revista nº 33 prepa 5jan09 v word 2003 com ccap · 2009. 4. 4. · cia review – part iii em...
TRANSCRIPT
-
1
-
2
Auditoria Interna Janeiro/Março 2009 Nº 33
Introdução ao Controlo e Auditoria Interna Porto Setembro, 7-8 Francisco Albino, CIA, CCSA,
CGAP
Enquadramento de Práticas Profissionais de Auditoria Interna Lisboa Outubro, 12-13 Raul Fernandes
Programas de Trabalho para Auditoria Interna Lisboa Março, 19-20 Joaquim Leite Pinheiro
Auditoria Operacional Lisboa Abril, 16 -17 Joaquim Leite Pinheiro
Auditoria Interna Baseada no Risco – Metodologia ERM Lisboa Maio, 4-5 Nuno Oliveira, CIA
Auto-avaliação do Risco e do Controlo – Preparação para o Exame CCSA
Lisboa Abril, 20-21 Domingos Sequeira, CIA, CCSA
Orlando Sousa, CCSA
Júlia Santos. CCSA
Avaliação da Qualidade da Auditoria Interna Lisboa Novembro, 2-3 Domingos Sequeira, CIA, CCSA
Avaliação da Performance da Auditoria Interna Lisboa A indicar A indicar
Fraud Em Inglês Lisboa Maio, 29 Prof. Glenn Sumners
Sistemas e Controlos Informáticos de Apoio à Auditoria Lisboa Setembro, 14 Pedro Cupertino, CISA
Relatórios de Auditoria Lisboa Maio, 11-12 Domingos Sequeira, CIA, CCSA
Amostragem para Auditoria Lisboa Dezembro, 14-15 Céu Almeida, ROC
Normas Internacionais de Relato Financeiro para Auditores Internos
Lisboa Novembro, 9-10 *
João Nogueira
Liderança e Comunicação em Auditoria Interna Lisboa Abril, 13 e 14 Filipa Oliveira
CIA Review – Part I Em Inglês Lisboa Maio, 25 Prof. Glenn Sumners, CIA, CPA, CFE
CIA Review – Part II Em inglês Lisboa Maio, 26 Prof. Glenn Sumners, CIA, CPA, CFE
CIA Review – Part III Em Inglês Lisboa Maio, 27-28 Prof. Glenn Sumners, CIA, CPA, CFE
CIA Review – Part IV Em Inglês Lisboa Maio, 28 Prof. Glenn Sumners, CIA, CPA, CFE
Preparação para o exame CIA – I Parte Lisboa Setembro, 21 Francisco Albino, CIA, CCSA, CGAP
Preparação para o exame CIA – II Parte Lisboa Setembro, 22 Nuno Oliveira, CIA
Auditoria Interna no âmbito de Basileia II – Preparação para o Exame CFSA
Lisboa A indicar A indicar
Seminários em parceria com o MIS Lisboa A indicar A indicar
Auditoria de Instituições Públicas - Preparação para o Exame CGAP
Lisboa Abril, 27-28 Francisco Albino, CIA, CCSA, CGAP
Auditoria de Empreitadas de Obras Públicas Lisboa Março, 23,24 Março, 30, 31
Nuno Costa
Ricardo Saldanha
As acções de formação aqui apresentadas serão objecto de posterior confirmação podendo vir a sofrer alterações.
Plano de Formação e Certificação 2009
-
3
Auditoria Interna Janeiro/Março 2009 Nº 33
Índice
Editorial: Risco, fraude, controlo interno e auditoria, Joaquim Leite Pinheiro
3
Audire: A Lanterna de Diógenes, Manuel Marques Barreiro,
Consultor e Presidente do Conselho Geral IPAI
5
Entrevista Auditoria Interna - Caixa Geral de Depósitos,
Dr. José Costa Bastos 8
Auditoria de Sistemas: Análise de dados em auditoria Novas funcionalidades na nova versão do IDEA 8 - O PROJECT OVERVIEW, Drumond de Freitas – Equiconsulte
12
ARTIGOS Segurança de Informação: a quinta vaga?, Paulo F. Cardoso, CISA
15
A Gestão e a Auditoria Interna: Antecedentes Históricos, Fábio de Albuquerque, César Ribeiro, Tânia Mota.
19
A u d i t A u t o m a t i o n F a c i l i t i e s – M ó d u l o d e A n á l i s e d e R i s c o ( E n t e r p r i s e R i s k M a n a g e m e n t ) , Fernando Fernandes
23
A palavra ao CIA – Miguel Gomes, CIA 26 Notícias 28 Pesquisa Institutos de Auditoria Interna 31
Pesquisa na Rede 32
O Zé auditor, Miguel Silva 33
Colabore.
Propriedade e Administração IPAI – Avenida Duque de Loulé, 5 – 2º B – 1050-085 LISBOA Contribuinte nº 502 718 714; Telefone/Fax: 213 151 002 Correio electrónico: [email protected] Sítio: www.ipai.pt
FICHA TÉCNICA
Presidente da Direcção: Domingos Sequeira, CIA, CCSA Director: Joaquim Leite Pinheiro [email protected]; Coordenação de edição: Orlando Sousa, CCSA Redacção: Manuel Marques Barreiro; Raul Fernandes [email protected]; Conselho Editorial: Manuel Barreiro, Domingos Sequeira, Francisco Melo Albino, CIA, CGAP Colaboradores nesta edição: Manuel Barreiro, José Costa Bastos, Drumond de Freitas, Fernando Fernandes, Paulo F. Cardoso, Fábio Albuquerque, César Ribeiro, Tânia Mota, Miguel Silva, Miguel Silva Pré-impressão: IPAI Impressão e Acabamento: CEM Ano X – Nº 33 – TRIMESTRAL Janeiro/Março 2009 TIRAGEM: 1100 exemplares; Registo: DGCS com o nº 123336;
Depósito Legal: 144226/99; Expedição por correio; Grátis
Correspondência: IPAI – Avenida Duque de Loulé, 5 – 2º B – 1050-085 LISBOA Telefone/Fax: 213 151 002
[email protected]; Visite-nos em www.ipai.pt
Contacto para publicidade: [email protected] (Joaquim Leite Pinheiro)
Alteração de endereços: [email protected] (Bombarda Azevedo)
Nota: Os artigos vinculam exclusivamente os seus autores, não
reflectindo necessariamente as posições da Direcção e do Conselho
Editorial da Revista nem do IPAI. A aceitação de publicação dos artigos
na Revista Auditoria Interna do IPAI, implica a autorização para a
Missão Promover a partilha do saber e da
prática em auditoria interna, gestão do
risco e controlo interno.
-
4
Auditoria Interna Janeiro/Março 2009 Nº 33
Risco, fraude, controlo interno e auditoria
Joaquim Leite Pinheiro, Director da Revista Auditoria Interna e Secretário Direcção do IPAI
Editorial
Onde estavam os auditores?
As notícias sobre fraudes, riscos de insolvência,
solicitação de ajudas, risco de nacionalizações
passaram a fazer parte do léxico quotidiano da
Comunicação Social, com destaque para notícias
sobre algumas empresas que até, há poucos dias,
eram uns ícones da indústria ou da área financeira. O
caso Madoff passa a ser um caso menor, já que o
caso das empresas em risco tem um impacto muito
maior ao nível do emprego.
Onde estava a SEC? E os auditores? Que deveriam
ser prudentes e cautelosos nas auditorias realizadas e
não cair em tentação.
Em Portugal, os casos são, aparentemente, mais
suaves, tanto na análise dos acontecimentos como as
consequências para os reguladores.
No caso dos Estados Unidos as personagens
envolvidas nos escândalos tinham uma imagem
construída de responsabilidade social e um estatuto
de notoriedade na comunidade onde se inseriam.
Alguns dos que continuarem a gerir empresas não
tiveram dúvida em manter um elevado nível de
prémios de desempenho.
Quem não viu os sintomas da fraude? Quem não quis
ver? Quem ganha com as comissões de estudos de
fusão e aquisição e defende um determinado modelo
de economia de curto prazo e quem ganha as com as
apreciações /rating das empresas ou mesmo com a
determinação do preço alvo das acções (price target)?
Como refere Stiglitz, no livro “os Loucos anos 90”, os
analistas tinham vantagem imediata em fornecer
preços alvos (price target) das acções com tendência
para subir, fornecendo aos clientes informações pouco
rigorosas ou, se quisermos, uma visão de curto prazo
de modo a que efectuassem transacções.
Os analistas trabalhavam para os bancos e, por isso,
uma notícia boa sobre uma empresa poderia
corresponder a um bom negócio para o referido
banco. O mesmo se pode dizer das sociedades
corretoras nas quais os proveitos dependem do
volume de negócios em bolsa e da cotação das
acções, numa lógica procura/oferta.
…
A "Economia da Informação" representa uma mudança fundamental no paradigma que
prevalece na Economia. Problemas da informação são vitais para se compreender não
só a economia de mercado mas também a economia política e, na última parte desta
aula, eu analiso as implicações das imperfeições na informação para o processo político.
Joseph E. Stiglitz, Prémio Nobel da Economia 2001.
-
5
Auditoria Interna Janeiro/Março 2009 Nº 33
…
Temos de voltar aos valores essenciais: integridade,
ética, discrição, objectividade, critérios justos de
avaliação, equidade, conduta irrepreensível, espírito
de escuta, saber trabalhar em equipa e voltar a ter
liderança que desenvolva a gestão numa lógica de
sustentabilidade e crescimento (lideres de
comportamento), em protecção dos presentes e das
gerações seguintes. Como alguém disse, gerir a terra
como sendo um condomínio global e de pertença de
todos.
Back to Basics.
