IPPF Guia Prático Auditando o Ambiente de Controle. Guia Prático AUDITANDO O AMBIENTE DE CONTROLE

(1)

Guia Prático

AUDITANDO O

AMBIENTE DE CONTROLE

(2)

Índice

Sumário Executivo ... 3

Introdução ... 4

O Ambiente de Controle de uma Organização ... 4

Escopo e Abordagem da Auditoria do Ambiente de Controle ... 5

Considerações Práticas na Auditoria do Ambiente de Controle ... 9

Como Auditar o Ambiente de Controle ... 12

Avaliando as Deficiências do Ambiente de Controle ... 13

Comunicação dos Resultados ... 14

Anexo ... 16

(3)

www.iiabrasil.org.br / 3

Este Guia Prático foi traduzido com o apoio de:

Sumário Executivo

O ambiente de controle1_{é a base de um sistema}

eficaz de controle interno. A maior parte dos erros promovidos em massa (incluindo não apenas a Enron e a WorldCom, mas também as falhas de governança que levaram à crise financeira de 2008) foi, ao menos em parte, resultado de ambientes fracos de controle. Na ausência de um ambiente de controle demonstravelmente eficaz, nenhum nível de eficácia no “desenvolvimento e operação” dos controles dentro dos processos de negócio e TI poderia prestar uma avaliação suficiente às partes interessadas quanto à integridade da estrutura de controle interno de uma organização.

O Glossário das Normas Internacionais para a Prática Profissional de Auditoria Interna (Normas) define o ambiente de controle como:

Atitudes e ações do conselho e da administração em relação à importância dos controles dentro da organização. O ambiente de controle proporciona a disciplina e a estrutura para se atingir os principais objetivos do sistema de controle interno. O ambiente de controle inclui os seguintes elementos:

• Integridade e valores éticos. • Filosofia e estilo operacional da

administração.

• Estrutura organizacional.

• Atribuição de autoridade e responsabilidade. • Políticas e práticas de recursos humanos. • Competência do pessoal.

É central a qualquer abordagem à auditoria do ambiente de controle a avaliação dos riscos por conta de falhas em cada um dos seis elementos do ambiente de controle, conforme definidos no glossário das Normas. A partir da determinação dos

1_{Como o “ambiente de controle” inclui a avaliação da cultura de}

uma organização, incentivamos que o leitor deste Guia Prático leia também a publicação “Best Practices: Evaluating the Corporate Culture” de James Roth, IIARF, 2010.

riscos relacionados a cada um dos seis elementos do ambiente de controle, o diretor executivo de auditoria (DEA) pode considerar a inclusão, em seu plano anual de auditoria, de uma ou mais auditorias dos principais riscos do ambiente de controle. O DEA pode escolher abordar esses riscos em (1) uma única auditoria do ambiente de controle da organização, (2) uma série de auditorias focadas nos aspectos do ambiente de controle e (3) auditorias de controles sobre riscos específicos (ex., o escopo inclui a avaliação de controles aplicados dentro do ambiente de controle, assim como dentro de processos de negócio). Já que a auditoria do ambiente de controle de uma organização frequentemente envolverá a discussão de questões delicadas, o DEA deve planejar e executar estas auditorias com diligência.

Há muitas considerações práticas a que o DEA deve prestar atenção durante o planejamento e execução de uma auditoria relativa ao ambiente de controle. Em primeiro lugar, deve haver apoio ou adesão por parte da alta administração e/ou do conselho ou comitê de auditoria para tal auditoria. Segundo, a estrutura de reporte da auditoria interna deve ser independente o suficiente para garantir limitações mínimas ou quase nulas no escopo da equipe de auditoria. Terceiro, o DEA deve articular e comunicar claramente os critérios a serem usados, para o benefício do auditado e dos membros da equipe de auditoria, na avaliação do ambiente de controle. Por fim, a atenção devida deve ser dada às diferenças na cultura do negócio, idioma, legislação local, etc., durante a condução de tais auditorias em uma organização global.

(4)

Deficiências do ambiente de controle precisam ser avaliadas individualmente e deve-se entender como elas interagem ou impactam outros controles na organização. As ações corretivas, às vezes, podem ser levadas além do ambiente imediato de controle sob avaliação.

A comunicação das descobertas da auditoria do ambiente de controle envolve muitas considerações práticas, tais como determinar a pertinência do formato do relatório padrão de auditoria, limitações à distribuição do relatório de auditoria, a natureza confidencial das descobertas, oportunidade e o envolvimento das funções do conselheiro geral e de recursos humanos (RH) como patrocinadores coexecutivos ou em papel de suporte, etc.

Auditar o ambiente de controle ou um ou mais de seus elementos isoladamente ou como parte de outras auditorias internas não é apenas consistente com a intenção de diversas normas dentro da Estrutura Internacional de Práticas Profissionais (IPPF), como também agrega valor à organização.

Introdução

O ambiente de controle é a base sobre a qual um sistema eficaz de controle interno é construído e operado em uma organização que busca (1) atingir seus objetivos estratégicos, (2) fornecer relatórios financeiros confiáveis a partes interessadas internas e externas, (3) operar seu negócio com eficácia e eficiência, (4) estar em conformidade com as leis e regulamentos aplicáveis e (5) salvaguardar seus ativos. Parte da culpa pela crise financeira de 2008 e outros fracassos famosos no século XXI podem ser apropriadamente atribuídos a falhas no ambiente de controle.

O propósito deste Guia Prático é fornecer orientações ao auditor interno quanto à importância do ambiente de controle; como determinar quais elementos do ambiente de controle devem ser abordados por trabalhos no plano periódico de auditoria; como definir o escopo, a equipe e o planejamento de tais trabalhos; e quais itens

considerar na condução do trabalho de auditoria relacionado, incluindo a avaliação e o reporte de deficiências.

Concentrar-se apenas na avaliação e reporte dos controles dentro de processos de negócio e TI, sem avaliar e reportar quanto ao risco relativo a falhas no ambiente de controle, pode ser um desvio dos aspectos fundamentais da base da organização. O ambiente de controle de uma entidade é a base de toda a estrutura de controle interno da organização – financeiro, operacional e de conformidade –, incluindo a salvaguarda dos ativos. Os auditores internos precisam considerar, no desenvolvimento dos planos de auditoria anuais (e de outras periodicidades) e no planejamento de cada auditoria individual, o risco de falhas no ambiente de controle. As Normas definem o ambiente de controle como “atitudes e ações do conselho e da administração em relação à importância dos controles dentro da organização”. Especificamente, a Norma 2130: Controle declara que “a atividade de auditoria interna deve auxiliar a organização a manter controles efetivos a partir da avaliação da sua eficácia e eficiência e da promoção de melhorias contínuas.” Além disso, a Norma 2130.A1: Controle declara que “a atividade de auditoria interna deve avaliar a adequação e a eficácia dos controles em resposta aos riscos, abrangendo a governança, as operações e os sistemas de informação da organização, com relação: ao alcance dos objetivos estratégicos da organização; à confiabilidade e integridade das informações financeiras e operacionais; à eficácia e eficiência das operações e programas; à salvaguarda dos ativos; e à conformidade com leis, regulamentos, políticas e procedimentos e contratos.”

