AUDITAR O AMBIENTE DE CONTROLO DAS ORGANIZAÇÕESAUDITAR O AMBIENTE DE CONTROLO DAS ORGANIZAÇÕES -...

II Forum AI Saúde - F. Melo Albino - 30.05.12 1

AUDITAR O AMBIENTE DE

CONTROLO DAS ORGANIZAÇÕES - Uma introdução

II FÓRUM DE AUDITORES INTERNOS DA SAÚDE

Coimbra, ISCAC, 30 de Maio de 2012

Apresentação de

Francisco Melo Albino, CIA, CCSA, CGAP

Vice-Presidente da Direcção do IPAI

II Forum AI Saúde - F. Melo Albino - 30.05.12 2 2

IPAI (I)

• IPAI - Instituto Português de Auditoria Interna

• Associação profissional, voluntária, fundada em 1992

• 860 associados individuais

• 42 associados colectivos

• 107 CIAs, 52 CCSAs, 2 CFSAs e 4 CGAPs.

• Capítulo (chapter) #253 do IIA e membro da ECIIA

• Principais actividades: – promoção da AI

– formação

– edição portuguesa das normas profissionais

– conferência e forum anuais

– edição de revista “Auditoria Interna”

– distribuição em Portugal da revista “Internal Auditor”


IPAI (II)

– dinamização de núcleos especializados de auditoria interna

– cursos de preparação para os exames de certificação

– apoio à criação de gabinetes de auditoria interna

– interlocutor dos reguladores e autoridades públicas, no domínio

da auditoria interna.

• www.ipai.pt

• [email protected]

http://www.ipai.pt/


IIA (I)

• IIA – The Institute of Internal Auditors • Fundado em 1941, com sede em Orlando, Florida, EUA

• É a organização mundial da Auditoria Interna

• Segue o lema “progress through sharing”

• Tem 170 000 membros, em 165 países

• Edita as revistas Internal Auditor, Tone at the Top, Auditwire, IT Audit, IIA Insight

• Edita várias newsletters especializadas: GAP News, FSA Times, CSA Sentinel, Gaming Auditorium, CAE Bulletin

• Emite as Normas Internacionais para a Prática Profissional de Auditoria Interna - IPPF (traduzidas em 32 línguas)

www.theiia.org


IIA (II)

• Participa, com outras organizações profissionais, na elaboração de normas e documentos de referência sobre domínios conexos com a Auditoria Interna (COSO, por exemplo).

• Mantém uma fundação de pesquisa científica sobre riscos, controlos e governação das organizações (IIARF)

• Tem programas de certificação profissional, sendo o principal o CIA (Certified Internal Auditor)

• Conta com 100000 CIAs, 4100 CFSAs, 3600 CCSAs e 1600 CGAPs.

• O seu site na internet é uma fonte de informação notável, indispensável para qualquer AI

• É um centro de apoio para os AIs em todo o mundo.


ECIIA (I)

• ECIIA - European Confederation of Institutes of Internal Auditing

• Sede em Bruxelas.

• Membros: 33 institutos nacionais de auditoria interna da região europeia (incluindo Norte de África e Médio Oriente), ente os quais o IPAI

• Principais actividades: – Desenvolve estudos sobre a profissão de Auditoria Interna, ao

nível Europeu

– Promove a profissão de AI perante as instâncias comunitárias

– Realiza uma conferência anual numa das capitais euroepias (a última em Berlim, a próxima em Roma; foi em Lisboa em 1993)


ECIIA (II)

- Publica importantes documentos sobre a profissão de AI, sob

uma perspectiva europeia:

• The Role of Internal Audit in Corporate Governance in Europe:

Current Status, Necessary Improvements, Future Tasks

• Internal Auditing In Europe

• Corporate Governance and the Role of Internal Auditing

• Internal Control and Internal Auditing - Guidance for Directors,

Managers and Auditors

• Banking Internal Auditing in Europe: Overview and

Recommendations by the Banking Advisory Group

www.eciia.org


Auditoria Interna

• A Auditoria Interna é uma actividade

independente de garantia e de consultoria,

concebida para acrescentar valor e melhorar as

operações de uma organização. Assiste a

organização na consecução dos seus

objectivos, através de uma abordagem

sistemática e disciplinada na avaliação e

aperfeiçoamento da eficácia dos processos de

gestão do risco, de controlo e de governação. (IIA, 1999 - tradução do IPAI)


São predominantemente emitidas por associações

profissionais (e não por organismos governamentais).

