O que é ICFR? Controles Internos sobre Relatórios Financeiros

O que é ICFR? Controles Internos sobre Relatórios Financeiros

Carimbo de data / hora: 9 de fevereiro de 2024 8h25
O que é ICFR? Controles internos sobre relatórios financeiros PlatoBlockchain Data Intelligence. Pesquisa vertical. Ai.

O ICFR é mais do que um exercício de “verificação do bloqueio”; O ICFR eficaz e de qualidade descreve todo um ethos de transparência e responsabilidade financeira. O ICFR abrange toda a gama de sistemas e processos de controle que uma empresa adota para garantir a validade de suas demonstrações financeiras e permanecer fora de problemas com reguladores, investidores e partes interessadas.

Embora o ICFR pareça complexo, tendo em conta os abundantes recursos disponíveis, muitas medidas são de bom senso e facilmente implementadas. Ainda assim, a implementação eficaz depende de uma compreensão diferenciada dos controlos e do ecossistema que rodeia o ICFR – que este guia considera como uma orientação e um ponto de partida inicial para a conformidade financeira a longo prazo.

Conceitos básicos para saber

Compreender os fundamentos básicos do ICFR é o primeiro passo para a compreensão total. Lembre-se que os controles internos são procedimentos e processos de gestão implementados para garantir a integridade contábil e a transparência financeira. Para algumas empresas, especialmente as de capital aberto, o ICFR é uma parte fundamental dos registros financeiros exigidos e ajuda as partes interessadas a ter certeza de que os dados que estão examinando são precisos e oportunos.

Em última análise, lembre-se de que o ICFR é mais do que conformidade. Inclui a construção de um ecossistema baseado na confiança e na transparência, tranquilizando as partes interessadas e os investidores e, ao mesmo tempo, oferecendo dados financeiros da mais alta qualidade possível para impulsionar a tomada de decisões operacionais precisas e eficazes.

Definição: O que é ICFR? “Controles Internos sobre Relatórios Financeiros”

Os Controles Internos sobre Relatórios Financeiros, abreviados para ICFR, descrevem a gama de processos, procedimentos e mecanismos formais que uma empresa usa para garantir que as demonstrações financeiras sejam precisas e reflitam a realidade. Mas o verdadeiro significado do ICFR é muito mais abrangente do que a definição básica implica. Os controles evitam fraudes e servem como freios e contrapesos para detectar erros humanos ou erros ao gerar ou analisar demonstrações financeiras.   

O ICFR, em certo sentido, atua como um árbitro que utiliza um manual para administrar um jogo. Neste caso, o árbitro (medidas e verificações reais de controle) utiliza o manual (procedimentos da empresa baseados em princípios contábeis aceitos) para administrar o jogo (relatórios financeiros). E, assim como as regras variam entre futebol e basquete, as regras do seu árbitro dependem do seu negócio específico. Em geral, porém, as atividades diárias do ICFR incluem requisitos de aprovação de transações, separação de funções de funcionários, rastreamento, software de monitoramento e até mesmo algo tão básico como a verificação dupla de cálculos.  

O que é SOX? “A Lei Sarbanese-Oxley de 2002”

SOX, ou Lei Sarbanes-Oxley, é uma lei federal dos EUA projetada para proteger contra fraudes e técnicas contábeis criativas e se aplica a empresas que negociam nas bolsas de valores dos EUA. Também se aplica a empresas de contabilidade, agências de auditoria e quaisquer terceiros que uma empresa de capital aberto utilize em seu processo de gestão contábil.

A lei exige que as empresas desenvolvam, publiquem, auditem e utilizem ativamente o seu ICFR. Por outras palavras, a lei federal exige que estas empresas tenham sistemas claros e bem estabelecidos para gerir fraudes ou erros nos relatórios financeiros e que utilizem esses sistemas conforme pretendido. A Securities and Exchange Commission (SEC) supervisiona a Lei Sarbanese-Oxley e é encarregada de aplicá-la. Ocasionalmente, as empresas devem apresentar relatórios à SEC afirmando a sua responsabilidade pela promulgação e aplicação do ICFR – e provar isso.

O que é o §404 da Lei Sarbanes-Oxley de 2002?

