1

Governança e Fraudes em TISíntese e análise dos resultados da 10ª mesa de debates

Comitês de Auditoria e Conselho Fiscal:Há similaridade nas suas funções e responsabilidades?11ª mesa de Debates

AUDIT COMMITTEE INSTITUTE DA KPMG NO BRASIL

2

O Audit Committee Institute (ACI) é uma iniciativa pioneira da KPMG que visa aaprofundar o debate sobre o papel dos Comitês de Auditoria nos assuntosrelacionados à Governança Corporativa e aos processos de apresentação edivulgação dos relatórios financeiros, sempre de acordo com as normascontábeis brasileiras e internacionais.

O ACI tem como proposta a realização de mesas de debates com periodicidadetrimestral. Em 09 de março de 2007 foi realizada a 10ª Mesa de Debates quemarcou o início do quarto ano da iniciativa no Brasil.

3

A 10ª Mesa de Debates do Audit Committee Institute (ACI), realizada emmarço de 2007, contou com a presença de 58 participantes, entre membros deconselhos de Administração, Fiscal e Comitês de Auditoria.

O tema – Fraudes e Governança em TI – foi apresentado por dois profissionaisconceituados e experientes:

– Renato Opice Blum: advogado e economista; Professor da FGV, PUC, IBMEC/IBTA (convidado) e outras; Árbitro da Câmara de Mediação e Arbitragem deSão Paulo (FIESP); e

– Frank Meylan: sócio da área de Information Risk Management da KPMG noBrasil.

O material é composto por artigos do Dr. Renato Opice Blum e peloscomentários sobre as questões interativas aplicadas durante a 10ª mesa dedebates.

Desejamos boa leitura e contamos com sua presença nas próximas mesas dedebates.

Síntese da 10ª mesa de debatesGovernança e Fraudes em TI

4

Uso Indevido dos Sistemas éResponsabilidade do Empregador?

Será que um e-mail de conteúdoilícito, enviado por empregado, atravésda conta de e-mail corporativa, durantea jornada de trabalho e através dossistemas de informaçãodisponibilizados pelo empregador,pode gerar responsabilidades desteúltimo?

No Brasil, a questão é polêmica. Onosso Código Civil adota o sistema daresponsabilidade objetiva, ou seja, háresponsabilidade do empregador,independentemente de culpa, pelosatos praticados por seus empregados,serviçais e prepostos, no exercício quelhes competir ou em razão dele,existindo obrigação de reparação dodano.

Imagine só o problema: a empresaprecisa fornecer ao empregado oacesso à Internet e o endereço de e-mail, para que sirva como ferramentade trabalho, agilizando todos os seusprocedimentos internos e externos,haja vista a rapidez e agilidade que omercado exige nos dias atuais.Concomitantemente, a corporaçãoestá fornecendo ao empregado uminstrumento que pode ser utilizadopara a prática de inúmeros ilícitos, quevão desde um simples e-mail que gereresponsabilidade em indenizar pordanos morais, até mesmo a prática deconcorrência desleal, com adivulgação de informaçõesconfidenciais da companhia.

Nesse sentido, a Corte de Recursos daCalifórnia, em recentíssima decisão,entendeu o contrário. Oposicionamento foi consubstanciadono entendimento de que oempregador não pode ser

responsabilizado por e-mails deconteúdo ilícito que não se relacionamcom a atividade da empresa, ainda quediante da utilização indevida de seussistemas durante a jornada detrabalho.

Neste caso, o autor da ação recebeumensagens eletrônicas ameaçadoras,advindas da conta de e-mailcorporativa da empresa AgilentTechnologies Inc. e, sentindo-selesado, moveu ação em face damesma, utilizando como argumento ateoria da responsabilidade doempregador pela negligência nasupervisão de seus empregados,teoria esta também adotada peloordenamento jurídico brasileiro.

Os e-mails objeto da demanda foramenviados pelo empregado da suaestação de trabalho, através docomputador instalado no escritório daCompanhia. Porém, de forma muitocoerente, a Corte decidiu que aconduta indevida praticada peloempregado foge por completo doescopo da empresa, devendo amesma ser imunizada em relação à máutilização de seus sistemasinformáticos, com base nainterpretação do CommunicationsDecency Act (Ato da Decência dasComunicações), afastando-se assim aresponsabilidade pelo ilícito.

No Brasil o cenário jurídico não éconclusivo. Inclusive, em recentejulgado, o Tribunal Regional doTrabalho da 4ª Região (Rio Grande doSul), entendeu que o empregador, aodeixar de tomar providências paraapuração de envio de e-mails deconteúdo ofensivo à honra doempregado, é responsável pelaindenização dos danos morais sofridospor este.

Artigos

por Renato Opice Blum

Desse modo, não obstante todos osriscos jurídicos inerentes à atividadeempresarial, os administradoresdeparam-se com uma nova realidade,na qual os meios eletrônicosdisponibilizados aos seus empregadoscomo ferramentas de trabalho podemgerar responsabilidades trabalhistas,cíveis e criminais às corporações, pelouso indiscriminado.

Sem legislação específica queregulamente o tema e diante destanova situação de extremo riscojurídico, resta às empresas comoestratégia de defesa a adoção demedidas jurídicas para proteção dopatrimônio pela segurança dainformação, resguardando ascorporações quanto aos delitospraticados por meios digitais, gerandomaior conforto jurídico em casos dedemandas semelhantes à quetramitou na Corte Californiana.

Além do objetivo principal de proteçãoda empresa, os instrumentos jurídicoscertamente refletirão na produtividadee qualidade do trabalho desenvolvido,pois através deles é possível adotar amonitoração de e-mails e limitar o usodas máquinas para fins estritamenteprofissionais, criando fatoresinibidores para a navegação imprópriadurante a jornada de trabalho, oucomo no caso americano, evitar que aempresa seja responsabilizada pelouso indevido de seus sistemas.

5

Governança e Fraudes em TI

Inúmeras organizações, independentemente do ramo escolhido para atuação,utilizam sistemas eletrônicos no desenvolvimento de suas atividades, direta ouindiretamente, em menor ou maior escala. Assim, a esse conjunto de atividadesrelacionadas ao uso dos recursos computacionais, dá-se o nome de tecnologiada informação, comumente denominada apenas “TI”.

Com isso, é possível afirmar que os sistemas eletrônicos e, principalmente, asinformações neles contidas, constituem um patrimônio extremamente valioso,o que justifica a proliferação de profissionais relacionados à Tecnologia daInformação e torna primordial a existência de uma governança confiável e eficaz.

A partir daí, verifica-se a importância de ser adotada uma governança em TI capazde ter as devidas cautelas para garantir o bom desempenho dos recursoscomputacionais e proteger a informação em formato eletrônico.

Uma boa governança em TI deve ser regida pelos princípios da transparência,por meio da realização de auditorias, preferencialmente por empresasindependentes, e da conscientização, com constantes treinamentos de todosaqueles que lidam com os meios eletrônicos e da criação de regulamentospróprios gerados com base na legislação vigente e nas mais atualizadas econfiáveis diretrizes de segurança mundiais.

