Termo de Isenção de
Responsabilidade
O autor não se responsabiliza pelo uso
inadequado, indevido e/ou desautorizado, em to...
Agenda Introdução: Sarbanes-Oxley
O que é
Contexto histórico
Objetivos
Amplitude
Governança Corporativa
Controles Interno
...
Introdução:
Sarbanes-Oxley
Sarbanes Oxley
SOX é um a lei
Senador Paul Sarbanes
Deputado Michael Oxley
Contexto histórico
• Descoberta de grandes companhias que manipulavam informações
financeiras (escândalos financeiros da E...
Objetivos
• Elevar o nível de responsabilidade e comprometimento da
Direção das Companhias.
• Melhorar a Governança Corpor...
Objetivos
Busca, por meios tangíveis, “reparar” a perda da confiança pública nos
líderes empresariais norte-americanos e e...
Amplitude
SOX
E-SOX
J-SOX
2002
2003
2005
Sox
TÍTULO I - CONSELHO DE FISCALIZAÇÃO DAS NORMAS PÚBLICAS DE
CONTABILIDADE DAS EMPRESAS
TÍTULO II - AUDITORES INDEPENDEN...
E-Sox
A chamada E-SOx, ou Euro-SOx, na realidade não é uma única norma mas
um conjunto de normas aprovadas entre 2003 e 20...
E-Sox
• A primeira norma a ser publicada foi, em 2003,
a Diretiva 2003/6/CE sobre Abusos e Manipulações nos Mercados.
Os p...
J-Sox
J-SOx é o nome informal dado a um conjunto de norma Japonesas relativas a
controles internos e divulgação de relatór...
J-Sox
A seção 1 estipula uma estrutura de controle:
• Ambiente de Controle
• Avaliação dos riscos
• Atividades de Controle...
Governança
Corporativa
Governança Corporativa
Governança Corporativa
Governança Corporativa é o sistema pelo qual as sociedades são
dirigidas e monitoradas, envolvendo ...
Governança Corporativa
Fonte: Instituto Brasileiro de Governança Corporativa
O Controle Interno
O controle é um mecanismo manual ou sistêmico que minimiza ou elimina
a possibilidade de ocorrência dos...
Estrutura de controle interno
• SOX requer que as empresas adotem um estrutura de controle (control
framework).
• COSO (Co...
Estrutura de controle interno
O primeiro objeto de estudo do COSO foi o controle interno, resultando na
publicação em 1992...
Estrutura de controle interno
Componentesdo
gerenciamento
derisco
COSO II
2004
COSO I
1992
Ambiente de Controle
Avaliação ...
Controle Sox
O que são Controles Chave?
Ambiente de negócios
Ambiente de TI
O Cobit (Control Objectives for Information and related Technology) é um
modelo estruturado de Governança e...
Objetivos de controle de TI para
Sarbanes-Oxley - TIGC
Fonte: PCAOB Auditing Standard No. 2 and Control Objectives for Inf...
Porque TI deve ser considerada no
escopo de um trabalho de SOX?
Ambiente Geral de TI
Sistemas e Aplicativos
Processos de n...
Controles de TI – TICA e TIGC
PROCESSO I PROCESSO I I
PROCESSOS SIGNIFICATIVOS
PROCESSO I I I
SISTEMA D SISTEMA ESISTEMA C...
Controles de TI
Exemplo
Controles de Aplicação
Podemos considerar que os controles na aplicação se resumem em 2
grupos:
– Perfis de acesso dos apl...
Perfis de acesso dos
aplicativos / sistemas
• Direitos de acesso dos usuários às funcionalidades dos aplicativo/sistema
de...
Controles Automatizados
• Controles internos que estão inseridos/implantados nos aplicativos e/ou
sistemas
• O nível de te...
Controles Automatizados
• 1 - Validação de entrada de dados
Ex. O sistema compara a informação inserida com dados pré-defi...
Controle humano
Teoria Clássica da Administração – Henry Fayol
Prever, Organizar, Comandar, Coordenar e Controlar
Teoria N...
O Gestor
• Promove a mudança na conduta de executivos, impondo
responsabilidade civil e criminal para Presidente (CEO) e D...
O valor da Auditoria Interna para as
partes interessadas
A boa governança, gestão de riscos e controles internos são essen...
O que esperar da Auditoria Interna
Fonte: Instituto dos Auditores Internos do Brasil
O que esperar da Auditoria Interna
Fonte: Instituto dos Auditores Internos do Brasil
O que esperar da Auditoria Interna
Fonte: Instituto dos Auditores Internos do Brasil
O que esperar da Auditoria Interna
Fonte: Instituto dos Auditores Internos do Brasil
A Auditoria na Sox
• Determina avaliação anual, pelos auditores externos, dos controles e
procedimentos internos das empre...
