Auditoria Interna: Controlo Interno e Governação - IPAI · Resolvendo o cubo – Cinco componentes COSO Internal Control – Integrated Framework 12 De acordo com o modelo COSO,

Nova framework

COSO 2013

Pedro Peralta

20 de Novembro de 2014

O que mudou e

como aplicar nas

organizações

XXI CONFERÊNCIA ANUAL Auditoria Interna: Controlo Interno e Governação

Objectivos da sessão

Nova framework COSO 2013

2 © 2014. Para informações, contacte Deloitte & Associados SROC, S.A.

• Conhecer o enquadramento do COSO Internal Control – Integrated Framework

• Saber distinguir o COSO ICF do COSO ERM

• Saber explicar o cubo COSO (Controlo Interno)

• Conhecer as principais evoluções da versão COSO ICF 2013

• Conhecer os principais desafios do COSO ICF 2013

• Conhecer algumas boas práticas na aplicação do COSO ICF 2013

A iniciativa COSO

COSO Internal Control – Integrated Framework

COSO 2013 – O que mudou?

Desafios e recomendações na aplicação do COSO

Boas práticas

Anexo – Guia de consulta rápida COSO 2013

Agenda

© 2014. Para informações, contacte Deloitte & Associados SROC, S.A. 3

Origem e áreas de actuação

A iniciativa COSO

COSO – Committee of Sponsoring Organizations of the Treadway Commission é

uma iniciativa conjunta de cinco entidades:

Tem como objectivo criar orientações através do desenvolvimento de modelos e guias

sobre:

• Gestão de Risco Empresarial

• Controlo Interno

• Detenção da Fraude (prevenção e detecção)

4

American Accounting

Association

American Institute of

Certified Public

Accountants

Financial Executives

International

Institute of Management

Accountants

The Institute of

Internal Auditors

© 2014. Para informações, contacte Deloitte & Associados SROC, S.A.

Controlo Interno e principais eventos relacionados

A iniciativa COSO


1975 1980 1985 1990 1995 2000 2005 2010 2015

1977: Foreign Corrupt

Practices Act (FCPA) é

emitido, endereçando os temas

de transparência e suborno a

funcionários públicos

1992: COSO emite o

Internal Control –

Integrated Framework

(1992 edition)

1996: É emitido o COBIT -

Control Objectives for Information

and related

Technology

2004: PCAOB emite o Audit

Standard N.º 2, que foca a

auditoria a Controlo Interno em

conjunção com auditoria às

Demonstrações Financeiras

2007: SOX 404

Interpretive Guidance é

emitido pela SEC

2013: COSO emite o

Internal Control –


(2013 edition)

2013: nova liderança na

SEC, dando destaque à

fraude contabilística e à

conformidade com FCPA

1985: Formação da Treadway

Commission (AICPA, AAA,

FEI, IIA e IMA)

1987: Treadway Commission

emite o seu primeiro relatório

com recomendações sobre

contabilidade

2000 – 2002: Ocorrência de

escândalos financeiros que

motivam a alteração ao nível do

Controlo Interno e relato financeiro

2007: PCAOB emite o Audit

Standard N.º 5, que substitui o

standard N.º 2

2002: Sarbanes-Oxley

(SOX) Act é publicado

2011: PCAOB emite normas

para Análise de Risco, dirigido

para a resposta do Auditor ao

risco numa Auditoria

2013: PCAOB emite a Practice

Alert N.º 11, que evidencia

falhas comuns em auditorias de

Controlo Interno

Evolução do COSO Internal Control Framework (ICF)

A iniciativa COSO

6

1992

COSO – Internal Control

Framework (COSO I)

2013


Framework (update)


19 anos de evolução

COSO 1992 é oficialmente descontinuado a partir de 15 de Dezembro de 2014

COSO ERM e COSO ICF

A iniciativa COSO

7

1992


Framework (COSO I)

2004

COSO – Enterprise Risk

Management Framework

(COSO II)

2013


Framework (update)


COSO ERM e COSO ICF – Principais diferenças

A iniciativa COSO


COSO Internal Control –

Integrated Framework COSO Enterprise Risk Management –


A iniciativa COSO




Boas práticas


Agenda


O cubo mágico… do controlo



Controlo

Interno

Ambiente

de Controlo

Sistema de

Controlo

Interno

Ambiente

de Controlo

Interno

Actividades

de Controlo

Resolvendo o cubo – O que é Controlo Interno?


