Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
1
Auditoria Interna Julho/Setembro 2011 Nº 44
2
Auditoria Interna Julho/Setembro 2011 Nº 44
Índice
Agenda 2011 ................................................................................................................................................................................................................ 4
IPAI - Membros Colectivos .............................................................................................................................................................................. 6
Parcerias e protocolos ........................................................................................................................................................................................ 9
Fórum de Auditoria Interna 2011-“Crescer pela partilha do conhecimento”, Fátima Geada, Presidente Direcção
IPAI ................................................................................................................................................................................................................................... 11
Da incompetência na gestão, Manuel Marques Barreiro; Consultor e Presidente do Conselho Geral do IPAI .......... 15
Análise de dados-Técnicas gerais para detectar e prevenir erros, não intencionais ou
premeditados, nos dados de uma organização, Drumond de Freitas – Consultor EQUICONSULTE, SA ................... 17
Prémios IPAI ............................................................................................................................................................................................................. 21
Controlo Interno, Risco e Auditoria Interna, João Revés - SSP Partner ........................................................................... 26
Gestão de Riscos de Tecnologias de Informação – a framework Risk IT, - José Tinoco, CISA, CIA, CFE,
ISO 27001 LA, ISACA Lisbon Chapter Industry Officer ................................................................................................................................. 31
Partes interessadas – ISO 26000- Mário Parra da Silva, Empresário e Presidente da Associação Portuguesa
de Ética Empresarial ............................................................................................................................... 34
Fórum de Auditoria Interna 2011 - fotos ............................................................................................. 36
Sugestão de leitura ................................................................................................................................. 44
Caneta Digital ........................................................................................................................................ 44
Post_it , Miguel Silva ........................................................................................................................ 46
Pesquisa de Institutos de Auditoria ................................................................................................... 47
Missão
Promover a partilha do saber e da prática em auditoria
interna, gestão do risco e controlo interno.
Propriedade e Administração IPAI – Avenida Duque de Loulé, 5 – 2º B – 1050-085 LISBOA; [email protected];Contribuinte nº 502 718 714; Telefone/Faxe: 213 151 002
Ficha técnica
Presidente da Direcção: Fátima Geada; Director: Joaquim Leite Pinheiro; Redacção: Manuel Barreiro; Raul Fernandes; Conselho Editorial: Manuel Barreiro, Fátima Geada, Francisco Melo Albino; Colaboradores nesta edição: Manuel Barreiro, Drumond de Freitas, Miguel Silva, João Revés, Mário Parra da Silva, José Tinoco.
Pré-impressão: IPAI; Impressão e Acabamento: CEM; Ano XIII – Nº 44 – TRIMESTRAL Julho/Setembro 2011; TIRAGEM: 1400 exemplares; Registo: DGCS com o nº 123336; Depósito Legal: 144226/99; Expedição por correio; Grátis; Correspondência: IPAI – Avenida Duque de Loulé, 5 – 2º B – 1050-085 LISBOA Telefone/Faxe: 213 151 002; [email protected]; [email protected]; Visite-nos em www.ipai.pt
https://www.facebook.com/ipai.auditoriainternaportugal
http://pt.linkedin.com/in/ipaichapteriia
Nota: Os artigos vinculam exclusivamente os seus autores, não reflectindo necessariamente as posições da Direcção e do Conselho Editorial da Revista nem do IPAI. A aceitação de publicação dos artigos na Revista Auditoria Interna do IPAI, implica a autorização para a inserção no sítio do IPAI após a edição da revista impressa.
Fotos da capa: Raul Fernandes; Contracapa: Composição: JLP; outras fotos: Raul Fernandes e JLP
3
Auditoria Interna Julho/Setembro 2011 Nº 44
Corpos sociais para o biénio 2010-2011
Assembleia Geral
Presidente da Mesa: António dos Santos Ramos, CIA – Estoril Sol
Secretário: Carlos Alberto Mendes Lopes – Estradas de Portugal
Vogal: Rodrigo Mário de Carvalho – ISCAP
Conselho Fiscal Presidente: Manuel dos Santos Gomes
Vogais: Álvaro da Silva João
João Manuel Barata da Silva - CGD
Vogal Suplente: Maria de Lurdes Neves - TAP
Direcção
Presidente: Fátima Geada, PHD – TAP
Vice-Presidentes: Francisco de Melo Albino, CIA; CCSA; CGAP
António Neutel Neves, CIA – Portucel
Nuno Oliveira, CIA - AdP
José Costa Bastos
Nelson Martins, CCSA – BES
Pedro Cupertino de Miranda, CISA – SONAE
Secretário: Joaquim Leite Pinheiro
Vogais: Luís Filipe Machado, CIA; CCSA – BCP
Severo Praxedes Soares – IGF
Miguel Correia, CIA; CCSA; CFSA I – Liberty Seguros
Georgina Morais – ISCAC
Ana Cláudia – BRISA
Jorge Santos Nunes – Lusitânia
CONSELHO GERAL
Presidente: Manuel Marques Barreiro
Vice-Presidente: Manuel Agostinho Raul Fernandes
Vogais:
Domingos Sequeira – Ex-Presidente da Direcção
Orlando Sousa - SONAE
Ana Margarida Fernandes – Inspecção-Geral de Finanças
António Costa e Silva – Tribunal de Contas
Carlos Baptista da Costa – ISCAL
Octávio Castelo Paulo – Instituto Português Corporate Governance
Jean-éric Gaign – KPMG
João Frade – DELOITTE
João de Mello Franco – PT e EDP Renováveis
Jorge de Freitas Nunes – Ernst & Young
José Manuel Dias da Fonseca – APOGERIS
Francisco Martins da Rocha – Banco de Portugal
Nasser Sattar – PriceWaterhouseeCoopers
Orlando Germano da Silva - BES
IPAI filiado na
IIA Portugal
Chapter 253
4
Auditoria Interna Julho/Setembro 2011 Nº 44
Agenda 2011
Nº CURSO LOCAL DATA FORMADOR
Formação de Base em Auditoria Interna
1 Introdução ao Controlo e Auditoria Interna Lisboa Porto
Fev. 7 e 8 Set. 5 e 6
Francisco Albino, CIA, CCSA, CGAP
Formação para Auditores Seniores e CAEs
2 Auditoria Interna Baseada no Risco Lisboa Lisboa
Maio. 2 e 3 Set. 12 e 13
Nuno Oliveira, CIA
3 Auto-avaliação do Risco e do Controlo – Preparação para o Exame CCSA
Lisboa Jun. 27 e 28 Nuno Oliveira, CIA Júlia Santos. CCSA
4 Avaliação da Qualidade e Performance em Auditoria Interna
Lisboa Set. 26 e 27 Fátima Geada, PhD
Formação de Especialização
5 Relatórios de Auditoria Lisboa Mai. 9 e 10 Francisco Albino, CIA, CCSA, CGAP
6 Audit Analytics Lisboa Jul. 29* Prof. Glenn Sumners, CIA, CPA, CFE
7 Amostragem para Auditoria Lisboa Dez. 12 e 13 Fátima Geada, PhD Céu Almeida, ROC
8 Fraude e Auditoria Interna Lisboa Abr. 4 e 5 Tiago Lopes, CIA, CCSA, CFE
9 Gestão de Risco Lisboa Out. 17 e 18**
Formação para Auditores de Sistemas de Informação
10
Auditoria de Sistemas e Tecnologias de Informação
Lisboa Mai. 16 e 17 Paulo Gomes, CISA
11 Segurança de Sistemas de Informação Lisboa Mai. 26 e 27 Pedro Cupertino, CISA
Formação Comportamental
12 Liderança e Comunicação em Auditoria Interna Lisboa Porto
Abr.18 e 19 Out.10 e 11
Filipa Oliveira
13 Técnicas de Apresentação *** Lisboa Jul. 4 e 5 Filipa Oliveira
Formação para a Certificação CIA
14 CIA Review – I Part
Lisboa Jul. 25 * Prof. Glenn Sumners, CIA, CPA, CFE
15 CIA Review – II Part Lisboa Jul. 26 * Prof. Glenn Sumners, CIA, CPA, CFE
16 CIA Review – III Part
Lisboa Jul.27 e 28*
Prof. Glenn Sumners, CIA, CPA, CFE
17 CIA Review – IV Part
Lisboa Jul. 28 * Prof. Glenn Sumners, CIA, CPA, CFE
18 Preparação para o exame CIA – I Parte
Lisboa Mar. 14 Francisco Albino, CIA, CCSA, CGAP
19 Preparação para o exame CIA – II Parte Lisboa Mar. 15 Nuno Oliveira, CIA
5
Auditoria Interna Julho/Setembro 2011 Nº 44
…Agenda 2011
Nº CURSO LOCAL DATA FORMADOR Formação para Auditores do Sector Público
20 Auditoria de Instituições Públicas – Preparação para o Exame CGAP
Lisboa A definir Francisco Albino, CIA, CCSA, CGAP
21 Auditoria a Empreitadas de Obras Públicas
Lisboa Nov. 7 e 8 Sara Pestana, CIA Sofia Correia, CIA
22 Auditoria Interna no Sector da Saúde ***
Lisboa Mar.28 e 29
Formação para Auditores do Sector Financeiro
