1
Auditoria Interna - abril/junho 2012 - Nº 47
abril/junho 2012 trimestral distribuição gratuita Nº 47
Janeiro/Mar 2012 trimestral distribuição gratuita nº 46
2
Auditoria Interna - abril/junho 2012 - Nº 47
Missão Promover a partilha do saber e da prática em auditoria interna, gestão do risco e controlo interno.
Índice
Fórum de Auditoria Interna 2012 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Edi tor ia l :FAI 2012 , O con t ro lo in te rno e a su s ten t ab i l idade das organizaçõ es , Fát ima Gead a, P res id en te Direção . . . 12 Audi re: Glob al izações , Manuel Marques Barrei ro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 In tegração de working papers co m Gestão d e Audi to r ia : Co mo mud ar d as “prát i cas co muns” para as “melh ores
prát i cas” , Jo ão Revés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Th e In format ion Technolo gy Assuran ce F ramework ( ITAF T M ) - Pau lo F . Cardoso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 Por uma nova Sust en tab i l i dade, Már io Parra d a S i lva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Era u ma vez u m audi tor qu e ousou provar do seu pró pr io remédio …, Luí s Fonseca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Dez d icas para apanh ar ment i ras nos depoimen tos , Debora Calh au Alves . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 II Fórum dos Auditores Internos da Saúde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 A impor tân cia da Audi tor i a In t erna no se tor da saúde e o po sic ionamento dos d i feren tes a tores , Ana Mafalda Cost a ,
Andrei a To ga Machado , Sofi a P i res , Sónia Cru z, Francisco Melo Alb ino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 Os b enef íc io s da s i s temat i zação de pro cesso s e p rocedimentos em Audi tor ia In tern a, RIS I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 Sugest ão de l e i tu ra . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 Cane ta Digi t a l . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 Pesquisa n a r ede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 IPAI Foto d a mesa d a as semblei a geral 30 março de 2012 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 IPAI Foto s do jan t ar do 20 ºan iver sár io 6 março 2012 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 Post_ i t , Migue l S i lva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 Pesquisa d e Ins t i tu tos d e Audi tor ia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Errata: Na edição 46 o logotipo do BPI não constou de forma correta. Pelo facto, as nossas desculpas.
Propriedade e Administração
IPAI – Avenida Duque de Loulé, 5 – 2º B – 1050-085 LISBOA; [email protected];Contribuinte nº 502 718 714; Telefone/Faxe: 213 151 002
Ficha técnica
Presidente da Direção: Fátima Geada; Diretor: Joaquim Leite Pinheiro; Redação: Manuel Barreiro; Raul Fernandes; Conselho Editorial: Jorge Nunes, Manuel
Barreiro, Fátima Geada, Francisco Melo Albino. Colaboradores nesta edição: Fátima Geada, Manuel Barreiro, F. Melo Albino, Miguel Silva, Mário Parra da Silva,
João Revés, Luís Fonseca, Paulo F. Cardoso, Luís Montanha Rebelo, Ana Mafalda Costa, Andreia Toga Machado, Sofia Pires, Sónia Cruz, RISI.
Pré-impressão: IPAI; Impressão e Acabamento: CEM; Ano XIV – Nº 47 – TRIMESTRAL abril-junho2012; TIRAGEM: 1400 exemplares.
Registo: DGCS com o nº 123336; Depósito Legal: 144226/99; Expedição por correio; Grátis; Correspondência: IPAI – Avenida Duque de Loulé, 5 – 2º B – 1050-
085 LISBOA Telefone/Faxe: 213 151 002; [email protected]; [email protected] Visite-nos em www.ipai.pt
http://pt-pt.facebook.com/people/Instituto-Auditoria-Interna-Ipai/
http://pt.linkedin.com/in/ipaichapteriia
Nota: Os artigos vinculam exclusivamente os seus autores, não refletindo necessariamente as posições da Direcção e do Conselho Editorial da Revista nem do IPAI. A
aceitação de publicação dos artigos na Revista Auditoria Interna do IPAI, implica a autorização para a inserção no sítio do IPAI após a edição da revista impressa.
Foto da capa: TJP
3
Auditoria Interna - abril/junho 2012 - Nº 47
Fórum de Auditoria Interna
2012
Textos disponíveis em
http://www.ipai.pt/gca/index.php?id=90 área reservada
4
Auditoria Interna - abril/junho 2012 - Nº 47
5
Auditoria Interna - abril/junho 2012 - Nº 47
6
Auditoria Interna - abril/junho 2012 - Nº 47
Corpos sociais para o biénio 2012-2013 Assembleia Geral
Presidente da Mesa: António dos Santos Ramos, CIA
Secretário: Carlos Alberto Mendes Lopes
Vogal: Rodrigo Mário de Carvalho
Conselho Fiscal
Presidente: Manuel dos Santos Gomes
Vogais: Álvaro da Silva João
João Manuel Barata da Silva
Vogal Suplente: Maria de Lurdes Neves
Direção
Presidente: Fátima Geada, PHD
Vice-Presidentes
Tesoureiro: Francisco de Melo Albino, CIA; CCSA; CGAP
Nuno Oliveira, CIA
Nelson Martins, CCSA
Pedro Cupertino de Miranda, CISA, CRMA
Jorge Santos Nunes
Luís Filipe Machado, CIA; CCSA
Miguel Correia, CIA; CCSA; CFSA
Secretário: Joaquim Leite Pinheiro
Vogais:
António Neutel Neves, CIA
Georgina Morais
Ana Cláudia
Júlia Santos, CCSA
Luís Montanha Rebelo, CGEIT, CRISC
Andreia Machado
Conselho geral
Presidente: Manuel Marques Barreiro
Vice-Presidente: Manuel Agostinho Raul Fernandes
Vogais:
Domingos Sequeira – Ex-Presidente da Direção
Orlando Sousa - SONAE
Ana Margarida Fernandes – Inspeção-geral de Finanças
António Costa e Silva – Tribunal de Contas
Carlos Baptista da Costa, ISCAL
Octávio Castelo Paulo – Instituto Português Corporate Governance
Jean-éric Gaign – KPMG
João Frade – DELOITTE
João de Mello Franco – PT e EDP Renováveis
Jorge de Freitas Nunes – Ernst & Young
Francisco Martins da Rocha – Banco de Portugal
Nasser Sattar – PriceWaterhouseeCoopers
Orlando Germano da Silva - BES
IIA Portugal
Chapter 253
IPAI filiado na
7
Auditoria Interna - abril/junho 2012 - Nº 47
Agenda 2012 Nº CURSO LOCAL DATA FORMADOR
Formação de Base em Auditoria Interna
1 Introdução ao Controlo e Auditoria Interna Lisboa
Porto
Fev. 13 e 14
Maio 17 e 18
Set. 10 e 11
Francisco Albino, CIA, CCSA, CGAP
2 Curso Prático Intensivo de Auditoria Interna
**
Lisboa Vários formadores. Coordenação: Francisco
Albino
Formação para Auditores Seniores e CAEs
3 Auditoria Interna Baseada no Risco Lisboa
Porto
Jul. 30 e 31
Out. 8 e 9
Nuno Oliveira, CIA
4 Autoavaliação do Risco e do Controlo –
Preparação para o Exame CCSA
Lisboa Mar.12 e 13 Nuno Oliveira, CIA
Júlia Santos, CCSA
5 Avaliação da Qualidade e Performance em
Auditoria Interna
Lisboa Mar.26 e 27 Fátima Geada, Ph.D.
6 Audit Planning to Address Fraud * Lisboa Jun. 29 Prof. Glenn Sumners, CIA, CPA, CFE
Formação de Especialização
7 Relatórios de Auditoria Lisboa Mai. 21 e 22 Francisco Albino, CIA, CCSA, CGAP
8 Amostragem para Auditoria Lisboa Dez. 3 e 4 Fátima Geada, Ph.D.
9 Fraude e Auditoria Interna Lisboa Abr. 23 e 24 Tiago Brito Lopes, CIA, CCSA, CFE
10 Programas de Trabalho em Auditoria Interna
**
Lisboa Mai. 7 e 8 Joaquim Pinheiro
11 Introdução à Gestão do Risco ** Lisboa Mai. 28 e 29 ***
Formação para Auditores de Sistemas de Informação
12
Auditoria de Sistemas e Tecnologias de
Informação
Lisboa Jun. 4 e 5 Paulo Gomes, CISA
13 Segurança de Sistemas de Informação Lisboa Jul. 9 e 10 Pedro Cupertino de Miranda, CISA
14 Auditoria aos Controlos Aplicacionais ** Lisboa Out. 22 e 23 Luís Rebelo, CGEIT
Formação comportamental
15 Liderança e Comunicação em Auditoria Interna Lisboa
Porto
Mar. 5 e 6
Jul. 2 e 3
Filipa Oliveira
16 Técnicas de Apresentação Lisboa Out. 29 e 30 Filipa Oliveira
8
Auditoria Interna - abril/junho 2012 - Nº 47
.
Formação para a Certificação CIA
17 CIA Review – I Part Lisboa Jun. 25 * Prof. Glenn Sumners, CIA, CPA, CFE
18 CIA Review – II Part Lisboa Jun. 26 * Prof. Glenn Sumners, CIA, CPA, CFE
19 CIA Review – III Part Lisboa Jun. 27-28 * Prof. Glenn Sumners, CIA, CPA, CFE
20 CIA Review – IV Part Lisboa Jun. 28 * Prof. Glenn Sumners, CIA, CPA, CFE
21 Preparação para o exame CIA – I Parte Lisboa Set. 27 Francisco Albino, CIA, CCSA, CGAP
22 Preparação para o exame CIA – II Parte Lisboa Set. 28 Nuno Oliveira, CIA
Formação para Auditores do Sector Público
23 Auditoria de Instituições Públicas – Preparação
para o Exame CGAP
Lisboa Abr. 19 e 20 Francisco Albino, CIA, CCSA, CGAP
24 Auditoria de Empreitadas de Obras Públicas Lisboa Set. 24 e 25 Sara Pestana, CIA; Sofia Correia, CIA
25 Auditoria Interna no Sector da Saúde Lisboa Out. 1 e 2 Andreia Machado, Mafalda Costa, Sofia Pires
e Sónia Cruz.
Formação para Auditores do Sector Financeiro
26 Seminário em parceria com o MIS ** Lisboa ** ***
* Em língua Inglesa.** Em preparação, com realização a confirmar.*** Monitor a confirmar.
NOTA. As datas indicadas podem sofrer ajustamentos, em função da disponibilidade dos formadores, pelo que se sugere a respectiva
confirmação junto do IPAI ([email protected], tel. 213151002).
Eventos a realizar em 2012
Jantar comemorativo dos 20 anos da fundação do IPAI, 6 março 2012 - Lisboa
VII Fórum de Auditoria Interna,21 junho 2012 - Lisboa
XIX Conferência Nacional do IPAI, 22 novembro 2012 - Lisboa
II Fórum de Auditores do Sector da Saúde, 30 maio 2012 - Coimbra
I Fórum de Auditores das Autarquias Locais
Reuniões de trabalho dos núcleos:
Auditores Internos do Sector dos Transportes, Infra-estruturas e Reguladores.
Auditores Internos do Sector Financeiro
Auditores Internos de Sistemas de Informação.
Agenda 2012
9
Auditoria Interna - abril/junho 2012 - Nº 47
IPAI - Membros Coletivos
Click here to enter text.
Click here to enter text.
Click here to enter text.
Click here to enter text..
Click here to enter text.
10
Auditoria Interna - abril/junho 2012 - Nº 47
IPAI – Membros Coletivos
.
.
Click here to enter text.
11
Auditoria Interna - abril/junho 2012 - Nº 47
Parcerias e protocolos http://www.ipai.pt/gca/index.php?id=116
12
Auditoria Interna - abril/junho 2012 - Nº 47
Editorial
Editorial:FAI 2012, O controlo interno e a sustentabilidade das
organizações, Fátima Geada, Presidente Direção
Boa Tarde a Todos,
Cabe-me o grato prazer de em nome da Direção do IPAI
dar-vos as Boas Vindas e cumprimentar os ilustres
convidados, os membros do Conselho Geral,
prestigiados oradores e estimados colegas aqui
presentes.
Tenho o privilégio de iniciar este fórum de partilha de
conhecimento e de metodologias, sobre um Tema “O
Controlo Interno e a Sustentabilidade das
Organizações”, que reflete a importância acrescida que
os procedimentos de controlo, análise e monitorização
têm para o bom desempenho das Organizações e a sua
sobrevivência.
As transformações sócio-económicas dos últimos anos
têm afetado profundamente o comportamento de
empresas que até então se focalizam no objetivo quase
exclusivo de maximização do lucro. As organizações
têm cada vez mais um papel determinante na criação de
riqueza aliado a uma responsabilidade acrescida para
com a sociedade no seu todo. A preocupação de
desenvolvimento sustentável incorporada nos negócios é
relativamente recente, complexa e senão mesmo
controversa.
Com o surgimento de novas responsabilidades e maior
pressão com uma acrescida transparência nos negócios,
as empresas obrigam-se a adotar uma atitude de maior
controlo interno, de modo a responder a um cada vez
maior escrutínio social.
Outros valores passaram a pautar a atuação das
organizações, para além das responsabilidades
económicas, as sociais e ambientais assumiram
particular relevância.
Compreender essa mudança de paradigma é vital par a
competitividade, o mercado está, a cada dia, mais aberto
e competitivo, fazendo com que as empresas tenham que
se preocupar com o controle dos impactos ambientais,
sociais e com a forma mais eficiente e eficaz de afetar os
recursos, uma fase de grandes desafios de correntes do
contexto da crise económica que estamos a vivenciar.
Este cenário deve ser encarado como uma oportunidade
para que se passem a implementar práticas sustentáveis
de gestão, não apenas como uma postura preventiva
relativa a exigências legais e regulamentares, mas
também com a intenção de obter vantagens
competitivas, evidenciando um posicionamento
criterioso na utilização dos recursos e na demonstração
de práticas de transparência de processos de gestão,
como fatores fundamentais para mitigar os custos de
agência e da envolvente.
13
Auditoria Interna - abril/junho 2012 - Nº 47
Empresas socialmente responsáveis geram mais valor
para a sociedade e para os stakeholders em geral e,
acima de tudo, conquistam resultados melhores para si
próprias. A visão sustentável deixou de ser uma opção
para as empresas, é uma questão de visão, de estratégia
e, muitas vezes, de sobrevivência.
Neste contexto, os órgãos que nas empresas permitem
uma melhoria de processos na alocação de recursos e
monitorização dos mesmos têm um papel extremamente
relevante. Neste âmbito surgem com destaque as funções
de controlo, auditoria, risk management e compliance.