O Ambiente de Controle de

uma Organização

(5)

Integrada de Controle Interno em 1992. Ela usa uma definição muito similar àquela citada anteriormente a partir do Glossário das Normas. O Sumário Executivo declara:

“O ambiente de controle define o tom de uma organização, influenciando a consciência de controle de suas pessoas. É a base para todos os outros componentes de controle interno, promovendo disciplina e estrutura. Os fatores do ambiente de controle incluem a integridade, os valores éticos e a competência das pessoas envolvidas na entidade; a filosofia e estilo de operação da administração; a forma como a administração delega autoridade e responsabilidade e organiza e desenvolve seu pessoal; e a atenção e direcionamento oferecidos pelo conselho de administração.”

A obra Guidance on Control Number 1, do Conselho do Canadian Institute of Chartered Accountants Criteria of Control (CoCo), utiliza quatro critérios como base de entendimento e avaliação da eficácia da estrutura de controle interno de uma entidade: propósito, comprometimento, capacidade, e monitoramento e aprendizado. O critério de comprometimento inclui os valores éticos compartilhados, integridade, políticas e procedimentos de RH, autoridade, responsabilidade e prestação de contas, e uma atmosfera de confiança mútua – essencialmente, a mesma definição que a da estrutura de 1992 do COSO e das definições das Normas do IIA.

Similarmente, a obra de orientação original de Turnbull, Internal Control: Guidance for Directors on the Combined Code, publicada pelo Institute of Chartered Accountants of England and Wales em 1999, declara que “o sistema de controle interno de uma empresa refletirá seu ambiente de controle, que engloba sua estrutura organizacional. O sistema incluirá: atividades de controle, processos de informação e comunicação e processos para monitoramento da eficácia contínua do sistema de controle interno.”

Embora possam existir diferenças na linguagem de controle no mundo, a intenção e os princípios são parecidos e consistentes. Um ambiente de controle eficaz funciona como uma pedra angular em uma ponte, sem a qual, não importa o que aconteça, nem o melhor material e artesanato conseguiriam sustentar a ponte. Auditar o ambiente de controle e avaliar sua eficácia é uma parte importante da responsabilidade de avaliação do auditor.

Escopo e Abordagem da

Auditoria do Ambiente de

Controle

Embora o ambiente de controle tenha um efeito difundido sobre o gerenciamento de riscos e os controles internos por toda a entidade, qualquer abordagem à auditoria do ambiente de controle deve incluir a avaliação dos riscos por conta de falhas em cada elemento individual do ambiente de controle e sua interação um com ou outro. Este Guia Prático usa os seis elementos descritos na definição do Glossário das Normas sobre o ambiente de controle:

 Integridade e valores éticos

 Filosofia de gestão e estilo de operação

 Estrutura organizacional

 Delegação de autoridade e responsabilidade

 Políticas e procedimentos de RH

 Competência do pessoal

(6)

Há diversos exemplos de situações que poderiam influenciar a avaliação do risco de fracasso em um ou mais elementos do ambiente de controle:

 As estruturas de compensação e incentivo podem contribuir com comportamentos inapropriados ou a aceitação excessiva de riscos.

 Uma alta taxa de rotatividade de funcionários em funções chave pode levar a uma falta de experiência e uma execução menos confiável dos controles. Isso pode ser resultado de uma variedade de falhas no ambiente de controle, incluindo a supervisão ineficaz e outros problemas do processo de RH.

 A ausência de um código de conduta e ética definido e/ou uma política de denúncias anônimas, a falha em estabelecer um canal de denúncias de ética, a ausência de um processo para avaliar a eficácia do código de conduta e da política de ética, um alto número de fraudes relatadas ou a superposição da administração sobre os controles estabelecidos podem levar a atividades inapropriadas não detectadas e abordadas oportunamente.

 Funções chave podem ser ocupadas por pessoal que não possua o nível necessário de competência. O nível de risco é aumentado se houver uma percepção de que estas pessoas se mantêm no cargo por conta de sua relação com a alta administração, os promotores ou diretores executivos do conselho.

 O conselho pode não supervisionar eficazmente a condução das operações da organização e pode não entender e monitorar o amplo ambiente de controle organizacional.

 Os gerentes principais na organização podem estar inclinados a tomar decisões de negócios sem entender claramente os riscos relacionados às suas decisões; a

administração pode não mostrar uma consciência de risco e controle em sua tomada de decisões.

 Os processos relativos à definição das descrições dos cargos para posições chave podem ser fracos, verificações de histórico e/ou referências podem não ser conduzidas consistentemente ou a organização pode ter dificuldade em contratar e reter indivíduos qualificados.

Uma vez que o DEA tenha avaliado os riscos relativos a cada um dos seis elementos do ambiente de controle, ele poderá incluir uma ou mais auditorias dos mais altos riscos do ambiente de controle no plano de auditoria anual. O DEA pode determinar a frequência da auditoria do ambiente de controle com base em sua avaliação do risco de falhas de controle associadas a um ou mais elementos do ambiente de controle.

O DEA pode decidir abordar os riscos em:

 Uma única auditoria da organização toda.

 Uma série de auditorias, cada uma abordando aspectos específicos do ambiente de controle (tais como o canal de denúncias de ética, as operações do conselho e do comitê, etc.).

 Auditorias do ambiente de controle dentro de divisões específicas de unidades operacionais.2

 Uma variação dos itens acima.

Por exemplo, se unidades operacionais individuais tiverem suas próprias políticas de ética e comitês de conformidade autônomos, auditorias separadas do

2 Os riscos relativos ao ambiente de controle em um local ou dentro de uma unidade de negócio também podem ser inclusos como parte do escopo de trabalhos de auditoria individuais e mais amplos daquele local ou unidade de negócio. Por exemplo, uma auditoria de uma fábrica na China poderia incluir

(7)

ambiente de controle em cada unidade podem ser a melhor abordagem. Se cada divisão investigar violações de ética com base nas diretrizes organizacionais e denúncias recebidas por meio de um canal de denúncias centralizado, uma auditoria única de toda a organização, com foco nas investigações, pode ser mais relevante. Se a contratação e a filtragem de novos funcionários forem consideradas atividades importantes do ambiente de controle e este processo for centralizado, uma auditoria de toda a organização pode ser a melhor abordagem.

Embora o escopo e abordagem iniciais possam ser alterados ao longo do tempo, conforme melhores avaliações e conhecimentos do ambiente de controle da organização vêm à tona, o DEA deve considerar:

 Quais são os elementos do ambiente de controle e seus atributos (política de ética, governança do conselho, conformidade, detecção de fraude, etc.) que são fundamentais para o ambiente de controle da entidade?

 Como esses elementos e atributos relacionados são geridos nas operações diárias? Há uma prestação de contas clara dentro da organização?

 Esses elementos e atributos podem ser geridos com eficácia e eficiência no escopo de uma grande auditoria ou auditorias separadas e concentradas seriam mais eficazes e eficientes?