O comportamento de certos gestores, com uma
imagem de elevado conhecimento de cultura e da arte
em geral, contrasta com o desempenho pouco
eficiente na gestão corrente das empresas, visando o
curto prazo, a recolha de prémios de gestão e
distribuição de dividendos, em detrimento de uma
estratégia de desenvolvimento e de sustentabilidade
de longo prazo.
Onde entram os auditores internos? Devem efectuar
um diagnóstico claro da crise e alterar o respectivo
paradigma – ajudar a gestão a operacional a mitigar
os riscos, sem esquecer a responsabilidade que
devem ter para os stakeholders.
Qual a mudança fundamental que os auditores
internos devem operacionalizar para cumprir um
objectivo estratégico: fornecer valor à empresa.
Neste capítulo o Instituto Português de Corporate
Governance está a promover o debate público sobre o
Código de Bom Governo, visando contribuir para a
sistematização de um conjunto de boas práticas para
a gestão das empresas.
Tal documento poderá, ser mais tarde, adoptado
formalmente pela CMVM.
O IPAI deverá contribuir para melhorar o respectivo
documento, com a experiência acumulada dos seus
associados.
Em contexto de crise, é fundamental aproveitar para
melhorar o desempenho e contribuir para que as
empresas consigam sair rapidamente da situação de
dificuldade em que se encontram.
O contributo fundamental é passar do problema para a
solução e ajudar a implementá-la com sucesso e
eficácia.
È fundamental passar uma mensagem de optimismo
(ver o copo “meio cheio”) e reconstruir o edifício
começando pelas fundações e não pelo telhado,
construindo com mais solidez, tanto nos aspectos
relacionados com a definição da estratégia, na análise
dos riscos operacionais, na gestão corrente e na
identificação de fragilidade e sintomas de fraude.
Novas oportunidades para os auditores internos e um
papel relevante na ajuda para mitigar os riscos
negativos, no apoio da permanente à gestão
operacional, com uma metodologia de trabalho
assente nos standards do IIA mas com uma postura
de low- profile e fair-play.
Mudar a forma de encarar as situações identificadas e
saber responder a questões essenciais:
O quê?
Quando?
Como?
Porquê?
Quem?
Com que efeito?
Que recomendação?
Que benefício?
Determinar claramente o focus do problema e, se
possível, ter uma atitude proactiva de antecipar uma
solução, melhorando o sistema de controlo e ajudando
a mitigar o risco.
o
Pode comentar para [email protected]
E d i t o r i a l
-
6
Auditoria Interna Janeiro/Março 2009 Nº 33
Audire
Grande parte das razões do que está acontecendo no mundo financeiro estará por identificar e entender.
Mas uma certeza, pelo menos, podemos ter
quanto à génese do caos a que estamos
assistindo, entre o espanto e a incredulidade: a
ganância sem limites dos responsáveis máximos
pela condução das organizações atingidas.
Importa, pois, reflectir sobre a variável de
contornos sempre nebulosos, tentando extrair
contributos para o redesenho do actual
paradigma de governo das sociedades.
Para tentar situar esta temática e discorrer sobre
ela, e de sinteticamente de acordo com uma visão
muito pessoal, diremos que o estado a que se
chegou se deve, entre muitas outras coisas:
às remunerações variáveis dos
administradores, indexadas aos
resultados dos exercícios e fixadas pela
sua “entourage” (“no seu labirinto”), que
não pelos accionistas;
à previsão de resultados de modo a que a
sua superação pudesse justificar os
obscenos prémios de desempenho ou de
gestão;
à criação ad hoc de fringe benefits
acumuláveis; às inefáveis sinecuras e
mordomias;
…
A LANTERNA DE DIÓGENES
Manuel Marques Barreiro
Consultor em Auditoria e Gestão; Presidente do Conselho Geral
IPAI
Se o filósofo cínico da Grécia Antiga, visitasse, hoje e com o mesmo propósito, as empresas deste vasto mundo, encontraria certamente administradores honrados – ainda os há, felizmente – mas constataria, porventura, que são – infelizmente – a
excepção que apenas serve para confirmar a regra.
-
7
Auditoria Interna Janeiro/Março 2009 Nº 33
… ao recurso fácil ao seguro dos seus
chorudos vencimentos e das escandalosas
regalias em carteira, ficando, no entanto, a
cargo das organizações sob o seu comando
o pagamento dos prémios às seguradoras;
a alguma displicência das agências de
rating; à incompreensível ineficácia dos
reguladores; ao inusitado afrouxamento dos
órgãos de fiscalização e de controlo;
à incapacidade interventiva das
representações do mundo laboral; à pouca
ou nula influência das assembleias-gerais
de accionistas – mais preocupados, estes,
com as mais-valias bolsistas e com os
dividendos do que propriamente com a
eficácia e sobretudo com a conduta ética
dos administradores;
à desinformação propositada, ou a
mistificação das situações reais;
à não obrigatoriedade de reposição, por
parte das administrações, dos dinheiros
delapidados nas empresas, aquando das
monumentais fraudes conhecidas; à
facilidade com que esses “magníficos”
executivos de topo, transitam de empresa
para empresa, sempre escovados de todo o
“lixo tóxico” que no seu percurso foram
produzindo e acumulado em proveito
próprio.
Diz a lenda que Diógenes andava pelas ruas de Atenas, com uma lanterna acesa em pleno dia, procurando um homem que merecesse o qualificativo de honrado.
Se o filósofo cínico da Grécia Antiga, visitasse, hoje
e com o mesmo propósito, as empresas deste vasto
mundo, encontraria certamente administradores
honrados – ainda os há, felizmente – mas
constataria, porventura, que são – infelizmente – a
excepção que apenas serve para confirmar a regra.
É nossa convicção que, se alguma coisa tem de ser
rapidamente feita no sentido de inverter o presente
estado de coisas, o remédio que, segundo parece,
está sendo preconizado, não interessa de todo em
todo, porque não passará de um mero paliativo,
eventualmente contraproducente e carregado de
efeitos perversos, se não for uma prosaica e inócua
tentativa de “tapar o sol com a peneira”.
É precisa coragem para tirar as empresas deste
páthos.
É fundamental encontrar, com a urgência que se impõe, um novo paradigma para a conduta dos gestores responsáveis, ao mais alto nível, pelas organizações empresariais.
Diógenes, de John William Waterhouse, mostrando a sua lâmpada, o seu barril e as cebolas das quais ele se nutria. Fonte: http://pt.wikipedia.org/
Pode comentar para [email protected]
A u d i r e
-
8
Auditoria Interna Janeiro/Março 2009 Nº 33
Publicidade
Agenda IPAI
Conferência Anual de
Auditoria Interna 2009
19 Novembro de 2009 5ª Feira
Fórum de Auditoria
Interna 2009 17 Junho de 2009
4ª Feira
-
9
Auditoria Interna Janeiro/Março 2009 Nº 33
Considera que a auditoria interna fornece valor à sua empresa?
Inegavelmente, a auditoria interna (AI) cria valor
para a Caixa Geral de Depósitos (CGD).
A prova primeira de que esse valor é criado e
reconhecido é a inserção orgânica e funcional da
AI na estrutura da CGD e do Grupo.
A Direcção de Auditoria Interna é um órgão de
estrutura de primeiro nível que responde
directamente à Administração, sendo responsável
pela AI em todas as estruturas da CGD, incluindo
sucursais, bem como pela AI a todas as filiais, em
Portugal e no estrangeiro, numa perspectiva de
grupo, ou seja, para avaliar os riscos relevantes
para as contas consolidadas da CGD.
Apesar de não ser medido de forma quantitativa,
o valor acrescentado pela AI é reconhecido de
forma generalizada pelas estruturas e unidades
auditadas, muito em particular pela abordagem
orientada para o apoio à correcção de
deficiências e ineficiências detectadas.
Efectivamente, mais do que “apontar o dedo”, a
preocupação do auditor interno centra-se na
recomendação de melhoria, comunicada, em
primeira mão, ao auditado e com ele discutida,
sem prejuízo de um reporting objectivo para os
níveis hierárquicos apropriados.
…
Entrevista Auditoria Interna
Caixa Geral de Depósitos
Dr. José Costa Bastos Director Central
Inegavelmente, a auditoria interna (AI) cria valor para a Caixa Geral de Depósitos (CGD). A prova primeira de que esse valor é criado e reconhecido é a inserção orgânica e funcional da AI na estrutura da CGD e do Grupo.
-
10
Auditoria Interna Janeiro/Março 2009 Nº 33
…
Que tipo de auditorias são realizadas?
As redes comerciais da CGD – Agências e
Gabinetes de Empresas – são auditadas
regularmente, quer presencialmente, quer à
distância.
As diversas funções desempenhadas
centralmente são objecto de auditorias, quer
globais – abrangendo todas as estruturas de um
departamento –, quer transversais – abrangendo
vários departamentos, nas componentes
relevantes para um mesmo processo ou área
funcional.
Estas auditorias podem ser, também, presenciais
ou à distância, baseando-se, estas últimas, na
exploração de elementos de informação
sedeados nos sistemas informáticos centrais.
As Filiais, quer nacionais, quer no estrangeiro,
são objecto de auditorias globais, em geral numa
perspectiva das contas consolidadas da CGD e
em complemento da AI própria, existente em
algumas delas.
Qual a formação dos auditores internos, nomeadamente, quantos auditores certificados (CIA’s, CCSA, CFSA, CGAP, CISA) existem na empresa?
Os auditores internos da CGD têm formações
académicas diversificadas. Como regra geral, o
seu recrutamento é interno à CGD,
preferencialmente entre empregados com
experiência na rede de Agências.
Para além da formação “on the job”, com o
necessário enquadramento por auditores
seniores, procura-se também que os novos
auditores frequentem formação específica, quer
em cursos de pós-graduação académicos, quer
em outros de âmbito especificamente profissional,
como por exemplo os ministrados pelo IFB e pelo
IPAI.