23 Cursos em parceria com o MIS ** Lisboa * * Em língua inglesa. ** Em preparação, com realização a confirmar. *** Curso novo. Nota: As datas indicadas poderão ser alteradas pelo que se sugere o pedido de confirmação por correio electrónico. [email protected] Eventos a realizar em 2011
VI Fórum de Auditoria Interna (16 de Junho de 2011)
XVIII Conferência Nacional do IPAI (17 de Novembro de 2011)
II Fórum de Auditores do Sector da Saúde
I Fórum de Auditores das Autarquias Locais
Reuniões de Trabalho do Núcleo de Auditores Internos do Sector dos Transportes, Infra-estruturas e Reguladores
Reuniões de Trabalho do Núcleo de Auditores Internos do Sector Financeiro
Reunião de Trabalho do Núcleo de Auditores Internos de Sistemas de Informação
http://www.linkedin.com/in/ipaichapteriia
https://www.facebook.com/ipai.auditoriainternaportugal
http://www.facebook.com/TheInstituteofInternalAuditors
6
Auditoria Interna Julho/Setembro 2011 Nº 44
IPAI - Membros Colectivos
7
Auditoria Interna Julho/Setembro 2011 Nº 44
IPAI - Membros Colectivos
8
Auditoria Interna Julho/Setembro 2011 Nº 44
Parcerias e protocolos
http://www.ipai.pt/gca/index.php?id=116
http://www.pwc.com/pt/pt
http://www.caseware.com/about-us/distributors/Equiconsulte-SA
http://www.cgov.pt/
http://www.universidade-autonoma.pt/index_ual2010.html
http://www.infocontab.com.pt/ 99
http://www.iscad.pt/
9
Auditoria Interna Julho/Setembro 2011 Nº 44
Parcerias e protocolos
http://www.iscac.pt/portal
http://www.uatlantica.pt/
http://www.isaca-lisbon.org/
www.ssp-sa.com
http://www.egp-upbs.up.pt/
http://www.ordemeconomistas.pt/xportal/xmain?xpid=oe
10
Auditoria Interna Julho/Setembro 2011 Nº 44
Parcerias e protocolos
http://www.ey.com/PT/EN/Home
http://www.deloitte.com/view/pt_PT/pt/index.htm
http://www.kpmg.com/PT/
11
Auditoria Interna Julho/Setembro 2011 Nº 44
Fórum de Auditoria Interna 2011-
“Crescer pela partilha do conhecimento”, Fátima Geada, Presidente Direcção IPAI
Cabe-me o grato prazer de em nome da Direcção do IPAI dar-
vos as Boas Vindas e cumprimentar os ilustres convidados, os
membros do Conselho Geral, prestigiados oradores e
estimados colegas aqui presentes.
Tenho o privilégio de iniciar este fórum de onde mais uma vez
se procurará realizar a máxima do IPAI “Crescer pela partilha
do conhecimento”.
Endereço um agradecimento especial aos nossos
patrocinadores KPMG e PWC.
O tema escolhido para o fórum de reflexão ao longo desta
tarde “Governação e controlo interno num contexto de
crise” vem mais uma vez ao encontro das preocupações
fundamentais dos profissionais da área.
Se por um lado a vertente confiabilidade dos processos de
controlo evidencia um reforço do papel das estruturas de
Auditoria, a pressão colocada sobre a vertente redução de
custos poderá surgir como uma ameaça ou será antes uma
oportunidade?
Quando nos referimos a governação, a expressão «governo da
sociedade» designa, precisamente, o conjunto de estruturas de
autoridade e de fiscalização do exercício dessa autoridade,
quer internas e externas, tendo por objectivo assegurar que a
sociedade estabeleça e concretize, eficaz e eficientemente,
actividades e relações contratuais consentâneas com os fins
privados e ou públicos para que foi criada e mantidas as
responsabilidades sociais que estão subjacentes à sua
existência.
“Crescer pela partilha do conhecimento”.
12
Auditoria Interna Julho/Setembro 2011 Nº 44
Podemos considerar como definição de governação um
“Sistema pelo qual as empresas são administradas e
controladas”
Segundo a União Europeia, a governação é o:
“Conjunto das relações entre a gestão da empresa, o seu
órgão de administração, os seus accionistas e outros
sujeitos com interesses relevantes, estabelecendo
igualmente a estrutura através da qual são fixados os
objectivos da empresa e são determinados e controlados
os meios para os alcançar”.
Quer isto significar que o governo da sociedade compreende
todos os mecanismos que respeitam à determinação da
vontade da empresa e à sua concretização, seja ao nível da
definição do tipo de actividades económicas a desenvolver,
seja no que se refere à organização operacional dessas
actividades, seja ainda na tomada de decisões de
financiamento dos respectivos investimentos ou no que
respeita à devolução dos recursos investidos aos seus
proprietários- à sua remuneração sob a forma de dividendos.
Paralelamente com as estruturas que tomam decisões em
nome da empresa, integram o governo das sociedades, outros
mecanismos que controlam e fiscalizam esse exercício e que
visam garantir que a empresa é gerida de modo eficaz,
eficiente e consentâneo com os seus interesses.
Por outras palavras, o governo de cada empresa deve
contemplar mecanismos que induzam a uma eficiente
afectação de recursos e mecanismos que exijam a
responsabilização pelo modo como esses recursos são
usados.
Importa notar que o alcance da expressão governo das
sociedades não se limita a abarcar o conjunto de estruturas de
decisão e de fiscalização internas às empresas (tais como o
órgão de administração, o órgão de fiscalização, etc.).
Neste conceito devem também englobar-se todas as restrições
que lhes são impostas externamente, designadamente aquelas
que se referem ao escrutínio e ao juízo de valor que é feito
pelos diversos agentes que operam a nível dos reguladores e
do mercado de capitais. Ao longo desta sessão será possível
abordarmos também esta vertente com contributos de subida
importância, dos representantes do BdP e da CMVM.
A função Auditoria Interna tem vindo também a mudar, no
contexto de sofisticação acrescida dos negócios e de
responsabilidade crescente, decorrente do ambiente
regulamentar e da pressão exercida pelos stakeholders e
shareholders e da envolvente económica externa, que torna
cada vez mais necessário um posicionamento adequado no
seio da organização, maior eficácia e eficiência na realização
das actividades de auditoria interna, baseada sempre que
possível num processo de Risk Assessment, de modo a
garantir “fazer mais com menos”.
Neste contexto, não deixando de reconhecer as virtualidades
do objectivo ultimo de maximização do valor da empresa, e não
deixando de reconhecer que múltiplos dos interesses
específicos que gravitam em torno das empresas são
adequadamente defendidos por contratos específicos, por
legislação adequada e por uma opinião pública atenta, crê-se
que subsistem interesses não adequadamente defendidos e
cuja salvaguarda se deve cometer às equipas de gestão, pelo
menos no que concerne aos planos ético e deontológico.
O primeiro objectivo da gestão da empresa deve, pois, ser o da
criação de riqueza, assim como promover a sua distribuição de
modo equitativo e transparente entre a totalidade dos seus
accionistas. Porém, deve também exigir-se que as equipas de
gestão actuem de forma ambiental e socialmente responsável,
contribuindo para que o desenvolvimento seja equilibrado e
sustentável.
Os mecanismos de fiscalização e de controlo das empresas
devem igualmente promover a dimensão da sustentabilidade
nos seus critérios de actuação. Além disso, deve ainda exigir-
se que as empresas não esqueçam a sua responsabilidade,
seja no plano das relações com o Estado e com a comunidade
em geral, seja no plano das relações com os seus
trabalhadores e colaboradores.
Fórum de Auditoria Interna 2011
Fórum de Auditoria Interna 2011
13
Auditoria Interna Julho/Setembro 2011 Nº 44
A consciência de que as empresas são espaços
de realização pessoal e profissional, onde o
desempenho por mérito deve ser o critério
fundamental de remuneração e de progressão,
deve igualmente presidir à organização da
estrutura hierárquica em que se baseia a
tomada de decisões no seio da empresa.
A avaliação do cumprimento dos supracitados objectivos, bem
assim como a formulação de um juízo de valor pelos
accionistas e pela comunidade sobre a sua articulação,
obviamente, exige uma total transparência da gestão, seja na
sua relação com os mecanismos de fiscalização, seja no que
se refere ao reporte de informação ao exterior.
Podemos considerar que a “Corporate governance” assenta
em três pilares fundamentais:
- Informação: Deve existir transparência e toda a
informação relevante deverá ser tendencialmente tornada
pública, desde que tenha subido interesse para a
comunidade financeira (investidores, accionistas,
analistas) e para a comunidade em geral.
- Administração: Na administração da empresa deverão
estar representados os diversos interesses,
nomeadamente os accionistas de referência, os pequenos
accionistas, os trabalhadores e até mesmo elementos sem
qualquer vínculo especial. Por outro lado, devem ser
evitados conflitos de interesses na relação entre os
administradores e a empresa e uma parte importante da
remuneração deverá estar dependente dos resultados
obtidos.
