Percebe-se, assim,
estreita afinidade com o alcance a ser seguido pela atividade de Auditoria
Interna, conforme já comentado, motivo pelo qual esse regulamento é
importante referência para o planejamento e os trabalhos de campo desta.
Quanto a isso seria relevante destacar os seguintes detalhes e aspectos:
“O relatório circunstanciado sobre a adequação dos
controles internos deverá avaliar a eficácia e a
eficiência (...) destacando as deficiências
encontradas, levando em consideração os principais
processos existentes na sociedade e abordando o
ambiente de controle, a avaliação de riscos, as
atividades e procedimentos de controles, os
processos de informação e comunicação, e a
monitoração”(Circular SUSEP 280).
Embora não seja diretamente mencionado, nota-se que o padrão de controle
interno exigido é o já comentado COSO. Com efeito, Ambiente de Controle,
Avaliação de Riscos, Atividades de Controle, Informação e Comunicação e
Monitoração são os elementos que, associados ao Estabelecimento de
Objetivos Estratégicos, conformam aquela referência internacional, que define
o controle interno como sendo um processo desenvolvido para garantir, com
razoável certeza, que sejam atingidos os objetivos da empresa no que tange a
eficiência e efetividade operacional, confiança nos registros contábeis e
financeiros e conformidade com regras externas e internas.
48
Essa inferência ganha força quando a Circular 280 descreve cada um deles e
destaca o que eles devem conter, como segue:
“(...) entende-se (...), como ambiente de controle, a
cultura de controles da sociedade (...),
especialmente a postura da sociedade
supervisionada e a consciência de controles das
pessoas que a compõe; (...) como avaliação de
riscos, a identificação e a análise dos riscos
associados aos objetivos do negócio (...); como
atividades de controle, as políticas e os
procedimentos que asseguram que as ações
necessárias para gerenciar riscos sejam executadas
adequadamente; (...) como processos de informação
e comunicação, aqueles que garantem a
identificação, a captura e a comunicação das
informações necessárias ao gerenciamento da
sociedade supervisionada; (...) e como monitoração,
o processo que avalia a qualidade da performance
do sistema ao longo do tempo, através de um
acompanhamento continuo das atividades,
avaliações separadas, ou uma combinação dos dois.
A avaliação do ambiente de controle deverá incluir
fatores como integridade e valores éticos,
competência e experiência dos administradores,
planejamento estratégico, aspectos de governança e
estrutura organizacional, estilo e filosofia de
administração, atribuição de responsabilidades,
práticas e políticas de recursos humanos.
A análise da avaliação de riscos deve incluir a
capacidade da sociedade supervisionada na análise
49
de fatores internos e externos, e de levar em
consideração a probabilidade de ocorrência e o
impacto nas operações.
Os processos de informação e comunicação devem
permitir que todos os funcionários entendam suas
responsabilidades na estrutura de controles internos,
bem como a forma pela qual suas atividades estão
relacionadas às atividades dos outros. A avaliação
(...) deve levar em consideração a capacidade de
manter uma comunicação efetiva, em um sentido
amplo, fluindo através de toda a organização, tanto
verticalmente como horizontalmente.
A avaliação da monitoração deve levar em
consideração a independência da auditoria interna, a
frequência das inspeções e se a sociedade
supervisionada implementa suas recomendações.
(...) O monitoramento contínuo deve ser avaliado
quanto à sua independência, sua eficácia e sua
eficiência” (Circular SUSEP 280).
A Auditoria Interna relaciona-se com todos os elementos do COSO definidos
pela Circular, na medida em que a ela cabe executar o monitoramento
periódico da qualidade de cada um, nos termos da Circular 249, já comentada.
7.1.4 - Circular 380
Conforme FUNENSEG(2011), a Circular 380 dispõe sobre os controles
internos específicos visando à prevenção dos delitos de lavagem de dinheiro,
ocultação de bens, direitos e valores, ou que com eles possam relacionar-se, o
acompanhamento das operações proposta por pessoas politicamente expostas
e à prevenção e coação do financiamento ao terrorismo. Nela a SUSEP reforça
50
conceitos e práticas do controle interno sob o COSO e as atribuições que se
espera da atividade de Auditoria Interna para esse tema específico:
“(...) as sociedades devem (...) desenvolver e
implementar (...) procedimentos de controles
internos efetivos e consistentes (...) que
contemplem a identificação, avaliação e
controle e monitoramento dos riscos de serem
envolvidas em situações relacionadas à
lavagem de dinheiro, bem como para prevenir
e coibir o financiamento ao terrorismo (...)
