Auditoria Interna Diploma Ministerial N. 10 - 2021 de 25 de Janeiro

Segunda-feira, 25 de Janeiro de 2021 I SÉRIE —
Número 16
IMPRENSA NACIONAL DE MOÇAMBIQUE, E. P. Antes destas reformas, os OCI existentes ao nível central
e provincial actuavam de um modo geral isoladamente e eventuais
acções de coordenação eram realizadas em função da sensibilidade
AVISO dos respectivos dirigentes, relativamente à interacção que deve
A matéria a publicar no «Boletim da República» deve ser remetida existir entre os vários sectores.
em cópia devidamente autenticada, uma por cada assunto, donde Deste modo, competia somente à Inspecção-Geral de Finanças
conste, além das indicações necessárias para esse efeito, o averbamento
(IGF) realizar acções de inspecção e/ou auditoria de natureza
seguinte, assinado e autenticado: Para publicação no «Boletim
da República». financeira e à Inspecção-Geral Administrativa do Estado
realizar acções de inspecção e/ou sindicância relativamente aos
procedimentos administrativos dentro de toda a extensão no
Aparelho do Estado. Embora ambas sejam de natureza vertical
e horizontal, a sua actuação era insuficiente e pouco abrangente,
SUMÁRIO considerando a dimensão do país e a limitação de recursos
humanos, materiais e financeiros disponíveis para o efeito.
Ministério da Economia e Finanças: A Lei do SISTAFE conjugada com o Decreto n.º 23/2004,
Diploma Ministerial n.º 10/2021: de 20 de Agosto, que a regulamenta, instituí cinco subsistemas,
Aprova o Manual de Auditoria Interna. de entre os quais o Subsistema de Controlo Interno (SCI),
que compreende um Colectivo de Inspectores-gerais (CIGE),
órgão de coordenação e de apoio à entidade de supervisão com
vista a assegurar a observância dos princípios orientadores
das actividades de controlo financeiro e garantir o adequado
MINISTÉRIO DA ECONOMIA E FINANÇAS funcionamento do subsistema.
Um dos objectivos estratégicos do SCI é promover
Diploma Ministerial n.º 10/2021 o desenvolvimento profissional, de modo a que se apliquem as
normas de auditoria geralmente aceites e as melhores práticas
de 25 de Janeiro
de auditoria utilizadas a nível internacional. O presente Manual
Tornando-se necessário, no âmbito da reforma dos processos Básico de Auditoria Interna, adiante designado por Manual,
de Auditoria Interna, aprovar um instrumento orientador para contribui para o desenvolvimento profissional e a harmonização
todos os integrantes do subsistema de Controlo Interno, que do SCI.
estabeleça as regras, princípios e conceitos que uniformizam
a sua actuação e promova uma maior aderência as práticas 1.2. Objectivos do Manual
internacionalmente aceites, ao abrigo dos n.ºs 7 e 8 do artigo O presente manual visa os seguintes objectivos fundamentais:
6 do Regulamento do Sistema de Administração Financeira a) Harmonizar as práticas e procedimentos de auditoria
do Estado – SISTAFE, aprovado pelo Decreto n.º 23/2004, interna no seio do SCI;
de 20 de Agosto, determino: b) Dotar os técnicos integrantes do SCI de conhecimentos
Artigo 1 . Ė aprovado o Manual de Auditoria Interna, em
básicos para avaliar e melhorar a eficácia dos processos
anexo, que é parte integrante do presente Diploma Ministerial.
de gestão de risco, controlo e de governança.
Art. 2. O presente Diploma Ministerial entra em vigor na data
da sua publicação. 1.3. Aplicação e Revisão do Manual
Maputo, 8 de Agosto de 2019. – O Ministro da Economia Este manual é aplicável a todos os OCI e descreve
e Finanças, Adriano Afonso Maleiane. os procedimentos gerais de auditoria interna em uso nas
instituições do Estado.
Compete a IGF na qualidade de Unidade de Supervisão (US)
do SCI, nos termos do Artigo 32 do Decreto n.º 23/2004, de 20 de
Aspectos Gerais
Agosto, segundo redacção introduzida pelo Decreto n.º 6/2017,
1.1. Introdução de 6 de Março, normalizar o funcionamento e actividade do SCI
O processo de implementação dos Órgãos de Controlo Interno através de diversos instrumentos, dentre os quais o manual, cuja
(OCI) em Moçambique conheceu alguns avanços a partir da aprovação e revisão deve ser por meio de Diploma Ministerial.
introdução das reformas na Administração Financeira do Estado, É da responsabilidade da IGF divulgar os procedimentos
com a aprovação da Lei n.º 9/2002, de 12 de Fevereiro, Lei do descritos neste manual e capacitar os auditores internos na sua
Sistema de Administração Financeira do Estado (SISTAFE). utilização.
110 I SÉRIE — NÚMERO 16
O manual será revisto, actualizado e desenvolvido, tendo em estabelecer normas objectivas em face das quais os indivíduos
conta a evolução da actividade de auditoria interna e do SCI, podem medir seu próprio desempenho (observância) e comunicar
as mudanças da legislação interna e internacional, da metodologia, os valores da organização a terceiros.
bem como avanços tecnológicos. Existem quatro princípios típicos de um código de ética,
designadamente:
1.4. Enquadramento Legal da Auditoria Interna
a) Integridade – consiste na recusa em comprometer
De acordo com o Artigo 63 da Lei do SISTAFE, compete aos
valores profissionais em troca de vantagens pessoais.
órgãos ou entidades que integram o SCI exercer as actividades
Pressupõe o desempenho dos deveres profissionais de
de verificação da aplicação dos procedimentos estabelecidos
acordo com a legislação aplicável.
e o cumprimento da legalidade, regularidade, economicidade,
b) Objectividade – consiste em fornecer informações
eficiência e eficácia tendo em vista a boa gestão na utilização
imparciais às partes interessadas e pressupõe
dos recursos colocados à disposição dos órgãos e instituições
compromisso com a independência em relação a
do Estado.
conflitos de interesse económico ou profissional.