- Controlo: Deve existir uma estrutura de controlo interno
composta por elementos independentes da Administração
(Conselhos Fiscais, Comissão de Auditoria, etc.) que
assistam o próprio Conselho de Administração no
cumprimento das suas responsabilidades de prestação de
informação financeira, auditoria interna e externa, controlo
interno e aplicação dos códigos de conduta existentes.
Deste modo, os objectivos fundamentais de uma eficaz
governação, passará por:
Reforçar os direitos dos accionistas e a protecção dos
restantes stakeholders
Promover a eficiência e a competitividade das empresas;
Fomentar a confiança nos mercados de capitais;
Fomentar a estabilidade financeira e o crescimento
económico.
Contudo, continuam a existir problemas decorrentes da
articulação e de um trade-off adequado entre:
Administração com grande liberdade
Dificuldade de Controlo da Administração
“Custos de Agência”,
que tornam importante um reforço dos:
Mecanismos de fiscalização e controlo das
organizações.
A necessidade e a percepção da importância da função
Auditoria Interna no seio das empresas, tem obrigado à
alteração do paradigma existente: a realização auditorias
contabilísticas e financeira deixou de ter a exclusividade e deu-
se importância à realização de auditorias operacionais,
auditorias informáticas e auditorias de sistemas de informação;
passou-se da identificação de erros para a identificação de
perdas de oportunidades e para a formulação de
recomendações no sentido de ajudar a gestão a melhorar o
seu desempenho, na lógica de fornecer valor à organização.
Actualmente, é dada ênfase à recomendação mais do que ao
problema identificar o erro é só um terço do
caminho andado; os outros dois terços
correspondem à identificação da solução e à
capacidade de convencer os gestores
operacionais a participar na sua
implementação).
Neste contexto, a realização de follow-up’s (acompanhamento
das acções correctivas) é um aspecto essencial da auditoria
interna – de modo a ser um efectivo parceiro proactivo para a
implementação das recomendações.
Fórum de Auditoria Interna 2011
14
Auditoria Interna Julho/Setembro 2011 Nº 44
Torna-se também relevante reflectir no que concerne aos
Modelos de Regulação legal vs. Auto-regulação cujas
Características relativas à:
- Divulgação de
informação
insuficiente.
vs. - Total divulgação de
informação (transparência) é
suficiente.
- Criação de
obrigações e
responsabilidades.
vs. - Mercado avalia a
informação e julga (eficiência
do mercado).
- Lei vs. - “Códigos de Conduta”
- Obrigatoriedade vs. - Comply or Explain
Multas e
criminalização
vs. - Ausência de penalidades
No que se refere ao modelo de auto-regulação (ou modelo
Europeu) de governação, tem a seu favor a:
- Transparência;
- Facilita o acesso ao mercado;
- considera que o mercado é eficiente (preço);
- considera um adequado controlo dos custos (adaptação);
- “Comply or explain” basta;
- Não espartilha a actividade,
mas também pode argumentar-se que não protege
suficientemente os investidores e que o não “comply” não é
penalizado, conferindo alguma insegurança intrínseca ao
modelo. Deste modo, na envolvente actual, com a Globalização
dos mercados e benefícios de uma uniformização e
reconhecimento mútuo, tender-se-á para uma auto-regulação
mitigada ou mesmo uma regulação legal.
No âmbito da “governance”, permanecem questões para
reflexão:
Qual o equilíbrio entre Auto-regulação e Regulação
Legal?
Aumento da regulação legal versus acréscimo de
custos?
Conflitos de interesse e papel do CEO , articulação com
o do Chairman.
Responsabilidades dos administradores e definição dos
respectivos enquadramentos remuneratórios.
Estas questões de reflexão coexistem nem período económico
de crise e de grande contenção de custos, mas parafraseando
Albert Einstein… “Não pretendemos que as coisas
mudem se fazemos sempre a mesma coisa. A crise é
a maior bênção que pode suceder a pessoas e
países porque a crise traz progressos. A verdadeira
crise é a crise da incompetência. Sem crise não há
desafios; sem desafios a Vida é uma rotina. Sem
crise, não há mérito. Acabemos de vez com a única
crise ameaçadora que é a tragédia de não querer
lutar para superá-la”.
É com estas palavras de alento de Albert Einstein que vos
deixo com a esperança que esta jornada de trabalho seja
profícua para nós, profissionalmente, e para as nossas
Organizações.
o
Fórum de Auditoria Interna 2011
15
Auditoria Interna Julho/Setembro 2011 Nº 44
Audire
Da incompetência na gestão, Manuel
Marques Barreiro; Consultor e Presidente do Conselho Geral do IPAI
Não é admissível que, nos dias de hoje ainda
haja alguém que se disponha aceitar a
responsabilidade de gerir organizações
empresariais ou instituições sem que possua
um mínimo de conhecimentos e sensibilidade
para adopção de um instrumento privilegiado
de auxílio à gestão – a auditoria interna.
Qualquer modelo de governação não será inteiramente
credível se não adoptar no seu funcionamento, um
sistema de monitorização do controlo interno com todas
as variáveis que estão associadas a esta função.
Por isso, é confrangedor constatar, ainda nos dias de
hoje, haver personalidades que se intitulam e actuam
como gestores, mas ignoram ou fingem desconhecer a
importância da auditoria interna. Contudo, essa
constatação ainda hoje é bem visível no mundo
empresarial português.
Essa ausência é as mais das vezes ditada pelo medo
ou por inexplicável precaução. A sistemática negação e
por vezes até, uma certa aversão ao controlo interno,
esconde a inépcia dos actores.
Essa desatenção é responsável, em primeira linha, por
recorrentes erros de gestão os quais, quantas vezes,
põem em causa os maus resultados da actividade.
A todos os insinuantes gestores deste país, sobretudo
os que em consecutivas provas de ingenuidade
demonstram a vacuidade do seu profissionalismo, peço
um momento de reflexão. Estou a dirigir-me aos que
são o fruto ácido de meras e fugazes ligações
partidárias e que se fazem passar por profissionais
competentes.
A sua competência, diga-se de passagem, releva do
seu interesse em abocanhar benesses e mordomias
que, em qualquer outro país não teria cabimento.
Vem todo este arrazoado a propósito da incompetência
da gestão quando a auditoria interna não faz parte do
seu portfólio.
Nesta perspectiva, como pode uma organização mostrar
que é transparente, que tem uma actuação ética
satisfatória, que previne os riscos associados à gestão,
que tem um feedback permanente sobre a eficácia do
desempenho do seu governo corporativo, se não acolhe
os bons ofícios da auditoria interna?
Essa má qualidade da gestão é, por conseguinte, a
parte mais visível de grande parte do nosso tecido
empresarial, o qual se vai pautando por outros
princípios visando outras finalidades.
16
Auditoria Interna Julho/Setembro 2011 Nº 44
Por contraponto à situação acima descrita, temos entre
nós comprovadamente, os melhores operacionais.
Profissionais cujos níveis de produtividade,
tradicionalmente baixos, porque o seu enquadramento e
comando deixa muito a desejar.
Veja-se, a título de exemplo, o que noutros países
acontece quando essa mesma gente consegue, num
ápice, cumprir metas, superar objectivos e distinguir-se
positivamente entre os melhores. Os exemplos são aos
montes.
Alguém se interroga ou se tem preocupado em corrigir
tal trajectória de incompetente comando? Claro que
não!
Agora uma palavra para as escolas de gestão. Hoje
constatamos que tem havido uma preocupação no
ensino da auditoria interna. É de louvar, pois é aí que
tudo começa.
Contudo nem toda a matéria programática se adequa à
realidade das situações reais.
Seria interessante que os conteúdos se
aproximassem das matérias que fazem parte do
programa para a obtenção da certificação em
auditoria interna – CIA.
Isso permitiria aos potenciais auditores ou profissionais
de funções afins, nomeadamente os futuros gestores de
topo, visualizarem e entenderem melhor como se
desenrola a aderência à realidade das situações em
acção.
Nos dias que vão correndo, uma administração
que descure determinados meios de controlo
interno, principalmente o controlo dos
controles - a auditoria interna -, capazes de
proporcionar à organização a garantia da
qualidade da gestão, não promovendo as
formas mais adequadas para que possa actuar
mediante medidas correctivas em tempo útil,
está condenada ao fracasso.
É incompetente.
A competência na gestão é, por conseguinte,
uma abrangência.
É um abarcar de conhecimentos, detenção de uma
capacidade para dominar um conjunto de variáveis
(dependentes e independentes), que vão confluindo
todas para o mesmo fim.
Centrar a sua atenção apenas naquelas que lhe
mereçam mais simplicidade ou alguma simpatia, em
detrimento de outras cuja utilidade nem sempre muito
evidente, mas fundamental, é deitar os resultados da
sua acção ao fracasso.
Quanto mais exigentes forem os gestores na sua
preocupação dominante pelo ambiente do controlo
interno com todas as suas valências, tanto maiores
serão os níveis de eficiência e eficácia da sua
actividade, estamos certos disso.