A título de exemplo, acerca de normas que envolvem a segurança dainformação, é possível mencionar, NBR ISO IEC 27001, NBR ISO IEC17799:2005; NBR ISO IEC 15408; ISO IEC PSTR 18044; NBR ISO 13335; NBRISO 11514; NBR ISO 11515; NBR ISO 11584; Sarbanes Oxley, BS 7799, do BritishStandard Institute; reforma do Bürgerliches Gesetzbuch (BGB) envolvendodocumentos eletrônicos; Data Protection Working Party, da União Européia,Statuto dei Lavoratori Italiani; Codice della Privacy (Itália); Diretiva 2002/58/CE;Decreto Legislativo Italiano n.º 196 de 30 de junho de 2003 (Misure diSicurezza).

Nesse passo, o gestor responsável pela governança em TI deve buscarconsultoria especializada de forma a entender sua responsabilidade, visandoanalisar e avaliar as vulnerabilidades dos sistemas eletrônicos, para identificaros riscos que expõem a organização, os quais poderão acarretar prejuízosincalculáveis.

Os prejuízos aqui mencionados poderão advir de eventos fraudulentos,notadamente considerando que o ambiente de TI é propício para esse tipo deocorrência, caso as cautelas necessárias não sejam adotadas, seja pelo usoindevido dos meios eletrônicos, pela ausência da prevenção recomendada ouainda pelo auxílio prestado pelos próprios funcionários.

Para comprovar que problemas relacionados a TI são mais comuns do queimaginamos, constata-se o aparecimento de inúmeras normas jurídicas,projetos de lei e ações judiciais que têm por objeto algum aspecto relacionadoaos meios eletrônicos, valendo ressaltar que no Brasil já existem cerca de5.000 (cinco mil) decisões judiciais sobre o tema, motivo pelo qual a referidamatéria tem sido objeto de debate nos mais variados ramos do conhecimento.

Por fim, conclui-se que governança em TI significa direção dos negócios com adevida precaução e plena consciência das mazelas que envolvem o ambientede TI, visando torná-lo seguro, eficaz, confiável e em total consonância com osaspectos jurídicos.

6

1. A sua empresa possui uma política interna de segurança da informação?

Resultado dos comentários dapesquisa interativa realizada durantea 10ª mesa de debatesGovernança e Fraudes em TI

Confira a seguir a análise dos resultados da Pesquisa Interativa realizada durantea 10ª mesa de debates do Audit Committee Institute - ACI, na qual osparticipantes puderam se expressar a respeito das políticas de segurança dainformação, realizada em março de 2007.

66,7%

22,9%

10,4%

Sim

Não, mas está trabalhando nisto

Não, e não há previsão para a suaelaboração

Atualmente existe uma grande preocupação das empresas em comunicar aos seus funcionários e colaboradores a suapreocupação com segurança da informação e o uso adequado dos recursos computacionais disponibilizados. Nestecontexto, uma estrutura adequada de documentação relacionada à política e normas de segurança é pré-requisito parainiciar um programa de divulgação da cultura de segurança.

A elaboração deste material demonstra de forma clara e objetiva a preocupação da companhia com a segurança dasinformações e facilita a sua comunicação com os funcionários e a posterior cobrança para que eles tenham a mesmaatitude.

Normalmente os documentos que compõem esta estruturasão organizados em três grupos principais:– Estratégico: Composto pela política de segurança

corporativa. Documento que descreve as principaisdiretrizes de segurança que se aplicam a todos oscolaboradores da organização. Normalmente, depois dedivulgado, é exigido que o funcionário formalmente declareo seu conhecimento e concordância com os termos.

– Tático: Composto por normas específicas de cada área ougrupo de colaboradores. Por exemplo: norma de acessoremoto, norma de utilização de notebooks, etc.

– Operacional: Conjunto de documentos técnicos quedescrevem detalhadamente como utilizar ou controlardeterminado recurso de tecnologia. Por exemplo: procedimento de criptografia para notebooks, procedimento dedescarte de equipamentos obsoletos, etc.

Estratégico

Tático

Procedimentos

Normas

Diretrizes

Operacional

7

3. O Comitê de Auditoria de sua empresa tem participação ativa no recebimento das denúncias de fraudes em TI e suainvestigação?

4. Qual o canal mais eficiente para o funcionário realizar uma denúncia de fraude ou má conduta?

33,9%

12,5%

16,1%

23,2%

Conversa com o superior

Denúncia anônima - Hotline / Web Hotline

Denúncia anônima – email

Denúncia anônima – carta

Outros 14,3%

52,9%

29,4%

17,7%

Sim

Não

Não sei

2. Em caso de identifcação de fraudes em TI, o processo de punição é rápido?

Sim

Não

Desconheço o tempo de solução

Não há um processo estabelecido

34,6%

20,0%

32,7%

12,7%

As empresas demonstram que a identificação das fraudes é apenas o início de um processo abrangente. Sem umprocesso punitivo associado, a identificação é inócua e não contribui para a contenção de prejuízos nem para adisseminação da ética corporativa. É importante a formalização de normas específicas para o acompanhamento dosincidentes de segurança e fraudes bem como as punições previstas quando do descumprimento destas.

Este processo deve ser publicamente patrocinado e seguido pela alta administração da empresa com o objetivo desinalizar aos funcionários a necessidade do envolvimento de todos no cumprimento das normas.

De acordo com as regulamentações nacionais e internacionais, entre elas a SOX e as normas do Banco Central do Brasil,é responsabilidade do Comitê de Auditoria estabelecer e divulgar procedimentos do canal de denúncias, regulamentos ecódigos, inclusive no que tange à confidencialidade das informações.

Também é uma boa prática o acompanhamento do Comitê de Auditoria com relação ao conhecimento das denúnciasrelatadas por meio do canal, sua classificação de acordo com a gravidade do incidente e os correspondentesprocedimentos de investigação aplicados pela administração bem como os correspondentes resultados obtidos.

Os canais anônimos ainda são considerados pelos funcionários como o meio mais eficiente para o whistle blowing,totalizando mais de 70%, enquanto outros meios estão abaixo de 30%. Adicionalmente, pode-se entender que o fatoragilidade tem um peso significativo, já que os meios eletrônicos representam cerca de 50% das denúncias recebidas.

8

5. Qual a forma mais eficiente de combater fraudes em TI?

6. Na empresa em que atua, de quem é a responsabilidade pela segurança em TI?

9,3%

18,5%

35,2%

35,2%

Políticas de segurança e códigos de ética formais

Treinamentos/palestras de conscientização

Monitoração dos processos de TI

Auditorias de segurança não divulgadas

Outros 1,9%

22,7%

9,1%

25,0%

9,1%

CIO – Chief Information Officer

CISO – Chief Information Security Officer

Auditoria interna

CRO – Chief Risk Officer

Conselho de administração / Comitê de auditoria

CEO – Chief Executive Officer

11,4%

22,7%

25%

O resultado da pesquisa demonstra um equilíbrio entre os controles preventivos e detectivos para o combate às fraudesem TI, já que as políticas de segurança e códigos de ética formais representam formas preventivas de se lidar com oproblema, enquanto o monitoramento encontra-se entre os métodos utilizados para sua detecção.

É importante destacar que um programa adequado de combate a fraudes deve abordar um conjunto de controlescontemplando a prevenção, monitoração/detecção e reação à tentativas de fraudes no ambiente corporativo.

Se considerarmos apenas o CISO, este é responsável pela segurança em TI em 25% das organizações. É um aumentoexpressivo na participação de uma figura que mal aparecia nos organogramas das organizações há 10 anos.