Para a auditoria de organizações governamentais há

normas emitidas por entidades públicas a par das

emitidas por associações profissionais.

São vinculativas para os profissionais respectivos, no

exercício da profissão.

Normas de Auditoria


Visam regulamentar:

• As condições exigidas para assegurar a independência dos profissionais

• A competência profissional

• A metodologia

– de planeamento

– de execução

– de documentação

• A elaboração e o conteúdo dos relatórios

• A tipologia das conclusões.

Normas de Auditoria


• IPPF – International Professional Practices

Framework

– Mandatory Guidance

– Strongly Recommended Guidance

• Enquadramento Internacional de Práticas

Profissionais de Auditoria Interna

– Orientações Obrigatórias

– Orientações Fortemente Recomendadas

(tradução do IPAI)

Normas de Auditoria Interna


IPPF -

- International

Professional

Practices

Framework

(IIA)

Orientações do IIA


1. Definição de auditoria interna

2. Código de ética

3. Normas para a prática profissional de auditoria interna (Standards)

a. Normas de atributos

b. Normas de desempenho

c. Normas de implementação a. A-assurance;

b. C-consulting

d. Glossário

Orientações do IIA Orientações obrigatórias


• Tomadas de posição (Position papers)

- textos sobre governação, risco e controlo e o papel

da AI nas organizações.

• Recomendações de práticas (Practice

advisories)

- textos com detalhes de aplicação das normas a

diferentes situações e organizações.

• Guias de práticas (Practice guides)

– orientações detalhadas para os AI, como

ferramentas, técnicas, programas, exemplos.

Orientações do IIA Orientações fortemente recomendadas


Normas Internacionais para a Prática

Profissional de Auditoria Interna

• Normas de Atributos

– 1000 – Objectivo, Autoridade e Responsabilidade

– 1100 – Independência e Objectividade

– 1200 – Proficiência e Adequado Cuidado Profissional

– 1300 – Programa de Garantia da Qualidade e de

Aperfeiçoamento

Normas do IIA


• Normas de Desempenho

– 2000 – Gestão da Actividade de Auditoria Interna

– 2100 – Natureza do Trabalho

– 2200 – Planeamento do Trabalho

– 2300 – Realização do Trabalho

– 2400 – Comunicação dos Resultados

– 2500 – Monitorização do Progresso

– 2600 – Resolução da Aceitação dos Riscos pela

Gestão Superior

Normas do IIA


• 2100 – Natureza do Trabalho – 2110 – Governação (“Governance”)

– 2120 – Gestão do Risco

– 2130 -- Controlo

Normas de desempenho

(IIA)


Controlo e auditoria (I)

“A actividade de auditoria interna tem que assistir a

organização na manutenção de controlos efectivos,

através da avaliação da sua eficácia e eficiência e

promovendo uma melhoria contínua.”

(IIA, N 2130)

Controlo e auditoria interna


Controlo e auditoria (II)

“A actividade de auditoria interna tem que avaliar a adequação e eficácia dos controlos em resposta aos riscos relativos ao governo da organização, operações e sistemas de informação da organização, quanto a:

- Fiabilidade e integridade da informação financeira e operacional;

- Eficácia e eficiência das operações;

- Salvaguarda dos activos;

- Conformidade com as leis, regulamentos e contratos.”

(IIA, N 2130.A1)

Controlo e auditoria interna


O controlo interno é um processo levado a cabo pelo

conselho de administração, gestores e outro pessoal de

uma organização, concebido para fornecer segurança

razoável relativamente à consecução dos seguintes

grupos de objectivos:

- Eficácia e eficiência das operações.

- Fiabilidade do reporte financeiro.

- Conformidade com as leis e regulamentos aplicáveis.