Esse novo paradigma precisa ser acompanhado por uma
mudança de valores, passando da expansão para a
conservação, da quantidade para a qualidade, da
denominação para a parceria. Como retorno, a
sustentabilidade concretiza-se através dos seguintes
ganhos:
Para acionistas e investidores, pela valorização da
empresa na sociedade e no mercado;
Em imagem e a vendas, pelo fortalecimento e
fidelidade à marca e ao produto;
Em tributação, com as possibilidades de isenções
fiscais;
Em produtividade e pessoas, pelo maior empenho e
motivação dos colaboradores;
Em ganhos sociais, pelas mudanças comportamentais
da sociedade;
Em melhoria de processos;
Em melhor afetação dos recursos existentes;
Em menores custos de agência e em maior
transparência de processos.
A busca de excelência pelas empresas passa a ter como
objetivos a qualidade nas relações com os stakeholders e
a sustentabilidade económica, social e ambiental. O
conceito de desenvolvimento sustentável define-se como
“aquele que atende as necessidades de curto prazo sem
comprometer a possibilidade de as gerações futuras
atenderem às suas próprias necessidades”, o que só irá
ser possível se houver um verdadeiro escrutínio na
afetação dos recursos e respetiva monitorização,
atendendo às seguintes características:
É plural. Empresas não devem satisfações apenas aos
seus acionistas. O mercado deve agora prestar contas
aos colaboradores, ao governo, ao setor não-
governamental e ambiental e, por fim, às
comunidades com que opera.
É distributiva. É um conceito que se aplica a toda a
cadeia produtiva. Não somente o produto final deve
ser avaliado por fatores ambientais ou sociais, mas o
conceito é de interesse comum e, portanto, deve ser
difundido ao longo de todo e qualquer processo
produtivo. Assim como consumidores, empresas
também são responsáveis pelos seus fornecedores e
devem fazer valer os seus códigos de ética aos
produtos e serviços usados ao longo dos seus
processos produtivos.
É sustentável. Responsabilidade social aliada ao
conceito de desenvolvimento sustentável. Uma
atitude responsável em relação ao ambiente e à
sociedade, não só garante a não escassez de recursos,
mas também amplia o conceito a uma escala mais
ampla. O desenvolvimento sustentável não só se
refere ao ambiente, mas por via do fortalecimento de
parcerias duráveis, promove a imagem da empresa
como um todo e, por fim, leva ao crescimento
orientado. Uma postura sustentável é por natureza
preventiva e possibilita a prevenção de riscos futuros,
como impactos ambientais ou processos judiciais.
É transparente. A crise económica traz consigo uma
procura acrescida por transparência, um maior
escrutínio dos atos dos gestores. Empresas são
gradualmente obrigadas a divulgar a sua performance
económico, financeira, social e ambiental, os
impactos das suas atividades e das medidas tomadas
para prevenção ou compensação de acidentes e para a
mitigação de riscos, com o esmagamento de margem
decorrente do contexto económico/financeiro atual, a
exigência e o back to the basis em termos de
investimento torna os stakeholders, shareholders e
jobholders cada vez mais exigentes com a atuação
gestionária no seio das empresas e instituições.
FAI 2012, O controlo interno e a sustentabilidade das organizações
14
Auditoria Interna - abril/junho 2012 - Nº 47
As Organizações são incentivadas cada vez mais pela
administração pública e pelos seus stakeholders a
focalizar e a relevar os seus impactos ambientais, sociais
e económicos, a desenvolver maneiras apropriadas de
reduzir os custos associados, e a construção de atuações,
complementando soluções legislativas e contratuais que
se aplicam a questões como, por exemplo, o
desenvolvimento da qualidade de emprego, a adequada
informação, consulta e participação dos trabalhadores,
bem como o respeito e a promoção dos direitos sociais e
ambientais e a qualidade dos produtos e serviços e um
cada vez mais eficaz e eficiente modo de afetar os
recursos existentes.
A empresa é socialmente responsável quando vai além
da obrigação de respeitar as leis, pagar impostos e
observar as condições adequadas de segurança e saúde
para os trabalhadores, desenvolve esse procedimento
por acreditar que assim será uma empresa melhor e
estará contribuindo para a construção de uma sociedade
justa.
Um dos pilares em que o conceito de sustentabilidade
assenta é na atuação em conformidade com os valores
do Código de ética, dos quais salientamos:
Transparência nos negócios;
Mitigar ou minimizar os custos de agência;
Promover a lealdade na concorrência;
Buscar excelência e competitividade no
mercado;
Atender ao bem-estar e ao crescimento das
comunidades nas quais operam;
Valorizar os seus recursos humanos;
Ter como meta o desenvolvimento sustentável;
Dar relevância e valorizar a interação com os
seus stakeholders.
Em todo este processo a Auditoria tem um papel
de crescente importância, só instituições com
implementação efetiva do standard 2130 do IIA
dando relevância aos aspetos de compliance nos
aspetos legais, atuais e de responsabilidade
social poderão ser assumidos como tendo um
elevado grau de integridade e de confiabilidade
e poderão garantir um bom desempenho
económico e social no curto prazo, mas
simultaneamente manter a sua sobrevivência no
médio prazo, sendo consideradas organizações
sustentáveis.
Segundo o IIA o papel da auditoria interna neste
contexto é claro devendo ter um papel ativo como
promotor de um comportamento ético nos negócios
e deste modo contribuindo efetivamente para a sua
afetação eficiente de recursos e para a instigação
dos custos da agência e da envolvente.
Desejo-vos uma boa jornada de trabalho e espero
vivamente que venhamos todos a colher
ensinamentos interessantes da mesma.
Obrigada.
FAI 2012, O controlo interno e a sustentabilidade das organizações
15
Auditoria Interna - abril/junho 2012 - Nº 47
Audire
Audire: Globalizações, Manuel Marques Barreiro
Consultor e Presidente do Conselho Geral do IPAI
Durante o renascimento português, uma das
características mais marcantes, nem sempre falada, foi a
expansão portuguesa para a Europa.
A burguesia enriquecida com o comércio do Oriente,
muito florescente a partir da rotineira carreira das índias,
proporcionou aos seus filhos a oportunidade de
desenvolverem os seus estudos sem obediência à
limitação de tempo e de custos.
Durante mais de um século, os portugueses não só
frequentaram as mais distintas universidades europeias
da época, como ministraram o ensino em algumas das
mais conceituadas.
Assim, desde Salamanca, universidade que teve nessa
época uma grande projeção, passando por Bolonha, tida
como a mais antiga universidade, e Pavia, entre muitas
outras, até à de Paris, os portugueses, com o seu saber e
prestígio, não só marcaram a sua presença como
honraram a Pátria que representavam.
Apenas a título de curiosidade, não queria deixar passar
aqui em claro o facto de, num período de cinquenta
anos, entre 1500 e 1550, os cinco reitores da
Universidade de Paris terem sido portugueses.
Isto já num tempo em que a escolha do reitor era feita
por eleição democrática entre os professores,
conjuntamente com os alunos e os funcionários da
universidade.
Durante esse período áureo para os portugueses,
destacaram-se, pelo seu conhecimento, muitos dos
nossos humanistas, cujo reconhecimento, admiração
e respeito dos seus pares por essa Europa fora, era a
pedra de toque.
Distinguidos nos domínios das ciências e das artes, os
portugueses de então, que tendo feito carreira fora da
Pátria e, logo após a sua jubilação, muitos deles
prosseguiam em Portugal a sua catividade docente,
tendo contribuído assim para a melhoria do nosso
ensino.
É também preciso que se diga que esta oportunidade
decorreu, como vimos, do facto da grande atividade
comercial desenvolvida pelos portugueses ao longo
daquele período da nossa História Pátria.
Sob o ponto de vista comercial e de negócios, foram
os portugueses protagonistas da mundialização da
economia. Teremos então aqui, nesta perspectiva, o
primeiro fenómeno da globalização.
16
Auditoria Interna - abril/junho 2012 - Nº 47
E aqui, é preciso que se diga que o português era
então a língua franca. Estaria nessa época para as
transações comerciais como o inglês está hoje para o
mundo do saber, dos negócios e da economia. Nessa
época quem quisesse negociar com os mercadores
orientais, nomeadamente potências colonizadoras como
a Holanda, a França, a Alemanha e a Inglaterra, tinha
que o fazer em português.
Surgiram assim os primeiros dicionários em português e
as outras línguas, por ser a forma mais fácil e rápida para
a formalização e efetivação das transações comerciais.
Apenas por curiosidade, podemos hoje constatar que
alguns termos náuticos existentes noutras línguas,
grande parte deles tem radical de termos marítimos
portugueses, sendo a desinência já feita de acordo com a
respectiva característica linguística de cada país.
Durante o fenómeno a que podemos apelidar de
globalização, decorrente dos descobrimentos e das
navegações portuguesas, e dado o grosso volume de
mercadorias transportadas, tiveram então que ser criados
entrepostos, grandes armazéns de mercadorias, as
feitorias, para guardar os produtos transportados, os
quais seriam depois distribuídos quer localmente, quer
para os países europeus. Isso obrigava já à manutenção
de um organizado sistema contabilístico adequado às
circunstâncias. E, para aqueles que por vezes são
levados a pensar que a atividade da auditoria é coisa
relativamente recente, desiludam-se, pois já nessa altura
o sistema de controlo era desenvolvido por equipas
independentes a quem cabia também a missão de
supervisionar a gestão.
Os ouvidores eram então nesse período da nossa História
as pessoas nomeadas especialmente para atuar em
repartições públicas; uma espécie de juízes. Na prática
as suas funções eram essencialmente de controlo.
Ora, por sinonímia, o auditor dos nossos dias pode ser
entendido como um juiz que, não absolve nem condena;
simplesmente faz recomendações a quem cabe tomar as
decisões.
Daqui podemos também inferir que a auditoria, tal como
hoje a entendemos pode sob o ponto de vista histórico, ir
encontrar as suas raízes mergulhadas no renascimento
português, um período de expansão, leia-se globalização
que, à escala do tempo e dos meios então disponíveis, é
dos mais interessantes sob o ponto de vista interno e
interessantes também e sobretudo para o mundo, muito
particularmente para os países que, por maldade, por
desconhecimento ou ignorância, tendo andado às nossas
costas, hoje nos apoucam.
Portugal foi, pois, o principal obreiro da primeira
globalização da História, partindo do pressuposto dos
negócios e do comércio internacional partilhados. Não
deixa de ser curioso como nos dias que estamos vivendo
está Portugal sendo uma das vítimas desta nova
globalização.
Enquanto a globalização protagonizada pelos
portugueses de quinhentos foi compartilhada, sabendo-
se hoje que, nesse empreendimento eram os nossos
navegadores quem mais arriscava, a globalização atual
tornou-se irracional e impiedosa. Esta globalização é
feroz e egoísta, visando na sua essência a concentração
de poder e de riqueza em poucos, à custa do sofrimento
e da miséria de muitos.
Globalizações
17
Auditoria Interna - abril/junho 2012 - Nº 47
Framework de Controlo Interno COSO, Luís Montanha Rebelo,
CRISK, CGEIT, ISO 27001 LA Membro da Direção do IPAI; Membro da Direção do ISACA Lisbon Chapter
(As opiniões contidas neste texto são expressas a titulo exclusivamente individual)
A adoção do COSO garante ao auditor uma sólida base na avaliação da eficácia dos controlos e
ajuda-o a focar-se no que realmente é relevante para a organização.
Nos fóruns onde tenho participado, não raras vezes encontro profissionais de auditoria
que, ou não conhecem, ou acham que o COSO é uma
Framework de difícil aplicação e utilização pela função
de auditoria.
Proponho-me, em três artigos,
apresentar as Frameworks do COSO
(Controlo Interno, Gestão do Risco e
Monitorização), tentando desta forma
facilitar o seu entendimento pelos
leitores desta revista.
Uma breve história
Na década de oitenta, a economia Americana foi alvo de
diversos escândalos relacionados com entidades
financeiras. A opinião pública e os governos da altura
exigiram mudanças, capazes de evitar que este tipo de
acontecimento voltasse a acontecer. Como resultado
desta iniciativa, foi criada em 1985 uma comissão com o
objetivo de estudar as causas que levaram às fraudes
financeiras e fundamentalmente, para desenvolver um
conjunto de recomendações que aumentasse a robustez
das organizações e, desta forma evitar que se repetissem.
A comissão COSO foi formada nesse mesmo ano e uma
das principais conclusões do seu trabalho referia que, a
melhor forma de prevenir a fraude é através da melhoria
do Controlo Interno.
Em 1992 foi publicada a Framework de Controlo Interno
COSO. Este documento não só ganhou bastante
relevância nos últimos anos, como também
começou a ser aplicado com mais
frequência pelos profissionais de auditoria.
Foi também adotado pela Comissão
Europeia e pelo Banco de Portugal, como
modelo de suporte aos seus Sistemas de
Controlo Interno.
Mais recentemente, o Banco de Portugal
através do Aviso n.º 5/2008, recomenda às
Instituições Financeiras a operar em Portugal, a
utilização do COSO como referência para a
implementação de um efetivo sistema de Controlo
Interno e como prática para a sua avaliação.
Modelo de Controlo Interno
O COSO define o Controlo Interno como um processo,
tornado efetivo pelo corpo diretivo, gestores intermédios
e outros colaboradores designados, com o objetivo de
obter uma razoável garantia do atingir os objetivos sobre
as seguintes categorias:
Eficácia e eficiência das operações;
Veracidade do reporte financeiro;
Conformidade com leis e regulamentos.
18
Auditoria Interna - abril/junho 2012 - Nº 47
Esta definição abrange os seguintes conceitos
fundamentais:
O Controlo Interno é um processo. O que significa que é
um meio para atingir um fim e não um fim em si mesmo.
O Controlo Interno é aplicado por pessoas. Não é
meramente uma política ou um manual, mas é
constituído por pessoas nos mais diversos níveis da
organização.
O Controlo Interno só pode dar uma garantia razoável,
não garante, de forma absoluta, o cumprimento dos
objetivos.
O Controlo Interno é orientado para o cumprimento dos
objetivos de um ou mais categorias de objetivos.
Segundo o COSO, o Controlo Interno é composto por
cinco componentes interrelacionadas. Esta divisão
deriva da forma como são geridos os processos de
negócio. Os componentes são os seguintes:
Ambiente de Controlo – As pessoas – os seus atributos
como indivíduos, como a integridade, valores, ética e
competência – e pelo ambiente onde estas operam são os
aspetos fundamentais de qualquer organização;
Avaliação de Riscos – A organização deverá conhecer e
tratar os riscos que enfrenta na persecução dos seus
objetivos. Os objetivos devem estar bem definidos e
introduzidos na cadeia de valor. Todas as suas
componentes devem trabalhar de forma integrada,
devendo estar dotadas de mecanismos para a gestão dos
riscos que coloquem os seus objetivos em causa;
Atividades de Controlo – Deverão ser implementadas
políticas e procedimentos de controlo, que ajudem a
garantir que, as ações implementadas pela gestão são
suficientes e corretamente implementadas;
Informação e Comunicação – Os sistemas de
informação e comunicação são o suporte a toda a
atividade da Organização. Estes sistemas permitem que
as pessoas recebam e a troquem informação necessária
para conduzir, gerir e controlar as operações diárias;
Monitorização – Todo o processo deverá ser
monitorizado e, numa perspetiva de melhoria contínua,
feitas as alterações necessárias. Desta forma, o sistema
reage de forma dinâmica, mudando à medida das
necessidades;
Aspetos a considerar na avaliação
Por cada componente do controlo interno, o COSO
identifica os principais aspetos a ter em consideração na
avaliação do Controlo Interno.