Entretanto, é possível perceber que uma parcela expressiva dos participantes da pesquisa indicou que estaresponsabilidade ainda está com o CIO. Esta estrutura, apesar de viável, pode conter fraquezas sob o ponto de vista desegregação de funções e independência de atuação uma vez que o CIO usualmente é avaliado pela agilidade e eficiênciade custos na implementação de projetos de TI, o que pode levar a uma deficiência sob o ponto de vista de controles desegurança.

9

7. Na sua opinião, a quem deveria responder o responsável pela Segurança da Informação (CISO – Chief InformationSecurity Officer) ?

8. As áreas de segurança da informação e resposta a incidentes de fraudes podem ser terceirizadas?

8,2%

24,5%

18,4%

18,4%

CIO – Chief Information Officer

Auditoria interna

CRO – Chief Risk Officer

Conselho de administração / Comitê de auditoria

Chief Executive Officer 30,6%

12,2%

32,7%

55,1%

Sim, completamente

Sim, parcialmente

Não

Grande parte dos representantes das organizações que participaram da pesquisa acha que o CISO deve responder a umaestrutura que forneça a independência necessária para ações, não apenas de cunho preventivo, mas tambéminvestigativo. Entretanto, percebe-se também a uma pequena quantidade de respondentes que definiriam o CISO comoparte da Auditoria Interna, o que pode ser indicativo de um papel mais “policial”.

Vale ressaltar que não existe um modelo ideal que pode ser aplicado a qualquer empresa. É importante que o CISO tenhaum profundo conhecimento sobre o ambiente de TI da empresa, seus recursos e atividades rotineiras no apoio às áreasde negócio. Neste sentido, como parte do processo de desenvolvimento do CISO, pode ser interessante que ele sejaparte da área de TI durante algum tempo até que adquira este conhecimento sobre as operações principais e oscorrespondentes recursos tecnológicos empregados. Terminado este período, então ele pode migrar para uma área decontroles aprimorando sua independência de atuação, como a área de riscos ou responder diretamente à administração.Este pode ser um exemplo de uma estratégia de criação e amadurecimento de uma área de segurança.

A maioria absoluta ainda vê as áreas de segurança e resposta a incidentes de fraude como parte integrante das funçõesexercidas pela própria organização. Um motivo possível para tanto é o conhecimento dos processos de negócio,necessários ao estabelecimento de funções efetivas nas áreas de riscos operacionais, dificilmente encontradas emterceiros. Outra possibilidade é evitar que a inteligência do negócio e/ou suas deficiências e vulnerabilidades sejamtransmitidas para outras organizações.

Evidentemente a decisão de implementar ou terceirizar uma área de segurança passa por uma análise abrangentecobrindo entre outros fatores: o segmento de atuação da empresa, sua dependência do parque tecnológico, adisponibilidade e custo de recursos capacitados para exercer a função além dos custos envolvidos na manutenção deequipamentos e softwares especializados para apoiar as atividades rotineiras.

Também é verdade que a decisão não precisa ser de terceirizar completamente a área de segurança. Muitas empresastêm elencado as atividades sob a responsabilidade da área de segurança da informação e terceirizado apenas umsubconjunto destas, aquelas consideradas não-estratégicas.

10

9. As empresas investiram em segurança de TI no último ano porque:

10. O orçamento de segurança de TI é baseado em:

22,2%

4,4%

44,4%

22,2%

Tiveram que se adequar a regulamentações(SOX, Bacen, CVM)

Possuem processo preventivo contra ataquese fraudes

Reação a casos de fraudes, ataques eindisponibilidade de sistemas

As áreas de negócio entendem que gera valoraos produtos e serviços

Não sei 6,7%

16,7%

7,1%

9,5%

31,0%

Cálculo do ROI (Return onInvestment)

Perdas financeiras por fraudes eataques

Percentual do investimento em TI

Percentual do investimento emnovos projetos

Não sei 35,7%

O resultado demonstra que o atendimento a regulamentações ainda é o grande direcionador dos investimentos emsegurança da informação. Talvez isto ainda se deva à dificuldade em se comprovar o retorno sobre o investimento (ROI –Return on investment) nestes projetos.

Alguns segmentos, como o financeiro, por exemplo, já emitem sinais contrários a esta tendência, principalmente porquedescobriram que a exposição negativa que um incidente de segurança traz à imagem da companhia é muito prejudicialtanto para seus clientes quanto ao mercado em geral. É possível que este conceito se dissemine entre os outros ramosnos próximos anos.

O orçamento de segurança estando atrelado ao de TI demonstra uma pró-atividade da empresa no quesito dedesenvolvimento contínuo das práticas de segurança o que está em linha com as boas práticas de mercado.Principalmente para os novos projetos de TI é importante ter dentro do orçamento uma parcela reservada para realizaçãode testes de segurança, elaboração ou atualização de normas e procedimentos, treinamentos específicos, entre outros.

É a partir de um processo estruturado que se inicia na concepção do projeto e permeia todas as suas atividades, com oenfoque de segurança, que se atinge o objetivo de minimizar as vulnerabilidades antes de migrar para o ambiente deprodução da empresa.

11

11. Como é avaliada a situação da segurança em TI nas empresas:

32,6%

14%

27,9%

14%

Casos de fraudes, ataques, incidentesreportados

Auditorias de segurança periódicas

Auditorias de segurança aleatórias

Testes de invasão e avaliação de segurançapor empresas especializadas

Não sei 11,6%

Um sistema de métricas bem definido pode ser fundamental para o acompanhamento da segurança e para a justificativade novos investimentos. É de suma importância que os sistemas de gestão definam métricas que reflitam os objetivos donegócio de forma a conectar o dia-a-dia da segurança com a governança corporativa. Possuindo ou não métricas, asauditorias periódicas ainda representam a forma mais expressiva de avaliação da segurança nas empresas.

Atualmente, algumas empresas estão elaborando sinalizadores de segurança que permitem avaliar tentativas de invasão,fraudes, ou mesmo indícios de vazamento de informações. Estes sinalizadores podem ser especificados extraindoinformações diretamente das ferramentas especialistas como firewalls e detectores de intrusão, ou mesmo demecanismos de controles menos sofisticados como os controles de acesso a ambientes (catracas eletrônicas), análiseperiódica de endereços de destinatários de emails, acesso a diretórios e servidores sensíveis, entre outros.

12

11ª mesa de debatesComitês de Auditoria e Conselho Fiscal:Há similaridade nas suas funções e responsabilidades?

Reprodução do material analisado na 6ª mesa de debates.

Os efeitos, nos Estados Unidos e no Brasil, da lei Sarbanes-Oxley (SOX) têmpromovido diversos debates nas grandes empresas brasileiras. Entre asprincipais dúvidas que envolvem a aplicação da SOX estão:

Regras de governança tais como a SOX limitam a liberdade de ação doadministrador?A SOX será suficiente para reduzir o volume de fraudes contábeis nosEstados Unidos?O Comitê de Auditoria seria aplicável no Brasil? Poderia substituir ou atuarcom o conselho fiscal?As regras de governança corporativa no Brasil são adequadas e suficientes?Uma regra como a SOX seria aplicável no País?