Nestes termos, os OCI exercem actividade de auditoria interna
c) Confidencialidade – pressupõe na recusa em utilização
com vista a:
de informações da organização para obtenção de
a) Fiscalizar a correcta utilização dos recursos públicos vantagens particulares.
e a exactidão e fidelidade dos dados contabilísticos; d) Competência – assenta no compromisso de adquirir
b) Garantir através da fiscalização a uniformização e manter um nível adequado de conhecimento
da aplicação das regras e métodos contabilísticos; e e habilidade.
c) Verificar o cumprimento das normas legais
e procedimentos aplicáveis. 1.6.2. Aplicação do Código de Ética
A auditoria interna rege-se pelos princípios e normas das O Código de Ética do IIA é amplamente aplicável a todas as
organizações internacionais, nomeadamente The Institute of organizações e pessoas que realizam actividades de auditoria
Internal Auditors (IIA). interna, não somente aos membros do IIA ou auditores
certificados. Para transmitir uma cultura ética e preservar os seus
1.5. Estrutura do SCI valores profissionais, as unidades de auditoria interna do SCI
Integram o SCI todos os órgãos e entidades do Estado com subscrevem e adoptam o Código de Ética do Instituto de Auditores
atribuições de intervenção na auditoria bem como as respectivas Internos (IIA) que constitui o Anexo I do presente manual, dele
normas, tornando, por conseguinte, o presente manual parte do fazendo parte integrante.
SCI. Para ser eficaz, um código de ética deve prever medidas
O SCI está estruturado em três níveis funcionais, disciplinares. As violações ao Código de Ética pelos auditores
designadamente, Unidade de Supervisão (US), Unidades internos devem ser comunicadas aos gestores das respectivas
Intermédias (UI) e Unidades Gestoras Executoras (UGE), unidades de auditoria interna e tratadas adequadamente.
cujas competências estão descritas nos artigos 32, 33 e 34, 1.7. Estatuto ou Regulamento da Actividade de Auditoria
respectivamente do Regulamento do SISTAFE, segundo redacção Interna
introduzida pelo Decreto n.º 6/2017, de 06 de Março, que podem
O Estatuto de auditoria interna é por vezes referenciado como
ser resumidas nos seguintes termos:
Carta de Auditoria Interna ou Regulamento de Auditoria Interna.
a) As US são entidades responsáveis pela orientação, Segundo o IIA, “é um documento formal que define o propósito, a
supervisão, avaliação, fiscalização e normalização do autoridade e a responsabilidade da actividade de auditoria interna.
SCI, bem como estabelecer a ligação com o CIGE. O estatuto de auditoria interna:
A US consolida as propostas da Programação do
• Estabelece a posição da actividade de auditoria interna
Controlo Interno (PCI) e submete à aprovação do
dentro da organização, incluindo a natureza da relação
Ministro que superintende a área de Finanças;
funcional do Auditor-Chefe (ou equiparado) com a
b) As UI são as entidades que exercem a coordenação das
gestão de topo da organização;
UGE a elas vinculadas, considerando os procedimentos
• Autoriza o acesso aos registos, aos funcionários e às
da sua responsabilidade estabelecidos pelas US. As UI
propriedades físicas relevantes ao desempenho do
fazem a consolidação intermédia da proposta de PCI
trabalho da auditoria; e,
e enviam-na a US do SCI;
• Define o âmbito das actividades de auditoria interna.
c) As UGE são os órgãos e instituições do Estado que têm
basicamente a competência de executar auditorias e A aprovação final do estatuto de auditoria interna é de
fiscalizações previstas na PCI nas Unidades Gestoras responsabilidade da entidade competente (cf. IIA-Norma 1000:
Beneficiárias (UGB) a elas vinculadas. interpretação).
Para garantir o exercício da sua função com a autoridade e
Para coordenar as actividades do SCI foi estabelecido o
o grau de independência desejados, a actividade da auditoria
CIGE que é composto pelo Inspector-Geral de Finanças, que
interna necessita de apoio expresso da gestão de topo. Esse apoio
o preside, Inspector-Geral de Administração Pública, todos os
exprime-se através de aprovação de um Estatuto de Auditoria
Inspectores-Gerais Sectoriais e os demais representantes das
Interna e de todos os documentos e decisões necessários para
unidades vinculadas ao SCI.
o exercício da actividade, conforme determinados no referido
1.6. Código de Ética estatuto, nomeadamente:
1.6.1. Objectivos e Componentes do Código de Ética a) O plano das actividades de auditorias baseado em risco;
O objectivo principal de um código de ética para uma b) O orçamento das auditorias e o plano de recursos;
organização profissional é promover uma cultura ética entre c) As comunicações do Auditor-Chefe (ou equiparado)
os profissionais. Adicionalmente, o código de ética serve sobre o desempenho do plano das auditorias internas
para comunicar os valores aceitáveis para todos os membros, e outros assuntos; e,
25 DE JANEIRO DE 2021 111
d) As decisões referentes à nomeação e demissão do Auditoria operacional – consiste na avaliação sistemática

Auditor-Chefe (ou equiparado). de parte ou de todo o processo operacional de uma organização
Um estatuto de auditoria interna expresso e aprovado pela (tal como compras e transporte, recepção, existência, produção,
gestão do topo promove o reconhecimento da posição da controlo de qualidade, engenharia e pesquisa, imobilizado
unidade da auditoria na organização e a aceitação dos requisitos corpóreo) com vista a verificar se os recursos estão a ser utilizados
necessários para o exercício da função da auditoria interna. O tendo em atenção a eficiência, eficácia e economicidade (De
Auditor-Chefe (ou equiparado) deve avaliar periodicamente se o Almeida 2014, 18).
objectivo, a autoridade e a responsabilidade da auditoria interna,
conforme definido no estatuto, continuam a ser adequados para A auditoria de gestão – É uma extensão da auditoria
o alcance dos objectivos da actividade de auditoria e os resultados operacional. Cobre procedimentos, métodos de avaliação,
dessa avaliação devem ser comunicados à parte apropriada (gestão políticas e enfoques com objectivo de avaliar e rever o
do topo) (Prática Recomendada 1000-1). desempenho da organização em relação a um conjunto de
pressupostos ou regras a seguir.
Conceptualização
Auditoria forense – “é o processo de detecção, prevenção e
1.8. Auditoria correcção de actividades fraudulentas perpetradas pelo órgão de
1.8.1. Conceito gestão, trabalhadores e terceiros” (De Almeida 2014, 18).
O termo auditoria reporta-se aos processos de avaliação Pretende detectar possíveis fraudes confirmando não
e assessoria. Efectivamente auditar pressupõe examinar, verificar, apenas o que está contabilizado, apresentado e divulgado nas
testar, analisar e confirmar os dados de uma organização. demonstrações financeiras, mas, tentando sobretudo, detectar
Assim, a auditoria é uma actividade de revisão das o que não está evidente nestes documentos.
demonstrações financeiras, registos, transacções e operações de Muitas vezes os auditores são solicitados a efectuar peritagens
uma unidade, programa ou de um projecto, efectuada por um contabilísticas a pedido da Procuradoria-Geral da República
funcionário ou agente, com a finalidade de assegurar a fidelidade (PGR) ou de juízes dos tribunais, em sede de processos judiciais.
dos registos e proporcionar credibilidade às demonstrações
Auditoria Fiscal – Visa, essencialmente, verificar se o
financeiras e outros relatórios da gestão.
contribuinte, pessoa singular ou colectiva, cumpriu as suas
1.8.2. Tipos de Auditoria obrigações fiscais de forma correcta. Neste contexto, procura-
A auditoria pode ser classificada de acordo com diversos se minimizar a diferença entre o imposto definido por lei e o
critérios, nomeadamente, objecto, âmbito, periodicidade, declarado pelo contribuinte, com o objectivo amplo de combate
posicionamento do auditor/órgão fiscalizador e obrigatoriedade. à fuga e evasão fiscal e de sancionar os comportamentos ilegais
a) Quanto ao objecto ou área de auditoria ou incorrectos.
