Upload
phungdan
View
215
Download
0
Embed Size (px)
Citation preview
IPPF – Guia Prático Auditando o Ambiente de Controle
Guia Prático
AUDITANDO O
AMBIENTE DE CONTROLE
Março de 2012
IPPF – Guia Prático Auditando o Ambiente de Controle
Índice
Sumário Executivo .......................................................................................................................................... 3
Introdução ...................................................................................................................................................... 4
O Ambiente de Controle de uma Organização ............................................................................................... 4
Escopo e Abordagem da Auditoria do Ambiente de Controle ......................................................................... 5
Considerações Práticas na Auditoria do Ambiente de Controle .................................................................... 9
Como Auditar o Ambiente de Controle ......................................................................................................... 12
Avaliando as Deficiências do Ambiente de Controle ................................................................................... 13
Comunicação dos Resultados ...................................................................................................................... 14
Anexo ............................................................................................................................................................ 16
Autores ......................................................................................................................................................... 43
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 3 Este Guia Prático foi traduzido com o apoio de:
Sumário Executivo O ambiente de controle1 é a base de um sistema
eficaz de controle interno. A maior parte dos erros
promovidos em massa (incluindo não apenas a
Enron e a WorldCom, mas também as falhas de
governança que levaram à crise financeira de 2008)
foi, ao menos em parte, resultado de ambientes
fracos de controle. Na ausência de um ambiente de
controle demonstravelmente eficaz, nenhum nível de
eficácia no “desenvolvimento e operação” dos
controles dentro dos processos de negócio e TI
poderia prestar uma avaliação suficiente às partes
interessadas quanto à integridade da estrutura de
controle interno de uma organização.
O Glossário das Normas Internacionais para a Prática
Profissional de Auditoria Interna (Normas) define o
ambiente de controle como:
Atitudes e ações do conselho e da administração em
relação à importância dos controles dentro da
organização. O ambiente de controle proporciona a
disciplina e a estrutura para se atingir os principais
objetivos do sistema de controle interno. O ambiente
de controle inclui os seguintes elementos:
• Integridade e valores éticos.
• Filosofia e estilo operacional da
administração.
• Estrutura organizacional.
• Atribuição de autoridade e responsabilidade.
• Políticas e práticas de recursos humanos.
• Competência do pessoal.
É central a qualquer abordagem à auditoria do
ambiente de controle a avaliação dos riscos por conta
de falhas em cada um dos seis elementos do
ambiente de controle, conforme definidos no
glossário das Normas. A partir da determinação dos
1 Como o “ambiente de controle” inclui a avaliação da cultura de uma organização, incentivamos que o leitor deste Guia Prático leia também a publicação “Best Practices: Evaluating the Corporate Culture” de James Roth, IIARF, 2010.
riscos relacionados a cada um dos seis elementos do
ambiente de controle, o diretor executivo de
auditoria (DEA) pode considerar a inclusão, em seu
plano anual de auditoria, de uma ou mais auditorias
dos principais riscos do ambiente de controle. O
DEA pode escolher abordar esses riscos em (1) uma
única auditoria do ambiente de controle da
organização, (2) uma série de auditorias focadas nos
aspectos do ambiente de controle e (3) auditorias de
controles sobre riscos específicos (ex., o escopo
inclui a avaliação de controles aplicados dentro do
ambiente de controle, assim como dentro de
processos de negócio). Já que a auditoria do
ambiente de controle de uma organização
frequentemente envolverá a discussão de questões
delicadas, o DEA deve planejar e executar estas
auditorias com diligência.
Há muitas considerações práticas a que o DEA deve
prestar atenção durante o planejamento e execução
de uma auditoria relativa ao ambiente de controle.
Em primeiro lugar, deve haver apoio ou adesão por
parte da alta administração e/ou do conselho ou
comitê de auditoria para tal auditoria. Segundo, a
estrutura de reporte da auditoria interna deve ser
independente o suficiente para garantir limitações
mínimas ou quase nulas no escopo da equipe de
auditoria. Terceiro, o DEA deve articular e
comunicar claramente os critérios a serem usados,
para o benefício do auditado e dos membros da
equipe de auditoria, na avaliação do ambiente de
controle. Por fim, a atenção devida deve ser dada às
diferenças na cultura do negócio, idioma, legislação
local, etc., durante a condução de tais auditorias em
uma organização global.
E porque a auditoria do ambiente de controle inclui
auditar controles “informais”, algumas das
abordagens e ferramentas tradicionais de teste
podem não permitir a coleta de evidências diretas
suficientes para sua operação eficaz. O auditor
precisará pensar “fora da caixa” para coletar materiais
de evidência suficientes e competentes em tais
auditorias, para garantir que as descobertas de
auditoria não sejam contestadas por conta da
ausência de procedimentos e evidências rigorosos.
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 4 Este Guia Prático foi traduzido com o apoio de:
Deficiências do ambiente de controle precisam ser
avaliadas individualmente e deve-se entender como
elas interagem ou impactam outros controles na
organização. As ações corretivas, às vezes, podem ser
levadas além do ambiente imediato de controle sob
avaliação.
A comunicação das descobertas da auditoria do
ambiente de controle envolve muitas considerações
práticas, tais como determinar a pertinência do
formato do relatório padrão de auditoria, limitações à
distribuição do relatório de auditoria, a natureza
confidencial das descobertas, oportunidade e o
envolvimento das funções do conselheiro geral e de
recursos humanos (RH) como patrocinadores
coexecutivos ou em papel de suporte, etc.
Auditar o ambiente de controle ou um ou mais de
seus elementos isoladamente ou como parte de
outras auditorias internas não é apenas consistente
com a intenção de diversas normas dentro da
Estrutura Internacional de Práticas Profissionais
(IPPF), como também agrega valor à organização.
Introdução O ambiente de controle é a base sobre a qual um
sistema eficaz de controle interno é construído e
operado em uma organização que busca (1) atingir
seus objetivos estratégicos, (2) fornecer relatórios
financeiros confiáveis a partes interessadas internas
e externas, (3) operar seu negócio com eficácia e
eficiência, (4) estar em conformidade com as leis e
regulamentos aplicáveis e (5) salvaguardar seus
ativos. Parte da culpa pela crise financeira de 2008 e
outros fracassos famosos no século XXI podem ser
apropriadamente atribuídos a falhas no ambiente de
controle.
O propósito deste Guia Prático é fornecer
orientações ao auditor interno quanto à importância
do ambiente de controle; como determinar quais
elementos do ambiente de controle devem ser
abordados por trabalhos no plano periódico de
auditoria; como definir o escopo, a equipe e o
planejamento de tais trabalhos; e quais itens
considerar na condução do trabalho de auditoria
relacionado, incluindo a avaliação e o reporte de
deficiências.
Concentrar-se apenas na avaliação e reporte dos
controles dentro de processos de negócio e TI, sem
avaliar e reportar quanto ao risco relativo a falhas no
ambiente de controle, pode ser um desvio dos
aspectos fundamentais da base da organização. O
ambiente de controle de uma entidade é a base de
toda a estrutura de controle interno da organização –
financeiro, operacional e de conformidade –,
incluindo a salvaguarda dos ativos. Os auditores
internos precisam considerar, no desenvolvimento
dos planos de auditoria anuais (e de outras
periodicidades) e no planejamento de cada auditoria
individual, o risco de falhas no ambiente de controle.
As Normas definem o ambiente de controle como
“atitudes e ações do conselho e da administração em
relação à importância dos controles dentro da
organização”. Especificamente, a Norma 2130:
Controle declara que “a atividade de auditoria
interna deve auxiliar a organização a manter
controles efetivos a partir da avaliação da sua
eficácia e eficiência e da promoção de melhorias
contínuas.” Além disso, a Norma 2130.A1: Controle
declara que “a atividade de auditoria interna deve
avaliar a adequação e a eficácia dos controles em
resposta aos riscos, abrangendo a governança, as
operações e os sistemas de informação da
organização, com relação: ao alcance dos objetivos
estratégicos da organização; à confiabilidade e
integridade das informações financeiras e
operacionais; à eficácia e eficiência das operações e
programas; à salvaguarda dos ativos; e à
conformidade com leis, regulamentos, políticas e
procedimentos e contratos.”
O Ambiente de Controle de uma Organização O Committee of Sponsoring Organizations of the
Treadway Commission (COSO) publicou a Estrutura
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 5 Este Guia Prático foi traduzido com o apoio de:
Integrada de Controle Interno em 1992. Ela usa
uma definição muito similar àquela citada
anteriormente a partir do Glossário das Normas. O
Sumário Executivo declara:
“O ambiente de controle define o tom de uma
organização, influenciando a consciência de controle
de suas pessoas. É a base para todos os outros
componentes de controle interno, promovendo
disciplina e estrutura. Os fatores do ambiente de
controle incluem a integridade, os valores éticos e a
competência das pessoas envolvidas na entidade; a
filosofia e estilo de operação da administração; a forma
como a administração delega autoridade e
responsabilidade e organiza e desenvolve seu pessoal; e
a atenção e direcionamento oferecidos pelo conselho de
administração.”
A obra Guidance on Control Number 1, do Conselho
do Canadian Institute of Chartered Accountants
Criteria of Control (CoCo), utiliza quatro critérios
como base de entendimento e avaliação da eficácia
da estrutura de controle interno de uma entidade:
propósito, comprometimento, capacidade, e
monitoramento e aprendizado. O critério de
comprometimento inclui os valores éticos
compartilhados, integridade, políticas e
procedimentos de RH, autoridade, responsabilidade
e prestação de contas, e uma atmosfera de confiança
mútua – essencialmente, a mesma definição que a
da estrutura de 1992 do COSO e das definições das
Normas do IIA.
Similarmente, a obra de orientação original de
Turnbull, Internal Control: Guidance for Directors on
the Combined Code, publicada pelo Institute of
Chartered Accountants of England and Wales em
1999, declara que “o sistema de controle interno de
uma empresa refletirá seu ambiente de controle, que
engloba sua estrutura organizacional. O sistema
incluirá: atividades de controle, processos de
informação e comunicação e processos para
monitoramento da eficácia contínua do sistema de
controle interno.”
Embora possam existir diferenças na linguagem de
controle no mundo, a intenção e os princípios são
parecidos e consistentes. Um ambiente de controle
eficaz funciona como uma pedra angular em uma
ponte, sem a qual, não importa o que aconteça, nem
o melhor material e artesanato conseguiriam
sustentar a ponte. Auditar o ambiente de controle e
avaliar sua eficácia é uma parte importante da
responsabilidade de avaliação do auditor.
Escopo e Abordagem da Auditoria do Ambiente de Controle Embora o ambiente de controle tenha um efeito
difundido sobre o gerenciamento de riscos e os
controles internos por toda a entidade, qualquer
abordagem à auditoria do ambiente de controle deve
incluir a avaliação dos riscos por conta de falhas em
cada elemento individual do ambiente de controle e
sua interação um com ou outro. Este Guia Prático
usa os seis elementos descritos na definição do
Glossário das Normas sobre o ambiente de controle:
Integridade e valores éticos
Filosofia de gestão e estilo de operação
Estrutura organizacional
Delegação de autoridade e responsabilidade
Políticas e procedimentos de RH
Competência do pessoal
O nível dos riscos pode variar de acordo com a
geografia, unidade, processo, etc. Por exemplo, o
nível de riscos relativos à integridade e valores éticos
pode ser maior em alguns locais do que em outros.
Algumas unidades de negócio podem ter uma força
de trabalho melhor estabelecida e experiente,
levando a uma redução significante dos riscos
associados à competência do pessoal em comparação
com unidades de negócio nas quais a rotatividade do
pessoal é alta.
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 6 Este Guia Prático foi traduzido com o apoio de:
Há diversos exemplos de situações que poderiam
influenciar a avaliação do risco de fracasso em um
ou mais elementos do ambiente de controle:
As estruturas de compensação e incentivo
podem contribuir com comportamentos
inapropriados ou a aceitação excessiva de
riscos.
Uma alta taxa de rotatividade de
funcionários em funções chave pode levar a
uma falta de experiência e uma execução
menos confiável dos controles. Isso pode ser
resultado de uma variedade de falhas no
ambiente de controle, incluindo a supervisão
ineficaz e outros problemas do processo de
RH.
A ausência de um código de conduta e ética
definido e/ou uma política de denúncias
anônimas, a falha em estabelecer um canal
de denúncias de ética, a ausência de um
processo para avaliar a eficácia do código de
conduta e da política de ética, um alto
número de fraudes relatadas ou a
superposição da administração sobre os
controles estabelecidos podem levar a
atividades inapropriadas não detectadas e
abordadas oportunamente.