Com certeza, o público em geral e quase todos os profissionais que atuam nomercado de capitais, sejam eles investidores, negociadores, administradores deempresas, stakeholders ou auditores externos, conhecem, ainda que nãoextensamente, a Lei Sarbanes-Oxley.

A lei, assinada nos Estados Unidos, em 1º de julho de 2002, com o propósito dereerguer a credibilidade do combalido mercado de capitais norte-americano,afetado por um volume imensurável de fraudes contábeis e financeiras nosúltimos anos, estabeleceu profundas mudanças na estrutura de governançacorporativa das empresas abertas nos Estados Unidos (denominadas issuers)com o objetivo de proteger os investidores e punir severamente osadministradores que manipularem os números das demonstrações financeirasou as informações apresentadas ao mercado, bem como penalizar os auditoresque indevidamente certificarem esses números.

Um dos temas que ainda causam bastante polêmica é a decisão da SEC depermitir, como exceção, que as empresas brasileiras registradas na SECsubstituam o Comitê de Auditoria pelo conselho fiscal para atendimento àsregras da SOX. Este fato vem criando questionamento: seriam a mesma coisaessas duas importantes peças da governança corporativa? Uma rápida leitura noStandards Relating to Listed Company Audit Committees da SEC e na Lei dasS.As., regras que fundamentam a constituição do Audit Committee e doconselho fiscal respectivamente, mostra que a escolha do conselho fiscal nemsempre irá atender às exigências e expectativas da SEC, ou pode, mesmo, setornar um transtorno à própria governança de uma organização.

O conselho fiscal em sua essência foi criado para fiscalizar os atos e a gestão daadministração da empresa, em nome dos acionistas, principalmente dosminoritários. Ele é desvinculado do conselho de administração e, portanto, nãotem como objetivo primário a gestão do negócio. O Comitê de Auditoria, poroutro lado, funciona como um braço do Conselho de Administração (de acordo

Efeitos da LeiSarbanes-Oxley

13

com a SEC, o Audit Committee deve ser formado por membros do Board ofDirectors) e, assim, está totalmente ligado à gestão. As suas obrigações incluem:

aprovar a contratação ou a substituição dos auditores externos (o que exigiriauma mudança na Lei das S.As. já que esta responsabilidade legal no Brasil édo conselho de administração, e não do conselho fiscal);discutir sobre a escolha e a aplicação de práticas contábeis;estudar a existência e prover solução para pontos fracos nos controlesinternos;avaliar informações sobre denúncias e constatação de fraudes internas; everificar a disponibilidade de fundos para a contratação de especialistas taiscomo consultores, advogados ou atuários, nos momentos em que o comitêdecidir que necessita de uma opinião independente sobre um determinadoassunto.

Objetivo do Comitê de Auditoria

NYSEO regimento do Comitê de Auditoria deve tratar do objetivo deste, que, nomínimo, é auxiliar o Conselho de Administração na supervisão:

da integridade das demonstrações financeiras;da adequação da empresa com as exigências de leis e regulamentos;da independência e das qualificações do auditor independente; edo desempenho dos auditores independentes e da função de auditoriainterna da empresa.

O Comitê de Auditoria também deve elaborar o relatório exigido pelas normasda SEC, que será incluído na declaração de delegação de poderes.

Lei Sarbanes–Oxley de 2002 e Regulamentos da SECO Comitê de Auditoria, conforme definido na Seção 205, deve ser um comitê(ou entidade equivalente) determinado por e entre o Conselho de Administraçãodo emitente para fins de supervisão:

dos processos contábeis e da emissão das demonstrações financeiras doemitente; edas auditorias das demonstrações financeiras do emitente.

Se não houver um Comitê, o Conselho de Administração será considerado comoComitê de Auditoria.

Qualificações dos membros do Comitê de Auditoria

NYSECada um dos membros do Comitê de Auditoria (ao menos três) deve possuirsólidos conhecimentos de finanças, conforme o Conselho de Administraçãointerpretar necessário no seu entendimento dos negócios. Caso contrário, essaqualificação deve ser obtida em um prazo razoável após a sua nomeação para oComitê de Auditoria.

Adicionalmente, pelo menos um dos membros do Comitê de Auditoria deve tersólidos conhecimentos de contabilidade ou de administração financeira.

Resumo de pontosselecionados da LeiSarbanes-Oxley e dasNormas de GovernançaCorporativa da NYSE(New York StockExchange)

14

Lei Sarbanes–Oxley de 2002 e Regulamentos da SECA SEC e a SOX (Seção 407) exigem que se divulgue se o Comitê de Auditoria écomposto por pelo menos um “especialista financeiro” (ACFE - Audit CommitteeFinancial Expert). Caso contrário, exige-se também a divulgação dos motivospelo não-cumprimento da exigência.

As regras da SEC também requerem uma divulgação nominal deste(s) ACFEsgarantindo a sua independência em relação à Administração (como determinadopelo Conselho de Administração) ou, então, a divulgação das razões em caso denão-cumprimento dessa exigência.

A SEC define como ACFE toda pessoa que, por meio de sua experiênciaacadêmica ou profissional como contador, auditor, CFO (Chief Financial Officer),CEO (Chief Executive Officer), controller, ou outras funções similares, possui osseguintes atributos:

conhecimento de GAAP (Generally Accepted Accounting Principles) e dedemonstrações financeiras;entendimento global da aplicação do GAAP para as contabilizações deestimativas contábeis, provisões e reservas;experiência na preparação, auditoria, análise e avaliação de demonstraçõesfinanceiras de empresas com características similares àquela em que atua; ecompreensão dos controles internos e dos procedimentos de elaboraçãodas demonstrações financeiras.

Independência dos membros do Conselho de Administração e doComitê de Auditoria

NYSEOs conselheiros independentes devem constituir maioria no Conselho deAdministração entre os quais se deve agendar reuniões especiais (ao menosanuais) entre os conselheiros não administradores e os conselheirosindependentes.

Nenhum conselheiro pode ser considerado independente antes que o conselhodivulgue que este não possui relacionamento significativo (material) com aempresa e que não possui ações daquela empresa negociadas na bolsa devalores.

Existe uma definição mais severa para “independência” na participação de ummembro no Comitê de Auditoria do que para outros membros independentesdo Conselho:

Os membros do conselho não podem receber qualquer remuneração quenão esteja diretamente vinculada à prestação de serviços ao Conselho deAdministração ou ao Comitê de Auditoria;Podem surgir preocupações quando a empresa procede a contribuiçõesbeneficentes substanciais para organizações às quais um conselheiro éafiliado, ou que assina contratos com um conselheiro.

Para se considerar independente, um(a) ex-funcionário(a) não pode ter tido umvínculo com a empresa nos últimos cinco anos. Nenhum diretor que seja, ouque tenha sido nos últimos cinco anos, afiliado a, ou empregado por um (atualou ex-) auditor da empresa (ou de uma afiliada) pode ser “independente” até quese passem cinco anos após o final da afiliação ou do vínculo estabelecido.

15

Lei Sarbanes–Oxley de 2002 e Regulamentos da SECA SOX define como membro “independente” do Comitê de Auditoria (Seção301) aquele que não recebe, exceto por prestação de serviços no conselho,qualquer honorário de consultoria, assessoria ou outro tipo de compensação porparte da empresa e não é pessoa afiliada a esta nem a suas subsidiárias.