(...) Os procedimentos de controles internos
(...) devem contemplar (...) estabelecimento
de uma política (...) que inclua diretrizes sobre
avaliação de riscos (...) manualização e
implementação dos procedimentos (...)
elaboração e execução de programa de
treinamento específico de qualificação dos
funcionários (...) elaboração e execução de
programa de auditoria interna (...)”(Circular
SUSEP 380).
Vê-se, nos dispositivos destacados, os elementos do COSO antes comentados
e a clara definição do papel da Auditoria Interna, qual seja a validação da
qualidade da estrutura de controles internos implementada com o objetivo
específico de prevenir a consecução dos mencionados crimes, o que está em
linha com a Circular 249 que trata do Sistema de Controles Internos em sua
abrangência maior.
7.1.5 - Circular 340
51
A Circular 340, em meio a disposições que dão tratamento aos resultados das
fiscalizações da SUSEP que tenham escopo a avaliação dos Sistema de
Controles Internos, vê-se os seguintes aspectos:
“A sociedade / entidade supervisionada
poderá requerer ao Chefe do Departamento
de Fiscalização da SUSEP, em até 30 (trinta)
dias, contados do recebimento do Ofício de
recomendações mencionado no art. 1o,
prazos para saneamento das deficiências dos
controles internos encontradas (...)
No requerimento enviado à SUSEP deverá
constar o plano de ação e o prazo de
implementação de cada item de deficiência
(...)
Auditoria Interna da sociedade / entidade
deverá acompanhar a execução dos planos
de ação (...) A sociedade/ entidade deverá
encaminhar à SUSEP relatório validado pela
Auditoria Interna caso seja identificado
descumprimento dos prazos constantes dos
planos de ação aprovados (...)”(Circular
SUSEP 340).
Como se vê, à Auditoria Interna foi atribuída a missão de acompanhar a
implementação das recomendações da SUSEP dirigidas à melhoria ou ajustes
de aspectos do Sistema de Controles Internos das seguradoras fiscalizadas,
bem como de validar os argumentos, explicações e justificativas apresentadas
àquele órgão no caso de descumprimento dos prazos de implementação
registrados nos planos de ação elaborados.
7.1.6 - Circular 344
52
A Circular 344 disciplina acerca dos controles internos específicos visando à
prevenção contra fraudes. Nesse documento a SUSEP volta a reforçar
conceitos e práticas do controle interno sob o COSO e as atribuições que se
espera da atividade de Auditoria Interna:
“As sociedades deverão (...) desenvolver
estudos sobre o risco de serem objeto de
fraudes, principalmente com relação aos
produtos comercializados e suas práticas
operacionais.(...) Com base nos estudos (...),
deverá ser desenvolvida e implementada, na
forma da legislação vigente, estrutura de
controles internos específicos, validada pela
auditoria interna, para tratar dos riscos
identificados. A estrutura de controles internos
(...) deverá contemplar, no mínimo, (...) o
estabelecimento de uma política de
prevenção, detecção e correção de fraudes,
(...) avaliação de riscos na contratação de
funcionários e no desenvolvimento de
produtos, (...) implementação de
procedimentos de identificação de riscos de
fraude referentes a produtos e procedimento,s
(...) manualização e implementação dos
procedimentos de prevenção, monitoração e
identificação de fraude,s (...), elaboração e
execução de programa de treinamento contra
fraudes para os funcionários e pessoas com
as quais mantenham relacionamento
comercial, (...) e elaboração e execução de
programa de auditoria interna que verifique o
53
cumprimento dos procedimentos referidos
(...)”(Circular SUSEP 344).
Repete-se, nos dispositivos destacados, a visão dos elementos do COSO já
comentados e, de novo, menciona-se claramente a definição do papel da
Auditoria Interna no assunto tratado pela norma, isto é, a validação da
qualidade da estrutura de controles internos implementada com o objetivo
específico de prevenir fraudes, tudo também em linha com a Circular 249.