“Processo realizado pelas pessoas da organização (administração, gestão e restantes

colaboradores), concebido para dar garantia razoável de fiabilidade sobre o atingimento de

objectivos relacionados com as operações, relato de informação e conformidade”

11

• Um processo (tarefas e actividades contínuas) – um

meio para alcançar um fim, e não um fim em sim mesmo;

• Realizado pelas pessoas – não é meramente a

existência de políticas, procedimentos, manuais,

sistemas e formulários, mas sim envolvendo as pessoas;

• Destinado a dar garantia razoável de fiabilidade – mas

não uma garantia total, à administração, accionista e

demais stakeholders;

• Destinado ao atingimento de objectivos em uma ou

mais categorias (não sobrepostas).


Resolvendo o cubo – Cinco componentes


12

De acordo com o modelo COSO, o Controlo Interno tem cinco componentes, que

atravessam os objectivos e a estrutura da organização:

• Ambiente de controlo

• Análise de risco

• Actividades de controlo

• Informação e comunicação

• Actividades de monitorização

Existe uma relação intrínseca entre os objectivos (o que uma organização pretende

alcançar), os componentes (o que é necessário para os alcançar) e a estrutura

organizacional da empresa (onde se materializa a prossecução dos objectivos).

Objectivos

Estrutura

organizacional

Componentes


Objectivos

Estrutura

organizacional

Componentes

Resolvendo o cubo – Três categorias de objectivos


13

A Gestão, com supervisão do Conselho de Administração (CA), define os objectivos da

organização alinhados com a sua visão, missão e estratégia. Os objectivos deverão ser

agrupados em três categorias:

• Conformidade – Aderência a leis e regulamentação à qual a organização está sujeita


• Operações – Eficácia e eficiência

das operações, incluindo

desempenho financeiro, operacional

e protecção contra perdas de activos.

• Relato – Relato de informação

financeira e não financeira, interna e

externamente. Considera aspectos

de fiabilidade, tempestividade,

transparência e outras características

relevantes

A iniciativa COSO




Boas práticas


Agenda


Abrangência no conceito de informação



Fin

anceira

Não F

inanceira

Externa Interna

• Relatório e contas

• Resultados trimestrais

• Relatórios financeiros por

área de negócio

• Análise de clientes

• Relatório de

sustentabilidade

• Relatório para as entidades

reguladoras / tutela

• Satisfação de clientes

• Relatório de SHST

Componentes Princípios Áreas de foco



87 Áreas de Foco

17 Princípios

5 Componentes

Ambiente de

controlo

Análise de

Risco

Actividades de

controlo

Informação e

comunicação

Actividades de

monitorização

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17

Ambiente de controlo – Princípios


O ambiente de controlo é um conjunto de normas, processos e estruturas que

providenciam a base para o desenvolvimento do controlo interno na organização


1 A organização demonstra compromisso em relação aos valores éticos e de

integridade

2 O Conselho de Administração demonstra independência da gestão e

supervisiona o desenvolvimento e desempenho do Controlo Interno

3 A gestão define, com supervisão do CA, a estrutura, linhas de reporte,

níveis de autoridade e de responsabilidade, para alcançar os objectivos

4 A organização demonstra compromisso para atrair, desenvolver e reter

colaboradores competentes, em linha com os objectivos

5 A organização atribui responsabilidades aos colaboradores relativamente

ao seu papel ao nível do controlo interno, para alcançar os objectivos

Ambiente de controlo – Áreas de evolução


• Requer a definição de expectativas quanto aos padrões de conduta (colaboradores e

outsourcers), exigindo a avaliação da aderência a estes padrões e tratamento de

desvios de forma atempada

• Estabelece requisitos de independência, competência e habilitações para o CA

• Releva a importância em atribuir responsabilidades pelo controlo interno

• Releva a necessidade de planear e preparar a sucessão para posições chave e

outsourcers

• Requer alinhamento dos incentivos e prémios com:

• Objectivos estratégicos

• Desempenho de curto e longo prazo

• Risco


Ambiente de controlo e Governance


Áreas de foco

• O CA e a gestão dão o exemplo (tone at the top)

