Normas Internacionais na Auditoria Interna 12

As Normas Internacionais para a Prática Profissional de Auditoria Interna provêm do IIA (The Institute of Internal Auditors) e contêm:

 Código de ética;

 Normas Internacionais para a Prática de Auditoria Interna;

No nosso país, este organismo é representado pelo IPAI (Instituto Português de Auditores Internos). As normas do IIA aplicam-se a nível mundial, sendo das instituições que representam este organismo nos países filiados, a responsabilidade de as traduzirem.

As Normas Internacionais para a Prática Profissional de Auditoria Interna têm orientações obrigatórias e orientações que são fortemente recomendadas. No primeiro caso enquadra- se a definição de auditoria interna, o código de ética e as próprias normas internacionais para a prática profissional de auditoria interna. No segundo caso estão as tomadas de posição, as práticas recomendadas e os guias práticos emitidos pelo IIA.

Estas normas como o próprio nome indica, aplicam-se aos auditores internos11 os quais devem utilizar o juízo profissional no decorrer da sua atividade. As normas internacionais não podem conflituar com a legislação nacional.

No que diz respeito ao código de ética, este refere como princípios fundamentais e regras de conduta, os quais são obrigatórios sendo o não cumprimento penalizado com sanções disciplinares, e que são:

 A integridade;

 A objetividade;

 A confidencialidade; e

 A competência.12

No ponto 1.3.3 do Anexo 1 encontra-se esquematizado a estrutura conceptual (Professional Practice Framework) que deve ser considerada no exercício da profissão de auditor interno e a qual foi elaborada pelo IIA.

As normas internacionais para a prática profissional de auditoria interna de práticas recomendadas, dividem-se em:

 Normas de atributos, que se encontram na série 1000, e dizem respeito às

características das empresas e das pessoas que exercem a auditoria interna;

11

Neste sentido, auditores internos são os membros do IIA, tanto os detentores como os candidatos de certificação profissional como também os auditores que exercem auditoria interna no âmbito da definição de auditoria interna do IIA.

12 _{Para mais informações sobre os princípios e regras de conduta ver ponto 1.3.1 e no ponto 1.3.2 do Anexo 1}

 Normas de desempenho, estão na série 2000, e focam a natureza das atividades de auditoria interna como também facultam critérios para a avaliação da qualidade do seu desempenho;

 Normas de implementação, que se aplicam às normas de atributo e de desempenho

aquando a execução de trabalhos concretos de auditoria ou de consultoria, como

por exemplo: investigação à fraude.13

O risco em auditoria

Como já referi anteriormente, o auditor interno também participa no processo de identificação e avaliação dos riscos subjacentes à concretização dos objetivos da empresa. Antes de mais, convém clarificar o que se entende por risco. Este pode ser definido como a probabilidade de ocorrência de um acontecimento ou ação com consequências adversas para a empresa. A gestão do risco, incluindo a conceção e manutenção do processo de gestão do risco é da competência do órgão de gestão. Sendo da responsabilidade da auditoria interna a avaliação da adequação do processo de gestão de risco podendo assumir também um papel de consultadoria no processo de implementação da gestão do risco. Os auditores internos, ao planear uma auditoria, para além de avaliar o tipo de risco, avaliam principalmente, quanto é que esse risco representa bem como todos os riscos relativos, procurando assim resposta para duas questões: quanto representa a perda potencial; e qual a probabilidade da perda acontecer.

Para a classificação do risco conta principalmente a experiência do auditor e a informação recolhida pela gestão e/ou de outras fontes. Deverá ser elaborada uma matriz de risco, por área e por tipo de risco, ponderando na quantificação o valor estimado.

O risco estimado é calculado com base na seguinte fórmula: (1) Sendo:  RE – Risco estimado  VE – Valor estimado  PO – Probabilidade de ocorrência

A salientar ainda que quanto mais eficaz fôr o controlo interno menor será a probabilidade de ocorrência.

Ao estimar-se matematicamente o risco é possível fazer uma hierarquização das prioridades a estabelecer no plano de trabalhos para um determinado período de tempo.

Neste sentido, convém ter em consideração a ISA14 315 - Identificar e Avaliar os Riscos de

Distorção Material por Meio da Compreensão da Entidade e do seu Ambiente15.