A formação sobre os processos internos da CGD
é assegurada, sobretudo, através de e-learning,
instrumento de formação que, na CGD, conta
com uma ampla oferta.
A equipa do departamento de AI da CGD não
conta, ainda, com auditores certificados, quer
pelo IIA, quer pelo ISACA. Mas é um objectivo de
médio prazo, da política de formação, promover a
certificação de um número relevante de auditores
internos.
Qual o impacto do SOX na estrutura de controlo interno e no funcionamento da Auditoria Interna?
As principais consequências das alterações do
quadro regulamentar da actividade bancária em
matéria prudencial e de controlo interno tiveram
impactes significativos na AI, os quais, aliás,
ainda não terminaram.
No caso da CGD, julgo serem de salientar,
fundamentalmente, duas novas frentes para a AI.
Em primeiro lugar, a validação pela AI dos
modelos de avaliação de riscos de crédito e de
mercado decorrentes da implementação do
Acordo de Basileia II é uma actividade que requer
know-how específico de que tradicionalmente os
departamentos de auditoria interna não dispõem,
e a que têm que aceder, quer por recrutamento
de meios próprios, quer via outsourcing.
…
E n t r e v i s t a A u d i t o r i a I n t e r n a C G D
-
11
Auditoria Interna Janeiro/Março 2009 Nº 33
…
Em segundo lugar, a validação dos
levantamentos dos processos e os testes aos
controlos identificados no âmbito da gestão do
risco operacional, actividade que vem
complementar a abordagem tradicional da
auditoria ao controlo interno.
Mais recentemente, o Banco de Portugal publicou
nova regulamentação sobre os Sistemas de
Controlo Interno das Instituições Financeiras
(Aviso 5/2008), a qual obriga aquelas instituições
a novos desafios, nomeadamente para as
actividades de Auditoria Interna.
Esta nova regulamentação da entidade
supervisora prescreve um conjunto de requisitos
de cumprimento obrigatório, nomeadamente ao
nível da sistematização e maturidade dos
processos de auditoria interna, sendo a
orientação para o risco um factor preponderante,
quer ao nível da avaliação dos controlos, quer ao
nível do relato das deficiências de controlo interno
identificadas.
Qual a importância do Conselho de Auditoria e a articulação com a Auditoria Interna?
A Caixa Geral de Depósitos não dispõe de
Conselho (ou Comissão) de Auditoria.
Considera importante que os Auditores tenham certificação em Auditoria (CIA, CCSA, CFSA, CGAP, CISA)?
Apesar de a Direcção de Auditoria Interna da
CGD não dispor de auditores certificados pelo IIA
ou pelo ISACA, consideramos importante
incentivar a preparação e apresentação aos
exames requeridos para o efeito.
As decisões de obtenção da certificação são
individuais, mas a CGD dispõe-se a apoiar,
incluindo com o financiamento de acções de
formação, os auditores que quiserem fazê-lo.
Qual a sua opinião sobre a divulgação, disponibilização dos relatórios de auditoria interna na página da empresa na internet?
Não concordo com a divulgação/disponibilização
dos relatórios de auditoria interna na página da
empresa na Internet. Tal solução criaria,
inevitavelmente, restrições à independência da
função e limitaria o âmbito das matérias
“abordáveis”.
Os relatórios de auditoria interna visam informar
os responsáveis pela empresa – tanto os
responsáveis executivos, como os que têm
funções de supervisão – sobre as deficiências
encontradas, bem como promover a sua
correcção pelos auditados.
Ora estes objectivos podem e devem ser
perseguidos com um adequado esquema de
circulação interna dos referidos relatórios, com
adequada transmissão de feedbacks e decisões,
não se vislumbrando qual a vantagem que
poderia advir da sua divulgação pública.
Qual o desafio mais relevante do modelo de governação e da auditoria interna nos próximos tempos?
No caso particular da CGD, os principais desafios
situam-se, quer na resposta adequada às novas
frentes de actividade de AI desencadeadas pelo
Acordo de Basileia II, quer na implementação
integral dos requisitos definidos no Aviso 5/2008
do Banco de Portugal, quer, ainda, na
necessidade de, em geral, reforçar a eficácia e a
eficiência das acções de AI. …
E n t r e v i s t a A u d i t o r i a I n t e r n a C G D
-
12
Auditoria Interna Janeiro/Março 2009 Nº 33
… Para a actividade de AI nas empresas em geral,
quer em Portugal, quer no resto do Mundo, e
considerando algumas das questões que a actual
crise veio colocar na ordem do dia, julgo que o
desafio mais relevante para o modelo de
governação e da auditoria interna, nos próximos
tempos, será a questão da independência da
função relativamente à gestão executiva.
Ou seja, a questão de abranger no domínio do
auditável, pela AI, os actos e as decisões dos
responsáveis executivos da empresa, a todos os
níveis.
A figura da Comissão de Auditoria, em cuja
dependência, funcional e hierárquica, se coloca a
função de AI, será uma forma de resolver a
questão, desde que a composição da referida
Comissão assegure, de forma eficaz, o requisito
de independência, nomeadamente, através de
uma adequada composição – maioria de
membros independentes – e da atribuição da
presidência a um membro não executivo.
Como analisa o relacionamento da auditoria interna com a auditoria externa na sua empresa?
As relações são muito boas, quer com o Auditor
Externo, quer com o Revisor Oficial de Contas.
A complementaridade de funções entre AI e
auditoria externa proporciona uma troca de
informações regular entre os responsáveis, quer
relativamente à avaliação dos principais riscos da
actividade, quer quanto aos resultados dos
trabalhos de auditoria.
Já com o Revisor Oficial de Contas, a articulação
da AI envolve, ainda, o acompanhamento do
sistema de controlo interno e respectivos
relatórios anuais.
Como deve ser avaliada a auditoria interna? Key Performance Indicators (KPI’s) mais relevantes.
Na CGD não há, ainda, um processo formal e
sistemático de avaliação da qualidade de
Auditoria Interna. No entanto, o desempenho do
departamento de AI, é avaliado anualmente no
âmbito de um sistema de gestão de desempenho,
de carácter geral, aplicado a todos os
departamentos da CGD.
No âmbito desse sistema, são fixadas metas
anuais para diversos objectivos, que podem ser
transversais – v.g. cumprimento do orçamento de
despesa – ou específicos da AI, abrangendo
preocupações de eficácia – v.g. número de
auditorias, grau de cobertura dos universos
auditáveis – e de eficiência – v.g. número médio
de auditorias por auditor, prazo médio de
apresentação de relatórios.
o
E n t r e v i s t a A u d i t o r i a I n t e r n a C G D
Pode comentar para [email protected]
-
13
Auditoria Interna Janeiro/Março 2009 Nº 33
A automatização dos testes repetitivos em auditoria utilizando estas novas funcionalidades das ferramentas mais evoluídas na análise de dados é uma das formas de optimização dos escassos recursos colocados à disposição pelas organizações para as tarefas de auditoria e controlo.
A nova versão do IDEA 8, ferramenta de análise e query de dados para auditoria, controlo e gestão, que se encontra actualmente em fase de lançamento em Portugal apresenta algumas novas funcionalidades muito interessantes para a análise e revisão do trabalho do auditor ou inspector.
Uma das novas ferramentas designada por Project OverView é uma interface gráfica das acções executadas pelo auditor com o IDEA durante o projecto, incluindo a criação, eliminação, modificação, cruzamentos, adição e outras operações sobre as bases de dados.
O Project OverView regista todas as interacções entre as bases de dados em análise existentes no projecto mantendo um diário em formato gráfico das mesmas.
Esta informação registada pela funcionalidade Project OverView pode ser também visualizada, para além do formato gráfico referido, sob a forma analítica de tabela de operações ver Fig. 4.
A partir da visualização da informação em formato gráfico, poderá ser gerado de forma muito simples e directa macros designadas por IDEA VisualScript através de uma mera operação de apontar e
seleccionar ‘caixas’ utilizando o rato sobre o ambiente gráfico. Esta funcionalidade Project OverView tem a virtualidade de poder ser utilizada pelo auditor/inspector para apresentar de forma gráfica todo e desenvolvimento e a estrutura lógica do projecto em análise.
Para exemplificar a forma como esta nova funcionalidade está disponível no IDEA vamos idealizar um pequeno teste para analisar os eventuais Clientes definidos na tabela mestre dos Clientes que ultrapassaram o limite de crédito e ainda outros testes.
Teremos, assim, as seguintes 2 bases de dados Customer-Database1 e SalesTransaction (ver fig.1) que foram importadas para o ambiente IDEA. Da análise desta figura, que é um output do Project OverView do IDEA 8, temos uma visão geral dos testes realizados sobre as duas bases de dados iniciais (à esquerda da figura).
Cada um dos rectângulos representa uma base de dados ou um output contendo o resultado do teste.
… Pode comentar para [email protected]
ANÁLISE DE DADOS EM AUDITORIA
Novas funcionalidades na nova versão do IDEA 8
O PROJECT OVERVIEW
Drumond de Freitas – Consultor, EQUICONSULTE, SA
Auditoria de Sistemas
-
14
Auditoria Interna Janeiro/Março 2009 Nº 33
…
Os testes realizados foram entre outros os seguintes:
Sobre a base de dados Customer-Database1 foi
retirada uma amostra aleatória cujo resultado está
depositado no ficheiro SampleOfCustomers; foi feita
uma extracção para obter clientes que têm limites de
crédito elevado, cujo resultado está depositado no
ficheiro Customers with High Credit Limit; sobre as
vendas designadas por SalesTransactions foi
realizada uma sumarização das vendas por Cliente
guardadas no ficheiro Summarized Transaction; foi
efectuada uma operação de Join deste último ficheiro
com o ficheiro Customer-Database1 para cruzar o
total do saldo das vendas por cliente com o
correspondente limite de crédito existente no ficheiro
de clientes obtendo o ficheiro Saldos dos Clientes.