Executivos no Brasil
• Não existe um tratado de extradição entre Brasil e Estados Unidos.
• O executivo brasileiro em falt...
Sarbanes-Oxley
Título III – Responsabilidade das empresas
Seção 302 - Responsabilidade Relatórios Financeiros
A Comissão exigirá, por mei...
Título III – Responsabilidade das empresas
Seção 302 - Responsabilidade Relatórios Financeiros
4) os executivos que assina...
Título III – Responsabilidade das empresas
Seção 302 - Responsabilidade Relatórios Financeiros
5) os executivos que assina...
Título III – Responsabilidade das empresas
Seção 302 - Responsabilidade Relatórios Financeiros
6) os executivos que assina...
Título IV – Divulgações financeiras aditadas
Seção 404 - Avaliação Gerencial dos Controles Internos
A Comissão determinará...
PCAOB Std 5
Principais tópicos:
• Abordagem Top-Down e Risk Based;
• Entity Level;
• Walkthroughs;
• Prevenção de fraudes;...
Abordagem Top-Down
Os auditores devem iniciar seus trabalhos identificando contas
contábeis significativas, assertivas rel...
Relevância dos Controles no Nível
de Entidade (Entity Level)
Os controles de nível de entidade (Entity Level) podem mitiga...
Flexibilidade para utilização dos
trabalhos da administração
O standard possibilita uma estrutura (framework) de trabalho ...
Walkthroughs
O standard 2 anterior do PCAOB determinava que procedimentos de
“walkthrough” deveriam ser efetuados para tod...
Ênfase em controles para
prevenção de fraudes
A administração das empresas e os auditores externos devem
considerar no iní...
Mudança na avaliação e
comunicação de deficiências
Alinhamento das definições de deficiência material (Material Weakness)
...
Impossibilidade de efetuar rotação
de testes de controles
O standard não permite que sejam efetuadas rotações de testes pa...
Principais Metas dos Padrões de
Auditoria PCAOB
• Focar a Auditoria nos Assuntos mais Relevantes.
• Eliminar Procedimentos...
Focar a Auditoria nos Assuntos
mais Relevantes
Requer uma segurança razoável, que significa um alto nível de segurança
sob...
Eliminar Procedimentos
Desnecessários
Eliminar requerimento do auditor dar uma opinião separada sobre a
avaliação da Admin...
Customizar Auditoria para
Companhias Menores
Requer do auditor uma avaliação do tamanho e complexidade da
companhia no pla...
Simplificar os Padrões e suas
Exigências
Reduzir significativamente o Standard e reorganizá-lo para seguir o fluxo
seqüenc...
Regulamentações
Relacionadas à SOX
Securities Exchange
Commission - SEC
Guia que demonstra como a
administração das empresas
poderá conduzir a avaliação
dos ...
Standard & Poor’s
O Standard & Poor’s estabelece
diretrizes de uma avaliação mais
estruturada e disciplinar dos
riscos par...
Impactos da Sox
Principais Material Weaknesses
em TI reportados pelas empresas
• Competência e treinamento adequado dos funcionários
• Con...
Novos processos
Anualmente a empresa deve:
• Avaliar as contas significativas;
• Definir a estrutura de controle interno;
...
Consequências da Sox em relação a
Governança Corporativa
• Maior transparência do ambiente de controle da empresa.
• Torna...
Obrigado!
Contato: aportinho@hotmail.com
http://alessandroportinhoblog.blogspot.com/
Os Impactos da Lei Sarbanes Oxley no Processo de Auditoria e Gestão de TI
Próximos SlideShares
Carregando em…5
×

Os Impactos da Lei Sarbanes Oxley no Processo de Auditoria e Gestão de TI

3.193 visualizações

Publicada em

Palestra apresentada na Semana da Gestão e Governança da TI.

Evento realizado pelo Instituto Infnet entre os dias 25/10/2010 e 29/10/2010.

Publicada em: Educação
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
3.193
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
100
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Os Impactos da Lei Sarbanes Oxley no Processo de Auditoria e Gestão de TI

  1. 1. Termo de Isenção de Responsabilidade O autor não se responsabiliza pelo uso inadequado, indevido e/ou desautorizado, em todo ou em parte, do conteúdo e/ou informações aqui apresentadas. A utilização dessa mídia está condicionada a prévia autorização. Aproveite a apresentação para ampliar seus conhecimentos em Governança de TI e usá-los com responsabilidade.