(Adaptado de Internal Control - Integrated Framework – COSO, 1992)

Sistema de controlo interno


COSO - Committee of Sponsoring Organizations of the Treadway Commission

• Constituído por: AAA, AICPA, FEI, IMA, IIA e PWC

• Principais trabalhos elaborados: – Report of the National Commission on Fraudulent Financial

Reporting (1985)

– Internal Control – Integrated Framework (1992)

– ERM Enterprise Risk Management – Integrated Framework (2004)

– Internal Control over Financial Reporting – Guidance for Smaller Public Companies (2005)

– Guidance on Monitoring Internal Control (2009)

– Improved Board Risk Oversight (2009)

• www.coso.org

COSO


Componentes do controlo interno

1. Ambiente de controlo

2. Avaliação do risco

3. Actividades de controlo

4. Monitorização

5. Informação e comunicação

COSO


1. Ambiente de controlo (integridade, ética, competência,

autoridade, responsabilidade, filosofia de gestão, cultura

organizacional, estrutura, politicas e práticas de RH)

2. Avaliação do risco (compatibilidade dos objectivos,

identificação dos riscos de não atingir os objectivos,

avaliação dos riscos mais críticos, definição de acções

para mitigar os riscos, riscos sobre as demonstrações

financeiras (riscos de existência, riscos de completude,

riscos sobre direitos e obrigações))

Componentes do controlo

interno


3. Actividades de controlo (aprovações, autorizações, verificações, reconciliações, circularizações, revisões da performance operacional, revisões da salvaguarda dos activos, revisões da segregação de funções)

4. Monitorização (supervisão regular, avaliações separadas)

5. Informação e comunicação (identificação, recolha e comunicação da informação, forma e tempestividade da comunicação, relatórios dos sistemas de informação, informação gerada interna e externamente, mensagens da gestão de topo sobre a importância do controlo).

Componentes do controlo

interno


Ambiente de controlo

• O que é o Ambiente de Controlo:

A atitude e acções do Conselho e da gestão a respeito da relevância do controlo no seio da organização. O ambiente de controlo proporciona a disciplina e a estrutura necessárias para o alcance dos objectivos primordiais do sistema de controlo interno. O ambiente de controlo inclui os seguintes 6 elementos: 1. Integridade e valores éticos.

2. Filosofia e estilo de liderança.

3. Estrutura orgânica.

4. Delegação de autoridade e responsabilidade.

5. Políticas e práticas de recursos humanos.

6. Competência do pessoal. (IPPF – Glossário)


Ambiente de controlo

• “O ambiente de controlo é a fundação sobre a qual um eficaz sistema de controlo interno é construído e opera numa organização.” (IIA)

• “O ambiente de controlo fixa o tom geral da organização, influenciando a consciência de controlo das suas pessoas. É a fundação para todas as outras componentes do controlo interno, fornecendo a respectiva disciplina e a estrutura.” (COSO)


Considerações preliminares

• Para uma auditoria ao ambiente de controlo (AC) é fundamental conseguir identificar e avaliar os riscos de falha em cada um dos 6 elementos (o COSO considera 7 elementos) do ambiente de controlo.

• A abordagem a estas auditorias ao AC tem várias alternativas. O CAE deverá decidir qual a abordagem preferível para a sua organização, e incluí-la no plano anual de auditorias a realizar: – uma única auditoria ao AC geral da organização;

– uma série de auditorias focando cada uma em alguns dos elementos do AC;

– auditorias a controlos sobre riscos específicos, avaliando controlos sobre o AC mas também dentro dos processos de negócio/actividade da organização.


Considerações preliminares

• A auditoria ao AC de uma organização envolve a

discussão de temas e assuntos de grande sensibilidade,

pelo que é exigido ao CAE um planeamento cuidadoso

deste tipo de auditorias (acções preparatórias, reunião

de abertura do trabalho, maturidade das equipas a

envolver, metodologias não usuais).


Considerações práticas

• Considerações práticas para a realização deste tipo de auditorias: – Tem que haver o apoio (de princípio, ou obtido mediante

discussão do assunto com a gestão), quer com a gestão de topo, quer do Conselho quer do comité de auditoria;

– A estrutura de reporte definida para a AI deve ser suficientemente independente para assegurar que não há limitações de âmbito da equipa de auditoria;

– O CAE deve identificar e comunicar com clareza os critérios a utilizar na auditoria, para conforto quer dos auditados, quer da equipa de auditoria;

– Em grandes organizações multinacionais, devem ser consideradas as diferenças na cultura de gestão, na linguagem, na legislação em diferentes ambientes regionais ou nacionais.