ObservaçõesEssas exigências são suplementares àquelas estabelecidas pelas bolsas de valores em dezembro de1999, as quais exigiram que os Comitês de Auditoria fossem compostos de pelo menos trêsconselheiros independentes, com sólidos conhecimentos em finanças, sendo um especializado emadministração contábil ou financeira. Cada uma das bolsas americanas apresentou uma definição deindependência, e em todos os casos, tais definições desqualificaram os ex-funcionários e seusmembros familiares por três anos, assim como foram desqualificados os conselheiros remuneradospor mais de um comitê.

Enquanto todas as bolsas desqualificaram os conselheiros com relacionamentos profissionais quepoderiam prejudicar seu julgamento, a NYSE cedeu ao Conselho de Administração o julgamento arespeito das conseqüências desses relacionamentos.

Veja descrição mais detalhada dessas normas na publicação ACI de 1999 - Analysis of the New AuditCommittee Regulations no endereço www.us.kpmg.com/auditcommittee.

Transição e data efetiva

NYSEA NYSE apresentou um cronograma de datas de transição de 6 a 24 meses apartir da data em que as normas de ações negociadas na bolsa de valores sãoaprovadas pela SEC, dependendo das várias provisões das normas.

Lei Sarbanes–Oxley de 2002 e Regulamentos da SECAs provisões da SOX possuem várias datas em vigor vinculadas à data dedecreto da legislação (30 de julho de 2002), época das normas exigidas paraproposta e adoção pela SEC, ou a data em que o Public Company AccountingOversight Board (PCAOB) iniciou suas operações. As datas efetivas maisimportantes podem ser consultadas no site da SEC: www.sec.gov.

Restrições de serviço do Comitê de Auditoria

NYSEA prestação de serviço em mais de três Comitês de Auditoria em empresas decapital aberto exige:

determinação pelo Conselho de Administração de que a simultaneidade dosserviços não prejudica a capacidade de que estes serviços sejam prestadosde maneira eficaz e efetiva; edivulgação da determinação do Conselho de Administração em declaraçãode delegação de poderes.

Honorários e manutenção do auditor

NYSEÉ responsabilidade direta do Comitê de Auditoria indicar, remunerar, manter esupervisionar o trabalho do auditor independente, o qual, por sua vez, devereportar o resultado de seus trabalhos diretamente a esse comitê.

Lei Sarbanes–Oxley de 2002 e Regulamentos da SECO Comitê de Auditoria é diretamente responsável por indicar, manter,

16

compensar e supervisionar o auditor independente (Seção 301) incluindo aresolução de desacordos entre a Administração e o auditor (no tocante àsdemonstrações financeiras). Adicionalmente, o auditor deve comunicar-sediretamente com o Comitê de Auditoria.

Comunicação do auditor externo e resolução de desacordos por partedo Comitê de Auditoria

NYSEO Comitê de Auditoria deve discutir com o auditor independente quaisquerproblemas ou dificuldades encontrados durante a realização dos trabalhos deauditoria e quaisquer pontos significativos de desacordo entre os auditores e aAdministração. O Comitê de Auditoria deve discutir com os auditores:

Ajustes contábeis observados ou propostos, porém não realizados (porserem imateriais);Orientações aos órgãos reguladores nacionais; eA emissão da Carta da “administração” ou de “controles internos”.

Revisar com o auditor externo as responsabilidades, o orçamento e acomposição da equipe de auditoria interna.

Lei Sarbanes–Oxley de 2002 e Regulamentos da SECA SOX exige que o Comitê de Auditoria seja responsável pela resolução dedesacordos entre a Administração e o auditor referente à emissão dasdemonstrações financeiras (Seção 301).

ObservaçõesSe um desacordo não for resolvido, os Comitês de Auditoria podem envolver os conselhos interno ouexterno para auxiliar na determinação de um conjunto de ações, que incluiriam, por exemplo, a buscapor assessoria terceirizada para a resolução do assunto não resolvido.

Comunicação do Comitê de Auditoria com o Conselho deAdministração

NYSEO Comitê de Auditoria deve comunicar regularmente ao Conselho deAdministração quaisquer assuntos relacionados:

à qualidade e integridade das demonstrações financeiras;à adequação às exigências legais e regulamentares;ao desempenho e à independência do auditor externo; eao desempenho da função de auditoria interna.

O Comitê também deve apresentar ao Conselho suas conclusões em relação àsqualificações, ao desempenho e à independência do auditor independente.

Pré-aprovação de serviços de não-auditoria e serviços proibidos

NYSEO Comitê de Auditoria deve ter a exclusividade sobre a autoridade para aprovartodos os trabalhos significativos de não-auditoria a serem realizados com oauditor independente e para aprovar os honorários e os termos do trabalho deauditoria, assim como os trabalhos significativos de não-auditoria com osauditores independentes. Essa exigência não impede que o Comitê obtenha aopinião da Administração, porém essas responsabilidades não podem serdelegadas a ela.

17

Lei Sarbanes–Oxley de 2002 e Regulamentos da SECA Lei reafirma que os auditores independentes podem prestar serviçostributários e outros de não-auditoria que não são “proibidos” formalmente(Seção 201 da SOX e 10A da SEC). Entretanto, o Comitê de Auditoria deveaprovar previamente a contratação de qualquer serviço fornecido pelo auditorexterno.

São oito os serviços de não-auditoria proibidos formalmente pela Lei (Seção201(g) da SOx). Adicionalmente, a Lei proíbe qualquer outro serviço que oPCAOB (veja a seguir) determina, por regulamentação não permissível. A Seção202 da SOX ainda exige a divulgação periódica para toda contratação de serviçode não-auditoria.

A Seção 101 da SOX determinou a criação do PCAOB, cujos elementos nãoestão descritos neste resumo mas que podem ser encontrados no Inciso I daLei. Algumas das exigências da Lei são objeto de interpretação ou de diretrizesadicionais publicadas pelo PCAOB.

ObservaçõesA lista de serviços proibidos inclusa na Lei Sarbanes-Oxley é similar às restrições impostas pelasnormas da SEC. Nenhuma dessas propostas limita a quantidade dos serviços de auditoria e não-auditoria a ser contratada do auditor externo, entretanto a divulgação dos honorários envolvidos ainda éexigida na declaração anual de delegação de poderes.

Contratação de profissionais de auditoria e independência deex-auditores contratados como conselheiros

NYSEO Comitê de Auditoria deve determinar claramente as políticas de contrataçãode funcionários ou de ex-funcionários dos auditores independentes. Estasdevem considerar as pressões conscientes e subconscientes que possamexistir sobre um profissional quanto à sua intenção de trabalhar em umaempresa que ele auditou recentemente. A NYSE observou que esses indivíduosconsistem muitas vezes em valor agregado para a Administração, porém aindependência desse profissional ou de um membro de sua família depende,ao menos, de uma carência de três anos (cooling-period).

Lei Sarbanes–Oxley de 2002 e Regulamentos da SECA SOX (Seção 206) e a SEC (Seção 10A) não permitem a prestação de serviçosde auditoria por parte dos auditores independentes quando o CEO, o CFO e oController (ou equivalente) da empresa forem funcionários de firma de auditoriae tiverem participado de qualquer etapa durante os trabalhos de auditoria deempresa realizados num período de um ano precedente à data de início daauditoria atual.

