quarta-feira, 10 de fevereiro de 2010
Publicado no Portal Razão Contábil, recomendamos a leitura do artigo "Terceirização, sim! Mas em compliance..." de Leonardo Silva* e Nilo Rocha* ambos da Terco Grant Thornton.
Terceirização, sim! Mas em compliance...
Muito se tem falado sobre o movimento empresarial no sentido da terceirização de processos e serviços em busca de redução de custos, aumento da produtividade e da qualidade. É comum vermos empresas de diversos setores e dimensões, aderirem ao modelo de outsourcing. A forma encontrada por estas companhias tem sido transferir as atividades consideradas não estratégicas para a sua atividade fim para empresas com expertise e estrutura apropriada.
O portfólio dessas organizações é bastante diversificado, oferecendo serviços em diversas áreas de atuação. Mas, uma novidade, é que, agora, muitas companhias exigem relatórios gerenciais periódicos e (ou) a emissão de um relatório nos padrões da norma SAS70 (Statement on Audit Standard n° 70), que é uma norma de auditoria direcionada a empresas de outsourcing publicada pela AICPA (American Institute of Certified Public Accoutants), comumente aplicadas às organizações sob o contexto da lei Sarbanes-Oxley. A norma fornece diretrizes para a auditoria nas provedoras de serviços, em especial naquilo que impacta nas demonstrações contábeis ou que suporta a estrutura de processamento no que diz respeito à eficácia dos controles internos adotados.
A exigência de um maior controle surgiu a partir de duas importantes questões que preocupam as empresas que já adotaram a terceirização: 1) Como controlar e assegurar que o serviço prestado pelo terceiro está em linha com as práticas adotadas pela empresa contratada, pelas leis contábeis, trabalhistas e tributárias? 2) Essas práticas estão em compliance com órgãos regulatórios, com a Lei Sarbanes Oxley, Gerenciamento de Riscos etc?
Estas questões são de fundamental importância quando são terceirizados processos que impactam diretamente as demonstrações contábeis, como os processos financeiros, de recursos humanos (principalmente folha de pagamento), de obrigações fiscais e o próprio processo de contabilidade e geração das demonstrações contábeis. Ao terceirizar áreas de suporte, como o departamento de TI, que pode ser sistemas terceirizados, datacenters etc, também precisam ter acompanhamento e controle quanto à adequação dos seus serviços às mesmas exigências.
A exemplo da padronização internacional das leis contábeis (IFRS), o IAASB (International Auditing and Assurance Standards Board) tem liderado desde 2007 um projeto para desenvolvimento de uma norma nos moldes do SAS70, porém com abrangência internacional, intitulado ISAE 3402 (International Standart on Assurance Engagment). A norma ainda está em desenvolvimento e pretende ser adotada a partir de 2010. Dentre as propostas do órgão, a principal diferença entre ela em relação ao SAS70 é o seu escopo que pode se estender além das operações diretamente relacionadas às demonstrações contábeis.
Em ambos os casos, a certificação deve ser realizada por uma empresa de auditoria independente que, ao final dos exames dos controles internos adotados pela prestadora de serviços, emitirá um relatório endereçado aos clientes usuários do serviço descrevendo os controles internos adotados e a eficácia desses controles na operação. Os relatórios podem ser gerados em dois tipos, o tipo I e II (SAS70) e o tipo A e B (ISAE3402). O relatório a ser utilizado é definido de acordo com o objetivo e as exigências de profundidade das análises. Para atendimento a auditores externos e em caso de transações mais críticas, recomenda-se o relatório do tipo II (ou B na ISAE 3402), que descreve, além do desenho do controle, os testes de eficácia realizados. Nos demais casos, o relatório tipo I (ou A na ISAE 3402) é o mais indicado.
A terceirização de processos e serviços é uma realidade que tem trazido bons resultados às empresas. Porém, a crescente demanda por serviços cada vez mais especializados e em compliance às leis, normas e regulamentos aplicáveis, torna-se indispensável o controle e acompanhamento dos serviços prestados por terceiros. O SAS70 é uma excelente ferramenta capaz de satisfazer essa necessidade e, logo mais, assim que aprovado, o ISAE 3402 também vai cumprir esse importante papel.
*Leonardo Silva é associado da Terco Grant Thornton, onde atua na área de Tecnologia da Informação na Divisão de Serviços Especializados, e Nilo Rocha é consultor sênior.