Ambiente de controlo
Quando o auditor avalia o ambiente de controlo, deverá
levar em consideração alguns aspetos, por exemplo:
Comunicação e observância de valores éticos e morais;
Comprometimento com critérios de competência;
Desenho da estrutura organizativa;
Políticas e procedimentos associados à gestão de
recursos humanos.
Avaliação do Risco
O auditor deve-se questionar se a organização tem feito
um esforço efetivo para identificar as áreas de risco onde
possam ocorrer erros materiais.
Esta questão prende-se com a capacidade da organização
em avaliar corretamente os riscos e, para os riscos mais
relevantes, através da utilização de controlos, mitigá-los
até um nível aceitável.
Framework de Controlo Interno COSO
19
Auditoria Interna - abril/junho 2012 - Nº 47
Nas organizações, os riscos podem aparecer sob diversas
formas e consequentemente o auditor deverá avaliar se
estão sujeitos a controlos, como por exemplo:
Mudanças no ambiente operacional;
Entrada de novos colaboradores;
Aplicação de novas tecnologias de informação;
Novos modelos de negócio, produtos ou atividades;
Restruturações corporativas;
Internacionalização de processos de negócio.
Se o corpo de gestão da organização não é ativa na
avaliação e mitigação dos seus riscos, este aspeto do
sistema de controlo interno fica de alguma forma posto
em causa.
Informação e Comunicação
No caso da informação para o reporte financeiro, esta
deverá não só ser verdadeira, mas também ser atempada
e corretamente comunicada à gestão e órgãos de decisão.
De forma geral, este aspeto de controlo está relacionado
com a capacidade efetiva de comunicar, na adequação do
seu conteúdo e nos controlos existentes que tornem essas
capacidades efetivas.
Este ponto pode ser avaliado, levando em consideração,
entre outros, o risco associado aos seguintes fatores:
Sistemas que suportam a identificação, captura e troca
de informação, de forma a permitir a reação atempada.
Informação de reporte financeiro;
Comunicação de Controlo Interno;
Fluxo de comunicação interna.
Atividades de Controlo
O auditor terá de se questionar se os controlos existentes
são suficientes para, de forma agregada, mitiguem
efetivamente o risco de existência de erros materiais no
reporte financeiro.
Os controlos devem ser avaliados segundo os seguintes
critérios:
Desenho – O controlo é desenhado de forma a ser capaz
de mitigar os riscos e garantir um adequado controlo,
sobre um determinado processo de negócio, ou garantir
que o processo cumpre com as políticas e procedimentos
que lhe estão associados. O controlo deverá ser capaz de
detetar, de forma atempada, qualquer desvio
materialmente relevante.
Implementação – O Segundo nível de avaliação prende-
se com a avaliação de que o controlo está efetivamente
implementado.
Eficácia operacional – O terceiro nível avaliação
refere-se à eficácia operacional do controlo. Se este está
a cumprir com os objetivos para o qual foi desenhado.
Monitorização
A avaliação deste elemento pretende concluir sobre a
capacidade da organização em acompanhar, de forma
efetiva e independente, a eficácia dos seus controlos
durante a sua operação diária, individualmente ou em
conjunto com outros controlos.
Existem várias formas de monitorizar a eficácia dos
controlos, por exemplo:
Efetuar avaliações periódicas aos controlos;
Avaliar de forma continua a eficácia dos controlos;
Definir procedimentos específicos para alteração do
sistema de controlo interno.
Framework de Controlo Interno COSO
20
Auditoria Interna - abril/junho 2012 - Nº 47
Benefícios e dificuldades de adoção do COSO
A adoção do COSO para avaliação do sistema de
controlo interno trás claramente benefícios a nível dos
seguintes aspetos:
Eficácia – A execução de testes sobre os cinco
componentes de controlo do COSO, garante ao auditor
uma sólida base para definição do grau de garantia dada
pelos controlos.
Eficiência – Quando o auditor se foca nas categorias do
COSO, evita derrapagens ao âmbito dos trabalhos.
Focando-se unicamente no que realmente é relevante
para a organização.
Comparabilidade – A utilização de uma Framework e
sistemas de rating comummente aceites, permite a
comparabilidade da eficácia dos controlos entre processo
de negócio diferentes.
Comunicação – A integração dos componentes do
COSO, na discussão com os auditados, aumenta a sua
compreensão sobre os conceitos relacionados com o
controlo e risco.
No entanto, como podemos verificar através do exemplo
de aplicação do COSO à Boeing
(http://www.coso.org/audit_shop.htm), a implementação
do COSO não é tarefa fácil.
Neste exemplo, a adoção dos princípios do COSO,
obrigou a equipa de auditoria a redesenhar todo o
processo de auditoria.
Segundo a mesma fonte, os próprios consideram que o
resultado foi bastante proveitoso. Neste momento há
uma fundamentação sólida para todo o trabalho que
executam.
O futuro
A Framework de Controlo Interno foi revista e espera-se
a sua publicação no primeiro trimestre de 2013. O IIA
teve oportunidade de avaliar o DRAFT proposto e
considera que, as alterações propostas irão permitir que
o mesmo acompanhe a evolução verificada nos
processos de governação, gestão de risco e controlo das
Organizações. E que estas alterações permitirão que o
COSO seja uma referência pelo menos por mais 20 anos.
Próximo artigo
No próximo artigo abordarei outro documento emitido pelo
COSO, nomeadamente a sua Framework de gestão de risco
(COSO – Enterprise Risk Management – Integrated
Framework).
O COSO – ERM, integra a Framework de Controlo Interno,
que tratei neste artigo e alarga o conceito de gestão do risco
nas organizações.
Framework de Controlo Interno COSO
21
Auditoria Interna - abril/junho 2012 - Nº 47
Integração de working papers com Gestão de
Auditoria: Como mudar das “práticas comuns” para as
“melhores práticas”, João Revés
SSP Partner
Um pedido que é comum ouvir aos responsáveis de
auditoria interna é o de uma solução única que integre as
funções de audit analytics e de gestão de auditoria e
working papers. Esta constatação empírica é confirmada
por um inquérito levada a cabo pela ACL e citado mais à
frente neste texto. O mercado até agora não tem dado
uma resposta credível e robusta a esta necessidade. No
entanto, estamos em crer que será por pouco tempo. A
ACL está empenhada em conseguir colmatar essa lacuna
do mercado, através da integração nas suas soluções da
solução Workpapers.com (www.workpapers.com) que
adquiriu recentemente.
Assim, entendemos ser oportuno trazer a este fórum um
excerto do white paper “Integrating Working Papers
with Audit Management” do Vice-presidente da Working
Papers Software, Dan Zitting.
Na auditoria os working papers servem como
importantes pontos de referência para todo o ciclo de
vida de auditoria, disponibilizando aos diretores de
auditoria interna, empresas externas de auditoria e
consultores de risco e controlos, uma referência da
documentação e do conhecimento de auditoria. Apesar
do seu valor estratégico, muitas organizações abordam
esta função crítica com uma check-list baseada, na
maioria das vezes, por processos manuais de gestão de
projecto. Além disso, as normas que definem o conteúdo
dos working papers e a forma como estes devem ser
preparados são vagas ou até inexistentes, resultando em
práticas inconsistentes e em problemas de qualidade.
À medida que os processos de auditoria adquirem
maturidade, as atividades se tornam mais sofisticadas e
as organizações implementam diferentes aplicações de
software para automatizar o seu processo de auditoria,
um risco que surge com regularidade é o dos vários
workflows existentes se tornarem excessivamente
complexos e desarticulados. Não é invulgar coexistirem
na mesma organização diferentes aplicações e diferentes
workflows a suportar diferentes funções do processo de
auditoria: gestão de Projectos, working papers, análise
de dados, audit analytics, revisão externa, e reporting,
entre outros.
Estes factores contribuem para um novo tipo de risco do
negócio – o Audit Performance Gap - o valor estratégico
que é perdido devido à ineficiência no processo de
gestão de auditoria.
Na auditoria os working papers servem como importantes pontos de referência para
todo o ciclo de vida de auditoria.
22
Auditoria Interna - abril/junho 2012 - Nº 47
Ao integrarem no ciclo de vida da auditoria uma solução
de gestão de working papers totalmente automatizada, as
organizações podem derrubar os “silos” de informação.
Os recursos antes aplicados na gestão do processo dos
working papers podem agora ser redirecionados para
atividades de auditoria estratégicas e de maior valor
acrescentado, tais como a melhoria de técnicas de
análise de auditoria, realização de auditorias adicionais,
avaliação de riscos organizacionais adicionais ou
formação e requalificação equipa de auditoria.
Este artigo aborda o papel dos working papers no
processo de auditoria e sugere três passos práticos para o
estabelecimento de melhores práticas para a gestão de
working papers e consequentemente minimizar o Audit
Performance Gap.
EVOLUÇÃO DA FUNÇÃO DOS WORKING PAPERS
Os working papers são fundamentais para o processo de auditoria. É
necessária a existência de documentação precisa e completa do trabalho
realizado de forma apoiar e fundamentar os principais resultados,
recomendações, opiniões e conclusões contidos nos relatórios de auditoria.
No entanto, os auditores tradicionalmente consideram a preparação dos
working papers um processo separado da gestão de Projectos de auditoria.
De facto, para as equipas de auditoria de elite que atingem performances
altamente produtivas, consistentes e eficazes, preparar os working papers e
a gestão das auditorias caminham lado a lado, tal como pedalar e guiar
constituem um conjunto de acções colaborativas, necessárias para andar de
bicicleta.
É um equívoco comum considerar que os working papers só se aplicam à
fase de trabalho de campo. Não é verdade. Os working papers constituem
um ponto de referência importante para todo o processo de auditoria.
Quando criados e geridos adequadamente, fornecem uma base de
conhecimento vital antes, durante e após uma auditoria. Durante a fase de
planeamento de uma auditoria, ajudam a definir o contexto e a orientar
revisão em curso das áreas problemáticas. Durante uma auditoria, os
working papers servem para registar o trabalho dos auditores, evidenciar
áreas de risco, e comunicar os resultados entre os membros da equipa de
auditoria e outros stakeholders.
Características dos working papers de
qualidade
Abrangência e Rigor - Os working papers
devem ser completos, precisos e suportar
observações, testes, conclusões e
recomendações. Devem também demonstrar
a natureza e o âmbito do trabalho realizado.
Clareza - Os working papers devem ser
compreensíveis sem necessidade de
explicações orais suplementares. Um terceiro
deve ser capaz de determinar facilmente a
finalidade, natureza e âmbito do trabalho
realizado, assim como as conclusões do autor
Pertinência - As informações contidas nos
working papers devem limitar-se às questões
necessárias para apoiar os objectivos e o
âmbito estabelecidos para trabalho
Organização Lógica - Os working papers
devem obedecer a uma organização lógica e
racional.
Consistência - Os working papers devem ser
preparados e executados dentro de uma
abordagem consistente ao longo da auditoria
e em toda a organização, independentemente
do auditor responsável pelo trabalho.
Legibilidade - Os working papers devem ser
legíveis e tão objectivos quanto possível.
Working papers subjetivos podem perder o
seu valor para demonstrar evidência.
Workflows Optimizados – cria workflows
para preparação de documentação que se
integram diretamente com os mecanismos de
gestão de projecto - rastreamento da check-
list de pedidos do cliente, sign-offs, revisões
do supervisor, follow-up de incidentes,
monitorização do consumo de tempo e status
do projecto - num único processo.
Integração de working papers com Gestão de Auditoria: Como mudar das “práticas comuns” para as “melhores práticas”
23
Auditoria Interna - abril/junho 2012 - Nº 47
Após a conclusão de uma auditoria, os working papers
servem para suportar o relatório final e as suas as
conclusões, documentar o trabalho realizado em cada
fase do projecto e servir como o repositório de
conhecimento para futuras auditorias. Os working
papers também evidenciam se o devido zelo profissional
foi exercido e ilustram o cumprimento das normas
profissionais de auditoria.
Para os auditores - tanto auditores internos como
empresas de auditoria independentes ou consultores de
risco e controlos - os working papers podem ajudá-los a
serem mais eficazes e produtivos, acrescentando valor
estratégico à sua organização.
DIRETRIZES GENERICAS PARA WORKING
PAPERS
Enquanto é consensual que os working papers são
reconhecidos como práticas geralmente aceites, as
normas que definem o conteúdo dos working papers e a
forma como são preparados são vagas. Em vez de
imporem regras rígidas, as normas da profissão definem
o contexto e apontam orientações, deixando espaço para
uma interpretação por parte dos auditores.
Por exemplo, as Normas Internacionais para a Prática
Profissional de Auditoria Interna especificam requisitos
de working papers em diversas secções, entre as quais:
“2240 Engagement Work Program” - Os
auditores internos devem desenvolver e
documentar programas de trabalho que
cumpram os objectivos do engagement.
“2300 Performing the Engagement” - Os
auditores internos devem identificar, analisar,
avaliar e documentar a informação suficiente
para alcançar os objectivos do engagement.
“2310 Identifying Information” - Os auditores
internos devem identificar informação
suficiente, fidedigna, relevante e útil para
alcançar os objectivos do engagement.
“2320 Analysis and Evaluation” - Os auditores
internos devem basear as suas conclusões e os
resultados do trabalho em análises e avaliações
adequadas.
“2330 Documenting Information” - Os auditores
internos devem documentar informação
relevante para apoiar as conclusões e resultados
do seu trabalho.
Adicionalmente, muitas associações profissionais
emanam também orientações vagas relativas aos
working papers e a diferentes tipos de auditoria. Como
resultado, os auditores são em grande parte livres para
conceber o seu próprio sistema e/ou estilo para
documentar o seu trabalho. Se por um lado, isto
proporciona flexibilidade, por outro também cria
oportunidade para demasiada heterogeneidade, o que
pode levar a desvios nos programas de auditoria e
resultar em ineficiências, erros e riscos desnecessários.
DAS “PRÁTICAS COMUNS” ÀS “MELHORES
PRÁTICAS”
Concentrarmo-nos nos seguintes três passos práticos, é a
chave para estabelecer as melhores práticas para gestão
de working papers e minimizar o Audit Performance
Gap.
Integração de working papers com Gestão de Auditoria: Como mudar das “práticas comuns” para as “melhores práticas”
24
Auditoria Interna - abril/junho 2012 - Nº 47
1. INTEGRAR A DOCUMENTAÇÃO DE
WORKING PAPERS NO PROCESSO DE
GESTÃO DE AUDITORIA
Os working papers têm uma correlação direta com a
performance das auditorias. Os working papers podem
fornecer informações/conhecimento valiosos para outras
funções de auditoria, desde a gestão global de auditoria
até à colaboração da equipa passando pela audit
analytics e pela avaliação de risco.