  2. 2. Agenda Introdução: Sarbanes-Oxley O que é Contexto histórico Objetivos Amplitude Governança Corporativa Controles Interno Ambiente de negócios Ambiente de TI O Gestor A Auditoria Executivos no Brasil Sarbanes-Oxley Seção 302 Seção 404 PCAOB Std 5 Metas do PCAOB Regulamentações relacionadas com a Sox SEC Standard & Poor’s Impactos da SOX MW em TI Novos processos Conseqüências
  3. 3. Introdução: Sarbanes-Oxley
  4. 4. Sarbanes Oxley
  5. 5. SOX é um a lei
  6. 6. Senador Paul Sarbanes
  7. 7. Deputado Michael Oxley
  8. 8. Contexto histórico • Descoberta de grandes companhias que manipulavam informações financeiras (escândalos financeiros da Enron, Tyco, WorldCom...). • Abalo na estrutura do mercado de capitais americano (fuga de investidores, queda da captação de recursos). • Necessidade de maior transparência na divulgação dessas informações nos atos da alta administração das empresas.
  9. 9. Objetivos • Elevar o nível de responsabilidade e comprometimento da Direção das Companhias. • Melhorar a Governança Corporativa das empresas e o ambiente de controles internos. • Aumentar a supervisão sobre as Demonstrações Financeiras apresentadas pelas Companhias. • Restituir a confiança do investidor no mercado de capital e nos auditores independentes.
  10. 10. Objetivos Busca, por meios tangíveis, “reparar” a perda da confiança pública nos líderes empresariais norte-americanos e enfatizar mais uma vez a importância dos padrões éticos na preparação das informações financeiras reportadas aos investidores.
  11. 11. Amplitude SOX E-SOX J-SOX 2002 2003 2005
  12. 12. Sox TÍTULO I - CONSELHO DE FISCALIZAÇÃO DAS NORMAS PÚBLICAS DE CONTABILIDADE DAS EMPRESAS TÍTULO II - AUDITORES INDEPENDENTES TÍTULO III - RESPONSABILIDADE DAS EMPRESAS TÍTULO IV - DIVULGAÇÕESFINANCEIRAS ADITADAS TÍTULO V - CONFLITO DE INTERESSES DOS ANALISTAS TÍTULO VI - RECURSOS E PODERES DAS COMISSÕES TÍTULO IX - PENAS PARA CRIMES DE COLARINHO BRANCO TÍTULO X - RESTITUIÇÃO DE IMPOSTOS PAGOS PELAS EMPRESAS TÍTULO XI - FRAUDE DENTRO DO ÂMBITO EMPRESARIAL E NA CONTABILIDADE
  13. 13. E-Sox A chamada E-SOx, ou Euro-SOx, na realidade não é uma única norma mas um conjunto de normas aprovadas entre 2003 e 2006 e que dizem respeito aos assuntos tratados de forma unitária pelas SOx dos EUA. Diretiva 2003/6/CE sobre Abusos e Manipulações nos Mercados. Diretiva 2004/109/CE sobre Transparência nas Demonstrações Financeiras. Diretiva 2006/43/CE sobre Procedimentos Obrigatórios de Auditoria.
  14. 14. E-Sox • A primeira norma a ser publicada foi, em 2003, a Diretiva 2003/6/CE sobre Abusos e Manipulações nos Mercados. Os pontos principais da Diretiva são: – Abuso de informações – Divulgação e controle de informações internas por parte de emissores – Relatório de transações realizada por executivos – Manipulação de mercado – Relatório de transações suspeitas – Recomendações de pesquisa – Estabilização e Recompra de ações • Em 2004 foi criada a Diretiva 2004/109/CE sobre Transparência nas Demonstrações Financeiras. Os pontos principais da Diretiva são: – Divulgação de informações financeiras periódicas – Critérios e Responsabilidades – Atualização das informações sobre os principais acionistas – Disseminação de Informações Regulamentadas – Comunicação de emendas aos estatutos de incorporação • Em 2006 foi criada a Diretiva 2006/43/CE sobre Procedimentos Obrigatórios de Auditoria. Os pontos principais da Diretiva são: – Educação e Qualificações – Ética – Standards (padrões) e Relatórios – Supervisão Publica, Investigações, Disciplina e cooperação com outras autoridades da EEA – Contratação e Demissão – Auditores de Paises Terceiros – Divulgação da remuneração dos Auditores
  15. 15. J-Sox J-SOx é o nome informal dado a um conjunto de norma Japonesas relativas a controles internos e divulgação de relatórios financeiros (ICFR) que fazem parte do da Lei Japonesa sobre Instrumentos Financeiros e Bolsas (Japanese Financial Instruments and Exchange Law). Esta lei foi promulgada em Junho de 2006 na forma de uma emenda da Lei Japonesa das Ações e Bolsas (Japanese Securities and Exchange Law), como conseqüência de uma serie de fraudes contábeis e na divulgação de relatórios financeiros. Este conjunto de normas é chamado J-SOx porque foi modelado com base na SOx (Lei Sarbanes-Oxley) dos EUA. A J-SOx obriga todas as empresas listadas nas bolsas Japonesas a reforçar os controles internos e a garantir uma completa e acurada divulgação das informações financeiras. O guia de implementação da J-SOx, publicado pela Japanese Financial Service Agency (FSA), recomenda uma postura centrada nos riscos, foco em contas e processos que sejam significativos.