A Seção 4 da Lei Sarbanes-Oxley é geralmente chamada de SOX 404, abreviadamente. Esta seção é uma das partes mais impactantes da SOX e exige que a administração e as equipes de auditoria terceirizadas relatem a qualidade do ICFR de uma empresa. A seção é composta por duas subseções:

  1. 401A: Esta subseção da SOX 404 exige que uma empresa inclua seu relatório de controles internos que afirme a responsabilidade da administração pelo ICFR. Além de validar a compreensão da administração sobre a sua responsabilidade, o 404A também exige uma avaliação objetiva do ICFR da empresa.
  2. 404B: Esta subseção tem o mesmo mandato que 404A, mas se aplica a auditores externos e terceirizados e exige que eles atestem que o relatório gerencial sob 404A é válido.

O ICFR promove controlos financeiros mais fortes, construindo uma base para as empresas desenvolverem e implementarem os seus processos e sistemas para garantir a precisão dos relatórios financeiros. O ICFR oferece uma série aprimorada de protocolos de supervisão recorrentes e periódicos para ajudar a garantir que a empresa esteja fazendo a coisa certa de forma consistente, ao mesmo tempo que exige uma análise interna de avaliação de risco em áreas de possível preocupação, para que a empresa possa prestar atenção especial a elas entre os períodos de auditoria e de relatório. .

Um ICFR adequado e de qualidade também serve como ferramenta de comunicação para nivelar hierarquias quando se trata de relatórios financeiros e contábeis. Ao implementar o ICFR, você garante que as informações corretas circulem dentro da sua empresa e que apenas as informações verificadas e corretas saiam da empresa. Além da gestão de conformidade e fraude, o ICFR abrangente também ajuda a criar uma cultura de comunicação, ao mesmo tempo que ajuda a gestão a tomar decisões informadas rapidamente.

Que riscos as empresas enfrentam se os controles internos sobre os relatórios financeiros forem ignorados?

Ignorar as normas acordadas e o ICFR expõe empresas de todos os tipos e dimensões a riscos substanciais, entre os quais se incluem sanções financeiras e (no caso de conduta dolosa) pena de prisão para os envolvidos. Mesmo que não seja mal intencionado, ignorar o ICFR significa que investidores internos e terceiros, reguladores e auditores não podem determinar a exatidão das demonstrações financeiras e irão “punir” a empresa em conformidade, ou seja, não investindo ou recusando-se a trabalhar com os não conformes. empresa.

Ignorar o ICFR pode levar a:

  • Demonstrações financeiras imprecisas: O resultado mais óbvio, controlos inadequados ou sem controlos, aumenta o risco de erro ou omissão nas demonstrações financeiras.
  • Fraude: Onde existem padrões frouxos e verificações limitadas das ações o impedem, a fraude floresce.
  • Penalidades: O não cumprimento das diretrizes estabelecidas, como a Lei Sabanes-Oxley, pode levar a penalidades legais, multas e sanções dos órgãos reguladores que as aplicam.
  • Ineficiência: A sua tomada de decisões é tão boa quanto os dados que a alimentam, e controlos inadequados significam que os seus dados são questionáveis, o que pode levar a uma implementação operacional deficiente ou ineficaz.
  • Confiança do investidor: Os investidores não confiam em empresas com práticas contábeis flexíveis, por um bom motivo. Ignorar o ICFR significa que você pode não atrair capital de investidores tão prontamente quanto as empresas dispostas a cumpri-lo.
  • Reputação: Basta um deslize contábil para espalhar e destruir a reputação de uma empresa junto a clientes, investidores, fornecedores e concorrentes. Em suma, a falta de um ICFR pode levar de forma muito tangível à falência, mesmo de uma empresa bem gerida.

O que é um relatório de controles internos? E como é?

Um Relatório de Controle Interno (ICR) é um documento produzido pela equipe de gestão de uma empresa que detalha seus esforços e resultados na implementação de controles internos sobre os relatórios financeiros. O ICR é um requisito para empresas de capital aberto sob a Lei Sarbanes-Oxley e geralmente é incluído nos registros periódicos de uma empresa na SEC.

O relatório de controle interno geralmente consiste em:

  1. Uma declaração afirmando a responsabilidade da administração no estabelecimento e manutenção de controles internos.
  2. Uma avaliação da adequação dos controles internos no período anterior.
  3. Uma declaração de metodologia detalhando como a empresa determina a eficácia do controle.

O ICR normalmente também incluirá uma declaração narrativa que descreve os controles, como eles são avaliados e quaisquer deficiências materiais nos controles que possam afetar os registros. Eles também podem incluir resultados de auditorias internas ou de terceiros que detalham áreas problemáticas e como a gestão planeja resolvê-las desse ponto em diante.