Auditoria de sistemas/auditoria de controlo interno – b) Quanto ao âmbito
Consiste na avaliação dos sistemas implantados numa entidade, A auditoria geral ou abrangente – visa avaliar e emitir
em particular o sistema de controlo interno. O objectivo é o de opinião sobre todos os aspectos relevantes da organização.
determinar se o sistema funciona de uma forma eficaz e identificar
Auditoria parcial ou temática tem enfoque sobre um
os pontos fracos e fortes. A auditoria de sistemas assemelha-se a
aspecto específico da organização, que considere prioritário
auditoria operacional e de desempenho, porque analisa aspectos
de gestão. avaliar e emitir a respectiva opinião. Esta se revela mais eficaz
Auditoria informática – visa verificar, avaliar e concluir sobre se comparada com a anterior, tendo em conta que o auditor
a existência, o desempenho e a eficácia de controlos de sistemas tem a possibilidade de aprofundar e resolver todas as questões
informáticos de uma organização. “A auditoria informática detectadas ao longo da execução sem necessidade de recursos
assim entendida não tem nada a ver com as técnicas de auditorias adicionais (tempo, pessoal, logística, etc.).
aplicáveis a computadores, as mais comuns das quais são a
c) Quanto a obrigatoriedade
auditoria dos programas (softwares) e os dados-teste para fins
de auditoria” (Da Costa 2003, 51). Auditoria legal é aquela cuja obrigação emana de um
Auditoria de regularidade ou conformidade – Determina se dispositivo legal que determina a referida obrigatoriedade,
houve cumprimento das leis vigentes e regulamentos existentes. definindo, inclusivamente, o seu âmbito.
Consiste na análise da legalidade ou regularidade das actividades, Auditoria contratual – é aquela que emana de um contrato
funções, operações ou gestão de recursos, verificando se estão firmado entre um auditor e a organização.
em conformidade com a legislação em vigor.
Auditoria financeira – Consiste no exame e verificação das d) Quanto à posição do auditor ou órgão fiscalizador
demonstrações financeiras de uma instituição, realizado por Auditoria interna – “é uma função de avaliação independente,
auditores independentes, com o fim de emitir uma opinião sobre
tradicionalmente efectuada por profissionais que são funcionários
a fiabilidade daqueles documentos. Este tipo de auditoria, em
geral, inclui, auditoria de sistemas e regularidade, tem igualmente da organização, estabelecida dentro da mesma com o intuito
o objectivo de verificar o cumprimento da legislação de examinar e avaliar as suas actividades” (De Almeida 2014,
e regulamentos existentes, e avalia se existe um bom sistema 18). O objectivo é de auxiliar os membros da organização no
de controlo interno. Está também preocupada em prevenir desempenho efectivo das suas funções.
a deficiente alocação e gestão dos recursos públicos. Auditoria externa – é executada por um auditor independente,
Auditoria de desempenho – Este tipo de auditoria tem como que não tem qualquer vínculo de subordinação com a entidade
principal finalidade a promoção da eficácia na utilização dos
auditada. O objectivo principal da auditoria externa é o de
recursos públicos. As verificações e análises assentam em critérios
de qualidade e é medida com base em três elementos: economia, expressar uma opinião sobre as demonstrações financeiras e se
eficiência e eficácia. elas reflectem a situação financeira e o resultado das operações.
1.8.3. Definição da Auditoria Interna acesso a todos os registos, pessoal e propriedades relevantes para
De acordo com o IIA, Auditoria interna é uma actividade de o desempenho de cada trabalho. A autoridade consegue-se através
avaliação e consultoria, independente1 e objectiva 2, destinada a do apoio expresso da gestão de topo e do conselho.
acrescentar valor e melhorar as operações da organização. Assiste Responsabilidade - a actividade de auditoria interna deve
à organização na consecução dos seus objectivos, através de uma fornecer serviços de avaliação e consultoria que agregam valor
abordagem sistemática e disciplinada, na avaliação dos processos e melhoram as operações da organização. Especificamente,
da eficácia da gestão de risco, do controlo e de governança.
A definição de auditoria interna do IIA integra três aspectos a auditoria interna deve avaliar e melhorar a eficácia dos processos
fundamentais, designadamente o propósito (ou objectivo), a de governança, gestão de riscos e controlos da organização.
autoridade e a responsabilidade da actividade de auditoria 1.8.4. Diferenças entre Auditoria Interna e Auditoria
interna.
Externa
O propósito da actividade de auditoria interna é fornecer
serviços de avaliação e consultoria independentes e objectivos Embora os trabalhos realizados pela auditoria interna e externa
com o intuito de acrescentar valor e melhorar as operações da recorram muitas vezes às mesmas técnicas, existem diferenças
organização. específicas que distinguem uma da outra. O quadro abaixo resume
Autoridade – a actividade de auditoria interna deve ter poderes
suficientes para exigir que as entidades auditadas concedam as diferenças básicas entre a auditoria interna e a externa.
Auditoria Interna Auditoria Externa

A auditoria é realizada por um funcionário da organização ou A auditoria é realizada por um auditor não integrado na
por uma entidade contratada (outsorce ou co-source). organização ou funcionário de uma entidade contratada.
O auditor é independente da actividade/sector/área auditada, O auditor é independente (da gestão e do conselho) da
mas subordina-se à gestão de topo. organização.
O objectivo principal é atender as necessidades da organização. O objectivo principal é atender as necessidades de terceiros no
que diz respeito à fiabilidade da informação financeira.
A revisão das operações e do controlo interno é principalmente A revisão das operações e do controlo interno é principalmente
realizada para desenvolver, aperfeiçoar e induzir ao cumprimento realizado para determinar a extensão do exame e a fiabilidade
de políticas e normas, sem estar restrito aos assuntos financeiros. das demonstrações financeiras.