Finalmente sobre este ficheiro fez-se uma operação
de extracção dos registos cujo valor do saldo é
superior ao limite de crédito que se encontra
depositado no ficheiro Clientes
ExcederamLimCredito.
Na Fig. 2 apresenta-se a janela na qual o IDEA permite ao auditor seleccionar as tarefas e operações que pretende automatizar gerando o IDEA todo o código de macro necessário à execução do teste em momentos futuros.
Neste caso foram seleccionadas as tarefas para testar os clientes que excederam o limite de crédito que são as que se encontram realçadas na Fig.2.
Na Fig.3 temos a forma como o IDEA apresenta aos utilizadores o VisualScript definido pelo utilizador na Fig.2. Como se vê a interface de criação das macros é totalmente gráfica não sendo apresentado ao utilizador qualquer linha de código de programação
Deste modo o utilizador para automatizar os seus testes só necessita de interagir com o script através de uma caixa de diálogo semelhante à apresentada.
Já não é mais necessário o auditor ter conhecimentos elementares sobre Visual Basic para automatizar com o IDEA. O processo de criar testes de execução automática é agora simples e directo.
Fig. 1 - Output do Project OverView do IDEA 8
…
Novas funcionalidades na nova versão do IDEA 8 - O PROJECT OVERVIEW
-
15
Auditoria Interna Janeiro/Março 2009 Nº 33
…
Fig. 2 - Caixas de selecção para automatizar um teste já executado no IDEA 8 – neste caso Clientes que excederam o Limite Crédito
Fig. 3 - Aspecto do um Visual Script do IDEA 8 que executa o teste acima definido - Clientes que excederam o Limite
Crédito
Fig. 4 - Janela do Project OverView do IDEA 8 - Formato Tabela
Notas Finais:
A automatização dos testes repetitivos em auditoria utilizando estas novas funcionalidades das ferramentas mais evoluídas na análise de dados é uma das formas de optimização dos escassos recursos colocados à disposição pelas organizações para as tarefas de auditoria e controlo.
A correcta selecção de uma ferramenta informática de análise e de query dos dados é essencial em auditoria.
Novas funcionalidades na nova versão do IDEA 8 - O PROJECT OVERVIEW
-
16
Auditoria Interna Janeiro/Março 2009 Nº 33
• Vaga de Governo da Segurança de Informação (2005-Presente)
Resumo
Jorge Augustín Nicolás Ruiz de Santayana [1863-1952],
filósofo, poeta e humanista espanhol, no seu The Life of
Reason (Santayana escreveu originalmente em inglês),
afirma que: “O progresso, longe de basear-se na
mudança, depende da retentividade. (…) Aqueles que
não conseguirem relembrar o passado estão
condenados a repeti-lo 1.” [9]. É indubitável a
importância que o passado tem na aprendizagem do
presente e no progresso futuro. Conhecer um pouco da
ainda jovem história da segurança de informação, não
de um ponto de vista dos marcos mais relevantes -
tipicamente evoluções técnicas e tecnológicas -, mas da
sua tendência de um ponto de vista organizacional, é
essencial. O objectivo deste artigo é fazer essa breve
apresentação histórica.
1 Tradução livre do autor.
1 Segurança de Informação – uma perspectiva histórica 1.1 Vaga Técnica
Apesar da sua juventude, é já possível descrever
cronologicamente a segurança de informação,
distribuindo-a por vagas, de acordo com a sua
caracterização. A primeira vaga, designada por
‘Vaga Técnica’, típica até ao início dos anos oitenta, é expressa por uma abordagem
estritamente técnica da segurança de informação.
Nesta fase, aspectos como a definição de políticas
de segurança ou a sensibilização dos utilizadores
eram questões ausentes, sendo a segurança de
informação uma matéria praticamente exclusiva de
técnicos especializados.
Pode estabelecer-se um paralelo entre esta vaga e
a chamada Gestão Científica, emanada a partir
dos princípios definidos por Frederick Winslow
Taylor, em 1911, no seu The Principles of Scientific
Management [10], em que a eficiência foi levada
ao seu expoente máximo, deixando ausente, no
entanto, questões tidas hoje como basilares.
…
Artigos Segurança de Informação: a quinta vaga? Paulo F. Cardoso, CISA
Janeiro de 2009
-
17
Auditoria Interna Janeiro/Março 2009 Nº 33
… Apesar de reconhecidamente desactualizadas, as
abordagens da segurança de informação numa
perspectiva técnica e da gestão com o objectivo
quase exclusivo da maximização da eficiência, são
ainda aplicadas em algumas organizações
modernas.
1.2 Vaga de Gestão
A computação distribuída, com especial relevo para a Internet e para o comércio electrónico, trouxe à atenção da gestão de topo as questões da segurança de informação. Assim irrompeu, tendo prevalecido até meados dos anos noventa, a chamada ‘Vaga de Gestão’. Nesta fase, os primeiros departamentos e gestores dedicados a questões de segurança surgiram nos organogramas das empresas e os primeiros esboços de políticas de segurança, de procedimentos e de relato à gestão foram concebidos.
1.3 Vaga de Institucionalização
A quase completa ausência de dimensão humana das vagas anteriores – conhecem algum computador que tenha sido condenado por um crime informático? – e a necessidade de comparar e medir a segurança, rapidamente levou ao que se designou como a ‘Vaga de Institucionalização’.
Num excelente artigo [12], von Solms caracteriza esta vaga como uma resposta a algumas questões chave da segurança de informação surgidas na época, que podem simplificar-se do seguinte modo:
Como sabemos que não nos está a escapar nada no domínio da segurança?
Como provamos a nossa preparação na área da segurança e como sabemos qual a preparação dos nossos parceiros?
Como sabemos se as nossas pessoas não são os nossos piores inimigos no campo da segurança?
Como sabemos como nos estamos a comportar face aos nossos concorrentes, aos objectivos e às boas práticas e padrões?
As respostas a estas questões foram dadas através, nomeadamente:
Da implementação de padrões e de boas práticas de segurança, como os controlos sugeridos na norma ISO/IEC 27002:2005 [3];
Da certificação internacional no domínio da gestão da segurança de informação através de normas reconhecidas internacionalmente [2];
Da proliferação pela empresa de uma cultura de segurança de informação;
Da implementação de métricas para que, de modo continuado, se possam aferir alguns aspectos da segurança de informação.
1.3.1 Sensibilização para a segurança de informação
A sensibilização para as questões de segurança assumem nesta vaga importância vital e muitos especialistas tentam realçar que o envolvimento dos utilizadores como parte interessada na segurança das suas organizações os impele, não a procurar atalhos para explorar vulnerabilidades, mas a cumprirem e a ajudarem a cumprir as políticas de segurança em vigor [6, 5].
Já em 1883, Auguste Kerckhoffs [7], apesar de aplicado no domínio da criptografia, defendeu que devemos evitar aquilo que hoje se designa na segurança de informação como ‘segurança através da obscuridade’, isto é, o facto de que a segurança não deve ser suportada no segredo (salvaguardando aqui a confidencialidade a que a informação deve estar sujeita).
…
S e g u r a n ç a d e I n f o r m a ç ã o : a q u i n t a v a g a ?
-
18
Auditoria Interna Janeiro/Março 2009 Nº 33
… 1.4 Vaga de Governo da Segurança de Informação
Até meados da década de 2000 a Vaga de
Institucionalização foi prevalecente, altura em que
uma quarta vaga, designada por ‘Vaga de Governo da Segurança de Informação’ [13],
surgiu de forma natural, devido à pessoal e directa
responsabilização da gestão de topo [1] e ao forte
desenvolvimento no domínio do governo das
sociedades e nas áreas legais e regulatórias.
A moderna definição de Governo das Sociedades
(Corporate Governance) está alinhada com aquele
que foi, talvez, o mais importante documento neste
domínio, o ‘The Cadbury Report’ [11].
Apesar de datar de 1992, serviu de sustentação
para o importante ‘Principles of Corporate
Governance’, da OCDE (quer na sua versão de
1999, quer na revisão de 2004 [8]).
Os dois relatórios servem de suporte ao recente
padrão internacional de Corporate Governance de
tecnologias de informação, o ISO/IEC 38500:2008
[4]. Este padrão tem como objectivo fornecer um
framework de princípios que a Gestão deve utilizar
para avaliar, gerir e monitorizar o uso das
tecnologias de informação dentro das suas
organizações.
Outros frameworks estão disponíveis, mas nenhum
serve por si só os interesses de uma organização
e cada um deles corresponde tipicamente a uma
perspectiva diferente e incompleta de Corporate
Governance de TI.
É importante adoptar aquele ou aqueles que
apresentam o ponto de vista mais adequado com o
alinhamento do negócio e com as inerentes
expectativas da gestão no que diz respeito à
gestão do risco e, particularmente, à segurança de
informação.
2 Conclusão
A consolidação de uma cultura de segurança de
informação nas organizações, a natural
incorporação da segurança de informação nos
processos de negócio e na estrutura
organizacional e ainda a sua utilização no
processo decisório, torna evidente que
caminhamos de forma acelerada para uma quinta
vaga. Pelas especificidades que apresenta,
designá-la-ei por ‘Vaga de Business as Usual’.
Nesta vaga, a segurança de informação deixará de
pertencer ao domínio da possibilidade ou da mera
ferramenta de resolução de situações emergentes
(nice-to-have), para passar a ser uma real
necessidade e uma ferramenta capaz de dar
tantas ou mais respostas que qualquer outro
domínio da Gestão (need-to-have).
…
S e g u r a n ç a d e I n f o r m a ç ã o : a q u i n t a v a g a ?