Um inquérito recente a mais de 8.000 clientes da ACL,
indicou interesse por parte de 75% dos mesmos numa
solução integrada de audit analytics e de working papers
de modo a melhorar a eficiência e aumentar a utilização
da tecnologia nos seus departamentos de auditoria
interna.
Uma solução desta natureza permitiria partilhar
conhecimento e criar valor nas seguintes áreas:
Fornece um framework para auditoria eficaz –
mais análise, menos documentação
Agiliza o trabalho de campo, a documentação e
os relatórios - Permite aos departamentos de
auditoria, carentes de recursos, produzirem mais
do que poderiam somente com recurso a
técnicas manuais.
Facilita a comunicação entre a equipa – Mantém
toda a equipa sintonizada na mesma informação
e alinhada com os mesmos objectivos
2. FAVORECER A NORMA FACE À
CUSTOMIZAÇÃO
Definir a norma dentro do processo de auditoria
Revisite as auditorias concluídas nos últimos 12 meses e
determine o que foi reportado aos stakeholders
(provavelmente o comité de auditoria e / ou a
administração). Examine o trabalho realizado nessas
auditorias e identifique áreas de similaridade, assim
como as diferenças e inconsistências. Geralmente, 80-
90% dos processos e formatos de documentação
mantêm-se iguais de uma auditoria para a seguinte.
Concentre-se nesses 80-90%, e simplifique os processos
comuns tanto quanto possível. Selecione uma ferramenta
de auditoria que imponha a norma convencionada e
deixe pouco espaço para desvios.
Eliminar a necessidade de customização
Evite personalização para além do workflow definido e
aceite como norma. Evite também ferramentas com
opções extremamente complexas no que concerne a
instalação, atualizações periódicas, atribuição de perfis
de utilizadores, sincronização e outras áreas de pouco
valor para a função de auditoria
3. REDIRECIONAR RECURSOS PARA AS
ACTIVIDADES ESTRATÉGICAS DE
AUDITORIA
Como as etapas 1 e 2 proporcionam ganhos nos prazos
de execução, é possível utilizar esse tempo para
atividades de auditoria de alto valor. As principais
oportunidades geralmente incluem:
Realização de auditorias suplementares
Melhorar técnicas de auditoria, particularmente
a utilização da data analytics para avaliar
maiores volumes de dados transacionais (e
passar de testar amostras para testar o universo
de dados)
Formação da equipa de auditoria em áreas
estratégicas
Dedicação de atenção especial às atividades de
avaliação de risco e identificação de áreas de
risco
Integração de working papers com Gestão de Auditoria: Como mudar das “práticas comuns” para as “melhores práticas”
25
Auditoria Interna - abril/junho 2012 - Nº 47
Este valor acrescentado gerado solidifica o papel da Auditoria Interna como parceiro estratégico do Comité de Auditoria,
do CEO, CFO, e da Comissão Executiva em geral.
Figura 1: Melhores Práticas: Abordagem Integrada aos working papers.
Ao integrar os working papers em todo o ciclo de gestão de auditoria, as organizações melhoram as avaliações de risco, reduzem
redundâncias e imprecisões, e alargam o âmbito de atividades de assurance.
A SOLUÇÃO DE GESTÃO DE AUDITORIA DA ACL
A solução ACL Workpapers ® é um sistema de gestão de
auditoria, acessível de forma segura através da Internet,
que aumenta a produtividade da auditoria através da
organização de trabalho de campo e da automatização da
gestão de projecto. O framework que suporta o sistema
permite aos auditores criar Projectos de auditoria de
qualquer tipo: Financeira, operacional, compliance ou
técnica. A solução é atualmente utilizada por empresas
de auditoria, organizações públicas, bancos, auditores
internos e equipas de compliance por todo o mundo.
Desenhado para o diretor de auditoria...
A solução ACL Workpapers liberta os
utilizadores de tarefas de gestão de auditoria,
uma vez que organiza Projectos, notifica as
pessoas certas, e mantém auditorias dentro do
planeado.
Facilita um workflow produtivo e organizado. A
estrutura permite aos auditores construir o seu
programa de auditoria, em seguida, a partir de
qualquer procedimento, adicionar rápida e
facilmente incidentes, todos, pedidos do cliente
e tempo gasto. Tudo é agregado
automaticamente ao nível do projecto,
proporcionando uma gestão de projecto simples
e eficaz.
Automatiza Relatórios de projecto, com mais de
60 relatórios pré-configurados, que abrangem a
auditoria, matrizes de risco e controlos,
orientações, planos de teste, resultados de testes,
relatórios de status e detalhe de incidentes -
todos disponíveis em formato PDF e Excel.
Integração de working papers com Gestão de Auditoria: Como mudar das “práticas comuns” para as “melhores práticas”
26
Auditoria Interna - abril/junho 2012 - Nº 47
Com as necessidades do auditor em mente...
Interface amigável e intuitivo para proporcionar
menos tempo de formação e mais tempo de
auditoria.
Permite que os utilizadores colaborem com a
equipa de auditoria, executivos, clientes e
terceiros. O repositório central do trabalho de
auditoria permite controlar os acessos,
satisfazendo as necessidades específicas dos
diferentes tipos de utilizadores e stakeholders do
trabalho de auditoria.
Receber notificações automáticas por e-mail
para eventos chave, tais como a revisão do
supervisor, as notas de revisão, e muito mais....
...E liderando no que respeita à segurança de
aplicações na cloud.
É 100% seguro, privado e de confiança. A
solução ACL Workpapers estabeleceu um novo
padrão em segurança de aplicações na cloud
com um conjunto abrangente de controlos para
assegurar a proteção dos dados dos seus clientes.
Custos reduzidos.
Sem necessidade de instalar e manter qualquer
hardware ou software. Configuração rápida de
novos utilizadores, facilmente geridos
diretamente pela equipa de auditoria.
CONCLUSÃO
Os working papers, quando bem geridos, fornecem
informações valiosas para outras funções de auditoria,
desde a gestão global de auditoria até à colaboração da
equipa passando pela audit analytics e pela avaliação de
risco. Soluções automatizadas permitem às equipas de
auditoria produzir working papers de alta qualidade,
precisos e eficientes que melhoram o planeamento de
auditoria, a avaliação de riscos, e a expansão do âmbito
da auditoria. Com esses ganhos, os departamentos de
auditoria podem melhorar as avaliações de risco, reduzir
redundâncias e imprecisões, e alargar o âmbito de
atividades de assurance.- acrescentando assim valor à
sua organização.
Enquanto se verificou um progresso significativo no que
respeita a tecnologia e processos para estabelecer as
melhores práticas na gestão de auditoria, um problema
comum para muitas organizações é a existência de
diferentes silos de informação e de processos de
negócio. Integrar os processos de gestão dos working
papers no ciclo de vida da auditoria, constitui uma “boa
prática” que ajuda a acabar com esses silos da função de
auditoria.
À medida que a tecnologia de auditoria e capacidades
analíticas se tornam mais sofisticadas, as práticas de
auditoria continuarão a evoluir na direção de uma
plataforma totalmente integrada de gestão de auditoria.
Este evento irá cumprir a promessa de integração
profunda e contínua entre a gestão de auditoria e a audit
analytics para auditoria de desempenho elevado.
A ACL está a integrar sua solução de working papers
com o seu software de audit analytics para responder a
essa necessidade do mercado.
Integração de working papers com Gestão de Auditoria: Como mudar das “práticas comuns” para as “melhores práticas”
27
Auditoria Interna - abril/junho 2012 - Nº 47
The Information Technology Assurance Framework
(ITAFTM
) - Paulo F. Cardoso
CISA, CRISC, Communication Officer do ISACA Lisbon Chapter,
Controls Assurance Auditor no Barclays Bank Plc, London, UK.
Introdução
A evolução cada vez mais rápida da tecnologia e a
crescente importância que esta assume numa
organização e na tomada de decisão, tornou clara a
necessidade de desenvolver um framework de IT
assurance capaz de responder a este novo paradigma.
Mais do que nunca, também por imperativos de
legislação específica (por exemplo o Sarbanes-Oxley
Act, de 2002), reguladores e shareholders exigem mais
informação e informação mais precisa sobre a operação,
a eficácia e eficiência dos seus mecanismos de controlo
interno, quase sempre suportados por uma massiva
infraestrutura de IT.
Executar uma auditoria à operação, eficiência e eficácia
dos controlos de IT é um dos mecanismos para
responder às necessidades que reguladores e
shareholders exigem nos dias de hoje, permitindo a
prossecução dos objectivos definidos pela gestão e uma
maior confiança do cliente final.
O ISACA, de forma a contribuir para que estas
auditorias tenham a qualidade, consistência e fiabilidade
exigidas, tal como para assegurar que estão disponíveis
os procedimentos, boas práticas e linhas de orientação
para a prossecução do trabalho do auditor, desenvolveu
o framework ITAFTM (The Information Technology
Assurance Framework).
Este modelo, assente em 4 secções distintas - mas
apenas 3 elaboradas, estando a última reservada para
desenvolvimentos futuros -, é um modelo bastante
abrangente que estabelece boas práticas, que, na sua
essência:
Orienta no desenho, condução e relato de uma
auditoria de IT e de IT assurance;
Define termos e conceitos específicos relativos a IT
assurance;
Estabelece referências para endereçar funções e
responsabilidades, conhecimentos e aptidões e
define requisitos quanto ao zelo, condução e relato
de uma auditoria de IT e de IT assurance;
Define um Código de Ética Profissional.
Estrutura do framework
O framework divide-se em 3 secções distintas:
Section 1000 – Introdução do próprio framework;
Section 2000 – Define os padrões de IT assurance.
Inclui ainda o Código de Ética Profissional do
ISACA e introduz os três tipos de padrões que
formam o framework: gerais (os princípios sobre os
quais a profissão de IT assurance é executada), de
desempenho (estabelece as expectativas base na
condução dos compromissos de IT assurance) e de
relato (endereça os tipos de relatório, os meios de
comunicação e a informação a ser comunicada.);
Executar uma auditoria à operação, eficiência e eficácia dos controlos de IT é um dos mecanismos para
responder às necessidades que reguladores e shareholders exigem nos dias de hoje, permitindo a
prossecução dos objectivos definidos pela gestão e uma maior confiança do cliente final.
28
Auditoria Interna - abril/junho 2012 - Nº 47
Section 3000 – O núcleo prático do framework.
Remete, em cada uma das suas linhas orientadoras,
para os recursos práticos do ISACA, como por
exemplo, mas não limitado a, os programas de
auditoria, por área.
A secção 3000 foca cada uma das suas linhas
orientadoras em:
Processos e problemas de IT que o profissional de
assurance deve perceber e considerar quando
planeia, define o âmbito, executa e reporta as suas
atividades;
Auditoria de IT e processos de assurance,
procedimentos, metodologias e abordagens que o
profissional de auditoria de IT e de assurance deve
considerar quando conduz as suas atividades.
Esta secção endereça as suas linhas de orientação nos
seguintes tópicos:
Conclusão
O ITAFTM
é uma resposta às necessidades cada vez
maiores da gestão satisfazer reguladores e shareholders
no que concerne à operação, eficácia e eficiência do seu
controlo interno, suportado em IT. Este framework não é
apenas um guia teórico.
Remete para as boas práticas e linhas orientadoras do
ISACA, como sejam os seus programas de auditoria ou
as suas publicações e padrões.
O framework define claramente alguns conceitos e
orienta o auditor de sistemas de informação e o
profissional de assurance no seu trabalho diário em
planear, definir o âmbito, executar e reportar as
conclusões da sua atividade, sem esquecer que o mesmo
deve cumprir as suas atividades no estrito cumprimento
do código de conduta profissional, também definido
neste framework.
Nota: deliberadamente, devido à inexistência de uma
uniformização e definição clara de uma tradução
portuguesa, o autor utilizou expressões na sua língua
original, amplamente difundida entre os auditores.
Bibliografia
[1] ISACA, ITAF A Professional Practices framework
for IT Assurance, USA, 2008
[2] ISACA, ITAF A Professional Practices framework
for IT Assurance Summary Document, USA, 2008
Estas publicações podem ser encontradas a partir de:
http://www.isaca.org/Knowledge-Center/ITAF-IT-
Assurance-Audit-/Pages/default.aspx
Secção Area
3200 Tópicos empresariais
3400 Processos de gestão de IT
3600 Auditoria de IT e processos de
assurance
3800 Auditoria de IT e gestão de assurance
The Information Technology Assurance Framework
The Information Technology Assurance Framework
29
Auditoria Interna - abril/junho 2012 - Nº 47
http://www.apee.pt/
Por uma nova Sustentabilidade, Mário Parra da Silva
Presidente Direção da APEE
As últimas semanas foram naturalmente dominadas pelo
próximo evento RIO+20, a Conferência das Nações
Unidas sobre Desenvolvimento Sustentável.
Uma das inúmeras iniciativas associadas foi a
“messages of the world” que publicou mensagens
recebidas de pessoas de todo o mundo.
Uma breve leitura das muitas mensagens publicadas
permitiu perceber quanta esperança foi depositada nos
esforços globais para criar um planeta mais sustentável,
mas também que a grande maioria das mensagens era
focada nas questões ambientais.
Desde o inicio do movimento do Desenvolvimento
Sustentável que, do meu ponto de vista, se colocam
algumas contradições que nunca foram bem tratadas e
que precisam de ser encaradas com determinação
idêntica à que usamos para combater as ameaças
ambientais. Irei referir aqui apenas uma – a questão do
modelo de desenvolvimento e da criação de emprego.
Durante anos observei em muitas pessoas que quando
falavam de “desenvolvimento sustentável” assumiam
que o vigente modelo de desenvolvimento era excelente
mas precisava tornar-se mais “ecológico”, mais amigo
do ambiente, melhor utilizador dos recursos, mais
reutilizador e reciclador.
A questão não estava no “modelo de desenvolvimento”
mas sim em esse modelo não ser suficientemente
“sustentável”.
Nunca acreditei que um modelo de desenvolvimento que
exige o crescimento constante, o aumento do consumo, a
subida média das bolsas, pudesse tornar-se sustentável.
O sistema baseia-se na criação de bolhas, que
têm de ser recicladas de tempos a tempos.
As últimas semanas foram naturalmente dominadas pelo próximo evento RIO+20, a
Conferência das Nações Unidas sobre Desenvolvimento Sustentável
30
Auditoria Interna - abril/junho 2012 - Nº 47
Este modelo pôde no passado conviver com os 3 Rs e
pode hoje e no futuro ganhar muito dinheiro com os
negócios do ambiente, mas nunca conseguirá ser um
modelo de sustentabilidade porque exige muita energia
para criar algo que se destina a ser destruído
rapidamente de modo a que novos produtos possam
entrar no mercado e ser comprados.
De automóveis a roupas, utensílios electrónicos ou
mobiliário, tudo terá de existir num curto ciclo de vida
para que as fábricas não parem, o comércio continue e o
dinheiro circule.