 O equilíbrio das operações centralizadas versus as descentralizadas dentro da organização influencia a forma como o ambiente de controle opera e, portanto, a natureza do trabalho de auditoria?

 Qual combinação de auditorias do ambiente de controle permitirá ao DEA prestar uma avaliação do sistema de controle interno da organização à alta administração e ao conselho?

 A auditoria do ambiente de controle deve ser uma auditoria anual, uma auditoria recorrente que ocorre periodicamente a cada “tantos” anos ou auditorias separadas específicas a cada ano de diferentes princípios, levando a uma revisão de todos os princípios principais do ambiente de controle a cada “tantos” anos?

 Se o ambiente de controle não tiver sido examinado anteriormente, qual conhecimento existente guiaria a decisão quanto à abordagem da auditoria? Uma avaliação de riscos de alto nível de todos os princípios do ambiente de controle serviria de base para as decisões? Uma auditoria de primeiro ano pode ser diferente do que auditorias contínuas que tenham sido previstas no plano de auditoria?

 Algum aspecto da avaliação do ambiente de controle deve ser conduzido com a orientação de conselheiros legais; por exemplo, os aspectos pertinentes a investigações?

 Os recursos de auditoria adequados estão disponíveis?

 Há preferências explícitas por parte da alta administração ou do conselho (ex., um desejo declarado de completar uma avaliação até uma determinada data)?

Conforme observado anteriormente, o plano de auditoria pode incluir uma auditoria única dos riscos do ambiente de controle. Também pode incluir múltiplas auditorias, cada uma abordando elementos diferentes do ambiente de controle, ou elementos do ambiente de controle em locais ou unidades de negócio diferentes. Quando o plano incluir auditorias múltiplas do ambiente de controle e o DEA estiver planejando prestar uma avaliação geral com base nos resultados dessas auditorias individuais, o DEA deve:

(8)

individuais em uma avaliação geral do ambiente de controle.

 Planejar as auditorias individuais de modo que diferenças em seu timing não impeçam a avaliação geral. Em caso de diferenças de tempo substanciais entre as auditorias individuais, pode ser necessário conduzir procedimentos para atualizar os resultados de auditorias anteriores, para apoiar a avaliação geral.

 Considerar a estruturação da equipe para as auditorias, de modo a garantir a continuidade da abordagem de auditoria e consistência no processo de avaliação. Programas bem definidos de auditoria também podem ajudar neste quesito.

Auditorias do ambiente de controle frequentemente envolvem o debate sobre questões delicadas, incluindo as ações ou inações da alta administração ou do conselho. O auditor interno deve considerar as questões a seguir durante a fase de planejamento:

 Se habilidades específicas serão exigidas (ex., exigir o uso de especialistas internos ou externos). Estas habilidades podem ser oferecidas por meio de auditores convidados de outras partes da organização ou de um prestador de serviços co-source.

 Se conversas com a alta administração e o exame de documentos confidenciais exigem a estruturação da equipe com pessoas amadurecidas e experientes. Em algumas situações, o DEA pode decidir por tomar a frente da auditoria e/ou conduzir pessoalmente certos aspectos (ex., o exame da compensação dos executivos ou dos resultados das investigações que envolvem a alta administração).

 Garantir, por meio de discussões com bastante antecedência da auditoria, que as informações necessárias para conduzir a auditoria (especialmente quaisquer informações consideradas confidenciais) estarão disponíveis quando solicitadas. Além

disso, o auditor deve garantir que todas as pessoas a quem se peça para auxiliar na auditoria entendam a necessidade de fornecer à equipe da auditoria as informações solicitadas oportunamente. Isso pode exigir o envolvimento do patrocinador.

Consequências do Ambiente de Controle

para Trabalhos de Auditoria Interna

Individuais

A gestão eficaz dos riscos envolve avaliar e monitorar não apenas os controles de processos de negócio, mas também os controles relativos ao ambiente de controle da entidade. Se a eficácia do ambiente de controle não for considerada em um trabalho de auditoria, há um risco de que a avaliação da adequação dos controles fique incompleta e, talvez, até enganosa ou incorreta.

Na hora de definir o escopo de qualquer auditoria, o auditor interno deve considerar o nível de confiança dedicado à eficácia das atividades do ambiente de controle e o risco de deficiências no ambiente de controle. Em alguns casos, esses riscos e os controles relacionados serão incluídos dentro do escopo da auditoria. Em outros, a confiança será depositada em auditorias separadas do ambiente de controle ou de um ou mais de seus elementos. Por exemplo, ao desenvolver o escopo de trabalho para uma auditoria de contas a pagar (accounts payable – AP), o auditor deve considerar riscos tais como:

 Equipe de AP e gerentes envolvidos no processo de AP (ex., como aprovadores de faturas) não estão familiarizados com as expectativas da organização quanto ao comportamento ético.

 Práticas de contratação não são eficazes na estruturação de equipe nos cargos fundamentais de AP com funcionários experientes.

(9)

abordem especificamente esses riscos forem conduzidas - por exemplo, como parte de auditorias do código de conduta e das práticas de contratação -, o auditor pode querer usar como referência aquelas auditorias, e depender dos seus resultados, em vez de duplicar o trabalho.

Quando o escopo de trabalho para uma auditoria não inclui a cobertura dos riscos do ambiente de controle, essa limitação deve ser claramente comunicada à administração e ao patrocinador executivo durante a fase de planejamento e no relatório final.

Os resultados de auditorias separadas do ambiente de controle devem ser considerados na preparação do relatório de auditoria:

 Quando a auditoria do ambiente de controle já foi concluída, o auditor deve considerar esses resultados e incluí-los ao avaliar se os sistemas de controle interno – incluindo aqueles do ambiente de controle – são adequados.

 Quando a auditoria do ambiente de controle ainda não foi concluída, o auditor deve considerar aceitar esse fato e deixar claro que a avaliação dos controles internos é baseada na suposição de que as atividades do ambiente de controle são eficazes. O auditor deve considerar revisitar sua avaliação da adequação dos controles internos, caso a auditoria do ambiente de controle resulte na identificação de deficiências.

Considerações Práticas na

Auditoria do Ambiente de

Controle

Abaixo, discutimos algumas considerações práticas que devem ser levadas em conta durante o

planejamento, a execução e o reporte das auditorias nesta área.

Apoio ou Adesão da Alta Administração

e do Conselho

Uma auditoria do ambiente de controle envolve avaliar controles que, em muitos casos, direta ou indiretamente, são executados ou orientados pela alta administração ou pelo conselho. Na fase de planejamento de uma auditoria de todos ou de um elemento do ambiente de controle, avalie se a equipe de auditoria interna será desafiada em sua necessidade de acesso a indivíduos pertinentes e documentação necessária. Podem ser necessárias ações para mitigar e gerenciar tais desafios antes de dar início à auditoria. Essas ações podem incluir:

 Discutir a necessidade de acesso durante o desenvolvimento do plano de auditoria.

 Garantir que o estatuto de auditoria forneça acesso apropriado.