7.2 - CONTEÚDO DO PLANEJAMENTO / TRABALHOS DE
CAMPO
7.2.1 - Definição de Auditoria Interna – IIA
Cita FUNENSEG (2011) que perfeitamente alinhado com as referências
internacionais de controle interno, em especial com o padrão COSO, o IIA –
Institute of Internal Auditors, que, no Brasil, tem seu capítulo no AUDIBRA –
Instituto dos Auditores Internos do Brasil, assim define a missão da atividade
de Auditoria Interna:
“A Auditoria Interna deve agregar valor e
contribuir para melhorar as operações. Sua
missão é aportar ajuda para que os objetivos
sejam atingidos, mediante ações sistemáticas
de avaliação e melhora da efetividade da
gestão de riscos, do controle interno e dos
processos de governança corporativa”( IIA –
Institute of Internal Auditors).
Esse enfoque deve se dar mediante criteriosa avaliação da qualidade do
controle interno e da governança corporativa, que, portanto, passa a ser a
54
função mais nobre da Auditoria Interna segundo o padrão COSO e, por
consequência, como já se comentou, segundo a SUSEP. É evidente que
trabalhos de campo de Auditoria Interna podem, direta ou indiretamente,
redundar na identificação de erros, omissões, negligências, imperícias ou atos
de má fé; no entanto, esses devem ocupar cada vez menos espaço no
planejamento anual e, sempre que realizados, ficar caracterizados pelo estudo
aprofundado do que deve ser melhorado no sistema de controle interno para
que eventuais situações anômalas não voltem a ocorrer.
7.2.2 - Alcance Inferido
Em resumo, e com base nos fundamentos acima comentados, pode-se inferir
que o planejamento da atividade de Auditoria Interna nas seguradoras
brasileiras deve, pelo menos, alcançar trabalhos que:
ü avaliem a qualidade das Atividades de Controle, inclusive daquelas
voltadas especificamente à prevenção de fraudes internas e externas e
ao tratamento dos indícios de lavagem de dinheiro, tratamento de
pessoas politicamente expostas e prevenção do financiamento ao
terrorismo;
ü permitam aferir o grau de conformidade dos negócios e atividades à
legislação, à regulamentação, às políticas corporativas e às normas
internas;
ü propiciem opinião independente sobre o andamento e evolução das
Ações Estratégicas;
ü validem a consistência do processo de Gestão de Riscos;
55
ü levem ao diagnóstico do grau do Ambiente de Controle e do processo
de Comunicação & Divulgação, inclusive a medição do nível da cultura
interna de controle e da conscientização do público interno a respeito;
ü permitam coletar dados gerais para emitir o informe semestral sobre o
Controle Interno preconizado pela Circular 249; e
ü representem adequado seguimento da implementação de
recomendações de melhoria de aspectos do Sistema de Controles
Internos e/ou de correções de desvios de conformidade, inclusive
daquela oriundas de fiscalizações da SUSEP
7.2.3 - Auditoria da Qualidade das Atividades de Controle
Essa variável da atividade de Auditoria Interna no Sistema de Controles
Internos tem por objetivo comprovar se há controles internos efetivos e
consistentes — qualidades preconizadas na Circular 249 — para gerir um
processo ou um subprocesso no que tange à formalização de políticas,
normas, procedimentos, controles e meios de monitoramento permanente.
Deve levar em conta, inclusive, a definição dos níveis hierárquicos e das
responsabilidades, a segregação de funções, os níveis de controle e os
objetivos dos mecanismos de controle.
É recomendável que o escopo dos trabalhos de campo não foque áreas da
estrutura organizacional, mas sim o fluxo de um processo ou subprocesso,
independentemente da quantidade de áreas que ele alcance. Essa estratégia:
ü alarga a visão do Auditor dando a ideia de começo, meio e fim;
ü permite identificar oportunidades de melhoria que não seriam visíveis caso
a ótica fosse localizada; e
56
ü auxilia antecipar os efeitos de recomendações importantes em todo o fluxo,
evitando sugestões que, embora se mostrem razoáveis em um
subprocesso, podem ter impacto negativo ou nulo quando considerado o
processo integral.