Os materiais serão reciclados e teremos casas feitas com
restos de automóveis, roupas produzidas a partir de
fibras recicladas, agricultura alimentada com os
desperdícios urbanos, energia recebida diretamente do
sol, ou através do vento.
O material produzido igualará um dia o material
reciclado. Mas a energia desta equação subirá sempre,
gasta a produzir e depois gasta a reciclar. Na equação da
energia infelizmente a Física não permite reciclagem.
Nada a recear se ela puder dissipar-se para o espaço
sideral. Mas tal não é, segundo algumas autoridades
científicas, tão garantido como parece, porque se
geraram barreiras na atmosfera que o impedem em parte,
pequena por ora mas crescente.
Por outro lado este modelo foi eficaz num mundo em
que as disparidades, Norte-sul e entre Desenvolvidos e
em Desenvolvimento, permitiam a recirculação de
capitais e mercadorias, que absorviam em boa parte o
efeito das bolhas. Hoje isso não é mais possível na
mesma extensão. Ainda por outro lado este modelo não
previa a chegada ao mercado produtor de centenas de
milhões de pessoas que em consequência desejam
usufruir dos mesmos níveis de consumo que os seus
antigos colonizadores. Pior do que tudo isso este modelo
não foi criado para um mundo de telecomunicações
instantâneas e de opinião pública global.
Penso que todos têm consciência que nada vai voltar a
ser como dantes, como nos gloriosos anos 80 e 90 do
século passado. Uns acreditam que o sistema está apenas
a viver uma “gripe” saudável, que os suores frios fazem
parte do processo de cura e que os milhões de falidos e
desempregados são apenas “danos colaterais”, outros, no
extremo oposto, vêm já a alvorada de um maravilhoso
mundo verde, feito de cânticos de louvor à nova deusa
Terra, celebrada em festas à maneira da São Francisco
dos anos 60, com o “imagine” de Lennon em fundo.
Receio que não será bem assim. Parece-me bem
evidente que precisamos de um novo modelo de
desenvolvimento que seja sustentável, concebido para
responder às necessidades das pessoas, sem sobre
utilização de recursos ambientais e sem a necessidade de
crescimento de produção, ou seja, que tal como o
anterior foi excelente a produzir, esse novo modelo terá
de ser igualmente eficaz a distribuir, enquanto mantém a
anterior eficácia a produzir.
Se o anterior modelo é de alto consumo de energia e de
carbono, o próximo terá de ser de consumos reduzidos e
baseado mais em produtos da terra e mercadorias
virtuais do que em artefactos físicos. Chegou, para o
ambiente e para as TIs a hora da “Nuvem”
Estou a ver os leitores a sorrir perante a utopia e perante
a lonjura da possibilidade deste novo modelo. Mas não é
bem assim. Atente-se à atenção que a questão do estilo
de vida atraiu em muitas e insuspeitas entidades.
Por uma nova Sustentabilidade
31
Auditoria Interna - abril/junho 2012 - Nº 47
Simbolicamente a família Obama instalou uma horta na
Casa Branca. Paris expôs nos Campos Elísios milhares
de pequenas iniciativas rurais. Ministros optam por
vespas, a gravata perde adeptos, o biológico e o natural
crescem.
Mas tudo isso são apenas sinais. O verdadeiro motor
para um novo modelo de desenvolvimento é a
necessidade. Produzimos muito, seria de esperar que
trabalhássemos menos, por ser menos necessário
trabalhar para viver.
O absurdo é que quanto mais produzimos mais temos de
trabalhar, porque o atual sistema não sabe organizar-se
de outra forma.
Este absurdo terá mais tarde ou mais
cedo um desfecho lógico. Virá um novo
estilo de vida.
Com os olhos postos no futuro temos de continuar a
cuidar do presente. Temos de continuar a trabalhar pela
agenda básica (assim estamos entre nós) ou seja pela
recolha seletiva, pela reciclagem, contra a destruição dos
recursos florestais, pela eficaz gestão da água, pelas
energias renováveis, pela eficácia térmica das
construções, pela redução e tratamento dos efluentes,
etc., etc. Mas sabemos que esta é uma estratégia de
mitigação de impactes e que seremos inevitavelmente
derrotados pela pressão por mais empregos ou por mais
instalações industriais. Até porque o Ambiente e as
Gerações Futuras não têm assento na Concertação
Social.
Há uma enorme esperança nas mensagens que chegam
ao site da Conferência Rio+20. Só não será defraudada
se a nova Sustentabilidade responder também às
questões sociais. Como vamos dar às pessoas, a todas as
pessoas, condições de vida dignas? Como vamos
garantir paz, sustento, saúde, realização pessoal,
liberdade e continuidade a todas as comunidades
humanas no Planeta?
Quem o irá conseguir se os governos nacionais perdem
poder, os regionais são confusos e de vistas curtas e os
mundiais ainda não existem?
Se, como dizia Mário Soares, o século XX foi o século
do Povo, este talvez venha a ser o Século da Pessoa
Humana, sem distinção alguma.
São as Pessoas que podem formar as redes de
cooperação entre Partes Interessadas de que fala a
ISO 26000, se adotarem os perenes valores éticos que
ao longo da História se revelaram geradores de
comunidades humanas sustentáveis.
A nova Sustentabilidade é um pacto ético em que as
atuais pessoas, enquanto guardiãs e responsáveis
do Planeta que lhes foi legado, o administram para
obter o seu sustento e o enriquecem em recursos
naturais para o transmitir às novas gerações
melhorado!
Por uma nova Sustentabilidade
32
Auditoria Interna - abril/junho 2012 - Nº 47
Era uma vez um auditor que ousou provar
do seu próprio remédio…, Luís Fonseca
Grupo Auchan
Era uma vez um auditor que ousou provar do seu
próprio remédio…
Resolveu refletir sobre o que é ser auditor e como
resultado, assimilou a responsabilidade pedagógica e
curativa com que há de pautar as suas auditorias.
Certo dia, numa organização, um auditor no decorrer de
um trabalho, constatou determinada situação. Mais
tarde, num momento próprio, iniciou uma reflexão cujos
contornos não seriam mais do que uma auditoria a si
próprio…
Deu assim início a uma sequência de perguntas que fazia
a si mesmo, começando a sentir um crescente
desconforto por saber que a cada resposta, nova pergunta
seria colocada, porque no seu íntimo sabia que poderia
chegar a uma altura, em que lhe seria muito difícil
explicar-se, o último porquê…Estranha sensação de
masoquismo, submeter-se a si próprio a uma auditoria…
Voltando à constatação que motivou este exercício de
auto-reflexão, foi–se questionando: Porque é que ele fez
mal? Outras pessoas na mesma situação fariam o
mesmo? Se sim, não será o processo que está mal? Se o
processo está bem, foi por desconhecimento do
processo? Os que fariam o mesmo na mesma situação,
também o fariam assim, por desconhecerem o processo?
Afinal será o processo que está errado? Será um erro por
ausência ou insuficiência de formação sobre o processo?
Ou seria um erro por negligência ou desleixo da pessoa?
Em menos do que 5 segundos de reflexão, já havia
encontrado 3 alternativas para a causa da constatação…
Então pensou: qualquer que seja a causa, todas estas
situações devem ser prevenidas.
Quem exerce as mais variadas funções numa
organização, deve estar capacitado para fazê-lo, por isso
deve ter formação teórica e saber aplicá-la na prática, de
forma a conhecer o processo e tentar melhorá-lo todos
os dias. Só cumprindo estes requisitos que garantem as
condições mínimas para o normal exercício da função, é
que se pode responsabilizar ou, dar os parabéns, por
aquilo que se faz e que tem impacto na organização.
Continuando a perguntar-se: Se a causa for um processo
desajustado? A prática é diferente do que está previsto,
porque o que está previsto não tem aplicação prática?
Mas porque é que não a tem?
33
Auditoria Interna - abril/junho 2012 - Nº 47
Porque foi definido no papel sem ser testado na prática?
Porque se alteram as circunstâncias que tornaram o
processo obsoleto e com necessidade de atualização?
Tantos porquês…
Ou será que simplesmente a pessoa comete erros por
desleixo, ou por criatividade? Mas se é por criatividade
será um erro? Será que se reportar esta constatação não
estarei a ser um obstáculo para a melhoria continua?
Mas se for este o caso, o fazer diferente não deverá ter
que ser validado para se garantir o cumprimento de
todas as normas internas e externas dos vários domínios,
como as leis, requisitos de segurança de pessoas, de
bens, ambientais, etc.? Será que existe um processo pelo
qual é possível fazer sugestões, estas serem validadas,
trabalhadas e implementadas? Se este processo existir,
será que a pessoa o conhece e é motivada a usá-lo?
Terminada esta auto reflexão, concluímos que de facto,
para o auditor fazer uma recomendação eficaz, credível
e que acrescente valor, é necessário deixar o carimbo em
casa para não correr o risco de ser apenas mais um que
vai picando uma «checklist», e que no final, faz um
relatório que apenas reflete as não conformidades das
situações que encontrou.
O auditor deve refletir o quanto for necessário, para cada
situação merecedora de atenção, de forma a identificar
as verdadeiras causas das constatações e de facto
cumprir aquilo que lhe é mais exigido, defender os
interesses e a sustentabilidade da sua organização dando
prioridade à segurança das Pessoas, à visão Cliente, à
rentabilidade e à imagem da organização, assim como à
segurança dos bens e do património da mesma.
A verdade é que devemos trabalhar sempre as causas
porque somos sempre sujeitos às suas consequências, e
se ignorarmos as causas e nos cingirmos apenas às
consequências, procurando soluções para resolver
apenas estas, por muito boas que as soluções
encontradas sejam, serão sempre ineficazes porque as
causas mantêm-se.
Um processo pode ser alterado, mas se continuar
desajustado ou se existirem falhas na formação, o erro
vai persistir sempre.
A solução passa por formar, manter cada processo
atualizado e controlado de forma a identificarem-se
atempadamente as suas fragilidades e atuarmos sempre
de forma a proteger a organização, eliminando ou
reduzindo os riscos, cobrindo-os com seguros ou
partilhando-os, externalizando atividades, aceitando o
risco mas mantendo um controlo adequado, ou
principalmente evitando-o, atuando preventivamente,
por exemplo, reforçando a formação em cada uma das
funções, adquirindo competências mais atualizadas e
adaptadas, melhorando processos, implementando
tecnologias, reforçando o controlo que continua a ser a
melhor garantia para se mitigarem os riscos e se
atingirem os resultados pretendidos. Uma forte e
contínua cultura de controlo e atitude pragmática para
além de serem alicerces da eficácia, funcionam também
como dissuasores de atitudes ilícitas.
Um auditor é um médico de organizações, coloca
questões que permitem obter diagnósticos responsáveis,
cujas recomendações tenham o poder de fazer corrigir
situações não conformes, ou possam influenciar
oportunidades de melhoria, principalmente através da
partilha de boas práticas.
Era uma vez um auditor que ousou provar do seu próprio remédio
34
Auditoria Interna - abril/junho 2012 - Nº 47
Tal como o médico certifica que o paciente se encontra
bem, ou prescreve medicamentos e tratamentos para o
paciente melhorar, assim o auditor recomenda correções
e contribui para a melhoria contínua das áreas auditadas.
Tal como se pretende que todos os médicos prescrevam
os mesmos medicamentos e tratamentos para
determinada situação, assim se pretende que todos os
auditores capacitados para auditar determinado domínio,
façam diagnósticos e recomendações similares. Esta
situação jamais deve ser confundida com um carimbo,
mas deve identificar a consonância dos mesmos
princípios de reflexão e perseguição da melhoria
contínua.
Um auditor é um privilegiado recipiente de
conhecimento, ele tem uma visão global e integrada da
organização, ele adquire experiências e conhecimentos
sempre que se disponibiliza a isso, sempre que ouve
mais do que fala, sempre que reflete mais do que
recomenda, sempre que as suas recomendações são mais
ajustadas do que as de tamanho único, isto é, devem ter
em conta a relação custo da implementação/ benefício a
adquirir. Com efeito, as recomendações muitas vezes são
ótimas mas de difícil implementação, implicando
investimentos desmedidos, que pretendem prevenir uma
situação cuja probabilidade de acontecer é muito baixa.
Existem contudo, dois domínios em que deve existir
total intransigência da parte dos auditores: a segurança
de pessoas e o cumprimento da legislação em vigor.
Por outro lado, as recomendações devem ser sempre
exequíveis, mesmo contendo em si riscos que merecerão
tanto controlo quanto for necessário, assim como planos
de contingência prontos a serem implementados.
A imprevisibilidade que já há algum tempo nos tem
obrigado a redobradas atenções sobre as adaptações
estruturais e processuais necessárias, que todos os dias
são trabalhadas para manter as organizações
competitivas e rentáveis, obriga a uma atualização
constante das cartas de risco porque estas medidas por
um lado minimizam os riscos, e por outro lado dão
origem a novos riscos.
Os riscos devem ser sujeitos a uma avaliação
quantitativa (mais objetiva) e também qualitativa. Os
riscos são dinâmicos, o seu grau varia ao longo do
tempo, aumenta ou diminui dependendo de
circunstâncias atuais ou previsionais, e das medidas que
se tomam, que devem tender para os controlarem e
minimizarem.
De acordo com o nível de risco, devem ser tomadas
decisões sobre cada um dos seus impactos.
“A auditoria não pretende ser um travão na organização,
um dos seus principais objetivos, é que a organização
ande cada vez mais depressa, em segurança.”
Estes serão certamente alguns dos muitos passos que se
devem dar, para chegarmos ao fim do dia mais
descansados e com o sentimento do dever cumprido.
Afinal, por definição do IIA, a auditoria interna é uma
atividade independente, de garantia e de consultoria,
destinada a acrescentar valor e a melhorar as
operações de uma organização. Ajuda a organização a
alcançar os seus objetivos, através de uma abordagem
sistemática e disciplinada, na avaliação e melhoria da
eficácia dos processos de gestão de risco, de controlo e
de governação.
Era uma vez um auditor que ousou provar do seu próprio remédio
35
Auditoria Interna - abril/junho 2012 - Nº 47
Dez dicas para apanhar mentiras nos depoimentos, Debora
Calhau Alves
Inspectora - Banco Espírito Santo
Tradução do artigo: The 10 Tell-Tale Signs of Deception, Paul M. Clikeman, Dr., CFE,
Professor associado na Escola de Negócios na Universidade de Richmond
Suspeitos e testemunhas muitas vezes dizem mais do
que o que querem pela sua escolha de palavras. Seguem-
se algumas formas de detectar possíveis mentiras em
depoimentos escritos e orais.
Exemplo:
Um gerente de um restaurante de fast-food liga para a
polícia de madrugada e reporta que um ladrão armado
entrou no restaurante, enquanto o gerente estava sozinho
no escritório a terminar algum trabalho administrativo.
O gerente afirma que o ladrão roubou todas as receitas
do dia – um pouco mais de € 4 000,00.
O Gerente já havia reportado um assalto similar 6 meses
antes. Não houve testemunhas em nenhum dos assaltos.