  16. 16. J-Sox A seção 1 estipula uma estrutura de controle: • Ambiente de Controle • Avaliação dos riscos • Atividades de Controle • Informação e Comunicação • Monitoramento • Resposta a IT A seção 2 trata de: • Definição de “Relatórios Financeiros”. • Objetivos das avaliações da diretoria • Estrutura e método para avaliação dos controles internos e uso de especialistas • Avaliação dos níveis de controle da empresa • Controles em nível de processos – avaliação da efetividade operacional • Registro e Retenção dos procedimentos de avaliação A Seção 3 trata da auditoria: • O significado do “Relatório Indireto dos Auditores” • Tamanho da amostra para testar a efetividade operacional • Uso do trabalho dos auditores internos e/ou outros • Reporte sobre fraquezas matérias e outras condições dignas de serem relatadas
  17. 17. Governança Corporativa
  18. 18. Governança Corporativa
  19. 19. Governança Corporativa Governança Corporativa é o sistema pelo qual as sociedades são dirigidas e monitoradas, envolvendo os relacionamentos entre Acionistas/Cotistas, Conselho de Administração, Diretoria, Auditoria Independente e Conselho Fiscal. A preocupação da Governança Corporativa é criar um conjunto eficiente de mecanismos, a fim de assegurar que o comportamento dos executivos esteja sempre alinhado com o interesse dos acionistas (“agency cost”). A boa Governança proporciona aos proprietários (acionistas ou cotistas) a gestão estratégica de sua empresa e a monitoração da direção executiva. A empresa que opta pelas boas práticas de Governança Corporativa adota como linhas mestras a transparência, a prestação de contas, a equidade e a responsabilidade corporativa (princípios da governança do IBGC). Fonte: Instituto Brasileiro de Governança Corporativa
  20. 20. Governança Corporativa Fonte: Instituto Brasileiro de Governança Corporativa
  21. 21. O Controle Interno O controle é um mecanismo manual ou sistêmico que minimiza ou elimina a possibilidade de ocorrência dos riscos do negócio. É desenvolvido para garantir, com razoável margem de segurança, que os seguintes objetivos serão atingidos: • Desempenho e eficiência das operações; • Confiabilidade dos relatórios financeiros; e • Conformidade com as leis e regulamentações aplicáveis. O Ambiente de Controles Internos de uma organização deve considerar: • O nível de Conscientização sobre controles – Geralmente considera a avaliação dos controles no Nível da Entidade; • Os Mecanismos de controle - geralmente considera a avaliação no nível de processos, transações e aplicativos.
  22. 22. Estrutura de controle interno • SOX requer que as empresas adotem um estrutura de controle (control framework). • COSO (Committee of Sponsoring Organizations of the Treadway Commission) define uma estrutura: – Controle do ambiente: disciplina e estrutura – Avaliação de riscos: econômico, industrial, operacional – Controle das atividades: aprovação, reconciliação, segregação – Informação e comunicação – Monitoração
  23. 23. Estrutura de controle interno O primeiro objeto de estudo do COSO foi o controle interno, resultando na publicação em 1992 do trabalho "Internal Control - Integrated Framework" (Controles Internos – Um Modelo Integrado), que se tornou referência mundial para o estudo e a aplicação dos controles internos (COSO I). Em setembro de 2004, foi publicada o “Enterprise Risk Management” (Gerenciamento de Riscos Corporativos), que se tornou referência para o gestão de riscos (COSO II). COSO I COSO II CONTROLE INTERNO GERENCIAMENTO DE RISCO Ambiente de controle.................................Ambiente internoAmbiente interno FixaFixaççãoão dede objetivosobjetivos IdentificaIdentificaççãoão dede eventoseventos Avaliação de riscos....................................Avaliação de riscos RespostaResposta ao riscoao risco Atividades de controle................................Atividades de controle Informação & comunicação.........................Informação & Comunicação Monitoramento..........................................Monitoramento
  24. 24. Estrutura de controle interno Componentesdo gerenciamento derisco COSO II 2004 COSO I 1992 Ambiente de Controle Avaliação de Riscos Atividades de Controle Informação e Comunicação Monitoramento
  25. 25. Controle Sox
  26. 26. O que são Controles Chave?
  27. 27. Ambiente de negócios
  28. 28. Ambiente de TI O Cobit (Control Objectives for Information and related Technology) é um modelo estruturado de Governança em TI, que prevê objetivos em nível corporativo e de atividades por meio de controles associados. A utilização do COBIT é um dos padrões que permite uma organização desenhar um sistema de controles de TI, aderentes à SOX 404.