• As expectativas do CA e gestão encontram-se explícitas no código de conduta

• Existem processos para avaliar a aderência ao código de conduta

• Desvios ao código de conduta são endereçados com celeridade


1 Compromisso perante valores éticos e de integridade



Áreas de foco

• O CA define, mantém e avalia as competências e conhecimentos para uma supervisão

eficaz

• O CA tem membros independentes


2 Exercício de responsabilidade pela supervisão



Áreas de foco

• A gestão define linhas de reporte formais

• O CA e a gestão delegam autoridade, definem responsabilidades e recorrem-se dos

processos e tecnologia adequados para fazer cumprir esses limites


3 Definição da estrutura, autoridade e responsabilidade



Áreas de foco

• A organização define as políticas e práticas relativas à competência necessária para

alcançar os objectivos

• O CA e a gestão avaliam a competência e endereçam as limitações

• Existe um plano para atrair, desenvolver e reter colaboradores (e outsourcers)

• O CA e a gestão planeiam e preparam a sucessão


4 Compromisso com a competência



Áreas de foco

• O CA e a gestão definem os mecanismos adequados para assegurar a

responsabilização sobre o controlo interno (execução e melhoria)

• O CA e a gestão definem métricas para a avaliação do desempenho, incentivos e

prémios/recompensas, avaliando periodicamente a sua pertinência

• Pressões excessivas são tidas em consideração pelo CA e pela gestão


5 Atribuição de responsabilidades

Análise de risco – Princípios


A análise de risco é um processo dinâmico e interactivo de identificação e avaliação dos

riscos da organização, definindo ainda uma base para a forma de os gerir.


6 A organização define objectivos com clareza suficiente de modo a permitir

a identificação e avaliação dos respectivos riscos

7 A organização identifica riscos para o cumprimento dos objectivos e

analisa-os para determinar a forma de os gerir

8 A organização considera o potencial de fraude na avaliação dos riscos

9 A organização identifica e avalia as alterações que podem ter impacto

significativo no sistema de controlo interno

Análise de risco – Áreas de evolução


• Explicita que o processo de análise de risco inclui:

• Identificação

• Análise

• Resposta

• Considera as características de velocidade de propagação e persistência (para além da

probabilidade e impacto)

• Requer a avaliação do risco de fraude (é um princípio!)

• Incorpora considerações específicas para outsourcers

• Coloca relevância na avaliação de alterações (contexto externo, modelo de negócio,

operações, sistemas de informação, relacionamento com outsourcers, liderança) e do

seu impacto no controlo interno


Actividades de controlo – Princípios


Acções definidas por políticas e procedimentos que ajudam a que as orientações da

gestão para mitigação dos riscos sejam efectuadas. As actividades de controlo são

executadas a todos os níveis da organização e nos vários estágios dos processos e ainda

ao nível do ambiente tecnológico de suporte.


10 A organização selecciona e implementa actividades de controlo que

contribuem para a mitigação dos riscos para níveis aceitáveis

11 A organização selecciona e implementa actividades de controlo sobre a

tecnologia (controlos informáticos) que permitam alcançar os objectivos

12 A organização implementa actividades de controlo através de políticas que

definem o que é expectável e procedimentos que as colocam em prática

Actividades de controlo – Áreas de evolução


• Coloca ênfase na ligação entre risco e controlo

• Explicita a necessidade de actividades de controlo de várias naturezas (preventivas,

detectivas) e a vários níveis da organização, tendo ainda em consideração a

segregação de funções

• Requer a identificação de actividades de controlo “tecnológicas” (é um princípio!):

• Infra-estrutura tecnológica

• Segurança

• Aquisição, desenvolvimento, manutenção

• Estabelece responsabilidades pela execução das políticas e procedimentos

• Obriga à reavaliação periódica da relevância das políticas e procedimentos


Informação e comunicação – Princípios


A informação é necessária para que a organização desenvolva as suas responsabilidades

de controlo interno que permitam alcançar os objectivos. A gestão obtém ou gera e usa

informação relevante e de qualidade, a partir de fontes internas e externas, para suportar o

funcionamento do controlo interno.


13 A organização obtém, gera e usa informação relevante e de qualidade para

suportar o funcionamento do controlo interno

14 A organização comunica internamente, incluindo os objectivos e as

responsabilidades sobre o controlo interno

15 A organização comunica com entidades externas sobre aspectos que

influenciam o funcionamento do controlo interno

Informação e comunicação – Áreas de evolução


• Identificação de requisitos para a informação, validação das fontes de dados, qualidade

ao longo do processamento e utilização de outsourcers

• Considera a protecção e fiabilidade da informação

• Considera como a informação suporta o funcionamento do controlo interno

• Considera a criação de canais de comunicação anónimos/confidenciais (linhas de

denúncia)


Actividades de monitorização – Princípios


Avaliações contínuas, avaliações autónomas ou uma combinação das duas deverão ser

utilizadas para avaliar se as cinco componentes do modelo de controlo interno se

encontram presentes e a funcionar adequadamente.