Terceirização, sim! Mas em compliance...
Muito se tem falado sobre o movimento empresarial no sentido da terceirização de processos e serviços em busca de redução de custos, aumento da produtividade e da qualidade. É comum vermos empresas de diversos setores e dimensões, aderirem ao modelo de outsourcing. A forma encontrada por estas companhias tem sido transferir as atividades consideradas não estratégicas para a sua atividade fim para empresas com expertise e estrutura apropriada.
O portfólio dessas organizações é bastante diversificado, oferecendo serviços em diversas áreas de atuação. Mas, uma novidade, é que, agora, muitas companhias exigem relatórios gerenciais periódicos e (ou) a emissão de um relatório nos padrões da norma SAS70 (Statement on Audit Standard n° 70), que é uma norma de auditoria direcionada a empresas de outsourcing publicada pela AICPA (American Institute of Certified Public Accoutants), comumente aplicadas às organizações sob o contexto da lei Sarbanes-Oxley. A norma fornece diretrizes para a auditoria nas provedoras de serviços, em especial naquilo que impacta nas demonstrações contábeis ou que suporta a estrutura de processamento no que diz respeito à eficácia dos controles internos adotados.
A exigência de um maior controle surgiu a partir de duas importantes questões que preocupam as empresas que já adotaram a terceirização: 1) Como controlar e assegurar que o serviço prestado pelo terceiro está em linha com as práticas adotadas pela empresa contratada, pelas leis contábeis, trabalhistas e tributárias? 2) Essas práticas estão em compliance com órgãos regulatórios, com a Lei Sarbanes Oxley, Gerenciamento de Riscos etc?
Estas questões são de fundamental importância quando são terceirizados processos que impactam diretamente as demonstrações contábeis, como os processos financeiros, de recursos humanos (principalmente folha de pagamento), de obrigações fiscais e o próprio processo de contabilidade e geração das demonstrações contábeis. Ao terceirizar áreas de suporte, como o departamento de TI, que pode ser sistemas terceirizados, datacenters etc, também precisam ter acompanhamento e controle quanto à adequação dos seus serviços às mesmas exigências.
A exemplo da padronização internacional das leis contábeis (IFRS), o IAASB (International Auditing and Assurance Standards Board) tem liderado desde 2007 um projeto para desenvolvimento de uma norma nos moldes do SAS70, porém com abrangência internacional, intitulado ISAE 3402 (International Standart on Assurance Engagment). A norma ainda está em desenvolvimento e pretende ser adotada a partir de 2010. Dentre as propostas do órgão, a principal diferença entre ela em relação ao SAS70 é o seu escopo que pode se estender além das operações diretamente relacionadas às demonstrações contábeis.
Em ambos os casos, a certificação deve ser realizada por uma empresa de auditoria independente que, ao final dos exames dos controles internos adotados pela prestadora de serviços, emitirá um relatório endereçado aos clientes usuários do serviço descrevendo os controles internos adotados e a eficácia desses controles na operação. Os relatórios podem ser gerados em dois tipos, o tipo I e II (SAS70) e o tipo A e B (ISAE3402). O relatório a ser utilizado é definido de acordo com o objetivo e as exigências de profundidade das análises. Para atendimento a auditores externos e em caso de transações mais críticas, recomenda-se o relatório do tipo II (ou B na ISAE 3402), que descreve, além do desenho do controle, os testes de eficácia realizados. Nos demais casos, o relatório tipo I (ou A na ISAE 3402) é o mais indicado.
A terceirização de processos e serviços é uma realidade que tem trazido bons resultados às empresas. Porém, a crescente demanda por serviços cada vez mais especializados e em compliance às leis, normas e regulamentos aplicáveis, torna-se indispensável o controle e acompanhamento dos serviços prestados por terceiros. O SAS70 é uma excelente ferramenta capaz de satisfazer essa necessidade e, logo mais, assim que aprovado, o ISAE 3402 também vai cumprir esse importante papel.
*Leonardo Silva é associado da Terco Grant Thornton, onde atua na área de Tecnologia da Informação na Divisão de Serviços Especializados, e Nilo Rocha é consultor sênior.
Fonte: Portal Razão Contábil
Mais informações sobre SAS70 e ISAE3402 envie um e-mail para grcnews.org@gmail.com
Postado por Felipe Sanches