COSO Enhances Its Internal Control-Integrated Framework

Posted by admin Articles
×
  • Salvar Artigo

    Inscrever para Salvar Assinar para WSJ

    • Tamanho do Texto Pequeno Médio Grande

    O Comité de Organizações Patrocinadoras da Comissão de Percurso (COSO)¹ lançado em 14 de Maio, 2013, uma versão actualizada do seu Quadro Integrado de Controlo Interno (o “Quadro 2013”). Além disso, o COSO lançou dois documentos ilustrativos: Ferramentas Ilustrativas para Avaliação da Eficácia de um Sistema de Controlo Interno (as “Ferramentas Ilustrativas”) e Controlo Interno sobre Relatórios Financeiros Externos: Um Compêndio de Abordagens e Exemplos (o “Compêndio ICEFR”), bem como um resumo executivo do Framework 2013.

    Originalmente emitido em 1992, o Internal Control-Integrated Framework (o “Framework 1992”) do COSO tornou-se um dos frameworks de controle interno mais amplamente aceitos no mundo. O objetivo principal do COSO em atualizar e melhorar o framework é abordar as mudanças significativas nos ambientes de negócios e operacionais que ocorreram nos últimos 20 anos.

    O Framework de 2013 e as Ferramentas Ilustrativas podem ser adquiridos da AICPA. Um resumo executivo da Estrutura de 2013 está disponível gratuitamente no site do COSO.

    Below é uma visão geral da newsletter Heads Up da Deloitte, publicada em 10 de junho de 2013, sobre as melhorias da Estrutura de 2013, uma discussão de considerações para entidades que usam a Estrutura de 1992 em conformidade com a Seção 404 da Lei Sarbanes-Oxley de 2002 (SOX), e informações sobre como fazer a transição da Estrutura de 1992 para a Estrutura de 2013, incluindo impactos em outros documentos relacionados ao COSO. Além disso, os apêndices do Heads Up newsletter de 10 de junho comparam o Framework de 2013 com o Framework de 1992, bem como destacam alguns dos conceitos expandidos no Framework de 2013. Para informações adicionais sobre os frameworks, veja os boletins Heads Up da Deloitte de 6 de fevereiro de 2012 e 7 de agosto de 2012.

    Aumentamentos no framework 2013

    O framework 2013 cria uma estrutura mais formal para projetar e avaliar a eficácia do controle interno por:

    1. Usando princípios para descrever os componentes do controlo interno. O Quadro 2013 contém 17 princípios que explicam os conceitos associados aos cinco componentes do Quadro COSO (ambiente de controlo, avaliação de risco, actividades de controlo, informação e comunicação, e actividades de monitorização). Ao desenvolver os 17 princípios, o COSO concentrou-se nos conceitos do framework de 1992; considerou os princípios que foram desenvolvidos e articulados no COSO 2006 Internal Control Over Financial Reporting-Guidance for Smaller Public Companies (“Small Business Guidance”); e considerou as mudanças significativas nos negócios, ambientes operacionais e governança desde 1992. O COSO pretende que os princípios ajudem as empresas a conceber sistemas eficazes de controlo interno e a avaliar se esses sistemas estão a funcionar eficazmente. O Quadro 2013 pressupõe que, como os 17 princípios são conceitos fundamentais dos cinco componentes, todos os 17 são relevantes para todas as entidades. Consequentemente, se um princípio não está presente e a funcionar, a componente associada não está presente e a funcionar. Em raras circunstâncias, devido a questões industriais, regulamentares ou operacionais, a administração pode determinar que um princípio não é relevante para um componente. Para descrever melhor os princípios, a Estrutura de Princípios de 2013 utiliza pontos de foco, que tipicamente são características importantes dos princípios. Embora os pontos de foco possam ajudar a gestão a conceber, implementar e avaliar o controlo interno e avaliar se os princípios relevantes estão presentes e a funcionar, eles não são necessários para avaliar a eficácia do controlo interno. A gerência pode determinar que alguns dos pontos de foco não são adequados ou relevantes e pode identificar e considerar outros.