16 A organização selecciona, concebe e realiza avaliações contínuas e / ou

autónomas para avaliar a presença e funcionamento das componentes do

controlo interno.

17 A organização avalia e comunica eventuais deficiências detectadas no

controlo interno, de forma oportuna, para quem tenha que tomar acções

correctivas, incluindo a gestão de topo e o Conselho de Administração,

conforme apropriado.

Actividades de monitorização – Áreas de evolução


• Considera o ritmo das alterações a monitorizar, no desenvolvimento das respectivas

actividades de controlo

• Distingue as avaliações contínuas das avaliações externas

• Considera a monitorização a diferentes níveis da organização e a monitorização dos

outsourcers

• Prevê a utilização de tecnologia no contexto da monitorização

• Considera a monitorização de acções correctivas


19 anos de mudanças…


Reflecte a evolução verificada no ambiente empresarial desde 1992:

• Avaliação explícita de risco, incluindo o risco de fraude;

• Recurso a entidades em regime de outsourcing;

• Importância da tecnologia e dos sistemas de informação; e

• Relevância Integridade da informação.


A iniciativa COSO




Boas práticas


Agenda


Demonstrar a robustez do programa de ética


• Programa formal de ética, compreendendo o relato de informação financeira, e que

considere formação numa base regular

• Avaliação da efectividade do programa de ética

• Supervisão do programa de ética pelo órgão de supervisão (Comissão de Auditoria)

• Negligência quanto à revisão do código de conduta em resposta às alterações internas

e de contexto

• Documentação disponível para os colaboradores (traduzida nas línguas relevantes)

• Comunicação das expectativas e requisitos de ética e integridade aos parceiros de

negócio (sobretudo entidades subcontratadas)


Desafios

Demonstrar a robustez do programa de ética


• Código de conduta elaborado pelo órgão de supervisão

• Comunicações regulares sobre a relevância dos princípios éticos

• Aceitação formal do código de conduta pelos colaboradores e pelas entidades externas

• Tratamento célere de violações de ética e análise posterior para identificar tendências e

necessidade de medidas correctivas

• Canais diversificados para denúncia de comportamentos não-éticos de colaboradores

• Canais directos para denúncia de comportamentos não-éticos de entidades externas


Como aplicar nas organizações?

Ambiente de controlo

Informação e comunicação

Monitorizar os outsourcers


• Comunicação das expectativas e requisitos de ética e integridade

• Conhecimento dos controlos existentes nos outsourcers

• Eficiência da comunicação

• Monitorização da eficácia dos controlos

• Avaliação dos riscos inerentes às operações/actividades das entidades


Desafios



• Explicitar nos contratos com outsourcers as expectativas da organização quanto a:

• Conduta e desempenho

• Níveis de competência

• Informação para monitorização

• Avaliar a competência e desempenho dos outsourcers de acordo com os SLA ou outras

métricas definidas contratualmente

• Considerar, no processo de análise de risco, os riscos com origem nos outsourcers,

nomeadamente relacionados com actos de corrupção



• Âmbito da delegação de autoridade

• Fluxo de comunicação e interlocutores

Análise de risco




• Identificar as actividades de controlo críticas ao nível dos outsourcers

• Abrir canais de comunicação específicos para denúncias de comportamentos não-

éticos por parte dos outsourcers

• Obter relatórios independentes de avaliação dos outsourcers (ISAE 3402 / SSAE 16 /

SAS 70)




Actividades de controlo

Actividades de monitorização

Incluir o risco de fraude na análise de risco


• Avaliação dos riscos inerentes às operações/actividades das entidades

• Não considerar todos os tipos de fraude:

• Apropriação de activos (pagamentos, recebimentos e bens materiais)

• Relato de informação (sub ou sobrevalorização de receita)

• Corrupção (conflitos de interesse, extorsão, suborno, ofertas)

• Profundidade de análise aos esquemas de fraude no relato de informação financeira

• Utilização do risco residual em vez do risco inerente

• Revisão regular do risco de fraude (alterações de contexto ou de negócio)