“Assim, por exemplo, dever-se-ia auditar a qualidade
das Atividades de Controle do processo de sinistros iniciando-
se pelo subprocesso de aviso, passando-se pelos
subprocessos de constituição de reserva, regulação, análise e
liquidação, e terminando no subprocesso de contabilização da
indenização, sem importar quantas áreas ou subáreas estejam
envolvidas (no exemplo poderiam ser a Central de Atendimento,
a Área de Peritos, a Área de Análise de Sinistros, o Contas a
Pagar e a Contabilidade). Além disso, essa estratégia
despersonaliza a auditoria e auxilia no esforço de eliminar o
ranço fiscalizador na medida em que considera como mais
importantes os procedimentos, rotinas, sistemas e controles, ao
invés das pessoas e/ou das unidades por elas
geridas”(FUNENSEG 2011).
7.2.4 - Auditoria da Conformidade
Segundo FUNENSEG (2011), essa vertente da atividade de Auditoria Interna
tem por objetivo verificar a conformidade das atividades e negócios da
seguradora à legislação vigente, à regulamentação estabelecida, às políticas
editadas e às normas internas. Essa fase dos trabalhos de campo pode ser
antevista na auditoria da qualidade das atividades de controle, mediante a
identificação de pontos críticos e a identificação prévia de testes de aderência,
sistêmicos ou documentais.
Recomenda-se realizar essa fase da auditoria tão logo se encerre a fase da
avaliação da qualidade das atividades de controle, não só porque a memória
recente do fluxo do processo ou subprocesso auditado facilita a tarefa, mas
57
também porque seus resultados auxiliam a corroborar a necessidade da
implementação das melhorias sugeridas.
Adquire especial destaque, nessa etapa dos trabalhos de campo, a boa
definição do alcance dos exames, de forma que se possa, por um lado,
concentrá-los nas transações mais importantes, consideradas as variáveis de
tempo (período de análise), materialidade, relevância dos negócios, e, por
outro lado, a conveniência de alcançar todos os ramos e produtos operados
pela seguradora.
7.2.5 - Auditoria do Seguimento das Ações Estratégicas
Esta parte dos trabalhos de campo não deve ser entendida como de avaliação
das ações estratégicas ou até mesmo dos objetivos estratégicos, ou seja, à
emissão de opinião se eles são corretos ou adequados. Isso porque a
definição do planejamento estratégico cabe ao Conselho de Administração,
apoiado pela Alta Administração ou, eventualmente, por um Comitê
Estratégico, para os quais a Auditoria Interna serve como consultoria e não
como avaliadora.
Este segmento da atividade de Auditoria Interna, portanto, objetiva agregar
valor à Alta Direção, mediante o oferecimento de uma análise independente,
primeiro sobre a qualidade da gestão do modelo de estabelecimento de
objetivos estratégicos e segundo sobre o andamento das ações estratégicas
previamente definidas com vistas à consecução dos objetivos estratégicos.
Aqui também se invocam o teor da Circular 249 da SUSEP, o padrão COSO
de controle interno e a definição de Auditoria Interna do IIA, que mencionam
claramente que a Auditoria Interna tem de dedicar parte de suas atividades à
efetivação dos objetivos estratégicos.
Para executar essa importante parte de suas atribuições, a Auditoria Interna
tem, obviamente, de conhecer o processo e a metodologia de desenho do
58
planejamento estratégico, as atividades estratégicas concebidas para alcançar
os objetivos traçados, os gestores responsáveis pelas ações e os prazos
estimados para sua implementação e as métricas que possibilitam avaliar a
evolução de determinada ação.
7.2.6 - Auditoria do Processo de Gestão de Riscos
No padrão COSO de controle interno, a Gestão de Riscos é formada pela
Identificação dos Riscos, pela Avaliação dos Riscos e pela Resposta aos
Riscos. Trata-se, com efeito, da principal base do controle interno, uma vez
que, por um lado, deve levar em conta os objetivos estratégicos e, por outro,
ser a fonte para o desenho das Atividades de Controle.
Por isso, a Auditoria Interna deve dedicar especial atenção à auditoria da
qualidade do processo de Gestão de Riscos, independentemente de ele ser
centralizado ou descentralizado, manual ou sistêmico, corporativo ou
individualizado, permanente ou periódico.
7.2.7 - Auditoria do Ambiente de Controle / Comunicação &
Divulgação
Por envolver os aspectos subjetivos do Sistema de Controles Internos, a
auditoria do Ambiente de Controle exige certa flexibilidade dos auditores
internos, uma vez que raramente serão encontradas as condições materiais e
as evidências físicas ou lógicas com que se está acostumado a trabalhar. Por
outro lado, esse aspecto da auditoria de controle interno tem estreita relação
com a cultura da seguradora e sua filosofia no trato com os colaboradores,
clientes e parceiros, detalhes que devem ser necessariamente levados em
conta.