ISA 315 - Identificar e Avaliar os Riscos de Distorção Material por Meio da Compreensão da Entidade e do seu Ambiente

De acordo com a ISA 315 o objetivo do auditor, segundo a norma, é “(…) identificar e

avaliar os riscos de erros materialmente relevantes de falsos relatos, quer devido a fraude quer devido a erros, nos relatórios financeiros e nos níveis de asserção16, através da compreensão da entidade e do seu ambiente, incluindo do seu controlo interno, e com isso

14 _{ISA – International Standard on Auditing} 15

Esta norma é aplicada às auditorias aos relatórios de informação financeira feitas a partir de 15 de Dezembro de 2009,inclusive.

16 _{De acordo com a ISA 315, asserções são interpretações da administração/direção que estão incluídas nos}

relatórios financeiros assim como são utilizadas pelo auditor para considerar os diferentes tipos de potenciais falsos relatos que possam acontecer.

providenciando as bases para o plano e a implementação das respostas aos riscos avaliados materialmente relevantes de falsos relatos.”17

Esta norma vem a estabelecer os requisitos que devem ser observados neste âmbito, nomeadamente: os procedimentos de avaliação do risco e atividades relacionadas; a compreensão requerida da empresa e do seu ambiente, incluindo o seu controlo interno; a identificação e avaliação dos riscos de falsos relatos materialmente relevantes; e documentação.

No que diz respeito aos procedimentos de avaliação do risco e atividades relacionadas refere que o auditor deve realizar procedimentos de avaliação de risco para que estes sirvam como base para a identificação e avaliação dos riscos materialmente relevantes de existirem falsas informações financeiras e em vários níveis de asserção. Os procedimentos devem incluir indagações várias e a vários níveis hierárquicos, consoante julgamento do

auditor; procedimentos analíticos 18 podendo abranger informação financeira e não

financeira, os quais poderão contribuir para a identificação de operações e eventos não

usuais; como também observações e inspeções19.

Caso o auditor pretenda utilizar informação de uma auditoria anterior, a norma vem a chamar a atenção para que nestas situações, o auditor terá de ter em consideração eventuais mudanças que tenham acontecido desde essa data, pois poderá ter ocorrido desde então acontecimentos e eventos que tenham tido (ou que venham a ter) impacto na informação financeira.

Relativamente ao segundo requisito, compreensão requerida da empresa e do seu ambiente, incluindo o seu controlo interno, a ISA 315 menciona que o auditor deve obter o entendimento sobre: fatores relevantes a nível de indústria20, regulamentação21 e outros22, incluindo sobre o relatório financeiro.

17 _{Tradução livre da ISA 315}

18 _{Por exemplo, os rácios poderão ajudar a identificar matérias relevantes e que devem ser consideradas na}

auditoria.

19 _{Exemplos de observações e inspeções: às operações da empresa; a documentos e manuais de controlo}

interno.

20 _{Exemplo de fatores de indústria: o mercado e a concorrência (incluindo a procura, capacidade e o preço),}

Por outro lado, o auditor de modo a compreender as operações, os balanços contabilísticos e as divulgações que são esperadas dos relatórios financeiros, terá de entender a natureza da empresa. Para isso, terá de compreender as operações da entidade (como por exemplo: as fases e métodos de produção, atividades de investigação e desenvolvimento, a natureza das fontes de receitas, produtos ou serviços), as suas estruturas de governação e de propriedade, os tipos de investimento feitos pela entidade como também os planos que tem para futuros investimentos (como por exemplo: aquisições e desinvestimentos efetuados, investimentos e dispositivos de segurança e empréstimos, atividades de investimento de capital), a forma como a entidade se encontra estruturada e como é gerida as suas finanças (como por exemplo a estrutura das dividas).

Outro ponto que terá de ser tido em conta diz respeito à seleção e aplicação das políticas contabilísticas da empresa, bem como as razões para que tenha existido mudança nestas. Neste âmbito o auditor deve avaliar se as políticas são as apropriadas para a empresa, se são consistentes com o aplicável ao relatório financeiro e com as políticas contabilísticas adotadas em indústria relevante.

Para além disto, o auditor terá de considerar os objetivos e estratégias definidos pela empresa e como estes estão relacionados com os riscos do negócio que podem resultar em riscos materialmente relevantes de falsos relatos. Também terá de avaliar e rever o desempenho da entidade.