 Obter o apoio e patrocínio do conselho e/ou do diretor executivo da auditoria. Em alguns casos, o apoio do diretor financeiro (CFO) ou conselheiro geral pode ser suficiente.

 Comunicações por escrito por parte de um membro apropriado da gerência executiva, instruindo a organização a fornecer o acesso e as informações necessárias.

 Comparecimento do patrocinador executivo3

na reunião de abertura da auditoria.

 Reunião com principais membros da gerência executiva que estejam em posição de conceder acesso logo no início da fase de planejamento da auditoria. O auditor interno deve garantir que os executivos entendam quais informações e acessos são necessários e por quê. Suas preocupações devem ser ouvidas, entendidas e abordadas sempre que possível. Levar a questão à gerência

(10)

executiva ou ao conselho pode ser necessário para resolver a recusa contínua do acesso.

Posição da Auditoria Interna Dentro da

Organização

A estrutura de reporte para a auditoria interna também pode ser um problema. A Norma 1110: Independência Organizacional declara que “o diretor executivo de auditoria deve reportar-se a um nível dentro da organização que permita à atividade de auditoria interna cumprir suas responsabilidades.” Quando o DEA não reporta a um nível apropriado, sua habilidade de conduzir uma auditoria do ambiente de controle da organização ou de seus elementos pode ser prejudicada. Por exemplo, o DEA pode ser orientado a não avaliar certos elementos do ambiente de controle (ex., a competência do pessoal em cargos financeiros) ou ter apenas acesso limitado a informações confidenciais (tais como minutas de reuniões do conselho ou registros que contenham discussões sobre alegações contra a alta administração). Isso pode ser mitigado se o DEA for capaz de obter forte apoio do conselho ou da gerência executiva, com um mandato claro de que a equipe de auditoria tenha acesso irrestrito às informações necessárias para condução da auditoria.

Se o DEA não for capaz de garantir que a equipe de auditoria tenha acesso irrestrito às informações necessárias para concluir uma auditoria eficaz do ambiente de controle, ou estiver impossibilitado em fato ou aparentemente de ser objetivo e independente o suficiente em sua avaliação do ambiente de controle, tais restrições de escopo e outras limitações devem ser reportadas prontamente ao conselho. O DEA deverá considerar se deve seguir em frente com a auditoria, com as restrições de escopo apropriadas comunicadas em relatório de acordo com as Normas. Tais restrições não liberam o DEA de suas obrigações de reportar ao conselho de governança quanto à importância e a necessidade de avaliar o ambiente de controle.

Critérios de Avaliação do Ambiente de

Controle

O processo de planejamento de auditoria inclui considerar o produto final da auditoria, em especial quais critérios serão usados para a avaliação. Assim como em outros trabalhos, as opções incluem:

 Uma avaliação dos controles incluída no escopo, usando o sistema de classificação da organização, em conjunto com oportunidades de melhoria.

 A avaliação dos controles usando um modelo definido de maturidade do controle, além da classificação padrão e oportunidades de melhoria.

 Avaliação dos controles conforme orientada pelo conselheiro geral com um objetivo específico em mente.

 Benchmarking (comparação com referências entre companhias e/ou entre unidades/departamentos da mesma companhia).

O DEA deve usar seu julgamento quando necessário, em consulta com o conselho ou o patrocinador executivo ou o conselheiro geral, para determinar quais critérios serão usados para mensurar a eficácia do ambiente de controle. O DEA deve garantir que o conselho, a alta administração e a gerência responsável pela área sob auditoria entendam claramente como os resultados serão comunicados se forem diferentes do processo padrão de reporte da auditoria interna.

(11)

por meio de tal discussão e adesão anterior ao início da auditoria.

Consideração da Cultura Local e Valores

A cultura local e valores devem ser considerados na determinação dos critérios para avaliar a condução do negócio e outros elementos do ambiente de controle. A condução do negócio e outros padrões e expectativas não são uniformes ao redor do mundo, em grande parte devido a diferenças em tradições legais, valores culturais e sociais e na estrutura dos mercados capitais. Por exemplo, embora haja tradições, em alguns mercados emergentes, de que o comércio seja permitido por meio de pagamentos aos indivíduos envolvidos e para que compras sejam feitas entre as partes relacionadas, esta prática é considerada ilegal pela lei U.S. Foreign Corrupt Practices Act (FCPA) e pela lei UK Bribery Act. As nações diferem em suas leis e regulamentos de governança (ex., quanto à exigência de membros independentes no conselho e outros órgãos governantes) ou em outros aspectos do ambiente de controle (ex., algumas restringem a habilidade dos empregadores de realizar verificações de histórico sobre seus funcionários; em alguns locais, são aceitas práticas relativas à contratação e ao tratamento de minorias que seriam ilegais em outros países).

A maioria das organizações multinacionais desenvolveu e publicou um código de conduta organizacional que se aplica a todas as suas operações globalmente. Em tais casos, as auditorias do ambiente de controle já possuem um conjunto de normas no qual os auditores internos podem basear seu escopo de auditoria, programa, avaliação e reporte.

No entanto, nem todas as organizações adotaram normas globais, ou as normas globais podem precisar de ajustes para a unidade sob auditoria, para alcançar a conformidade com as leis locais. Nesses casos, a equipe de auditoria interna deve, em consulta com a gerência apropriada, buscar uma concordância sobre quais critérios ou normas a equipe de auditoria deve seguir. Isso deve ser comunicado claramente à gerência operacional antes

de iniciar a auditoria. Se as normas forem diferentes, de alguma forma, das normas publicadas organizacionalmente, os motivos para essas diferenças devem ser claramente explicados.

O DEA deve considerar variações na cultura, valores e práticas, assim como na necessidade de habilidades idiomáticas4_{para a avaliação dos riscos}

relativos ao ambiente de controle e para a estruturação da equipe de cada auditoria. A equipe deve incluir indivíduos que sejam capazes de entender o contexto, assim como as práticas de cada região, e capazes de prestar uma avaliação objetiva, equilibrada e justa da adequação das práticas do ambiente de controle.

Coordenação com Auditores Externos

Embora seja claro que a avaliação da auditoria interna quanto ao ambiente de controle da entidade, ou de um ou mais de seus elementos, fornece uma avaliação muito necessária à alta administração e ao conselho de administração, o auditor interno deve estar ciente de que os auditores externos podem não ser capazes de confiar completamente em seu trabalho na avaliação do ambiente de controle com relação às auditorias das demonstrações financeiras e do sistema de controle interno sobre o reporte financeiro. Dependendo da avaliação do auditor externo, os auditores externos podem se sentir obrigados a validar certos controles por si mesmos para aumentar sua independência. A auditoria interna deve trabalhar com os auditores internos durante as sessões de planejamento anual para minimizar a duplicação e garantir que o conselho e as partes interessadas entendam: (a) que os auditores externos podem examinar apenas os aspectos do ambiente de controle relativos a um risco ou uma declaração errônea material de demonstrações financeiras, (b) os auditores externos podem precisar conduzir alguns níveis de avaliação

4 Falta de familiaridade com a cultura comercial e o idioma local podem ser barreiras no desenvolvimento de um entendimento eficaz das diferenças nas normas culturais e comportamentais em relação ao país anfitrião da auditoria. A experiência e o entendimento do idioma e da cultura local trazem a

(12)

independente, (c) uma revisão por parte da auditoria interna normalmente abordará uma maior variedade de riscos (riscos operacionais e de conformidade, além dos riscos de reporte financeiro) e (d) há uma oportunidade para a auditoria interna contribuir com melhorias nos processos relacionados, por meio de seu melhor entendimento da organização como um todo.