O trabalho é subdividido em relação às áreas operacionais e às O trabalho é subdividido em relação às contas do balanço
linhas de responsabilidade administrativa. patrimonial e da demonstração do resultado.
Tem enfoque em eventos futuros avaliando os controlos Tem enfoque na exactidão e compreensibilidade de eventos
estabelecidos para aferir sobre o cumprimento das metas e históricos reportados nas demonstrações financeiras.
objectivos da entidade.
Directamente preocupada com a prevenção de fraude em Incidentalmente preocupada com a prevenção e detecção de
qualquer das suas formas e extensão em qualquer área da fraude em geral, mas directamente interessada quando esta poder
organização. afectar materialmente as demonstrações financeiras.
Examina continuamente as actividades da organização. Examina os registos que suportam as demonstrações financeiras
periodicamente (normalmente uma vez por ano).
Fonte: Adaptado de Sawyers (2005)
1.8.5. Cooperação entre Auditoria Interna e Auditoria 1.8..6. Auditoria Informática como Mecanismo de Apoio
Externa à Função Financeira
Apesar de a auditoria interna e externa terem papéis diferentes, No âmbito das suas actividades, a auditoria dos sistemas de
as suas funções muitas vezes se complementam. Neste contexto, informação (SI) informatizados tem de incluir nos seus objectivos
os auditores internos e externos cooperam: assegurar um funcionamento inflexível e devidamente controlado
da função financeira (Carneiro, 2001, p. 202).
• Fornecendo pontos de vista e opiniões profissionais no
O objectivo fundamental é a avaliação dos dispositivos
desenvolvimento das respectivas funções;
de controlo e de auditabilidade das aplicações financeiras,
• Partilhando informações e conhecimentos acerca da como forma de garantir que todas as transacções se processem
entidade; correctamente, mantendo a integridade das suas informações.
• Participando nas auditorias às demonstrações financeiras; Numa auditoria a função financeira, os profissionais de
• Partilhando procedimentos e metodologias de auditoria auditoria concentram a sua atenção nas seguintes áreas:
financeira, e
• Controlos-chave;
• Fornecendo assessoria profissional. • Origem das transacções;
1
De acordo com a interpretação da norma 1100 do IIA, independência é a imunidade quanto às condições que ameaçam a capacidade da actividade de auditoria interna de conduzir as
responsabilidades de auditoria interna de maneira imparcial.
2
A objectividade é uma atitude mental imparcial que permite aos auditores internos executarem os trabalhos de auditoria de maneira a confiarem no resultado de seu trabalho e que não
seja feito nenhum comprometimento da qualidade.
• Entrada de dados e respectiva natureza; O Coso ERM 2017 expande as categorias de objectivos de 3
• Metodologia de processamento; para 4 e os componentes de controlo de 5 para 8.
• Dados de saída e/ou informações finais. Canadá
Neste domínio, o auditor considera como sendo riscos Orientações de Controlo é mais conhecida pela abreviatura
inaceitáveis, a inserção ou eliminação de dados após o CoCo derivada do seu título original Critérios de Controlo
processamento e a sua duplicação no processamento ou na em inglês “Criteria of Control”. Foi publicado em 1995 pelo
transmissão, por tanto, deverá recomendar procedimentos de Canadian Institute of Chartered Accauntants (CICA), actual
controlo que reduzam estes riscos ou então anulem. CPA Canadá.
1.9. Controlo Interno Segundo Sawyer (2005, 67), o modelo CoCo é o mais
1.9.1. Conceito compreensível. É orientado para procedimentos de auditoria
interna e serve de guião para actividades de auditoria interna.
O conceito de auditoria interna está intimamente ligado ao Inclui 20 critérios agrupados em 4 componentes,
conceito de controlo interno. O auditor interno avalia o controlo designadamente (1) Propósito (finalidade), (2) Compromisso,
interno, porém é a gestão da entidade que é responsável pelo (3) Capacidade e (4) Monitorização e aprendizagem.
mesmo.
O IIA define controlo como “qualquer acção empreendida Reino Unido
pelo conselho, pela gestão ou quaisquer outras entidades para a) Relatório Cadbury – Foi publicado em 1992 pelo
aperfeiçoar a gestão do risco e melhorar a possibilidade do alcance The Committee on the Financial Aspects of Corporate
dos objectivos e metas da organização. A gestão planeia, organiza Governance do Reino Unido e recomenda as melhores
e dirige o desempenho de acções suficientes para assegurar com práticas para a organização, direcção e sistema
razoabilidade que os objectivos e metas sejam alcançados”. de prestação de contas duma empresa, com vista
O modelo COSO (Comité de Organizações Patrocinadoras a mitigação do risco de governança corporativa e falhas.
da Comissão Treadway) é um dos modelos de controlo interno Estas práticas incluem a exigência de que o Presidente
mais aceite internacionalmente. De acordo com este modelo o do Conselho de Administração (PCA) e o Director
controlo interno é “um processo levado a cabo pelo Conselho Executivo sejam pessoas distintas.
de Administração, Direcção e outros membros da organização, b) Controlo Interno: Orientações para Directores Sobre
com o objectivo de proporcionar um grau de confiança razoável o Código Conjunto, conhecido também por Relatório
na concretização dos objectivos operacionais, de reporte e Turnbull, foi publicado pelo Financial Reporting
conformidade”. Council (FRC) do Reino Unido em 1999 e republicado
Assim, Controlo Interno entende-se que é o conjunto de em 2010 como Controlo Interno: Guia para Directores
regras, normas, processos e procedimentos adoptados pela Sobre o Código Conjunto Revisto.
gestão de uma entidade para permitir o alcance dos objectivos Na essência o Guia para Directores Sobre o Código Conjunto
de gestão, e assegurar, tanto quanto for possível, a metódica e Revisto informa a estes, sobre as suas obrigações em relação
eficiente conduta das suas atribuições e competências, incluindo a ao Código Combinado, com vista a manutenção de um bom
aderência às suas políticas, a salvaguarda dos activos, a prevenção controlo nas suas empresas ou obrigatoriedade de realizar-se
e detecção de fraudes e erros, a precisão e plenitude dos registos boas auditorias e verificações para garantir uma boa qualidade
contabilísticos bem como a atempada preparação de informação dos relatórios financeiros e detecção de fraudes, antes que estes
financeira e de gestão fiável. se transformem em problemas para a empresa.