59
Por afinidade, pode-se incluir nos trabalhos de campo avaliações que
permitam aferir também a qualidade da Comunicação & Divulgação, que é
outro componente do Sistema de Controles Internos.
Nos trabalhos dessa espécie deve-se, com o maior grau de objetividade
possível, buscar aferir o sentimento do público interno com relação a fatores
como atitude, obediência a leis, regulamentos, políticas e normas internas,
integridade e valores éticos, competência e experiência, planejamento
estratégico, governança, estrutura organizacional, estilo e filosofia de
administração, atribuição de responsabilidades e práticas e políticas de
recursos humanos. Em suma, há que se encontrar uma forma de medir a
consciência dos colaboradores, de qualquer nível, com relação aos controles
internos.
No desafio de diminuir o grau de subjetividade que caracteriza essa parte do
Sistema de Controles Internos, o auditor deve conhecer e analisar os
mecanismos utilizados pela seguradora visando à disseminação da cultura de
controle entre seus colaboradores e os recursos utilizados para bem divulgar e
comunicar ao público interno o que ela espera em termos de atitude, postura e
comportamento com relação ao assunto.
7.3 - DOSSIÊS, RELATÓRIOS DE AUDITORIA E PLANOS DE
AÇÃO
“É parte do Princípio da
Imparcialidade da Auditoria Interna condicionar os resultados de
seus trabalhos de campo à evidência da verdade,
convenientemente apurada. Em razão disso, também para a
vertente da avaliação da qualidade do Sistema de Controles
Internos e da verificação da conformidade, é relevante
organizar as evidências que respaldam os exames realizados,
notadamente aquelas que redundarem em comentários de
60
auditoria e recomendações de melhoria ou de tratamento de
eventuais desvios” (FUNENSEG 2011).
O conjunto de documentos físicos, programas computadorizados ou outras
evidências de quaisquer espécies que consubstanciam e comprovam a
realização dos trabalhos de campo forma o que genericamente se conhece
como papéis de trabalho. Independentemente de terem sido fornecidos pelos
auditados ou terceiros ou gerados ou obtidos pelos próprios auditores, devem
receber tratamento adequado no tocante à organização, guarda e
confidencialidade. Podem ainda ser separados entre:
ü permanentes, aqueles que podem ser utilizados em trabalhos futuros, tais
como o fluxograma do processo de análise de sinistros de incêndio, um
programa computadorizado do cruzamento entre a data da proposta e a
data de emissão da apólice; e
ü temporários, aqueles que dizem respeito exclusivamente ao trabalho
realizado, tais como um relatório computadorizado de apólices de vida
emitidas após quinze dias do recebimento da proposta e um recibo de
indenização não assinado pelo beneficiário.
FUNENSEG(2011) considera como premissa, os papéis de trabalho e a sua
coleção adequadamente organizada — o dossiê de auditoria —, devem, por
um lado, registrar as informações obtidas e os exames e análises procedidos
e, por outro lado, constituir base confiável, suficiente e inquestionável das
conclusões obtidas, tanto as relacionadas com o atestado da boa qualidade do
Sistema de Controles Internos e da conformidade, quanto as inerentes às
recomendações de melhoria ou de correções de desvios. Eles formam,
portanto, a base fundamental do relatório de auditoria e, por isso, caso não se
possam obter evidências com aquelas qualidades, faz-se necessário fazer as
ressalvas necessárias para explicar essa circunstância.
61
Os relatórios de auditoria, por sua vez, devem ser organizados e redigidos de
forma a propiciar perfeita compreensão do alcance ou escopo do trabalho, os
limites dos testes realizados em termos de tempo e abrangência, as
conclusões gerais e específicas, a evolução desde a auditoria anterior e,
dependendo da cultura da seguradora, a manifestação dos auditados. Devem
se pautar por serem documentos bem fundamentados para, mediante
comentários, justificativas, recomendações e sugestões, agregar valor e
auxiliar a Alta Administração na melhoria contínua do Sistema de Controles
Internos da seguradora e, por conseguinte, na consecução de seus objetivos
estratégicos.