ObservaçõesAlgumas empresas determinaram uma política de dois níveis - uma que proíbe a contratação deprofissionais de auditoria para altos cargos de direção e outra relacionada a posições inferiores naempresa. Os riscos de independência do auditor devem ser levados em consideração, à medida queessas políticas são desenvolvidas.

18

Avaliação das qualificações e da independência do auditor externo

NYSEO Comitê de Auditoria deve avaliar as qualificações, o desempenho e aindependência do auditor externo ao menos anualmente e deve obter e revisaro relatório do auditor independente observando:

A qualidade dos procedimentos de controle interno da empresa;Os assuntos significativos levantados pelos mais recentes:– controles de qualidade internos ou revisão especializada;– indagações ou investigações sobre as auditorias realizadas pelas

autoridades governamentais ou profissionais nos últimos cinco anos;– procedimentos assumidos pela firma para lidar com esses assuntos.Toda relação existente entre a empresa e o auditor independente.

O Comitê de Auditoria deve avaliar as qualificações, o desempenho e aindependência do auditor independente considerando as opiniões daAdministração e da auditoria interna, incluindo:

o relacionamento entre o auditor independente e a empresa;a avaliação do “sócio-líder”;o rodízio das firmas de auditoria.

O Comitê de Auditoria deve apresentar para o Conselho de Administração suasconclusões quanto às qualificações, ao desempenho e a independência doauditor independente.

Lei Sarbanes–Oxley de 2002 e Regulamentos da SEC Independênciado auditorRodízio a cada cinco anos exigido para o “sócio-líder” (sócio responsável pelotrabalho de auditoria) e “revisor” (segundo sócio de auditoria, responsável pelarevisão do trabalho de auditoria) (Seção 203). O mesmo é válido para outrossócios envolvidos nos trabalhos de auditoria.

ObservaçõesA publicação nº 1 do Independent Standards Board (ISB) exige que o auditor externo apresente umrelatório em que divulgue todos os relacionamentos com a empresa que, na opinião do auditor, podemcausar impacto na objetividade e na independência. O Comitê de Auditoria é responsável por receber,avaliar e discutir esse relatório com os auditores externos. Desde dezembro de 2000, a SEC exige queas empresas apresentem em suas declarações de delegação de poderes um relatório do Comitê deAuditoria para os acionistas, divulgando que o Comitê revisou esses assuntos com o auditor externo.

Formação continuada para membros do conselho

NYSEAs diretrizes de Governança Corporativa da empresa devem tratar da orientaçãoe da formação continuada dos conselheiros.

ObservaçõesO mercado espera que mais empresas ofereçam treinamento específico e apropriado a cada um dosmembros dos Conselhos de Administração e dos Comitês de Auditoria.

Avaliação de controles internos

NYSEPara a NYSE, apesar de a responsabilidade da publicação das demonstraçõesfinanceiras ser da Administração e da auditoria externa, o Comitê de Auditoriadeve revisar os principais assuntos relacionados à adequação dos controles

19

internos da empresa e a quaisquer etapas incomuns adotadas no processo deauditoria, em razão das deficiências significativas de controle interno.

Lei Sarbanes–Oxley de 2002 e Regulamentos da SECConforme a Seção 404 da Lei, deverá ser elaborado e divulgado anualmente umrelatório sobre os controles internos existentes para a preparação e divulgaçãodas demonstrações financeiras que:

determinará a responsabilidade da Administração por estabelecer e manteresses controles;identificará o padrão de análise dos controles internos utilizado pelaAdministração para a avaliação da efetividade dos controles;conterá uma avaliação da efetividade dos controles internos relacionados nadata-base de emissão do parecer de auditoria; eincluirá relatório de atestação do auditor independente sobre a declaração daAdministração, como parte integrante da auditoria.

ObservaçõesA SEC emitiu as regras definitivas referentes à aplicação do art. 404 da SOX no dia 31 de março de2003. Em março de 2004 o PCAOB aprovou o Auditing Standard nº 2 Audits of Internal Control OverFinancial Reporting Performed in Conjunction with an Audit of Financial Statements. As informaçõespodem ser encontradas no site do ACI: www.kpmg.com/aci/gov.htm#pcaob.

Exigência de auditoria interna

NYSEToda empresa com ações negociadas na NYSE deve ter uma função de AuditoriaInterna. Mesmo que uma empresa defina que o Departamento de AuditoriaInterna será independente ou composto de funcionários para a função emtempo integral, não significa que isso seria suficiente para ter implantado oprocesso de controle adequado na revisão e aprovação de sua contabilidade esuas transações internas. É possível que a empresa decida terceirizar essafunção para uma firma externa, desde que não se trate de seu auditor externo.

ObservaçõesOs Comitês de Auditoria devem discutir o plano de trabalho do Departamento de Auditoria Interna parase certificarem de que o Departamento:

trata dos riscos significativos e relevantes da empresa; eé relevante para o processo de emissão e publicação dos relatórios financeiros.

O orçamento, a equipe e o estilo dos relatórios emitidos pelo Departamento de Auditoria Internaasseguram a consideração, por parte do Comitê de Auditoria e da NYSE, de que os fatos relevantessejam discutidos com os auditores externos.

Utilização de assessores pelo Comitê de Auditoria

NYSEPara a NYSE, as responsabilidades do Comitê de Auditoria a respeito deconsultores externos são, no mínimo, as previstas no regulamento da SEC 10A-3(b)(4) e (5). Essa regra determina que o Comitê de Auditoria deve ter autoridadee recursos suficientes para contratar assessoria de qualquer natureza desde queo Comitê o considere necessário para o cumprimento de suasresponsabilidades.

Lei Sarbanes–Oxley de 2002 e Regulamentos da SECA SOX exige que os Comitês de Auditoria tenham autoridade para consultar emanter “especialistas” jurídicos, contábeis e outros em circunstâncias julgadasadequadas (Seção 301).

20

Certificação de informações financeiras pelo CEO/CFO

NYSEA NYSE exige a emissão de uma certificação do CEO afirmando que este nãotem conhecimento de qualquer violação das exigências dos Padrões deGovernança Corporativa da NYSE.

Lei Sarbanes–Oxley de 2002 e Regulamentos da SECO CEO e o CFO devem certificar relatórios trimestrais e anuais, declarando queas demonstrações financeiras foram revisadas e que, com base noconhecimento dos conselheiros, não contêm declaração falsa ou omissão deevento significativo, apresentando adequadamente a condição financeira, osresultados das operações e os fluxos de caixa da empresa (Seções 302 e 906).

O CEO e o CFO são responsáveis por estabelecer e manter os controles internose também por opinar nessas divulgações sobre a efetividade dos controlesinternos na data-base referida (data na qual os números são certificados) e,ainda, por divulgar qualquer alteração que tenha ocorrido nestes controlesinternos no último trimestre antes da data-base de fechamento. Essas alteraçõesdevem representar uma chance significativa de afetar consideravelmente oscontroles internos (Seção 302).

O CEO e o CFO devem, também, divulgar as deficiências significativas(significant deficiencies) e as fraquezas materiais (material weakness) aosauditores e ao Comitê de Auditoria, tais como:

as deficiências significativas no planejamento e na operação de controlesinternos que poderiam afetar adversamente a capacidade de iniciar, registrar,processar, autorizar e reportar dados financeiros; equalquer fraude, seja ela significativa ou não, que envolva a Administração ououtros funcionários que possuam um papel importante nos controlesinternos da empresa.