Funções chave podem ser ocupadas por
pessoal que não possua o nível necessário de
competência. O nível de risco é aumentado
se houver uma percepção de que estas
pessoas se mantêm no cargo por conta de
sua relação com a alta administração, os
promotores ou diretores executivos do
conselho.
O conselho pode não supervisionar
eficazmente a condução das operações da
organização e pode não entender e monitorar
o amplo ambiente de controle
organizacional.
Os gerentes principais na organização podem
estar inclinados a tomar decisões de
negócios sem entender claramente os riscos
relacionados às suas decisões; a
administração pode não mostrar uma
consciência de risco e controle em sua
tomada de decisões.
Os processos relativos à definição das
descrições dos cargos para posições chave
podem ser fracos, verificações de histórico
e/ou referências podem não ser conduzidas
consistentemente ou a organização pode ter
dificuldade em contratar e reter indivíduos
qualificados.
Uma vez que o DEA tenha avaliado os riscos
relativos a cada um dos seis elementos do ambiente
de controle, ele poderá incluir uma ou mais
auditorias dos mais altos riscos do ambiente de
controle no plano de auditoria anual. O DEA pode
determinar a frequência da auditoria do ambiente de
controle com base em sua avaliação do risco de
falhas de controle associadas a um ou mais
elementos do ambiente de controle.
O DEA pode decidir abordar os riscos em:
Uma única auditoria da organização toda.
Uma série de auditorias, cada uma
abordando aspectos específicos do ambiente
de controle (tais como o canal de denúncias
de ética, as operações do conselho e do
comitê, etc.).
Auditorias do ambiente de controle dentro
de divisões específicas de unidades
operacionais.2
Uma variação dos itens acima.
Por exemplo, se unidades operacionais individuais
tiverem suas próprias políticas de ética e comitês de
conformidade autônomos, auditorias separadas do
2 Os riscos relativos ao ambiente de controle em um local ou dentro de uma unidade de negócio também podem ser inclusos como parte do escopo de trabalhos de auditoria individuais e mais amplos daquele local ou unidade de negócio. Por exemplo, uma auditoria de uma fábrica na China poderia incluir avaliações dos elementos do ambiente de controle (tais como código de conduta e consciência ética), assim como os controles sobre o inventário e aquisições. Uma auditoria de uma central de serviços compartilhada na Irlanda poderia incluir avaliações das práticas de RH, até controles de contabilidade e contas a pagar.
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 7 Este Guia Prático foi traduzido com o apoio de:
ambiente de controle em cada unidade podem ser a
melhor abordagem. Se cada divisão investigar
violações de ética com base nas diretrizes
organizacionais e denúncias recebidas por meio de
um canal de denúncias centralizado, uma auditoria
única de toda a organização, com foco nas
investigações, pode ser mais relevante. Se a
contratação e a filtragem de novos funcionários
forem consideradas atividades importantes do
ambiente de controle e este processo for
centralizado, uma auditoria de toda a organização
pode ser a melhor abordagem.
Embora o escopo e abordagem iniciais possam ser
alterados ao longo do tempo, conforme melhores
avaliações e conhecimentos do ambiente de controle
da organização vêm à tona, o DEA deve considerar:
Quais são os elementos do ambiente de
controle e seus atributos (política de ética,
governança do conselho, conformidade,
detecção de fraude, etc.) que são
fundamentais para o ambiente de controle
da entidade?
Como esses elementos e atributos
relacionados são geridos nas operações
diárias? Há uma prestação de contas clara
dentro da organização?
Esses elementos e atributos podem ser
geridos com eficácia e eficiência no escopo
de uma grande auditoria ou auditorias
separadas e concentradas seriam mais
eficazes e eficientes?
O equilíbrio das operações centralizadas
versus as descentralizadas dentro da
organização influencia a forma como o
ambiente de controle opera e, portanto, a
natureza do trabalho de auditoria?
Qual combinação de auditorias do ambiente
de controle permitirá ao DEA prestar uma
avaliação do sistema de controle interno da
organização à alta administração e ao
conselho?
A auditoria do ambiente de controle deve ser
uma auditoria anual, uma auditoria
recorrente que ocorre periodicamente a cada
“tantos” anos ou auditorias separadas
específicas a cada ano de diferentes
princípios, levando a uma revisão de todos os
princípios principais do ambiente de
controle a cada “tantos” anos?
Se o ambiente de controle não tiver sido
examinado anteriormente, qual
conhecimento existente guiaria a decisão
quanto à abordagem da auditoria? Uma
avaliação de riscos de alto nível de todos os
princípios do ambiente de controle serviria
de base para as decisões? Uma auditoria de
primeiro ano pode ser diferente do que
auditorias contínuas que tenham sido
previstas no plano de auditoria?
Algum aspecto da avaliação do ambiente de
controle deve ser conduzido com a
orientação de conselheiros legais; por
exemplo, os aspectos pertinentes a
investigações?
Os recursos de auditoria adequados estão
disponíveis?
Há preferências explícitas por parte da alta
administração ou do conselho (ex., um
desejo declarado de completar uma avaliação
até uma determinada data)?
Conforme observado anteriormente, o plano de
auditoria pode incluir uma auditoria única dos riscos
do ambiente de controle. Também pode incluir
múltiplas auditorias, cada uma abordando elementos
diferentes do ambiente de controle, ou elementos do
ambiente de controle em locais ou unidades de
negócio diferentes. Quando o plano incluir
auditorias múltiplas do ambiente de controle e o
DEA estiver planejando prestar uma avaliação geral
com base nos resultados dessas auditorias
individuais, o DEA deve:
Determinar, durante a fase de planejamento
inicial, o processo que será usado para
agregar os resultados das auditorias
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 8 Este Guia Prático foi traduzido com o apoio de:
individuais em uma avaliação geral do
ambiente de controle.
Planejar as auditorias individuais de modo
que diferenças em seu timing não impeçam
a avaliação geral. Em caso de diferenças de
tempo substanciais entre as auditorias
individuais, pode ser necessário conduzir
procedimentos para atualizar os resultados
de auditorias anteriores, para apoiar a
avaliação geral.
Considerar a estruturação da equipe para as
auditorias, de modo a garantir a
continuidade da abordagem de auditoria e
consistência no processo de avaliação.
Programas bem definidos de auditoria
também podem ajudar neste quesito.
Auditorias do ambiente de controle frequentemente
envolvem o debate sobre questões delicadas,
incluindo as ações ou inações da alta administração
ou do conselho. O auditor interno deve considerar as
questões a seguir durante a fase de planejamento:
Se habilidades específicas serão exigidas
(ex., exigir o uso de especialistas internos ou
externos). Estas habilidades podem ser
oferecidas por meio de auditores convidados
de outras partes da organização ou de um
prestador de serviços co-source.
Se conversas com a alta administração e o
exame de documentos confidenciais exigem
a estruturação da equipe com pessoas
amadurecidas e experientes. Em algumas
situações, o DEA pode decidir por tomar a
frente da auditoria e/ou conduzir
pessoalmente certos aspectos (ex., o exame
da compensação dos executivos ou dos
resultados das investigações que envolvem a
alta administração).
Garantir, por meio de discussões com
bastante antecedência da auditoria, que as
informações necessárias para conduzir a
auditoria (especialmente quaisquer
informações consideradas confidenciais)
estarão disponíveis quando solicitadas. Além
disso, o auditor deve garantir que todas as
pessoas a quem se peça para auxiliar na
auditoria entendam a necessidade de
fornecer à equipe da auditoria as
informações solicitadas oportunamente. Isso
pode exigir o envolvimento do patrocinador.
Consequências do Ambiente de Controle
para Trabalhos de Auditoria Interna
Individuais
A gestão eficaz dos riscos envolve avaliar e monitorar
não apenas os controles de processos de negócio,
mas também os controles relativos ao ambiente de
controle da entidade. Se a eficácia do ambiente de
controle não for considerada em um trabalho de
auditoria, há um risco de que a avaliação da
adequação dos controles fique incompleta e, talvez,
até enganosa ou incorreta.
Na hora de definir o escopo de qualquer auditoria, o
auditor interno deve considerar o nível de confiança
dedicado à eficácia das atividades do ambiente de
controle e o risco de deficiências no ambiente de
controle. Em alguns casos, esses riscos e os
controles relacionados serão incluídos dentro do
escopo da auditoria. Em outros, a confiança será
depositada em auditorias separadas do ambiente de
controle ou de um ou mais de seus elementos.
Por exemplo, ao desenvolver o escopo de trabalho
para uma auditoria de contas a pagar (accounts
payable – AP), o auditor deve considerar riscos tais
como:
Equipe de AP e gerentes envolvidos no
processo de AP (ex., como aprovadores de
faturas) não estão familiarizados com as
expectativas da organização quanto ao
comportamento ético.
Práticas de contratação não são eficazes na
estruturação de equipe nos cargos
fundamentais de AP com funcionários
experientes.
Procedimentos de auditoria em torno desses riscos
poderiam ser incluídos no escopo da auditoria de
AP. No entanto, se auditorias separadas que
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 9 Este Guia Prático foi traduzido com o apoio de:
abordem especificamente esses riscos forem
conduzidas - por exemplo, como parte de auditorias
do código de conduta e das práticas de contratação -,
o auditor pode querer usar como referência aquelas
auditorias, e depender dos seus resultados, em vez
de duplicar o trabalho.
Quando o escopo de trabalho para uma auditoria não
inclui a cobertura dos riscos do ambiente de
controle, essa limitação deve ser claramente
comunicada à administração e ao patrocinador
executivo durante a fase de planejamento e no
relatório final.
Os resultados de auditorias separadas do ambiente
de controle devem ser considerados na preparação
do relatório de auditoria:
Quando a auditoria do ambiente de controle
já foi concluída, o auditor deve considerar
esses resultados e incluí-los ao avaliar se os
sistemas de controle interno – incluindo
aqueles do ambiente de controle – são
adequados.
Quando a auditoria do ambiente de controle
ainda não foi concluída, o auditor deve
considerar aceitar esse fato e deixar claro
que a avaliação dos controles internos é
baseada na suposição de que as atividades
do ambiente de controle são eficazes. O
auditor deve considerar revisitar sua
avaliação da adequação dos controles
internos, caso a auditoria do ambiente de
controle resulte na identificação de
deficiências.
Considerações Práticas na Auditoria do Ambiente de Controle Abaixo, discutimos algumas considerações práticas
que devem ser levadas em conta durante o
planejamento, a execução e o reporte das auditorias
nesta área.
Apoio ou Adesão da Alta Administração
e do Conselho
Uma auditoria do ambiente de controle envolve
avaliar controles que, em muitos casos, direta ou
indiretamente, são executados ou orientados pela
alta administração ou pelo conselho. Na fase de
planejamento de uma auditoria de todos ou de um
elemento do ambiente de controle, avalie se a equipe
de auditoria interna será desafiada em sua
necessidade de acesso a indivíduos pertinentes e
documentação necessária. Podem ser necessárias
ações para mitigar e gerenciar tais desafios antes de
dar início à auditoria. Essas ações podem incluir:
Discutir a necessidade de acesso durante o
desenvolvimento do plano de auditoria.
Garantir que o estatuto de auditoria forneça
acesso apropriado.
Obter o apoio e patrocínio do conselho e/ou
do diretor executivo da auditoria. Em alguns
casos, o apoio do diretor financeiro (CFO)
ou conselheiro geral pode ser suficiente.
Comunicações por escrito por parte de um
membro apropriado da gerência executiva,
instruindo a organização a fornecer o acesso
e as informações necessárias.
Comparecimento do patrocinador executivo3
na reunião de abertura da auditoria.
Reunião com principais membros da
gerência executiva que estejam em posição
de conceder acesso logo no início da fase de
planejamento da auditoria. O auditor interno
deve garantir que os executivos entendam
quais informações e acessos são necessários
e por quê. Suas preocupações devem ser
ouvidas, entendidas e abordadas sempre que
possível. Levar a questão à gerência
3 Para os propósitos deste Guia Prático, “patrocinador executivo” é um membro da equipe executiva ou do conselho, que apoiará ativamente a conclusão da auditoria.
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 10 Este Guia Prático foi traduzido com o apoio de:
executiva ou ao conselho pode ser necessário
para resolver a recusa contínua do acesso.
Posição da Auditoria Interna Dentro da
Organização
A estrutura de reporte para a auditoria interna
também pode ser um problema. A Norma 1110:
Independência Organizacional declara que “o diretor
executivo de auditoria deve reportar-se a um nível
dentro da organização que permita à atividade de
auditoria interna cumprir suas responsabilidades.”