O dono do restaurante foi informado pela polícia local
que os assaltos à mão armada são incomuns na
vizinhança.
Além disso, o dono também sabe que o vencimento do
gerente se encontra penhorado para pagamento de uma
pensão de alimentos. O dono do restaurante contrata-o a
si, como inspetor de fraude, para investigar se o gerente
tem feito queixas falsas à polícia para esconder os seus
próprios roubos.
E você começa a investigação por pedir um depoimento
escrito ao empregado daquilo que aconteceu naquelas
noites.
Detectando anomalias.
A análise da linguagem dos textos envolve o estudo da
linguagem, da gramática e da sintaxe que o sujeito usa
para descrever um acontecimento, permitindo assim
detectar quaisquer anomalias. Inspetores experientes
estão habituados a estudar o comportamento não-verbal
dos entrevistados, assim como o contacto visual e os
movimentos das mãos. Por outro lado, a análise de
textos considera apenas o comportamento verbal do
sujeito, quer nos depoimentos escritos, quer nos orais.
De facto, muitos investigadores preferem analisar os
depoimentos escritos para tentar detectar sinais de
mentira antes de conduzir as entrevistas face a face.
A análise de textos é baseada em estudos efectuados nos
anos 70 em que psicólogos e linguistas estudaram a
linguagem e a escolha de palavras de indivíduos, em
experiências controladas, e encontraram diferenças
previsíveis entre depoimentos verdadeiros e falsos.
Susan Adams, professora de análise de texto na
Academia do FBI por muitos anos descreve este
processo como tendo duas fases. Primeiro os
investigadores determinam o que são declarações
tipicamente verdadeiras. Depois, procuram os desvios a
essas normas.
De seguida, descrevem-se alguns desvios que podem
sugerir que o inquirido poderá estar a reter, a alterar ou a
fabricar informação.
36
Auditoria Interna - abril/junho 2012 - Nº 47
Dez sinais de mentira
1. Não uso do pronome pessoal
Pessoas verdadeiras usam frequentemente o pronome
pessoal ‘Eu’ para descrever as suas acções: ‘ Eu cheguei
a casa às 6.30h. O telefone estava a tocar quando eu
estava a abrir a porta, por isso eu fui diretamente para
a cozinha para o atender. Eu falei com a minha mãe
cerca de 10 minutos antes de notar que a minha
televisão e o meu computador tinham desaparecido da
sala de estar.’ Este breve depoimento contém o pronome
pessoal ‘Eu’ quatro vezes em três sentenças.
Pessoas mentirosas, em regra, usam linguagem que
minimiza as referências a si próprio. Uma forma de fazer
isso é por descrever os eventos no pretérito passado.
- ‘O cofre foi deixado destrancado’ em vez de ‘ Eu
deixei o cofre destrancado’.
- ‘O envio foi autorizado’ em vez de ‘Eu autorizei o
envio’.
Outra forma de reduzir a auto referência é por substituir
o pronome ‘Eu’ por ‘Tu’/’Você’/’O Senhor(a)’:
Pergunta: ‘Pode descrever-me como faz a reconciliação
bancária?
Resposta: ‘Você sabe, você tenta identificar todos os
cheques e depósitos em trânsito e conferir as diferenças,
mas, às vezes, quando você está muito ocupado, você
simplesmente coloca as diferenças numa conta em
suspenso’.
Nos depoimentos orais e nos depoimentos escritos
informais, testemunhas enganadoras, algumas vezes,
simplesmente omitem os pronomes pessoais. Veja este
depoimento feito por um marido que afirma que a sua
esposa foi morta acidentalmente: ‘Eu agarrei na arma
para a limpar. Passou para a mão esquerda para poder
agarrar o pano. Aí algo carregou no gatilho. A arma
disparou e atingiu a minha mulher.’ O marido reconhece
na primeira sentença que ele agarrou na arma. Mas a
segunda sentença está gramaticalmente incompleta. O
‘Eu’ foi estrategicamente retirado do início da frase. Na
terceira sentença, ‘algo’ substitui ‘Eu’ carreguei no
gatilho. A frase também tem poucos pronomes
possessivos. O individuo refere ‘a arma’ e ‘a mão
esquerda’ em vez de ‘a minha arma’ ou a ‘minha mão
esquerda’.
2. Tempo dos verbos.
Pessoas verazes normalmente descrevem os eventos
históricos no passado. Um mentiroso refere-se a
acontecimentos passados como se estes estivessem a
ocorrer no presente. Descrever eventos passados usando
os tempos dos verbos no presente sugere que os
inquiridos estão a ensaiar os acontecimentos na sua
mente. Os investigadores devem estar particularmente
atentos a aspectos na narrativa em que o inquirido usa
em demasia verbos no presente. Analise o seguinte
depoimento, feito por um empregado que afirma que
uma bolsa contendo € 6 000,00 foi roubada antes de ele
a ter conseguido depositar no Banco (assinalei algumas
palavras):
‘Depois de fechar a loja, eu pus a bolsa com o dinheiro
dentro do meu carro e conduzi até ao edifício do Banco
Olympia em Elm Street. Estava a chover
torrencialmente, por isso, tive que conduzir bem
devagar. Entrei no parque de estacionamento e conduzi
até ao cofre de depósito noturno. Quando parei o carro,
e baixei o vidro da janela, um individuo salta dos
arbustos e grita-me. Eu consigo ver que ele tem uma
arma. Ele agarra na bolsa com o dinheiro e foge! A
última vez que o vi ele ia a descer para sul na Elm
Street. Depois de ter desaparecido, eu chamei a polícia
no meu telemóvel e reportei o assalto’.
As primeiras três sentenças descrevem o que o
empregado fez até chegar ao Banco utilizando tempos
verbais no passado. Mas, as seguintes três sentenças
descrevem o suposto assalto no presente.
Dez dicas para apanhar mentiras nos depoimentos
37
Auditoria Interna - abril/junho 2012 - Nº 47
Um inspetor alerta deverá desconfiar que foi o próprio
empregado que roubou o dinheiro da caixa desse dia e
que, depois, se dirigiu ao parque de estacionamento do
Banco e aí chamou a polícia apresentando queixa do
falso assalto.
3. Responder a perguntas com perguntas.
Até os mentirosos preferem não mentir. Demasiadas
mentiras criam o risco de serem apanhados. Assim, antes
de responder a uma pergunta com uma mentira, um
inquirido que queira engana, normalmente, tentará evitar
responder de todo. Uma forma típica de contornar as
questões é por responder fazendo outra pergunta. Os
investigadores deverão estar alertas para respostas tais
como:
-‘Porque haveria eu de roubar o meu próprio
irmão?’
-‘Mas eu pareço-lhe o tipo de pessoa capaz de fazer
uma coisa dessas?’
-‘Não acha que era preciso ser muito estúpido para
retirar dinheiro da minha própria caixa
registadora?’
4. Equívocos.
Um inquirido mentiroso evita as perguntas do
entrevistador por preencher as suas afirmações com
expressões dúbias, adjetivos desnecessários e abstractos
e expressões vagas. Um inspetor deverá estar alerta para
palavras tais como: ‘penso’, ‘acho’, ‘parece’, ‘um tipo
de’, ‘talvez’, ‘poderá’, ‘aproximadamente’, ‘à volta
disso’, etc. Depoimentos vagos e expressões de incerteza
permitem que um mentiroso possa, mais tarde, alterar ou
‘esclarecer’ as suas afirmações de uma forma que não
contradiga as declarações iniciais.
Verbos evasivos são: pensar, acreditar, imaginar, supor,
crer, assumir. Adjetivos equívocos e advérbios são: ‘um
tipo de’, ‘quase’, ‘principalmente’, ‘talvez’, ‘poderá’.
Expressões qualificadoras são: ‘mais ou menos’; ‘poder-
se-á dizer isso’.
5. Juramentos.
Apesar de os indivíduos mentirosos preferirem dar o
mínimo de informações úteis possíveis, eles tentam
convencer de forma veemente os seus ouvintes de que
falam a verdade. Por isso, usam frequentemente juras
para fazer os seus depoimentos parecerem mais
convincentes. Tendencialmente, um sujeito que queira
enganar alguém usa mais os juramentos do que alguém
que fale a verdade. Usará expressões tais como: ‘Eu
juro’, ‘por minha honra’, ‘Deus é minha testemunha’ ou
‘pela saúde dos meus filhos’. Testemunhas verídicas
confiam que os factos atestem a veracidade das suas
declarações e não sentem necessidade de suportá-las em
juras e promessas.
6. Eufemismos.
A maioria das línguas tem mais do que um termo para a
mesma situação ou para o mesmo facto. Depoimentos
feitos por pessoas culpadas, em regra, incluem palavras
vagas e dúbias em vez de outros sinónimos mais claros e
explícitos. Os eufemismos caracterizam o
comportamento do sujeito de um ponto de vista mais
favorável e minimizam os danos que tal ação possa ter
causado. Um inspetor deverá estar atento a eufemismos
tais como: ‘desaparecido’ em vez de ‘roubado’, ‘tomei
de empréstimo’ em vez de ‘tirei’, ‘fui de encontro a’ em
vez de ‘empurrei’ e ‘’avisei’ em vez de ‘ameacei’.
7. Aludir a acções.
Os inquiridos, por vezes, fazem alusão a acções sem
dizer diretamente que as fizeram de facto. Considere o
seguinte depoimento de uma empregada que foi
questionada acerca da perda de alguns dados
informáticos de valor:
‘Eu tento fazer um ‘back-up’ no meu computador e
guardar os meus papéis todas as noites antes de sair.
Dez dicas para apanhar mentiras nos depoimentos
38
Auditoria Interna - abril/junho 2012 - Nº 47
Na última terça-feira, decidi copiar os meus ficheiros
para a rede e colocar os meus papéis em ordem na
minha gaveta da secretária. Também precisei de fechar
a lista de clientes dentro do cofre do escritório.’
Será que a empregada fez efetivamente o ‘‘back-up’ no
computador? Será que copiou os seus ficheiros para a
drive da rede? Terá guardado os papéis na gaveta da
secretária? Trancou a lista dos clientes no cofre? A
empregada fez alusão a todas essas acções mas nunca
disse claramente que ela completou cada uma delas. Um
investigador atento não deverá assumir que um inquirido
tenha feito, efetivamente, todas as acções a que se refere.
8. Falta de detalhe.
Declarações verazes normalmente contêm detalhes
específicos, alguns dos quais podem até nem ser
relevantes para a questão em causa. Isso acontece porque
o sujeito poderá estar a tentar recordar-se de eventos que
aconteceram há muito tempo, e a nossa mente guarda
dezenas de factos acerca de cada experiência vivida – os
sapatos novos que estávamos a usar naquele dia, a
música de fundo que estava a tocar, a senhora que estava
na mesa ao lado e que nos fazia lembrar a professora da
primária ou a conversa que interrompemos quando o
alarme de fogo começou a tocar. Pelo menos alguns
destes detalhes aparecerá num depoimento verídico.
Contudo, alguém que fabrique uma história, tentará
manter o seu depoimento simples e breve. Poucos
mentirosos conseguem ter imaginação suficiente para
inventar descrições detalhadas ou eventos fictícios. Além
disso, um enganador quer minimizar o risco de ser
apanhado em contradição; quanto menos factos possam
ser provados como falsos, melhor.
Uma narrativa equilibrada.
Uma narrativa é composta de três partes: o prólogo, a
questão principal e o epílogo. O prólogo contém
informação do contexto e descreve eventos que tiveram
lugar antes da ação principal. A questão principal é o
aspecto mais importante da narrativa. O epílogo
descreve o que aconteceu depois dos eventos principais.
Numa narrativa completa e veraz, o prólogo corresponde
a 20%/25% da mesma, os eventos principais ocuparão
40% a 60% daquela e ao epílogo corresponderão 25% a
35% da descrição. Se uma parte da narrativa for
substancialmente menor que o esperado, isso poderá
significar que foi omitida informação importante. Se
uma parte da narrativa for substancialmente maior que o
esperado, isso poderá significar que foi ‘enriquecida’
com informação falsa.
As seguintes declarações numa reclamação de seguros
são suspeitas:
‘Eu ia a conduzir a este da Elm Street cerca das 16,00h
na terça-feira. Ia a caminho de casa vinda do
Supermercado A&P. O sinal no cruzamento da Elm com
a Patterson Street estava vermelho, por isso tive que
parar completamente. Depois do sinal ficar verde eu
avancei lentamente para o cruzamento. De repente, um
automóvel chocou no meu. O outro condutor não parou,
por isso conduzi para casa e telefonei ao meu agente de
seguros’.
As declarações do sujeito contêm quatro sentenças no
prólogo, apenas uma para descrever os factos principais
e também só uma no epílogo. No prólogo contém muitos
detalhes credíveis: o dia e a hora do acidente, o destino
do condutor e a localização do acidente. Mas a descrição
do acontecimento principal, o alegado acidente, é
suspeitamente curta. O reclamante não descreve o outro
veículo, de que direção vinha, quão depressa vinha, se o
outro condutor chegou a travar para evitar o acidente ou
como é os dois veículos chocaram.
O epílogo é igualmente mais curto do que seria de
esperar num depoimento completo e verdadeiro de um
acidente entre dois automóveis.
Dez dicas para apanhar mentiras nos depoimentos
39
Auditoria Interna - abril/junho 2012 - Nº 47
O reclamante não diz em que direção é que o outro
condutor fugiu, não refere se o reclamante saiu do carro
para ver qual era o prejuízo nem diz se este falou com
alguma testemunha no local. A Companhia de Seguros,
neste caso, seria sábia se investigasse o dono da apólice
para perceber se este não teria apresentado este falso
relato de fuga do local de acidente para pagar as
despesas do arranjo do seu carro pela sua própria
condução negligente.
9. Número médio de palavras.
O número médio de palavras por sentença é traduzida na
equação ‘Expressão média do cumprimento’ (EMC)
(‘Mean length of utterance’ – MLU no original). A EMC
é igual ao número total de palavras numa sentença a
dividir pelo número de sentenças:
A maioria das pessoas tendencialmente usa sentenças
com 10 a 15 palavras (ACFE, ‘Analyzing Written
Statements for Deception and Fraud’’). Quando as
pessoas se sentem ansiosas em relação a certo assunto,
tendem a utilizar sentenças significativamente mais
curtas ou mais compridas que o normal.
Os investigadores devem prestar particular atenção,
então, ao EMC do inquirido.
Palavras reveladoras.
As descrições de acontecimentos reais são normalmente
feitas utilizando o tempo verbal no passado e são
tendencialmente equilibradas na sua narrativa.
Geralmente, declarações verídicas, contém diversos
pronomes pessoais e incluem alguns detalhes
aparentemente sem importância. Raramente contém
juramentos, equívocos ou eufemismos. Um inspetor
deverá ter especial atenção a depoimentos orais ou
escritos que se desviem destas normas. Suspeitos e
testemunhas revelam mais do que pretendem através da
sua escolha de palavras.