Desafios

Incluir o risco de fraude na análise de risco


• Efectuar uma análise detalhada dos riscos de fraude, envolvendo as áreas de negócio e

a gestão

• Incluir o órgão de supervisão na discussão sobre os riscos de fraude

• Análise de registos contabilísticos para identificação de padrões não usuais



Análise de risco


Considerar a segregação de funções


• Segregação de funções ao nível do sistema e na realização de actividades manuais

• Controlo ao nível das alterações efectuadas nos sistemas podendo afectar a confiança

quanto a:

• Controlos automáticos

• Relatórios

• Validade dos dados

• Excepções ao nível de geografias/negócios menos “relevantes”

• Grau de precisão dos controlos de revisão existentes


Desafios

Considerar a segregação de funções


• Definir e implementar matriz de segregação de funções

• Considerar controlos alternativos para conflitos que não podem ser solucionados

através de segregação de funções

• Análise de registos contabilísticos para identificação de padrões não usuais





Rigor e detalhe nos controlos de revisão


• Malha demasiado aberta para os critérios de revisão

• Controlos que avaliação variações/discrepâncias e não a pertinência dos valores per si

• Falta de rigor ao nível das políticas e objectivos

• Profundidade e grau de desagregação da análise (documentação de suporte)

• Nível de confiabilidade sobre a informação de base


Desafios

Rigor e detalhe nos controlos de revisão


• Considerar os seguintes aspectos para os controlos de revisão:

• A natureza e a impacto do risco que o controlo pretende mitigar

• A natureza e nível de detalhe dos dados e relatórios utilizados para a realização do

controlo

• A fiabilidade dos dados utilizados

• As competências necessárias para a realização do controlo (e posterior investigação,

se necessário)

• Incluir no trabalho da Auditoria Interna uma análise à eficácia dos controlos de revisão





Considerar controlos sobre os dados fonte


• Modelo de governance para os dados (políticas, normas e responsabilidades)

• Desenho e implementação de controlos sobre os dados fonte e “lógica” programada

• Adequação dos requisitos de informação face à evolução da organização

• Controlos sobre fontes de informação externas utilizadas para relato de informação

financeira


Desafios

Considerar controlos sobre os dados fonte


• Efectuar reconciliações entre dados de diferentes sistemas

• Inventariar aplicações pessoais (incluindo folhas de cálculo) e analisar os respectivos

controlos




A iniciativa COSO




Boas práticas


Agenda


Relevância do COSO

Boas práticas

Apresentamos de seguida algumas boas práticas que endereçam as principais fragilidades

reveladas na divulgação de deficiências materiais1 e de identificação de fraude2, e como

se encontram cobertas pela framework COSO 2013.


1Baseado em dados da Audit Analytics para o período de 15/11/2012 a 14/11/2013, incluindo relatórios 10-K para o ano de 2013 2Deloitte Forensic Center, Ten Things About Financial Statement Fraud — third edition, 2009


Boas práticas


Tópico

Divulgação de

Deficiência

material

Contribuição

para Fraude

material

Princípio

COSO 2013

Definição de um programa de ética 1,2

Definição e formalização de delegação de

competências 3

Formação técnica aos colaboradores da área

financeira (contabilidade) 4

Análise de risco

Boas práticas


Tópico

Divulgação de

Deficiência

material

Contribuição

para Fraude

material

Princípio

COSO 2013

Verificar a validade e adequação das políticas e

procedimentos contabilísticos 6

Efectuar uma análise de risco por cada conta

relevante, identificando as respectivas actividades

de controlo

7

Analisar risco de fraude:

• Management override of controls

• Manipulação das demonstrações financeiras

• Apropriação indevida de activos

• Corrupção

8

Analisar risco de transacções ou eventos pontuais:

• Alterações significativas a processos ou

sistemas

9


Boas práticas


Tópico

Divulgação de

Deficiência

material

Contribuição

para Fraude

material

Princípio

COSO 2013

Testar lançamentos contabilísticos (journal entries) 10

Analisar e mitigar riscos de segregação de funções 10, 11

Analisar principais controlos de revisão da gestão:

• Provisões (incobráveis, antiguidade de stocks)

• Imparidades

• Avaliação de investimentos

• Envolvimento de especialistas (e.g. actuários)