Quando o DEA não reporta a um nível apropriado,
sua habilidade de conduzir uma auditoria do
ambiente de controle da organização ou de seus
elementos pode ser prejudicada. Por exemplo, o
DEA pode ser orientado a não avaliar certos
elementos do ambiente de controle (ex., a
competência do pessoal em cargos financeiros) ou
ter apenas acesso limitado a informações
confidenciais (tais como minutas de reuniões do
conselho ou registros que contenham discussões
sobre alegações contra a alta administração). Isso
pode ser mitigado se o DEA for capaz de obter forte
apoio do conselho ou da gerência executiva, com um
mandato claro de que a equipe de auditoria tenha
acesso irrestrito às informações necessárias para
condução da auditoria.
Se o DEA não for capaz de garantir que a equipe de
auditoria tenha acesso irrestrito às informações
necessárias para concluir uma auditoria eficaz do
ambiente de controle, ou estiver impossibilitado em
fato ou aparentemente de ser objetivo e
independente o suficiente em sua avaliação do
ambiente de controle, tais restrições de escopo e
outras limitações devem ser reportadas prontamente
ao conselho. O DEA deverá considerar se deve
seguir em frente com a auditoria, com as restrições
de escopo apropriadas comunicadas em relatório de
acordo com as Normas. Tais restrições não liberam o
DEA de suas obrigações de reportar ao conselho de
governança quanto à importância e a necessidade de
avaliar o ambiente de controle.
Critérios de Avaliação do Ambiente de
Controle
O processo de planejamento de auditoria inclui
considerar o produto final da auditoria, em especial
quais critérios serão usados para a avaliação. Assim
como em outros trabalhos, as opções incluem:
Uma avaliação dos controles incluída no
escopo, usando o sistema de classificação da
organização, em conjunto com
oportunidades de melhoria.
A avaliação dos controles usando um modelo
definido de maturidade do controle, além da
classificação padrão e oportunidades de
melhoria.
Avaliação dos controles conforme orientada
pelo conselheiro geral com um objetivo
específico em mente.
Benchmarking (comparação com referências
entre companhias e/ou entre
unidades/departamentos da mesma
companhia).
O DEA deve usar seu julgamento quando
necessário, em consulta com o conselho ou o
patrocinador executivo ou o conselheiro geral, para
determinar quais critérios serão usados para
mensurar a eficácia do ambiente de controle. O
DEA deve garantir que o conselho, a alta
administração e a gerência responsável pela área sob
auditoria entendam claramente como os resultados
serão comunicados se forem diferentes do processo
padrão de reporte da auditoria interna.
Seja avaliação sobre a eficácia do desenvolvimento e
operação de controles específicos ou sobre a
qualidade geral de quais controles usando um
modelo particular de maturidade do controle, os
critérios para a avaliação deverão ser definidos
durante o processo de planejamento e claramente
explicados ao cliente do trabalho, incluindo os
membros apropriados da alta administração. O DEA
deve considerar discutir os critérios aplicáveis com a
administração e obter sua concordância, se possível.
Pode-se obter valor significante para a organização
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 11 Este Guia Prático foi traduzido com o apoio de:
por meio de tal discussão e adesão anterior ao início
da auditoria.
Consideração da Cultura Local e Valores
A cultura local e valores devem ser considerados na
determinação dos critérios para avaliar a condução
do negócio e outros elementos do ambiente de
controle. A condução do negócio e outros padrões e
expectativas não são uniformes ao redor do mundo,
em grande parte devido a diferenças em tradições
legais, valores culturais e sociais e na estrutura dos
mercados capitais. Por exemplo, embora haja
tradições, em alguns mercados emergentes, de que o
comércio seja permitido por meio de pagamentos aos
indivíduos envolvidos e para que compras sejam
feitas entre as partes relacionadas, esta prática é
considerada ilegal pela lei U.S. Foreign Corrupt
Practices Act (FCPA) e pela lei UK Bribery Act. As
nações diferem em suas leis e regulamentos de
governança (ex., quanto à exigência de membros
independentes no conselho e outros órgãos
governantes) ou em outros aspectos do ambiente de
controle (ex., algumas restringem a habilidade dos
empregadores de realizar verificações de histórico
sobre seus funcionários; em alguns locais, são
aceitas práticas relativas à contratação e ao
tratamento de minorias que seriam ilegais em outros
países).
A maioria das organizações multinacionais
desenvolveu e publicou um código de conduta
organizacional que se aplica a todas as suas
operações globalmente. Em tais casos, as auditorias
do ambiente de controle já possuem um conjunto de
normas no qual os auditores internos podem basear
seu escopo de auditoria, programa, avaliação e
reporte.
No entanto, nem todas as organizações adotaram
normas globais, ou as normas globais podem precisar
de ajustes para a unidade sob auditoria, para
alcançar a conformidade com as leis locais. Nesses
casos, a equipe de auditoria interna deve, em
consulta com a gerência apropriada, buscar uma
concordância sobre quais critérios ou normas a
equipe de auditoria deve seguir. Isso deve ser
comunicado claramente à gerência operacional antes
de iniciar a auditoria. Se as normas forem diferentes,
de alguma forma, das normas publicadas
organizacionalmente, os motivos para essas
diferenças devem ser claramente explicados.
O DEA deve considerar variações na cultura, valores
e práticas, assim como na necessidade de
habilidades idiomáticas4 para a avaliação dos riscos
relativos ao ambiente de controle e para a
estruturação da equipe de cada auditoria. A equipe
deve incluir indivíduos que sejam capazes de
entender o contexto, assim como as práticas de cada
região, e capazes de prestar uma avaliação objetiva,
equilibrada e justa da adequação das práticas do
ambiente de controle.
Coordenação com Auditores Externos
Embora seja claro que a avaliação da auditoria
interna quanto ao ambiente de controle da entidade,
ou de um ou mais de seus elementos, fornece uma
avaliação muito necessária à alta administração e ao
conselho de administração, o auditor interno deve
estar ciente de que os auditores externos podem não
ser capazes de confiar completamente em seu
trabalho na avaliação do ambiente de controle com
relação às auditorias das demonstrações financeiras
e do sistema de controle interno sobre o reporte
financeiro. Dependendo da avaliação do auditor
externo, os auditores externos podem se sentir
obrigados a validar certos controles por si mesmos
para aumentar sua independência. A auditoria
interna deve trabalhar com os auditores internos
durante as sessões de planejamento anual para
minimizar a duplicação e garantir que o conselho e
as partes interessadas entendam: (a) que os
auditores externos podem examinar apenas os
aspectos do ambiente de controle relativos a um
risco ou uma declaração errônea material de
demonstrações financeiras, (b) os auditores externos
podem precisar conduzir alguns níveis de avaliação
4 Falta de familiaridade com a cultura comercial e o idioma local podem ser barreiras no desenvolvimento de um entendimento eficaz das diferenças nas normas culturais e comportamentais em relação ao país anfitrião da auditoria. A experiência e o entendimento do idioma e da cultura local trazem a probabilidade de melhorar a habilidade de entender e avaliar a conformidade – ou sua falta – com políticas, normas e expectativas organizacionais.
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 12 Este Guia Prático foi traduzido com o apoio de:
independente, (c) uma revisão por parte da auditoria
interna normalmente abordará uma maior variedade
de riscos (riscos operacionais e de conformidade,
além dos riscos de reporte financeiro) e (d) há uma
oportunidade para a auditoria interna contribuir com
melhorias nos processos relacionados, por meio de
seu melhor entendimento da organização como um
todo.
Como Auditar o Ambiente de Controle Esta seção trata de ferramentas e técnicas genéricas
para auditar o ambiente de controle. O Anexo lista
os procedimentos potenciais de auditoria que podem
ser considerados no desenvolvimento de uma
auditoria do ambiente de controle de uma entidade,
ou de um ou mais de seus elementos. Os sete
elementos e atributos são retirados do componente
de ambiente de controle da obra Controle Interno –
Estrutura Integrada do COSO.5 Os elementos e
atributos incluem objetivos de controle quanto à
eficácia financeira, de conformidade e operacional.
O Anexo é apresentado apenas com propósitos
ilustrativos e não tem como intenção ser completo
ou abrangente.
Uma auditoria de alguns elementos do ambiente de
controle incluirá uma revisão dos controles
informais, tais como os relacionados à ética,
integridade, competências, comportamentos e
percepções. Eles são considerados controles
informais, porque pode ser difícil obter evidências
diretas de sua operação eficaz por meio de testes
tradicionais. Em vez disso, autoavaliações, pesquisas,
workshops ou técnicas similares podem ser mais
adequadas do que métodos tradicionais.
Especificamente:
Pesquisas com os funcionários são usadas
frequentemente na avaliação do sucesso dos
5 Os sete elementos de controle incluem os seis das Normas e um elemento adicional – “A Importância do Conselho” – conforme definido pelo COSO.
esforços da gestão em estabelecer um
ambiente de controle eficaz. Essas pesquisas
fornecem métricas úteis da eficácia de um
ou mais elementos do ambiente de controle.
Formulários anuais de conformidade ética
dos funcionários são outro exemplo.
O DEA deve usar sua rede de contatos
dentro da empresa. A rede de contatos é
fundamental para discernir se a
comunicação, o tom no topo, a prática da
teoria por parte da gestão e uma supervisão
eficaz estão em prática no dia a dia.
O conhecimento do auditor interno sobre o
funcionamento interno da organização é útil
para corroborar ainda mais a eficácia dos
controles informais.
O valor da “auditoria by walking around” não
pode ser subestimado. Ao estarem presentes,
visíveis e observando toda a organização, os
auditores internos podem identificar as
pistas intangíveis que podem levar a
avaliações mais profundas. Associados que
acreditam poder contribuir com a auditoria
compartilhando suas preocupações com um
nível apropriado de anonimato também são
valiosos.
Resultados de auditorias passadas de
atividades de controle e a reação e ações
corretivas da gestão também são bons
indicadores.
A participação dos auditores internos em
comitês, forças-tarefa, grupos de trabalho e
seu envolvimento na implementação e
avaliações do programa de ética e
conformidade fornecem insights valiosos ao
longo de períodos extensos de tempo.
Como os itens acima podem servir para a obtenção
de evidências primariamente indiretas, o auditor
deve sempre garantir que evidências suficientes
sejam obtidas para apoiar as conclusões e avaliação
da auditoria. Sempre que possível, o auditor não
deve hesitar em empregar análise de dados para
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 13 Este Guia Prático foi traduzido com o apoio de:
filtrar padrões e anomalias, para gerar evidências
sólidas.
Os controles relacionados aos elementos do
ambiente de controle (ex., publicar um código de
conduta atualizado e apropriado e obter referências e
verificações de histórico dos novos funcionários)
podem servir para técnicas tradicionais de auditoria.
No planejamento da auditoria, o auditor deve
entender a natureza diferente dos controles
informais e demais, e selecionar as técnicas mais
apropriadas.
Avaliando as Deficiências do Ambiente de Controle As deficiências do ambiente de controle geralmente
impactam áreas ou processos múltiplos e são
essencialmente dominantes em sua natureza. As
deficiências do ambiente de controle podem ser
identificadas durante auditorias com foco (1) no
ambiente de controle da organização, de um ou mais
de seus elementos; (2) em um ou mais elementos do
ambiente de controle de uma unidade de negócio,
local ou equivalente; e (3) em um ou mais elementos
do ambiente de controle como parte de outras
auditorias internas.
1. Avaliando as deficiências descobertas durante
uma auditoria que é focada no ambiente de
controle de uma organização, ou em um ou mais
de seus elementos específicos.
O auditor interno pode escolher avaliar as
deficiências dentro do contexto da auditoria do
ambiente de controle. Em outras palavras, o relatório
de auditoria pode limitar a discussão a questionar se
os elementos individuais do ambiente de controle
são eficazes.
No entanto, limitar a avaliação dessa forma
provavelmente resultará na impossibilidade de
entender ou atuar sobre o efeito dominante da
deficiência. A prática preferencial é que o auditor
interno trabalhe com a gerência e entenda toda e
qualquer consequência, sobre a gerência, dos riscos
críticos e da eficácia dos controles interno relativos.
Por exemplo, deficiências no processo de
contratação podem levar à incapacidade de contratar
pessoal suficiente e competente para o cargo de
contabilidade. Como resultado direto, análises
contábeis fundamentais, reconciliações bancárias e a
resolução de recibos de caixa divergentes podem não
ser totalmente oportunas.