Considerações práticas

• Nas auditorias ao AC temos que auditar os chamados “soft controls”. Assim, nem sempre é adequado utilizar os tipos tradicionais de testes usuais noutros trabalhos.

• O auditor tem que “pensar fora do quadrado” e para obter evidência suficiente e competente pode ter que utilizar outros métodos tais como auto-avaliações, workshops, surveys, entrevistas,…

• A comunicação dos resultados destas auditorias exige um particular cuidado. A estrutura normal de reporte definida no internal audit charter pode não ser apropriada para estes casos, dados os aspectos de confidencialidade, tempestividade, o envolvimento da gestão de topo e da função RH.


Riscos de falha no AC

• Situações com impacto sobre os riscos de falha no AC – Esquemas de compensação e incentivos podem contribuir para

comportamentos não apropriados ou excessos de tomada de riscos.

– Alta taxa de rotação do pessoal em funções-chave pode conduzir a faltas de experiência e menor fiabilidade na execução dos controlos.

– Ausência de um código de conduta ou de um processo de avaliação da eficácia desse código, ausência de uma política e mecanismos de reporte obrigatório de irregularidades (mismanagement, waste, abuse and fraud), um elevado número de irregularidades e fraudes reportadas, a ultrapassagem por parte da gestão de controlos estabelecidos, podem conduzir a acções inapropriadas que não sejam detectadas e tratadas tempestivamente.


Riscos de falha no AC

– Funções-chave podem ser realizadas por pessoas sem o necessário nível de competência; o risco aumenta se houver a percepção de que a posição que ocupam deriva da sua especial relação com membros do Conselho ou da gestão de topo.

– O Conselho pode não realizar uma supervisão efectiva sobre as operações da organização e pode não compreender ou não monitorizar o AC geral da organização.

– Gestores-chave da organização podem tomar decisões sem uma compreensão clara dos riscos relacionados com as suas decisões; a gestão pode não demonstrar uma consciência dos riscos e dos controlos nos seus processos de decisão.

– O processo de definição das funções e postos de trabalho para posições-chave pode ser fraco, as verificações sobre as referências de experiência e historial de desempenho podem não ser consistentemente realizadas ou a organização tem dificuldade em recrutar e reter pessoal qualificado.


• Uma gestão eficaz dos riscos inclui avaliar e monitorizar não apenas os riscos e controlos associados ao processo de negócio mas também os controlos relacionados com o ambiente de controlo da organização.

• Assim a avaliação da eficácia dos controlos sobre o ambiente de controlo tem que ser considerada nos compromissos de auditoria; senão, há o risco de que a avaliação dos controlos seja incompleta ou incorrecta, podendo conduzir a conclusões erradas.

• Por exemplo: ao realizar uma auditoria às contas a pagar, o auditor deve considerar riscos como: – O pessoal encarregado da função e o responsável pela aprovação das

facturas para pagamento está alinhado com a cultura e ética da organização?

– As práticas de recrutamento para a função de responsável das contas a pagar é eficaz e dá garantia quanto à experiência e referências exigidas para essa função?


Obter o apoio da gestão de

topo

• Auditar o ambiente de controlo envolve frequentemente avaliar controlos que directa ou indirectamente são realizados pela gestão de topo ou sob a sua orientação.

• A equipa de auditoria corre o risco de, no decorrer do trabalho, ser questionada sobre a necessidade de ter acesso a alguns indivíduos e alguma informação que considera importante para o trabalho.

• As dificuldades e a particular sensibilidade destas auditorias implicam a necessidade de o CAE desenvolver um processo para a obtenção do apoio por parte da gestão de topo.

•


Obter o apoio da gestão de

topo

• Acções para mitigar esses riscos: – Discutir a necessidade do acesso aos indivíduos e à informação

na fase de planeamento;

– Assegurar que a carta de auditoria prevê o acesso aos indivíduos e à informação necessários;

– Obter o apoio expresso do Conselho ou do CEO para o trabalho; nalguns casos o apoio do CFO pode ser suficiente;

– Muito útil será uma comunicação escrita por parte do gestor executivo instruindo a organização para a necessidade do acesso e da informação necessária;

– Presença de um executivo (o “executive sponsor”) na reunião de início do trabalho.