Cumulativamente e por acréscimo maior será a
motivação de todo o tecido humano e a consequente
avaliação global.
Numa altura em que tanto se fala de auditorias, é
importante reforçar e clarificar quer o seu papel, quer o
estatuto que, por natureza lhe cabe.
Muitas vezes este tipo de discurso parece emergir de
situações reactivas, numa tentativa de explicar
situações anómalas que o acaso indiciou.
Não nos parece ser o mais importante, como é óbvio.
Por tudo isto, é altura de aceitar a auditoria interna
como factor proactivo.
É uma forma facilmente justificável de garantir
o retorno do investimento que nela foi feito.
E ao dizemos investimento e não custo, podem
crer que não é por acaso.
Da incompetência na gestão
17
Auditoria Interna Julho/Setembro 2011 Nº 44
Auditoria de Sistemas
Análise de dados-Técnicas gerais para
detectar e prevenir erros, não intencionais ou
premeditados, nos dados de uma organização,
Drumond de Freitas – Consultor EQUICONSULTE, SA
As ferramentas de extracção e análise de dados
permitem garantir e evidenciar a total integridade dos
dados em análise, de um modo rápido, eficiente e
eficaz. Permitem, assim, garantir a precisão de
cálculo, a não existência de falhas de registos bem
como a não existência de duplicação de registos, de
forma interactiva e rápida.
Porém, a utilidade de qualquer uma das técnicas irá
depender do tipo de análise de detecção de erros da
investigação. A combinação de várias técnicas será a
maior parte das vezes a solução necessária para
detecção dos eventuais erros gerados na actividade. Os
analistas devem ter conhecimento das várias técnicas
disponíveis e quais as mais adequadas e em que
circunstâncias devem ser aplicadas em cada situação.
Perante milhões de transacções a maioria dos
erros, mesmo aqueles de baixa complexidade, é de
muito difícil detecção de forma manual. As ferramentas
de extracção de dados e de emissão de relatórios são,
nesta perspectiva, ferramentas críticas na prevenção e
detecção dos erros.
Estes programas informáticos oferecem uma grande
variedade de funcionalidades orientadas para perceber e
analisar os dados. A grande maioria destas técnicas é
extraordinariamente útil no dia-a-dia do analista e é
também facilmente aplicável na identificação de
desperdícios e mesmo fraude. As técnicas apresentadas
nos parágrafos seguintes são baseadas nos utilitários da
ferramenta IDEA (Interactive Data Extraction Analisys) e
darão uma breve visão sobre um alargado número de
técnicas de análise de dados.
Análises Estatísticas
Obter, de forma expedita e rápida, informação estatística
sobre o universo de dados fornece uma visão global dos
mesmos antes de iniciar a análise mais detalhada. Pode
evidenciar anomalias em campos numéricos, campos
que contêm datas ou horas. Auxilia o analista a orientar
o seu trabalho, planear novos testes e obter indicação da
materialidade envolvida.
Esta funcionalidade informa sobre a média, desvio
padrão, total de valor absoluto, valores máximo e
mínimo, etc. para cada campo numérico, datas válidas e
inválidas, data mais cedo e mais tarde, itens em cada
mês, itens em cada dia, dia mais comum, mês mais
comum, etc. para cada campo do tipo data e finalmente
horas válidas e inválidas, horas mais cedo e mais tarde,
hora mais comum, minuto mais comum, segundo mais
comum, número de registos antes e depois do meio-dia,
número de horas superiores e inferiores a 1 dia, etc. para
cada campo do tipo hora.
18
Auditoria Interna Julho/Setembro 2011 Nº 44
Exemplo: Numa análise de cartões de compras o
analista tem imediatamente disponível as transacções de
maior valor e de menor valor, valor médio das
transacções, mês e dia da semana com maior número
de compras, valor médio das compras por transacção.
Filtros / Visualização de Critérios
O filtro isola os registos que satisfazem um critério
imposto pelo analista. Após visualizar os registos o
investigador pode estreitar a consulta aplicando novos
critérios ainda mais restritivos ou aprofundar detalhes.
Esta técnica foca a atenção do analista nas transacções
relevantes reduzindo o tempo de análise.
Exemplo: A lista de transacções detalhadas das facturas
do mês „06‟ obtida da lista de transacções do 1º
semestre. O filtro permite isolar as transacções do
período em análise colocando todas as restantes fora do
foco da análise.
Expressões / Equações
Esta facilidade permite aplicar novas equações sobre
valores chave ou testar relações lógicas para verificar
cálculos e relações internas da aplicação que gera os
dados. O analista pode confirmar os valores utilizando
uma expressão que recalcula as quantias em análise
assinalando os registos onde os valores recalculados
sejam diferentes dos valores armazenados na base de
dados.
Exemplo: No teste sobre facturação o analista pode
multiplicar o preço unitário do item pela quantidade e
comparar o resultado com o valor debitado em cada
linha da factura.
Detecção de falhas de sequência (gap)
Este teste é de grande importância e permite a pesquisa
de itens em falta numa série ou sequência. Se as
transacções devem obedecer a uma determinada ordem
ou sequência esta técnica pode rapidamente identificar
falhas na sequência. Todas as transacções podem ser
verificadas para garantir que todos os itens foram
contabilizados ou registados.
Exemplo: Números de factura em falta, números de
cheques ou outros quaisquer itens pré-numerados em
falta podem auxiliar o analista a orientar os seus
recursos para detectar uma fraqueza do sistema de
controlo ou potencial fraude.
Detecção de duplicados
Esta técnica permite isolar os registos duplicados sobre
o campo ou campos chave.
Exemplos: Num ficheiro de facturas de vendedores a
existência de número duplicados pode indicar que as
facturas foram pagas duas vezes. Esta situação poderá
ser acidente ou indiciar fraude, dependente da
frequência com que ocorre, embora não deva ser o único
indicador.
Estratificação
A estratificação dos dados distribui as transacções por
intervalos ou estratos em função do valor de cada
transacção. Esta função conta o número de transacções
que caem em cada estrato. Totaliza o valor das
transacções por estrato e fornece adicionalmente variada
informação estatística sobre cada estrato
nomeadamente percentagem de transacções por estrato
e percentagem de valor por estrato.
Exemplo: Para seleccionar um conjunto de itens em
armazém para efeito de inspecção física podemos
facilmente estratificar as existências e concluir que
inspeccionando 5% dos produtos analisamos por
exemplo 75% do valor das existências. A listagem dos
produtos a inspeccionar é obtida automaticamente.
Pivot Tables
A tabela de análise multidimensional é um método que
permite visualizar os dados e eventuais situações de
excepção numa tabela normalmente bidimensional, na
qual se analisa duas ou mais dimensões dos dados.
Análise de dados -Técnicas gerais para detectar e prevenir erros, não intencionais ou premeditados, nos dados de uma organização
19
Auditoria Interna Julho/Setembro 2011 Nº 44
Exemplo: Distribuir as transacções dos pagamentos a
cada empregado numa tabela bidimensional onde em
ordenadas estão os empregados, em abcissas os tipos
de abono (vencimento, horas extras, etc.) e a tabela é
preenchida com os valores pagos a cada funcionário por
tipo de abono.
‘Aging’
Nas áreas financeiras, armazéns e noutros tipos de
dados é muitas vezes útil calcular o número de dias que
uma transacção financeira demorou a ser paga ou o
número de dias que um determinado item de armazém
permaneceu sem ser movimentado. O número de dias
entre duas datas pode ser facilmente calculado e
utilizado para determinar falha de fundos, ineficiências
nas contas a pagar ou nas contas a receber e numa
grande variedade de outras transacções de excepção.
Exemplo: A análise de contas a receber pode gerar
um relatório que calcula o número total e o valor de cada
transacção cujo número de dias para além da data de
vencimento cai dentro dos intervalos definidos pelo
analista, normalmente, 1-29, 30-59, 60-89 e maior que
90 dias.
Juntar / Comparar Bases de Dados
Juntar (Join) e Comparar (Compare) permite cruzar
dados de diferentes bases de dados ou ficheiros
evidenciando eventuais transacções não comuns ou
excepcionais. Este processo transporta os campos de
cada uma das bases de dados em análise para uma
mesma base de dados destino colocando-os disponíveis
para serem analisados em conjunto.
Existem diferentes modos de cruzar a informação.
Cruzamento perfeito - que gera num ficheiro resultado os
registos cuja chave de cruzamento existe
simultaneamente nas bases de dados em análise,
cruzamento dos que só existem numa das bases de
dados e não existe na outra e o cruzamento de todos
com todos. Assim, o analista antes de executar o
cruzamento dos dados deve compreender o significado
do que irá obter com cada uma das opções de
cruzamento disponíveis e utilizar as que o levam a atingir
o objectivo pretendido.
Exemplo: Validar as guias de remessa emitidas pelos
armazéns por forma a garantir que foram todas
facturadas e que as respectivas facturas foram
contabilizadas.
O analista tem de cruzar o ficheiro das guias de remessa
com o ficheiro de facturas emitidas e verificar que todas
as guias já têm a factura emitida com a correspondente
quantidade fornecida facturada.