  29. 29. Objetivos de controle de TI para Sarbanes-Oxley - TIGC Fonte: PCAOB Auditing Standard No. 2 and Control Objectives for Information and related Technology
  30. 30. Porque TI deve ser considerada no escopo de um trabalho de SOX? Ambiente Geral de TI Sistemas e Aplicativos Processos de negócios Demonstrações Financeiras Identificação do ambiente de TI que processa os sistemas/sistemas Identificação dos aplicativos que suportam os processos Identificação dos processos que afetam as contas Identificação das contas significativas das demostrações
  31. 31. Controles de TI – TICA e TIGC PROCESSO I PROCESSO I I PROCESSOS SIGNIFICATIVOS PROCESSO I I I SISTEMA D SISTEMA ESISTEMA CSISTEMA BSISTEMA A BANCOS DE DADOS SISTEMAS OPERACIONAIS REDE CONTROLES AUTOMÁTICOS DAS APLICAÇÕES QUE GERAM IMPACTO FINANCEIRO (TICA) CONTROLES DOS PROCESSOS GERAIS DA ÁREA DE TECNOLOGIA QUE SUPORTAM OS PROCESSOS DE NEGÓCIO E AS APLICAÇÕES FINANCEIRAS (TIGC)
  32. 32. Controles de TI
  33. 33. Exemplo
  34. 34. Controles de Aplicação Podemos considerar que os controles na aplicação se resumem em 2 grupos: – Perfis de acesso dos aplicativos / sistemas – Controles Automatizados
  35. 35. Perfis de acesso dos aplicativos / sistemas • Direitos de acesso dos usuários às funcionalidades dos aplicativo/sistema de acordo com suas responsabilidades funcionais • Foco em segregação de funções • Ex. Perfis de acesso são configurados na aplicação de forma a possibilitar que, somente pessoas autorizadas possam executar determinadas atividades e ter acesso a determinadas informações.
  36. 36. Controles Automatizados • Controles internos que estão inseridos/implantados nos aplicativos e/ou sistemas • O nível de testes a serem executados deve ser suficiente para garantir que os controles automatizados estão operando eficientemente.
  37. 37. Controles Automatizados • 1 - Validação de entrada de dados Ex. O sistema compara a informação inserida com dados pré-definidos, dados contidos em tabelas ou intervalos. • 2 - Cálculo Ex. O calculo se baseia em fórmula programada no sistema. O cálculo é suportado por tabelas contendo as informações necessárias para serem empregadas na fórmula. • 3 - Interface entre sistemas Ex. Um sistema compara a informação proveniente de outro sistema e aponta eventuais problemas. • 4 - Limite de tolerância Ex. O sistema permite a entrada da informação com base em margem de tolerância previamente definida. • 5 - Limite de aprovação Ex. A aplicação é configurada para requerer aprovações de acordo com critérios previamente definidos no sistema. • 6 - Totais automatizados Ex. A aplicação possui relatórios com totais e sub-totais que permitem a verificação de informações inseridas. • 7 - Atualização de tabelas mestre Ex. Uma tabela armazena as informações-chave, que serão utilizadas pelas aplicações durante a execução de uma atividade
  38. 38. Controle humano Teoria Clássica da Administração – Henry Fayol Prever, Organizar, Comandar, Coordenar e Controlar Teoria Neoclássica – Peter Drucker Planejar, Organizar, Liderar e Controlar
  39. 39. O Gestor • Promove a mudança na conduta de executivos, impondo responsabilidade civil e criminal para Presidente (CEO) e Diretor Financeiro (CFO) das empresas. • Prevê penalidades criminais para o CEO e CFO, quando ficar caracterizado o uso de má fé nas informações divulgadas nas demonstrações financeiras (multa de 1 até U$ 5 milhões e de 10 até 20 anos de prisão). • Prevê penalidades criminais em caso de alteração, destruição ou falsificação de registros ou documentos com o objetivo de dificultar/impedir um procedimento oficial.
  40. 40. O valor da Auditoria Interna para as partes interessadas A boa governança, gestão de riscos e controles internos são essenciais para o sucesso de uma organização e sua longevidade. A Auditoria Interna auxilia a administração e os órgãos de governo (por exemplo, o conselho de administração, comitê de auditoria), no cumprimento de suas responsabilidades, tranzendo uma abordagem sistemática e disciplinada para avaliar a eficácia do desenho e da execução do sistema de controles internos e processos de gestão de riscos. Fonte: Instituto dos Auditores Internos do Brasil
  41. 41. O que esperar da Auditoria Interna Fonte: Instituto dos Auditores Internos do Brasil
  42. 42. O que esperar da Auditoria Interna Fonte: Instituto dos Auditores Internos do Brasil
  43. 43. O que esperar da Auditoria Interna Fonte: Instituto dos Auditores Internos do Brasil
  44. 44. O que esperar da Auditoria Interna Fonte: Instituto dos Auditores Internos do Brasil
  45. 45. A Auditoria na Sox • Determina avaliação anual, pelos auditores externos, dos controles e procedimentos internos das empresas para emissão de seus relatórios financeiros, atestando sua eficácia. • Prevê penalidades para os auditores que deixarem de revelar fatos, apresentar documentos ou cooperar com eventual investigação financeira.