10, 12

Monitorizar os fornecedores de outsourcing

(cláusulas contratuais, KPI, SLA) 10, 12

Auditar os Sistemas de Informação e de alterações

aplicacionais 11


Boas práticas


Tópico

Divulgação de

Deficiência

material

Contribuição

para Fraude

material

Princípio

COSO 2013

Auditar a qualidade dos dados (incluindo dados

utilizados para efeitos de reporting) 13

Definir programa para denúncias anónimas

(whistleblowing) 14, 15


Boas práticas


Tópico

Divulgação de

Deficiência

material

Contribuição

para Fraude

material

Princípio

COSO 2013

Avaliar a competência e efectividade da actividade

da Auditoria Interna 16

Monitorizar as áreas de negócio / localizações

associadas a maior risco 16

Avaliar formalmente as root-causes das

deficiências detectadas 17

A iniciativa COSO




Boas práticas


Agenda


COSO 2013 Framework on Internal Control Prepare for the changes

On May 14, 2013, the Committee of Sponsoring Organizations of the Treadway Commission (COSO) issued its updated 2013 Internal Control-Integrated

Framework “2013 Framework”. The 2013 Framework retains the core definition of internal control and the five components of internal control, while at the

same time includes enhancements and clarifications intended to ease use and application. One of the most significant changes in the 2013 Framework is

that the key fundamental concepts introduced in the original framework are now principles, which are associated with the five components, providing clarity

for designing and implementing systems of internal control and for understanding requirements for effective internal control.

The 2013 Framework presumes that because the 17 principles are fundamental concepts of the five components, all 17 are relevant to all entities and need

to be present, functioning, and operating together in an integrated manner to have an effective system of internal control.

1. The organization

demonstrates a

commitment to integrity

and ethical values.

2. The board of directors

demonstrates

independence from

management and

exercises oversight of the

development and

performance of internal

control.

3. Management

establisheswith board

oversightstructures,

reporting lines, and

appropriate authorities

and responsibilities in the

pursuit of objectives.

4. The organization

demonstrates a

commitment to attract,

develop, and retain

competent individuals in

alignment with objectives.

5. The organization holds

individuals accountable

for their internal control

responsibilities in the

pursuit of objectives.

6. The organization

specifies objectives

with sufficient clarity to

enable the

identification and

assessment of risks

relating to objectives.

7. The organization

identifies risks to the

achievement of its

objectives across the

entity and analyzes

risks as a basis for

determining how the

risks should be

managed.

8. The organization

considers the potential

for fraud in assessing

risks to the

achievement of

objectives.

9. The organization

identifies and

assesses changes that

could significantly

impact the system of

internal control.

10. The organization

selects and develops

control activities that

contribute to the

mitigation of risks to

the achievement of

objectives to

acceptable levels.


selects and develops

general control

activities over

technology to support

the achievement of

objectives.


deploys control

activities through

policies that establish

what is expected and

procedures that put

policies into action.


obtains or generates

and uses relevant,

quality information to

support the functioning

of internal control.


internally

communicates

information, including

objectives and

responsibilities for

internal control,

necessary to support

the functioning of

internal control.


communicates with

external parties

regarding matters

affecting the

functioning of internal

control.


selects, develops, and

performs ongoing

and/or separate

evaluations to

ascertain whether the

components of internal

control are present

and functioning.


evaluates and

communicates internal

control deficiencies in

a timely manner to

those parties

responsible for taking

corrective action,

including senior

management and the

board of directors, as

appropriate.

The five components of internal control and related 17 principles

Control

environment Risk assessment Control activities

Information and

communication

Monitoring

activities

Control environment

Principles Points of focus

1. The organization demonstrates a commitment to

integrity and ethical values. • Sets the tone at the top

• Establishes standards of conduct

• Evaluates adherence to standards of conduct

• Addresses deviations in a timely manner

2. The board of directors demonstrates independence

from management and exercises oversight of the

development and performance of internal control.

• Establishes oversight responsibilities

• Applies relevant expertise

• Operates independently

• Provides oversight for the system of internal control

3. Management establishes, with board oversight,

structures, reporting lines, and appropriate authorities

and responsibilities in the pursuit of objectives.

• Considers all structures of the entity

• Establishes reporting lines

• Defines, assigns, and limits authorities and responsibilities

4. The organization demonstrates a commitment to

attract, develop, and retain competent individuals in

alignment with objectives.

• Establishes policies and practices

• Evaluates competence and addresses shortcomings

• Attracts, develops, and retains individuals

• Plans and prepares for succession

5. The organization holds individuals accountable

for their internal control responsibilities in the pursuit of

objectives.