    2. Criar uma forma mais formal de projetar e avaliar o controle interno de acordo com os princípios. Ver discussão abaixo em “Sistemas Eficazes de Controlo Interno”

    Embora os conceitos fundamentais no Quadro de Referência de 2013 sejam semelhantes aos do Quadro de Referência de 1992, o Quadro de Referência de 2013 acrescenta ou expande as discussões sobre cada componente e princípio, incluindo melhorias tais como os pontos de foco detalhados. Por exemplo, embora o conceito de identificar e responder aos riscos estivesse presente no Quadro de 1992, o Quadro de 2013 inclui discussões mais detalhadas sobre conceitos de avaliação de riscos, incluindo aqueles relacionados ao risco inerente, tolerância ao risco, como os riscos podem ser gerenciados e a ligação entre a avaliação de riscos e as atividades de controle.

    Além disso, ao contrário do Quadro de 1992, o Quadro de 2013 inclui explicitamente o conceito de considerar o potencial de risco de fraude ao avaliar os riscos para o alcance dos objetivos de uma organização (ver Princípio 8). A Estrutura de Trabalho de 2013 explica que “faz parte do processo de avaliação de risco, a organização deve identificar as várias maneiras pelas quais os relatórios fraudulentos podem ocorrer, considerando:

    • Basamento de gestão, por exemplo, na seleção de princípios contábeis
    • grau de estimativas e julgamentos em relatórios externos
    • Esquemas e cenários de fraude comuns aos setores e mercados em que a entidade opera
    • Regiões geográficas onde a entidade faz negócios
    • Incentivos que podem motivar comportamentos fraudulentos
    • Natureza de tecnologia e capacidade de gestão para manipular informação
    • Transações inusitadas ou complexas sujeitas a influência significativa da gestão
    • Vulnerabilidade à substituição da gestão e esquemas potenciais para contornar as actividades de controlo existentes”

    Princípio 8 também discute considerações relacionadas com a substituição da gestão, salvaguarda de activos, incentivos e pressões, oportunidades para actos impróprios, bem como atitudes e racionalizações que possam justificar acções impróprias. (Ver discussão adicional do Princípio 8 no Apêndice A em Heads Up, Volume 20, Número 17.)

    Outras, o COSO acrescentou considerações ao longo do Quadro de Referência de 2013 sobre:

    • O uso de prestadores de serviços terceirizados (ver Apêndice B em Heads Up, Volume 20, Número 17).
    • Increscente relevância da tecnologia da informação (ver Apêndice C no Heads Up, Volume 20, Número 17).

    A tabela abaixo resume os princípios por componente. O Apêndice A mapeia os princípios para as seções temáticas do Quadro de Referência de 1992 (conforme aplicável) e resume, em alto nível, alguns dos conceitos aprimorados no Quadro de Referência de 2013.

    Control Components and Principles

    Sistemas eficazes de controle interno

    Em um sistema eficaz de controle interno no Quadro de Referência de 2013:

    1. Cada um dos cinco componentes e princípios relevantes devem estar presentes e funcionar. Num sistema eficaz de controlo interno sob o Quadro 2013:

    • Presente é definido como “a determinação de que existem componentes e princípios relevantes na concepção e implementação do sistema de controlo interno para atingir os objectivos especificados”
    • Funcionamento é definido como “a determinação de que continuam a existir componentes e princípios relevantes na condução do sistema de controlo interno para atingir os objectivos especificados”

    2. Os cinco componentes são necessários para funcionar em conjunto de uma forma integrada. O Quadro de Referência de 2013 explica que:

    • Operar em conjunto refere-se à “determinação de que todos os cinco componentes colectivamente reduzem, a um nível aceitável, o risco de não alcançar um objectivo””
    • A gestão pode demonstrar que os componentes operam em conjunto quando 1) “Os “componentes estão presentes e a funcionar” e 2) “As deficiências de controlo interno agregadas entre os componentes não resultam na determinação da existência de uma ou mais deficiências principais.”² Igualmente, a Norma de Auditoria PCAOB 5³ requer que o auditor avalie o desenho e a eficácia operacional do controle interno sobre os relatórios financeiros. Acreditamos que “presente” e “funcionamento” são equivalentes a “desenho” e “eficácia operacional”, respectivamente.

      O PCAOB Framework 2013 utiliza os termos “deficiência de controle interno” e “deficiência grave” para descrever os graus de severidade das deficiências de controle interno. Sob a Estrutura de Trabalho 2013, uma deficiência de controle interno refere-se a uma “deficiência em um componente ou componentes e princípio(s) relevante(s) que reduz a probabilidade de uma entidade alcançar seus objetivos”, e uma deficiência grave refere-se a uma “deficiência de controle interno ou combinação de deficiências que reduz drasticamente a probabilidade de a entidade alcançar seus objetivos”. Além disso, a Estrutura de Trabalho de 2013 explica que existe uma deficiência grave quando “um componente e um ou mais princípios relevantes não estão presentes ou a funcionar” ou quando “os componentes não estão a funcionar em conjunto”. Além disso, se uma deficiência grave existe, a organização não pode concluir que cumpriu os requisitos para um sistema eficaz de controle interno.

