Post on 05-Jan-2016
O QUE É COSO?
• O COSO (The Comitee of Sponsoring Organizations) é
uma entidade sem fins lucrativos, dedicada à melhoria dos
relatórios financeiros através da ética, efetividade dos
controles internos e governança corporativa.
Com a SOX as mudanças básicas foram nas regras de
governança corporativa com o aumento da
responsabilidade dos executivos das organizações bem
como dos responsáveis perante a emissão e divulgação de
relatórios financeiros. Também foi dada mais ênfase no
uso de controles internos mais rígidos.
SOX X COSO
O COSO identifica os objetivos essenciais do
negócio da organização e define controles internos,
fornece critérios a partir dos quais os sistemas de controle
podem ser avaliados, gera subsídios para que a
administração, auditoria e demais interessados possam
utilizar, avaliar e validar os controles.
VAMOS DEFINIR CONTROLES INTERNOS
O Comitê trabalha com independência, em relação as
suas entidades patrocinadoras. Seus integrantes são
representantes da indústria, dos contadores, das
empresas de investimento e da Bolsa de Valores de New
York.
Objetivo do Coso – Controle Interno, entenda-se por
Controle Interno um processo desenvolvido para garantir,
com razoável certeza, que sejam atingidos os objetivos da
empresa, nas seguintes categorias:
Eficiência e efetividade operacional – objetivos e
desempenho ou estratégia: esta categoria está
relacionada com os objetivos básicos da entidade,
inclusive com os objetivos e metas de desempenho e
rentabilidade, bem como da segurança e qualidade dos
ativos.
Confiança nos registros contábeis/ financeiros
objetivos de informação : todas as transações devem
ser registradas, todos os registros devem refletir
transações reais, consignadas pelos valores e
enquadramentos corretos.
Conformidade – objetivos de conformidade: com as
leis e normativos aplicáveis à entidade e sua área de
atuação.
A GESTÃO TEM RESPONSABILIDADE FUNDAMENTAL
NO DESENVOLVIMENTO E MANUTENÇÃO DE
CONTROLES INTERNOS EFETIVOS.
Controle interno é o nome da gestão de riscos associada com
programas e operações da organização.
Controles Internos – organização, políticas e procedimentos – são
ferramentas para ajudar a gestão financeira a atingir os resultados
e proteger a integridade de seus planos de ação.
ESTRUTURAS E METODOLOGIAS DE CONTROLE
ADOTADAS NA SARBANES COSO
________________________________________
_Todo fundamento por trás do COSO (2005) está baseado
em 4 conceitos chave:
Controles internos:
a. São processos;
b. São conduzidos por pessoas;
c. Ajudam a ter uma garantia razoável a respeito da
qualidade da informação;
d. São gerados para se alcançar objetivos específicos.
Estabelecimento de Objetivos
Identificação de Eventos
Resposta ao Risco
O COSO inicialmente era composto por 5 componentes
em 2004 foi ampliado para 8, foram acrescentados:
O COSO apresenta 8 dimensões que devem ser abrangidas
em um sistema de controles internos, são elas:
a. Ambiente de controle;
b. Estabelecimento de metas;
c. Identificação de problemas;
d. Avaliação de risco;
e. Resposta ao risco;
f. Atividades de controle;
g. Informações e comunicações;
h. Monitoramento.
a) AMBIENTE INTERNO DE CONTROLE
• O Ambiente interno de controle estabelece o tom da
organização e influência a consciência / percepção de
seus membros sobre a questão de controle (sua cultura de
controle). É a base para todos os outros componentes dos
controles internos,provendo disciplina e estrutura. Fatores
do ambiente de controle incluem integridade, ética,
valores, competência das pessoas, filosofia e estilo de
operação do gerenciamento; a forma de gerenciamento
define autoridades e responsabilidades, organiza e
desenvolve as pessoas envolvidas.
b) ESTABELECIMENTO DE OBJETIVOS
• Os objetivos devem existir antes da gestão identificar os
eventos potenciais que podem afetar seu sucesso.
• A gestão de riscos organizacionais garante que o
gerenciamento tenha implantado um processo para
estabelecer objetivos e que a escolha destes objetivos
esteja alinhada e suportada com a missão da entidade e
seja consistente com seus riscos.
c) IDENTIFICAÇÃO DE PROBLEMAS
• Eventos internos e externos afetando os resultados dos
objetivos de uma entidade devem ser identificados entre
riscos e oportunidades. Oportunidades ajudam a estratégia
do gerenciamento ou o processo de estabelecimento de
objetivos.
Eventos são situações que podem afetar os processos de controles da organização.
d) AVALIAÇÃO DE RISCO
• Toda entidade enfrenta uma variedade de riscos de fontes
internas e externas que devem ser avaliadas. Uma pré-
condição para avaliação de risco é o estabelecimento e
realização de objetivos. Avaliação de risco é a identificação
e análise de riscos relevantes para o atendimento dos
objetivos. Isto forma uma estrutura para determinação de
como os riscos deverão ser gerenciados. Mudanças
continuas sempre são necessárias por isso são necessários
mecanismos, condições de operação e regulamentos para
identificar e gerenciar riscos relacionados as mudanças.
A avaliação dos fatores internos e externos que têm impacto no desempenho de uma organização.
e) RESPOSTA AO RISCO
• O gerenciamento deve escolher a resposta ao risco: evitar,
aceitar, reduzir, compartilhar o risco e estabelecer ações
apropriadas aos riscos em função da tolerância ao risco da
entidade, isto é risco residual aceito.
Mitigar o risco
f) ATIVIDADES DE CONTROLE
• Atividades de controle são as políticas e procedimentos que
ajudam a garantir as diretivas da gestão e as ações
necessárias a serem tomadas para os riscos identificados
que podem prejudicar os objetivos. Elas incluem diversas
atividades como autorizações, verificações, conciliações,
revisões de desempenho das operações, segurança de
ativos e segregação de funções.
Atividades de Controles sobre processos pelosgestores, manuais ou automatizadas, para assegurarque as ações sobre riscos são executadas.
g) INFORMAÇÕES E COMUNICAÇÕES
• Informações pertinentes devem ser identificadas, coletadas
e comunicadas em um formulário com dados situados ao
longo do tempo, possibilitando às pessoas cumprirem com
suas responsabilidades. Sistemas de informação produzem
relatórios contendo finanças, operações existentes,
informações relativas a adequação que tornam possível
conduzir e controlar uma operação. Tais sistemas lidam
tanto com informações internas quanto com informações de
eventos externos, atividades e situações.
• Comunicações eficazes devem fluir por toda a organização.
Todo o pessoal deve receber uma mensagem clara da alta
gerência de que o controle de responsabilidades deve ser
levado a sério. Eles devem ter um meio de comunicar
informações significativas.
• A comunicação também precisa de ser eficaz com partes
externas, como contribuintes,outras agências,
fornecedores, governo e reguladores.
O processo que assegura que informações relevantes são identificadas e comunicadas
Comunicação
confiabilidade de relatórios
h) MONITORAMENTO
• Sistemas de controles internos precisam ser monitorados. Isto
é conseguido por meio do monitoramento de atividades em
andamento, avaliações separadas ou por uma combinação dos
dois. Monitoramento e atividades em andamento incluem
gestão regular e atividades de supervisão, e outras atividades
que o pessoal executa ao realizar suas tarefas. O escopo e a
freqüência de avaliações separadas, depende basicamente de
avaliações de risco e efetividade dos processos de
monitoramento que estão sendo realizados. Deficiências de
controles internos devem ser relatadas a níveis superiores
dentro da hierarquia.
Objetiva determinar se o controle interno está adequadamente desenhado e monitorado.
• A conformidade com a SOX (Sarbanes Oxley) irá
impactar significativamente as organizações de TI na
maioria das empresas de capital aberto. Entretanto,
existe um grande problema: não existe nenhuma
menção específica nas seções da SOX voltada para a
TI, e mais importante ainda, não existe nenhuma
especificação de quais controles precisam ser
estabelecidos dentro da TI para estar em conformidade
com a SOX.