Ao avaliar as deficiências dos elementos do ambiente
de controle, o auditor deve estar alerta aos
indicadores de que outros controles afetados podem
estar falhando também. Esses controles podem ser
controles do processo de negócio, de processos de TI
ou até outros controles do ambiente de controle. Por
exemplo, a incapacidade de contratar uma equipe
suficiente pode levar a atalhos nos processos. Esses
indicadores podem apontar para um nível maior de
risco para a organização por conta da deficiência do
ambiente de controle.
O auditor também deve considerar as consequências
de deficiências múltiplas e relacionadas nos
elementos do ambiente de controle. Algumas
deficiências podem ter um efeito maior quando
estão todas presentes do que a simples agregação de
seus riscos individuais pode sugerir. Por exemplo,
quando a ausência de um treinamento para novos
funcionários quanto ao código de conduta ética de
uma organização é combinada à incapacidade de
obter referências e verificações do histórico dos
novos funcionários, o risco de contratar pessoas
potencialmente incompetentes – e até indivíduos
com histórico criminal – é exacerbado.
Até mesmo se o relatório de auditoria for limitado a
divulgar as deficiências sem considerar seu efeito
dominante, o DEA deve discutir as consequências e
ações de gestão relativas com o conselho e o comitê
de auditoria.
As ações corretivas necessárias para abordar as
deficiências do ambiente de controle podem ser
estendidas além do elemento imediato do ambiente
de controle; por exemplo, para incluir um
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 14 Este Guia Prático foi traduzido com o apoio de:
monitoramento mais amplo dos controles afetados
nos processos de negócio.
2. Avaliando as deficiências encontradas durante
uma auditoria que é focada no ambiente de
controle dentro de uma unidade de negócio, local
ou equivalente.
Além da análise discutida anteriormente, o auditor
deve determinar se as questões do ambiente de
controle identificadas em uma auditoria localizada
são indicadores de mais questões dominantes em
unidades de negócio, áreas ou processos dentro da
organização. Por exemplo, se práticas de contratação
em divisões estão deficientes, os procedimentos,
processos e sistemas relacionados poderiam estar
deficientes em outras divisões? Se há uma falta de
consciência do código de conduta da organização,
teria sido devido ao fato de que a versão atual do
código não foi publicada no portal corporativo,
portanto afetando todas as partes da organização? O
código foi traduzido para os idiomas locais, para
apoiar todas as partes da organização?
O auditor interno e o DEA devem discutir as
possíveis consequências das deficiências do
ambiente de controle local sobre a organização como
um todo e ajustar o plano de auditoria
apropriadamente. Em alguns casos, trabalhos
adicionais de auditoria podem ser necessários para
avaliar se as deficiências foram difundidas, em vez
de confinadas à unidade, país, etc., coberto pela
auditoria.
3. Avaliando as deficiências descobertas durante
uma auditoria focada no ambiente de controle ou
em um ou mais de seus elementos como parte de
outra auditoria (ex., uma auditoria de AP que
inclui avaliar a competência da gestão e da equipe
e sua consciência do código de conduta e
expectativas éticas).
Muitas das questões discutidas acima também se
aplicam aqui. O auditor interno deve se reunir com o
DEA e considerar se as questões do ambiente de
controle que foram identificadas podem ter se
estendido para outras partes da organização. O plano
de auditoria deve ser ajustado apropriadamente.
A avaliação do sistema geral de controles internos
para os riscos de negócio cobertos pela auditoria
deve considerar se as deficiências do ambiente de
controle são compensadas ou mitigadas por outros
controles que estejam em operação eficaz dentro ou
fora da unidade de negócio/função/área sob
auditoria.
Comunicação dos Resultados Na comunicação dos resultados de uma auditoria de
ambiente de controle, o auditor deve considerar:
Se o formato padrão do relatório de
auditoria, incluindo a escala padrão de
avaliação, deve ser usado. Em alguns casos,
a alta administração ou o conselho pode
preferir uma apresentação, em vez de um
relatório padrão de auditoria.
Em muitas situações, limitar a distribuição
do relatório. Isso pode ser feito em algumas
organizações por meio da marcação clara do
relatório como confidencial, limitando,
portanto, sua distribuição. No entanto, o
DEA deve entender claramente como e
quando devem ser comunicadas aos
auditores externos as descobertas sobre as
deficiências do ambiente de controle
relativas ao sistema de controle interno sobre
o reporte financeiro.
Salvaguardas adicionais, se a auditoria for
conduzida sob a direção de um conselheiro
geral, especialmente quando puder haver a
necessidade de proteger a confidencialidade
do relatório sob sigilo advocatício ou
medidas similares de proteção.
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 15 Este Guia Prático foi traduzido com o apoio de:
Se a auditoria não incluiu procedimentos
relativos a um elemento do ambiente de
controle que é relevante para a avaliação. Tal
limitação de escopo deve ser claramente
reportada no relatório final de auditoria,
mesmo se a exclusão for baseada na
avaliação de riscos, conforme discutido
anteriormente.
Se a revisão do ambiente de controle foi
conduzida como parte de uma auditoria de
negócio com base em riscos, em linha com o
plano de auditoria, seja para incluir uma
discussão de questões relativas ao ambiente
de controle como parte da auditoria, ou
como parte de um relatório separado sobre o
ambiente de controle em geral.
Variar os cronogramas para emissão do
relatório com base:
o Na importância das questões
identificadas.
o No timing da certificação bimestral dos
controles internos sobre o reporte
financeiro e a conformidade.
o No escopo e objetivo da auditoria.
o Na natureza e sensibilidade das
questões identificadas.
o No público-alvo do relatório de
auditoria.
Além disso, o DEA deve considerar os seguintes
fatores específicos ao determinar como comunicar os
resultados das auditorias de ambiente de controle.
Informações Delicadas
Em algumas situações, a comunicação de riscos
dentro do ambiente de controle devido à natureza
das deficiências de controle pode ser considerada
delicada ou confidencial. Por exemplo, se houver um
problema no nível da alta administração que poderia
ter uma consequência adversa potencial para a
percepção de sua integridade e representar um
comprometimento potencial dos valores
organizacionais, o DEA deve consultar os membros
apropriados da alta administração, principalmente o
conselheiro geral, e o conselho para determinar a
estratégia e o processo de comunicação apropriados
– incluindo como as ações corretivas serão
documentadas e monitoradas.
Identificação de Questões Significantes
Se uma auditoria de ambiente de controle identificar
questões importantes, o DEA deve revisar os
resultados de auditorias internas anteriores para
determinar se avaliações anteriores devem ser
revisadas. Os resultados dessa revisão devem ser
comunicados à alta administração e ao conselho.
Isso pode resultar em mudanças no plano de
auditoria em andamento, por conta de uma possível
mudança no perfil de risco da organização.
Natureza e Tom das Recomendações
As recomendações no relatório devem ser práticas
com intenção positiva e devem abordar a causa-raiz
do risco identificado no ambiente de controle.
Acompanhamento das Recomendações
Assim como em outras auditorias internas, as
recomendações apresentadas nessas auditorias
também devem ser acompanhadas. Dada a natureza
delicada das descobertas, o acompanhamento pode
ser realizado pela auditoria interna ou por outros na
organização, como o comitê de auditoria e/ou o
conselho de administração.
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 16 Este Guia Prático foi traduzido com o apoio de:
ANEXO A seguir, temos um exemplo de procedimentos de auditoria que utilizam sete princípios básicos para uma
auditoria ampla que avalie o ambiente de controle. Os princípios, assim como seus elementos e atributos, são
adaptados a partir do componente de ambiente de controle da Controle Interno-Estrutura Integrada do COSO.6
Os elementos e atributos incluem a eficácia dos objetivos de controle financeiro, de conformidade e operacional.
ELEMENTOS E ATRIBUTOS
DESIGN DO CONTROLE
(MÉTODOS PARA ALCANÇAR OS
PRINCÍPIOS, ELEMENTOS E
ATRIBUTOS DO AMBIENTE DE
CONTROLE)
CONSIDERAÇÕES DO TESTE
DE CONTROLE7
1. Integridade e Valores Éticos: Princípio Básico - A integridade sadia e os valores éticos,
particularmente os da alta administração, são desenvolvidos e estabelecem o padrão de conduta para
fazer negócios.
Desenvolvido - a alta
administração desenvolve uma
declaração clara e articulada dos
valores ou comportamentos
éticos que são compreendidos
pelos principais executivos e
pelo conselho.
A alta administração transmite a
mensagem de que a integridade
e os valores éticos não podem
ser comprometidos, tanto em
palavras quanto em ações.
A alta administração
desenvolveu um código de ética
que enfatiza a expectativa da
organização de que os
funcionários irão agir com
integridade em todas as ações
relacionadas ao seu escopo de
emprego.
A alta administração
desenvolveu um código de
conduta de negócios que
Conduzir, periodicamente,
pesquisas anônimas "de pulso"
de funcionários no que diz
respeito à comunicação da
atitude ética por parte da alta
administração.
Revisar a existência e o
conteúdo do código de conduta
da organização e garantir que
exista um processo para a
atualização periódica do código.
Revisar a existência e o
conteúdo do código de conduta
de negócios da organização e
garantir que exista um processo
para a atualização periódica do
6 Adaptado de "Internal Control over Financial Reporting-Guidance for Smaller Public Companies Volume III, Ferramentas de Avaliação", COSO, 2006, páginas 25-31 de Princípios do Ambiente de Controle, Atributos e sumário relacionado de Documentação de Controles e Gerência para Entidades. Os auditores devem considerar a obtenção e a revisão da literatura COSO encontrada em www.COSO.org para uma orientação mais profunda e ferramentas de metodologia. 7 O teste de controle sugerido requer, em muitas instâncias, que o auditor interno obtenha certa documentação. Na prática, o auditor pode encontrar situações onde a documentação esteja perdida ou não exista. É importante que essa falta de comunicação seja listada, quando apropriado, como uma descoberta significante de auditoria feita pelo auditor.
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 17 Este Guia Prático foi traduzido com o apoio de:
ELEMENTOS E ATRIBUTOS
DESIGN DO CONTROLE
(MÉTODOS PARA ALCANÇAR OS
PRINCÍPIOS, ELEMENTOS E
ATRIBUTOS DO AMBIENTE DE
CONTROLE)
CONSIDERAÇÕES DO TESTE
DE CONTROLE7
enfatiza o comprometimento da
organização em negociar de
forma justa e honesta com os
seus clientes, fornecedores e
outras partes externas.
As expectativas e os incentivos
de desempenho são
desenvolvidos de modo a não
criar tentações indevidas de
violar leis, regras, regulamentos,
políticas e procedimentos da
organização.
código.
Revisar a mistura entre
elementos fixos e variáveis nos
planos de compensação de
funcionários e o peso relativo de
um desempenho financeiro de
curto prazo nos planos de
compensação.
Comunicado - a alta
administração comunica o seu
comprometimento com os
valores éticos através de
palavras e ações.
Novos funcionários recebem uma
cópia do código de ética e do
código de conduta de negócios e
são treinados sobre como essas
diretrizes se aplicam a situações
factuais específicas comuns ao
ambiente de negócios da
organização.
Funcionários existentes recebem
cópias atualizadas do código de
ética e do código de conduta de
negócios da organização
anualmente, no mínimo, e
recebem uma reeducação
periódica sobre a aplicação
dessas diretrizes para o
ambiente de negócios da
organização.
Clientes, fornecedores e outras
partes externas recebem uma
cópia do código de conduta de
negócios da organização no
Revisar a declaração assinada
pelos funcionários de que leram
e compreenderam os códigos de
ética e de conduta de negócios
e, para funcionários existentes,
a certificação de que eles não
violaram os códigos durante o
ano passado e não estão cientes
de nenhuma violação do tipo –
ou, se estão cientes de tais
violações, eles 1) comunicaram
essas violações, conforme
orientados pelo setor de
compliance ou ética durante seu
treinamento e 2) se, com base
em suas perspectivas, as
violações não tiverem sido
resolvidas, comunicaram as
violações em potencial através
do canal de denúncias de ética
de sua companhia.
Revisar cursos de treinamento
da organização, incluindo o
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 18 Este Guia Prático foi traduzido com o apoio de:
ELEMENTOS E ATRIBUTOS
DESIGN DO CONTROLE
(MÉTODOS PARA ALCANÇAR OS
PRINCÍPIOS, ELEMENTOS E
ATRIBUTOS DO AMBIENTE DE
CONTROLE)
CONSIDERAÇÕES DO TESTE
DE CONTROLE7
mínimo anualmente, através da
inclusão do mesmo em outras
correspondências para essas
partes. Os arranjos contratuais
com essas partes devem incluir
requisitos para a aderência ao
código de ética e ao código de
conduta de negócios da
organização.
processo para garantir que todos
os funcionários compareçam a
esses cursos sobre os códigos de
ética e de conduta de negócios.