  46. 46. Executivos no Brasil • Não existe um tratado de extradição entre Brasil e Estados Unidos. • O executivo brasileiro em falta: – Não corre o risco de ser colocado em uma prisão americana, pelo menos enquanto não desembarcar nos Estados Unidos. – Pode ter de arcar como pessoa física com as pesadas multas. – A CVM (Comissão de Valores Mobiliários) estabelece punições. – O Ministério Público pode abrir um processo. – A SEC pode solicitar às autoridades brasileiras que estabeleçam punições adicionais (multas maiores e impedimento para atuar no mercado).
  47. 47. Sarbanes-Oxley
  48. 48. Título III – Responsabilidade das empresas Seção 302 - Responsabilidade Relatórios Financeiros A Comissão exigirá, por meio de norma, que cada sociedade que faça relatórios periódicos, de acordo com a seção 13(a) ou 15 (d) da lei da Bolsa de Valores de 1934 (15 v.S.C. 78 m, 78 o(d)), que o principal executivo ou executivos, e o diretor, ou diretores, financeiro principal, ou pessoas que desempenhem funções semelhantes, certifiquem em cada relatório anual ou trimestral preenchido ou apresentado sob cada seção de tal Lei que: 1) O executivo que estiver assinando, revisou o relatório; 2) Baseado no conhecimento do executivo, o relatório não contém qualquer declaração falsa de um fato material ou omita a declaração de um fato material necessário para efetuar as declarações realizadas, à vista das circunstâncias sob as quais tais declarações foram realizadas, de forma não-enganosa; 3) Baseado no conhecimento do executivo, as declarações financeiras, e outras informações financeiras incluídas no relatório, razoavelmente presente em todos os relatórios dizem respeito à condição financeira e resultados de operações do emissor referentes, ou para, os períodos apresentados no relatório;
  49. 49. Título III – Responsabilidade das empresas Seção 302 - Responsabilidade Relatórios Financeiros 4) os executivos que assinam: – A) são responsáveis pelo estabelecimento e manutenção de controles internos; – B) planejaram tais controles internos para assegurar que informações importantes em relação ao emissor e suas subsidiárias consolidadas sejam divulgadas para tais executivos através de outros dentro daquelas entidades, particularmente durante o período no qual os relatórios periódicos estão sendo preparados; – C) avaliaram a vigência dos controles internos do emissor dentro do prazo de 90 dias anteriores ao relatório; e – D) apresentaram suas conclusões no relatório sobre a vigência dos seus controles internos baseadas na avaliação em relação àquele período;
  50. 50. Título III – Responsabilidade das empresas Seção 302 - Responsabilidade Relatórios Financeiros 5) os executivos que assinam revelaram para os auditores do emissor e para o comitê de auditoria do conselho de diretores (ou pessoas que estejam desempenhando função equivalente): – A) todas as deficiências significativas no planejamento ou operação de controles internos que afetassem de forma adversa a capacidade do emissor para registrar, processar, resumir e relatar dados financeiros e identificaram para os auditores do emissor qualquer deficiência importante nos controles internos; e – B) qualquer fraude, significativa, ou não, que envolva a gerência ou outros empregados que possuam um papel importante nos controles internos do emissor; e
  51. 51. Título III – Responsabilidade das empresas Seção 302 - Responsabilidade Relatórios Financeiros 6) os executivos que assinam indicaram no relatório se ocorreram, ou não, mudanças significativas nos controles internos ou em outros fatores que pudessem afetar de forma significativa os controles internos após a data de sua avaliação, inclusive quaisquer medidas corretivas em relação a deficiências significativas e fraquezas materiais. b) REINCORPORAÇÕES ESTRANGEIRAS NÃO POSSUEM NENHUMA VALIDADE.- Nenhuma parte desta seção 302 será interpretada ou utilizada para, sob qualquer forma, permitir que um emissor diminua a validade legal da declaração exigida, pela re-incorporação ou associação de qualquer emissor em qualquer outra transação que tenha resultado na transferência do domicílio da sociedade ou dos escritórios do emissor, dos Estados Unidos para qualquer local fora do mesmo. c) DATA FINAL: As normas exigidas por esta subseção (a) entrarão em vigor em prazo não superior a 30 dias após a promulgação desta Lei.
  52. 52. Título IV – Divulgações financeiras aditadas Seção 404 - Avaliação Gerencial dos Controles Internos A Comissão determinará normas exigindo que cada relatório anual exigido pela seção 13(a) ou 15(d) da Lei da Bolsa de Valores de 1934 (15 U.S.C. 78(m) ou 78(d)) contenha um relatório de controle interno, que irá: 1) definir a responsabilidade de gerenciamento para estabelecer e manter uma estrutura de controle interno adequado e procedimentos para os relatórios financeiros; e 2) conter uma avaliação, em relação ao ano fiscal mais recente, do emissor, da efetividade dos procedimentos e estruturas de controle interno para os relatórios financeiros.
  53. 53. PCAOB Std 5 Principais tópicos: • Abordagem Top-Down e Risk Based; • Entity Level; • Walkthroughs; • Prevenção de fraudes; • Flexibilidade para utilização dos trabalhos da Administração; • Avaliação e comunicação de deficiências; • Rotação de testes de controles. Em 24 de maio de 2007, o Public Company Accounting Oversight Board (PCAOB) aprovou o standard 5. http://pcaobus.org
  54. 54. Abordagem Top-Down Os auditores devem iniciar seus trabalhos identificando contas contábeis significativas, assertivas relevantes e controles que mitiguem riscos de inconsistências nas Demonstrações Financeiras. Reforça a idéia de que uma abordagem quantitativa apenas para identificar contas significativas não é suficiente, existindo sempre a necessidade de efetuar análises qualitativas em conjunto. Durante a identificação de controles, devem ser priorizados controles no nível de entidade (Entity Level) que possam mitigar os riscos de inconsistências nas Demonstrações Financeiras. Áreas consideradas de baixo risco podem ser privilegiadas com a redução de amostras e extensão de testes, desde que não tenham apresentados controles deficientes em períodos anteriores.
  55. 55. Relevância dos Controles no Nível de Entidade (Entity Level) Os controles de nível de entidade (Entity Level) podem mitigar itens de risco baixo e moderado sem a necessidade de testes detalhados no nível de transação. Independente da existência de Controles Diretos no nível de entidade, controles no nível de processo para as áreas de risco elevado, que requerem maior atenção, devem ser avaliados.
  56. 56. Flexibilidade para utilização dos trabalhos da administração O standard possibilita uma estrutura (framework) de trabalho única, que permite ao auditor externo utilizar de forma mais abrangente os trabalhos da administração das empresas na sua avaliação dos Controles Internos que afetam as Demonstrações Financeiras. Para utilização efetiva dos trabalhos da administração, os auditores externos precisam ter confiança de que os trabalhos foram conduzidos por equipes competentes e independentes, de forma que os resultados não estejam comprometidos. O novo standard busca prover flexibilidade para estender a utilização do trabalhos de outros (Administração), incluindo o ambiente geral de controles e performance dos walkthroughs. O auditor sempre deve executar testes em áreas que representem riscos elevados para as demonstrações financeiras.
  57. 57. Walkthroughs O standard 2 anterior do PCAOB determinava que procedimentos de “walkthrough” deveriam ser efetuados para todas as transações relevantes dentro dos processos O novo standard 5 do PCAOB determina que os procedimentos de “walkthrough” devem ser efetuados no nível de processos, e não de transações como era executado anteriormente. Muitas empresas já estavam efetuando procedimentos de “walkthrough” por processos e sub processos, de forma que essa alteração apenas formalizou o que já estava sendo efetuado e pode não trazer redução significativa de esforço
  58. 58. Ênfase em controles para prevenção de fraudes A administração das empresas e os auditores externos devem considerar no início dos trabalhos os principais riscos de fraude e identificar os controles que mitigam esses riscos. A avaliação de riscos de fraude que é efetuada para a auditoria das demonstrações financeiras, também deve ser considerada pela administração e pelos auditores durante os trabalhos de avaliação do ambiente de controles. A avaliação dos controles que mitigam riscos de fraude deve considerar fortemente a existência de controles que possam ser desconsiderados ou anulados (override) pelos executivos das empresas.
  59. 59. Mudança na avaliação e comunicação de deficiências Alinhamento das definições de deficiência material (Material Weakness) com o novo guia de implementação da SEC Alteração da definição de deficiência significativa (Significant Deficiency) Deficiência Significativa é menos importante que uma deficiência material, mas deve ser sempre merecer atenção por parte das pessoas responsáveis pelos controles que afetam as demonstrações financeiras Deficiências materiais e significativas devem ser sempre reportadas ao Comitê de Auditoria (Conselho Fiscal Turbinado), independente da inclusão ou não dessas deficiências na avaliação da administração. Todas as empresas que apresentarem uma ou mais deficiências materiais (Material Weakness) terão seu ambiente de controle considerado ineficaz.
  60. 60. Impossibilidade de efetuar rotação de testes de controles O standard não permite que sejam efetuadas rotações de testes para os controles identificados como chaves para mitigar os riscos de inconsistências nas demonstrações financeiras Porém o standard prove flexibilidade para reduzir testes baseados em conhecimento prévio de anos anteriores. Para alguns controles de riscos baixos testados depois do primeiro ano, e que não tenham um histórico de problemas, o walkthrough sozinho ou até um procedimento de Control Self Assessment pode prover evidência suficiente de efetividade.