– Reuniões com os executivos responsáveis pelas áreas em que será necessário o acesso, clarificando a informação necessária;

– Pode ter que recorrer ao apoio directo do CEO ou mesmo do Conselho, em situações de reiterada negação de acesso.


Critérios para avaliar o AC

• Critérios para avaliar o ambiente de controlo – Utilização do sistema de rating em uso na organização, para

avaliação dos controlos;

– Recurso a um modelo de maturidade, com diferentes níveis;

– Recurso a objectivos especificamente fixados;

– Recurso a benchmarking entre organizações do mesmo sector ou unidades da mesma organização

• O CAE deve discutir com o Conselho e/ou gestão de topo e, se possível, obter o seu acordo sobre os critérios a usar para medir a eficácia do ambiente de controlo.


Os soft controls

• A auditoria de certos elementos do ambiente de controlo incluirá uma revisão dos soft controls, tais como os que se relacionam com a ética, integridade, competências, comportamentos e percepções.

• São considerados soft controls porque pode ser difícil obter evidência directa da sua efectiva operação através de testes tradicionais de auditoria.

• Em alternativa aos métodos usuais de obtenção de evidência em auditoria, utilizam-se workshops, questionários de auto-avaliação, surveys e técnicas similares.


O processo de reporte

• O processo de reporte neste tipo de auditorias – As normas de reporte constantes do manual de auditoria podem

não ser aplicáveis a algumas destas auditorias

– Em muitas situações há que limitar a distribuição do relatório

– Em outras há ainda que manter a sua confidencialidade

– A tempestividade da emissão do relatório depende de:

• Significância dos findings identificados

• Momento da atestação trimestral sobre o controlo interno relativo ao reporte financeiro

• Sensibilidade dos assuntos identificados e tratados.

• Por razões de elevada sensibilidade dos findings, pode o follow-up ter que ser assegurado pelo comité de auditoria ou mesmo pelo Conselho.


Elementos e atributos a

testar nas auditorias ao AC

1. Integridade e valores éticos

2. Importância do Conselho

3. Filosofia de gestão e estilo operacional

4. Estrutura organizacional

5. Compromisso com a competência

6. Autoridade e responsabilidade

7. Recursos humanos


Integridade e valores éticos

1. Integridade e valores éticos, particularmente da gestão de topo, estão desenvolvidos e constituem o standard na condução dos negócios / actividades. – A gestão de topo desenvolveu uma declaração clara e

articulada sobre os valores e comportamentos que é compreendida pelos gestores e pelo Conselho.

– A gestão de topo comunicou o seu compromisso com os valores éticos através de palavras e acções.

– A importância da integridade e valores éticos é comunicada e reforçada a todo o pessoal, de forma adequada para a organização.

– Estão definidos processos para monitorizar a conformidade da organização com os princípios de integridade e valores éticos.

– Os desvios à integridade e valores éticos são prontamente identificados e tratados e corrigidos aos níveis adequados da organização.


Importância do Conselho

2. O Conselho compreende e exerce a sua responsabilidade de supervisão relativamente ao reporte financeiro, às leis e regulamentos aplicáveis, à eficácia e eficiência das operações e ao controlo interno. – O Conselho avalia e monitoriza activamente

• O risco de fraude da gestão, pela ultrapassagem de controlos estabelecidos e os riscos que afectam o cumprimento dos objectivos do controlo interno

– O Conselho fornece supervisão sobre a eficácia do sistema de controlo interno.

– O Conselho supervisiona o trabalho de todas as funções de auditoria, incluindo a auditoria interna e a externa, e interage com os auditores dos reguladores, se necessário. O Conselho tem a autoridade exclusiva para recrutar, despedir e determinar a compensação da firma de auditoria externa e do CAE.


Importância do Conselho

– O Conselho dispõe de um número significativo de membros

que são independentes da gestão.

– O Conselho dispõe de um ou mais membros competentes em

matérias financeiras.

– O Conselho reúne regularmente, várias vezes em sessão

executiva, e dedica o tempo e recursos suficientes para cumprir

adequadamente as suas funções.