Revisar a política da organização
de incluir o código de conduta
de negócios em uma
correspondência anual para
clientes, fornecedores e outras
partes externas. Verificar que o
código de conduta de negócios
seja incluído em
correspondências.
Reforçado - a importância da
integridade e dos valores éticos
é comunicada e reforçada para
todos os funcionários, de uma
maneira apropriada para a
organização.
A newsletter (e outros meios de
comunicação interna) da
organização realça:
a. Dilemas éticos
frequentemente surgindo
na indústria da
organização e como a
gerência espera que os
funcionários ajam nessas
situações.
b. Falhas éticas (com
nomes disfarçados) e as
consequências dessas
falhas para a organização
e para os funcionários
envolvidos.
c. Sucessos éticos (com
nomes mantidos e
destacados) com a
situação descrita, o
comportamento dos
funcionários e por que o
comportamento foi
Revisar edições da newsletter da
organização durante o ano, para
examinar se a cobertura de
dilemas, falhas e sucessos
éticos está incluída.
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 19 Este Guia Prático foi traduzido com o apoio de:
ELEMENTOS E ATRIBUTOS
DESIGN DO CONTROLE
(MÉTODOS PARA ALCANÇAR OS
PRINCÍPIOS, ELEMENTOS E
ATRIBUTOS DO AMBIENTE DE
CONTROLE)
CONSIDERAÇÕES DO TESTE
DE CONTROLE7
consistente com as
diretrizes da organização.
Monitorado - os processos estão
em ordem para monitorar a
conformidade da organização
com os princípios de uma
integridade sadia e valores
éticos.
Todos os novos funcionários são
obrigados a assinar o código de
ética e de conduta de negócios,
indicando que eles leram e
compreenderam esses códigos.
Todos os funcionários existentes
são obrigados a assinar um
contrato anual, reconhecendo
que eles leram as versões mais
recentes do código de ética e de
conduta de negócios e que eles
entendem e estão em
conformidade com esses
códigos.
A gerência do RH ou do
departamento de contratações
deve monitorar se os
funcionários novos e os
existentes completaram o
treinamento requerido sobre os
códigos de ética e de conduta de
negócios.
A organização estabeleceu canal
de denúncias - um mecanismo
de reporte que permite o
anonimato e que,
preferencialmente, é composta
por um grupo interno com
relação de reporte direto ao
conselho ou a um fornecedor
externo - para receber reportes
de suspeitas de violações dos
Revisar a declaração assinada
pelos funcionários de que leram
e compreenderam os códigos de
ética e de conduta de negócios
e, para funcionários existentes,
a certificação de que eles não
violaram os códigos durante o
ano passado e não estão cientes
de nenhuma violação do tipo –
ou, se estão cientes de tais
violações, comunicaram essas
violações através do canal de
denúncias.
Revisar os cursos de
treinamento da organização,
incluindo o processo para
garantir que todos os
funcionários compareçam a
esses cursos sobre os códigos de
ética e de conduta de negócios.
Revisar a existência do canal de
denúncias - incluindo a unidade
organizacional responsável por
gerenciar e supervisionar o
canal. Examinar os esforços de
promoção do canal por parte da
organização. Revisar uma
amostra de chamadas recebidas
no canal de denúncias e
examinar a adequação da
investigação e da resolução das
alegações.
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 20 Este Guia Prático foi traduzido com o apoio de:
ELEMENTOS E ATRIBUTOS
DESIGN DO CONTROLE
(MÉTODOS PARA ALCANÇAR OS
PRINCÍPIOS, ELEMENTOS E
ATRIBUTOS DO AMBIENTE DE
CONTROLE)
CONSIDERAÇÕES DO TESTE
DE CONTROLE7
códigos de ética e de conduta de
negócios da organização e
promove a existência desse
canal.
Desvios Tratados – Desvios em
relação à integridade sadia e aos
valores éticos são identificados
pontualmente, tratados e
remediados nos níveis
apropriados dentro da
organização.
Um executivo sênior, de
preferência com relação reporte
direto ao conselho, é responsável
por supervisionar a função de
ética e conformidade da
organização.
Alegações de violações dos
códigos de ética e de conduta de
negócios da organização são
adequadamente investigadas e
as ações corretivas, disciplinares
e de remediação necessárias
acontecem pontualmente. Isso
inclui assuntos reportados ao
canal de denúncias.
Examinar a unidade
organizacional - e suas relações
de reporte relacionadas -
responsável pela supervisão da
ética e da conformidade.
Examinar a adequação das
investigações das alegações de
violações do código de ética e
de conduta de negócios da
organização, incluindo ações
corretivas, disciplinares e de
remediação tomadas.
Revisar as políticas e práticas de
investigação da organização,
para garantir que profissionais
apropriadamente qualificados
estejam realizando as
investigações. Avaliar as
qualificações dos investigadores
e averiguar se há uma boa
segregação de tarefas entre as
investigações, a gerência
operacional e aqueles que
tomam as decisões
disciplinares.
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 21 Este Guia Prático foi traduzido com o apoio de:
ELEMENTOS E ATRIBUTOS
DESIGN DO CONTROLE
(MÉTODOS PARA ALCANÇAR OS
PRINCÍPIOS, ELEMENTOS E
ATRIBUTOS DO AMBIENTE DE
CONTROLE)
CONSIDERAÇÕES DO TESTE
DE CONTROLE7
2. A Importância do Conselho: Princípio Básico - O conselho entende e exerce uma supervisão de
responsabilidade relacionada a reportes financeiros, leis e regulamentos aplicáveis, eficácia e
eficiência operacional e controles internos relacionados.
Avaliar e Monitorar Riscos - o
conselho avalia e monitora
ativamente:
Os riscos de fraude
gerencial através da
sobreposição aos
controles internos.
Riscos afetando o
alcance dos objetivos de
controle interno.
O conselho desenvolve princípios
de governança e incluída entre
esses princípios está a
responsabilidade do conselho de
avaliar e monitorar os riscos,
especialmente os riscos de
fraude por parte da alta
administração.
O conselho, ativamente ou por
delegação do comitê de
auditoria, avalia e monitora os
riscos de fraude gerencial por
meio de sobreposição aos
controles internos.
O conselho avalia e monitora
ativamente os riscos de não
alcançar os objetivos de controle
interno.
Revisar os princípios de
governança do conselho e se,
entre esses princípios, está a
responsabilidade do conselho de
avaliar e monitorar riscos.
Perguntar ao conselho, à alta
administração, ao DEA e ao
auditor externo sobre os
processos do conselho para
avaliar e monitorar riscos.
Revisar a agenda, as minutas e
os conjuntos de informações do
conselho, para obter evidências
de que o conselho avalia e
monitora os riscos de fraude
gerencial por parte da alta
administração por meio de
sobreposição aos controles
internos da gerência. Perguntar
ao conselho, à alta
administração, ao DEA e ao
auditor externo sobre os
processos do conselho para
avaliar e monitorar os riscos de
fraude gerencial e de
sobreposição aos controles
internos da gerência.
Revisar a agenda, as minutas e
os conjuntos de informações do
conselho, para obter evidências
de que o conselho avalia e
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 22 Este Guia Prático foi traduzido com o apoio de:
ELEMENTOS E ATRIBUTOS
DESIGN DO CONTROLE
(MÉTODOS PARA ALCANÇAR OS
PRINCÍPIOS, ELEMENTOS E
ATRIBUTOS DO AMBIENTE DE
CONTROLE)
CONSIDERAÇÕES DO TESTE
DE CONTROLE7
monitora os riscos de não
alcançar os objetivos de controle
interno. Perguntar ao conselho,
à alta administração, ao DEA e
ao parceiro de auditoria externa
sobre os processos do conselho
para avaliar e monitorar os riscos
de não alcançar os objetivos de
controle interno.
Supervisionar a Qualidade e a
Confiabilidade - o conselho
fornece supervisão para a
eficácia do sistema de controle
interno.
O estatuto do conselho exige a
prestação de contas, por parte
do conselho, quanto à supervisão
do sistema de controle interno
da organização.
O conselho recebe reportes
periódicos sobre a eficácia dos
controles internos.
Revisar o estatuto do conselho,
para verificar se o conselho tem
a responsabilidade de
supervisionar o sistema de
controle interno. Revisar a
agenda e as minutas de reuniões
do conselho, denotando uma
atenção substancial do conselho
a essa questão.
Revisar a agenda, as minutas e
os conjuntos de informações de
reuniões do conselho, para obter
evidências de reporte ao
conselho sobre a eficácia dos
controles internos.
Supervisionar Atividades de
Auditoria - o conselho
supervisiona o trabalho de todas
as funções de auditoria,
incluindo auditorias internas e
externas, e interage com
auditores regulatórios conforme
necessário. O conselho possui
autoridade exclusiva de
contratar, demitir e determinar a
O estatuto do conselho dá ao
comitê de auditoria ou ao corpo
governante similar a autoridade
de supervisionar:
Reportes financeiros e
processos de auditoria
externa, além da
autoridade exclusiva de
contratar, demitir e
determinar a
Revisar o estatuto do comitê de
auditoria, para verificar se ele dá
ao comitê de auditoria a
autoridade de supervisionar:
Reportes financeiros e
processos de auditoria
externa, além da
autoridade exclusiva de
contratar, demitir e
determinar a
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 23 Este Guia Prático foi traduzido com o apoio de:
ELEMENTOS E ATRIBUTOS
DESIGN DO CONTROLE
(MÉTODOS PARA ALCANÇAR OS
PRINCÍPIOS, ELEMENTOS E
ATRIBUTOS DO AMBIENTE DE
CONTROLE)
CONSIDERAÇÕES DO TESTE
DE CONTROLE7
compensação da firma de
auditoria externa e do DEA.
compensação da firma de
auditoria externa.
A atividade de auditoria
interna e a autoridade de
contratar ou demitir o
DEA e de aprovar o
orçamento para a
atividade de auditoria
interna.
compensação da firma
de auditoria externa.
Perguntar aos membros
do conselho, à alta
administração e aos
auditores externos sobre
o papel do conselho na
supervisão dos reportes
financeiros e dos
processos de auditoria
externa, incluindo a
responsabilidade de
selecionar a firma de
auditoria e determinar a
taxa de auditoria.
O grupo de auditoria
interna, com a
autoridade de contratar e
demitir o DEA e de
aprovar o orçamento para
a atividade de auditoria
interna. Perguntar aos
membros do conselho, à
alta administração e ao
DEA sobre o papel do
conselho na supervisão
da atividade de auditoria
interna, incluindo a
responsabilidade de
selecionar o DEA e
aprovar o orçamento da
auditoria interna.
Massa Crítica Independente - o
conselho possui uma massa
crítica de membros que são
independentes da gerência.
O estatuto ou o regulamento da
organização requer uma massa
crítica de diretores
independentes no conselho e é
apropriado, dado o tamanho, a
indústria e o ambiente
regulatório da organização.
Revisar as provisões do estatuto
ou do regulamento que requer
diretores independentes no
conselho e avaliar o número de
diretores independentes, dado o
tamanho, a indústria e o
ambiente regulatório da
organização. Revisar o histórico
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 24 Este Guia Prático foi traduzido com o apoio de:
ELEMENTOS E ATRIBUTOS
DESIGN DO CONTROLE
(MÉTODOS PARA ALCANÇAR OS
PRINCÍPIOS, ELEMENTOS E
ATRIBUTOS DO AMBIENTE DE
CONTROLE)
CONSIDERAÇÕES DO TESTE
DE CONTROLE7
de direção dos diretores
classificados como
independentes.
Competência Financeira8 - o
conselho possui um ou mais
membros que têm competência
financeira.
O estatuto do conselho requer
que pelo menos um membro
tenha competência financeira e
que todos os membros sejam
letrados em finanças.
Pelo menos um membro do
conselho possui experiência
substancial em contabilidade
(por exemplo, contador público
certificado, CFO ou controlador).
Revisar os históricos, incluindo
educação e experiência, dos
membros do conselho, para
avaliar a natureza da sua
competência financeira e
formação.
Frequência - o conselho se
reúne regularmente,
frequentemente em sessões
executivas, e dedica tempo e
recursos suficientes para
cumprir suas funções
adequadamente.
O estatuto do conselho requer
que ele se reúna com uma
frequência igual ou superior a
trimestralmente.