S e g u r a n ç a d e I n f o r m a ç ã o : a q u i n t a v a g a ?
-
19
Auditoria Interna Janeiro/Março 2009 Nº 33
Figura 1 – As diversas vagas da segurança de informação Referências
[1] Sarbanes-Oxley Act. http://news.findlaw.com/hdocs/docs/gwbush/sarbanesoxley072302.pdf, 2002.
[2] ISO/IEC 27001:2005 Information Technology - Security Techniques – Information Security Management Systems - Requirements, 2005.
[3] ISO/IEC 27002:2005 Information Technology - Security Techniques - Code of Practice for Information Security Management, 2005.
[4] ISO/IEC 38500:2008 - Corporate Governance of Information Technology, 2008.
[5] ADAMS, A., AND SASSE, M. A. Users Are Not The Enemy. Communications of the ACM 42, 12 (1999).
[6] GOLLMANN, D. Computer Security. Wiley, 2006.
[7] KERCKHOFFS, A. La Cryptographie Militaire. http://www.petitcolas.net/fabien/kerckhoffs/crypto_militaire_1.pdf, 1883. Journal des Sciences Militaires.
[8] OECD. OECD Principles of Corporate Governance. http://www.oecd.org/DATAOECD/32/18/31557724.pdf, 2004.
[9] SANTAYANA, G. The life of reason. http://www.gutenberg.org/files/15000/15000-8.txt, 1906.
[10] Taylor, F. W. Principles of Scientific Management. http://www.gutenberg.org/dirs/etext04/pscmg10.txt, 1911.
[11] UKSA. The Financial Aspects of Corporate Governance - The 'Cadbury' Report.
http://www.uksa.org.uk/Corporate_Governance_Cadbury_1992.pdf, 1992.
[12] VON SOLMS, B. Information Security - The Third Wave? Computers & Security 19 (2000), 615-620.
[13] VON SOLMS, B. Information Security - The Fourth Wave. Computers & Security 25 (2006), 165-168.
Pode comentar para [email protected]
o
-
20
Auditoria Interna Janeiro/Março 2009 Nº 33
No princípio era a predestinação e a força. Assim os
reis justificavam perante os seus súbditos uma
“inerente” capacidade de liderança, superiormente
emanada.
Falamos de tempos em que conceitos tais como
utilidade social, aptidões e competências eram
secundários – para não dizer inexistentes – no
contexto de uma qualquer governação. Noutras
células sociais, de reduzida dimensão, semelhantes
cousas se passavam.
Nas empresas de então, a generalidade das
sucessões de topo concretizavam-se com exclusiva
base no factor hereditário – pese o facto de a
genética não representar, naquela altura, mais do
que um sonho, reinventado anos mais tarde por
Charles Darwin na suA Origem das Espécies.
Entretanto, vem a Revolução Francesa provocar uma
significativa mudança de valores. E o risco de perder
a cabeça – literalmente falando – traduziu-se numa
maior preocupação por parte dos líderes em serem
percebidos pelo povo como fiéis depositários dos
seus interesses, como “gestores” úteis e
imprescindíveis ao bom governo das nações.
Pouco passa até que uma nova revolução – desta
feita Industrial e não política – viesse condenar ao
insucesso, cada vez mais facilmente, os mais inaptos
gestores.
Nos tempos que correm, as organizações atingem
cada vez maiores níveis de complexidades (tudo o
que envolve pessoas sempre se revestirá de
complexidades), ampliadas pelas necessidades
oriundas dos ambientes interno e externo – cada vez
mais alargados – em que actuam, tais como: a
existência de uma cultura organizacional própria,
coadjuvada pela cultura da sociedade em que se
inserem, a natureza única de cada negócio, as suas
múltiplas relações com o exterior, e etc.
Todo um sem número de elementos que apenas se
ajustam, no tempo e no espaço, a uma gestão
sempre atenta e cada vez mais especializada.
E é nesse contexto que decisivamente evoluiu a
auditoria interna, acompanhando as mudanças que
ali se verificavam.
E de tal modo que nas organizações bem sucedidas
dos nossos dias é cada vez mais profundo o
relacionamento entre os gestores e os auditores
internos, pese o necessário dever de independência
que destes se espera.
…
A Gestão e a Auditoria Interna:
Antecedentes Históricos
Fábio de Albuquerque, César Ribeiro, Tânia Mota.
No princípio era a predestinação e a força. Assim os reis justificavam perante os seus súbditos uma “inerente” capacidade de liderança, superiormente emanada.
-
21
Auditoria Interna Janeiro/Março 2009 Nº 33
…
Por fim, ressalte-se que se por um lado a alteração
do contexto histórico e social dos últimos (pelo
menos) cinquenta anos vieram clarificar o papel e a
importância da auditoria interna em tão feliz
casamento, jamais se porá em causa, por outro, que
a sua utilidade social terá sido, desde sempre, e
assim seguirá sendo o motor único para o seu
crescimento e reconhecimento como função
incontornável no seio das organizações do futuro.
1. A Auditoria Interna: Avanços mais recentes Apesar de a auditoria externa ser comummente
referida como bastante anterior à auditoria interna2,
existem fortes indícios que apontam para a ideia de
que esta, à semelhança daquela, fosse também
praticada desde as antigas civilizações (Morais e
Martins: 2003, 60).
Nos Estados Unidos, é certo que já há mais de
cinquenta anos que a auditoria interna vem sendo
adoptada por empresas de médio e grande porte
como principal aliada dos órgãos de gestão, obtendo,
contudo, maior reconhecimento apenas há cerca de
vinte anos. Na Europa, a prática da auditoria interna
foi iniciada pelo Reino Unido, sendo de perto seguido
pela Alemanha. Em Portugal, segundo consta,
apenas recentemente a auditoria interna passou a ser
vista pelas organizações como imprescindível meio
para a melhoria dos seus negócios. (Franco e Reis:
2004)
Se no princípio a detecção de fraudes era parte
fundamental no trabalho dos auditores, actuando
estes como verdadeiros “polícias” na defesa dos
interesses dos detentores do capital, hoje tal vertente
surge como uma decorrência natural das principais
atribuições cometidas ao departamento de auditoria
2 Apenas em 1941 foi criado, nos Estados Unidos, o Institute
of Internal Audits (IIA); e em Portugal, muitos anos mais
tarde, mais precisamente em 1992, o Instituto Português de
Auditores Internos (IPAI).
interna, e não como um dos seus principais
objectivos.
É por isso ponto assente que com o crescimento das
organizações foi-se tornando deveras difícil para a
gestão controlar cada uma das funções que
sucessivamente lhe vinham sendo requeridas.
E é nesse contexto que a auditoria interna emergiu
como principal aliada da gestão de topo, avaliando,
recomendando e monitorizando os vários riscos com
que se confrontavam os objectivos estratégicos por
esta traçados
Tal nível de complexidade terá sido,
indubitavelmente, o estímulo para o despertar da
necessidade de concepção de um outro organismo
que, directamente ligado aos quadros da gestão,
prestasse a ajuda necessária para a melhoria dos
seus negócios, identificando áreas problemáticas e
sugerindo correcções, tendo para tanto o apoio
necessário para o desenvolvimento dos seus
trabalhos no interior da organização.
Falamos, claro está, da função desempenhada pelos
auditores internos.
2. Fundamentos e finalidades
Na óptica do Institute of Internal Auditors (IIA, 1999),
a auditoria interna pode ser definida como (o
sublinhado é nosso):
Uma actividade independente, de avaliação objectiva e de consultoria, destinada a
acrescentar valor e melhorar as operações de
uma organização na consecução dos seus objectivos, através de uma abordagem
sistemática e disciplinada, na avaliação dos
processos da eficácia da gestão de risco, do
controlo e da governação.”
…
A Gestão e a Auditoria Interna: Antecedentes Históricos
-
22
Auditoria Interna Janeiro/Março 2009 Nº 33
… Alguns dos aspectos contemplados naquela definição dizem
respeito ao modo como a auditoria interna exerce a sua
actividade com vista ao sucesso dos seus objectivos.
Assim, na visão do IIA (1999), a auditoria interna é entendida
como uma “actividade independente, de avaliação objectiva
e de consultoria”, não importando todavia a forma como tal
actividade é exercida, isto é, se através de uma relação
contratual subordinada ou não.
No que à metodologia de trabalho diz respeito, a referida
definição expressa ainda que a auditoria interna, na
condução dos seus interesses, vale-se-se de uma
“abordagem sistemática e disciplinada”.
Cumpre-nos então analisar outros dos aspectos
contidos, implícita ou explicitamente, no conceito
acima apresentado. Nesse sentido, ali percebemos
ainda que:
1. A auditoria interna é uma função de apoio à
gestão;
2. Partindo desse entendimento, para ser útil, os
auditores têm de acrescentar valor à organização
onde se inserem;
3. Tendo em vista atingir tais fins, deve centrar o seu
foco na eficácia do processo da gestão do risco,
do controlo e da governação.
3. Benefícios da auditoria interna para a gestão
No contexto da estreita relação mantida com a
Direcção da empresa, as funções cometidas aos
auditores internos, e já atrás referidas, baseiam-se
essencialmente:
1. Na vigilância do sistema de controlo interno,
mediante a identificação dos pontos fracos e
executando tarefas de controlo, recomendando
ainda acções correctivas sempre que julgue
necessário;
2. No apoio à implementação do processo da gestão de risco e outros relativos à governação, avaliando e recomendando o
aperfeiçoamento dos mesmos, de modo a
assegurar a consistência com os valores
organizacionais e a concretização dos
objectivos estabelecidos.