O CEO e o CFO devem indicar no relatório se houve ou não mudançasexpressivas nos controles internos ou outros fatores que poderiam afetarsignificativamente os controles internos subseqüentemente à data da suaavaliação mais recente.

ObservaçõesA SEC publicou regulamentos (em vigor a partir de 29 de agosto de 2002) relacionados à certificaçãodos relatórios trimestrais e anuais que o CEO e o CFO devem emitir. Uma certificação independenteserá exigida para cada diretor (principal officers).

A deliberação da SEC incluiu o conceito de “divulgação dos controles e procedimentos”, que reflete oscontroles e procedimentos internos da empresa, estabelecidos para assegurar que as informaçõesexigidas para as divulgações da SEC possam ser emitidas adequadamente. O CEO e o CFO devemdeclarar, trimestralmente, sua responsabilidade para determinação e manutenção desses controles eprocedimentos de divulgação.

A SEC sugere que “Comitês de Certificação” sejam estabelecidos pelas empresas para adequação àavaliação da efetividade do planejamento e da operação de divulgação dos controles e procedimentos.Essa liberação da SEC não muda a exigência da Lei da Bolsa de Valores de 1934, de que as empresascotadas nesta bolsa devem estabelecer e manter controles internos em relação às suas divulgações dedemonstrações financeiras obrigatórias.

21

As mais recentes modificações efetuadas pela SEC (junho de 2003) nas Seções 302 e 906 podem serencontradas no site do ACI: www.kpmg.com/aci/di.htm.

Regimento Interno do Comitê de Auditoria

NYSEOs Comitês de Auditoria devem possuir um regimento que trate:

do objetivo do Comitê de Auditoria;de uma avaliação anual sobre a performance do Comitê de Auditoria; edas obrigações e responsabilidades do Comitê de Auditoria.

O Regimento das empresas deve ser publicado em seus Websites.

ObservaçõesA SEC exigiu previamente que a delegação de poderes indicasse se o Comitê de Auditoria adotou umRegimento Interno por escrito. As bolsas de valores exigiram que cada empresa com ações negociadastenha um Regimento Interno do Comitê de Auditoria que descreva o escopo das responsabilidades dosComitês devendo estes documentos serem revisados e reavaliados anualmente, sendo uma cópiaincluída na declaração de delegação de poderes (ao menos a cada três anos).

Programa de denúncia anônima

NYSEPara a NYSE, as obrigações mínimas do Comitê de Auditoria em relação àsdenúncias são as estabelecidas no regulamento 10A-3(b)(3) da SEC. Estas regrassão as mesmas aplicáveis para a SOX.

Lei Sarbanes–Oxley de 2002 e Regulamentos da SECOs Comitês de Auditoria devem determinar procedimentos para (Seção 301):

o recebimento, a retenção e o tratamento de reclamações recebidas pelaEmpresa, no tocante à contabilidade, aos controles internos na contabilidadee aos assuntos de auditoria; eas denúncias confidenciais de funcionários relacionados a assuntoscontábeis e de auditoria questionáveis.

ObservaçõesQuando o processo de denúncia anônima está estabelecido e apurado, é importante que os Comitês deAuditoria considerem esse processo cuidadosamente para auxiliar na garantia de que os assuntosidentificados sejam tratados e comunicados ao Comitê de Auditoria adequadamente.

Confidencialidade e anonimato são fatores importantes e delicados e devem ser seriamente discutidospara que o processo seja efetivo.

Revisão de contabilidade e assuntos relacionados dos Comitês deAuditoria

NYSEDe acordo com a NYSE, o Comitê de Auditoria deve revisar:

Os principais assuntos relacionados aos princípios contábeis e àsapresentações das demonstrações financeiras, incluindo quaisquermudanças significativas na escolha ou na aplicação dos princípios contábeisda empresa;Os principais assuntos quanto à adequação dos controles internos daempresa e quaisquer etapas especiais de auditoria adotadas, em razão dedeficiências significativas de controle;

22

As análises elaboradas pela Administração e/ou por auditoresindependentes, apresentando:

– os assuntos e julgamentos significativos nas demonstrações financeiras; e– os efeitos causados pela aplicação de métodos alternativos ao GAAP sobre

as demonstrações financeiras.O efeito de iniciativas contábeis e regulamentares, assim como escriturasfora do balanço patrimonial (off-balance sheet) nas demonstraçõesfinanceiras; eA maneira pela qual serão divulgadas as informações financeiras (atentandoespecialmente para qualquer uso de informações pro forma ou “ajustado”em desacordo com GAAP), assim como a informação financeira e asdiretrizes de lucros apresentadas a analistas e agências de ranking.

Lei Sarbanes–Oxley de 2002 e Regulamentos da SECO auditor externo deve reportar oportunamente ao Comitê de Auditoria (Seção204):

as principais políticas e práticas contábeis utilizadas pela empresa;as alternativas de GAAP discutidas com a Administração e a alternativapreferencial da firma de auditoria; eos comunicados importantes para a Administração (feitos por escrito).

As empresas cotadas nas bolsas americanas devem divulgar os registrossignificativos não registrados nos balanços da empresa (off-balance) e todosoutros fatores importantes que possam ter efeito significativo nasdemonstrações financeiras (Seção 401), além de serem obrigadas a divulgar em“tempo real” toda mudança expressiva nas condições financeiras da empresa(Seção 409).

ObservaçõesEstas e outras comunicações entre o Comitê de Auditoria, a Administração e o Auditor Externo podemdespender longos períodos. Os Comitês de Auditoria devem avaliar o cronograma e a extensão dasreuniões entre estes órgãos para ajudar a garantir que haja tempo suficiente para o tratamento de todosos assuntos relevantes.

Discussão dos Comitês de Auditoria sobre a divulgação dasdemonstrações financeiras e outras informações

NYSEA NYSE exige:

a discussão das demonstrações financeiras anuais e trimestrais, incluindoManagement’s Discussion and Analysis of Financial Condition and Resultsof Operation (MD&A), com a Administração e o Auditor Independente;a discussão sobre a divulgação dos resultados e de informações financeirase diretrizes apresentadas a analistas e agências de ranking; ea discussão de políticas de gerenciamento e de avaliação de riscodeterminadas pela Administração, incluindo a discussão dos principais riscosfinanceiros aos quais a empresa está exposta e como a Administração temmonitorado e controlado tais riscos.

As normas da NYSE afirmam que as discussões podem ser apenas deinformações gerais.

23

ObservaçõesA SEC decretou a exigência (a partir de 15 de dezembro de 2000) de que seja incluído na declaraçãoanual de delegação de poderes um “relatório aos acionistas” contendo um relatório do Comitê deAuditoria declarando que o órgão: (1) revisou e discutiu com a Administração as demonstraçõesfinanceiras auditadas; (2) discutiu com os auditores independentes os assuntos exigidos pelo SAS 61(Statement Auditing Standard Nº 61); e (3) recebeu e discutiu com os auditores independentes osassuntos de independência exigidos para identificação do ISB1 (informações adicionais a respeito doISB podem ser verificadas na Webpage www.cpaindependence.org.

