COMUNICADO TÉCNICO IBRACON Nº 003, DE 17.04.2009
Circular SUSEP nº 344, de 21.06.2007
Dispõe sobre os controles internos específicos para a prevenção contra fraudes.
1. Objetivo
Em 21 de junho de 2007, a Superintendência de Seguros Privados emitiu a Circular SUSEP nº 344/2007, que dispõe sobre os controles internos específicos para a prevenção contra fraudes, para serem desenvolvidos e implementados pelas sociedades, requerendo, também, que sejam validados anualmente pela auditoria interna e objeto de procedimentos efetuados por auditores independentes com a elaboração de relatório circunstanciado pelos auditores independentes.
Os procedimentos de revisão e relatório a serem efetuados pelo auditor independente, para atender ao requerimento da Circular SUSEP 344/2007, devem seguir a "Norma e Procedimentos de Asseguração 1 (NPO 1)" que trata de Trabalhos de Asseguração que não sejam de Auditoria ou de Revisão de Informações Financeiras Históricas, emitida pelo IBRACON, em outubro de 2007. Deve ser considerado que pronunciamento de igual teor consta da Resolução CFC nº 1160/09, de 13 de fevereiro de 2009, do Conselho Federal de Contabilidade, que aprovou a NBC TO 01 - Trabalho de Asseguração Diferente de Auditoria e Revisão (3000).
Tendo em vista que a Circular SUSEP n° 344/2007 requer a realização de uma primeira revisão até o final de abril de 2009, o IBRACON divulga este Comunicado Técnico aos seus associados contendo os procedimentos mínimos para a realização dessa primeira revisão por parte dos auditores independentes.
2. Síntese do requerimento da Circular SUSEP n° 344/2007:
O artigo 4º da referida Circular trata da exposição das sociedades (para fins do disposto na Circular SUSEP nº 344/2007, consideram-se sociedades: sociedades seguradoras e de capitalização e as entidades abertas de previdência complementar) ao risco de serem envolvidas em situações relacionadas à fraude e determina que as sociedades desenvolvam estudos sobre essa exposição, principalmente com relação aos produtos comercializados e suas práticas operacionais.
Esses estudos deverão abranger todos os produtos comercializados pela sociedade e deverão ser objeto de revisões anuais pela auditoria interna.
De acordo com o Art. 5º da Circular SUSEP 344, as sociedades deverão desenvolver e implementar, na forma da legislação vigente, estrutura de controles internos específicos, a ser validada pela auditoria interna, para tratar dos riscos identificados. De acordo com o Art. 6º da Circular SUSEP 344/2007, a estrutura de controles internos específicos para tratar dos riscos identificados, a ser validada pela auditoria interna deve contemplar, no mínimo, os itens que constam dos incisos I, II, III, IV, V e VI do referido artigo.
De acordo com o Art. 7º da referida circular, as sociedades devem enviar à SUSEP, até 30 de abril do exercício subseqüente, relatório circunstanciado, elaborado por auditores independentes, sobre:
a) os critérios adotados pela sociedade para avaliação da exposição ao risco de serem envolvidas em situações relacionadas à fraude de que trata o artigo 4º da referida circular (Art. 4º - As sociedades deverão, no prazo constante do Art. 9º (as sociedades terão até 1º de julho de 2008 para adequar suas estruturas de controles internos ao disposto na referida circular), desenvolver estudos sobre riscos de ser objeto de fraudes, principalmente com relação aos produtos comercializados e suas práticas operacionais); e
b) a adequação, aos riscos existentes, tantos dos critérios elaborados quanto dos procedimentos implementados pela administração.
Este Instituto entende que os critérios referidos pela SUSEP correspondem às políticas e procedimentos adotados pela administração em resposta aos requerimentos da Circular SUSEP nº 249, sobre implantação e implementação do sistema de controle interno das sociedades reguladas.
3. Natureza dos trabalhos a serem executados pelo auditor independente
Os trabalhos deverão ser executados com base na "Norma e Procedimentos de Asseguração-NPO n° 1" emitida pelo IBRACON.
Os elementos dos trabalhos de asseguração e a forma como eles estão presentes nos serviços, requeridos pela citada Circular, são assim resumidos:
- Relação de três partes: integrada pelos (i) usuários previstos (a administração da sociedade e o órgão regulador), (ii) pela parte responsável (a administração da sociedade) e (iii) pelo auditor independente.