Nota: Paul M. Clikeman, Dr., CFE Professor
associado na Escola de Negócios na Universidade de
Richmond
Excerto do livro ‘Analyzing Written Statements for
Deception and Fraud’, por Don Rabon, CFE: ‘Truques
com a Semântica’.
Pode acontecer que venha a ‘herdar’ um processo que
outro colega seu tenha iniciado. Para além dos
documentos financeiros, tudo o que tem são os
depoimentos escritos das testemunhas e dos suspeitos.
Poderá retirar informação útil apenas a partir do tipo de
palavras usadas, para detectar tentativas de evasão, falta
de cooperação ou tentativa de enganar? Sim, pode!
A semântica está relacionada com os significados das
palavras ou com a forma como estas se combinam entre
si para formar determinado sentido numa frase. Por
exemplo, o substantivo ‘pedra’ pode significar uma
rocha ou ser usado para descrever a consequência do uso
de uma droga (‘ele está cá com uma pedra’) ou até para
descrever um tipo de comportamento numa festa (‘que
pedra’).
Sempre que tiver que interpretar as palavras de alguém –
durante uma conversa ou no âmbito dos seus deveres
profissionais – estará a praticar a semântica.
Nota: Artigo original em inglês publicado no site da ACFE
http://www.acfe.com/article.aspx?id=4294971184
Dez dicas para apanhar mentiras nos depoimentos
40
Auditoria Interna - abril/junho 2012 - Nº 47
II Fórum dos Auditores Internos da Saúde
41
Auditoria Interna - abril/junho 2012 - Nº 47
A importância da Auditoria Interna no setor da saúde e o
posicionamento dos diferentes atores, Ana Mafalda Costa,
Andreia Toga Machado, Sofia Pires, Sónia Cruz, Francisco Melo Albino
Decorreu no passado dia 30 de Maio, em Coimbra, o II Fórum dos Auditores Internos da Saúde,
subordinado ao tema “A Importância da Auditoria Interna no Setor da Saúde e o Posicionamento dos
Diferentes Atores”. O evento decorreu nas instalações do ISCAC – Instituto Superior de Contabilidade e
Administração de Coimbra, entidade com quem o IPAI tem um protocolo de colaboração.
Decorreu no passado dia 30 de Maio, em Coimbra, o II
Fórum dos Auditores Internos da Saúde, subordinado ao
tema “A Importância da Auditoria Interna no Setor da
Saúde e o Posicionamento dos Diferentes Atores”. O
evento decorreu nas instalações do ISCAC – Instituto
Superior de Contabilidade e Administração de Coimbra,
entidade com quem o IPAI tem um protocolo de
colaboração.
Os objetivos fixados pela Comissão Organizadora para
este II Fórum de Auditores Internos do Setor da Saúde,
foram os seguintes:
Promover a comunicação dos auditores internos
do setor;
Promover a função da auditoria junto dos diversos
atores do setor;
Partilhar experiências de auditoria interna entre
vários profissionais do setor.
Com este objetivo construi-se um programa que contou
com a participação como oradores de alguns dos
principais atores do sector, entre os quais destacamos a
ACSS – Administração Central do Sistema de Saúde, a
IGAS – Inspeção-Geral das Atividades em Saúde, um
gestor hospitalar e ex-Presidente do Conselho de
Administração de uma instituição hospitalar de Lisboa, e
um Revisor Oficial de Contas e Fiscal Único de uma
instituição hospitalar.
Participaram ainda como oradores 3 auditores internos
de diferentes hospitais públicos e o auditor interno de
um grupo privado de saúde.
A sessão contou ainda com a participação da RISI, uma
empresa que desenvolveu um software para auditoria
interna na área da saúde e uma intervenção do IPAI,
sobre novas metodologias difundidas pelo IIA
relativamente à auditoria do ambiente de controlo das
organizações, uma das 5 componentes dos sistemas de
controlo interno, segundo a abordagem COSO.
No início da manhã, o Prof. Doutor José Carvalho das
Neves, Presidente da ACSS apresentou o tema: “O
impacto da gestão do risco na melhoria do controlo
de gestão e da performance”. Na sua apresentação
referiu o ciclo de gestão da performance que principia na
missão do hospital, passando pelas estratégias deste, até
à definição de indicadores de performance adequados a
uma correta avaliação dos processos e dos resultados.
Referiu alguns erros que por vezes se cometem na
criação e utilização destes indicadores.
Discutiu os vários conceitos de controlo de gestão,
referindo que os principais responsáveis pela instituição
utilizam essas metodologias para procurar que os
objetivos sejam atingidos eficiente e eficazmente, e
aumentar a probabilidade de que os atores
organizacionais se comportam de forma consistente com
os objetivos definidos para o SNS.
Quanto à avaliação e gestão de risco demonstrou que o
controlo de gestão e a gestão de risco constituem uma
alavanca da qualidade para atingir os objetivos da
organização, através da avaliação de performance e dos
procedimentos de controlo interno.
42
Auditoria Interna - abril/junho 2012 - Nº 47
Apresentou também alguns dos projetos da ACSS neste
campo, referindo a utilização de ferramentas de
benchmarking de hospitais e de outras instituições
prestadoras de cuidados de saúde e com indicadores de
performance ajustados ao risco.
O Prof. Rodrigo de Carvalho, ROC e Professor no
ISCAP, apresentou o tema “Interligação do trabalho
desenvolvido pelo Fiscal Único/ROC e pelos
auditores internos”. Demonstrou, com a apresentação
dos diferentes pontos fortes da auditoria externa e da
auditoria interna, que a interligação das duas atividades
aumenta o nível de controlo interno das organizações.
Elencou ainda as normas internacionais que orientam as
relações entre os auditores externos e internos, referindo
as normas da IFAC que tratam da utilização pelos
auditores financeiros do trabalho dos auditores internos
e também as normas correspondentes do IIA sobre a
necessidade de coordenação da auditoria interna com
outros fornecedores de serviços de garantia
(“assurance”), sobre o controlo interno, a gestão do risco
e a governação das organizações.
O Prof. Doutor Jorge Branco, do Centro Hospitalar
Lisboa Central, e ex-Presidente do Conselho de
Administração da Maternidade Alfredo da Costa,
partilhou com todos os presentes a sua apresentação
sobre “A importância da auditoria para a gestão
hospitalar”. Fazendo apelo à sua vasta experiência
como gestor de instituições de saúde, elencou a
importância que a auditoria interna tem dentro deste tipo
de organizações, referindo que, pelo seu trabalho
metódico, disciplinado e sistemático, o auditor interno é
um elemento de conforto para a gestão das instituições,
podendo ser considerado como o melhor companheiro
de qualquer Conselho de Administração.
O Dr. José Martins Coelho, Subinspetor – Geral da
Inspeção Geral das Atividades em Saúde (IGAS)
apresentou uma comunicação sobre “A Atividade de
auditoria da IGAS prevista para 2012 e a relação da
IGAS com os auditores internos das instituições
hospitalares”.
Começou por apresentar o Plano de Auditoria para 2012
da IGAS. Alertou de seguida todos os presentes para as
recentes alterações legislativas, nomeadamente a recente
criação da Autoridade de Controlo Interno do Ministério
da Saúde, constituída por altos dirigentes do Ministério,
e coordenada pela IGAS, a qual contará com a
experiência dos auditores internos dos diversos
estabelecimentos de prestação de cuidados de saúde.
Este grupo de trabalho reportará diretamente ao Ministro
da Saúde e definirá objetivos de controlo a curto, médio
e longo prazo, acompanhará os resultados desses
controlos, propondo as medidas que considere
adequadas e imprescindíveis ao cumprimento dos
objetivos definidos.
No início da segunda parte do evento, o Eng.º Joaquim
Correia, Gerente da RISI – Recursos, Ideias e Soluções
Informáticas, apresentou o software “HAS – Health
Audit System”, que consiste numa ferramenta de apoio
à auditoria interna em ambiente hospitalar. O objetivo
deste software consiste na disponibilização e utilização
das metodologias de auditoria interna definidas por
autores consagrados da área, e tendo por base as
Orientações Internacionais para a Prática Profissional de
Auditoria Interna, emitidas pelo IIA, e também os
Manuais de Auditoria Interna produzidos pela ACSS,
permitindo desta forma standardizar os processos e
procedimentos de auditoria interna no setor da saúde e
produzir ganhos de eficácia, eficiência e economicidade
no exercício da atividade no setor.
Seguiu-se a apresentação de três casos práticos de
auditoria interna por colegas Auditoras Internas de 3
unidades de cuidados de saúde.
A Dra. Rita Moutinho, do Centro Hospitalar Tâmega e
Sousa, apresentou a sua experiência na “Implementação
da Gestão de Risco no CHTS, EPE”.
Tratou-se de uma apresentação diferente, que veio
demonstrar o início de uma Auditoria Interna partindo da
Gestão de Risco. Explicou como a sua abordagem e a da
organização em que trabalha teve início com a
identificação dos “riscos de corrupção e infrações
conexas”, decorrentes de um inquérito lançado pelo
Conselho de Prevenção da Corrupção. Essa abordagem
evoluiu depois para a identificação das áreas suscetíveis
de risco.
II Fórum dos Auditores Internos da Saúde - II FAIS 2012
43
Auditoria Interna - abril/junho 2012 - Nº 47
Avaliado o risco, identificaram as medidas preventivas
adotadas ou a adotar, e vão acompanhando, reavaliando
e atualizando o Plano de Gestão de Risco. Foi também
referida a elaboração, em auditorias anteriores, de quatro
matrizes de gestão de risco (relativas aos processos de
gestão de imobilizado, gestão de faturação e cobranças,
gestão de admissão de doentes e gestão de existências).
Para o Plano de Gestão de Risco foram ainda elaboradas
outras matrizes de gestão de risco (relativas aos
processos de gestão de compras, gestão de instalações e
equipamentos e gestão de RH). Concluiu lembrando que
se gerem riscos para melhor se alcançarem os objectivos
da organização. Salientou ainda o facto, infelizmente
não muito frequente, de poder contar com o apoio do
Conselho de Administração do seu hospital.
A Dra. Joana Vacas de Carvalho, da Unidade Local da
Saúde do Baixo Alentejo, apresentou um caso particular
não abrangido pelas áreas definidas pelos Manuais de
Auditoria Interna da ACSS, mas que representa uma
área muito sensível no ambiente hospitalar. A sua
apresentação focou, assim, o tema “Diversas Auditorias
no Âmbito do Serviço Social”. Explicou como o seu
âmbito é vastíssimo, o que a levou, já no processo de
execução da auditoria, a ter que redefinir o planeamento
dos trabalhos, limitando o âmbito da auditoria. Seguiu
assim o chamado “princípio do funil”, partindo de uma
vasta área, identificando as subáreas de maior risco,
reduzindo o âmbito do trabalho, concentrando depois o
seu novo planeamento nestas áreas, e assim iniciar a
auditoria.
No relatório final da auditoria ao Serviço Social,
concluiu-se pela necessidade de elaborar um manual de
procedimentos e que as rubricas de transporte de doentes
e ajudas técnicas eram as mais críticas em termos de
montantes de despesa.
A Dra. Cristina Pereira, do Hospital Santa Maria Maior,
trouxe um exemplo de “Auditoria à Gestão de
Consignados”. Trata-se de uma área com que muitos
auditores internos hospitalares já se confrontaram. È
nomeadamente o caso das próteses ortopédicas
adquiridas à consignação e cujo serviço receptor é o
Bloco Operatório de um Hospital e não o Serviço de
Aprovisionamento. Estes materiais têm caraterísticas
muito específicas, não são propriedade do hospital nem
fazem parte dos seus stocks, geram custos elevados e só
são pagos se forem utilizados, nas intervenções
cirúrgicas.
A colega apresentou os objetivos da auditoria, o
programa de trabalho, os riscos desta área, as
observações que resultaram do trabalho de campo e da
análise posterior e as suas recomendações. De entre as
recomendações apresentadas sublinhou a necessidade de
implementação de rígidos controlos no uso destes
materiais e nos respetivos movimentos, fluxos físicos e
inventário, dado o seu elevado custo e a dificuldade de
confirmação da sua existência e uso efetivo.
O “Enquadramento da Direção de Auditoria Interna
no Grupo José de Mello Saúde” foi depois apresentado
pelo Dr. Luís Lee. Na sua apresentação caraterizou o
Grupo José de Mello Saúde (GJMS) que gere 12
unidades de saúde, com cerca de 1300 camas e com
mais de 5700 colaboradores. Referiu, nomeadamente, o
Hospital de Braga, o de Vila Franca de Xira, Hospitais
CUF, Instituto CUF, Clínicas CUF e Domuscare.
A Direção de Auditoria Interna (DAI), foi criada em
Janeiro de 2012, na dependência direta do Presidente da
Comissão Executiva, com quem reúne semanalmente. O
seu âmbito de intervenção é o das funções corporativas e
das unidades quer privadas, quer em parcerias público-
privadas. A DAI apoia a organização na identificação e
avaliação às exposições significativas ao risco, no
estabelecimento de controlos efetivos, e propõe
recomendações para a melhoria contínua dos processos e
operações.
Definiram desafios, nomeadamente assegurar a
sustentabilidade da DAI no GJMS, em que a cultura de
controlo interno possibilite ao Grupo atingir os objetivos
através de uma abordagem sistemática e disciplinada, de
forma a avaliar e melhorar a eficácia da gestão de
problemas/ riscos, sendo fundamental que todos os
intervenientes entendam o impacto das suas atividades
nos processos de negócio.
II Fórum dos Auditores Internos da Saúde - II FAIS 2012
44
Auditoria Interna - abril/junho 2012 - Nº 47
Para além dessa cultura de controlo interno, entenderam
seguir uma abordagem faseada, onde cada fase requer
como input o resultado da fase anterior. É um processo
iterativo e contínuo, com uma base de melhoria
continua. O segundo desafio é a dicotomia “auditor”
versus “consultor”. O terceiro e último desafio, é a
Gestão de Risco.
O Dr. Francisco Albino, Vice-Presidente do IPAI,
divulgou um recente “Practice Guide” do IIA, que tem
por objetivo reforçar a cultura de controlo interno das
organizações. Trata-se de, utilizando a metodologia
COSO – Internal Control – An Integrated Framework,
analisar as suas 5 componentes e desenvolver programas
de auditoria especificamente para a sua componente de
base, a saber “o ambiente de controlo”. Referiu como o
ambiente de controlo proporciona a disciplina e a
estrutura necessárias para o alcance dos objetivos
primordiais do sistema de controlo interno. Elencou os
seguintes 6 elementos desse ambiente de controlo:
1.Integridade e valores éticos; 2.Filosofia e estilo de
liderança; 3.Estrutura orgânica; 4.Delegação de
autoridade e responsabilidade; 5.Políticas e práticas de
recursos humanos e 6.Competência do pessoal.
Recordou que, conforme refere o IIA, o ambiente de
controlo é a fundação sobre a qual um eficaz sistema de
controlo interno é construído e opera numa organização.