      Importante, a Estrutura de Trabalho de 2013 reconhece que, ao avaliar deficiências no controle interno, os reguladores, os normalizadores e outras partes podem estabelecer critérios para definir a gravidade, avaliar e relatar deficiências no controle interno. Para cumprir os requisitos de relatórios de controle interno sob SOX, a gerência continuaria a usar a terminologia de deficiências significativas e fraquezas materiais da SEC, e os auditores continuariam a usar a mesma terminologia sob as normas do PCAOB. Assim, quando uma empresa está avaliando o projeto e a eficácia operacional de seu controle interno sobre relatórios financeiros externos (ICEFR) (ou seja, quando o ICEFR é um sistema de informação financeira externa), a administração continuaria a usar a mesma terminologia sob as normas do PCAOB, se os princípios estão presentes e funcionando) e identifica uma deficiência, a empresa seria obrigada a usar as definições e orientações da SEC para avaliar a gravidade da deficiência, e o auditor seria obrigado a usar as definições e orientações sob as normas do PCAOB.

      COSO Transition Guidance and Impact on Other COSO Documents

      Durante o processo de comentários públicos sobre a minuta de exposição do Quadro de Referência de 2013, várias partes interessadas solicitaram que o COSO fornecesse uma data específica para a conclusão da transição do Quadro de Referência de 1992 para o Quadro de Referência de 2013. Com base neste feedback, o COSO forneceu algumas especificações de transição e está encorajando os usuários a “fazer a transição de seus aplicativos e documentação relacionada para o Quadro atualizado assim que for possível, em suas circunstâncias particulares”. O COSO também declarou que “continuará a disponibilizar a sua estrutura original durante o período de transição que se estende até 15 de Dezembro de 2014, após o que o COSO a considerará como substituída”. Além disso, o contabilista principal da SEC, Paul Beswick, declarou que “o pessoal da SEC planeia monitorizar a transição para os emitentes que utilizam o quadro de 1992 para avaliar se e se alguma acção do pessoal ou da Comissão se torna necessária ou apropriada em algum momento no futuro”. Ele afirmou ainda que, neste momento, ele “simplesmente refere os usuários do quadro COSO às declarações que o COSO fez sobre seu novo quadro e suas reflexões sobre a transição”

      Durante o período de transição (14 de maio de 2013, até 15 de dezembro de 2014), o COSO sugere que qualquer “aplicação de seu Controle Interno – Quadro Integrado que envolva relatórios externos deve revelar claramente se a versão original ou 2013 foi utilizada”. Como resultado, quando as empresas fornecem sua avaliação anual do ICEFR de acordo com a SOX, seria apropriado indicar a estrutura exata COSO que elas utilizaram na realização da avaliação.

      Editor’s Note: PCAOB Auditing Standard 5 afirma que “o auditor deve utilizar a mesma estrutura de controle reconhecida e adequada para realizar sua auditoria de controle interno sobre relatórios financeiros, como a utilizada pela administração para sua avaliação anual da eficácia do controle interno da empresa sobre relatórios financeiros”. Como resultado, o momento em que o auditor faz a transição para a estrutura de auditoria do ICEFR em 2013 dependerá do momento da transição da empresa. Se a empresa utiliza a Estrutura de 1992 para o ano civil que termina em 31 de dezembro de 2013, o auditor também utilizará a Estrutura de 1992. Acreditamos que, de forma consistente com a abordagem de divulgação da estrutura exata COSO utilizada na avaliação do ICEFR pela administração, seria apropriado indicar no relatório do auditor a estrutura exata utilizada.

      O Guia de Pequenas Empresas do COSO será substituído pelo Compêndio ICEFR após 15 de dezembro de 2014.

      O Guia Integrado de Gestão de Riscos Empresariais do COSO (o “Guia Integrado de ERM”) não foi substituído pelo Guia de 2013. Enquanto o Framework ERM e o Framework 2013 pretendem ter focos diferentes, os dois frameworks são desenhados para se complementarem um ao outro. O COSO acredita que, embora o Framework ERM inclua partes do texto do Framework 1992, o Framework ERM continua sendo adequado para projetar, implementar, conduzir e avaliar a gestão de riscos corporativos.