• Enforces accountability through structures, authorities, and responsibilities

• Establishes performance measures, incentives, and rewards

• Evaluates performance measures, incentives, and rewards for ongoing relevance

• Considers excessive pressures

• Evaluates performance and rewards or disciplines individuals

Risk assessment

Principles Objectives Points of focus

6. The organization specifies

objectives with sufficient

clarity to enable the

identification and assessment

of risks relating to objectives.

Operations Objectives

• Reflects management’s choices

• Considers tolerances for risk

• Includes operations and financial performance goals

• Forms a basis for committing of resources

External Financial

Reporting Objectives

• Complies with applicable accounting standards

• Considers materiality

• Reflects entity activities

External Non-Financial

Reporting Objectives

• Complies with externally established standards and frameworks

• Considers the required level of precision


Internal Reporting

Objectives

• Reflects management’s choices

• Considers the required level of precision


Compliance Objectives • Reflects external laws and regulations

• Considers tolerances for risk

7. The organization identifies risks to the

achievement of its objectives across the entity and

analyzes risks as a basis for determining how the risks

should be managed.

• Includes entity, subsidiary, division, operating unit, and functional levels

• Analyzes internal and external factors

• Involves appropriate levels of management

• Estimates significance of risks identified

• Determines how to respond to risks

8. The organization considers the potential for fraud in

assessing risks to the achievement of objectives. • Considers various types of fraud

• Assesses incentive and pressures

• Assesses opportunities

• Assesses attitudes and rationalizations

9. The organization identifies and assesses changes that

could significantly impact the system of

internal control.

• Assesses changes in the external environment

• Assesses changes in the business model

• Assesses changes in leadership

Control activities


10. The organization selects and develops control

activities that contribute to the mitigation of risks to

the achievement of objectives to acceptable levels.

• Integrates with risk assessment

• Considers entity-specific factors

• Determines relevant business processes

• Evaluates a mix of control activity types

• Considers at what level activities are applied

• Addresses segregation of duties

11. The organization selects and develops general

control activities over technology to support the

achievement of objectives.

• Determines dependency between the use of technology in business process and

technology general controls

• Establishes relevant technology infrastructure control activities

• Establishes relevant security management process control activities

• Establishes relevant technology acquisition, development, and maintenance

process control activities

12. The organization deploys control activities through

policies that establish what is expected and

procedures that put policies into action.

• Establishes policies and procedures to support deployment of

management’s directives

• Establishes responsibility and accountability for executing policies and

procedures

• Performs in a timely manner

• Takes corrective action

• Performs using competent personnel

• Reassesses policies and procedures

Information and communication


13. The organization obtains or generates and uses

relevant, quality information to support the functioning

of internal control.

• Identifies information requirements

• Captures internal and external sources of data

• Processes relevant data into information

• Maintains quality throughout processing

• Considers costs and benefits

14. The organization internally communicates

information, including objectives and responsibilities

for internal control, necessary to support the

functioning of internal control.

• Communicates internal control information

• Communicates with the board of directors

• Provides separate communication lines

• Selects relevant method of communication

15. The organization communicates with external

parties regarding matters affecting the functioning of

internal control.

• Communicates to external parties

• Enables Inbound Communications

• Communicates with the board of directors

• Provides separate communication lines

• Selects relevant method of communication

Monitoring activities


16. The organization selects, develops, and performs

ongoing and/or separate evaluations to ascertain

whether the components of internal control are

present and functioning.

• Considers a mix of ongoing and separate evaluations

• Considers rate of change

• Establishes baseline understanding

• Uses knowledgeable personnel

• Integrates with business processes

• Adjusts scope and frequency

• Objectively evaluates

17. The organization evaluates and communicates

internal control deficiencies in a timely manner to

those parties responsible for taking corrective action,

including senior management and the board of

directors, as appropriate.

• Assesses results

• Communicates deficiencies

• Monitors corrective actions

17 COSO principles and related 87 points of focus (i.e., characteristics that may assist in designing, implementing, and conducting internal control and in assessing the whether the principles are present and functioning)

About Deloitte

Deloitte refers to one or more of Deloitte Touché Tohmatsu Limited, a UK private company limited by guarantee, and its network of member firms, each of which is a legally

separate and independent entity. Please see www.deloitte.com/about for a detailed description of the legal structure of Deloitte Touché Tohmatsu Limited and its member

firms. Please see www.deloitte.com/us/about for a detailed description of the legal structure of Deloitte LLP and its subsidiaries. Certain services may not be available to

attest clients under the rules and regulations of public accounting.