Como Auditar o Ambiente

de Controle

Esta seção trata de ferramentas e técnicas genéricas para auditar o ambiente de controle. O Anexo lista os procedimentos potenciais de auditoria que podem ser considerados no desenvolvimento de uma auditoria do ambiente de controle de uma entidade, ou de um ou mais de seus elementos. Os sete elementos e atributos são retirados do componente de ambiente de controle da obra Controle Interno – Estrutura Integrada do COSO.5_{Os elementos e}

atributos incluem objetivos de controle quanto à eficácia financeira, de conformidade e operacional. O Anexo é apresentado apenas com propósitos ilustrativos e não tem como intenção ser completo ou abrangente.

Uma auditoria de alguns elementos do ambiente de controle incluirá uma revisão dos controles informais, tais como os relacionados à ética, integridade, competências, comportamentos e percepções. Eles são considerados controles informais, porque pode ser difícil obter evidências diretas de sua operação eficaz por meio de testes tradicionais. Em vez disso, autoavaliações, pesquisas, workshops ou técnicas similares podem ser mais adequadas do que métodos tradicionais. Especificamente:

 Pesquisas com os funcionários são usadas frequentemente na avaliação do sucesso dos

5 Os sete elementos de controle incluem os seis das Normas e um elemento adicional – “A Importância do Conselho” – conforme definido pelo COSO.

esforços da gestão em estabelecer um ambiente de controle eficaz. Essas pesquisas fornecem métricas úteis da eficácia de um ou mais elementos do ambiente de controle. Formulários anuais de conformidade ética dos funcionários são outro exemplo.

 O DEA deve usar sua rede de contatos dentro da empresa. A rede de contatos é fundamental para discernir se a comunicação, o tom no topo, a prática da teoria por parte da gestão e uma supervisão eficaz estão em prática no dia a dia.

 O conhecimento do auditor interno sobre o funcionamento interno da organização é útil para corroborar ainda mais a eficácia dos controles informais.

 O valor da “auditoria by walking around” não pode ser subestimado. Ao estarem presentes, visíveis e observando toda a organização, os auditores internos podem identificar as pistas intangíveis que podem levar a avaliações mais profundas. Associados que acreditam poder contribuir com a auditoria compartilhando suas preocupações com um nível apropriado de anonimato também são valiosos.

 Resultados de auditorias passadas de atividades de controle e a reação e ações corretivas da gestão também são bons indicadores.

 A participação dos auditores internos em comitês, forças-tarefa, grupos de trabalho e seu envolvimento na implementação e avaliações do programa de ética e conformidade fornecem insights valiosos ao longo de períodos extensos de tempo.

(13)

filtrar padrões e anomalias, para gerar evidências sólidas.

Os controles relacionados aos elementos do ambiente de controle (ex., publicar um código de conduta atualizado e apropriado e obter referências e verificações de histórico dos novos funcionários) podem servir para técnicas tradicionais de auditoria. No planejamento da auditoria, o auditor deve entender a natureza diferente dos controles informais e demais, e selecionar as técnicas mais apropriadas.

Avaliando as Deficiências

do Ambiente de Controle

As deficiências do ambiente de controle geralmente impactam áreas ou processos múltiplos e são essencialmente dominantes em sua natureza. As deficiências do ambiente de controle podem ser identificadas durante auditorias com foco (1) no ambiente de controle da organização, de um ou mais de seus elementos; (2) em um ou mais elementos do ambiente de controle de uma unidade de negócio, local ou equivalente; e (3) em um ou mais elementos do ambiente de controle como parte de outras auditorias internas.

1. Avaliando as deficiências descobertas durante uma auditoria que é focada no ambiente de controle de uma organização, ou em um ou mais de seus elementos específicos.

O auditor interno pode escolher avaliar as deficiências dentro do contexto da auditoria do ambiente de controle. Em outras palavras, o relatório de auditoria pode limitar a discussão a questionar se os elementos individuais do ambiente de controle são eficazes.

No entanto, limitar a avaliação dessa forma provavelmente resultará na impossibilidade de entender ou atuar sobre o efeito dominante da

deficiência. A prática preferencial é que o auditor interno trabalhe com a gerência e entenda toda e qualquer consequência, sobre a gerência, dos riscos críticos e da eficácia dos controles interno relativos. Por exemplo, deficiências no processo de contratação podem levar à incapacidade de contratar pessoal suficiente e competente para o cargo de contabilidade. Como resultado direto, análises contábeis fundamentais, reconciliações bancárias e a resolução de recibos de caixa divergentes podem não ser totalmente oportunas.

Ao avaliar as deficiências dos elementos do ambiente de controle, o auditor deve estar alerta aos indicadores de que outros controles afetados podem estar falhando também. Esses controles podem ser controles do processo de negócio, de processos de TI ou até outros controles do ambiente de controle. Por exemplo, a incapacidade de contratar uma equipe suficiente pode levar a atalhos nos processos. Esses indicadores podem apontar para um nível maior de risco para a organização por conta da deficiência do ambiente de controle.

O auditor também deve considerar as consequências de deficiências múltiplas e relacionadas nos elementos do ambiente de controle. Algumas deficiências podem ter um efeito maior quando estão todas presentes do que a simples agregação de seus riscos individuais pode sugerir. Por exemplo, quando a ausência de um treinamento para novos funcionários quanto ao código de conduta ética de uma organização é combinada à incapacidade de obter referências e verificações do histórico dos novos funcionários, o risco de contratar pessoas potencialmente incompetentes – e até indivíduos com histórico criminal – é exacerbado.

Até mesmo se o relatório de auditoria for limitado a divulgar as deficiências sem considerar seu efeito dominante, o DEA deve discutir as consequências e ações de gestão relativas com o conselho e o comitê de auditoria.

(14)

monitoramento mais amplo dos controles afetados nos processos de negócio.

2. Avaliando as deficiências encontradas durante uma auditoria que é focada no ambiente de controle dentro de uma unidade de negócio, local ou equivalente.

Além da análise discutida anteriormente, o auditor deve determinar se as questões do ambiente de controle identificadas em uma auditoria localizada são indicadores de mais questões dominantes em unidades de negócio, áreas ou processos dentro da organização. Por exemplo, se práticas de contratação em divisões estão deficientes, os procedimentos, processos e sistemas relacionados poderiam estar deficientes em outras divisões? Se há uma falta de consciência do código de conduta da organização, teria sido devido ao fato de que a versão atual do código não foi publicada no portal corporativo, portanto afetando todas as partes da organização? O código foi traduzido para os idiomas locais, para apoiar todas as partes da organização?

O auditor interno e o DEA devem discutir as possíveis consequências das deficiências do ambiente de controle local sobre a organização como um todo e ajustar o plano de auditoria apropriadamente. Em alguns casos, trabalhos adicionais de auditoria podem ser necessários para avaliar se as deficiências foram difundidas, em vez de confinadas à unidade, país, etc., coberto pela auditoria.

3. Avaliando as deficiências descobertas durante uma auditoria focada no ambiente de controle ou em um ou mais de seus elementos como parte de outra auditoria (ex., uma auditoria de AP que inclui avaliar a competência da gestão e da equipe e sua consciência do código de conduta e expectativas éticas).

Muitas das questões discutidas acima também se aplicam aqui. O auditor interno deve se reunir com o DEA e considerar se as questões do ambiente de

controle que foram identificadas podem ter se estendido para outras partes da organização. O plano de auditoria deve ser ajustado apropriadamente. A avaliação do sistema geral de controles internos para os riscos de negócio cobertos pela auditoria deve considerar se as deficiências do ambiente de controle são compensadas ou mitigadas por outros controles que estejam em operação eficaz dentro ou fora da unidade de negócio/função/área sob auditoria.

Comunicação dos

Resultados

Na comunicação dos resultados de uma auditoria de ambiente de controle, o auditor deve considerar:

 Se o formato padrão do relatório de auditoria, incluindo a escala padrão de avaliação, deve ser usado. Em alguns casos, a alta administração ou o conselho pode preferir uma apresentação, em vez de um relatório padrão de auditoria.

 Em muitas situações, limitar a distribuição do relatório. Isso pode ser feito em algumas organizações por meio da marcação clara do relatório como confidencial, limitando, portanto, sua distribuição. No entanto, o DEA deve entender claramente como e quando devem ser comunicadas aos auditores externos as descobertas sobre as deficiências do ambiente de controle relativas ao sistema de controle interno sobre o reporte financeiro.

(15)

 Se a auditoria não incluiu procedimentos relativos a um elemento do ambiente de controle que é relevante para a avaliação. Tal limitação de escopo deve ser claramente reportada no relatório final de auditoria, mesmo se a exclusão for baseada na avaliação de riscos, conforme discutido anteriormente.

 Se a revisão do ambiente de controle foi conduzida como parte de uma auditoria de negócio com base em riscos, em linha com o plano de auditoria, seja para incluir uma discussão de questões relativas ao ambiente de controle como parte da auditoria, ou como parte de um relatório separado sobre o ambiente de controle em geral.

 Variar os cronogramas para emissão do relatório com base:

o Na importância das questões identificadas.

o No timing da certificação bimestral dos controles internos sobre o reporte financeiro e a conformidade.

o No escopo e objetivo da auditoria. o Na natureza e sensibilidade das

questões identificadas.

o No público-alvo do relatório de auditoria.

Além disso, o DEA deve considerar os seguintes fatores específicos ao determinar como comunicar os resultados das auditorias de ambiente de controle.

Informações Delicadas

Em algumas situações, a comunicação de riscos dentro do ambiente de controle devido à natureza das deficiências de controle pode ser considerada delicada ou confidencial. Por exemplo, se houver um problema no nível da alta administração que poderia ter uma consequência adversa potencial para a percepção de sua integridade e representar um comprometimento potencial dos valores organizacionais, o DEA deve consultar os membros

apropriados da alta administração, principalmente o conselheiro geral, e o conselho para determinar a estratégia e o processo de comunicação apropriados – incluindo como as ações corretivas serão documentadas e monitoradas.

Identificação de Questões Significantes

Se uma auditoria de ambiente de controle identificar questões importantes, o DEA deve revisar os resultados de auditorias internas anteriores para determinar se avaliações anteriores devem ser revisadas. Os resultados dessa revisão devem ser comunicados à alta administração e ao conselho. Isso pode resultar em mudanças no plano de auditoria em andamento, por conta de uma possível mudança no perfil de risco da organização.

(16)

ANEXO

A seguir, temos um exemplo de procedimentos de auditoria que utilizam sete princípios básicos para uma auditoria ampla que avalie o ambiente de controle. Os princípios, assim como seus elementos e atributos, são adaptados a partir do componente de ambiente de controle da Controle Interno-Estrutura Integrada do COSO.6

Os elementos e atributos incluem a eficácia dos objetivos de controle financeiro, de conformidade e operacional.

ELEMENTOS E ATRIBUTOS

DESIGN DO CONTROLE

(MÉTODOS PARA ALCANÇAR OS PRINCÍPIOS, ELEMENTOS E ATRIBUTOS DO AMBIENTE DE

CONTROLE)

CONSIDERAÇÕES DO TESTE DE CONTROLE7

1. Integridade e Valores Éticos: Princípio Básico - A integridade sadia e os valores éticos,

particularmente os da alta administração, são desenvolvidos e estabelecem o padrão de conduta para fazer negócios.

Desenvolvido - a alta

administração desenvolve uma declaração clara e articulada dos valores ou comportamentos éticos que são compreendidos pelos principais executivos e pelo conselho.

A alta administração transmite a mensagem de que a integridade e os valores éticos não podem ser comprometidos, tanto em palavras quanto em ações. A alta administração

desenvolveu um código de ética que enfatiza a expectativa da organização de que os

funcionários irão agir com integridade em todas as ações relacionadas ao seu escopo de emprego.

A alta administração desenvolveu um código de conduta de negócios que

Conduzir, periodicamente, pesquisas anônimas "de pulso" de funcionários no que diz respeito à comunicação da atitude ética por parte da alta administração.

Revisar a existência e o

conteúdo do código de conduta da organização e garantir que exista um processo para a atualização periódica do código. Revisar a existência e o

conteúdo do código de conduta de negócios da organização e garantir que exista um processo para a atualização periódica do

6 Adaptado de "Internal Control over Financial Reporting-Guidance for Smaller Public Companies Volume III, Ferramentas de Avaliação", COSO, 2006, páginas 25-31 de Princípios do Ambiente de Controle, Atributos e sumário relacionado de Documentação de Controles e Gerência para Entidades. Os auditores devem considerar a obtenção e a revisão da literatura COSO encontrada em www.COSO.org para uma orientação mais profunda e ferramentas de metodologia.

(17)

(MÉTODOS PARA ALCANÇAR OS PRINCÍPIOS, ELEMENTOS E ATRIBUTOS DO AMBIENTE DE CONTROLE) CONSIDERAÇÕES DO TESTE DE CONTROLE7 enfatiza o comprometimento da organização em negociar de forma justa e honesta com os seus clientes, fornecedores e outras partes externas.

As expectativas e os incentivos de desempenho são

desenvolvidos de modo a não criar tentações indevidas de violar leis, regras, regulamentos, políticas e procedimentos da organização.

código.

Revisar a mistura entre

elementos fixos e variáveis nos planos de compensação de funcionários e o peso relativo de um desempenho financeiro de curto prazo nos planos de compensação.

Comunicado - a alta

administração comunica o seu comprometimento com os valores éticos através de palavras e ações.

Novos funcionários recebem uma cópia do código de ética e do código de conduta de negócios e são treinados sobre como essas diretrizes se aplicam a situações factuais específicas comuns ao ambiente de negócios da organização.

Funcionários existentes recebem cópias atualizadas do código de ética e do código de conduta de negócios da organização

anualmente, no mínimo, e recebem uma reeducação periódica sobre a aplicação dessas diretrizes para o ambiente de negócios da organização.

Clientes, fornecedores e outras partes externas recebem uma cópia do código de conduta de negócios da organização no

Revisar a declaração assinada pelos funcionários de que leram e compreenderam os códigos de ética e de conduta de negócios e, para funcionários existentes, a certificação de que eles não violaram os códigos durante o ano passado e não estão cientes de nenhuma violação do tipo – ou, se estão cientes de tais violações, eles 1) comunicaram essas violações, conforme orientados pelo setor de

compliance ou ética durante seu treinamento e 2) se, com base em suas perspectivas, as violações não tiverem sido resolvidas, comunicaram as violações em potencial através do canal de denúncias de ética de sua companhia.

(18)

CONTROLE)

mínimo anualmente, através da inclusão do mesmo em outras correspondências para essas partes. Os arranjos contratuais com essas partes devem incluir requisitos para a aderência ao código de ética e ao código de conduta de negócios da organização.

processo para garantir que todos os funcionários compareçam a esses cursos sobre os códigos de ética e de conduta de negócios. Revisar a política da organização de incluir o código de conduta de negócios em uma

correspondência anual para clientes, fornecedores e outras partes externas. Verificar que o código de conduta de negócios seja incluído em

correspondências.

Reforçado - a importância da

integridade e dos valores éticos é comunicada e reforçada para todos os funcionários, de uma maneira apropriada para a organização.

A newsletter (e outros meios de comunicação interna) da organização realça: a. Dilemas éticos frequentemente surgindo na indústria da organização e como a gerência espera que os funcionários ajam nessas situações.

b. Falhas éticas (com nomes disfarçados) e as consequências dessas falhas para a organização e para os funcionários envolvidos.

c. Sucessos éticos (com nomes mantidos e destacados) com a situação descrita, o comportamento dos funcionários e por que o comportamento foi

(19)

(MÉTODOS PARA ALCANÇAR OS PRINCÍPIOS, ELEMENTOS E ATRIBUTOS DO AMBIENTE DE CONTROLE) CONSIDERAÇÕES DO TESTE DE CONTROLE7 consistente com as diretrizes da organização.

Monitorado - os processos estão

em ordem para monitorar a conformidade da organização com os princípios de uma integridade sadia e valores éticos.

Todos os novos funcionários são obrigados a assinar o código de ética e de conduta de negócios, indicando que eles leram e compreenderam esses códigos. Todos os funcionários existentes são obrigados a assinar um contrato anual, reconhecendo que eles leram as versões mais recentes do código de ética e de conduta de negócios e que eles entendem e estão em

conformidade com esses códigos. A gerência do RH ou do departamento de contratações deve monitorar se os funcionários novos e os existentes completaram o treinamento requerido sobre os códigos de ética e de conduta de negócios.

A organização estabeleceu canal de denúncias - um mecanismo de reporte que permite o anonimato e que,

preferencialmente, é composta por um grupo interno com relação de reporte direto ao conselho ou a um fornecedor externo - para receber reportes de suspeitas de violações dos

Revisar a declaração assinada pelos funcionários de que leram e compreenderam os códigos de ética e de conduta de negócios e, para funcionários existentes, a certificação de que eles não violaram os códigos durante o ano passado e não estão cientes de nenhuma violação do tipo – ou, se estão cientes de tais violações, comunicaram essas violações através do canal de denúncias.

Revisar os cursos de

treinamento da organização, incluindo o processo para garantir que todos os funcionários compareçam a esses cursos sobre os códigos de ética e de conduta de negócios. Revisar a existência do canal de denúncias - incluindo a unidade organizacional responsável por gerenciar e supervisionar o canal. Examinar os esforços de promoção do canal por parte da organização. Revisar uma amostra de chamadas recebidas no canal de denúncias e

(20)

CONTROLE)

códigos de ética e de conduta de negócios da organização e promove a existência desse canal.

Desvios Tratados – Desvios em

relação à integridade sadia e aos valores éticos são identificados pontualmente, tratados e remediados nos níveis apropriados dentro da organização.

Um executivo sênior, de

preferência com relação reporte direto ao conselho, é responsável por supervisionar a função de ética e conformidade da organização.

Alegações de violações dos códigos de ética e de conduta de negócios da organização são adequadamente investigadas e as ações corretivas, disciplinares e de remediação necessárias acontecem pontualmente. Isso inclui assuntos reportados ao canal de denúncias.

Examinar a unidade

organizacional - e suas relações de reporte relacionadas - responsável pela supervisão da ética e da conformidade. Examinar a adequação das investigações das alegações de violações do código de ética e de conduta de negócios da organização, incluindo ações corretivas, disciplinares e de remediação tomadas.

Revisar as políticas e práticas de investigação da organização, para garantir que profissionais apropriadamente qualificados estejam realizando as

investigações. Avaliar as

qualificações dos investigadores e averiguar se há uma boa segregação de tarefas entre as investigações, a gerência operacional e aqueles que tomam as decisões

(21)

CONTROLE)

2. A Importância do Conselho: Princípio Básico - O conselho entende e exerce uma supervisão de

responsabilidade relacionada a reportes financeiros, leis e regulamentos aplicáveis, eficácia e eficiência operacional e controles internos relacionados.

Avaliar e Monitorar Riscos - o

conselho avalia e monitora ativamente:  Os riscos de fraude gerencial através da sobreposição aos controles internos.  Riscos afetando o alcance dos objetivos de controle interno.

O conselho desenvolve princípios de governança e incluída entre esses princípios está a

responsabilidade do conselho de avaliar e monitorar os riscos, especialmente os riscos de fraude por parte da alta administração.

O conselho, ativamente ou por delegação do comitê de auditoria, avalia e monitora os riscos de fraude gerencial por meio de sobreposição aos controles internos.

O conselho avalia e monitora ativamente os riscos de não alcançar os objetivos de controle interno.

Revisar os princípios de governança do conselho e se, entre esses princípios, está a responsabilidade do conselho de avaliar e monitorar riscos. Perguntar ao conselho, à alta administração, ao DEA e ao auditor externo sobre os processos do conselho para avaliar e monitorar riscos. Revisar a agenda, as minutas e os conjuntos de informações do conselho, para obter evidências de que o conselho avalia e monitora os riscos de fraude gerencial por parte da alta administração por meio de sobreposição aos controles internos da gerência. Perguntar ao conselho, à alta

administração, ao DEA e ao auditor externo sobre os processos do conselho para avaliar e monitorar os riscos de fraude gerencial e de

sobreposição aos controles internos da gerência.

(22)

CONTROLE)

monitora os riscos de não

alcançar os objetivos de controle interno. Perguntar ao conselho, à alta administração, ao DEA e ao parceiro de auditoria externa sobre os processos do conselho para avaliar e monitorar os riscos de não alcançar os objetivos de controle interno.

Supervisionar a Qualidade e a Confiabilidade - o conselho

fornece supervisão para a eficácia do sistema de controle interno.

O estatuto do conselho exige a prestação de contas, por parte do conselho, quanto à supervisão do sistema de controle interno da organização.

O conselho recebe reportes periódicos sobre a eficácia dos controles internos.

Revisar o estatuto do conselho, para verificar se o conselho tem a responsabilidade de

supervisionar o sistema de controle interno. Revisar a agenda e as minutas de reuniões do conselho, denotando uma atenção substancial do conselho a essa questão.

Revisar a agenda, as minutas e os conjuntos de informações de reuniões do conselho, para obter evidências de reporte ao

conselho sobre a eficácia dos controles internos.

Supervisionar Atividades de Auditoria - o conselho

supervisiona o trabalho de todas as funções de auditoria,

incluindo auditorias internas e externas, e interage com

auditores regulatórios conforme necessário. O conselho possui autoridade exclusiva de

contratar, demitir e determinar a

O estatuto do conselho dá ao comitê de auditoria ou ao corpo governante similar a autoridade de supervisionar:  Reportes financeiros e processos de auditoria externa, além da autoridade exclusiva de contratar, demitir e determinar a

(23)

(MÉTODOS PARA ALCANÇAR OS PRINCÍPIOS, ELEMENTOS E ATRIBUTOS DO AMBIENTE DE CONTROLE) CONSIDERAÇÕES DO TESTE DE CONTROLE7 compensação da firma de auditoria externa e do DEA.

compensação da firma de auditoria externa.  A atividade de auditoria interna e a autoridade de contratar ou demitir o DEA e de aprovar o orçamento para a atividade de auditoria interna. compensação da firma de auditoria externa. Perguntar aos membros do conselho, à alta administração e aos auditores externos sobre o papel do conselho na supervisão dos reportes financeiros e dos processos de auditoria externa, incluindo a responsabilidade de selecionar a firma de auditoria e determinar a taxa de auditoria.  O grupo de auditoria interna, com a autoridade de contratar e demitir o DEA e de aprovar o orçamento para a atividade de auditoria interna. Perguntar aos membros do conselho, à alta administração e ao DEA sobre o papel do conselho na supervisão da atividade de auditoria interna, incluindo a responsabilidade de selecionar o DEA e aprovar o orçamento da auditoria interna.

Massa Crítica Independente - o

conselho possui uma massa crítica de membros que são independentes da gerência.

O estatuto ou o regulamento da organização requer uma massa crítica de diretores

independentes no conselho e é apropriado, dado o tamanho, a indústria e o ambiente

regulatório da organização.

Revisar as provisões do estatuto ou do regulamento que requer diretores independentes no conselho e avaliar o número de diretores independentes, dado o tamanho, a indústria e o

ambiente regulatório da

(24)

CONTROLE)

de direção dos diretores classificados como independentes.

Competência Financeira8_{- o}

conselho possui um ou mais membros que têm competência financeira.

O estatuto do conselho requer que pelo menos um membro tenha competência financeira e que todos os membros sejam letrados em finanças.

Pelo menos um membro do conselho possui experiência substancial em contabilidade (por exemplo, contador público certificado, CFO ou controlador).

Revisar os históricos, incluindo educação e experiência, dos membros do conselho, para avaliar a natureza da sua competência financeira e formação.

Frequência - o conselho se

reúne regularmente,

frequentemente em sessões executivas, e dedica tempo e recursos suficientes para cumprir suas funções adequadamente.

O estatuto do conselho requer que ele se reúna com uma frequência igual ou superior a trimestralmente.

O conselho realiza uma sessão executiva em cada reunião. O conselho aloca tempo para se reunir com o parceiro da firma de contabilidade pública

registrada e com o DEA em cada reunião.

O conselho dedica tempo suficiente para cumprir com suas responsabilidades (por exemplo, como regra geral, o conselho deve se reunir por 1-2

Revisar o estatuto para essas provisões. Avaliar se o conselho estava em conformidade com esse aspecto do estatuto. Perguntar aos membros do conselho se o número de reuniões foi suficiente (para diretores independentes e não independentes, separadamente). Revisar as minutas do conselho e perguntar aos membros do conselho se uma sessão

executiva foi realizada em cada reunião.

Revisar as minutas do conselho e perguntar aos membros do comitê de auditoria se o

(25)

CONTROLE)

dias em cada reunião e o comitê de auditoria deve se reunir por 3-4 horas em cada reunião). O presidente do conselho, se independente, ou, se não, o diretor independente líder, é responsável primariamente por desenvolver a agenda para reuniões do conselho. Outros diretores, o DEA, a alta administração e os auditores externos dão sua colaboração para o processo de

estabelecimento da agenda. O conselho colabora com o conjunto de informações recebido antes das reuniões do conselho/comitê. O conjunto de informações é recebido pelo menos três dias antes da reunião.

Membros do conselho gastam tempo suficiente revisando o conjunto de informações pré-reunião.

O estatuto do conselho autoriza o conselho a contratar

orientadores externos ou

advogados conforme necessário.

conselho teve a oportunidade de se reunir sozinho com o parceiro de auditoria da firma de

contabilidade pública registrada e com o DEA em cada reunião, e se ele faz isso em múltiplas ocasiões ao longo do ano. Revisar as minutas do conselho sobre a duração das reuniões do conselho. Perguntar aos

membros do conselho se o número de reuniões foi suficiente (para diretores independentes e não

independentes, separadamente). Perguntar ao presidente do conselho (diretor independente líder) e outros membros do conselho sobre o processo de estabelecer a agenda do conselho. Confirmar se os membros do conselho tiveram oportunidade de revisar e dar sua colaboração para o estabelecimento da agenda. Perguntar aos membros do conselho sobre o seu

(26)

CONTROLE)

DEA sobre a preparação do conselho para as reuniões. Revisar o processo anual de avaliação do grupo do conselho, verificando que a preparação do conselho seja avaliada.

Revisar os estatutos para provisões, permitindo que o conselho contrate advogados e orientadores externos conforme necessário.

3. Filosofia e Estilo de Operação da Gerência: Princípio Básico - A filosofia e o estilo de operação da

gerência sustentam o alcance de um controle interno eficaz.

Estabelecer o Tom - a filosofia e

o estilo de operação da gerência enfatizam um reporte interno e externo de alta qualidade e transparente, além da importância de um controle interno eficaz e do

gerenciamento de riscos.

A gerência enfatiza a

importância de cumprir com os objetivos de controle interno através de suas palavras e ações.

Perguntar aos funcionários relevantes sobre sua percepção quanto à importância de cumprir com os objetivos de controle interno. Revisar os critérios para as revisões de desempenho dos funcionários, verificando se os funcionários são considerados responsáveis por alcançar os objetivos de controle interno. Revisar discursos e

apresentações para partes internas e externas que possam refletir o tom e o estilo da liderança.