A responsabilidade pela concepção, definição e implementação
dos Controlos Internos é da Gestão da entidade em todos os níveis. 1.9.3. Modelos de Controlo Aplicáveis à Tecnologia
Ao auditor interno cabe a responsabilidade de avaliar a de Informação
existência, a operacionalidade, a eficácia e a eficiência desses a) O COBIT (Control Objectives for Information and
controlos. Related Technologies) é o modelo corporativo para a
governança de tecnologias de informação. Foi criado
1.9.2. Modelos Integrados de Controlo Interno
pela ISACA (Information Systems Audit and Control
Em resposta a ocorrência de escândalos financeiros em grandes Association) em 1996, e com o evoluir dos sistemas
firmas, várias organizações em diversos países se empenharam em de informação e a massificação do seu uso, o COBIT
criar modelos integrados de controlo interno, visando assegurar sofreu muitas alterações, resultando em publicação
que as organizações consideram todos os aspectos relevantes do de várias edições até a mais actual COBIT 5 de 2012.
controlo interno. O COBIT 5 possui cinco princípios fundamentais,
Os modelos integrados de controlo interno mais conhecidos designadamente:
são: • Satisfazer necessidades das partes interessadas;
Estados Unidos da América • Cobrir a organização por inteiro;
a) Controlo Interno – Estrutura Integrada, mais • Aplicar uma estrutura única integrada;
conhecido por COSO, foi publicado em 1992 pelo • Possibilitar uma visão holística;
Comité de Organizações Patrocinadoras (COSO) da • Separar Governança da gestão.
Comissão Tradeway. Foi aprimorado e republicado
b) eSAC (Electronic System Assurance and Control) é
em 1994 e reformulado em 2013.
o modelo integrado de controlo alternativo aplicado à
O COSO 2013 Inclui 3 categorias de objectivos de controlo, governança de tecnologia de informação, criado pela
79 pontos focais de controlo agrupados em 17 Princípios Fundação de Pesquisa do IIA primeiro em 1977 e foi
fundamentais, e estes distribuídos em 5 componentes. aprimorado e reeditado em 1991 e revisto em 1994.
b) Gestão de Risco Empresarial (ERM) – Estrutura O eSAC foi criado sob pressuposto de que os processos
Integrada, também conhecido por COSO ERM, é uma internos da entidade aceita informações e produzem informações,
expansão da Estrutura de Controlo Interno (COSO), ou seja, está focado nas informações de entrada (missão, valores,
adaptado a gestão de risco empresarial. Foi publicada estratégias e objectivos) e informações de saída (resultado,
em 2004, e actualizado em 2017. reputação e aprendizagem) (Gleim, 2016).
Influenciado pelo modelo COSO, os objectivos do eSAC • O sistema organizacional e administrativo – regulamentos
incluem: e segregação das funções;
• Eficácia e eficiência operacionais; • O sistema político – a gestão política e as acções da
• Geração de relatórios de informações financeiras e outras Direcção/Gestão;
administrativas; • O sistema técnico – sistemas informáticos, programas,
• Conformidade com as leis e regulamentos, e etc.
• Protecção dos activos. Para o auditor interno, uma análise ou observação do ambiente
1.9.4. Modelo COSO do controlo interno da entidade auditada pode indicar as áreas
De entre os vários modelos integrados de controlo interno, este com fraquezas no controlo.
Manual vai-se debruçar sobre o Controlo Interno – Estrutura A gestão é responsável pela definição dos padrões dos
integrada ou simplesmente COSO (edição de 2013 actualmente comportamentos éticos ajustados a filosofia da instituição e o
em vigor), por ser o modelo mais amplo e aceite. auditor avalia os níveis de aderência a esses comportamentos.
1.9.4.1. Categorias de objectivos de controlo 1.9.4.2.2. Avaliação de risco
O Modelo Coso estabelece controlo visando alcançar três Risco pode ser definido como a possibilidade de ocorrência
categorias de objectivos: de um evento que tenha um impacto no alcance dos objectivos
a) Objectivos Operacionais – são relacionados com a da organização. O risco é medido em termos de impacto e
eficácia e eficiência das operações, incluindo metas de probabilidade de ocorrência.
desempenho financeiros e operacionais e a salvaguarda A possibilidade de ocorrência de eventos benéficos, i.e.,
de activos; que afecta positivamente o alcance dos objectivos chama-se
b) Objectivo de Reporte (divulgação) – são relacionados oportunidade ao passo que a possibilidade de ocorrência de
a comunicação de informações financeiras e não eventos nefastos ao alcance dos objectivos da organização,
financeiras, internas e externas, e podem incluir os chama-se risco.
requisitos de fiabilidade, oportunidade, transparência O controlo interno trata de mapear, analisar, classificar os
e outras exigências estabelecidas pelas autoridades riscos existentes e tomar medidas para a sua mitigação. Porém,
normativas, reguladores, normas ou políticas um certo nível de risco tem que ser aceite, quando não for possível
internas; e
c) Objectivos de Conformidade – relacionam-se ao ou económico a implementação dos controlos.
cumprimento de leis e regulamentações às quais a A avaliação do risco é crucial tanto para os gestores como para
entidade está sujeita. auditores internos. Os auditores internos devem compreender o
processo e os instrumentos de avaliação de risco.
1.9.4.2. Componentes do COSO A gestão de risco, de acordo com o modelo COSO é “um
Segundo o COSO, o controlo interno consiste em cinco processo”:
componentes integrados, designadamente (1) Ambiente de • Efectuado pela alta direcção, gestores e outro pessoal de
controlo; (2) Avaliação do risco; (3) Actividades de controlo
interno; (4) Informação e comunicação e (5) Actividade de uma entidade, aplicado na definição da estratégia e em
monitorização. toda a organização;
• Desenhado para identificar potenciais eventos que
1.9.4.2.1. O Ambiente de controlo possam afectar o alcance dos objectivos da entidade,
O ambiente de controlo é o “clima” que se estabelece e determinar a base da gestão do risco no nível da sua
dentro da organização e que deve ter como ponto de partida o apetência para o risco;
comportamento ético dos próprios órgãos dirigentes. O ambiente • Para providenciar garantias razoáveis em relação ao
interno da organização é uma das componentes chave do controlo alcance dos objectivos dessa entidade”.
interno e está relacionado com a filosofia da organização,
definindo a base como a organização encara e lida com o risco, Identificados os riscos, as organizações deverão analisa-los,
incluindo a filosofia da gestão de risco, a apetência para o risco, considerando a sua probabilidade de ocorrência e impacto, e em
integridade e valores éticos e o ambiente em que estas variáveis seguida, determinar como estes riscos deverão ser geridos.
operam. A gestão deverá responder aos riscos constatados, determinando
O ambiente de controlo é formado pelos dirigentes estratégias e desenvolvendo um conjunto de acções para alinhar
e funcionários e a interacção destes em todos os níveis da os riscos com a tolerância e apetência da organização para o risco.
organização. A gestão de risco deve ser implementada em todos os níveis da
Numa organização existem sistemas formais e informais, organização.
por isso é importante promover um ambiente onde exista uma Identificar e analisar os riscos é um processo contínuo, e visa
consciencialização das normas e valores éticos vigentes, dos prevenir os eventos indesejáveis antes que ocorram ou antever
objectivos e das metas a serem atingidas e dos regulamentos eventos positivos (oportunidades), que podem ser melhor
a serem seguidos. aproveitados para a realização dos objectivos da organização.
