C OMPONENTES DO C ONTROLO INTERNO

De acordo com a DRA 410 e com a ISA 315 o controlo interno é constituído por 5 componentes principais (International Federation of Accountants, 2018; OROC, 2000), sendo estes:

• Ambiente de controlo;

• Avaliação de risco;

• Procedimentos de controlo;

• Informação e comunicação;

• Monitorização.

Figura 5- Componentes do Controlo Interno

Nota: Elaboração própria.

Ambiente de controlo

Segundo a DRA 410 o ambiente de controlo corresponde à atitude geral, consciencialização e ações dos órgãos de gestão das organizações que dizem respeito ao sistema de controlo interno e que ditam a sua importância, influenciando dessa maneira a consciência de controlo de todo o pessoal da organização (OROC, 2000).

Também a ISA 315 defende que o ambiente de controlo interno corresponde às funções de governação e às atitudes, práticas e sensibilização da gestão das organizações no que diz respeito ao controlo interno da entidade, o que se traduz na sensibilização do restante pessoal das entidades nestas mesmas matérias (International Federation of Accountants, 2018).

A ISA 315 identifica ainda alguns elementos do ambiente de controlo mais relevantes (International Federation of Accountants, 2018), sendo estes:

• Comunicação e imposição de integridade e valores éticos: elementos essenciais que influenciam a eficácia dos controlos;

• Compromisso e competência: Consideração por parte da gerência dos níveis de competência para a realização de determinadas tarefas e de que forma esses níveis se traduzem em capacidade e conhecimentos considerados essenciais;

• Participação dos encarregados da governação: Atributos como a independência da gerência, a sua experiência e reputação, o seu envolvimento, informação que recebem e escrutínio das atividades, e a adequação das suas ações;

• Filosofia e estilo de atuação da gerência: Características como a abordagem e aceitação de riscos inerentes ao negócio, atitudes e ações relacionadas com o relato

financeiro e atitudes em relação a funções e pessoal que processa e comunica a informação financeira;

• Estrutura organizacional: Quadro onde são planeadas, executadas e controladas as atividades da organização;

• Atribuição de autoridade e responsabilidade: A forma como são atribuídas a autoridade e responsabilidade das atividades operacionais assim como a forma como é estabelecida a hierarquia de relacionamentos e autorizações;

• Políticas e práticas de recursos humanos: Políticas e práticas relacionadas com o recrutamento, orientação, formação, avaliação, aconselhamento, promoção, retribuição e ações corretivas.

É igualmente importante, segundo a DRA 410 que o auditor ou revisor obtenha conhecimento relativo e suficiente ao ambiente de controlo da entidade, para que possa compreender as atitudes e ações praticadas pela gestão das entidades, devendo focar-se essencialmente na sua substância e não na sua forma, uma vez que os controlos podem não produzir os efeitos para os quais foram criados (OROC, 2000).

Avaliação de risco

Segundo a DRA 410 a avaliação do risco passa por identificar e analisar os riscos que ameaçam o cumprimento de objetivos e de que forma estes mesmos riscos devem ser geridos assim como, os riscos que possam de alguma forma afetar a preparação das demonstrações financeiras (OROC, 2000).

Da mesma forma a ISA 315 defende que o processo de avaliação dos riscos é a base a partir da qual a gerência identifica os riscos mais importantes a gerir, sendo por isso essencial identificar se esse processo é apropriado às circunstâncias, natureza, dimensão e complexidade da organização (International Federation of Accountants, 2018).

Segundo a DRA 410 os riscos mais importantes que possam afetar o adequado relato financeiro podem apresentar natureza interna ou externa à organização e podem afetar a capacidade da entidade para registar, processar, resumir e relatar a informação financeira (OROC, 2000).

Estes riscos podem surgir a partir de:

• Novas linhas de produtos ou atividades;

• Reestruturação de sociedades;

• Operações no estrangeiro;

• Normas contabilísticas.

Tal como acontece em relação ao ambiente de controlo, o revisor ou auditor deve também obter conhecimento relativo ao processo de avaliação de risco da entidade, para que dessa forma possa compreender de que forma a gestão define quais os riscos relevantes definidos pela entidade relativos ao cumprimento de objetivos de relato financeiro assim como as medidas a tomar para gerir esses mesmos riscos (OROC, 2000).