Desse modo, iniciamos este ponto pelo entendimento
de Barreiro (2007) acerca dos claros contributos da
auditoria interna para a organização, reconhecendo
naquela uma incontornável fonte de vantagem
competitiva para esta, adentro da estratégia traçada
pela gestão de topo. Refere o autor nesse sentido
que:
(…) se partirmos do princípio de que algumas
daquelas variáveis3 traduzidas como: factores de
risco, de fraude, de controlo interno, etc., bem como
da ética no seu sentido genérico, se não forem
devidamente atendidas e convenientemente
tratadas, podem vir a pôr em risco, a estratégia.
Paupério (2006), por sua vez, apresenta-nos mais
clara e detalhadamente aqueles que considera os
principais contributos da auditoria interna para a
gestão, nas linhas seguintes:
Potenciador de inovação: a auditoria interna
permite que a gestão assuma mais riscos e
aproveitar oportunidades;
Mecanismo de optimização e de evolução
qualitativa da gestão: permite identificar,
questionar e melhorar ineficiências;
Facilitadora da descentralização da gestão,
delegação e autonomia das funções;
Promove o alinhamento de todos os níveis da
organização;
A auditoria interna é um factor de conforto e
garantia no controlo dos riscos;
Exerce um papel relevante na criação e
consolidação da confiança dentro da organização;
…
3 Em causa, “variáveis de alguma vulnerabilidade existentes em todas as organizações”.
A Gestão e a Auditoria Interna: Antecedentes Históricos
-
23
Auditoria Interna Janeiro/Março 2009 Nº 33
…
4. A auditoria interna na visão dos gestores portugueses
Pese a existência de claros indicadores favoráveis à
mudança de mentalidades por parte dos gestores
nacionais, no que toca aos benefícios oriundos de
uma auditoria interna com competências bem
definidas no interior da organização, a realidade apresentada por Sá (2008) é reveladora de que “a auditoria interna em Portugal está longe da maturidade”. Essa a conclusão extraída a partir de um inquérito
conduzido pelo Instituto Português de Auditores
Internos (IPAI) em parceria com a KPMG, e discutida
pela referida autora.
Recursos humanos insuficientes, falta de
investimento e pouco envolvimento da gestão de topo
são algumas das deficiências com que se depararam
os investigadores num estudo que pretendia
desvendar o actual cenário da auditoria interna no
nosso país.
Em cerca de metade das empresas portuguesas, o
plano de acção do departamento de auditoria interna
não apresenta um envolvimento directo dos gestores
de topo, o que à partida indicia uma pouca
importância atribuída àquela área pelos principais
responsáveis da organização.
Domingos Sequeira, vice-presidente do IPAI, em
artigo publicado por Sá (2008), no Jornal de
Negócios, justifica que “a gestão ainda não está
muito envolvida e consciente da sua responsabilidade
nesta matéria.
A auditoria interna é considerada menor em algumas organizações, não por má fé, mas por falta de tradição, de sensibilidade e até por uma questão cultural”.
Considerações Finais
A intensa competitividade, a globalização, o advento
das novas tecnologias, as mudanças de atitudes e
expectativas de públicos diversos, entre outros
factores, pressionam as organizações a conduzir e a
gerir os seus compromissos em conformidade com os
requisitos regulamentares a serem observados, de
modo a cumprir com as pretensões e objectivos dos
accionistas e outros destinatários. Os auditores,
como principais aliados da gestão, aceitam
atribuições cada vez mais amplas, destinando-se os
seus trabalhos a um leque de utilizadores cada vez
mais alargado.
A mudança de paradigma passa, sob o nosso ponto de vista, por conduzir os trabalhos da auditoria interna como uma função de apoio à gestão, na identificação e controlo de riscos e na implementação de soluções, fazendo esquecer a antiga visão de auditores como “polícias” ou ainda como uma função conflituosa, desinteressante ou mesmo indesejada.
o As referências bibliográficas podem ser consultadas no sítio do IPAI, em http://www.ipai.pt/gca/index.php?id=59
Pode comentar para [email protected]
A Gestão e a Auditoria Interna: Antecedentes Históricos
Abril 2009 Formação Liderança e Comunicação em Auditoria Interna
-
24
Auditoria Interna Janeiro/Março 2009 Nº 33
Audit Automation Facilities – Módulo de Análise
de Risco (Enterprise Risk Management)
Fernando Fernandes (Director Projectos da WJPortugal)
D a n d o s e g u i m e n t o a o a r t i g o a n t e r i o r p a s s a m o s a a n a l i s a r o M ó d u l o d e A n á l i s e d e R i s c o , r e l e m b r a n d o q u e : O M ó d u l o d e P r o c e s s o s ( C a t á l o g o ) d o A u d i t A u t o m a t i o n F a c i l i t i e s p e r m i t e r e g i s t a r t o d o s o s F a c t o r e s d e R i s c o d e c a d a p r o c e s s o e a s s o c i a r o s A v a l i a d o r e s d e R i s c o .
E x e m p l i f i c a m o s d e s e g u i d a o M ó d u l o d e A n á l i s e d e R i s c o :
A s u a O r g a n i z a ç ã o e s t á p r e p a r a d a p a r a a c t u a r m e d i a n t e a s N o r m a s e R e g u l a m e n t a ç õ e s I n t e r n a c i o n a i s ? O A A F p e r m i t e - l h e c a l c u l a r o N í v e l d e R i s c o d a s U n i d a d e s A u d i t á v e i s / P r o c e s s o s
d a s u a O r g a n i z a ç ã o .
D e q u e F o r m a ? A t r a v é s d a a s s o c i a ç ã o e n t r e U n i d a d e s
A u d i t á v e i s , P r o c e s s o s , F a c t o r e s d e R i s c o e
A v a l i a d o r e s d e R i s c o .
C o m o s e p r o c e s s a ? O G e s t o r d e R i s c o é o r e s p o n s á v e l p o r
i n i c i a r e s s a A v a l i a ç ã o .
C o m o é c a l c u l a d o o N í v e l d e R i s c o ? A p ó s r e s p o s t a a o s q u e s t i o n á r i o s p e l o s
A v a l i a d o r e s d e R i s c o , o G e s t o r d o R i s c o
f e c h a a a v a l i a ç ã o e s o l i c i t a o c á l c u l o d o
R i s c o .
O A A F c o n s i d e r a a s a v a l i a ç õ e s r e s p o n d i d a s , a s n o t a s d a s A u d i t o r i a s
a n t e r i o r e s , o p e r í o d o d e e x e c u ç ã o d a s
m e s m a s e o s I n d i c a d o r e s d e R i s c o / P e s o
d a s U n i d a d e s A u d i t á v e i s .
…
…
-
25
Auditoria Interna Janeiro/Março 2009 Nº 33
O s i s t e m a a s s o c i a a u t o m a t i c a m e n t e o s
F a c t o r e s d e R i s c o p o r
U n i d a d e / P r o c e s s o , e e n v i a
q u e s t i o n á r i o s p a r a o s A v a l i a d o r e s d e
R i s c o r e s p o n d e r e m e m t e r m o s d e
( I m p a c t e v e r s u s P r o b a b i l i d a d e ) d o s
m e s m o s s u c e d e r e m n a s
u n i d a d e s / p r o c e s s o s .
Q u a i s a s V a n t a g e n s ?
P e r m i t e u m c o n h e c i m e n t o e f e c t i v o d o
N í v e l R i s c o d o s s e u s
P r o c e s s o s / U n i d a d e s A u d i t á v e i s .
A s U n i d a d e s A u d i t á v e i s d a s u a
O r g a n i z a ç ã o f i c a m o r d e n a d a s e
a g r u p a d a s p o r n í v e l d e R i s c o .
P e r m i t e u m a A v a l i a ç ã o H i s t ó r i c a d o
R i s c o n a s u a O r g a n i z a ç ã o .
P e r m i t e P l a n e a r c o m m a i o r e f i c i ê n c i a
a s p r ó x i m a s a c ç õ e s d o s e u
D e p a r t a m e n t o d e A u d i t o r i a I n t e r n a ,
m i n i m i z a n d o o s R i s c o d e C o n t r o l o
I n t e r n o .
P e r m i t e c r i a r r e l a t ó r i o s d e G e s t ã o d e
A p o i o à D e c i s ã o .
A u m e n t a a e f i c á c i a d a s a c ç õ e s d o s e u
D e p a r t a m e n t o d e A u d i t o r i a I n t e r n a ,
a n t e c i p a n d o a s o c o r r ê n c i a s ,
m i n i m i z a n d o o s R i s c o s , a c t u a n d o n u m a
ó p t i c a d e p r e v e n ç ã o .
S a b i a q u e a n o v a r e l e a s e d o A A F , p e r m i t i r á : R e a l i z a r A u d i t o r i a s a o s p r o c e s s o s d a s u a O r g a n i z a ç ã o , e m T e m p o R e a l , e m i t i n d o a l e r t a s s e m p r e q u e o s l i m i t e s s ã o u l t r a p a s s a d o s .
C r i a r u m a b a s e d e C o n h e c i m e n t o c o m s é r i e s h i s t ó r i c a s p a r a f u t u r a s A v a l i a ç õ e s d e R i s c o e
A n a l i s e s E s t a t í s t i c a s .
…
A u t oma t i o n F a c i l i t i e s – Módu l o d e A n á l i s e d e R i s c o ( E n t e r p r i s e A u d i t R i s k Man a g eme n t )
-
26
Auditoria Interna Janeiro/Março 2009 Nº 33
… D e q u e f o r m a :
P i l o t o Au t o m á t i c o ( R A D A R )
Monitorizando a relação entre os Factores de Risco Vs Controlo Interno/Processos de Negócio.
Q u a l é o O b j e c t i v o ?
O b s e r v a r , m e d i r , a l e r t a r o s I n d i c a d o r e s d e R i s c o , e n c o n t r a n d o o s P C D ( P a d r õ e s C a r a c t e r í s t i c o s d e D e s v i o ) p a r a f u t u r a s
A v a l i a ç õ e s d e R i s c o .