Referente à compreensão do controlo interno da empresa, a norma começa por chamar a atenção sobre o facto de apesar de provavelmente a maioria dos controlos relevantes para auditar estejam relacionados com informação financeira, não serão todos, sendo da responsabilidade do auditor ao fazer o seu julgamento profissional avaliar se os controlos, individuais ou em combinação com outros, são relevantes para a auditoria. Uma vez tendo o conhecimento sobre os controlos relevantes, o auditor deverá proceder à avaliação sobre o planeamento desses controlos e determinar como é que foram implementados, desenvolvendo para isso procedimentos adicionais para inquirir o pessoal da empresa.

21 _{Exemplos de fatores relacionados com a regulamentação: princípios contabilísticos e práticas especifica}

industriais, legislação e regulamentação aplicável à empresa, tributação.

Sendo assim, o auditor terá de conhecer e compreender as diversas componentes do controlo interno, isto é: ambiente de controlo, o processo de avaliação do risco, os sistemas de informação e de comunicação, as atividades de controlo relevantes e a supervisão dos controlos.

Na componente de ambiente de controlo o auditor deverá avaliar se a gestão concebeu e

manteve uma cultura de honestidade e de comportamento ético.23

No processo de avaliação de risco da empresa, o auditor deverá entender se a empresa tem um processo que permita identificar os riscos de negócio relevantes para os objetivos de relato financeiro; para estimar a significância dos riscos; para a avaliação da probabilidade da sua ocorrência e para decidir sobre as ações para expressar esse risco.

Também os sistemas de informação, incluindo os relacionados com os processos do negócio, relevantes para o relato de informação financeira devem ser considerados pelo auditor. Neste sentido, o auditor terá de considerar as seguintes áreas:

 As classes de transações que assumem relevância na informação financeira;

 Os procedimentos, tanto os dos sistemas de tecnologias de informação como os

manuais, através dos quais essas operações são iniciadas, registadas, processadas, corrigidas quando necessário, transferidas para o Razão e relatadas nos relatórios financeiros;

 Como os sistemas de informação capturam eventos e condições, para além das

transações, que sejam relevantes para os relatórios financeiros;

 O processo de relato financeiro utilizado para preparar os relatórios da empresa, incluindo as estimativas contabilísticas significativas.

Já para o auditor obter o entendimento sobre as atividades de controlo relevantes a auditar, irá basear-se no seu julgamento profissional. Portanto, serão aquelas que ele achar necessário compreender de modo a avaliar os riscos materialmente relevantes de falsos relatos ao nível das asserções. Deverá ainda delinear mais procedimentos de auditoria de forma a dar resposta aos riscos avaliados. Também deverá compreender como é que a empresa responde aos riscos que surgem das tecnologias de informação.

Na componente de supervisão dos controlos, o auditor deverá entender a maioria das atividades utilizadas pela empresa para monitorizar o controlo interno referente ao relato financeiro, incluindo os relacionados com as áreas consideradas relevantes a auditar, assim como é que a empresa inicia as ações para corrigir as deficiências nos controlos. Outro aspeto a considerar pelo auditor nesta componente são as fontes de informação utilizadas pela empresa no âmbito das atividades de supervisão e as bases consideradas pela administração e direção para considerarem a informação suficientemente fiável.

No que diz respeito à identificação e avaliação dos riscos de falsos relatos materialmente relevantes, a ISA 315 refere que o auditor deve ter em conta tanto a parte financeira como das asserções relativamente às transações, balanços contabilísticos e de divulgação, de modo a proporcionar bases e a favorecer o planeamento e o desempenho de procedimentos de auditoria. Neste sentido, o auditor deve:

 Identificar riscos por todo o processo de obtenção de dados sobre o ambiente da entidade e a sua compreensão;

 Avaliar os riscos identificados;

 Relacionar os riscos identificados ao que poderá suceder de errado ao nível das asserções, tendo em conta os controlos relevantes que o auditor pretende testar; e  Considerar a probabilidade de erros, incluindo a possibilidade de ocorrência de

múltiplos erros.

Sobre a identificação e avaliação de riscos, a norma ainda divide os riscos em três categorias: riscos que requerem considerações especiais por parte do auditor, riscos para os quais só os procedimentos substantivos não fornecem prova apropriada e suficiente, e a revisão da avaliação do risco.24

Em todas as etapas o auditor terá de reunir documentação, estando mencionado na ISA 315 o que deverá ser incluído.

Finalmente, à ainda a ter presente que a norma 315 deve ser conjugada com a ISA 20025 do IFAC que foca os requisitos éticos que o auditor deverá respeitar nos seus relatórios financeiros, o ceticismo, o julgamento profissional, a prova apropriada e suficiente em auditoria, a auditoria ao risco como também aborda a conduta do auditor.