O conselho realiza uma sessão
executiva em cada reunião.
O conselho aloca tempo para se
reunir com o parceiro da firma
de contabilidade pública
registrada e com o DEA em cada
reunião.
O conselho dedica tempo
suficiente para cumprir com
suas responsabilidades (por
exemplo, como regra geral, o
conselho deve se reunir por 1-2
Revisar o estatuto para essas
provisões. Avaliar se o conselho
estava em conformidade com
esse aspecto do estatuto.
Perguntar aos membros do
conselho se o número de
reuniões foi suficiente (para
diretores independentes e não
independentes, separadamente).
Revisar as minutas do conselho
e perguntar aos membros do
conselho se uma sessão
executiva foi realizada em cada
reunião.
Revisar as minutas do conselho
e perguntar aos membros do
comitê de auditoria se o
8 Embora o Small Business Guidance do COSO se concentre em controles internos, em vez de reportes financeiros, é importante notar que os conselhos precisam e possuem outros especialistas (por exemplo, gerenciamento de riscos, etc.) como membros em vários comitês. Em tais casos, é esperado que o histórico educacional e a experiência relacionada de tais indivíduos também sejam avaliados.
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 25 Este Guia Prático foi traduzido com o apoio de:
ELEMENTOS E ATRIBUTOS
DESIGN DO CONTROLE
(MÉTODOS PARA ALCANÇAR OS
PRINCÍPIOS, ELEMENTOS E
ATRIBUTOS DO AMBIENTE DE
CONTROLE)
CONSIDERAÇÕES DO TESTE
DE CONTROLE7
dias em cada reunião e o comitê
de auditoria deve se reunir por
3-4 horas em cada reunião).
O presidente do conselho, se
independente, ou, se não, o
diretor independente líder, é
responsável primariamente por
desenvolver a agenda para
reuniões do conselho. Outros
diretores, o DEA, a alta
administração e os auditores
externos dão sua colaboração
para o processo de
estabelecimento da agenda.
O conselho colabora com o
conjunto de informações
recebido antes das reuniões do
conselho/comitê. O conjunto de
informações é recebido pelo
menos três dias antes da
reunião.
Membros do conselho gastam
tempo suficiente revisando o
conjunto de informações pré-
reunião.
O estatuto do conselho autoriza
o conselho a contratar
orientadores externos ou
advogados conforme necessário.
conselho teve a oportunidade de
se reunir sozinho com o parceiro
de auditoria da firma de
contabilidade pública registrada
e com o DEA em cada reunião, e
se ele faz isso em múltiplas
ocasiões ao longo do ano.
Revisar as minutas do conselho
sobre a duração das reuniões do
conselho. Perguntar aos
membros do conselho se o
número de reuniões foi
suficiente (para diretores
independentes e não
independentes, separadamente).
Perguntar ao presidente do
conselho (diretor independente
líder) e outros membros do
conselho sobre o processo de
estabelecer a agenda do
conselho. Confirmar se os
membros do conselho tiveram
oportunidade de revisar e dar
sua colaboração para o
estabelecimento da agenda.
Perguntar aos membros do
conselho sobre o seu
envolvimento na determinação
do conteúdo do conjunto de
informações e a adequação da
distribuição avançada para
revisão anterior à reunião.
Perguntar aos membros do
conselho, à alta administração,
ao parceiro de auditoria e ao
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 26 Este Guia Prático foi traduzido com o apoio de:
ELEMENTOS E ATRIBUTOS
DESIGN DO CONTROLE
(MÉTODOS PARA ALCANÇAR OS
PRINCÍPIOS, ELEMENTOS E
ATRIBUTOS DO AMBIENTE DE
CONTROLE)
CONSIDERAÇÕES DO TESTE
DE CONTROLE7
DEA sobre a preparação do
conselho para as reuniões.
Revisar o processo anual de
avaliação do grupo do conselho,
verificando que a preparação do
conselho seja avaliada.
Revisar os estatutos para
provisões, permitindo que o
conselho contrate advogados e
orientadores externos conforme
necessário.
3. Filosofia e Estilo de Operação da Gerência: Princípio Básico - A filosofia e o estilo de operação da
gerência sustentam o alcance de um controle interno eficaz.
Estabelecer o Tom - a filosofia e
o estilo de operação da gerência
enfatizam um reporte interno e
externo de alta qualidade e
transparente, além da
importância de um controle
interno eficaz e do
gerenciamento de riscos.
A gerência enfatiza a
importância de cumprir com os
objetivos de controle interno
através de suas palavras e ações.
Perguntar aos funcionários
relevantes sobre sua percepção
quanto à importância de cumprir
com os objetivos de controle
interno. Revisar os critérios para
as revisões de desempenho dos
funcionários, verificando se os
funcionários são considerados
responsáveis por alcançar os
objetivos de controle interno.
Revisar discursos e
apresentações para partes
internas e externas que possam
refletir o tom e o estilo da
liderança.
Observar ou questionar, de
forma independente, quem
compareceu às reuniões
executivas e/ou do conselho,
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 27 Este Guia Prático foi traduzido com o apoio de:
ELEMENTOS E ATRIBUTOS
DESIGN DO CONTROLE
(MÉTODOS PARA ALCANÇAR OS
PRINCÍPIOS, ELEMENTOS E
ATRIBUTOS DO AMBIENTE DE
CONTROLE)
CONSIDERAÇÕES DO TESTE
DE CONTROLE7
para confirmar se a extensão e a
profundidade das conversas
sobre riscos, controles e
questões de conformidade foram
apropriadas, considerando os
assuntos encarados pela
organização.
Revisar os resultados das
pesquisas de funcionários, nas
quais questões relacionadas à
cultura e à liderança tenham
sido levantadas.
Articular Objetivos - a gerência
estabelece e articula claramente
os objetivos de controle interno.
Os objetivos de controle interno
sobre o reporte financeiro, a
conformidade com as leis e os
regulamentos aplicáveis, a
eficiência e a eficácia das
operações e a salvaguarda de
bens são comunicados aos
indivíduos relevantes de toda a
organização.
Revisar os manuais de operação
e contabilidade da organização,
além de outros meios de
disseminar os objetivos de
controle interno por toda a
organização. Perguntar aos
indivíduos relevantes a respeito
de seu entendimento dos
objetivos de controle interno.
Selecionar Princípios e
Estimativas - a gerência segue
um processo disciplinado e
objetivo no desenvolvimento dos
objetivos de controle interno.
A organização segue um
processo periódico e disciplinado
para o estabelecimento dos
objetivos de controle interno
sobre o reporte financeiro,
conformidade com as leis e os
regulamentos aplicáveis,
eficiência e eficácia das
operações e a salvaguarda de
bens, além de envolver a alta
administração financeira e
operacional.
Revisar a documentação do
processo de estabelecimento dos
objetivos de controle interno da
organização. Perguntar à alta
administração financeira e
operacional sobre seu
envolvimento no
estabelecimento dos objetivos
de controle interno.
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 28 Este Guia Prático foi traduzido com o apoio de:
ELEMENTOS E ATRIBUTOS
DESIGN DO CONTROLE
(MÉTODOS PARA ALCANÇAR OS
PRINCÍPIOS, ELEMENTOS E
ATRIBUTOS DO AMBIENTE DE
CONTROLE)
CONSIDERAÇÕES DO TESTE
DE CONTROLE7
4. Estrutura Organizacional: Princípio Básico - A estrutura organizacional da organização sustenta o
controle interno eficaz.
Estabelecer Responsabilidade -
a gerência estabelece
responsabilidades de reporte
interno para cada área funcional
e unidade de negócios na
organização.
A organização desenvolve uma
estrutura que é apropriada para
seu tamanho, indústria, idade e
riscos de negócios.
A gerência estabelece
responsabilidades de reporte
para todas as unidades
organizacionais.
Revisar a estrutura
organizacional da entidade.
Comparar a estrutura
organizacional com outras
companhia de tamanho,
indústria e idade similares.
Revisar responsabilidades de
reporte estabelecidas e
evidências escritas da delegação
dessas responsabilidades de
reporte durante o período.
Perguntar aos funcionários
principais do operacional,
financeiro e jurídico sobre seu
entendimento e sua
conformidade com as
responsabilidades de reporte.
Revisar se os riscos associados à
estrutura da organização foram
discutidos pela alta
administração e pelo conselho
(por exemplo, riscos associados
a complexidades legais da
entidade, centralização versus
descentralização, abrangência
do controle, ritmo de mudanças
no negócios e se a estrutura
organizacional está se
adaptando, etc.).
Revisar se a estrutura da
organização facilita o fluxo de
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 29 Este Guia Prático foi traduzido com o apoio de:
ELEMENTOS E ATRIBUTOS
DESIGN DO CONTROLE
(MÉTODOS PARA ALCANÇAR OS
PRINCÍPIOS, ELEMENTOS E
ATRIBUTOS DO AMBIENTE DE
CONTROLE)
CONSIDERAÇÕES DO TESTE
DE CONTROLE7
informações de riscos para cima,
para baixo e por toda a
organização.
Manter a Estrutura - a gerência
mantém uma estrutura
organizacional que facilita o
reporte eficaz e outras
comunicações sobre o controle
interno, entre várias funções e
posições da gerência.
A organização desenvolve e
mantém uma tabela
organizacional que estabelece
papéis e responsabilidades de
reporte para todos os
funcionários.
A organização desenvolve e
mantém descrições de cargo das
posições principais.
Revisar a tabela organizacional,
incluindo a especificação de
papéis e responsabilidades de
reporte, além de revisar o
processo de atualização da
tabela organizacional. Perguntar
aos funcionários principais na
estrutura de controle interno
sobre seu entendimento dos
papéis e responsabilidades.
Revisar as descrições de cargo
dos funcionários principais,
incluindo o processo de
atualização das descrições de
cargo. Perguntar aos
funcionários principais na
estrutura de controle interno
sobre seu entendimento das
descrições de cargo.
Manter Processos - as linhas de
reporte da gerência reconhecem
a importância da manutenção de
processos para verificações
objetivas de informações
geradas a partir do sistema de
informação da organização.
A organização estabeleceu
processos para validar,
periodicamente, a confiabilidade
do seu sistema de informação e
a precisão, completude e
pontualidade das informações
geradas por esse sistema.
Revisar o processo da
organização de validar,
periodicamente, a confiabilidade
do seu sistema de informação e
a precisão, completude e
pontualidade das informações
geradas por esse sistema, além
de reportes gerados como
resultado desse processo.
Revisar deficiências
identificadas e a investigação,
resolução e remediação de
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 30 Este Guia Prático foi traduzido com o apoio de:
ELEMENTOS E ATRIBUTOS
DESIGN DO CONTROLE
(MÉTODOS PARA ALCANÇAR OS
PRINCÍPIOS, ELEMENTOS E
ATRIBUTOS DO AMBIENTE DE
CONTROLE)
CONSIDERAÇÕES DO TESTE
DE CONTROLE7
deficiências identificadas da
organização.
5. Comprometimento com a Competência: Princípio Básico - A organização retém indivíduos
competentes no reporte financeiro, controle interno e gerenciamento de riscos, além de papéis de
supervisão relacionados.
Identificar Competências - as
competências que sustentam a
eficácia do reporte financeiro,
controle interno e gerenciamento
de riscos são identificadas.
Uma estratégia/plano de
competência claro e
transparente existe, alinhado
com a estratégia de negócios e
os objetivos da organização. A
estratégia foi aprovada pela
gerência executiva e
comunicada. A estratégia/plano
deve incluir os requisitos de
competência para atividades que
foram terceirizadas. O plano
deve incluir métodos para
aquisição de competências
requeridas.
Existem planos em prática para
garantir um nível apropriado de
estruturação da equipe.
Existem descrições formais de
cargo/papel e definem tarefas e
competências para cada cargo.
Descrições de cargo/papel (e
experiência) devem incluir
habilidades e comportamentos
necessários para completar o
trabalho atribuído. Para cada
competência, o nível desejado
de competência deve ser
Obter e revisar a estratégia/plano
de competência para verificar se
existe, está alinhado com as
estratégias de negócios e
objetivos, foi aprovado pela
gerência executiva e foi
comunicado conforme
apropriado.
Revisar os níveis de estruturação
da equipe e os organogramas da
organização e conferir com
gerência para entender as
metodologias usadas para avaliar
se há equipe suficiente para
executar estratégias e planos
operacionais.
A partir dos organogramas da
organização, selecionar uma
amostra de cargos e revisar suas
descrições de cargo/papel, para
garantir que o nível certo de
competências tenha sido
articulado para cumprir as
tarefas atribuídas àquele cargo.