O ambiente interno é o fundamento em que os outros
componentes de controlo interno estão dependentes. Um ambiente Na análise do risco, têm que ser considerados os seguintes
de controlo favorável é um pré-requisito para um bom controlo factores com impacto nos riscos: existência de objectivos
interno. SMART3, nível de competência do pessoal, mudanças na
Para influenciar o ambiente de controlo é necessário legislação e resultados das auditorias prévias.
desenvolver os seguintes aspectos: i. Tipos de risco
• O sistema social – a experiência e competência do pessoal, Os riscos podem ser agrupados conforme a sua origem ou
atitudes e valores, o clima organizacional e a gestão; conforme a categoria dos objectivos em que têm impacto.
3
Específicos (Specific), Mensuráveis (Measurable), Realizáveis (Achievable), Confiáveis (Reliable) Medidos no tempo (Time-bound).
Quanto a origem podem ser: Riscos externos são os que resultam de decisões tomadas por
actores externos ou associados a ocorrência de eventos externos à
Riscos internos são aqueles que resultam da possibilidade de
organização, portanto, normalmente fora do alcance dos controlos
ocorrência de eventos ligados a factores internos com impacto desta. Podem ser agrupados, segundo a sua natureza, em riscos
no alcance dos objectivos da organização. São factores que a económicos, financeiros, legais, sociais, políticos ou naturais.
Add a heading to your document 1
organização temMANUAL BÁSICOde
a possibilidade DEosAUDITORIA INTERNA
controlar. São exemplos: Riscos do meio envolvente – são riscos resultantes de eventos
a fiabilidade do sistema de informação financeira da organização, externos à organização, mas que podem ser influenciados por
esta. São exemplos: concorrência; inexistência de mão-de-obra
a custódia dos activos (dinheiro, inventários, combustíveis) e a
qualificada, défice de oferta de matéria-prima ou mercadoria, ou
experiência, a competência e as metodologias do pessoal. baixa procura dos produtos acabados.
Figura 1: Origem de riscos

Figura 1: Origem de riscos
Riscos externos Incontroláveis
Risco do meio envolvente

Influenciáveis
Risco
dos
Risco dos
Fornecedores
Riscos internos Clientes
ou
Controláveis
Cidadãos
Risco da
Concorrência
Quanto aos objectivos afectados: Essa classificação possibilita um enfoque nos aspectos
É inconcebível proceder a avaliação do risco de uma distintos da gestão de riscos de uma organização. Apesar de
organização desconhecendo os objectivos, cujo alcance pode essas categorias serem distintas, elas se inter-relacionam, uma
estar em causa. Neste contexto, em alinhamento à abordagem do vez que determinado objectivo pode ser classificado em mais de
COSO, os riscos podem ter impacto nos objectivos estratégicos, uma categoria, tratam de necessidades diferentes da organização
e podem permanecer sob a responsabilidade directa de diferentes
operacionais, de conformidade ou de reporte.
executivos.
Riscos de operações são os riscos associados às operações
ii. Estratégia de gestão de risco
da organização no seu quotidiano em todos os aspectos,
relacionados a salvaguarda e utilização eficiente e eficaz Na gestão de riscos, as organizações adoptam uma estratégia
dos recursos. adequada, que inclui identificação de eventos, análise de risco
Riscos de conformidade são os riscos associados avaliando a probabilidade de ocorrência e o impacto, considerando
aos objectivos de conformidade. Por exemplo, a a sua condição inerente e residual e resposta aos riscos, tendo em
possibilidade de incumprimento de leis, normas, manual conta a política de apetência do risco da organização.
de procedimentos. Assim, diversos níveis de riscos podem ser apurados,
Riscos de reporte são riscos associados a fiabilidade da em resultado de diferentes combinações de probabilidade
informação financeira, dos relatórios de gestão ou de de ocorrência e o impacto do risco sobre os objectivos
inventários. da organização, conforme a matriz.
MANUAL BÁSICO DE AUDITORIA INTERNA
Figura 2: Matriz de avaliação de risco

Figura 2: Matriz de avaliação de risco
Alta F AxF BxF CxF
IMPACTO
Média E AxE BxE CxE
Baixa D AxD BxD CxD

A B C
Baixo Médio Alto
PROBABILIDADE
Uma resposta adequada ao risco deverá ser dada conforme o exposição vs. custo de protecção. O Modelo COSO identifica
seu nível e à apetência da organização ao risco (nível de risco quatro estratégias de resposta aos riscos designadamente, (1)
que a organização está disposta a aceitar), considerando a função evitar, (2) reduzir, (3) compartilhar e (4) aceitar:
Combinação Nível do Risco Resposta Acção

Monitorar e efectuar um plano de contigia para
AxD Baixo Aceitar
minimizar o impacto.
Efectuar um plano de contigência para minimizar o
AxE Baixo-Médio Controlar
impacto e monitorizar a ocorrência.
Reduzir a probabilidade ou impacto do risco até um
AxF Médio Mitigar
nível aceitável.
Reduzir a probabilidade do risco até um nível
BxD Médio-baixo Controlar
aceitável.
BxE Médio Mitigar
nível aceitável.
BxF Médio-Alto Transferir
nível aceitável (segurar a operação).
CxD Médio Mitigar
nível aceitável.
Transferir o risco para um terceiro, transferindo os
impactos e a responsabilidade (Fraccionar a
CxE Alto-Médio Partilhar
operação por diversos departamentos, terciarizar
serviços - outsoucing ou cosoucing).
Alterar o plano do projeto para eliminar totalmnte o
CxF ALTO Evitar risco, protegendo os objetivos do projeto dos
impactos deste risco eliminado.
Apetência ao risco manter o risco no nível mínimo. No entanto, a implementação

A apetência ao risco é o nível de risco que uma organização de controlos que garantem o nível de protecção desejável, é
está disposta a correr, ponderados os custos da implementação proporcional aos custos, i.e., quanto maior for a protecção (menor
da resposta ao mesmo e os benefícios advenientes da protecção. o risco) maior será o custo associado à sua implementação.