- Objetos: nos termos do artigo 7º da Circular SUSEP n° 344/2007 são objetos do trabalho do auditor independente: (1) o estudo desenvolvido pela administração da sociedade sobre o risco dela ser envolvida em situações relacionadas à fraude, principalmente com relação aos produtos comercializados e suas práticas operacionais, validados pela auditoria interna, conforme requerido pela citada circular e (2) adequação, aos riscos existentes, tanto dos critérios considerados quanto dos procedimentos implementados pela administração da sociedade.
- Critérios: a regulamentação emitida pela SUSEP não estabelece critérios específicos para a avaliação do objeto; todavia, a Circular SUSEP Nº 249/2004 que dispõe sobre a implantação e implementação de sistema de controles internos nas sociedades seguradoras e demais entidades reguladas, estabelece as responsabilidades da administração e os elementos mínimos do sistema de controles internos. Essa circular já havia determinado que os controles internos, independentemente do porte da sociedade, devem ser efetivos e consistentes com a natureza, complexidade e risco das operações realizadas.
Considerando-se as circunstâncias acima descritas, o relatório a ser emitido pelo auditor independente deve destinar-se exclusivamente para uso da administração da sociedade e pela SUSEP (órgão regulador) para o atendimento da Circular SUSEP n° 344/2007, não sendo permitida sua divulgação a terceiros, pois poderia suscitar dúvidas e originar interpretações errôneas por parte de pessoas que desconhecem os objetivos, critérios e limitações dos procedimentos desenvolvidos pelo auditor independente.
Dado o estágio de implementação e maturidade da estrutura, dos sistemas e dos procedimentos relacionados à prevenção à fraude e das conseqüentes limitações inerentes ao sistema de controle interno, dos trabalhos requeridos e de seu objetivo, os trabalhos devem ser desenvolvidos para que o auditor independente obtenha uma segurança limitada sobre os requerimentos que constam do Art. 7º da Circular SUSEP n° 344/2007, quais sejam: (a) critérios adotados pela administração das sociedades, para avaliação da exposição ao risco de serem objeto de fraudes, principalmente com relação aos produtos comercializados e suas práticas operacionais; e (b) adequação, aos riscos existentes, tanto dos critérios elaborados quanto dos procedimentos implementados.
Em conexão com o referido trabalho, e em consonância com o determinado nos itens 38 a 40 da NPO 1 deve ser obtida junto à administração da sociedade, carta de representação, elaborada de acordo com as disposições do Conselho Federal de Contabilidade.
4. Procedimentos a serem considerados e executados pelo auditor independente
O auditor independente deverá obter um entendimento das principais políticas e procedimentos adotados pela sociedade para o desenvolvimento dos estudos sobre os riscos de a sociedade ser envolvida em situações relacionadas à fraude e comparar os mesmos com o marco conceitual implementado em resposta à Circular SUSEP Nº 249 acima referida, considerando se o estudo:
a) incluiu a totalidade dos produtos comercializados pela sociedade;
b) foi objeto de trabalhos pela auditoria interna, dentro do prazo estabelecido pela Circular (Art. 9º da referida circular - as sociedades terão até 1º de julho de 2008 para adequar suas estruturas de controles internos) e incluiu todas as alterações formuladas por esta;
c) foi formalmente aprovado pela administração;
d) foi adequadamente documentado e é mantido de forma organizada e à disposição da SUSEP.
5. Resultado dos trabalhos
Como resultado dos trabalhos, o auditor independente deve emitir relatório específico, com obediência aos requerimentos constantes do item 49 da NPO 1, com consideração especial ao contido nos itens 50 a 53 da citada NPO 01.
Para que seja possível a execução dos trabalhos, o auditor independente deverá receber da sociedade e anexar ao seu relatório, uma descrição detalhada:
a) das políticas e procedimentos adotados pela sociedade para avaliação de sua exposição ao risco de ser envolvida em situações relacionadas à fraude, principalmente com relação aos produtos comercializados e suas práticas operacionais;
b) dos riscos identificados de envolvimento da sociedade em situações relacionadas à fraude; e
c) dos critérios adotados e dos procedimentos implementados para a identificação dos riscos.
No anexo a seguir deste Comunicado Técnico inclui-se modelo de relatório elaborado com base nos comentários acima, que deverá ser modificado conforme as circunstâncias e resultados dos trabalhos.
São Paulo, 17 de abril de 2009.