Depois obter os movimentos de contabilização das
facturas e voltar a cruzar esta base de dados com as
facturas emitidas.
Análise de Tendências
A análise de tendências compara a informação de vários
anos e/ou localizações para identificar eventuais
situações excepcionais ou fora do padrão. Análises
realizadas nas mesmas áreas funcionais são ideais para
aplicar esta funcionalidade. Os dados do ano corrente
podem ser comparados com a tendência dos anos
anteriores e as áreas com desvios significativos sujeitas
a análises mais detalhadas.
Exemplo: Comparação da taxa de devolução por
vendedor, devido a defeitos, poderá indicar um potencial
problema, no qual alguém está a comprar com qualidade
inferior.
Correlação
A correlação é uma técnica para comparar dois
conjuntos de dados numéricos. Uma correlação elevada
(próxima de 1) significa que valores elevados num dos
conjuntos de valores implica valores elevados no
segundo conjunto de valores e baixos valores num dos
conjuntos de dados implica baixos valores no outro.
Análise de dados -Técnicas gerais para detectar e prevenir erros, não intencionais ou premeditados, nos dados de uma organização
20
Auditoria Interna Julho/Setembro 2011 Nº 44
Exemplo: As vendas médias mensais foram calculadas
para uma cadeia de restaurantes e depois foi calculada a
correlação entre as vendas de cada restaurante
individual e as vendas médias. Uma correlação baixa
indica um desvio da norma que poderá implicar uma
auditoria ao restaurante.
Simulação Paralela
Pode ser utilizada para verificar a lógica interna de uma
qualquer sub-área de um sistema de informático
simulando com a ferramenta de análise de dados o
funcionamento dessa área.
Exemplo: Na posse de um ficheiro de existências de
armazém detalhadas por artigo, referentes ao início de
um período, adicionando um ficheiro de movimentos de
artigos detalhados do período em análise, obtém-se com
alguma facilidade um ficheiro de existências no final do
período. Comparando este ficheiro com o gerado pela
aplicação de gestão de existência em produção
identifica-se eventuais desvios no funcionamento da
aplicação.
Amostragem
A técnica da amostragem selecciona um subconjunto de
transacções para análise. Estas ferramentas suportam
uma variedade de métodos estatísticos incluindo
amostragem aleatória, sistemática, amostragem aleatória
por estrato, método das unidades monetárias, método
clássico, amostragem de atributos (beta risk control, alfa
e beta risk control).
Exemplo: No ficheiro de vendas aplicar o método das
unidades monetárias definindo na fase de planeamento a
dimensão da amostra, indicando o grau de confiança, o
erro admissível e o erro esperado.
Gerar o ficheiro de amostra e recolher os valores
registados. Fazer avaliação dos erros e emitir um
parecer baseado na amostra.
Conclusão:
No nosso dia-a-dia estes métodos terão de ser
combinados entre se e reaplicados várias vezes sobre
diversos conjuntos de dados para concluir com sucesso
muitas das análises mais comuns numa organização.
No entanto, não podemos deixar de voltar a referir que
muitos dos testes executados pelos analistas, auditores,
contabilistas e todos os que necessitam de viajar pelo
universo dos dados de uma organização podem e
devem ser sempre realizados numa perspectiva de
automatização dos mesmos. Isto é poder rapidamente
voltar a repetir o teste carregando meramente num botão
do computador.
O IDEA é uma ferramenta excelente também nesta
perspectiva.
A automatização de tarefas baseadas em ferramentas de
análise de dados tais como o IDEA, utilizando o
IDEAScript, introduz enormes benefícios na actividade
diária do contabilista, auditor, inspector ou analista dos
quais destacamos os seguintes:
• Maior rapidez na execução dos teste construídos
sobre scripts,
• Menor número de erros,
• Maior consistência na realização das análises
sobre os dados a auditar,
• Maior interesse na execução da tarefa por parte
do utilizador porque estará focado numa única operação,
• Não haverá a necessidade de recordar todos os
passos necessários para executar um determinado teste
porque estes estarão registados no script e serão
executados sem falhas,
• Maior facilidade em justificar acções tomadas
tendo como base a consistência dos scripts utilizados
Análise de dados -Técnicas gerais para detectar e prevenir erros, não intencionais ou premeditados, nos dados de uma organização
21
Auditoria Interna Julho/Setembro 2011 Nº 44
Prémios IPAI
1ºPrémio
22
Auditoria Interna Julho/Setembro 2011 Nº 44
2º Prémio
Prémios IPAI
23
Auditoria Interna Julho/Setembro 2011 Nº 44
Prémios IPAI
24
Auditoria Interna Julho/Setembro 2011 Nº 44
3º Prémio
Prémios IPAI
25
Auditoria Interna Julho/Setembro 2011 Nº 44
Pode consultar os trabalhos premiados em http://www.ipai.pt/gca/index.php?id=166
Prémios IPAI
26
Auditoria Interna Julho/Setembro 2011 Nº 44
Controlo Interno, Risco e
Auditoria Interna, João Revés - SSP Partner
SSP, SA, authorised channel distribution partner da ACL para Portugal,
joã[email protected]; www.ssp-sa.com
Recentemente, num fórum on line, discutia-se a melhor forma de definir, perante leigos, o que é Auditoria Interna. Alguém adiantou
uma imagem interessante que não só define Auditoria Interna mas também a relação com a função de Controlo Interno e de Gestão
de Risco.
Trata-se da imagem da chuva e do guarda-chuva: o guarda-chuva representa o controlo interno que protege a empresa (quem segura
o guarda-chuva) da chuva (que representa os riscos a que a empresa está exposta). A Auditoria Interna é responsável por
inspeccionar o guarda-chuva, por validar que está em boas condições e se existem falhas que afectem a sua missão. Com base nesta
análise, a Auditoria Interna informa a empresa da capacidade do guarda-chuva a proteger e em última análise, da probabilidade de se
molhar. Alguém acrescentou ainda: quando quem segura o guarda-chuva se apercebe do potencial impacto das ameaças (da chuva),
de que direcção vêm as maiores gotas e consequentemente define o tamanho e resistência do guarda-chuva e o orienta em
determinada direcção, então, a empresa está a exercer a função de Gestão de
Risco.
Pareceu-me uma muito boa imagem. Para começar. Claro que na realidade, as
empresas são organizações complexas e o ambiente económico, regulador e social
também e muitas vezes as coisas não são assim tão a preto e branco. Nas
instituições financeiras, até por imperativos regulamentares, estas funções estão
autonomizadas e a sua missão bem definida. Nas outras organizações as fronteiras
e responsabilidades são mais difusas. Por vezes as funções de Controlo Interno
e/ou de Gestão de Risco nem existem formalmente. Muitas vezes é a própria
Auditoria Interna que a desempenha. Creio que não existe uma receita que sirva a
todos. Dependendo da dimensão da organização, natureza e complexidade do
negócio e até de onde, historicamente, estas funções têm sido desempenhadas,
podem existir diversos desenhos organizacionais em departamentos autónomos ou
não.
“o guarda-chuva representa o
controlo interno que protege a
empresa (quem segura o guarda-
chuva) da chuva (que representa os
riscos a que a empresa está
exposta). A Auditoria Interna é
responsável por inspeccionar o
guarda-chuva, por validar que está
em boas condições e se existem
falhas que afectem a sua missão.”
27
Auditoria Interna Julho/Setembro 2011 Nº 44
O que parece irrefutável, é que nos dias que correm, é vital que
as empresas desempenhem estas funções. O ambiente
económico instável e recessivo, os diversos escândalos
empresariais e até as medidas de austeridade que Portugal
enfrenta, impõem uma maior responsabilidade perante o
Mercado e os stakeholders.
Os investidores e os accionistas necessitam de garantias que a
Gestão tem uma percepção correcta dos riscos a que a
empresa está exposta. Não é aceitável que seja de outra forma.
A única forma credível de proporcionar tal garantia é
demonstrando que:
Existe um conhecimento de que riscos afectam a
companhia;
Esses riscos estão (bem) avaliados, isto é, as eventuais
consequências estão mensuradas;
Estão perfeitamente identificados os processos de
negócio onde esses riscos se manifestam;
Para cada risco, existe um ou mais controlos
implementados para o mitigarem;
O grau de efectividade desses controlos é monitorizado
de modo a permitir tomar medidas correctivas quando
se justificarem.
Ou seja, construímos o nosso “guarda-chuva”! Se de forma
transparente for demonstrado que esse “guarda-chuva” existe e
que ele é regularmente “inspeccionado”, não temos a garantia
de que estamos imunes a riscos mas temos a garantia de que
temos perfeito conhecimento de que riscos são esses, como
podem afectar a organização e que existem controlos
implementados para minimizar o seu impacto ou probabilidade
de ocorrência.