Copyright © 2013 Deloitte Development LLC. All rights reserved.

Member of Deloitte Touché Tohmatsu Limited

This document contains general information only and Deloitte is not, by means of this document, rendering accounting, business, financial,

investment, legal, tax, or other professional advice or services. This document is not a substitute for such professional advice or services, nor

should it be used as a basis for any decision or action that may affect your business. Before making any decision or taking any action that may

affect your business, you should consult a qualified professional advisor.

Deloitte shall not be responsible for any loss sustained by any person who relies on this document.

“Deloitte” refere-se a Deloitte Touche Tohmatsu Limited, uma sociedade privada de responsabilidade limitada do Reino Unido (DTTL), ou a uma ou mais entidades da sua

rede de firmas membro e suas entidades relacionadas. A DTTL e cada uma das firmas membro da sua rede são entidades legais separadas e independentes. A DTTL

(também referida como "Deloitte Global") não presta serviços a clientes. Para aceder à descrição detalhada da estrutura legal da DTTL e suas firmas membro consulte

http://www.deloitte.com/view/pt_PT/pt/quem-somos/index.htm

A Deloitte presta serviços de auditoria, consultoria fiscal, consultoria de negócios e de gestão e corporate finance a clientes nos mais diversos sectores de actividade. Com

uma rede globalmente ligada de firmas membro em mais de 150 países e territórios, a Deloitte combina competências de elevado nível com oferta de serviços qualificados

conferindo aos clientes o conhecimento que lhes permite abordar os desafios mais complexos dos seus negócios. Os mais de 200.000 profissionais da Deloitte

empenham-se continuamente para serem o padrão de excelência.

Esta comunicação apenas contém informação de carácter geral, pelo que não constitui aconselhamento ou prestação de serviços profissionais pela Deloitte Touche

Tohmatsu Limited, pelas suas firmas membro ou pelas suas entidades relacionadas (a “Rede Deloitte”). Nenhuma entidade da Rede Deloitte é responsável por quaisquer

danos ou perdas sofridos pelos resultados que advenham da tomada de decisões baseada nesta comunicação.





Ambiente de controlo – Princípios


O ambiente de controlo é um conjunto de normas, processos e estruturas que

providenciam a base para o desenvolvimento do controlo interno na organização


1 Compromisso perante valores éticos e de integridade

2 Exercício de responsabilidade pela supervisão

3 Definição da estrutura, autoridade e responsabilidade

4 Compromisso com a competência

5 Atribuição de responsabilidades

Análise de risco – Princípios


A análise de risco é um processo dinâmico e interactivo de identificação e avaliação dos

riscos da organização, definindo ainda uma base para a forma de os gerir.


6 Define objectivos relevantes

7 Identifica e analisa riscos

8 Avalia o risco de fraude

9 Identifica e analisa alterações significativas

Actividades de controlo – Princípios


Acções definidas por políticas e procedimentos que ajudam a que as orientações da

gestão para mitigação dos riscos sejam efectuadas. As actividades de controlo são

executadas a todos os níveis da organização e nos vários estágios dos processos e ainda

ao nível do ambiente tecnológico de suporte.


10 Selecciona e implementa actividades de controlo

11 Selecciona e implementa actividades de controlo sobre a tecnologia

12 Baseia-se em políticas e procedimentos

Informação e comunicação – Princípios


A informação é necessária para que a organização desenvolva as suas responsabilidades

de controlo interno que permitam alcançar os objectivos. A gestão obtém ou gera e usa

informação relevante e de qualidade, a partir de fontes internas e externas, para suportar o

funcionamento do controlo interno.


13 Usa informação relevante

14 Comunica internamente

15 Comunica externamente

Actividades de monitorização – Princípios


Avaliações contínuas, avaliações autónomas ou uma combinação das duas deverão ser

utilizadas para avaliar se as cinco componentes do modelo de controlo interno se

encontram presentes e a funcionar adequadamente.


16 Concebe e realiza avaliações contínuas e / ou autónomas

17 Avalia e comunica eventuais deficiências

Documents

Auditoria Interna: Controlo Interno e Governação - IPAI · Resolvendo o cubo – Cinco componentes COSO Internal Control – Integrated Framework 12 De acordo com o modelo COSO,