O risco é uma função inversa à protecção, ou seja, quanto O objectivo da organização é manter o risco num nível ideal,
maior for o nível de protecção (controlos) menor é a exposição em que os custos não superem os benefícios da implementação
dos activos ou operações. O desejável para uma organização é ter dos controlos. Este objectivo representa a apetência de risco da
o máximo de protecção para os seus activos e, por consequência, organização, o ponto axi da figura a seguir:
Figura 3: Nível de apetência ao risco:
y
Risco Custo
Valor
Objectivo
Desperdício
b
Ausência de
Cobertura
a x
Grau de Protecção
Nota: Implementar mais protecção para além do nível a (nível A auditoria como uma actividade de consultoria com vista
de apetência) resultará em desperdício de recursos, uma vez que a adicionar valor e melhorar as operações da organização deve
o benefício será sempre menor que o custo. Em contrapartida, proceder a avaliação sistemática e disciplinada para aferir sobre
manter a protecção abaixo do nível do apetite (a), resultará em a eficácia e eficiência dos processos na gestão de riscos.
áreas sem cobertura de controlos (maior exposição ao risco).
1.9.5. Classificação de Controlos
1.9.4.2.3. Actividades de controlo interno Os controlos podem ser classificados conforme a (1)
As actividades de controlo interno são acções desenvolvidas importância/papel, (2) função, (3) tempo de acção e (4) Modo
com vista a redução ou eliminação dos riscos. As actividades de funcionamento.
de controlo deverão ser desenvolvidas tendo em conta os riscos
1.9.5.1. Quanto a importância ou papel que desempenham
subjacentes a cada entidade.
As actividades de controlo podem ser directas, aquelas que são a) Controlos primários
executadas com a participação dos órgãos internos da entidade, i. Controlos preventivos – são os controlos necessários
que tratam de determinados processos ou de um sistema que visa para impedir ou minimizar a ocorrência de eventos
reduzir o risco. As indirectas são executadas com a participação indesejáveis que podem inviabilizar a realização
de outras entidades públicas ou privadas, que tem como finalidade dos objectivos desenhados e esperados pela
mitigar o risco. Organização. Destinam-se a prevenir a ocorrência
1.9.4.2.4. Informação e comunicação de erros ou fraude. Trata-se de controlos que, a
Um dos pré-requisitos para um controlo interno eficiente é a priori, entrariam em funcionamento e impediriam
existência de um sistema de informação e comunicação adequado. que determinadas transacções se processassem.
A informação relevante da organização deve ser identificada, Exemplos:
obtida e comunicada, a todos os níveis, para que a gestão possa • Contratação de pessoal qualificado (evita erros por
gerir, acompanhar e relatar as operações. Sistemas de informação
incompetência);
e relatórios eficientes e eficazes são fundamentais para a boa
• Separação de responsabilidades, ex. reconciliação de
gestão.
O auditor deve estar seguro da eficácia dos controlos e facturas com os verbetes de recepção, atribuição
procedimentos de segurança existentes nos aplicativos da entidade de perfis e senhas diferentes a cada usuário do
de modo que este sistema seja um suporte adequado, no que se e-SISTAFE;
refere a geração e armazenamento de informação, apontando • Verificação da conformidade processual pelo Agente
deficiências e irregularidades que possam comprometer a de Conformidade, antes do pagamento;
segurança e o desempenho organizacional. • Controlo de acesso às instalações (impedimento de furtos);
• Procedimentos adequados para a autorização de
1.9.4.2.5. Monitorização transacções;
O objectivo da monitorização é avaliar, de uma forma contínua, • Pelo menos duas assinaturas em cheques, sendo uma
o sistema de controlo para assegurar o seu funcionamento. obrigatória, para efeitos de pagamentos;
Monitorização implica uma análise dos controlos existentes. A • Lista aprovada de fornecedores;
monitorização é feita através de actividades da gestão, avaliações • Sistema de aprovação de crédito antes da remessa
isoladas ou ambas. de mercadoria;
• Verificação da exactidão matemática antes da aprovação i. Controlos compensatórios (ou mitigativos) – são os
de facturas para pagamento; e utilizados para reduzir o risco quando os controlos
• Sistema de controlo de inventários o qual alerta para as primários são ineficazes e que, por si só, não reduzem
falhas de stock. os riscos a um nível aceitável. (Gleim, 2016)
O auditor no processo de avaliação do sistema de controlo Exemplo:
interno da organização afere sobre a eficiência dos procedimentos/ A falta de segregação de funções pode ser compensada por
normas/critérios para a efectivação de operações/processos/ revisões sistemáticas das operações por um supervisor.
transacções. Deve, portanto, avaliar até que ponto os controlos
implantados impedem a ocorrência de eventos indesejáveis. ii. Controlos complementares – são os que funcionam em
conjunto com outros controlos para reduzir os riscos a
ii. Controlos detectivos – são os controlos que detectam
um nível aceitável, através de sinergias. (Gleim, 2016)
a ocorrência de eventos indesejados e comunicam
a pessoas apropriadas após a sua ocorrência, para Exemplo:
efectuarem o tratamento adequado. Os controlos A separação entre as funções de recebimento e as de custódia
detectivos são efectivos quando a detecção ocorre de receitas é complementada com a apresentação de talões de
antes da ocorrência de danos materiais. depósitos bancários da receita arrecadada.
Exemplos: 1.9.5.2. Quanto a função
✔ Conformidade dos actos de gestão pelo Ordenador i. Controlos Financeiros
de Despesa;
São os controlos baseados em princípios relevantes de
✔ Reconciliações bancárias; contabilidade e incluem a devida autorização, registos adequados,
✔ Dupla verificação de cálculos; protecção de bens e conformidade com as leis, regulamentos
✔ Reconciliação de extractos de contas dos fornecedores e contratos.
com os registos contabilísticos;
✔ Contagens físicas confrontadas com os registos ii. Controlos operacionais
contabilísticos; Os controlos operacionais destinam-se a actividade de
✔ Conferência das quantidades e especificações pela produção e de suporte ou a função de gestão. São baseados em
comissão de recepção de bens; princípios e métodos de gestão, uma vez que podem não ter
✔ Observação da distribuição de salários numa base critérios ou padrões estabelecidos. Controlos operacionais podem
de amostragem; e igualmente ser aplicados a funções de gestão como o planeamento,
✔ Verificação de documentos. organização, direcção e controlo. (Gleim, 2016)
Relatórios de excepção (artigos obsoletos, artigos de pouca Os controlos operacionais destinam-se a assegurar a eficácia
movimentação, etc.). e eficiência da organização.