Este é o tipo de informação que caracteriza empresas robustas e com uma Gestão capaz de antecipar eventuais problemas e
remediá-los em tempo útil. É o tipo de informação que torna credíveis os planos de negócios, anúncios de prosperidade futura e de
rentabilidade de investimentos. Consequentemente é o tipo de informação que
tranquiliza os investidores, que dá maiores garantias de não existir nenhuma surpresa
desagradável por descobrir. Logo existe maior propensão para investir nestas
empresas. Os seus clientes, fornecedores, trabalhadores e reguladores podem estar
mais confiantes quanto à sua sustentabilidade e sua solvabilidade.
A estrutura organizacional
Mas quem deve ter a responsabilidade destas funções? Devem ser autónomas?
Idealmente sim. Mas nem sempre isso é possível e não é obrigatório que assim seja.
Nem todas as empresas têm dimensão e capacidade (ou disponibilidade) para investir em departamentos autónomos e formalizados
de Gestão de Risco e de Controlo Interno.
No nosso entender, existem diversos formatos possíveis e legítimos. Apenas dois factores são incontornáveis:
O primeiro é que exista um grupo de trabalho que defina o
modelo do sistema de controlo interno, o risk assessment e as
metodologias de testes e monitorização dos controlos mas que
a implementação desses controlos e a responsabilidade de os
testar seja alargada às áreas de negócio e aos process owners.
Se por um lado são necessárias competências específicas para
desempenhar estas funções, por outro, é impraticável que seja
este grupo a fazer o risk assessment e a executar os testes aos
controlos. Por duas ordens de razões: de know how e de
eficiência.
Razões de know how - Quem conhece os processos da
organização, os riscos que eles contêm e em que
medida estes podem afectar a empresa são as
pessoas do negócio e os process owners em
particular, logo é a eles que cabe o risk assessment.
Existem controlos que exigem conhecimentos
específicos para serem testados. Por exemplo os
controlos ligados a aplicações ou a equipamentos
informáticos. Mas os controlos de negócio também
exigem conhecimentos específicos.
...não será surpreendente que o
número de controlos atinja com
alguma facilidade, as centenas ou
mesmo alguns milhares..
Controlo Interno, Risco e Auditoria Interna
28
Auditoria Interna Julho/Setembro 2011 Nº 44
Podem ser conhecimentos financeiros, de engenharia
industriais, químicos ou outros, conforme a sua
natureza e a actividade em causa. A
multidisciplinaridade é tal que é impossível ao grupo
de trabalho reunir tanta diversidade de competências.
Razões de eficiência – numa grande empresa, com um
razoável grau de maturidade organizacional, não será
surpreendente que o número de controlos atinja com
alguma facilidade, as centenas ou mesmo alguns
milhares. Ainda que estes sejam testados somente
uma vez anualmente, o grupo de trabalho não tem
possibilidade de dispor dos recursos humanos
necessários a tal tarefa. É assim crucial que as áreas
de negócio se envolvam e sejam responsáveis pela
execução dos testes aos controlos.
O segundo é que a Auditoria Interna mantenha a independência
relativamente à função de controlo interno e/ou gestão de risco.
Pela razão que é a ela, Auditoria Interna que cabe a função de
“inspeccionar o guarda-chuva”. É a ela que cabe proporcionar à
Gestão a assurance de que o sistema de controlo interno é
eficaz e desempenha a sua função adequadamente. É a ela
que cabe garantir que a percepção que a Gestão tem dos
riscos que afectam a empresa, e dos respectivos mecanismos
de mitigação implementados, é a correcta.
Mas o papel da Auditoria Interna não se fica por aqui. A
Auditoria Interna está numa posição privilegiada para
aconselhar a Gestão quanto aos riscos mais relevantes, sua
mensuração e metodologias de implementação e gestão do
sistema de controlo interno. Quanto maior for o grau de
automatização da actividade da Auditoria Interna, de utilização
de tecnologias de audit analytics e de auditoria contínua, maior
é o contributo para a gestão de risco da empresa.
Ferramentas
Actualmente existem algumas ferramentas que facilitam a
tarefa das organizações que pretendam implementar um
sistema de controlo interno e de gestão de risco. Desde logo os
frameworks mais divulgados e aceites, o ERM Integrated
Framework da COSO ou o sustentado pela ISO 31000. Estes
frameworks constituem uma base de trabalho clara, testada e
comprovada, pronta a ser customizada com as especificidades
de cada organização.
Existe também um conjunto de aplicações informáticas
disponível no mercado que podem alavancar a implementação
destes conceitos.
Existem aplicações de Governance, Risk & Compliance (GRC)
que permitem implementar os conceitos subjacentes àqueles
frameworks. Algumas das funcionalidades típicas destas
aplicações são:
Representação da estrutura organizacional da empresa
e os seus processos de negócio. Nos processos, são
relacionados os riscos e respectivos controlos. Para
cada risco é registada uma avaliação baseada no
impacto e na probabilidade da sua ocorrência. Os
controlos mitigam os riscos a que estão associados,
dependendo entre outros factores, da sua efectividade.
Gestão dos testes aos controlos - existe um plano de
testes que regista o responsável pelo teste, a data e
frequência da sua realização, os procedimentos do
teste e os seus critérios de sucesso. Na data do teste
o seu responsável é notificado.
Monitorização, através de relatórios e de gráficos
intuitivos, dos níveis de risco e da efectividade dos
controlos e de outros indicadores importantes para o
sistema de controlo interno.
Identificação e classificação dos riscos
Identificação e documentação dos controlos
Mapeamento para os processos de negócio Executar o plano de testes dos controlos
Detectar deficiências
Implementar medidas correctivas
Monitorização – relatórios e dashboards
Identificar áreas com maior risco
Identificar áreas com controlo insuficiente
Controlo Interno, Risco e Auditoria Interna
29
Auditoria Interna Julho/Setembro 2011 Nº 44
Deixamos aqui um exemplo de uma aplicação de GRC, a easy2comply (www.easy2comply.com).
Do lado esquerdo do écran, podemos ver a estrutura organizacional e do lado direito os riscos e controlos associados ao processo
sob consulta.
Um exemplo do plano de testes de um controlo
Controlo Interno, Risco e Auditoria Interna
30
Auditoria Interna Julho/Setembro 2011 Nº 44
E um exemplo de um dos gráficos disponíveis com capacidades de drill down e drill up.
Existem também aplicações informáticas para implementação
de sistemas de Continuous Control Monitoring que permitem
implementar controlos que interagem com aplicações
informáticas ou vivem de dados informáticos. Alguns exemplos:
Garantir que os clientes só são admitidos quando é
fornecido um NIF válido.
Assegurar a segregação de funções entre as
actividades de procurement e de pagamento a
fornecedores.
Detectar facturas ou pagamentos duplicados
Estes controlos geram um conjunto de casos suspeitos que
devem ser analisados. Um módulo de gestão de excepções é
fundamental para suportar essa análise que seguindo um
conjunto de passos predefinidos, determinarão se se tratam de
falsos positivos ou de irregularidades.
Um exemplo de uma aplicação de Continuous Control
Monitoring é o ACL AuditExchange (www.acl.com).
Conclusão
A implementação de um sistema de controlo interno eficaz traz
um activo importantíssimo para qualquer organização:
credibilidade perante os stakeholders. Tudo se resume a essa
credibilidade, que na actual conjuntura económica e social não
é fácil de desfrutar. Proporcionar a garantia de que a empresa
está a ser bem gerida, é esse o seu principal propósito. Existe
no entanto um conjunto de benefícios associados dos quais
destacamos a emergência na organização de uma risk &
control awareness. É um benefício de valor incalculável, pois
trata-se de uma alteração na cultura organizacional e estas são
naturalmente duradouras. Não se perdem com uma mudança
da Gestão ou com uma nova restruturação organizacional. Têm
tendência a persistir e assim contribuir para uma melhor gestão
e sustentabilidade da empresa.
Por último, um alerta. Por muito boas intenções, competências
e ferramentas que caracterizem um projecto desta natureza,
ele só terá sucesso se se conseguir imprimir uma atitude de
responsabilização de modo transversal na organização. É
fundamental que todos entendam que têm um papel a
desempenhar e uma responsabilidade para com o controlo
interno e a gestão de risco.
A informação que alimenta o sistema de controlo
interno deve ser fidedigna e responsável, sob pena
de adulterar os seus resultados e colocar em causa
todo o esforço que a organização aplicou.
Controlo Interno, Risco e Auditoria Interna
31
Auditoria Interna Julho/Setembro 2011 Nº 44
http://www.isaca-lisbon.org/
Gestão de Riscos de Tecnologias de Informação – a framework Risk IT, -
José Tinoco, CISA, CIA, CFE, ISO 27001 LA, ISACA Lisbon Chapter Industry Officer
O dia-a-dia das empresas é cada vez mais pautado pela gestão das diversas tipologias de riscos – como o risco de mercado, risco de
crédito ou o risco operacional – sendo cada vez mais frequente a sua incorporação nos processos de decisão das organizações, muito
em especial nas que operam em sectores como o financeiro ou o segurador. No entanto, muito embora se trate de uma tipologia de
risco com influência directa nos negócios (cada vez mais automatizados e dependentes de Informação), o risco de Sistemas de
Informação continua a ser relegado para áreas técnicas, com pouca visibilidade para a gestão.