Filosofia de gestão e estilo

operacional

3. A filosofia de gestão e o estilo operacional suportam a

existência de um efectivo controlo interno

– A filosofia de gestão e estilo operacional enfatizam um reporte

interno e externo de alta qualidade e transparente, e a

importância de um efectivo controlo interno e gestão do risco.

– A gestão estabelece e articula com clareza os objectivos do

controlo interno.

– A gestão segue um processo disciplinado e objectivo de

desenvolver os objectivos do controlo interno.


Estrutura organizacional

4. A estrutura organizacional suporta um efectivo controlo interno. – A gestão estabelece as responsabilidades de reporte interno

para cada área funcional e unidade de negócios da organização.

– A gestão mantem uma estrutura organizacional que facilita o reporte efectivo e outras comunicações sobre o controlo interno entre várias funções e posições de gestão.

– As linhas de reporte da gestão reconhecem a importância de manter processos para verificação objectiva da informação gerada pelos sistemas de informação da organização.


Compromisso com a

competência

5. A organização retém indivíduos competentes em reporte financeiro, controlo interno, gestão de risco e respectiva supervisão. – As competências que suportam um efectivo reporte financeiro,

controlo interno e gestão de risco são identificadas.

– A organização emprega ou recorre a indivíduos que possuem as necessárias competências em reporte financeiro, controlo interno, conformidade e gestão de risco.

– As competências necessárias são regularmente avaliadas e mantidas.


Autoridade e

responsabilidade

6. São atribuídos os necessário níveis de autoridade e responsabilidade à gestão e aos empregados para facilitar um efectivo controlo interno. – O Conselho supervisiona os processos de gestão para a

definição de responsabilidades pelo controlo interno e gestão de risco.

– A atribuição de responsabilidade e delegação de autoridade estão claramente definidas para todos os empregados envolvidos nos processo de controlo interno, gestão do risco, conformidade e reporte financeiro.

– A atribuição de autoridade e responsabilidade inclui a definição de limites apropriados.


Recursos humanos

7. Políticas e práticas de RH estão definidas e implementadas para facilitar um efectivo controlo interno. – A gestão estabelece politicas e procedimentos de RH que

demonstram o seu compromisso com a integridade, comportamento ético e competência.

– O recrutamento e a retenção de pessoal para posições-chave são orientados por princípios de integridade e pelas competências associadas às respectivas posições.

– A gestão apoia os empregados fornecendo-lhes acesso às ferramentas e à formação necessária para realizarem as suas funções.

– As avaliações da performance dos empregados e as práticas de compensação da organização, incluindo as relativas à gestão de topo, suportam a consecução dos objectivos do controlo interno.

Exemplo de teste de auditoria

para um atributo do AC

• Para cada um dos elementos e atributos, a organização deve ter

definido os controlos adequados para obter segurança razoável de

que os princípios, elementos e atributos do ambiente de controlo

serão atingidos. O auditor testará esses controlos.

• Exemplo: “As avaliações da performance dos empregados e as

práticas de compensação da organização, incluindo as relativas à

gestão de topo, suportam a consecução dos objectivos do controlo

interno.”

• Um controlo: está definido por escrito um processo fixando os

objectivos, as formas de avaliação e os montantes de compensação

para diversos níveis de desempenho;

• Um teste: Obter e rever o documento que fixa essas regras; verificar a

sua consistência; verificar que as regras mais importantes estão

definidas; testar a sua aplicação em X casos.



Documentação relevante

• IPPF – International Professional Practices Framework (IIA, 2011).

• Practice Guide “Auditing the Control Environment” (IIA, Abril 2011).

• Best Practices in Evaluating the Corporate Culture - James Roth

(IIARF, 2010).

• Internal Control – An Integrated Framework (COSO, 1992).

• Contactos:

• www.ipai.pt



http://www.ipai.pt/

mailto:[email protected]

mailto:[email protected]

AUDITAR O AMBIENTE DE CONTROLO DAS ORGANIZAÇÕESAUDITAR O AMBIENTE DE CONTROLO DAS ORGANIZAÇÕES -...

Documents

Transcript of AUDITAR O AMBIENTE DE CONTROLO DAS ORGANIZAÇÕESAUDITAR O AMBIENTE DE CONTROLO DAS ORGANIZAÇÕES -...