Exemplo 

As empresas podem elaborar um relatório de controle interno que inclua:

  • Um resumo executivo detalhando as descobertas e as ações futuras planejadas.
  • Uma declaração de responsabilidade gerencial afirmando o entendimento de que os controles internos são obrigatórios.
  • Escopo e metodologia que descrevem como a empresa valida os controles internos.
  • A estrutura usada para avaliar os controles internos.
  • Uma avaliação da avaliação de controle que inclui relatórios de detecção de fraude, extratos bancários, dados de reconciliação, etc.
  • Uma análise detalhada das descobertas específicas e de quaisquer questões decorrentes da auditoria.

O que é uma auditoria ICFR?

A auditoria ICFR é um exame ou inspeção formal que avalia a conformidade de uma empresa com o ICFR e a eficácia dos controles implementados. A auditoria foi projetada para garantir que os registros financeiros de uma empresa sejam precisos e estejam em conformidade com as estruturas e requisitos estabelecidos, incluindo a Lei Sarbanes-Oxley.

Ao longo de uma auditoria ICFR, os avaliadores e auditores examinam a concepção e implementação do ICFR, testam os controlos para garantir que funcionam conforme planeado e identificam quaisquer pontos fracos ou deficiências que possam levar a relatórios imprecisos ou equivocados. Eles verão:

  1. O ambiente de controle (incluindo a cultura da empresa em torno da conformidade da auditoria)
  2. Avaliação de risco cobrindo pontos fracos e áreas de preocupação a serem observadas de perto
  3. Processos de informação e comunicação
  4. Um plano para monitorar o ICFR no futuro

O que é uma “fraqueza material” no ICFR?

Uma fraqueza material no ICFR é uma deficiência ou uma série de deficiências que criam a possibilidade real de futuras distorções ou erros nos registros financeiros. Especificamente, uma fraqueza material refere-se às deficiências que criam um cenário provável em que é improvável que as distorções sejam evitadas, detectadas ou corrigidas dentro de um prazo razoável.

Resumindo – as fraquezas materiais são problemas com os controlos internos de uma empresa em toda a empresa que aumentam o risco de as informações financeiras estarem erradas e permanecerem desconhecidas até depois de uma demonstração financeira ser publicada ou distribuída fora da organização.

Quem são as principais partes interessadas responsáveis ​​pelo IFCR dentro de uma organização?

As partes interessadas ou indivíduos típicos de uma empresa responsáveis ​​pela manutenção do ICFR incluem:

  • Alta administração: Este grupo de partes interessadas inclui a gestão de alto nível (nomeadamente o CEO e o CFO) e é, em última análise, responsável pela totalidade do ICFR de uma empresa.
  • Auditores internos: Este grupo avalia a eficácia do ICFR, trabalha para identificar pontos fracos e desenvolve recomendações para soluções. Eles podem usar processos de exame manuais, mas, cada vez mais, as etapas de auditoria são automatizadas hoje e envolvem uma simples supervisão do auditor, economizando tempo e dinheiro.
  • Conselho Fiscal: Geralmente incluindo a alta administração e o conselho de administração (se aplicável), o Auditoria interna comitê é o órgão de supervisão que avalia os resultados da auditoria e implementa correções conforme necessário.
  • Auditores externos: Este grupo tem a mesma função que o Auditoria interna equipe, mas funciona como um terceiro imparcial.
  • Departamento de Finanças: O departamento financeiro garante o cumprimento diário dos controles estabelecidos.
  • Equipe de TI: Hoje, muitos componentes do ICFR dependem do uso eficaz da tecnologia; A equipe de TI ajuda a implantar, gerenciar e monitorar esses sistemas.

O que é o Guia CAQ para ICFR?

O Centro de Qualidade de Auditoria (CAQ) desenvolveu o Guia CAQ para ICFR para oferecer um recurso único para as partes interessadas compreenderem e aplicarem os requisitos do ICFR. O guia ajuda a auxiliar a gestão, as equipes de auditoria e os comitês na concepção, avaliação e correção do ICFR.

O guia inclui uma visão geral do ICFR, melhores práticas, listas de verificação valiosas e estruturas para criar e manter controles internos de qualidade e etapas para abordar ou remediar problemas.

O que é a estrutura COSO?

O Comitê de Organizações Patrocinadoras da Comissão Treadway (COSO) desenvolveu a Estrutura COSO como um meio de ajudar as organizações a criar, avaliar e aprimorar o ICFR. A Estrutura COSO descreve exclusivamente os controles internos como um processo e não como uma série de etapas, criando uma abordagem voltada para o ecossistema que abrange toda a organização.