As habilidades parecem
apropriadas e as competências
(e experiência) parecem
razoáveis e consistentes? É
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 31 Este Guia Prático foi traduzido com o apoio de:
ELEMENTOS E ATRIBUTOS
DESIGN DO CONTROLE
(MÉTODOS PARA ALCANÇAR OS
PRINCÍPIOS, ELEMENTOS E
ATRIBUTOS DO AMBIENTE DE
CONTROLE)
CONSIDERAÇÕES DO TESTE
DE CONTROLE7
articulado. recomendado que a amostra
inclua posições principais de
liderança, gerência e de
supervisão, particularmente na
forma como elas se relacionam
com o reporte financeiro, risco e
controle.
Retém Indivíduos - a
organização emprega ou utiliza
de outra forma indivíduos que
possuem as competências
requeridas para o reporte
financeiro, controle interno,
conformidade e gerenciamento
de riscos.
Indivíduos são alocados em
cargos com base em suas
competência (e experiência) com
relação aos requisitos do
trabalho, conforme definido
pelas descrições do cargo.
No preenchimento das posições
principais de gestão, experiência
funcional abrangente deve ser
um objetivo.
É considerada a competência de
prestadores de serviços em casos
de terceirização de atividades.
Deve haver um plano de
treinamento cruzado para a
gerência e a equipe, para dar a
eles um entendimento das
outras funções que impactam os
seus trabalhos específicos e para
suporte a essas funções.
Há planos em prática para
garantir que os níveis adequados
de estruturação da equipe sejam
mantidos.
Existem planos de sucessão para
as posições principais e os
Para contratações recentes,
obter o curriculum vitae ou o
résumé dos incumbentes para
verificar se há uma combinação
apropriada da competência
deles com a posição de trabalho.
Considerar competências,
histórico, educação e
experiência. Perguntar à
gerência sobre a adequação do
processo de seleção.
Na hora de revisar as principais
descrições de cargos de gestão
dos incumbentes, verificar se há
uma experiência funcional
abrangente, em vez de um peso
maior em uma ou duas áreas
funcionais. Perguntar à gerência
sobre o alinhamento das
habilidades e competências
atuais dos incumbentes,
considerando mudanças
contínuas no negócio, riscos e o
desempenho operacional atual.
Revisar acordos/arranjos
terceirizados para verificar se
foram devidamente
consideraadas as competências
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 32 Este Guia Prático foi traduzido com o apoio de:
ELEMENTOS E ATRIBUTOS
DESIGN DO CONTROLE
(MÉTODOS PARA ALCANÇAR OS
PRINCÍPIOS, ELEMENTOS E
ATRIBUTOS DO AMBIENTE DE
CONTROLE)
CONSIDERAÇÕES DO TESTE
DE CONTROLE7
indivíduos identificados nesses
planos de sucessão possuem as
competências necessárias ou
existem planos para desenvolver
essas competências.
Existe um processo em prática
para obter assistência em
assuntos técnicos de alta
complexidade.
A contratação de indivíduos
inclui a verificação de histórico e
referências, etc.
na hora de selecionar o
prestador do serviço (pré-
qualificação). Garantir que
existam provisões que exijam
que o prestador do serviço
mantenha as competências
necessárias. Avaliar se o
processo de monitoramento de
competências é eficaz.
Obter planos de treinamento e
verificar se o treinamento
cruzado está sendo incluído nas
estratégias de plano de
treinamento.
Perguntar aos auditores externos
sobre sua percepção quanto às
capacidades e do nível de
estruturação da equipe no
reporte financeiro e principais
funções de governança na
organização. Revisar auditorias
feitas por partes externas
(regulatórias, de contrato,
ambiental, etc.).
As competências foram
avaliadas? Se sim, quais foram
as conclusões/recomendações?
Revisar os planos de sucessão
para cargos principais. Garantir
que os planos de
desenvolvimento de treinamento
e as competências dos
candidatos potenciais ao
planejamento de sucessão
geralmente se alinhem com os
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 33 Este Guia Prático foi traduzido com o apoio de:
ELEMENTOS E ATRIBUTOS
DESIGN DO CONTROLE
(MÉTODOS PARA ALCANÇAR OS
PRINCÍPIOS, ELEMENTOS E
ATRIBUTOS DO AMBIENTE DE
CONTROLE)
CONSIDERAÇÕES DO TESTE
DE CONTROLE7
requisitos do trabalho/papel.
Consultar a equipe financeira e,
independentemente, os
auditores externos, para
determinar como as
necessidades anteriores de
assistência/confirmação técnica
de procedimentos de
contabilidade foram atendidas.
Avaliar Competências – as
competências necessárias são
regularmente avaliadas e
mantidas.
Existe uma abordagem e uma
diretriz de avaliação de
competência que são
documentadas e atualizadas
regularmente. A abordagem é
desenvolvida para identificar
brechas nas competências e
estabelecer planos de
desenvolvimento por escrito para
tratar essas brechas dentro de
uma linha de tempo razoável e
um sistema de monitoramento/
reporte, para garantir que essas
brechas sejam tratadas.
Para indivíduos em cargos
principais de reporte financeiro,
risco e controle, o conselho
avalia, anualmente, suas
competências.
As avaliações anuais de
competências e desempenho da
organização e dos funcionários
do prestador de serviço
terceirizado estão em prática.
Obter e revisar a adequação de
procedimentos para avaliar
competências individuais.
Selecionar uma amostra da
gerência e da equipe e revisar
avaliações, planos para tratar
brechas e o progresso feito até
então. Revisar o sistema de
reporte e concluir se as pessoas
estão, coletivamente,
progredindo adequadamente no
tratamento das brechas de
competências.
Para indivíduos principais,
revisar a documentação de que
isso foi concluído.
Revisar os processos de
negócios nos quais tenham
ocorrido eventos de riscos
surpresa, fraquezas materiais ou
deficiências, para determinar se
as avaliações de competências
foram conduzidas
apropriadamente.
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 34 Este Guia Prático foi traduzido com o apoio de:
ELEMENTOS E ATRIBUTOS
DESIGN DO CONTROLE
(MÉTODOS PARA ALCANÇAR OS
PRINCÍPIOS, ELEMENTOS E
ATRIBUTOS DO AMBIENTE DE
CONTROLE)
CONSIDERAÇÕES DO TESTE
DE CONTROLE7
Habilidades notadas em
descrições de cargo fazem parte
da revisão anual regular de
desempenho dos funcionários.
Revisar uma amostra das
avaliações de desempenho, para
determinar se as habilidades
notadas nas descrições de cargo
realmente fazem parte da
avaliação de desempenho anual
dos funcionários e se os ajustes
de compensação diferem para
funcionários aplicando a mesma
habilidade em vários níveis de
competência.
6. Autoridade e Responsabilidade: Princípio Básico - A gerência e os funcionários têm níveis
apropriados de autoridade e responsabilidade, para facilitar a eficácia do controle interno.
O Conselho Supervisiona o
Controle Interno e o
Gerenciamento de Riscos - o
conselho supervisiona o
processo da gerência para
definir as responsabilidades pelo
controle interno e pelo
gerenciamento de riscos.
As estruturas do conselho legal
da entidade e do comitê,
regimentos e/ou estatutos
definem as responsabilidades
pela supervisão e avaliação dos
principais papéis e
responsabilidades da gerência
pelo gerenciamento de riscos e
controle interno.
As reuniões do conselho devem
incluir, regularmente, discussões
sobre a eficácia dos papéis e
responsabilidades da gerência
pelo gerenciamento de riscos e
controle interno.
Como resultado das discussões,
o conselho deve fazer
recomendações sobre o
realinhamento, se necessário.
Obter e revisar os documentos
legais da organização, para
garantir que existem papéis de
supervisão apropriados e que
estão documentados.
Revisar a agenda e as minutas
das reuniões do conselho, para
verificar se as discussões
apropriadas de supervisão estão
sendo conduzidas.
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 35 Este Guia Prático foi traduzido com o apoio de:
ELEMENTOS E ATRIBUTOS
DESIGN DO CONTROLE
(MÉTODOS PARA ALCANÇAR OS
PRINCÍPIOS, ELEMENTOS E
ATRIBUTOS DO AMBIENTE DE
CONTROLE)
CONSIDERAÇÕES DO TESTE
DE CONTROLE7
Responsabilidades Definidas - a
atribuição de responsabilidade e
de autoridade está claramente
definida para todos os
funcionários envolvidos no
controle interno e nos processos
de gerenciamento de riscos,
conformidade e reporte
financeiro.
O conselho atribui autoridade e
responsabilidade ao CEO, que,
por sua vez, atribui autoridade e
responsabilidade a indivíduos
apropriados na organização.
Essas autoridades e
responsabilidades atribuídas
devem ser formalmente
documentadas.
Para cargos principais de gestão,
o conselho revisa e aprova as
descrições das responsabilidades
e autoridades dos cargos, além
de considerar como essas
funções afetam a força do
controle interno.
A evidência para a atribuição de
autoridades pode ser na forma
de uma matriz de autoridades
atribuídas, descrições de cargo
por escrito ou cartas de
concessão de autoridade
individual. Os funcionários
devem entender suas
autoridades e responsabilidades
claramente.
Quando a gerência atribui
autoridade e responsabilidade a
indivíduos principais, ela
considera o impacto sobre a
eficácia do ambiente de controle
e a importância de manter uma
segregação de tarefas eficaz. Um
conjunto definido de critérios
deve existir, no qual a gerência
Revisar a completude do
processo de atribuição de
responsabilidade e autoridades.
Avaliar a adequação de critérios
para atribuir autoridade.
Através de uma inspeção,
verificar se a gerência principal
possui autoridades
documentadas apropriadas. Por
meio de entrevistas, verificar se
a gerência compreende suas
autoridades e responsabilidades.
Verificar se as autoridades são
revisadas e ajustadas quando
apropriado, periodicamente.
Revisar pesquisas de
funcionários (ou conduzir uma
pesquisa, se não foi conduzida
por outros), para determinar se
as autoridades e
responsabilidades foram
claramente comunicadas e
entendidas.
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 36 Este Guia Prático foi traduzido com o apoio de:
ELEMENTOS E ATRIBUTOS
DESIGN DO CONTROLE
(MÉTODOS PARA ALCANÇAR OS
PRINCÍPIOS, ELEMENTOS E
ATRIBUTOS DO AMBIENTE DE
CONTROLE)
CONSIDERAÇÕES DO TESTE
DE CONTROLE7
baseará os níveis de autoridade.
Quando delega níveis de
autoridade e responsabilidade, a
gerência estabelece um balanço
apropriado entre a autoridade
necessária para "realizar o
trabalho" e a necessidade de
manter controles internos
adequados sobre os principais
processos de negócio.
Os níveis de autoridade devem
ser revisados periodicamente,
para garantir que sejam
apropriados.
Os funcionários são autorizados
a corrigir problemas ou
implementar melhorias nos
processos de negócio a eles
atribuídos, conforme acharem
necessário. A autorização para
tomar essas ações é
acompanhada de níveis pré-
aprovados de responsabilidade e
autoridade.
A gerência considera a natureza
dos cargos dos funcionários
dentro da organização na hora de
atribuir responsabilidades a
indivíduos ou determinar certos
níveis de autoridade aos cargos.
Limite de Autoridade - a
atribuição de autoridade e
responsabilidade inclui
Como parte de conceder
autoridade, o processo da
organização inclui linhas claras
Incluir a verificação dos limites
de autoridade no teste acima.
Durante o período de revisão
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 37 Este Guia Prático foi traduzido com o apoio de:
ELEMENTOS E ATRIBUTOS
DESIGN DO CONTROLE
(MÉTODOS PARA ALCANÇAR OS
PRINCÍPIOS, ELEMENTOS E
ATRIBUTOS DO AMBIENTE DE
CONTROLE)
CONSIDERAÇÕES DO TESTE
DE CONTROLE7
limitações apropriadas. de autoridade para a aprovação
de transações acima de uma
quantia específica de dólares ou
para o cumprimento de certas
características descritas.
Conforme o limiar do dólar
cresce, aprovações adicionais
por parte da alta administração
são necessárias, com os maiores
limiares de dólar reservados para
aprovação do CEO e do
conselho.
Existe um processo em
andamento para monitorar a
conformidade com os níveis de
autoridade e um processo de
remediação nos casos em que as
autoridades forem excedidas.
para quaisquer eventos/
transações significantes,
verificar se o processo de
aprovação e os níveis de
aprovação apropriados foram
seguidos.