Para endereçar este desafio das organizações, a ISACA desenvolveu uma framework a que chamou Risk IT. Com este artigo
procuraremos apresentar a framework e demonstrar as vantagens da sua adopção pelas organizações, quer seja de forma isolada ou
em articulação com as demais frameworks da ISACA como sendo o CobiT ou o Val IT.
Visão geral da framework Risk IT
A framework Risk IT surgiu para colmatar a necessidade de alinhamento dos riscos de Tecnologias de informação com os objectivos
globais da organização, identificando os princípios basilares para uma gestão efectiva do risco de Tecnologias de Informação.
Esta framework complementa a framework CobiT na medida em que, enquanto o CobiT
disponibiliza um conjunto de objectivos de controlo associados a processos nas áreas de
IT, o Risk IT é responsável pela identificação e gestão dos riscos de IT: ou seja, se o
CobiT é o automóvel, o Risk IT é o mapa que permite conduzi-lo até ao destino.
Esta framework preenche as lacunas de outras mais genéricas de gestão de risco (ex.
COSO ERM, ISO 31000) e ainda de outras frameworks mais detalhadas, tipicamente
relacionadas com segurança de informação.
O Risk IT é composto por dois documentos: o Risk IT Framework e o Risk IT Practitioner
Guide, disponíveis em http://www.isaca.org para utilizadores registados.
O modelo de processos
O documento Risk IT Framework descreve os princípios
basilares da framework e organiza-os num modelo de
processos para a gestão do risco de TI, de forma similar ao
modelo de processos descrito na framework CobiT. Cada
processo Risk IT é caracterizado pelas seguintes
componentes:
Actividades-chave;
Responsabilidades;
Fluxos de informação entre processos; e
Gestão da performance do processo (objectivos e
métricas).
Figura 1 - Complementaridade do Risk IT com CobiT e Val IT. Fonte: ISACA
32
Auditoria Interna Julho/Setembro 2011 Nº 44
O modelo está dividido em três domínios, cada qual contendo três processos:
Domínio Processo
1. Governance do
risco
1.1 Estabelecer e Manter uma Visão Comum sobre o Risco
1.2 Integrar com Enterprise Risk Management (ERM)
1.3 Incorporar o risco nas decisões de negócio
2. Avaliação do risco 2.1 Obtenção de dados
2.2 Análise do risco
2.3 Manutenção do perfil de risco
3. Resposta ao risco 3.1 Comunicação do risco
3.2 Gestão do risco
3.3 Reacção a eventos
Tabela 1 - Domínios e processos Risk IT
Para os três domínios, o documento apresenta também um
modelo de maturidade, permitindo a avaliação das seguintes
características:
Conhecimento e comunicação;
Responsabilidade;
Definição e medição de objectivos;
Políticas, standards e procedimentos;
Experiência; e
Ferramentas e automatismos.
Manual prático para a implementação
O Risk IT Practitioner Guide é um documento de apoio à
framework que apresenta exemplos de técnicas para
descrever, comunicar e avaliar o risco de TIs, bem como
detalhe adicional sobre a forma de abordar os conceitos
inerentes ao modelo de processos. Os conceitos e técnicas
que são explorados em maior detalhe incluem:
A construção de cenários de risco, tomando por base
um conjunto genérico de cenários de risco de TI;
A construção de um mapa de risco, usando técnicas
que descrevem o impacto e a frequência dos
cenários;
A construção de critérios de impacto de acordo com a
sua relevância para o negócio;
A definição de Key Risk Indicators (KRIs); e
A utilização do Cobit e do Val IT para mitigar risco e as
ligações entre estas três frameworks.
Case Study - MetLife melhora a gestão de risco
Sobre a empresa
A MetLife, Inc. (www.metlife.com) é uma companhia líder mundial em seguros de vida, capitalização, acidentes pessoais e benefícios
a colaboradores de empresas, servindo mais de 90 milhões de clientes em mais de 60 países.
Enquadramento e benefícios do Risk IT
A MetLife tem programas robustos de gestão de risco
operacional e está focada na melhoria contínua de forma a
garantir o melhor nível de protecção possível. A gestão do
risco operacional nunca foi tão importante como actualmente
e, como líder na indústria seguradora, a MetLife considera
como fulcral a adequada gestão dos riscos dos seus clientes,
stakeholders e do seu risco reputacional.
Muito embora todos os negócios estejam expostos a algum
nível de risco, foi o cuidado prestado pela MetLife na gestão
dos riscos da sua actividade que fizeram destacar esta
empresa face à concorrência.
A implementação de processos de gestão de risco de TI e o
facto de estes estarem embebidos nos processos de negócio
permitiu à Metlife reduzir as perdas operacionais, garantir
eficiência nos seus investimentos, reagir rapidamente às
mudanças no ambiente de negócios e concentrar recursos nas
áreas de alto risco.
Desta forma, quando a ISACA lançou a versão draft da
framework Risk IT, os gestores de risco da MetLife
compararam esta framework com as práticas de gestão de
risco de TI que usavam, com o objectivo de identificar áreas
de melhoria para os seus programas de gestão de risco.
Gestão de Riscos de Tecnologias de Informação – a framework Risk IT
33
Auditoria Interna Julho/Setembro 2011 Nº 44
Aquando da publicação do draft final da framework, os
profissionais de gestão de risco de TI da Metlife utilizaram os
documentos de forma a criar uma framework específica de
gestão de risco.
Muito embora esta framework da ISACA fosse de fácil
entendimento pelos técnicos de gestão de risco, a framework
da Metlife utilizou terminologia interna, resumiu algumas áreas
e detalhou outras, de modo a que o documento fosse
facilmente entendido e utilizado em toda a companhia.
Esta versão feita “à medida” permitiu à Gestão compreender,
avaliar e comunicar de forma consistente todos os aspectos
da gestão de riscos de TI pela empresa, assegurando a
ligação dos riscos de TI e a sua ligação às actividades
operacionais do negócio.
De forma semelhante à framework Risk IT, a framework
específica da MetLife agrupou os processos em três domínios
(Governance do risco, Avaliação do risco e Resposta ao
risco), detalhando cada processo em actividades cuja
implementação permite alcançar os objectivos de cada um
destes domínios.
Adicionalmente, foi desenvolvida uma matriz de
responsabilidades (RACI) para cada actividade e métricas,
que podem ser usadas para monitorizar as actividades de
gestão de risco e o nível de conformidade com as políticas e
standards de gestão de risco.
Após elaborarem o draft da Framework, os gestores de risco
de TI, em coordenação com a Auditoria Interna, realizaram
uma análise da maturidade de forma a identificar processos e
actividades prioritários para as acções de melhoria.
O Grupo de Gestão de Risco de TI e Compliance criou um
road map de melhoria a três anos com o foco na convergência
de actividades de gestão de risco.
Esta estratégia permitiu evoluir no sentido da uniformização
dos processos e da diminuição de redundâncias,
incrementando a eficiência e eficácia dos processos.
A supervisão da execução do road map ficou a cargo de um
grupo composto pelas aras de Gestão de Risco Operacional,
Auditoria Interna, Gestão de Risco de TI e Compliance.
Por último - e factor crítico de sucesso da iniciativa -
o plano foi apresentado à Comissão de Auditoria e à
Gestão de topo de TI, de forma a obter o patrocínio
aos esforços de melhoria contínua.
Planos para o futuro
O Grupo de Gestão de Risco de TI e Compliance da MetLife
planeia utilizar a MetLife IT Risk Management Framework de
forma a avaliar anualmente a maturidade dos processos,
actualizando de forma contínua o road map com base nos
resultados da análise, nos requisitos regulatórios, nos
recursos disponíveis e nos objectivos de maturidade dos
processos que sejam determinados pela Gestão.
Conclusão
Com o framework Risk IT a ISACA disponibiliza uma
ferramenta valiosa que, muito embora tenha uma solidez
teórica baseada nos modelos comummente aceites – COSO,
ISO 31000 – tem características muito práticas e adaptáveis a
todas as organizações.
O modelo foi desenhado para ser adaptado aos requisitos de
cada organização e os processos propostos são adaptáveis à
gestão de riscos de TI e não só.
O Risk IT é um útil e pragmático “livro de receitas”
para gerir eficazmente o risco em qualquer
organização.
Informação extraída de materiais disponibilizados pela ISACA no site http://www.isaca.org, acedido em 17 de Maio de 2011. Tradução
e adaptação da responsabilidade do autor.
Gestão de Riscos de Tecnologias de Informação – a framework Risk IT
34
Auditoria Interna Julho/Setembro 2011 Nº 44
http://www.apee.pt/site/
Partes interessadas – ISO 26000- Mário Parra da Silva, Empresário e
Presidente da Associação Portuguesa de Ética Empresarial
A RS, segundo a ISO 26000, repousa sobre o
envolvimento das “partes interessadas” (PI), expressão
portuguesa para “stakeholders”. Antes de mais em que
acepção usamos estas palavras? Como se definem
estes conceitos?