Portanto, para uma auditoria ao ambiente de controlo é
fundamental conseguir identificar e avaliar os riscos de
falha em cada um dos seis elementos do ambiente de
controlo acima identificados. E lembrou ainda que, se
não auditarmos a componente “ambiente de controlo”
das nossas organizações, não estaremos em rigor, a
auditar e avaliar o seu sistema de controlo interno,
conforme é nossa obrigação profissional.
Como conclusões gerais do evento, pudemos retirar as
seguintes:
Tratou-se de uma segunda edição do evento
realizado pela primeira vez em Outubro de 2010;
Este II Fórum foi mais diretamente focado na
auditoria interna e nos profissionais de auditoria
interna;
A auditoria interna requer espírito crítico nas suas
análises;
Há necessidade de partilha de informação entre a
auditoria interna e a externa;
A auditoria interna é uma ferramenta fundamental
de apoio à gestão;
A relevância da atividade de auditoria interna e a
sua articulação com os diversos atores do sistema
de controlo interno do MS;
As dificuldades e oportunidades de um efetivo
desempenho da auditoria interna na saúde são as
mesmas no setor público e no setor privado;
A importância do estudo e aplicação das normas
profissionais do IIA para o desempenho da
profissão de auditoria interna.
O IPAI, como difusor de boas práticas de auditoria
interna, deve promover o progresso da profissão,
através da partilha de experiências entre auditores
internos e pela dinamização do Grupo de
Auditores Internos da Saúde.
Os participantes do Fórum foram também convidados,
pela comissão organizadora, a responderem a um
questionário de satisfação, apresentando também a sua
visão sobre os pontos mais fracos e mais fortes do
evento, para aperfeiçoamento de futuras iniciativas.
No Fórum estiveram presentes 54 participantes. Destes, 11 eram oradores e/ou membros da comissão organizadora e 2
eram membros de Conselhos de Administração de Hospitais. Dos restantes 41 participantes recebemos 40 respostas ao
questionário, verificando-se que, desses, 37 eram efetivamente auditores da saúde.
II Fórum dos Auditores Internos da Saúde - II FAIS 2012
45
Auditoria Interna - abril/junho 2012 - Nº 47
Numa escala de 1 (Mau) a 5 (Muito bom), a análise das respostas revelou a distribuição que se apresenta no gráfico e que
consideramos muito positiva.
Dos comentários/sugestões constantes das respostas ao questionário recebidas, salientam-se as seguintes:
Manutenção deste evento no futuro;
Eventualidade de existirem encontros para partilha de experiências a um nível mais restrito, de cariz
regional, por exemplo;
Incidência nos casos práticos no âmbito de auditorias da saúde para partilhar e discutir;
Desenvolvimento da articulação entre os diversos atores da saúde e os auditores internos;
Um maior envolvimento nestes eventos das entidades reguladoras, ou com funções de supervisão,
nomeadamente da ACSS, IGAS e IGF.
O evento foi encerrado pela colega Andreia Machado, em nome da comissão organizadora, que agradeceu ao IPAI pela
promoção do Fórum, aos oradores pela participação no mesmo, aos patrocinadores RISI e ISCAC e a todos os auditores
internos e restantes participantes que contribuíram para o sucesso deste evento.
4,10
4,18
4,30
4,10
4,05
3,98
3,83
4,05
4,16
4,24
4,35
4,08
4,05
3,97
3,81
4,08
3,50 3,60 3,70 3,80 3,90 4,00 4,10 4,20 4,30 4,40
Divulgação do evento
Condições da sala
Apoio logístico/administrativo
Oradores
Conteúdo Programático
Interesse prático dos temas
Duração do fórum
Expetativas satisfeitas
Média resposta auditores saúde (37) Média 40 inquéritos
II Fórum dos Auditores Internos da Saúde - II FAIS 2012
46
Auditoria Interna - abril/junho 2012 - Nº 47
Os benefícios da sistematização de processos e procedimentos em Auditoria Interna, RISI
O software HAS - Health Audit System consiste num
sistema de gestão de auditorias construído
especificamente para a área da Saúde pela RISI e
destina-se a auditores internos de unidades de prestação
de cuidados de saúde.
Este software tem como objetivo a disponibilização das
metodologias de auditoria interna e o fomento da sua
utilização (tendo por base os contributos de autores
consagrados da área, as orientações do IIA para a prática
profissional da auditoria interna – IPPF - e os Manuais
de Auditoria Interna da ACSS) permitindo desta forma
uniformizar os processos e procedimentos de auditoria e
produzir ganhos de eficácia, eficiência e controlo
operacional.
A auditoria segue um fluxo definido por várias etapas,
sendo que cada uma delas comporta tarefas que devem
ser realizadas pela equipa de auditoria, como a definição
do programa de trabalho, a identificação e validação das
atividades de controlo, tarefas que devem ser realizadas
pelo auditado, como o preenchimento de inquéritos e
eventuais comentários e sugestões ao plano de ações
para cada conclusão levantada.
Esta aplicação permite igualmente efetuar a
monitorização das conclusões em aberto, com o intuito
de controlar os planos de ação, através do
acompanhamento em auditorias presenciais ou mesmo
sem necessidade de auditorias no local, por forma a
comprovar a implementação e eficácia dos referidos
planos.
A aplicação disponibiliza ainda um conjunto de
indicadores que permite aos diferentes interlocutores
efetuar reporting e análises de performance.
Principais funcionalidades do software:
Definição de Planos Anuais de Auditoria
Elaboração de Programas de trabalho
Definição de Equipas
Exames Preliminares
Envio de Comunicações
Envio de Inquéritos de Controlo Interno
Testes de Avaliação do Controlo Interno
Testes de Auditoria
Conclusões
Relatórios de Auditoria
Elaboração Plano de Ações
Pontos de Situação
Arquivo de Documentação / Papéis de Trabalho
Principais benefícios:
Poupança de tempo e respeito pelas recomendações
definidas nos Manuais de Auditoria Interna da ACSS,
conseguidos pela predefinição dos campos:
o Áreas macro,
o Inquéritos por área macro,
o Testes ACSS,
o Programa de trabalho tipo,
o Exames preliminares
47
Auditoria Interna - abril/junho 2012 - Nº 47
Ganhos de Controlo e Sistematização
o Instrumento de criação do plano anual de
auditoria com utilização de cronograma e
exportação do relatório para apresentação à
Administração em Word
o Criação da auditoria por etapas para ajudar o
auditor a organizar melhor o trabalho dele
o Exportação automática do relatório da auditoria
em Word
o Acompanhamento online das ações e pontos de
situação
o Análise de vários Indicadores para avaliação de
eficiência e eficácia e sua apresentação à
Administração
o Gestão do tempo da equipa de auditoria
o Análise das áreas críticas do hospital, com
sugestões de redução de riscos.
A Gestão de Risco Hospitalar como
atividade preventiva
No contexto atual, em que o Controlo Interno é uma
ferramenta importante de sustentabilidade, a Auditoria
Interna encontra-se ligada ao controlo interno e gestão de
risco, como forma de alcançar os objetivos estratégicos
das Instituições. Assim, através de uma abordagem “Top
to down”, a Administração define os objetivos
estratégicos, a avaliação de risco e do controlo interno
(contribui para o alcance dos mesmos, sendo estes inputs
importantes para eventuais ações de Auditoria. Deste
modo, a própria Auditoria socorre-se de ferramentas
como o COSO (Committee of Sponsoring Organizations)
e ERM (Enterprise Risk Management) fazendo a ligação
entre Auditoria Interna e a Gestão de Risco. Este
software, HER, faz essa ponte.
O software de Gestão de Risco Hospitalar é uma
ferramenta de extrema utilidade para as instituições de
prestação de cuidados de saúde que decidam implementar
uma estratégia de gestão do risco.
Esta estratégia está alicerçada em três momentos:
Identificação, Avaliação e Resposta ao risco, que se pode
materializar em acções de mitigação ou transferência.
A aplicação é constituída por dois módulos, de
identificação e avaliação de riscos:
Gestão de Incidentes: Aborda e categoriza o risco
potencial, através de relatos de incidentes, com o
objetivo de evitar a reincidência dos mesmos. Baseado
nas taxonomias definidas pela OMS na área de
segurança do doente, este módulo permite
parametrizar e adequar cada tipo de incidente à
realidade de cada instituição.
Avaliação de Risco: adaptação da metodologia do
COSO que identifica e avalia os riscos por
antecipação.
Entre as respostas ao risco encontram-se as ações de
mitigação, que se materializam na correção e /ou
minimização da probabilidade de ocorrência de situações
criticas.
Para os gestores de risco, a aplicação disponibiliza
indicadores de reincidência e análise de causas que
auxiliam o controlo de gestão.
Os benefícios da sistematização de processos e procedimentos em Auditoria Interna
Os benefícios da sistematização de processos e procedimentos em Auditoria Interna
48
Auditoria Interna - abril/junho 2012 - Nº 47
No contexto atual, a adoção desta ferramenta pode
potenciar o sucesso das instituições.
A mitigação dos riscos, para além da melhoria da
qualidade dos serviços de saúde prestados, constitui-se
como fator primordial na diminuição de eventos adversos,
reduzindo substancialmente os custos económicos e
financeiros associados e garantindo a credibilidade da
instituição.
O software de Gestão de Risco Hospitalar foi
desenvolvido pela RISI e serve seis instituições
prestadoras de cuidados de saúde com elevado grau de
satisfação.
O software HAS – Health Audit System foi apresentado
publicamente pela RISI, por ocasião do II Fórum dos
Auditores Internos da Saúde, realizado no ISCAC, em
Coimbra, no dia 30 de Maio de 2012.
A RISI desenvolve projetos especializados de software
nas áreas de auditoria e gestão de risco, entre outras,
desde 1996.
É da sua autoria o SIGA - Software Integrado de Gestão
de Auditoria Interna usado pelas Direções de Auditoria
Interna da Sonae MC, Sonae Com, Sonae Sierra, Sonae
Industria e Sonae Capital.
É igualmente de sua autoria o software Enterprise Wide
Risk Management (que assenta na metodologia do
COSO), usado pela Sonae MC e Sonae SR.
A RISI serve, desde 2010, na área de Gestão de Risco
Hospitalar, o Grupo Espirito Santo Saúde, o Grupo José
de Mello Saúde, o Hospital Fernando Fonseca e os
Centros Hospitalares de Entre Douro e Vouga, Lisboa
Central, Leiria Pombal e Barreiro Montijo.
Podem ser obtidas informações adicionais sobre estes
produtos através do sítio www.risi.pt.
49
Auditoria Interna - abril/junho 2012 - Nº 47
Sugestão de leitura
Caneta Digital
A belief in hell and the knowledge that every ambition is
doomed to frustration at the hands of a skeleton have
never prevented the majority of human beings from
behaving as though death were no more than an
unfounded rumor.
Aldous Huxley
Pesquisa na rede
Conferência Anual
Lisboa
22 novembro 2012
50
Auditoria Interna - abril/junho 2012 - Nº 47
Notícias IPAI Foto da mesa da assembleia geral 30 março de 2012
IPAI Fotos do jantar do 20ºaniversário 6 março 2012
Fotos – Raul Fernandes
51
Auditoria Interna - abril/junho 2012 - Nº 47
Notícias
52
Auditoria Interna - abril/junho 2012 - Nº 47
Vth GECAMB
Conference on Environmental Management and
Accounting
Faculty of Economics - University of Coimbra Portuguese CSEAR
Conference 25th - 26th October 2012
Consul tar programa em
ht tp: / /www.eaa -onl ine.o rg/user f i les / fi le /GECAMB -%20Call%20for%20Paper.pdf
Consultório – exclusivo dos associados Com o objetivo de estar mais próximo das necessidades dos nossos associados, colmatando -as ,
o IPAI coloca à disposição destes um serviço de apoio cujo objetivo é a promoção das melhores
práticas de auditoria e o esclarecimento de dúvidas e questões acerca da temática de auditoria
interna.
Se gostaria de uma segunda opinião, por exemplo na interpretação de um standard , na análise
de um programa de auditoria ou mesmo de resultados, o IPAI poderá ser o seu melhor aliado.
Para aceder a este serviço basta ter as suas quotas em dia e colocar a sua dúvida ou questão
para [email protected]
A KPM G Advisory – Consultores de Gestão, SA. e o IPAI – Inst ituto Português de Auditor ia
Interna vão lançar na próxima semana o III Survey sobre a Função de Auditoria Interna em
Portugal , através de um inquérito, no meadamente, a Responsáveis pela função de Auditor ia Interna
ou, caso esta não exista , aos pr incipais gestores das organizações.
Este es tudo t em co mo p r in cipal ob je t ivo aval i ar a evolução d a fun ção de Audi tor ia In te rna (AI) em Por tuga l face
aos Surveys r eal izados em 2007 e 2009 e a u m conjun to de boas prát icas in te rnacionai s .
Os d ados serão t r a t ados co nfid encialmen te d e modo a preservar a id en t idad e dos par t ic ipan tes .
Os resu l t ados globa is do inquér i to serão publ icad os duran te o mês de No vembro d e 2012 e o r e l a tór io será
enviado ao s pa r t i c ipan tes , sendo post er io rmente publ icado nos s i t es do IPAI e da KPMG em Por tugal .
Notícias
53
Auditoria Interna - abril/junho 2012 - Nº 47
Novos associados
José Manuel Brito Almas
Júlia Conceição Martins Santos
Manuel Alberto Gaspar Soares
David Alexandre Araújo Azevedo
Joana Isabel Marques Moreirinha
Filipa Almeida Matos Oliveira
Luís Manuel Nascimento Duarte
Carolina Paz Cristóvão Duarte
Generosa Maria Ramos Aguiar
Marta Isabel Neves Pinho
Maria Lurdes Godinho Pito
Paulo Jorge Gonçalves Teixeira
Ana Sofia Duarte Caetano
João Pedro Ferreira Duque
Joana Georgina Pereira Vilela
Isabel Maria Sequeira Marcos
Fernando Elísio P. Cravo
José de Moura Rodrigues
Pedro Jorge Rosas Quelhas
Carlos Manuel Coelho Lopes
Bruno Marco Fernandes Salazar
Lígia Isabel Silva Pereira
André Jorge Leitão e Santos
Joana Guerra da Cunha Esteves
Formação:
Segurança de Sistemas
de Informação
9 e 10 julho 2012
Lisboa
Pedro Cupertino de
Miranda
Formação
Auditoria Interna
Baseada no Risco
Nuno Oliveira, CIA
30 e 31 julho 2012
Lisboa
Conferência anual – CAAI 2012
22 novembro 2012
Lisboa
54
Auditoria Interna - abril/junho 2012 - Nº 47
Post_it, Miguel Silva
55
Auditoria Interna - abril/junho 2012 - Nº 47
Pesquisa de Institutos de Auditoria
Romania Affiliate code 327
http://www.aair.ro/index.php
Russia Affiliate code 301
http://www.iia-ru.ru/
Publicidade
Fórum de Auditoria Interna 2012
Consulte as apresentações em http://www.ipai.pt/gca/index.php?id=90
Área reservada
56
Auditoria Interna - abril/junho 2012 - Nº 47