Procedimentos de controlo

A DRA 410 define procedimentos de controlo como políticas e procedimentos que asseguram que as diretrizes criadas pela gestão são cumpridas e asseguram que são tomadas as ações essenciais para gerir riscos (OROC, 2000). Os procedimentos de controlo são aplicados nas organizações a níveis funcionais e apresentam diversos objetivos, geralmente são políticas e procedimentos respeitantes a:

• Análises de desempenho: Pode incluir análise orçamental, previsões e desempenhos de períodos anteriores, relaciona a informação operacional e financeira e ainda a análise do desempenho funcional ou operacional (Vicêncio, 2015);

• Processamento de Informação: Tem o objetivo de verificar a exatidão, plenitude e autorização de transações, podendo ser dividida em dois grupos, os controlos gerais e as aplicações de controlo. Os controlos gerais incidem em operações do

centro de dados, como as aquisições de software, a segurança e acesso e sistemas de aplicação de desenvolvimento e manutenção. As aplicações de controlo incidem sobre o processamento de aplicações individuais, para assegurar a validade das transações e se estas são devidamente autorizadas e processadas (Vicêncio, 2015);

• Controlos físicos: Envolvem a segurança de ativos, a autorização para acesso a programas de computador e ficheiros de dados assim como a contabilização periódica das quantidades existentes em registos de controlo (Vicêncio, 2015);

• Segregação de funções: Atribuição de responsabilidades e poderes de autorização e registo de transações a pessoas diferentes, evitando dessa maneira a ocorrência de erros ou irregularidades no exercício dessas funções (Vicêncio, 2015).

Já ISA 315 define processos ou atividades de controlo interno como políticas e procedimentos que ajudam a assegurar as diretrizes da gerência. Divide as atividades de controlo em duas categorias, tanto no âmbito dos sistemas de tecnologias de informação como no âmbito dos sistemas manuais, sendo estas aplicadas aos diferentes níveis organizacionais e funcionais das entidades (International Federation of Accountants, 2018). As atividades de controlo são aplicadas a elementos como:

É também importante que o revisor ou auditor compreenda quais os procedimentos de controlo relevantes para que possa desempenhar as suas funções, percebendo dessa forma se é ou não necessário dedicar especial atenção a certos procedimentos de controlo (OROC, 2000).

Informação e Comunicação

Segundo a DRA 410 os sistemas de informação relevantes para cumprir os objetivos de relato financeiro incluem o sistema contabilístico, constituído pelas tarefas de registo, processamento, resumo e relato das transações da organização.

Estes sistemas devem manter informação credível relativa ao ativo, passivo e capitais próprios, estando diretamente ligada com a capacidade que a gestão tem para tomar decisões apropriadas relativas ao controlo da entidade e da produção de informação verdadeira e apropriada (OROC, 2000).

Esta diretiva diz-nos ainda que o revisor/auditor deve possuir conhecimento relativo ao sistema de informação suficiente para compreender as classes de transação das operações relevantes para as demonstrações financeiras, como e onde são iniciadas as transações, os registos contabilísticos, documentos de suporte e contas especificas das demonstrações financeiras, o processo de contabilização envolvido desde o inicio de uma transação até à sua conclusão e o esquema de relato financeiro usado para preparar as demonstrações financeiras da organização, que devem incluir as estimativas contabilísticas relevantes e divulgações (OROC, 2000).

Também a ISA 315 defende que os sistemas de informação relevantes para os objetivos de relato financeiro, incluem o sistema contabilístico e consistem em procedimentos e registos concebidos para (International Federation of Accountants, 2018):

• Iniciar, registar, processar e relatar transações da entidade, assim como manter a responsabilidade pelos ativos, passivos e capital próprio;

• Resolver o processamento incorreto de transações, como ficheiros automáticos em suspenso e procedimentos para limpar itens em suspenso em tempo oportuno;

• Processos e registos de casos em que o sistema é derrogado ou os controlos são contornados;

• Transferir informação dos sistemas de processamentos de transações para o razão geral;

• Recolher informação relevante para o relato financeiro relativamente a acontecimentos e condições diferentes de transações, por exemplo depreciações e a amortizações de ativos, assim como alterações em contas a receber;

• Assegurar que a informação financeira é acumulada, registada, processada, resumida e adequadamente relatada nas demonstrações financeiras.

Monitorização

De acordo com a DRA 410 a monitorização é o processo que avalia a qualidade e desempenho do controlo interno, envolvendo a avaliação da criação e do consequente funcionamento dos controlos internos regularmente, para que dessa maneira seja possível identificar possíveis falhas e ações corretivas a serem tomadas. Para este processo ter sucesso deve ser mantida uma monitorização constante e permanente dos procedimentos, podendo ser executada por auditores internos ou mesmo pelo pessoal da empresa. Os procedimentos de monitorização podem ser feitos com comunicação com entidades externas (OROC, 2000).

Segundo a ISA 315 a monitorização de controlos é:

(…) um processo que se destina a avaliar a eficácia do desempenho do controlo interno ao longo do tempo. Envolve a avaliação da eficácia dos controlos em tempo oportuno e a tomada das necessárias medidas corretivas. O órgão de gestão monitoriza os controlos através de atividades correntes, de avaliações separadas ou de uma combinação das duas. As atividades de monitorização correntes são muitas vezes inseridas nas atividades recorrentes normais de uma entidade e incluem atividades regulares de gestão e de supervisão (International Federation of Accountants, 2018, p.348).

A DRA 410 evidencia que é também importante que o revisor ou auditor tome conhecimento suficiente em relação aos processos de monitorização utilizados pela entidade relativos ao controlo interno sobre o relato financeiro e de que forma esses processos são utilizados para iniciar ações corretivas (OROC, 2000).