Ana Maria Elorrieta
Presidente da Diretoria Nacional
Wanderley Olivetti
Diretor Técnico
XYZ Companhia de Seguros
Relatório dos auditores independentes sobre a Asseguração Limitada - Art. 7º da Circular nº 344/2007 da Superintendência de Seguros Privados - SUSEP para o Exercício Findo em 31 de dezembro de 2008
Aos
Acionistas e. Administradores da XYZ Companhia de Seguros
São Paulo - SP
1 Revisamos o estudo desenvolvido pela administração da XYZ Companhia de Seguros (“Sociedade”) para a data base de ____ de ________ de 200X, sobre a avaliação da exposição ao risco de ser objeto de fraudes, principalmente com relação aos produtos comercializados e suas práticas operacionais, de acordo com os procedimentos mínimos descritos no Anexo I, elaborados especificamente para atendimento às exigências da Circular SUSEP nº 344/2007, da Superintendência de Seguros Privados (SUSEP), no contexto da estrutura de controles internos específicos para a prevenção de fraude. A responsabilidade pela elaboração do referido estudo, desenvolvimento e a implementação desses controles específicos é da administração da XYZ Companhia de Seguros. Nossa responsabilidade é a de emitir relatório de asseguração limitada como resultado de nosso trabalho.
2 Nosso trabalho foi conduzido de acordo com as normas brasileiras sobre trabalhos de asseguração (assurance) que não sejam de auditoria ou de revisão de informações financeiras históricas, emitidas pelo Conselho Federal de Contabilidade (NBC TO 01) e pelo Ibracon - Instituto dos Auditores Independentes do Brasil (NPO 01). Esses procedimentos, conforme descritos no Anexo II, compreenderam, principalmente, a obtenção do entendimento das principais políticas e procedimentos adotados pela administração da sociedade no contexto do marco conceitual implementado em resposta à Circular SUSEP nº 249/2004 relativa à implantação e implementação do sistema de controles internos específicos para o tratamento do risco da sociedade ser objeto de fraudes, principalmente com relação aos produtos comercializados e suas práticas operacionais. Esses procedimentos foram considerados suficientes para permitir um nível de segurança limitada e, por conseguinte, não contemplam aqueles que poderiam ser requeridos para fornecer segurança razoável.
3 Com base nos procedimentos mencionados no parágrafo 2, não temos conhecimento de nenhum fato relevante que nos levasse a acreditar que o estudo desenvolvido pela administração da XYZ Companhia de Seguros sobre o risco de ser objeto de fraudes, principalmente com relação aos produtos comercializados e suas práticas operacionais, não estejam adequados em relação aos critérios por ela estabelecidos no contexto do marco conceitual adotado em resposta à Circular SUSEP nº 249 relativa à implantação e implementação do sistema de controle interno, de acordo com os procedimentos mínimos descritos no Anexo I deste relatório [modificar o relatório caso deficiências relevantes chegarem ao conhecimento do auditor, incluindo descrição do fato em um parágrafo anterior].
4 O presente relatório destina-se exclusivamente para utilização da administração da XYZ Companhia de Seguros e da SUSEP, não sendo destinado a outras partes que não tenham responsabilidade sobre as disposições da Circular SUSEP nº 344/2007, cabendo observar que a análise histórica das atividades relacionadas com essa avaliação de risco pode não ser relevante para períodos futuros, devido ao risco dos procedimentos se tornarem insuficientes, em decorrência de mudança de condições ou da eventual diminuição do grau de cumprimento das diretrizes e procedimentos.
São Paulo, XX de xxxxx de 200X
ANEXO I AO RELATÓRIO DO AUDITOR INDEPENDENTE SOBRE ASSEGURAÇÃO LIMITADA
Procedimentos mínimos para avaliação da adequação do estudo desenvolvido pela administração da XYZ Companhia de Seguros para a data base de ____ de ________ de 200X, sobre a avaliação de exposição ao risco de ser objeto de fraudes, principalmente com relação aos produtos comercializados e suas práticas operacionais elaborados especificamente para atendimento às exigências da Circular SUSEP nº 344/2007, no contexto da estrutura de controles internos específicos para a prevenção de fraude.
1. A Sociedade deve desenvolver estudo sobre o risco de ser objeto de fraudes, principalmente com relação aos produtos comercializados e suas práticas operacionais. O estudo deve abranger todos os produtos comercializados e serão validados anualmente pela auditoria interna (Ver no Anexo III, relatório elaborado sob responsabilidade da administração da Sociedade, datado de xx de xxxx de 20xx, sumariando os estudos citados no item 2 a seguir).