Nos “Termos e Definições”, pode ler-se:
2.20
parte interessada
pessoa ou grupo que tem interesse em qualquer
decisão ou actividade da organização (2.12)
2.21
envolvimento de parte interessada
actividade promovida para criar oportunidades de
diálogo entre uma organização (2.12) e uma ou mais
das suas partes interessadas (2.20), com o objectivo
de proporcionar uma base de informação para as
decisões da organização
Notemos antes de mais a amplidão do conceito de
PI. Pessoas, individuais ou colectivas, formais ou
informais, que tenham interesse na organização,
seja porque de algum modo lhes é útil, ou porque
são afectados pelas suas decisões.
Já o envolvimento é explicitamente relacionado com diálogo
que proporcione informação para as decisões da organização.
Para uma grande organização, com operações em vários
domínios de actividade, geograficamente dispersa, operando
sob diferentes quadros legais e impactando múltiplas
comunidades e ambientes, estas definições podem colocar um
tremendo desafio de realinhamento de práticas.
Nunca poderá satisfatoriamente criar-se uma resposta a estas
questões através de departamentos especializados.
Seria inviável, por muito dispendioso, criar departamentos de
RS incumbidos de assegurar o diálogo com as PI de modo a
obter informação que suporte decisões.
O que a ISO 26000 implica é a necessidade de incorporar a
RS em todas as atividades correntes da organização, ou seja,
de imbuir todos os responsáveis de uma nova orientação de
fundo, conforme com a RS enquanto estratégia, e que
converta a comunicação unidirecional (da organização para os
seus públicos) numa interação dialogante que gere informação
útil e suporte decisões que criem valor para o acionista e para
as PI.
Esta estratégia é consistente com a auscultação de
mercado proposta pelo Marketing, agora vista como
diálogo e já não como mera recolha de tendências,
seguida de venda de produtos.
Trata-se, em RS, de dar às partes interessadas
“o direito a ser ouvidas” e o “direito às
expectativas”.
É importante sublinhar que em toda a ISO 26000 se mantêm a
liberdade decisória da organização com a correspondente
responsabilização da Administração.
35
Auditoria Interna Julho/Setembro 2011 Nº 44
As PI têm direito a ser ouvidas, têm direito à manifestação das
suas expectativas mas a organização é sempre livre nas suas
opções, assumindo perante os seus públicos as
consequências que daí decorrerem.
Estamos num novo paradigma. Já não é a lei do Estado que
determina os limites das responsabilidades da organização
mas sim a percepção das suas PI.
A Lei do Estado (muitas vezes decorrente de leis e tratados
internacionais transpostos) é em muitos casos insuficiente,
noutros não é firme ao nível da aplicação ou sanções.
Os Estados são reconhecidamente fracos perante os novos
poderes financeiros ou industriais globais e afigura-se difícil a
implementação de “legislação” internacional por serem ainda
incipientes as instituições com autêntica jurisdição global.
Neste quadro as PI podem ajudar à regulação porque estão
próximas, têm interesse directo e concreto, possuem meios de
pressão, comunicacionais e outros, pertencem naturalmente a
cadeias internacionais de semelhança que lhes dão apoio e
solidariedade.
Por outro lado (pelo menos algumas PI) desejam que a
organização prospere porque daí decorre a sua própria
prosperidade e isso garante o clima de diálogo e não de mera
reivindicação unilateral.
No limite a relação entre a organização e as suas PI
forma um ecossistema organizacional em que as
necessidades de uns são supridas pelos outros
numa teia de dependências e serviços mútuos.
Como pode isto interessar as nossas Empresas e
organizações em geral? Que aplicação tem para uma PME?
Enquanto nova tendência na gestão das empresas a ISO
26000 é de grande valor para as PME exportadoras, porque,
mencionando ou não explicitamente a ISO 26000, os seus
clientes e fornecedores estão já a colocar requisitos
resultantes desta orientação.
Quem e como governa a PME?
Como trata os impactes ambientais, quais são as suas
práticas de recursos humanos, como gere a diversidade
cultural, que riscos colocam as suas politicas laborais e as
relações com a comunidade, como mantêm e desenvolvem a
sua base de conhecimento, que histórico e que acções na
segurança no trabalho, etc., etc.
Estas questões já foram colocadas em Portugal a
PMEs exportadoras ou em negociação de contratos.
Não tenho dúvidas de que irá aumentar o rigor das
respostas exigidas.
Assim, a PME pode optar por ir reagindo conforme a questão
surge ou pode estruturar-se proactivamente para que as
respostas passem a constituir as suas práticas internas
normais.
Reconhecer a sua RS, incorporar o conhecimento de base,
formar os seus quadros, renovar e reformular as suas
relações, identificar as novas oportunidades e sinergias
resultantes, inovar na oferta, criar parcerias, modificar a forma
como desenha os seus negócios, produtos e serviços, enfim
cavalgar a onda do futuro em vez de a combater.
Sempre com a garantia de que tudo o que se fizer contribui
para a competitividade, para a rentabilidade e para o sucesso
económico.
Sem ele, nunca é demais repeti-lo, não há RS, porque
também não haverá organização.
Se necessitar de evidência certificada poderá adotar a Norma
Portuguesa NP 4469-1 Sistema de Gestão da RS,
completamente ajustada à ISO 26000.
Mas será que as PI estão em condições de aceitar o diálogo
que se lhes irá oferecer? Será que o tom das atuais
organizações representativas de trabalhadores, ambiente,
consumidores, imigrantes, comunidades, grupos de interesse,
fornecedores, é de diálogo construtivo e criador de riqueza
partilhada?
Será que a boa-fé, a lealdade, a honestidade,
enfim, os melhores valores éticos, irão
geralmente presidir às relações entre a
organização e as suas PI? Que sabemos sobre
ética das e nas organizações? Que propõe a
ISO 26000 neste domínio?
Tentaremos dar um contributo em próximos artigos.
Partes interessadas – ISO 26000
36
Auditoria Interna Julho/Setembro 2011 Nº 44
I Fó de A
Fórum de Auditoria Interna 2011 - fotos
Associados com Certificações - Parabéns
Rui Branco, KPMG
37
Auditoria Interna Julho/Setembro 2011 Nº 44
Bruno Soares, ISACA
Francisco Rocha, Banco de Portugal
Fórum de Auditoria Interna 2011
38
Auditoria Interna Julho/Setembro 2011 Nº 44
Jaime Duarte, PW
Amadeu Ferreira, CMVM
Fórum de Auditoria Interna 2011
39
Auditoria Interna Julho/Setembro 2011 Nº 44
Mello Franco, PT, EDP Renováveis
Assistência
Fórum de Auditoria Interna 2011
40
Auditoria Interna Julho/Setembro 2011 Nº 44
Assistência
Assistência
Fórum de Auditoria Interna 2011
41
Auditoria Interna Julho/Setembro 2011 Nº 44
Vencedor Prémio IPAI 2011 – Dr. Francisco Correia
Assistência
Fórum de Auditoria Interna 2011
42
Auditoria Interna Julho/Setembro 2011 Nº 44
Fórum de Auditoria Interna 2011
43
Auditoria Interna Julho/Setembro 2011 Nº 44
O controlo interno no sector não financeiro
Fórum de Auditoria Interna 2011
44
Auditoria Interna Julho/Setembro 2011 Nº 44
Pode consultar as apresentações em http://www.ipai.pt/gca/index.php?id=90
Sugestão de leitura
Caneta Digital
"Se queres conversar comigo, define primeiro os termos que usas." Voltaire
Seja o novo CIA….Colabore.
Fórum de Auditoria Interna 2011
45
Auditoria Interna Julho/Setembro 2011 Nº 44
Novos associados
João André Lemos Matos Santos
Maria Conceição Pontinha Rocha
Isabel Maria Mendes Pedrosa
José António Silva Antunes
Anthony Michael Frankel
Hermínio José Pinto Caeiro
Tomas Beleza Magalhães Collaço
João Emanuel Neves Moreira
Nuno Miguel Granjo Matos
Manuel Carlos Figueiredo Silva
José Carlos Castro Mota
Miriam Vanessa G. Correia
Marta Sofia Santos Araújo
João António Costa Alves
Rogério Paulo Silva Lobo
Rita Simões Pereira
Claudio Ricardo Miguens Xavier
Dora Isabel Tavares Lopes
José António Carballo Sequeira
Anabela Silva Santos Conceição
Célia Cristina Cortes Marteniano
Tiago Pinto Silva Antunes
Nuno Filipe Fonseca Duarte
José Manuel Resende Ferreira
Luis filipe Teixeira Guimarães
Manuel Teles Grilo R. de Carvalho
Luis Filipe Almeida Liberal
António José Simões
Carlos Alberto Jeremias Pinto
Susana Isabel Teixeira Pinto
Ana Sofia Fonseca de Sousa
46
Auditoria Interna Julho/Setembro 2011 Nº 44
Post_it , Miguel Si lva
47
Auditoria Interna Julho/Setembro 2011 Nº 44
Pesquisa de Institutos de Auditoria
Affiliate code 303
Affiliate code 278
48
Auditoria Interna Julho/Setembro 2011 Nº 44
Publicidad