Você está na página 1de 21

O BJECTIVOS DE AUDITORIA INTERNA

A auditora interna visa assegurar, permanentemente que a entidade executa as políticas,


directrizes e procedimentos emanados da direcção, detectando as áreas organizacionais onde se
produzem ou podem vir a produzir, distorções assim como avaliar para melhor a eficácia dos
processos de gestão de risco, controlo e governance.

O objectivo principal da actividade de auditoria interna é incentivar o cumprimento dos


objectivos da entidade, acrescentando valor para entidade

Os objectivos secundários a cumprir para que se atinja o objectivo principal são os seguintes:

1 – Avaliar o controlo interno da entidade, quer na vertente financeira, quer operacional,


com o objectivo de assegurar a fiabilidade da informação, financeira e não financeira, a
eficiência dos recursos e o cumprimento das normas e regulamentos;

2 – Analisar os activos da entidade, considerando possível a sua incorrecta utilização.


Este objectivo de auditoria interna apresenta os aspectos contabilísticos e operacional,
desde o registo nas contas ate a verificação física da sua existência, bem como a eficácia,
eficiência e economicidade. Há ainda que comprovar a existência ou não de controlos que
permitem minimizar os riscos, protegendo e salvaguardando esses activos;

3 – Analisar a fiabilidade do sistema de informação da entidade, determinar a correcta


obtenção da informação utilizada nas operações. A actividade de auditoria interna avalia
se os dados (base da informação) estão devidamente registados. É ainda função da
auditoria interna assegurar que a informação tratada chega ao órgão a que respeita e no
momento adequado;

4 – Considerar o cumprimento, por parte da estrutura organizacional, das políticas


emanadas da Direcção. A este objectivo corresponde a área de organização, isto é,
assegurar que a entidade conta com os controlos operacionais e, ou, administrativos
indispensáveis, para que os procedimentos, normas e politicas emanadas da Direcção
sejam cumpridas;

5 – Analisar a racionalização dos critérios organizacionais, valorizando a possibilidade de


melhor utilização e efectuando as recomendações oportunas. Este objectivo permite que a
1
auditoria interna funcione como assessoria da Direcção, exigindo-se que seja um
especialista em organização. Nas equipas de auditoria interna podemos encontrar
especialistas nas diferentes áreas para além da tradicional contabilidade e finanças.

O RISCO NO PROCESSO DE AUDITORIA INTERNA

O risco é a probabilidade que um acontecimento ou acção possa adversamente afectar a entidade.


Esta sujeita a Auditoria Interna qualquer activo, assim como qualquer actividade, processo ou
operações sujeitos a riscos.

É da responsabilidade do Órgão de Gestão a gestão de risco, incluindo a concessão e manutenção


do processo de gestão de risco. É da responsabilidade da actividade de auditoria interna avaliar a
adequação do processo de gestão de risco em entidades que ainda não tenham este processo
implementado, a actividade de auditoria interna pode assumir um papel de consultoria 1,
proactivamente.

Os auditores internos no papel de consultores podem ajudar as entidades a identificar, avaliar e


implementar metodologias de gestão de risco e recomendar os controlos orientados para aqueles
riscos.

Apesar dos auditores poderem assumir um papel relevante na implementação dos processos de
gestão de risco, normalmente a base da actividade de Auditoria Interna, jamais poderão ser os
responsáveis pela sua gestão.

A influência do risco na orientação da auditoria

Uma das preocupações da gestão está relacionada com os potenciais benefícios para a entidade,
isto é, com o retorno das operações, associada a esta preocupação está o risco, que inclui todos os
riscos, desde o financeiro ao de negócio2. O risco também é importante para os auditores internos
devido a sua relação com o sistema de controlos. Quanto maior for o risco maior será a
necessidade de controlo.

1
NA 1130-C1 e 1130-C2
2
Segundo James Deloach, o risco de negócio é o nível de exposição a incertezas, que a empresa deve compreender
e gerir de forma efectiva na execução das suas estratégias, para atingir os objectivos de negócio e de criação de
valor.

2
Segundo David McNamee, risco é a quantificação da incerteza. No processo de negócio a
incerteza está associada a concretização dos objectivos organizacionais. As consequências
podem ser positivas (oportunidades) ou negativas (apenas riscos).

O risco3 deve ser alinhado com os objectivos de controlo interno e de acordo com a Norma
2120.A14 do IIA, deve ser avaliada a eficiência e eficácia desses controlos, como resposta ao
risco de acordo com aquela Norma os objectivos são:

1 – Concretização dos objectivos estratégicos da entidade;

2 – Confiança e integridade da informação financeira e operacional;

3 – Eficiência e eficácia das operações e programas;

4 – Salvaguardar dos activos;

Alguns riscos são extremamente difíceis a até impossíveis de controlar, mas a gestão pode
recorrer a técnicas de gestão de risco5, como por exemplo, recorrer a seguros para minimizar as
potenciais perdas. Pode ainda gerir o risco estabelecendo um retorno económico maior em
compensação de riscos crescentes, não seguráveis.

Em geral, a gestão procura então minimizar os riscos, reconhecendo a sua existente sob a perda
vigilância, da seguinte forma:

► Reforçando os sistemas de controlo interno;

► Transferindo o risco através de seguro de possíveis perdas;

► Aceitando o risco procurando maiores retornos, quando se prevê maior risco.

3
O IIA define risco como a possibilidade de ocorrência de um evento que tenha um impacto sobre a concretização
dos objectivos. O risco é medido em termos de impacto e probabilidade de ocorrência. The institute of internal
Auditors Research Foundation, The Professional Practices framework Glossary, 2012, pág, 21, (tradução livre)
4
IIA, 2012, pág. 11
5
O IIA define gestão de risco como um processo para indenticar, avaliar, gerir e controlar eventos, ou situações
potenciais com o objectivo de proporcionar uma garantia razoável de que os objectivos da entidade serão
alcançados. IIA, 2012, pág. 21

3
A Norma 21206 do IIA refere que é da competência da actividade de auditoria interna auxiliar o
Órgão de Gestão, e a entidade em geral, na identificação e avaliação das exposições
significativas ao risco, contribuindo para a melhoria dos sistemas de gestão de risco e controlo.

Ao planear uma auditoria, os auditores internos avaliam não so o tipo de risco, mas acima de
tudo quanto representa o risco presente, protegendo toda a entidade, avaliando os riscos relativos
associados com as varias actividades, processos e operações e classificando-as por ordem dos
seus níveis relativos de risco, auditando prioritariamente as de maior risco.

O auditor deve questionar-se sobre os dois factores chave que entram na avaliação dos riscos:

► quanto representa a potencial perda?

►qual é a probabilidade da perda ocorrer?

O nível de risco é uma combinação destes dos factores. O risco também pode ser considerado
pelo lado positivo, pois os auditores internos, para além das potenciais perdas, consideram
também os potenciais ganhos, com as suas probabilidades associadas 7. Uma perda no lucro
potencial é semelhante em natureza a uma perda actualmente incorrida e o risco relativo de tal
perdas deve ser tida em consideração.

Cada entidade deve adoptar uma metodologia específica para implantar o seu processo de gestão
de risco, adaptado à sua cultura, filosofia de gestão e objectivos de negócio. Deve ser concebido
segundo a natureza das suas actividades e dependendo do seu tamanho e complexidade, o
processo pode ser formal ou informal, quantitativo ou subjectivo, descentralizado às unidades de
negócio ou centralizado à entidade.

A actividade de auditoria interna deve avaliar se a metodologia adoptada é percebida pelos


grupos chave, incluindo a Comissão de Auditoria e os diferentes gestores e avaliar se o processo
de gestão de risco é adequado.

Avaliação de risco

6
IIA, 2012, pág 14
7
Esta é a filosofia que esteve subjacente ao modelo ERM, criando, para o efeito, uma componente específica para
a identificação de eventos.

4
A avaliação do risco consiste na identificação e análise dos factores que possam afectar
adversamente a consecução dos objectivos, quantificando-os e gerindo-os através de um
processo sistemático é dinâmico.

Previamente, os objectivos têm de estar bem definidos, detalhados, classificados e


hierarquizados, afim de idenficar mais eficazmente os riscos associados.

A classificação do risco é efectuada, geralmente, com base na experiencia do auditor em


entidades especificas, socorrendo-se quando necessário, em informação adicional recolhida pela
gestão e, ou, outras fontes. Na conclusão da classificação deverá ser efectuada uma revisão de
modo à permitir aos auditores verificarem qualquer inconsistência que possa ter ocorrido no
processo.

Os auditores, e por vezes com a Direcção, reúnem-se para definir as áreas passiveis de Auditoria
e os riscos comparativos, numa base informal. As políticas internas poderão influenciar a forma
como as áreas sujeitas a Auditoria são seleccionadas, no entanto, não deverão influenciar em
demasia o processo de selecção.

A PR 2120-18 do IIA, relativa à avaliação da adequação dos processos da gestão de risco, refere
que os auditores internos devem obter a prova suficiente, para poderem emitir opinião, de que os
objectivos chave do processo de gestão de risco se cumprem efectivamente.

A NA1220-A-39 refere que os auditores internos devem estar alertas para os riscos significativos
que possam afectar os objectivos, as operações ou os recursos. No entanto os procedimentos de
auditoria por si só, mesmo levado a cabo com o adequado cuidado profissional, não garantem
que todos os riscos sejam identificados.

Após a identificação dos riscos, é aconselhável sejam categorizados (estratégicos operacionais).


Devem ser avaliados, tendo em conta a sua probabilidade e impacto. A figura a baixo é uma
matriz de risco resultante dessa avaliação.
8
IIA, 2013, pág, 62
9
IIA, 2012, pág 6

5
Riscos
estratégico
Provável Médio Baixo Baixo s chave

Considerar
também o
Probabilidad horizonte
e de Possível Baixo Medio Baixo temporal e
ocorrência a
velocidade
em que se
produziram
Improváv os
Baixo Baixo Médio
el impactos

Moderad Significativ
Reduzido
o o

Magnitude do impacto

Cada entidade deve construir as escalas de probabilidade e magnitude de acordo com as suas
especificidades, benchmarking, histórico, etc…

É com base na avaliação de risco que são determinadas as prioridades das áreas pi processos a
auditar e é elaborado o plano anual das auditorias a realizar. O quadro abaixo é um exemplo de
como pode ser construída uma informação integrada, permitindo filtrar as áreas de risco
prioritárias.

Identificação de Risco Quantificação de Risco


Priorização
Áreas de Tipo de Valor Probabilidade Risco
Risco Risco Estimado de Ocorrência Estimado

           

6
           

           
Exemplo de Mapa de Risco

A avaliação do risco usando a metodologia ERM, é função fundamental da actividade de


Auditoria Interna, reconhecida tanto pelo IIA10 como pelo COSO11.

Este modelo (COSO, 2004) é um guia de implementação pratica acessível a rodas as entidades,
que permite tratar eficazmente a incerteza porque ajuda a enfrentar os riscos e a atingir os
objectivos, evitando surpresas. É uma estrutura integrada concebida para identicar, avaliar e
medir ameaças e oportunidades, com grau de segurança razoável que podem impedir que os
objectivos sejam alcançados (estratégicos, operacionais, reporting e cumprimento). Tem uma
configuração tridimensional como a melhor forma de transmitira mensagem de necessidade de
equilíbrio no relacionamento directo que existe entre os objectivos que a entidade pretende
alcançar e as componentes que representam um meio para os alcançar, ao nível da entidade no
geral, nas actividades, unidades, divisão ou processos. As componentes que representam o
veículo para os objectivos são oito: Ambiente interno, Estabelecimento de objectivos,
Identificação de eventos, Avaliação dos riscos, Resposta aos riscos, Actividade de controlo,
Informação e Comunicação e Supervisão12. É pois uma ferramenta ao serviço da entidade e dos
auditores.

O IIA lista alguns benefícios do ERM, destacando os seguintes:

► melhorar o conhecimento dos riscos e sua gestão eficaz;

► identificação proactiva e aproveitamento de oportunidades;

► resposta rápida as mudanças na envolvente;

► retribuição eficiente de recursos para a gestão de risco;

►base comum no estabelecimento para compreensão e gestão d risco;

►tomada de decisão mais segura;


10
Position Statement 2004, the Role of Internal Audit and Enterprise wide Risk Management
11
Enterprise Risk Management integrated Framework, 2004
12
www.COSO.org

7
►melhorar a previsão de possíveis impactos;

► melhorar a orientação das acções operacionais;

►melhorar a comunicação do Valor acrescentado;

► melhorar a credibilidade e confiança;

►melhorar a reputação corporativa;

►melhorar a probabilidade de êxito na implementação da estratégia.

A actividade Auditoria Interna, no âmbito do ERM, tem como objectivo garantir:

►os processos de gestão de risco, tanto na sua concepção como no seu funcionamento;

►a eficiência e eficácia das respostas ao risco e actividade de controlo relacionados;

►a integridade e exactidão da informação gerada sobre a gestão de risco.

Neste contexto, são funções da actividade de Auditoria Interna:

►facilitar a identificação e avaliação dos riscos;

►ajudar a direcção da entidade para que seja capaz de responder perante riscos;

►coordenar as actividades relacionadas com a gestão integrada de riscos;

►consolidar os relatos sobre os riscos;

►manter e desenvolver a estrutura da gestão integrada de riscos;

►liderar a elaboração de gestão integrada de riscos;

►desenvolver a estratégia para a gestão de risco para posterior aprovação pela Direcção.

Para além destas funções, a actividade de Auditoria Interna poderá ainda fornecer serviços de
consultaria desde que não conflitue com a sua independência e objectividade.

Medicao de risco

A quantificação de risco pode ser difícil de obter com precisão, no entanto, pode recorrer-se a
métodos de estimação razoável, alguns muito sofisticados, recorrendo a tecnologias de
informação.

8
Toda a estimativa inicial de risco para uma área particular é objecto de informação limitada. A
estimativa inicial de risco é apenas uma primeira passagem na classificação das possíveis áreas
sujeitas a Auditoria. Não é provável que a primeira avaliação do risco por parte dos Auditores
permaneça inteiramente consistente com futuras avaliações. A medida que mais informação é
disponibilizada é necessário fazer novas avaliações e comparações de risco.

Mesmas com estas restrições, as estimativas iniciais de risco podem ser úteis. O identificar áreas
de risco determinantes é importante já que a gestão pode não saber que tipos de risco estão
presentes nas várias actividades processos e operações. A avaliação e comparação da
importância relativa dos riscos da operação, apesar de subjectivas, podem oferecer uma
orientação valida na planificação do processo de Auditoria.

Considere-se, por exemplo, três áreas de risco e as respectivas potenciais perdas estimadas. No
primeiro caso, assume-se que há uma estimativa de 6 milhões de Meticais em stock que pode ser
desviado. No segundo caso assume-se que uma potencial perda de vendas, devido a uma fraca
qualidade do produto, é de 10 milhões de meticais. No terceiro caso, assume-se uma estimativa
de 25 milhões de Meticais em perda de novos empréstimos, se existirem praticas de
incumprimento em empréstimos anteriores.

Se os riscos forem priorizados atendendo apenas às quantias das perdas potenciais, a primeira
preocupação do auditor interno seria, a gestão da divida, o controlo de qualidade do produto e,
finalmente a gestão de stocks, respectivamente.

Suponha-se que os auditores internos reconsideraram a probabilidade de perda em cada ano.


Acreditam que a probabilidade do stock desviado é de75% (probabilidade elevada), o que
significa que 3 em cada 4 itens do inventário são desviados, sem pagamento, devido a
ineficiências no controlo. A probabilidade de perda de vendas devido à fraca qualidade do
produto é de 40% (probabilidade moderada). Além disso, estimam ainda que à probabilidade de
perda de novos empréstimos é de 1% (probabilidade muito baixo), devido ao cumprimento dos
prazos de pagamento de empréstimos anteriores e às solidas demonstrações financeiras da
entidade. O quadro abaixo ilustra o efeito combinado das perdas potenciais estimadas e as
respectivas probabilidades de ocorrência de risco.

9
Identificação de Risco Quantificação de Risco
Probabilidad Risco
Valor Priorização
Áreas de e de Estimado
Tipo de Risco Estimado
Risco Ocorrência RE= VE*PO
(VE) Mt
(PO) % Mt
 Desvios de
Existências stock por
6.000.000 Alto 75% 4.500.000 1º
ineficiência de
controlo
 Quebra nas
vendas – por
não
Vendas 10.000.000 Médio 40% 4.000.000 2º
cumprimento
de padrões de
qualidade
 Perda de
novos
empréstimos –
Financiament
devido a 25.000.000 Muito baixo 1% 250.000 3º
o
incumprimento
dos prazos de
pagamento
Exemplo de Mapa de Risco

Apesar de inicialmente a perda de novos empréstimos ser potencialmente superior ás perdas das
outras duas áreas, a probabilidade “muito baixa” dessa perda, reduz significativamente o risco.
Com efeito, a ordem do risco estimado altera-se quando as probabilidades são consideradas,
assim a primeira preocupação do Auditor passa a ser área de gestão de stock.

O factor que mais afecta as probabilidades é o controlo interno. Os controlos eficientes


reduzem a probabilidade de perda e, por conseguinte, o risco. Os controlos deficientes aumentam
a probabilidade de perda.

Factores de risco

10
A determinante mais importante na classificação das potenciais áreas sujeitas a Auditoria é o seu
risco relativo. Existe uma grande variedade de modelos de risco para ajudar a actividade de
Auditoria Interna a estabelecer prioridades entre as potencias áreas a auditar. A maioria dos
modelos de risco utiliza factores de risco para estabelecer a prioridade dos trabalhos.

A Norma 2010-113 determina que a elaboração dos planos deveria basear-se na avaliação do
risco a fim de definir as prioridades da actividade da Auditoria interna.

Os planos devem ser consistentes com as metas da entidade ao estabelecer as prioridades dos
planos de trabalho devera atender-se aos seguintes factores de risco:

1. As datas e os resultados da anterior auditoria;


2. Avaliação actualizada dos riscos, eficácia da gestão do risco e processos de controlo,
bem como a complexidade;
3. Pretensões de gestão de topo da comissão de auditoria e de Governance
4. Assuntos correntes relativos ao processo de Governance;
5. Relações com organizações reguladoras;
6. As mudanças significativas verificadas nos negócios, operacionais, programas,
sistemas e controlos;
7. Oportunidade de obtenção de benefícios operacionais;
8. As mudanças e as competências do pessoal de auditoria14.

Os auditores utilizam mais do que estes factores para comparar os riscos relativos, associados as
várias actividades, enumerando-se a seguir 18 factores de risco considerados importantes pelos
profissionais de Auditoria Interna.

1. Qualidade do sistema de controlo interno da entidade sujeita a Auditoria. A eficácia


geral do sistema de controlo interno resultante da concepção, implantação e
manutenção do sistema. Quanto menor a eficácia, maior o risco.
2. Competência da gestão, é o efeito combinado da formação, experiencia, compromisso
e apreciação da gestão. Quanto maior a competência menor o risco.

13
IIA, 2012, pág.9
14
Os programas de trabalho deverão ser suficientemente flexíveis para cobrir soluções não previstas, efectuadas a
actividade de Auditoria interna.

11
3. Integridade da gestão é a vontade da gestão em comprometer-se perante um código
ético e de boas-praticas, para se proteger a si e, ou, às áreas de responsabilidade.
Quanto maior a integridade, menor o risco.
4. Tamanho da entidade (por exemplo, nível de facturação, numero de trabalhadores,
total do activo). Quanto maior o investimento, menor o risco.
5. Mudança recente no sistema de contabilidade. Mudanças de políticas contabilísticas,
sistemas EDP (Electonic Data Processing. Processamento electrónico dos dados) ou
na gestão. Mudanças recentes no sistema contabilístico aumentam o risco, devido a
possibilidade de erros;
6. Complexidade das operações. Quer a sofisticação técnica das operações quer o grau
de pormenor exigem uma gestão eficaz. Quanto maior a complexidade, maior o risco;
7. Mudança no pessoal “chave”. Mudanças de directores dentro da organização,
responsáveis por factores críticos relacionados com o sucesso das operações,
aumentam o risco ou, pelo menos, originam incertezas quanto ao nível de risco.
8. Liquidez dos activos susceptibilidade de estes serem retirados da entidade e
facilmente desviados, conduz a uma maior probabilidade de perda.
9. Deterioração da condição económica de uma entidade são desempenhos negativos
crescentes. A medida que o desempenho se deteriora, os vários níveis da organização
tendem a ser negligentes e a deturparem a informação fazendo aumentar o risco.
10. Crescimento rápido ou sob pressão. A medida que a pressão aumenta o risco de uma
produtividade obtida à custa do relaxamento dos sistemas de controlo aumenta.
11. Extensão da informatização de uma entidade. O grau de controlo de aspectos
significativos das operações está dependente do sistema informático. O especialista
do processamento electrónico de dados (EDP) pode estar dependente de um nível
hierárquico superior e a medida que a informatização cresce, o risco de perder o
controlo sobre os activos e sobre a informação aumenta.
12. Tempo decorrido desde a ultima auditoria as auditorias frequentes e continuas
diminuem o risco.
13. Pressão sobre os vários níveis da entidade para satisfazer objectivos. São as
expectativas para conseguir maiores níveis de desempenho da área sujeita a
Auditoria. À medida que os responsáveis se sentem mais pressionados para a

12
satisfação de objectivos demasiado ambiciosos, o risco da produtividade obtida
aumenta.
14. Extensão da regulamentação. A exigência e a pormenorização de leis e
regulamentações afectam directamente as operações e o desempenho da entidade. As
consequências dessas variáveis são algo imprevisíveis. Quanto maior a
regulamentação e o detalhe, maior o risco de incumprimento.
15. Grau de motivação do pessoal uma fraca motivação aumenta o risco.
16. Cobertura das auditorias. Quanto maior a cooperação dos Auditores externos com os
internos, maior é a probabilidade de cobertura menor o risco.
17. Exposição pública. Uma divulgação de informação elevada pode diminuir o risco.
18. Distância da sede. Quanto maior é a distância relativamente à gestão local maior é
probabilidade de falta da coordenação com a entidade em geral, a negligencia dos
sistemas de controlo aumentam o risco.

Para classificar as áreas potenciais a auditar podem usar-se sofisticados métodos estatístico ou
factores de risco num processo simplificado, com recurso a ferramentas informatizadas, desde a
utilização de softwares específicos ou simples folhas de cálculo.

A titulo de exemplo, a metodologia dos factores de risco pode assentar em:

1. Após a quantificação (probabilidade x impacto), seleccionar os 5 factores de risco


mais importantes para cada unidade dentro da entidade;
2. Registar para cada unidade sujeita a Auditoria, em cada um dos 5 factores de risco
seleccionados usando ema escala de 1 a 5 pontos, sendo 5 a probabilidade de
ocorrência máxima e 1 a probabilidade de ocorrência mínima (3 pontos indica o risco
médio ou risco desconhecido);
3. Somar os pontos para cada unidade para obter um “total de pontos de risco” (um
resultado máximo de 25 pontos, isto é, 5 pontos para cada um dos 5 factores de risco
– indicam um risco máximo);
4. Classificar as unidades de acordo com o total de pontos.

Quando ocorre um empate entre o número de pontos, os auditores consideram outros factores no
cálculo da classificação. Por exemplo, um desses factores poderá ser o número de horas exigido

13
para conduzir uma auditoria. Para todos outros aspectos, sendo iguais, a relação custo/benefício
melhora com um menor número de horas exigidas. Outro factor poderá ser o nível
organizacional das diferentes unidades, contudo, qualquer um dos 18 factores da lista podem
servir para desempatar, sendo de privilegiar os processos ou áreas de negocio chave.

FASES DO PROCESSO DE AUDITORIA

A equipe de auditoria interna devera compreender e avaliar os controlos internos existentes


(que minimizam os riscos) em cada áreas a auditar com o objectivo de avaliar o gap existente e
assegurar uma razoável confiança nos mesmos, podendo determinar o alcance, limitando os
procedimentos de Auditoria Interna. Este trabalho é aplicável independentemente da magnitude e
complexidade dos sistemas e procedimentos da área seleccionada para ser auditada.

Num processo de Auditoria devem ser considerados os seguintes verbos de acção, planear,
identificar, examinar, verificar, confirmar, interpretar, valorizar, reflectir, opinar, recomendar,
acompanhar e avaliar.

           
FASES TAREFAS RISCO
   
Planeamento - selecção da aérea Seleccionar a área de
1
sujeita a Auditoria maior risco (Fase 1)
       
2 Preparação da Auditoria  
       
14
Avaliação do risco
3 Exame Preliminar de um modo directo
e informal (Fase 3)
       
Descrição, analise e avaliação do
4
controlo interno
       
Exame e avaliação da informação
Incerteza
significativ 1. O risco revisto é
a de risco menor que outros
classificados ou Nova avaliação do
  risco (FASE 5)
Testes 2. Certreza razoável do
5 desenvolvidos risco
     
     
Recomendações
6 Conclusões e recomendações baseadas no risco
(Fase 6)
       
Comunicação dos resultados –
7
relatórios  
       
Risco associado à
não implementação
8 Follow –up
das medidas
correctivas (Fase 8)
     

9 Avaliação da Auditoria
 
           

O planeamento

Uma das diferenças entre auditoria interna 15 e externa é que aquela, ao ser uma função dentro da
entidade, tem um caracter permanente, que lhe permite dispor de mais tempo para realizar testes
15
A actividade de Auditoria Interna poderá ser realizada sob subcontratação, em outsourcing total ou parcial. No
entanto, caso se trate de outsourcing total, o IIA recomenda que haja um responsável interno, uma vez que esta
responsabilidade não pode ser delegada.

15
com maior detalhe e amplitude do que a Auditoria Externa que normalmente esta limitada a
questões de tempo e orçamento.

Então porque é que é necessário planear uma Auditoria Interna?

Entre outras razoes é necessário planear as diferentes avaliações do controlo interno, gestão de
risco e Governance a realizar ao longo do ano, determinar a amplitude, alcance e frequência,
para não deixar que a realização de Auditoria fique à mercê da ocorrência de algum
acontecimento que seja necessário investigar.

Os objectivos do planeamento são estabelecer prioridades fase às áreas ou operações a auditar,


rendibilizar os processos, determinar a profundidade dos testes e identificar os recursos
necessários e adequados.

O facto de planear antecipadamente o trabalho a realizar é factor determinante para o êxito do


trabalho da equipa de Auditoria Interna.

Algumas auditorias repetem-se quase todos os anos, como por exemplo a contabilística-
financeira que faz parte do plano anual. As auditorias operacionais e, ou, de procedimentos tem
uma rotação mais alta porque a sua duração é curta. Existem ainda Auditorias pontuais que são
solicitadas pelo Órgão de Gestão, para auditar alguns factores ou operações.

É necessário elaborar um plano anual a fim de permitir a realização de exames adequados

E eficiência que facilitem a concretização dos objectivos da actividade de Auditoria Interna, em


tempo razoável, independentemente de acontecimentos imprevisíveis.

É difícil estabelecer um plano padrão de Auditorias, em virtude das diferentes estruturas


organizacionais e estilos de gestão. No entanto, podem-se estabelecer os requisitos mínimos a ter
em conta, aquando da elaboração de planos, entre os quais se destacam:

►a dimensão da entidade;

►o sector de actividade a que pertence:

- as características do sector de actividade;

16
- a conjuntura económica existente no momento da elaboração do plano e
possíveis implicações;

- as causas e origens do crescimento do negocio, ou pelo contrario, a sua


decadência.

► a identificação das funções mais relevantes dentro da entidade e os problemas críticos


(risco) que as possam afectar;

► a entidade é objecto de Auditorias externas periódicas;

► o correcto tratamento da informação;

► a filosofia de gestão quanto às politicas gerais (proactivas ou não);

► a situação económico-financeira da entidade;

► o plano de Auditoria devera conter:

A definição do projecto de auditoria, tanto a nível contabilístico-financeiro como operacional


detalhando, caso seja operacional, as áreas ou processos da entidade a serem objecto da mesma,
assim como a descrição dos objectivos a alcançar.

► os locais de auditorias respectivos interlocutores da entidade, áreas ou processos a


auditar;

► o calculo aproximado dos custos a incorrer em consequência da execução da


Auditoria;

► O cálculo de tempo que se irá despender para executar a Auditoria, tendo em conta o
tempo necessário para a acção complementar de seguimento (follow-up) das
recomendações formuladas, com o objectivo de corrigir as deficiências encontradas,

► a elaboração de um cronograma que inclua as datas previstas, duração e as equipas;

► como, quando e a quem serão comunicados os resultados de auditoria.

Preparação da auditoria

17
A preparação da Auditoria inclui um programa de trabalho que é um plano detalhado de praticas
comuns de Auditoria e da avaliação previa do controlo interno e da gestão de risco, baseada nas
normas e politicas estabelecidas pela entidade e nas normas internacionais de auditoria interna
geralmente aceites.

O programa de auditoria é uma orientação, um guia para a consecução do trabalho da actividade


de Auditoria Interna. A sua aplicação não assenta em critérios rígidos, podendo a equipa de
Auditoria usa-lo com um razoável flexibilidade, ajustando-o aos factos ocorridos.

O programa de trabalho recolhe as linhas gerais de actuação da actividade de Auditoria Interna,


em função do tipo de auditoria, como por exemplo:

► programa de trabalho para Auditoria contabilístico-financeiro esta intimamente


relacionado com o objectivo de controlo, risco e fiabilidade das demonstrações
financeiras;

► programa de trabalho para Auditoria operacional – visa medir e avaliar a economia, a


eficácia e a eficiência da gestão das diferentes áreas processos ou actividades funcionais
da entidade.

Antes de executar o programa de trabalho, o responsável da actividade de Auditoria interna


devera comunicar ao responsável da área ou processo a auditar indicando a data de início dos
trabalhos. Na comunicação devera constar o alcance a data da entrevista com o responsável e a
data de inicio da auditoria e ainda a duração provável e nome do(s) auditore(s). A título de
exemplo o quadro abaixo evidencia uma Comunicação de Auditoria.

COMUNICAÇÃO DE AUDITORIA
Para o Departamento da Área Financeira
Francisco Guimarães
O Responsável pela actividade de Auditoria Interna
Maria Cruz
Assunto: Auditoria à gestão de tesouraria e financiamento
O responsável pela actividade de Auditoria Interna tem previsto levar a cabo uma
Auditoria periódica das funções da área de gestão de tesouraria e financiamento.

18
Temos programado a duração da Auditoria para um total de três semanas, efectuada pelos
seguintes membros do pessoal de Auditoria Interna José Gomes, Sara Santos e o Joaquim Dias.
Os auditores iniciarão as suas tarefas em 10 de Janeiro próximo.
A fim de facilitar o trabalho do nosso pessoal preparamos um questionário de controlo
para cada função objectivo de Auditoria, com a finalidade de recolher informação relevante para
alcançarmos o nosso objectivo.
Se puder responder e reunir a documentação necessária com brevidade, o trabalho de
Auditoria será facilitado, reduzindo a sua duração.
Apelamos à sua compreensão e cooperação em ambiente de honestidade, lealdade e
comunicação, considerado vital o vosso contributo na melhoria de deficiências detectadas.
Sempre disponível para qualquer eventual esclarecimento.

Atentamente
O responsável pela actividade de Auditoria Interna
.

De acordo com a dimensão da entidade e, ou, actividade de auditoria, a comunicação poderá ser
mais ou menos formal e com maior ou menor antecedência. Esta política devera estar
devidamente estabelecida.

A actividade de Auditoria Interna devera, entre outros, o seguinte componente:

► Um manual de Auditoria – o manual de auditoria interna constitui um instrumento


de trabalho necessário para actividade de Auditoria interna, contendo, de forma

19
detalhada, instruções, políticas e procedimentos necessários para o desenvolvimento dos
trabalhos a qualquer nível.

A titulo de exemplo o quadro abaixo evidencia alguns dos tópicos a detalhar no manual de
Auditoria Interna.

.INTRODUÇÃO
A introdução deve enquadrar a estrutura organizacional da entidade e da própria actividade de
Auditoria Interna. Deve incluir a missão da actividade de Auditoria Interna, ao seu estatuto.
Linha hierárquica funcional e administrativa e o Código de Ética assumindo um compromisso de
cumprimento com as boas práticas.
II. OBJECTIVOS DA ACTIVIDADE DE AUDITORIA INTERNA
Os objectivos podem ser de 2 tipologias gerais e específicos da entidade tendo em conta os

20
objectivos estratégicos e alcançar.
III. ATRIBUIÇÕES
A Actividade de Auditoria Interna deve ter as suas atribuições claramente definidas, alinhadas
com o seu estatuto, quer para as actividades de auditoria quer de consultoria.
IV RESPONSABILIDADES
As responsabilidades devem estar claramente definidas quer perante a entidade no geral – todos
devem conhecer a sua actividade e responsabilidade – quer a nível do próprio staff da actividade
de Auditoria interna – hierarquia interna.
V. GESTÃO DA ACTIVIDADE DE AUDITORIA INTERNA
Deve definir claramente quando, como e por quem é elaborado o plano e orçamento anual de
auditoria, tipos de auditoria, tipos de relatórios e seus destinatários, prazos de retenção dos
papéis de trabalho, prezo para o Follow-up e política de avaliação.
Deve ainda definir os tipos de trabalhos de consultoria permitidos a realizar quando solicitados
pelo Órgão de Gestão.
Deve estabelecer a regularidade das reuniões com os respectivos interlocutores de Governance.
Poderá ainda conter em Anexo os procedimentos a seguir pelos Auditores, de acordo com os
tipos de Auditoria.
O responsável pela actividade de Auditoria Interna deve ainda, e dentro dos prazos previamente
estabelecidos no Estatuto, elaborar o relatório anual da actividade desenvolvida, incluindo a
avaliação.

21

Você também pode gostar