Estruturas e Metodologias de controle adotadas
na Sarbanes COBIT
• Para resolver este problema muitas empresas acabam
adotando o COBIT, pelo fato dele definir quais os objetivos
de controle que precisam ser implementados na TI. Além
disto, o COBIT é um modelo independente de plataforma,
independe de tecnologia, podendo ser adotado em
qualquer organização de TI.
• O COBIT está sintonizado com os requisitos legais destas
leis. O COBIT é o único modelo de controle que é
compatível com o COSO, cobre todas as atividades de TI e
é aceito geralmente pela comunidade de auditores.
• Assegurar que a TI está em conformidade com o COBIT
fará com que a maioria dos requisitos de conformidades já
tenham sido implementados. Usar o COBIT fará com que a
• organização esteja atendendo a maioria dos requisitos das
leis da SOX.
CRITÉRIOS DE INFORMAÇÃO
Para satisfazer os objetivos de negócio, as informações
precisam estar em conformidade com os critérios chamados
requisitos de negócio.
Requisitos de Qualidade
Qualidade
Custo
Entrega
Requisitos Fiduciários (Relatório do COSO)
Eficácia e eficiência das Operações
Confiabilidade das Informações
Conformidade com Leis e Regulamentos
Requisitos de Segurança
Confidencialidade
Integridade
Disponibilidade
RECURSOS DE TI
I. Aplicações: sistemas automatizados e procedimentos manuais para processar informações
II. Informação: os dados de todos os formulários deentrada, processados e exibidos pelos sistemas deinformação, podendo ser qualquer formulário que éusado pelo negócio.
III. Infra-estrutura: inclui hardware, sistemas operacionais, sistemas de banco de dados, rede, multimídia, etc. É tudo que é necessário para o funcionamento das aplicações.
IV. Pessoas: pessoal necessário para planejar, organizar, adquirir, implementar, entregar, dar suporte, monitorar e avaliar os sistemas de informação e serviços. Eles podem ser internos ou terceirizados.
O COBIT POSSUI PROCESSOS QUE AUXILIAM A MANTER
A CONFORMIDADE COM A SARBANES
Adquirir e manter software aplicativo;
Adquirir e manter arquitetura tecnológica;
Desenvolver e manter procedimentos de TI;
Instalar e certificar soluções e mudanças;
Gerenciar mudanças;
Definir e gerenciar níveis de serviço;
Gerenciar serviços de terceiros;
Assegurar a segurança dos sistemas;
Gerenciar as configurações;
Gerenciar problemas;
Gerenciar dados;
Gerenciar operações.
BENEFÍCIOS DO COBIT
O COBIT lida com todos os aspectos dos problemas relacionados com
a Governança de TI;
O COBIT foi criado por um grande número de especialistas;
O ITGI ajudou com os seus 35 anos de experiência em segurança em
TI no desenvolvimento do COBIT;
O COBIT está em manutenção contínua. Periodicamente uma nova
versão é publicada; Os patrocinadores do COBIT são organizações
sem fins lucrativos, sua missão é ajudar seus clientes a alcançar seus
objetivos principais;
O COBIT pode ser aplicado em empresas de pequeno e grande porte;
Usar o COBIT pode introduzir ordem e qualidade nos
processos de TI;
O COBIT é compatível com outros padrões e pode ser
utilizado para gerenciar todos os processos de TI;
O COBIT está em conformidade com os regulamentos
como Sarbanes, Basiléia, entre outros.
Benefícios do COBIT
RELAÇÃO DO COBIT COM O COSO
O COSO declara que o controle interno é um processo estabelecido
pelo conselho, gerentes e outros, desenhado para fornecer uma
segurança razoável relacionada a realização dos objetivos declarados.
É uma estrutura aplicada para auditar processos em grandes empresas
e em qualquer atividade.
O COBIT apresenta controles de TI se preocupando com a informação
em geral – não apenas informação financeira – que é necessária para
suportar os requisitos de negócio e os recursos e processos associados
com TI.
Da mesma forma que o COSO identifica 8 componentes de controle
para alcançar os objetivos de finanças e controladoria, o COBIT
proporciona um guia detalhado para TI.
A diferença maior é que o COSO é genérico, pode ser utilizado em
qualquer atividade da empresa, enquanto que o COBIT é voltado
somente para a área de TI.