A Estrutura COSO diz que controles eficazes consistem em:

  1. Ambiente de controle: Esta é a visão do “ecossistema” dos esforços de ICFR de uma organização e inclui cultura, integridade, ética e competência.
  2. Avaliação de risco: Isto ajuda as empresas a identificar e analisar riscos que vão contra os objetivos de transparência financeira de uma empresa.
  3. Atividades de controle: Estas são as etapas, ações e métodos, incluindo políticas e procedimentos que uma empresa utiliza para gerir os esforços do ICFR. Pode incluir aprovações, autorizações, reconciliações e controles semelhantes.
  4. Informação e comunicação: Este aspecto ajuda as empresas a perceberem que a informação é um recurso fungível que deve ser identificado, capturado e divulgado para permitir que as partes interessadas cumpram as suas respectivas responsabilidades.
  5. Atividades de monitoramento: Este componente garante que todo o ecossistema seja monitorado adequadamente e que sejam feitos ajustes ou ajustes conforme necessário.

Como os auditores independentes se envolvem com o ICFR?

Os auditores independentes envolvem-se com o ICFR auditando os controles internos da empresa em domínios como controles de contas a pagar e outros sistemas departamentais para garantir que sejam eficazes na prevenção (ou detecção) de distorções relevantes em registros financeiros. As ações dos auditores independentes geralmente incluem:

  1. Planejamento de auditoria: Como cada empresa é diferente, os auditores devem desenvolver um plano de ataque único para cada auditoria.
  2. Projeto de controle: Os auditores avaliam quão bem os controles são desenvolvidos e se são ou não implementados de forma adequada.
  3. Teste: Esta ação é um “teste de resistência” do ICFR que inclui questionamento, observação direta, visão geral da documentação e colocação controles específicos através de seus passos.
  4. Comunicando descobertas: A melhor auditoria é inútil se não der visibilidade às partes interessadas sobre o ICFR de uma empresa; os auditores desenvolvem e divulgam conclusões para garantir a transparência e ajudar a iniciar o planeamento para resolver as deficiências encontradas.
  5. Relatório: Se uma empresa for pública e obrigada a reportar ao abrigo da Lei Sarbanes-Oxley, o passo final para os auditores externos inclui requisitos formais de reporte.

O que sua equipe deve fazer para garantir a conformidade e o ICFR?

Procedimentos operacionais estruturados e compreensíveis são fundamentais para garantir a eficácia e a conformidade do ICFR. Uma abordagem estruturada inclui: 

  1. Compreender e documentar o ambiente de controle: O conhecimento é fundamental quando se trata de ICFR, e a conformidade começa com uma análise completa dos regulamentos e dos requisitos da Seção 404 da SOX. Documente o ambiente de controle da sua empresa, incluindo a cultura e o tom definidos pela administração em relação ao ICFR.
  2. Conduza uma avaliação de risco: Realize uma avaliação de risco abrangente para identificar onde podem surgir distorções relevantes devido a erro ou fraude.
  3. Projetar e implementar atividades de controle: Desenvolver e implementar controles abrangentes para abordar riscos específicos identificados na avaliação de riscos. Estes devem incluir verificações e equilíbrios, segregação de funções, hierarquias de aprovação e outros controles relevantes.
  4. Controles do Monitor: Monitore regularmente esses controles para garantir que estejam operando de maneira eficaz. Isto pode incluir atividades de monitorização contínua e avaliações separadas.
  5. Controles de revisão e teste: Revise e teste periodicamente os controles para verificar sua eficácia. Ajuste e melhore-os conforme necessário com base nos resultados do teste.
  6. Reportar internamente: Comunicar prontamente as conclusões, incluindo quaisquer deficiências ou fraquezas, à administração e ao comitê de auditoria.
  7. Educar e treinar funcionários: Fornecer educação e treinamento contínuos para garantir que todos os membros relevantes da equipe entendam os processos de controle interno e suas funções individuais dentro desses processos. Lembre-se de que controles eficazes não são ações únicas; eles são um processo contínuo e iterativo.
  8. Envolva-se com auditores externos: Trabalhe com auditores externos para fornecer-lhes as informações necessárias e apoiar a auditoria independente do seu ICFR.

Recursos adicionais 

O ICFR é um tema complexo e este é apenas um ponto de partida. Para obter mais informações, você pode explorar:

Carimbo de hora:

Mais de IA e aprendizado de máquina