  61. 61. Principais Metas dos Padrões de Auditoria PCAOB • Focar a Auditoria nos Assuntos mais Relevantes. • Eliminar Procedimentos Desnecessários. • Customizar Auditoria para Companhias Menores. • Simplificar os Padrões e suas Exigências.
  62. 62. Focar a Auditoria nos Assuntos mais Relevantes Requer uma segurança razoável, que significa um alto nível de segurança sobre a existência de deficiências materiais (Material Weakness) durante o período especificado na avaliação da Administração. Utilizar uma abordagem top-down, baseada em risco e consistente com o guia do PCAOB de 16 de Maio de 2005. Utilizar avaliação de risco durante a auditoria, considerando inclusive os resultados de procedimentos de testes substanciais de auditoria. Entretanto, para obter evidência sobre efetividade de um controle, o mesmo deve ser testado diretamente (não pode ser inferido através da auditoria das demonstrações financeiras).
  63. 63. Eliminar Procedimentos Desnecessários Eliminar requerimento do auditor dar uma opinião separada sobre a avaliação da Administração. Prover flexibilidade para reduzir testes baseados em conhecimento prévio de anos anteriores. Ainda que rotação de testes para controles chaves não seja permitida, para alguns controles de riscos baixos testados depois do primeiro ano, o walkthrough sozinho pode prover evidência suficiente de efetividade. Eliminar requerimento de testar controles sobre a “grande parte” da companhia. Prover flexibilidade para estender a utilização do trabalhos de outros (Administração), incluindo o ambiente geral de controles e performance dos walkthroughs sobre nossa supervisão direta; eliminar em alguns casos princípios de requerimento de evidência.
  64. 64. Customizar Auditoria para Companhias Menores Requer do auditor uma avaliação do tamanho e complexidade da companhia no planejamento e performance da auditoria. Incluir descrições de alguns atributos de companhias menores e menos complexas, que as diferem das companhias maiores.
  65. 65. Simplificar os Padrões e suas Exigências Reduzir significativamente o Standard e reorganizá-lo para seguir o fluxo seqüencial da auditoria. Revisar as definições de Deficiência Material (Material Weakness) e Deficiência Significativa (Significant Deficiency), substituindo “possibilidades razoáveis” por “mais que remota” e “significante” por “mais que inconseqüente”.. Esclarecer que fortes indicadores de Deficiência Material (Material Weakness) não começam por ser ao menos uma Deficiência Significativa (Significant Deficiency), Medições anuais, e não provisórias, de materialidade devem ser usadas para o escopo de auditoria. Materialidade para demonstrações financeiras de interim são consideradas apenas na avaliação de deficiências.
  66. 66. Regulamentações Relacionadas à SOX
  67. 67. Securities Exchange Commission - SEC Guia que demonstra como a administração das empresas poderá conduzir a avaliação dos controles internos que afetam as demonstrações financeiras, assim como reduzir custos. http://www.sec.gov
  68. 68. Standard & Poor’s O Standard & Poor’s estabelece diretrizes de uma avaliação mais estruturada e disciplinar dos riscos para elaboração de um Modelo de Gestão de Risco Integrada. http://www.standardandpoors.com
  69. 69. Impactos da Sox
  70. 70. Principais Material Weaknesses em TI reportados pelas empresas • Competência e treinamento adequado dos funcionários • Controles inadequados de TI para acesso aos sistemas contábil e financeiro e recuperação de informações num eventual desastre. • Falta de segregação de funções
  71. 71. Novos processos Anualmente a empresa deve: • Avaliar as contas significativas; • Definir a estrutura de controle interno; • Avaliar o controle interno no nível de entidade; • Documentar os controles internos financeiros chave para cada processo ou aplicação significativos e para as classes de transações que podem ter um impacto material sobre os relatórios financeiros; • Avaliar as ausências e/ou falhas de controles (Gap’s), corrigir (implementar); e • Testar os controles internos chaves sobre os relatórios financeiros para cada processo significativo, aplicação ou categoria de transações.
  72. 72. Consequências da Sox em relação a Governança Corporativa • Maior transparência do ambiente de controle da empresa. • Torna mandatório a formalização dos controles internos e a gestão de riscos. • Exige procedimentos para prevenção e detecção de fraudes. • Maior credibilidade das divulgações ao mercado. • Prestação de contas de fatos relevantes que afetem a situação patrimonial da empresa. • Aumento da responsabilidade do Board da empresa, em particular do CEO e CFO.
  73. 73. Obrigado! Contato: aportinho@hotmail.com http://alessandroportinhoblog.blogspot.com/

×