      O Guia de Monitoramento de Sistemas de Controle Interno do COSO, que foi escrito para ajudar as organizações a entender e aplicar atividades de monitoramento em um sistema de controle interno, também continua a ser relevante (ou seja, não foi substituído pelo Framework 2013). O Anexo F da Estrutura de Trabalho de 2013 afirma que as “alterações aos princípios da Estrutura de Trabalho não alterarão substancialmente as abordagens desenvolvidas para a Orientação sobre Monitoramento de Sistemas de Controle Interno do COSO”

      Controle Interno sobre Relatórios Financeiros Externos

      O impacto da Estrutura de Trabalho de 2013 na avaliação da eficácia do ICEFR pela administração (ou seja, para cumprir com a Seção 404 da SOX) dependerá de como uma empresa aplicou e interpretou os conceitos da Estrutura de Trabalho de 1992. Por exemplo, um sistema de controle interno existente pode não demonstrar claramente ou documentar que todos os princípios relevantes estão presentes e funcionando. A COSO desenvolveu o Compêndio ICEFR para ajudar as empresas a aplicar o Quadro de Referência de 2013. As abordagens discutidas no documento descrevem como as organizações podem aplicar os princípios em seu sistema de ICEFR, e seus exemplos ilustram a aplicação de cada princípio. As empresas que utilizam o COSO para reportar no ICEFR podem desejar considerar:

      1. Ler o Framework 2013 e identificar novos conceitos e mudanças.

      2. Avaliar suas necessidades de treinamento e educação.

      3. Determinar como o Framework 2013 afeta o desenho e avaliação do ICEFR por:

      a. Avaliando a cobertura dos princípios pelos processos existentes e controles relacionados e considerando os pontos de foco.

      b. Avaliando os processos, atividades e documentação disponível relacionados à aplicação dos princípios.

      c. Identificando quaisquer lacunas no acima.

      4. Identificando os passos, se houver, a serem executados na transição para o Framework 2013, e:

      a. Formulação de um plano para completar a transição até 15 de dezembro de 2014 (ou seja, as empresas que cumprem com a Seção 404 da SOX devem fazer a transição para a Estrutura de 2013 para os períodos de relatório que terminam após 31 de dezembro de 2014).

      b. Considerando o uso de atividades realizadas em 2013 (por exemplo, walkthroughs, testes de controles relevantes, avaliação de deficiências) para identificar as mudanças necessárias e testar piloto ou de campo a aplicação do Marco de 2013.

      c. Confirmando a divulgação adequada do framework utilizado durante o período de transição e no momento da adoção do Framework 2013.

      5. Coordenar e comunicar internamente com todos os grupos responsáveis pela implementação, monitoramento e relatórios sobre o ICEFR da organização.

      6. Discutir e coordenar atividades com a auditoria interna (se aplicável) e o auditor externo.

      Illustrative Tools

      COSO’s Illustrative Tools provides examples of how a company may apply the 2013 Framework in assessing the effectiveness of its system of internal control. O documento fornece modelos ilustrativos e inclui cenários com exemplos de como completar vários modelos. No entanto, as Ferramentas Ilustrativas não pretendem:

      • Satisfazer quaisquer requisitos regulamentares para avaliar as deficiências de controlo interno.
      • Illustrate management’s selection of controls to effect principles or address identified risks.
      • Iliustrar decisões sobre a natureza, tempo ou extensão dos testes dos controles para assegurar um sistema eficaz de controle interno.

      -Produzido por Jennifer Burns e Brent Simer, Deloitte LLP

      Enotas
      1. COSO é uma iniciativa conjunta de cinco organizações do setor privado e se dedica a proporcionar liderança de pensamento através do desenvolvimento de estruturas e orientações sobre gestão de riscos empresariais, controle interno e dissuasão de fraudes. As cinco organizações do setor privado são a American Accounting Association, o American Institute of Certified Public Accountants, Financial Executives International, o Institute of Management Accountants e o Institute of Internal Auditors.
      2. Securities Act Release No. 33-8238, Arquivo No. S7-40-02 e S7-06-03 (14 de agosto de 2003).
      3. PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated With an Audit of Financial Statements.

    Deixe uma resposta

    O seu endereço de email não será publicado.