7. Recursos Humanos: Princípio Básico - Políticas e práticas de RH são desenvolvidas e
implementadas para facilitar a eficácia do controle interno.
Estabelecer Políticas de RH - a
gerência estabelece políticas e
procedimentos de RH que
demonstram o seu
comprometimento com a
integridade, o comportamento
ético e a competência.
Existem políticas e
procedimentos de RH. Eles
foram revisados e aprovados pelo
conselho e implementados pela
gerência. As políticas e
procedimentos estão
documentados e, portanto,
fornecem evidências do processo
de controle.
As políticas e procedimentos de
RH são periodicamente
revisados, atualizados se
necessário e
Obter e revisar as políticas e
procedimentos de RH da
organização, para garantir que
estejam completos, atuais e
aprovados apropriadamente.
Revisar o conteúdo da pesquisa
de funcionários mais recente.
Ela pediu que os funcionários
avaliassem a qualidade/eficácia
das políticas, dos procedimentos
e das práticas? Onde existem
oportunidade de melhorias, qual
o status das ações? Os
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 38 Este Guia Prático foi traduzido com o apoio de:
ELEMENTOS E ATRIBUTOS
DESIGN DO CONTROLE
(MÉTODOS PARA ALCANÇAR OS
PRINCÍPIOS, ELEMENTOS E
ATRIBUTOS DO AMBIENTE DE
CONTROLE)
CONSIDERAÇÕES DO TESTE
DE CONTROLE7
certificados/aprovados pelos
indivíduos apropriados.
Uma política eficaz existe para a
disseminação das políticas e
procedimentos de RH e os
funcionários os entendem.
Funcionários recentemente
contratados recebem uma cópia
de todas as políticas e
procedimentos e todos os
funcionários recebem
atualizações.
São conduzidas pesquisas
periódicas com os funcionários,
para avaliar seu entendimento
sobre as políticas e
procedimentos de RH e se têm
sido eficazes em alcançar os
objetivos de RH.
resultados foram resumidos e
revisados com a alta
administração e o conselho?
Recrutamento e Retenção - o
recrutamento e retenção de
funcionários para cargos
principais são guiados pelos
princípios da integridade e pelas
competências necessárias
associadas aos cargos.
A gerência estabelece e reforça
padrões para a contratação de
profissionais, de forma
consistente com os requisitos da
descrição de cargo.
Políticas sobre conflitos de
interesse com relação a
relacionamentos empregatícios,
tais como aqueles envolvendo
membros da família ou
relacionamentos pessoais entre
colegas de trabalho, estão em
prática e reforçadas.
Práticas de recrutamento
Incluir revisão de procedimentos
de recrutamento/retenção
quando completar a revisão
acima.
Verificar se os procedimentos de
triagem estão sendo seguidos.
Para contratações recentes em
cargos principais, verificar se o
novo contratado cumpre com os
requisitos da posição.
Revisar a documentação de
entrevistas demissionais.
Verificar se a ação de
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 39 Este Guia Prático foi traduzido com o apoio de:
ELEMENTOS E ATRIBUTOS
DESIGN DO CONTROLE
(MÉTODOS PARA ALCANÇAR OS
PRINCÍPIOS, ELEMENTOS E
ATRIBUTOS DO AMBIENTE DE
CONTROLE)
CONSIDERAÇÕES DO TESTE
DE CONTROLE7
incluem entrevistas de trabalho
formais e profundas.
Procedimentos de triagem,
incluindo verificação de
referências, revisão do currículo
e verificação de histórico são
empregados para candidatos à
vaga, particularmente para
candidatos a cargos principais
da gestão.
As práticas de entrevista e
triagem estão em conformidade
com o trabalho local, os direitos
humanos e leis/regulamentos de
privacidade.
A organização desenvolve e
mantém descrições de posições
que refletem seus valores e as
competências necessárias para
satisfazer os requisitos da
posição. As descrições do cargo
contêm referências específicas
às responsabilidades
relacionadas ao controle.
A organização realiza entrevistas
demissionais com aqueles que
estão deixando a organização e
perguntam sobre quaisquer
preocupações relacionadas ao
controle interno.
Estratégias de retenção incluem
planos de sucessão formais. A
organização deve ter um plano
de sucessão documentado para
posições principais de gerência.
acompanhamento foi apropriada.
Obter e revisar os planos de
sucessão para cargos principais.
Garantir que eles sejam
periodicamente revisados e
aprovados.
Revisar estatísticas de
rotatividade e tendências. Os
resultados estavam fora de um
limite razoável analisado foram e
discutidos no nível apropriado?
Avaliar se o RH ou outra área de
gestão revisa os níveis de
rotatividade. Revisar
independentemente os dados de
rotatividade com relação à
rotatividade geral, rotatividade
de contratações recentes e
rotatividade de cargos ou
competências principais. Saber
mais sobre a possível causa raiz
de uma rotatividade excessiva,
inesperada ou inexplicável.
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 40 Este Guia Prático foi traduzido com o apoio de:
ELEMENTOS E ATRIBUTOS
DESIGN DO CONTROLE
(MÉTODOS PARA ALCANÇAR OS
PRINCÍPIOS, ELEMENTOS E
ATRIBUTOS DO AMBIENTE DE
CONTROLE)
CONSIDERAÇÕES DO TESTE
DE CONTROLE7
Planos de sucessão devem ser
atualizados periodicamente e
aprovados pelo CEO e pelo
conselho.
Treinamento Adequado - a
gerência dá suporte aos
funcionários ao possibilitar o
acesso às ferramentas e ao
treinamento necessário para que
eles cumpram com seus papéis.
Existem programas de
treinamento para reforçar e
promover um comportamento
ético e o controle interno.
Um programa de treinamento
deve incluir a identificação do
conhecimento, das habilidades e
das competências necessárias
para cumprir com seus papéis.
Treinamentos individuais devem
ser documentados em um plano
de treinamento.
O processo de treinamento
contínuo permite que as pessoas
lidem de forma eficaz com seus
ambientes de negócio em
evolução.
Treinamento inclui o
desenvolvimento e o coaching
em liderança e habilidades
interpessoais.
A gerência dá suporte aos
funcionários ao fornecer a eles
as ferramentas e os recursos
necessários para realizar seu
trabalho.
Obter e revisar programas de
treinamento e desenvolvimento,
para garantir que eles abordem
os elementos principais.
Verificar se o programa inclui
passos para avaliar a eficácia do
funcionário e para estabelecer
um plano para fechar quaisquer
brechas identificadas.
Inspecionar os planos de
treinamento de vários membros
principais da equipe de gestão,
para verificar se existem. Avaliar
o progresso do fechamento de
"brechas".
Revisar orçamentos para garantir
que existam recursos adequados
(por exemplo, tempo, pessoas,
fundos, equipamentos) para
cumprir com os planos de
desenvolvimento. Revisar o
gasto atual, para garantir que os
funcionários estejam se
utilizando dos treinamentos.
Revisar o programa de educação
suplementar, se existir um.
Coletar amostras de funcionários
com relação à adequação do
treinamento interno e o valor
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 41 Este Guia Prático foi traduzido com o apoio de:
ELEMENTOS E ATRIBUTOS
DESIGN DO CONTROLE
(MÉTODOS PARA ALCANÇAR OS
PRINCÍPIOS, ELEMENTOS E
ATRIBUTOS DO AMBIENTE DE
CONTROLE)
CONSIDERAÇÕES DO TESTE
DE CONTROLE7
agregado do treinamento para o
aprimoramento de habilidades e
competências.
Desempenho e Compensação -
as avaliações de desempenho
dos funcionários e as práticas de
compensação da organização,
incluindo aquelas que afetam a
alta administração, apoiam o
alcance dos objetivos de
controle interno.
Existe um processo de
gerenciamento de desempenho
que inclui o estabelecimento de
objetivos, avaliações e
recompensas.
O plano de compensação/
incentivo da organização para os
executivos sênior é balanceado
entre o alcance de objetivos
financeiros e não financeiros e
não é sobrecarregado com
relação ao alcance de resultados
financeiros trimestrais.
O processo de gerenciamento de
desempenho inclui passos para
confirmar a consciência do
progresso de um funcionário em
relação ao alcance de objetivos
durante o período de
desempenho.
Revisões de desempenho são
conduzidas anualmente e
assinadas pelo funcionário e
pelo respectivo gerente. A
revisão documentada é evidência
da revisão de desempenho e é
de fácil obtenção.
Avaliações de desempenho e
compensação para incluir
compensação de incentivo para
Obter e revisar o processo de
gerenciamento de desempenho
documentado da organização.
Verificar se os elementos
principais existem.
Para a gerência principal (ênfase
particular na executiva), verificar
se o processo de gerenciamento
de desempenho foi realizado
conforme requerido.
Revisar as minutas das reuniões
do conselho ou outras
documentações para sustentar
sua revisão e aprovação de
desempenho e recompensas.
Verificar se as mudanças de
compensação, prêmios de
incentivo e as concessões de
ações são consistentes com as
quantias aprovadas pelo
conselho.
Revisar os conjuntos de
informações para o conselho,
para garantir que possui
informações apropriadas para
fazer o benchmarking da
compensação e a premiação de
incentivos.
Revisar processos usados para
desenvolver e compilar
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 42 Este Guia Prático foi traduzido com o apoio de:
ELEMENTOS E ATRIBUTOS
DESIGN DO CONTROLE
(MÉTODOS PARA ALCANÇAR OS
PRINCÍPIOS, ELEMENTOS E
ATRIBUTOS DO AMBIENTE DE
CONTROLE)
CONSIDERAÇÕES DO TESTE
DE CONTROLE7
a gerência principal são
revisadas pelo conselho antes da
administração/pagamento.
Programas de compensação são
estudados em comparação com
o mercado e com a indústria
periodicamente. O conselho está
atualizado em relação a esses
estudos.
O conselho está certo da
integridade dos sistemas de
informação de programas de
incentivo e de que as
informações usadas para
recompensar uma compensação
de incentivo são confiáveis.
informações de compensação e
identificar se as atividades de
garantia cobrem todas as
atividades importantes.
Revisar a compensação paga
atualmente e os prêmios de
incentivo em relação às quantias
aprovadas e às diretrizes de
pagamento.
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 43 Este Guia Prático foi traduzido com o apoio de:
Autores: Parveen P. Gupta
Philip D. Bahrman, CIA
Joseph Carcello, CIA
Princy Jain, CIA, CCSA
Norman Marks
James A. Rose, CIA
Erich Schumann, CIA
Natarajan Girija Shankar, CIA
Revisores: Carlos Alberto Reyes, CIA
Maria E. Mendes, CIA, CCSA
Lynn C. Morley, CIA
David W.Zechnich, CIA
Douglas J. Anderson, CIA
Steve Jameson, CIA, CCSA, CFSA
IPPF – Guia Prático Auditando o Ambiente de Controle
www.iiabrasil.org.br / 44 Este Guia Prático foi traduzido com o apoio de:
Sobre o Instituto
Fundado em 1941, The Institute of Internal Auditors
(IIA) é uma associação profissional com sede global
em Altamonte Springs, Fla., EUA. O IIA é a voz da
profissão de auditoria interna em todo o mundo,
autoridade reconhecida, líder valorizado, advogado
chefe e principal educador.
Sobre os Guias Práticos
Os Guias Práticos fornecem uma orientação
detalhada para a condução de atividades de auditoria
interna. Eles incluem processos e procedimentos
detalhados, como ferramentas e técnicas, programas
e abordagens passo-a-passo, assim como exemplos
de deliverables. Os Guias Práticos são parte da
Estrutura Internacional de Práticas Profissionais do
IIA. Como parte da categoria de orientação
Fortemente Recomendada, a conformidade não é
obrigatória, mas é altamente recomendada, e a
orientação é endossada pelo IIA por meio de
processos formais de revisão e aprovação. Para mais
materiais de orientação fidedignos fornecidos pelo
IIA, por favor, visite nosso website:
www.iiabrasil.org.br ou www.theiia.org
Isenção de Responsabilidade
O IIA publica este documento para fins informativos
e educacionais. Este material de orientação não tem
como objetivo fornecer respostas definitivas a
específicas circunstâncias individuais e, como tal,
tem o único propósito de servir de guia. O IIA
recomenda que você sempre busque conselhos
especializados independentes, relacionados
diretamente a qualquer situação específica. O IIA
não assume responsabilidade pela confiança
depositada unicamente neste guia.
Copyright
Copyright ® 2011 The Institute of Internal
Auditors. Para permissão para reprodução, favor
entrar em contato com o IIA pelo e-mail: