AUDITAR O AMBIENTE DE
CONTROLO DAS ORGANIZAÇÕES
- Uma introdução
IPAI (I)
• IPAI - Instituto Português de Auditoria Interna
• Associação profissional, voluntária, fundada em 1992
• 860 associados individuais
• 42 associados colectivos
• 107 CIAs, 52 CCSAs, 2 CFSAs e 4 CGAPs.
• Capítulo (chapter) #253 do IIA e membro da ECIIA
• Principais actividades:
– promoção da AI – formação
– edição portuguesa das normas profissionais – conferência e forum anuais
– edição de revista “Auditoria Interna”
IPAI (II)
– dinamização de núcleos especializados de auditoria interna – cursos de preparação para os exames de certificação
– apoio à criação de gabinetes de auditoria interna
– interlocutor dos reguladores e autoridades públicas, no domínio da auditoria interna.
IIA (I)
• IIA – The Institute of Internal Auditors
• Fundado em 1941, com sede em Orlando, Florida, EUA • É a organização mundial da Auditoria Interna
• Segue o lema “progress through sharing” • Tem 170 000 membros, em 165 países
• Edita as revistas Internal Auditor, Tone at the Top, Auditwire, IT
Audit, IIA Insight
• Edita várias newsletters especializadas: GAP News, FSA Times,
CSA Sentinel, Gaming Auditorium, CAE Bulletin
• Emite as Normas Internacionais para a Prática Profissional de Auditoria Interna - IPPF (traduzidas em 32 línguas)
IIA (II)
• Participa, com outras organizações profissionais, na elaboração de normas e documentos de referência sobre domínios conexos com a Auditoria Interna (COSO, por exemplo).
• Mantém uma fundação de pesquisa científica sobre riscos, controlos e governação das organizações (IIARF)
• Tem programas de certificação profissional, sendo o principal o CIA
(Certified Internal Auditor)
• Conta com 100000 CIAs, 4100 CFSAs, 3600 CCSAs e 1600 CGAPs.
• O seu site na internet é uma fonte de informação notável, indispensável para qualquer AI
ECIIA (I)
• ECIIA - European Confederation of Institutes of Internal
Auditing
• Sede em Bruxelas.
• Membros: 33 institutos nacionais de auditoria interna da
região europeia (incluindo Norte de África e Médio
Oriente), ente os quais o IPAI
• Principais actividades:
– Desenvolve estudos sobre a profissão de Auditoria Interna, ao nível Europeu
– Promove a profissão de AI perante as instâncias comunitárias – Realiza uma conferência anual numa das capitais euroepias (a
ECIIA (II)
- Publica importantes documentos sobre a profissão de AI, sob uma perspectiva europeia:
• The Role of Internal Audit in Corporate Governance in Europe: Current Status, Necessary Improvements, Future Tasks
• Internal Auditing In Europe
• Corporate Governance and the Role of Internal Auditing
• Internal Control and Internal Auditing - Guidance for Directors, Managers and Auditors
• Banking Internal Auditing in Europe: Overview and Recommendations by the Banking Advisory Group
Auditoria Interna
• A Auditoria Interna é uma actividade
independente de garantia e de consultoria,
concebida para acrescentar valor e melhorar as
operações de uma organização. Assiste a
organização na consecução dos seus
objectivos, através de uma abordagem
sistemática e disciplinada na avaliação e
aperfeiçoamento da eficácia dos processos de
gestão do risco, de controlo e de governação.
São predominantemente emitidas por associações
profissionais (e não por organismos governamentais).
Para a auditoria de organizações governamentais há
normas emitidas por entidades públicas a par das
emitidas por associações profissionais.
São vinculativas para os profissionais respectivos, no
exercício da profissão.
Visam regulamentar:
• As condições exigidas para assegurar a
independência dos profissionais
• A competência profissional
• A metodologia
– de planeamento
– de execução
– de documentação
• A elaboração e o conteúdo dos relatórios
• A tipologia das conclusões.
• IPPF – International Professional Practices
Framework
– Mandatory Guidance
– Strongly Recommended Guidance
• Enquadramento Internacional de Práticas
Profissionais de Auditoria Interna
– Orientações Obrigatórias
– Orientações Fortemente Recomendadas
1. Definição de auditoria interna
2. Código de ética
• Tomadas de posição (Position papers)
- textos sobre governação, risco e controlo e o papel
da AI nas organizações.
• Recomendações de práticas (Practice
advisories)
- textos com detalhes de aplicação das normas a
diferentes situações e organizações.
• Guias de práticas (Practice guides)
– orientações detalhadas para os AI, como
ferramentas, técnicas, programas, exemplos.
Orientações do IIA
Normas Internacionais para a Prática
Profissional de Auditoria Interna
• Normas de Atributos
– 1000 – Objectivo, Autoridade e Responsabilidade
– 1100 – Independência e Objectividade
– 1200 – Proficiência e Adequado Cuidado Profissional
– 1300 – Programa de Garantia da Qualidade e de
Aperfeiçoamento
• Normas de Desempenho
– 2000 – Gestão da Actividade de Auditoria Interna
– 2100 – Natureza do Trabalho
– 2200 – Planeamento do Trabalho
– 2300 – Realização do Trabalho
– 2400 – Comunicação dos Resultados
– 2500 – Monitorização do Progresso
– 2600 – Resolução da Aceitação dos Riscos pela
Gestão Superior
Controlo e auditoria (I)
“A actividade de auditoria interna tem que assistir a
organização na manutenção de controlos efectivos,
através da avaliação da sua eficácia e eficiência e
promovendo uma melhoria contínua.”
(IIA, N 2130)
Controlo e auditoria (II)
“A actividade de auditoria interna tem que avaliar a
adequação e eficácia dos controlos em resposta aos
riscos relativos ao governo da organização, operações e
sistemas de informação da organização, quanto a:
- Fiabilidade e integridade da informação financeira e
operacional;
- Eficácia e eficiência das operações;
- Salvaguarda dos activos;
- Conformidade com as leis, regulamentos e
contratos.”
O controlo interno é um processo levado a cabo pelo
conselho de administração, gestores e outro pessoal de
uma organização, concebido para fornecer segurança
razoável relativamente à consecução dos seguintes
grupos de objectivos:
- Eficácia e eficiência das operações.
- Fiabilidade do reporte financeiro.
- Conformidade com as leis e regulamentos
aplicáveis.
(Adaptado de Internal Control - Integrated Framework – COSO, 1992)
COSO - Committee of Sponsoring Organizations of the
Treadway Commission
• Constituído por: AAA, AICPA, FEI, IMA, IIA e PWC
• Principais trabalhos elaborados:
– Report of the National Commission on Fraudulent Financial
Reporting (1985)
– Internal Control – Integrated Framework (1992)
– ERM Enterprise Risk Management – Integrated Framework
(2004)
– Internal Control over Financial Reporting – Guidance for Smaller
Public Companies (2005)
– Guidance on Monitoring Internal Control (2009) – Improved Board Risk Oversight (2009)
1. Ambiente de controlo (integridade, ética, competência,
autoridade, responsabilidade, filosofia de gestão, cultura
organizacional, estrutura, politicas e práticas de RH)
2. Avaliação do risco (compatibilidade dos objectivos,
identificação dos riscos de não atingir os objectivos,
avaliação dos riscos mais críticos, definição de acções
para mitigar os riscos, riscos sobre as demonstrações
financeiras (riscos de existência, riscos de completude,
3. Actividades de controlo (aprovações, autorizações,
verificações, reconciliações, circularizações, revisões da
performance operacional, revisões da salvaguarda dos
activos, revisões da segregação de funções)
4. Monitorização (supervisão regular, avaliações
separadas)
5. Informação e comunicação (identificação, recolha e
comunicação da informação, forma e tempestividade da
comunicação, relatórios dos sistemas de informação,
informação gerada interna e externamente, mensagens
Ambiente de controlo
•
O que é o Ambiente de Controlo:
A atitude e acções do Conselho e da gestão a respeito
da relevância do controlo no seio da organização. O
ambiente de controlo proporciona a disciplina e a
estrutura necessárias para o alcance dos objectivos
primordiais do sistema de controlo interno. O ambiente
de controlo inclui os seguintes 6 elementos:
1. Integridade e valores éticos. 2. Filosofia e estilo de liderança. 3. Estrutura orgânica.
Ambiente de controlo
• “O ambiente de controlo é a fundação sobre a
qual um eficaz sistema de controlo interno é
construído e opera numa organização.” (IIA)
• “O ambiente de controlo fixa o tom geral da
organização, influenciando a consciência de
controlo das suas pessoas. É a fundação para
todas as outras componentes do controlo
Considerações preliminares
• Para uma auditoria ao ambiente de controlo (AC) é
fundamental conseguir identificar e avaliar os riscos de
falha em cada um dos 6 elementos (o COSO considera
7 elementos) do ambiente de controlo.
• A abordagem a estas auditorias ao AC tem várias
alternativas. O CAE deverá decidir qual a abordagem
preferível para a sua organização, e incluí-la no plano
anual de auditorias a realizar:
– uma única auditoria ao AC geral da organização;
– uma série de auditorias focando cada uma em alguns dos elementos do AC;
Considerações preliminares
• A auditoria ao AC de uma organização envolve a
discussão de temas e assuntos de grande sensibilidade,
pelo que é exigido ao CAE um planeamento cuidadoso
deste tipo de auditorias (acções preparatórias, reunião
de abertura do trabalho, maturidade das equipas a
Considerações práticas
• Considerações práticas para a realização deste tipo de
auditorias:
– Tem que haver o apoio (de princípio, ou obtido mediante discussão do assunto com a gestão), quer com a gestão de topo, quer do Conselho quer do comité de auditoria;
– A estrutura de reporte definida para a AI deve ser
suficientemente independente para assegurar que não há limitações de âmbito da equipa de auditoria;
– O CAE deve identificar e comunicar com clareza os critérios a utilizar na auditoria, para conforto quer dos auditados, quer da equipa de auditoria;
Considerações práticas
• Nas auditorias ao AC temos que auditar os chamados “soft controls”. Assim, nem sempre é adequado utilizar os tipos tradicionais de testes usuais noutros trabalhos.
• O auditor tem que “pensar fora do quadrado” e para obter evidência suficiente e competente pode ter que utilizar outros métodos tais como auto-avaliações, workshops, surveys, entrevistas,…
• A comunicação dos resultados destas auditorias exige um particular cuidado. A estrutura normal de reporte definida no internal audit
charter pode não ser apropriada para estes casos, dados os
Riscos de falha no AC
• Situações com impacto sobre os riscos de falha no AC
– Esquemas de compensação e incentivos podem contribuir para comportamentos não apropriados ou excessos de tomada de riscos.
– Alta taxa de rotação do pessoal em funções-chave pode
conduzir a faltas de experiência e menor fiabilidade na execução dos controlos.
– Ausência de um código de conduta ou de um processo de
avaliação da eficácia desse código, ausência de uma política e mecanismos de reporte obrigatório de irregularidades
Riscos de falha no AC
– Funções-chave podem ser realizadas por pessoas sem o
necessário nível de competência; o risco aumenta se houver a percepção de que a posição que ocupam deriva da sua especial relação com membros do Conselho ou da gestão de topo.
– O Conselho pode não realizar uma supervisão efectiva sobre as operações da organização e pode não compreender ou não
monitorizar o AC geral da organização.
– Gestores-chave da organização podem tomar decisões sem uma compreensão clara dos riscos relacionados com as suas decisões; a gestão pode não demonstrar uma consciência dos riscos e dos controlos nos seus processos de decisão.
– O processo de definição das funções e postos de trabalho para posições-chave pode ser fraco, as verificações sobre as
• Uma gestão eficaz dos riscos inclui avaliar e monitorizar não
apenas os riscos e controlos associados ao processo de negócio mas também os controlos relacionados com o ambiente de controlo da organização.
• Assim a avaliação da eficácia dos controlos sobre o ambiente de controlo tem que ser considerada nos compromissos de auditoria; senão, há o risco de que a avaliação dos controlos seja incompleta ou incorrecta, podendo conduzir a conclusões erradas.
• Por exemplo: ao realizar uma auditoria às contas a pagar, o auditor deve considerar riscos como:
Obter o apoio da gestão de
topo
• Auditar o ambiente de controlo envolve frequentemente
avaliar controlos que directa ou indirectamente são
realizados pela gestão de topo ou sob a sua orientação.
• A equipa de auditoria corre o risco de, no decorrer do
trabalho, ser questionada sobre a necessidade de ter
acesso a alguns indivíduos e alguma informação que
considera importante para o trabalho.
• As dificuldades e a particular sensibilidade destas
auditorias implicam a necessidade de o CAE
Obter o apoio da gestão de
topo
• Acções para mitigar esses riscos:
– Discutir a necessidade do acesso aos indivíduos e à informação na fase de planeamento;
– Assegurar que a carta de auditoria prevê o acesso aos indivíduos e à informação necessários;
– Obter o apoio expresso do Conselho ou do CEO para o
trabalho; nalguns casos o apoio do CFO pode ser suficiente; – Muito útil será uma comunicação escrita por parte do gestor
executivo instruindo a organização para a necessidade do acesso e da informação necessária;
– Presença de um executivo (o “executive sponsor”) na reunião de início do trabalho.
Critérios para avaliar o AC
• Critérios para avaliar o ambiente de controlo
– Utilização do sistema de rating em uso na organização, para avaliação dos controlos;
– Recurso a um modelo de maturidade, com diferentes níveis; – Recurso a objectivos especificamente fixados;
– Recurso a benchmarking entre organizações do mesmo sector ou unidades da mesma organização
• O CAE deve discutir com o Conselho e/ou gestão de
Os soft controls
• A auditoria de certos elementos do ambiente de controlo
incluirá uma revisão dos soft controls, tais como os que
se relacionam com a ética, integridade, competências,
comportamentos e percepções.
• São considerados soft controls porque pode ser difícil
obter evidência directa da sua efectiva operação através
de testes tradicionais de auditoria.
• Em alternativa aos métodos usuais de obtenção de
evidência em auditoria, utilizam-se workshops,
O processo de reporte
• O processo de reporte neste tipo de auditorias
– As normas de reporte constantes do manual de auditoria podem não ser aplicáveis a algumas destas auditorias
– Em muitas situações há que limitar a distribuição do relatório – Em outras há ainda que manter a sua confidencialidade
– A tempestividade da emissão do relatório depende de: • Significância dos findings identificados
• Momento da atestação trimestral sobre o controlo interno relativo ao reporte financeiro
• Sensibilidade dos assuntos identificados e tratados.
• Por razões de elevada sensibilidade dos findings, pode
o follow-up ter que ser assegurado pelo comité de
Elementos e atributos a
testar nas auditorias ao AC
1. Integridade e valores éticos
2. Importância do Conselho
3. Filosofia de gestão e estilo operacional
4. Estrutura organizacional
5. Compromisso com a competência
6. Autoridade e responsabilidade
Integridade e valores éticos
1. Integridade e valores éticos, particularmente da
gestão de topo, estão desenvolvidos e constituem o
standard na condução dos negócios / actividades.
– A gestão de topo desenvolveu uma declaração clara e articulada sobre os valores e comportamentos que é compreendida pelos gestores e pelo Conselho.
– A gestão de topo comunicou o seu compromisso com os valores éticos através de palavras e acções.
– A importância da integridade e valores éticos é comunicada e
reforçada a todo o pessoal, de forma adequada para a
organização.
– Estão definidos processos para monitorizar a conformidade da organização com os princípios de integridade e valores éticos. – Os desvios à integridade e valores éticos são prontamente
Importância do Conselho
2. O Conselho compreende e exerce a sua
responsabilidade de supervisão relativamente ao reporte
financeiro, às leis e regulamentos aplicáveis, à eficácia e
eficiência das operações e ao controlo interno.
– O Conselho avalia e monitoriza activamente
• O risco de fraude da gestão, pela ultrapassagem de controlos estabelecidos e os riscos que afectam o cumprimento dos objectivos do controlo interno
– O Conselho fornece supervisão sobre a eficácia do sistema de controlo interno.
– O Conselho supervisiona o trabalho de todas as funções de
auditoria, incluindo a auditoria interna e a externa, e interage
Importância do Conselho
– O Conselho dispõe de um número significativo de membros que são independentes da gestão.
– O Conselho dispõe de um ou mais membros competentes em
matérias financeiras.
– O Conselho reúne regularmente, várias vezes em sessão
Filosofia de gestão e estilo
operacional
3. A filosofia de gestão e o estilo operacional suportam a
existência de um efectivo controlo interno
– A filosofia de gestão e estilo operacional enfatizam um reporte interno e externo de alta qualidade e transparente, e a
importância de um efectivo controlo interno e gestão do risco. – A gestão estabelece e articula com clareza os objectivos do
controlo interno.
Estrutura organizacional
4. A estrutura organizacional suporta um efectivo
controlo interno.
– A gestão estabelece as responsabilidades de reporte interno para cada área funcional e unidade de negócios da organização. – A gestão mantem uma estrutura organizacional que facilita o
reporte efectivo e outras comunicações sobre o controlo interno entre várias funções e posições de gestão.
– As linhas de reporte da gestão reconhecem a importância de
manter processos para verificação objectiva da informação
Compromisso com a
competência
5. A organização retém indivíduos competentes em
reporte financeiro, controlo interno, gestão de risco e
respectiva supervisão.
– As competências que suportam um efectivo reporte financeiro, controlo interno e gestão de risco são identificadas.
– A organização emprega ou recorre a indivíduos que possuem
as necessárias competências em reporte financeiro, controlo
interno, conformidade e gestão de risco.
– As competências necessárias são regularmente avaliadas e
Autoridade e
responsabilidade
6. São atribuídos os necessário níveis de autoridade e
responsabilidade à gestão e aos empregados para
facilitar um efectivo controlo interno.
– O Conselho supervisiona os processos de gestão para a
definição de responsabilidades pelo controlo interno e gestão
de risco.
– A atribuição de responsabilidade e delegação de autoridade estão claramente definidas para todos os empregados
envolvidos nos processo de controlo interno, gestão do risco, conformidade e reporte financeiro.
Recursos humanos
7. Políticas e práticas de RH estão definidas e
implementadas para facilitar um efectivo controlo
interno.
– A gestão estabelece politicas e procedimentos de RH que demonstram o seu compromisso com a integridade,
comportamento ético e competência.
– O recrutamento e a retenção de pessoal para posições-chave são orientados por princípios de integridade e pelas
competências associadas às respectivas posições.
– A gestão apoia os empregados fornecendo-lhes acesso às
ferramentas e à formação necessária para realizarem as suas funções.
Exemplo de teste de auditoria
para um atributo do AC
• Para cada um dos elementos e atributos, a organização deve ter definido os controlos adequados para obter segurança razoável de que os princípios, elementos e atributos do ambiente de controlo serão atingidos. O auditor testará esses controlos.
• Exemplo: “As avaliações da performance dos empregados e as práticas de compensação da organização, incluindo as relativas à gestão de topo, suportam a consecução dos objectivos do controlo interno.”
• Um controlo: está definido por escrito um processo fixando os
objectivos, as formas de avaliação e os montantes de compensação para diversos níveis de desempenho;
• Um teste: Obter e rever o documento que fixa essas regras; verificar a sua consistência; verificar que as regras mais importantes estão
Documentação relevante
• IPPF – International Professional Practices Framework (IIA, 2011). • Practice Guide “Auditing the Control Environment” (IIA, Abril 2011). • Best Practices in Evaluating the Corporate Culture - James Roth
(IIARF, 2010).
• Internal Control – An Integrated Framework (COSO, 1992).
• Contactos:
• www.ipai.pt