2. O estudo desenvolvido pela Sociedade deve contemplar, no mínimo, os seguintes itens:
a) estabelecimento de uma política de prevenção, detecção e correção de fraudes que inclua diretrizes sobre o oferecimento de notícias de práticas de fraudes aos órgãos de repressão, bem como sobre avaliação de riscos na contratação de funcionários e no desenvolvimento de produtos;
b) elaboração de critérios e implementação de procedimentos de identificação de riscos de fraude referentes a produtos e procedimentos realizados pelas sociedades e de manutenção de registros referentes a esses produtos e procedimentos, a notícias de práticas de fraudes comunicadas aos órgãos de repressão e a condenações judiciais resultantes dessas notícias;
c) manualização e implementação dos procedimentos de prevenção, monitoração e identificação de fraudes;
d) extensão dos procedimentos de prevenção, monitoração e identificação de fraudes a pessoas com as quais mantenham relacionamento comercial, principalmente com relação aos produtos comercializados e suas práticas operacionais;
e) elaboração e execução de programa de treinamento contra fraudes para os funcionários e pessoas com as quais mantenham relacionamento comercial
f) elaboração e execução de programa de auditoria interna que verifique o cumprimento dos procedimentos referidos nos itens (b) a (e) acima.
g) a indicação de um diretor responsável pelo cumprimento das disposições da Circular SUSEP nº 344/2007.
ANEXO II AO RELATÓRIO DO AUDITOR INDEPENDENTE SOBRE ASSEGURAÇÃO LIMITADA
Procedimentos de revisão do estudo desenvolvido pela administração da XYZ Companhia de Seguros para a data base de ____ de ________ de 200X, sobre a exposição ao risco de ser objeto de fraudes, principalmente com relação aos produtos comercializados e suas práticas operacionais elaborados especificamente para atendimento as exigências da Circular SUSEP nº 344/2007, considerados e executados pelo auditor independente
Principais procedimentos de revisão para asseguração limitada
1. Obter entendimento das principais políticas e procedimentos adotados pela Seguradora para avaliação de sua exposição ao risco de ser objeto de fraudes, principalmente com relação aos produtos comercializados e suas práticas operacionais e comparar os mesmos com o marco conceitual implementado em resposta à Circular SUSEP nº 344, indagando se o estudo incluiu e/ou considerou os critérios mencionados no Anexo I:
2. Para os principais produtos comercializados, obter estudos elaborados pela Administração da Sociedade (Ver Anexo III, cópia do estudo elaborado sob a responsabilidade da Administração da Sociedade) e verificar se:
a. Contempla uma descrição do produto e seus respectivos principais processos operacionais que são suscetíveis ao risco de fraude (exemplo: produto-seguro de automóveis versus processo operacional suscetível a fraude- regulação do sinistro);
b. Contemplam aspectos e/ou fazem referências à documentação suporte relativos a:
- Políticas e procedimentos existentes para prevenção contra riscos de fraudes identificadas nos processos operacionais, incluindo, no mínimo, procedimentos descritos no Anexo I
- Elaboração de critérios para identificação de riscos de fraudes referentes a produtos e procedimentos (exemplo: sistema de alerta de indicadores de exceções observado em processos operacionais que diferem dos padrões históricos ou toleráveis)
- Aspectos relacionados à forma de manualização e implementação dos procedimentos de prevenção, monitoração, (exemplo: relatórios de sinistros suspeitos), identificação e comunicação de prática de fraudes (exemplo: relatórios de fraude detectada e comunicação efetuada à FENASEG)
- Estabelecimento de uma política de treinamentos formais para funcionários.
- Extensão de procedimentos de prevenção, monitoração e identificação de fraudes a pessoas com as quais mantenham relacionamento comercial (exemplo: disponibilização de treinamento formal,)
- Elaboração e execução de um programa de auditoria interna que verifique o cumprimento dos procedimentos referidos nos itens 2(b) a (2(e), do Anexo I.
c. Foi objetivo de validação pela Auditoria Interna.
d. Os estudos e/ou políticas e procedimentos foram aprovados pela administração da Sociedade.
3. Obter evidências formais da indicação de um diretor responsável pelo cumprimento das disposições que constam da Circular SUSEP nº 344/2007.