Essa declaração anual também deve determinar se, com base nos procedimentos desempenhados, osmembros do Comitê de Auditoria recomendaram ao Conselho de Administração que as demonstraçõesfinanceiras auditadas sejam incluídas no relatório anual da empresa no Formulário 10-K.

Reuniões e sessões executivas do Comitê de Auditoria

NYSEO Comitê de Auditoria deve se reunir, separada e periodicamente, com aAdministração, com os Auditores Internos e com os Auditores Independentes.

Lei Sarbanes–Oxley de 2002 e Regulamentos da SECOs Comitês de Auditoria devem se reunir, pelo menos trimestralmente e emparticular, com o Auditor Independente.

ObservaçõesCom base em uma pesquisa feita pelo KPMG’s Audit Committee Institute em dezembro de 2001, amaioria dos Comitês de Auditoria reuniu-se ao menos trimestralmente em 2001, e com base nosresultados de nossas pesquisas, os Comitês de Auditoria reuniram-se em média 4.6 vezes em 2002.

O feedback que recebemos indica que o número e a extensão das reuniões do Comitê de Auditoriaaumentaram significativamente em 2002.

Código de Ética e de Conduta de Negócios

NYSEAs empresas devem adotar e divulgar:

as suas diretrizes de Governança Corporativa; eos seus Códigos de Ética e de Conduta de Negócios.

Os Websites das empresas devem divulgar o Regimento Interno dos Comitêsde Auditoria, das diretrizes de Governança Corporativa e o Código de Ética eConduta de Negócios.

Lei Sarbanes–Oxley de 2002 e Regulamentos da SECAs empresas devem possuir e divulgar os seus Códigos de Ética para diretores-financeiros seniores (Seção 406). Todo emissor de ações em bolsas americanasdeve divulgar:

em seus relatórios periódicos se um Código de Ética foi adotado para seusdiretores-financeiros seniores (devendo justificar quando negativo); eem um Formulário 8-K ou pela Internet qualquer alteração ou isenção doCódigo de Ética da empresa.

A SEC publicou normas propostas relacionadas à Seção 406 da Lei que podemser consultadas no site da SEC: www.sec.gov.

ObservaçõesEmbora nem a Lei nem as bolsas de valores não especifiquem quando esse assunto deve sermencionado na estrutura de Governança Corporativa, muitos Conselhos de Administração delegaram asupervisão do Código de Ética e Conduta nos Negócios ao Comitê de Auditoria.

24

Empréstimos a diretores e conselheiros

Lei Sarbanes–Oxley de 2002 e Regulamentos da SECAs empresas estão proibidas de conceder empréstimos pessoais paraconselheiros ou diretores-executivos (Seção 402). Empresas de crédito aoconsumidor podem emitir certos empréstimos, se efetuados nos termosnormais de mercado e nos mesmos termos e condições concedidos ao públicoem geral. Dependendo da sua estrutura, é possível que empréstimospreviamente existentes não sofram mudanças significativas nos seus termospreestabelecidos.

25

A Seção 301 da Lei Sarbanes-Oxley estabelece a existência de um Comitê deAuditoria nas empresas abertas nos Estados Unidos, composto por no mínimo3 membros do Conselho de Administração, sendo pelo menos 1 deles umespecialista financeiro, e todos atendendo rigorosas regras de independênciaem relação aos auditores externos e à administração da empresa.

• Contratação e monitoramento dostrabalhos dos auditores externos;

• Monitoramento dos trabalhos daauditoria interna, relacionados aoscontroles internos egerenciamento de riscos;

• Revisão dos relatórios financeirose divulgações (press releases) aomercado;

• Análise das denúncias recebidaspor meio dos canais de denúncia(whistleblowing);

• Monitoramento da aderência aoCódigo de Ética e Conduta daempresa.

Comitê de Auditoriax Conselho Fiscal Principais atribuições do Comitê de Auditoria

No caso das empresas brasileiras, foi permitido pela SEC em 2003, que seatribuísse ao Conselho Fiscal das empresas, existente segundo exigênciasda Lei das S.A., as responsabilidades do Comitê de Auditoria, sem alterar suaestrutura. (Regra Exchange Act Rule 10A-3(c)(3))

Inicialmente, pelo menos dois terços das empresas brasileiras definiram oConselho Fiscal atuando como o Comitê de Auditoria. Neste estudo notamosatualmente, um maior equilíbrio entre o número de empresas que possuemum Comitê de Auditoria, nos moldes estabelecidos para empresasnorteamericanas, e aquelas que possuem um Conselho Fiscal atuando comoComitê de Auditoria.

De acordo com o nosso estudo, conforme demonstrado na figura abaixo,13 empresas brasileiras divulgaram no Item 6 dos 20-Fs ‘Directors, SeniorManagement and Employees’, que possuem um Comitê de Auditoria nosmoldes exigidos para empresas norte-americanas, enquanto outras 16 optarampor eleger o Conselho Fiscal, para que exercesse o papel de Comitê deAuditoria.

26

A Seção 407 da Lei Sarbanes-Oxley determina que o Comitê de Auditoria dasempresas, ou o Conselho Fiscal, possua pelo menos 1 especialista financeiro(financial expert), com entendimento das demonstrações financeiras erespectivos princípios contábeis.

Segundo exigências da SEC, as empresas devem divulgar quem é seuespecialista financeiro no Item 16-A do formulário 20-F. 28 empresasapresentaram as seguintes informações:– 21 delas possuem e divulgaram o nome do(s) Financial Expert(s);– 5 empresas consideram todos os membros do Comitê de Auditoria Financial

Experts;– 2 empresas declararam não possuir um Financial Expert.

As empresas que não possuem um Financial Expert, conforme exigidotambém pelas bolsas de Nova Iorque (NYSE) e NASDAQ, têm um prazo parase enquadrarem nesta norma, correndo o risco de perderem o direito de seremlistadas nestas bolsas. Normalmente, em linha com as tendências nos EstadosUnidos, a justificativa para o descumprimento a esta regra é a dificuldade emencontrar profissionais no mercado com o perfil para atender estas exigências.

Audit CommitteeFinancial Expert

US AuditCommittee

Comitê de Auditoria

Conselho Fiscal

= 13 empresas

= 16 empresas

27

28

As informações contidas neste documento são de caráter geral e não se destinam a abordar ascircunstâncias de nenhum indivíduo ou entidade específicos. Embora tenhamos nos empenhado emprestar informações precisas e pertinentes, não há nenhuma garantia de sua exatidão na data em queforam recebidas nem de que tais informações continuarão válidas no futuro. Essas informações nãodevem servir de base para se empreender qualquer ação sem orientação profissional qualificada,

precedida de um exame minucioso da situação em pauta.

O nome KPMG e o logotipo KPMG são marcas comerciais registradas da KPMG International, umacooperativa suíça.

O Audit Committee Institute é uma iniciativa imparcial e independente da KPMG.

© 2007 KPMG Auditores Independentes, umasociedade brasileira e firma-membro da redeKPMG de firmas-membro independentes,afiliadas à KPMG International, uma cooperativasuíça. Todos os direitos reservados. Impressono Brasil.

kpmg.com.br/aci

Contatos

Sidney T. Ito, SócioAndré Coutinho, SócioIrani Ugarelli, Diretora

Tel. (11) 2183-3000e-Mail: acibrasil@kpmg.com.br