E x e m p l o d e u m I n d i c a d o r d e R i s c o ( P r o c e d i m e n t o ) .
U m a R e l a ç ã o s e m a n a l d o s d e p ó s i t o s e
l e v a n t a m e n t o s n u m a U n i d a d e A u d i t á v e l ,
p a r a o s q u a i s s e d e f i n i u u m l i m i t e s u p e r i o r
e i n f e r i o r , e m i t i n d o “ A l e r t a s ” s e m p r e q u e
o s l i m i t e s s ã o u l t r a p a s s a d o s .
O q u e o A A F f a z ?
O A A F e s t a b e l e c e u m p a r a l e l o e n t r e o s I n d i c a d o r e s d e R i s c o e a s O c o r r ê n c i a s d o s P r o c e s s o s d e N e g ó c i o , c o m o o b j e c t i v o d e m e d i r a p e r f o r m a n c e d o s
C o n t r o l o s I n t e r n o s e c a l c u l a r o s v a l o r e s
d a s s é r i e s ( O c o r r ê n c i a s ) a o l o n g o d o t e m p o , d e f o r m a , a o b t e r o s P C D e
i n c r e m e n t a r a B a s e d e C o n h e c i m e n t o .
O s d a d o s r e l a t i v o s à s I n c i d ê n c i a s ( F i n d i n g s ) e n c o n t r a d a s d u r a n t e o s t r a b a l h o s d e A u d i t o r i a e o s d a d o s
f o r n e c i d o s p e l o R A D A R . O q u e f o r n e c e o R A D A R ? S é r i e s h i s t ó r i c a s o u s é r i e s t e m p o r a i s
d o s v a l o r e s d e u m a v a r i á v e l
( O c o r r ê n c i a s ) a o l o n g o d o t e m p o ( P C D ) . Q u a i s a s V a n t a g e n s ? A p o i a r o D e p a r t a m e n t o d e A u d i t o r i a
I n t e r n a n a t o m a d a d e d e c i s õ e s , c o m
b a s e e m a n á l i s e s e x e c u t a d a s s o b r e a
B a s e d e C o n h e c i m e n t o .
P e r m i t e a c t u a r d e f o r m a p r e v e n t i v a .
P e r m i t e u m a a n á l i s e p e r m a n e n t e d a
e f i c i ê n c i a e e f e c t i v i d a d e d o s C o n t r o l o s
I n t e r n o s .
P e r m i t e u m a a n á l i s e d e c u s t o / b e n e f í c i o
d e c a d a C o n t r o l o I n t e r n o .
o
Na próxima edição iremos abordar o Módulo de Planeamento, baseado no Risco, Planeamento à medida e replaneamento automático. Até lá.
Eficácia, Controlo, Transparência, Flexibilidade e Rigor
Ainda não é Subscritor da nossa Newsletter? Envie já um e-mail para: [email protected]
A u d i t A u t oma t i o n F a c i l i t i e s – Módu l o d e A n á l i s e d e R i s c o ( E n t e r p r i s e R i s k Man a g eme n t )
-
27
Auditoria Interna Janeiro/Março 2009 Nº 33
Como define a sua experiência em auditoria interna?
A minha primeira experiência em auditoria interna ocorreu em 1994 quando fui seleccionado para ingressar no departamento de auditoria interna de um grupo empresarial português.
Tive a oportunidade e o privilégio de desenvolver trabalhos continuados, durante vários anos, em diversas áreas de actividade, desde a indústria, distribuição, imobiliária, telecomunicações, e numa grande diversidade de serviços.
Actualmente, continuo a prestar serviços de auditoria interna e gestão de risco em negócios diversificados, tais como resorts turísticos, empreendimentos residenciais, gestão de activos imobiliários, operações turísticas diversas, seed and venture Capital, Joint-Ventures e gestão de participações financeiras.
Tenho no entanto ainda muito para aprender. Tendo presente que o valor de cada um de nós depende do contributo e do valor que
conseguimos acrescentar aos negócios, e que a experiência em auditoria interna é um factor facilitador na criação desse valor, defino-a como um pilar fundamental para o desenvolvimento da minha actividade profissional.
Qual a principal motivação para efectuar a cert i f icação (CIA)?
A principal motivação para efectuar a certificação prendeu-se com obtenção de maiores conhecimentos em auditoria interna, para além de um reconhecimento de competências profissionais.
Trata-se de uma certificação que, como é sabido, é reconhecida internacionalmente, sendo também das poucas certificações (ou mesmo a única) que é global. Independentemente da obtenção da certificação, só a oportunidade de aprender, ao frequentar formação específica relacionada com as melhores práticas de auditoria interna, já por si justificou o “tempo ganho” com o processo de certificação.
…
Miguel Gomes
Tenho no entanto ainda muito para aprender. Tendo presente que o valor de cada um de nós depende do contributo e do valor que conseguimos acrescentar aos negócios, e que a experiência em auditoria interna é um factor facilitador na criação desse valor, defino-a como um pilar fundamental para o desenvolvimento da minha actividade profissional.
A palavra ao CIA
-
28
Auditoria Interna Janeiro/Março 2009 Nº 33
… Que vantagens identif ica na sua função após a certif icação (CIA)? Na minha opinião a maior vantagem reside no facto de se tratar de uma certificação de competências profissionais para o exercício de uma função, reconhecida de forma global. Tendo em conta que a função de auditoria interna se está a tornar cada vez mais imprescindível na gestão das empresas, e que a globalização e a mobilidade de pessoas e recursos é uma realidade cada vez mais presente, não tenho qualquer dúvida de que uma certificação deste tipo assumirá cada vez maior importância no futuro. Não basta dizer que se sabe, o que as empresas e os gestores precisam é de pessoa com competências profissionais para responder aos diversos desafios das empresas. Penso que a certificação em muito contribuirá nessa escolha.
Qual a importância que a cert i f icação CIA tem na sua empresa?
Pela minha experiência, o que posso dizer é que a certificação é bastante reconhecida e valorizada pelas empresas. Para a organização em que presto serviços, em que a auditoria interna é uma das áreas de suporte à gestão, este tipo de certificação assume bastante relevância.
Que importância tem a cert if icação CIA na valorização da auditoria interna, em Portugal?
Sendo uma certificação profissional reconhecida internacionalmente, não tenho qualquer dúvida de que dará um forte incremento no desenvolvimento e valorização da auditoria interna em Portugal. Penso que cada vez mais, os gestores irão aperceber-se das vantagens e da importância da função de auditoria interna e da certificação (CIA).
O que considera relevante para a preparação da cert if icação?
No meu caso pessoal, a experiência profissional foi de facto uma grande ajuda para a obtenção da certificação. Em relação à preparação para o
exame, penso que a formação organizada pelo IPAI é uma excelente forma de os candidatos aumentarem fortemente as probabilidades de passarem no exame. São acções de formação muito objectivas e orientadas para as matérias abrangidas no exame.
O que achou mais interessante/dif íci l no exame (CIA)?
O mais interessante foi confrontar aquilo que era fruto da minha experiência profissional com a resolução dos casos práticos apresentados no exame. Foi bastante interessante pôr em prática a minha experiência na resolução deste tipo de exercícios. Não menos interessante foram também os temas relacionados com as práticas profissionais de auditoria, cujo estudo me permitiu corrigir e melhorar alguns aspectos na minha actuação como profissional de auditoria interna.
Que conselho dá aos colegas que se queiram cert if icar (CIA)?
O conselho que dou é que, se têm motivação, não olhem para trás nem percam mais tempo. Agarrem a oportunidade e o desfio candidatando-se à certificação, porque tenho a certeza que o futuro dos profissionais de auditoria interna passará necessariamente por este tipo de certificações.
Como aprecia o papel do IPAI na organização da cert if icação CIA em Portugal?
Penso que os profissionais de auditoria interna têm muito a agradecer ao IPAI pelo apoio e desenvolvimento de iniciativas ao nível da formação profissional, bem como pelo contributo decisivo dos seus colaboradores directos para que o exame CIA fosse uma realidade em Portugal.
o
o Seja um CIA. Consul te o s i te do IPAI .
A p a l a v r a a o C I A
-
29
Auditoria Interna Janeiro/Março 2009 Nº 33
Como def ine a sua experiência em i toria
Assembleia Geral Anual 2009 Decorreu no passado dia 4 de Março de 2009 a Assembleia Geral Anual do IPAI, tendo sido aprovado por unanimidade: 1. O Relatório e Contas e de actividade de 2008; 2. O Plano de Actividades e Orçamento para 2009. Podem consultar os documentos e respectiva acta em
http://www.ipai.pt/gca/index.php?id=133
Algumas fotos do evento:
O Presidente de Direcção no uso da palavra
O Presidente do Conselho Fiscal no uso da palavra
Pode comentar para [email protected])
Notícias
Presidente do Conselho, Presidente da Direcção,
Presidente da Mesa da Assembleia Geral e Presidente do
Conselho Fiscal
-
30
Auditoria Interna Janeiro/Março 2009 Nº 33
…
Novos associados
Dulce Maria Guerra do Nascimento
Tânia Isabel Germano Mota
Adriana Luísa M.P.P. Gonçalves
Mafalda Baptista
António Xavier Costa Folgado
Fernando Manuel Bento Pereira
João Manuel Casa Nova Barão
Rui Pedro E. Cupertino de Miranda
Francisco Pedro Ricardo Torres
Ana Mafalda Marques Martins
Rui Miguel Vicente Constâncio
António Eduardo Botas Grilo
José Inácio Ramos Bonecas
Cláudia Alexandra P.L. Cruz Grencho
Maria da Conceição Sá D. Ribeiro Ferraz
Daria Helena Pimpão Segura
Pedro Miguel Vilhena Melo Machado
Maria Manuela da Fonseca Louro
Paulo Jorge Guerra Gonçalves
Vítor Manuel Ramos Pires
Nuno Miguel Bernardo de Morais
Carla Maria T. Brito Santos Patrício
António Manuel D. P. Santos Pinheiro
Célia Maria Marques Pereira
Marina Múrias de Mira Coelho
Ana Sofia Faria e Novais
Maria da Luz Claro
Maria José C. M. Geraldes Freire
Ana Cristina Trigo Relvas
Cristina Maria Calado Martins
Álvaro Manuel Miraldes Santos Ribeiro
Lélio Manuel Vicente Sousa Branca
Mónica Sandra Abreu Tomás
Sara Carvalho Vicente Bernando
António José Torres Pires
Susana Alexandra Oliveira Martins
Maria de Lurdes Rodrigues Fernandes
Carla Isabel da Silva e Sousa
Pedro Miguel Ribeiro Cunha
Ricardo José Ramos Antunes
Ana Maria dos Santos Marques
Susana Maria F. Carneiro Madureira
Manuel João Ribeiro
Maria Inácia Nepomuceno Lucas
Maria Georgina Madeira de Moura
Maria de Fátima P. Cara-Linda Charuto
Carla Filipa de Almeida Soares
Maria Delfina dos Santos Reis
António Vasco Guimarães da Silva
Dora Manuela Antunes F. Nascimento
Luís Manuel do Rosário Fortes
Nuno Miguel Brás Pinto
Joana Cristina Monforte Monteiro
João Pedro Castelo Badalo
Ana Paula Mourão Rodrigues
José Duarte Direito Tomaz
IIA Ranking de associados (CBOK 2006)
Bélgica 1154
Bulgária 357
Chipre 276
Dinamarca 390
Espanha 1556
Estónia 135
Finlândia 584
França 2937
Grécia 456
Holanda 1741
Islândia 100
Itália 2531
Luxemburgo 325
Noruega 662
Polónia 520
Portugal 375
Reino Unido e Irlanda 7185
República Checa 886
Roménia 214
Suécia 542
Suíça 305
Turquia 554
N o t í c i a s
-
31
Auditoria Interna Janeiro/Março 2009 Nº 33
Caneta Digital
Seja simpático para as pessoas quando está a progredir pois irá encontrá-las quando estiver em queda.
Wilson Mizner
I respect faith, but doubt is what gets you an education.
Wilson Mizner
Um testemunho sobre o novo site do IPAI
Assunto: RE: IPAI - Entrevista - CONFERÊNCIA
Caros Colegas do IPAI,
MUITOS PARABÉNS pelo vosso novo site.
ADOREI....
Gostei muito, quer pela informação que nos fornecem quer pelas cores fortes que possui ( a cor vermelha fica excelente), mas também sou suspeita, porque adoro o vermelho, que interpreto como uma cor de muita força, ambição, poder no bom sentido, liberdade ....
Simplesmente, uma cor MUITO FORTE. A cor branca que é o fundo do site fica óptima...é a cor da PAZ, da HARMONIA. Duas cores que conjugam muito bem. Parabéns ao designer gráfico.
Já me inscrevi para a área reservada, pois sou uma grande e recente admiradora do vosso Instituto, apesar de só ter um ano e meio de Associada. Agradeço-vos também pelo que sou hoje como Auditora (Júnior, se assim me posso designar) no meio hospitalar, pois tenho aprendido muito, mas muito convosco. BEM HAJAM. FELICIDADES para o IPAI e para todos os seus colaboradores. Com os melhores cumprimentos, Ana Mafalda Costa A Direcção do IPAI agradece todas as opiniões sobre o site e revista. O contributo dos sócios é essencial para melhorarmos. Amanhã faremos melhor com o contributo de todos.
Biblioteca do auditor
Livros para Venda
The International Professional Practices Framework (IPPF) is the conceptual framework that organizes authoritative guidance promulgated by The Institute of Internal Auditors. IPPF guidance includes:
Mandatory Guidance
Definition of Internal Auditing Code of Ethics Standards Strongly Recommended Guidance
Position Papers Practice Advisories Practice Guides
Preço para sócios: 36,73 Euros; Preços para não sócios: 38,40 Euros; Acresce portes de correio: 4,00 Euros (Portugal Continental).
Preço: 30 Euros; Portes de correio: 3,30 Euros (Portugal Continental).
Para encomendar
Enviar cheque a favor do Instituto Português de Auditoria Interna, com indicação do livro pretendido e morada para envio (ou utilizar o método de transferência bancária utilizando o NIB
do IPAI, com informação através do correio electrónico [email protected])
Igualmente, pode encomendar em http://www.ipai.pt/catalogo/detalhes_produto.php?id=4
Não hesite em contactar-nos. Telef. / Fax 213 151 002
(Dr. Bombarda Azevedo.
N o t í c i a s
Não podemos escolher as cartas que nos são distribuídas, a nossa liberdade reside em saber jogá-las.
Randy Pausch
-
32
Auditoria Interna Janeiro/Março 2009 Nº 33
Publicidade
Pesquisa de Institutos de Auditoria - Europa
http://www.iiabel.be/ Welcome to IIA Belgium The Institute of Internal Auditors - Belgium v.z.w. (IIA Bel) is the only professional body in Belgium dedicated to the profession of Internal Audit. You may use the different menus of the website to find out more about our Institute and the profession of internal audit
-
33
Auditoria Interna Janeiro/Março 2009 Nº 33
Pesquisa em Blogues http://gesbanha.blogs.sapo.pt/202418.html Governo aprova criação Conselho Nacional de Supervisão da Auditoria
Recolha em 20set08 -
http://audijuris.blogs.sapo.pt/arquivo/2004_09.html
Setembro 22, 2004
Tópicos do dia para um auditor (Extracto)
Acabei de ler a revista de Auditoria Interna do IPAI, n.º 18-
Set.2004. Em jeito de reflexão sobre os tópicos que mais
retive e que deverão ser tidos em conta por todos os
profissionais de auditoria e instituições de controlo, sublinho
os seguintes:
1. " O auditor é um estrangeiro para a entidade ou função
auditada: é normal que as suas observações e
recomendações sejam acolhidas com cepticismo pela
entidade ou função auditada e pelos profissionais que a
dirigem: O que sabe ele? Se quiser então que venha fazer!
Julgam que são os maiores. E para mais, os riscos que ele
assinala, são verdadeiros ou servirão apenas para justificar o
seu emprego e para se pôr em evidência?"
Olivier Lemant
2. O GAO ( General Accounting Office ) recomenda que, em
matéria de controlo de qualidade, os auditores participem,
pelo menos uma vez em cada três anos, num programa de
revisão de qualidade executado por uma entidade externa ao
respectivo serviço.
3. Sustenta também o GAO, em termos de acompanhamento
das recomendações ( follow up ), que " uma das mais-valias
do trabalho de auditoria não está nas recomendações feitas,
mas sim na sua concretização eficaz". Para o efeito
recomenda:
- Alta qualidade das recomendações: as quais devem ser
positivas no seu tom e conteúdo, bem dirigidas, credíveis e
específicas;
- Compromisso: devem promover a acção, acreditar nas suas
próprias recomendações e na necessidade de mudança;
- Acompanhamento da implementação: deve existir uma
base consistente para a supervisão e acompanhamento das
acções que garantam a sua continuidade;
- Especial atenção para as recomendações mais importantes:
o relatório de auditoria deve hierarquizar as recomendações
formuladas.
4. O Instituto Nacional de Auditoria Australiano, no seu
manual de boas práticas, considera importante a realização
de questionários periódicos a realizar junto das entidades
auditadas, tendo em vista assegurar a melhoria continua do
trabalho de auditoria em termos de eficácia e de eficiência.
5.Uma Boa governação de auditoria sublinha:
- O contributo do auditor é a sua perspectiva nova, a sua
liberdade de espírito e a sua independência de julgamento;
- O auditor interessa-se pelas dificuldades da entidade
auditada, de modo a corresponder às expectativas criadas
com a chegada da equipa de auditoria;
- O auditor avalia os processos e os sistemas e não as
pessoas;
- O auditor trabalha com transparência, não esconde o que
vai fazer e informa o que vai relatar;
- (Num trabalho de auditoria) a relação auditor-auditado tem,
essencialmente, por objectivo facilitar os trabalhos de auditor
e de convencer o auditado da necessidade de respeitar as
regras;
- O relatório responsabiliza o auditor. A acção de auditoria
não é um entendimento restrito "auditor-auditado";
- O auditor deve reivindicar para sua acção a função auxílio e
a profissão de especialista em identificação e resolução dos
riscos negativos e disfuncionamentos;
- O auditor é verdadeiro e credível e está ao serviço do
diagnóstico de gestão;
- O auditor deve estabelecer um clima de confiança e de
cooperação, fazendo prova de que "sabe escutar".
6. Pecados capitais da auditoria interna:
- falta de cultura ética; - falta de benchmarking;- não saber
trabalhar em equipa
- não adopção dos princípios de Corporate Governance; -
falta de plano de acção baseado em matriz de risco; - falta de
perspectiva de negócio; desconhecimento dos riscos
negativos; relatórios sem oportunidade; ausência de política
de incentivos e de avaliação do desempenho; - ausência de
conceitos de cidadania e de responsabilidade social; - falta
de formação; - falta de formação em ética.
Posted by audijuris at 03:23 PM
Pesquisa na rede
-
34
Auditoria Interna Janeiro/Março 2009 Nº 33
O Zé auditor
Miguel Silva
-
35
Auditoria Interna Janeiro/Março 2009 Nº 33
-
36
Auditoria Interna Janeiro/Março 2009 Nº 33