“Pode ser ainda conveniente formatar
planos de ação, derivados das recomendações registradas nos
relatórios, a serem preenchidos pelos responsáveis diretos. Nele seria
de mencionar a providência a ser adotada, a data estimada de sua
implantação e nome de quem conduzirá a ação, criando-se mecanismo
para permitir à Auditoria Interna o acompanhamento das
implementações, as cobranças necessárias e o encaminhamento ao
Comitê de Auditoria nos termos da Resolução 118.
É relevante considerar que a Circular 249 manda que evidências e
relatórios de Auditoria Interna fiquem à disposição da SUSEP pelo
prazo de cinco anos”.(FUNENSEG 2011)
62
CONCLUSÃO
De forma geral, é fundamental que as organizações identifiquem e avaliem
os riscos operacionais, a fim de que haja maior segurança no alcance do
seu planejamento estratégico.
A maturidade nos níveis de controles internos garante que a instituição
esteja em CONFORMIDADE com a lei e regulamentos internos e externos,
bem como evite, detecte e trate qualquer desvio ou inconformidade que
possa ocorrer.
63
A atuação da auditoria interna testando o funcionamento dos controles
relevantes e verificando a aderência às normas internas e de reguladores
(SUSEP, etc.), solidifica os objetivos das companhias de seguros.
O alcance dos objetivos das organização atendem referencias de:
• Efetividade e eficiência operacional: diz respeito aos objetivos básicos
da empresa, inclusive com os objetivos e metas de desempenho e
rentabilidade, bem como da segurança e da qualidade dos ativos;
• Confiabilidade nos relatórios financeiros: todas as transações devem ser
registradas, todos os registros devem refletir transações reais,
consignadas pelos valores e enquadramentos corretos;
• Conformidade: com as leis e normativos aplicáveis à entidade e sua
área de atuação.
No que diz respeito à sua relação com o sistema de controles internos da
empresa, a auditoria deve proceder à realização de exames e avaliação da
eficácia, com a finalidade de determinar se o sistema fornece razoável
certeza do atingimento dos objetivos da empresa.
Evidencie que Auditoria Interna, Controles Internos e Gestão de Riscos são
parte integrante do gerenciamento corporativo e asseguram os processos
definidos pela alta administração.
Os papéis da Auditoria Interna e de Controles Internos são distintos.
Cabendo à primeira os testes e à segunda área a definição de ambientes
de controles. Uma área complementa o trabalho da outra, e o resultado são
riscos minimizados e uma gestão mais eficiente.
Quando analisei empresas que possuem a obrigatoriedade de implantação
dessas duas áreas por força da legislação do órgão regulada, como é o
caso das Seguradoras, perante a SUSEP, fica mais evidente os papéis, e
onde deve haver mitigação dos riscos.
64
BIBLIOGRAFIA
ALMEIDA, Marcelo Cavalcanti. Auditoria: Um Curso Moderno e Completo. São Paulo: Atlas, 1996
ATTIE, Willian. Auditoria: Conceitos e Aplicações. São Paulo: Atlas,
2006.
AUDIBRA (Associação de Auditores do Brasil) e
PricewaterhouseCoopers. COSO Gerenciamento de Riscos
Corporativos. Audibra e PricewaterhouseCoopers,2004
DIAS, Sergio Vidal dos Santos. Auditoria de Processos Organizacionais. Rio de Janeiro: Atlas, 2014.
GOMES, Josir Simeone; SALAS, Joan M. Amat. Controle de gestão : uma abordagem contextual e organizacional. São Paulo: Atlas, 2011.
IBRACON. Normas e Procedimentos de Auditoria. http://www.ibracon.com.br/ibracon/Portugues/lisPublicacoes.php?codCat=2 Acessado em 10/07/2014.
LISBOA, Ibraim. Manual de Auditoria Interna. São Paulo, MAPH 2012 REVISTA FUNENSEG. Controles Internos. Rio de Janeiro: 2011
SÁ, Antonio Lopes. AUDITORIA. São Paulo: Atlas, 2005
SUSEP.HTTP:/www.susep.gov.br. Acessado em 08/07/2014
VIDAL, Sergio. Manual de Controles Internos: Desenvolvimento e
Implantação – Exemplos de Processos Organizacionais. São Paulo:
Atlas, 2004.