Ao conduzir um trabalho de auditoria, o auditor deve Exemplos de controlos para obter eficácia:
identificar e avaliar a eficácia dos controlos detectivos. Aquando • Planeamento;
da realização dos trabalhos de campo, bem como durante o
• Metas e indicadores de desempenho estabelecidos
planeamento, o auditor avalia se os controlos internos montados
e realistas;
são capazes de detectar os riscos depois de ocorrer, permitindo
• Sistemas para orçamento e acompanhamento;
assim, a tomada de medidas correctivas da situação.
• Contabilização e sistemas de informação fiáveis;
iii. Controlos correctivos – são os que são implementados • Análise de desvios operacionais e financeiros;
para funcionarem quando a ocorrência de um evento indesejado • Documentação;
é detectada, e visam corrigir os efeitos negativos dos referidos
• Políticas e procedimentos.
eventos.
Exemplos de Controlos para obter eficiência da organização:
Exemplo:
• Segregação de funções, limites de autoridade;
Obrigatoriedade de justificar variação de valores entre o
planificado e o executado. • Recrutamento e selecção;
• Orientação, formação e desenvolvimento de competências;
iv. Controlos directivos – são os que causam ou incentivam • Supervisão;
a ocorrência de eventos desejáveis.
• Rotinas e procedimentos documentados, para reforçar
Exemplos: o conhecimento estruturado e não individual.
• Políticas, procedimentos, normas, orientações, A actividade de auditoria interna avalia a adequação, eficiência
• Formação, capacitação de funcionário. e a eficácia dos controlos em resposta aos riscos, no que tange a
v. Controlos de aplicação – são controlos primários confiabilidade e integridade das operações.
que se aplicam a tarefas do negócio realizadas 1.9.5.3. Quanto ao tempo de acção
por um determinado sistema, com vista a fornecer
garantia razoável de que o registo, processamento e i. Controlos retroactivos (feedback) – reportam informações
comunicação de dados são devidamente executados. sobre actividades concluídas com vista a melhoria de actividade
Incluem controlos de entrada, de processamento e de futuras com base na aprendizagem de erros do passado.
saída de dados. (Gleim, 2016). Exemplo:
b) Controlos Secundários Inspecção de qualidade de produtos acabados
Os controlos secundários servem para reforçar ou suprir ii. Controlos Concorrentes – são controlos aplicados
ineficácias de controlos primários e podem ser compensatórios a trabalhos em andamento com vista a evitar que
ou complementares. se desviem muito do padrão.
Exemplo: Exemplo:
Supervisão de trabalhadores na linha do processo de produção. Reconciliações bancárias manuais
iii. Controlos antecipatórios (Feedfoward) – são os que ii. Controlos baseados em sistemas – são os que
são usados de forma antecipada visando prevenir normalmente operam sem a intervenção humana.
problemas futuro. Exemplos:
Exemplo: a) Vedação de processamento com sucesso de uma ordem
Políticas e procedimentos organizacionais. de pagamento, sem a concessão de conformidade do
Agente de Conformidade no e-SISTAFE;
1.9.5.4. Modo de funcionamento b) Bloqueio das contas bancárias que não apresentam
i. Controlos baseados em pessoas – são os que funcionam movimento durante um período de 6 meses,
dependentes da intervenção humana. no e-SISTAFE.
Figura 3: Figura
Classificação de Controlode Controlo
3: Classificação
Preven�vos
Detec�vos
Principais Correc�vos
De lote
Direc�vos De entrada
On-line
De aplicação De processamento
Compensatórios De saída
SEcundários
Complementares
Controlos
Controlos Financeiros
Quanto a função
Controlos
Operacionais
Retroac�vos
(Feedback)
Quanto ao tempo Concorrentes
An�cipatórios
(FeedFoward)
Baseado em pessoas
Funcionamento
Baseado em sistema
Processo de Auditoria 10.2.2.2. Etapas do planeamento de auditoria

Uma auditoria desenvolve-se em quatro grandes fases: (1) O planeamento de uma auditoria compreende as seguintes
Planeamento, (2) Execução, (3) Relato e (4) Monitorização três etapas, designadamente, Recolha e revisão da informação,
e Avaliação das recomendações. Importa referir que, para a Análise e avaliação do risco e Elaboração do plano de auditoria:
prossecução dos objectivos de cada uma das fases, este processo a. Recolha e revisão da informação
deve ser acompanhado pela supervisão e controlo de qualidade. A recolha e revisão da informação sobre a entidade auditada
1.10. Planeamento deve ser analisada sob duas vertentes:
Primeira vertente: perante uma primeira auditoria, torna-
1.10.1. Planeamento da Actividade da Auditoria
se necessário desenvolver um trabalho de levantamento de
As entidades de auditoria devem estabelecer um plano informação sobre a entidade e sua organização. O auditor deve
baseado em riscos para determinar as prioridades da actividade obter um amplo conhecimento da entidade a auditar.
de auditoria, de forma consistente com as metas da organização Componentes de um levantamento de informação e criação
(IIA-Norma 2010). As UAI elaboram plano anual de auditoria das pastas de trabalho da entidade a ser auditada:
através da Programação de Controlo Interno (PCI). • Informação geral sobre a instituição auditada;
A programação do controlo interno é um plano das actividades • Estatuto orgânico e regulamentos internos;
de auditorias a serem realizadas durante o ano por cada UAI e • Quadro de pessoal;
elaborada com base numa análise de risco sobre a área/sector, • Organograma;
conforme descrito na alínea b) do ponto 2.2.2 do presente manual. • Planos estratégicos e programas;
Para a elaboração da PCI, anualmente devem ser apresentadas • Legislação específica e em vigor do Sector;
orientações metodológicas pela US do SCI através de uma • Orçamento – fundos internos e externos - e relatórios
Circular. financeiros e de actividade;
Os processos de proposta da PCI pelas UGE, a consolidação • Descrições dos sistemas e rotinas de controlo interno nas
pelas UI e pela US do SCI, bem como a aprovação pelo Ministro áreas de administração e finanças, recursos humanos
que superintende a área de Finanças, serão executados obedecendo e planeamento;
os prazos do ciclo orçamental. • Contratos e acordos importantes celebrados pela
Após a aprovação, a PCI deve ser disponibilizada no instituição;
e-SISTAFE pela US do SCI na abertura do exercício económico • Relatórios de auditoria interna e externa;
respectivo. • Listas sobre todas contas bancárias;
• Informação sobre o inventário do património existente
1.10.2. O Planeamento da Auditoria (tangível e intangível);
1.10.2.1. Factores determinantes • Outros relatórios: avaliação do risco, relatórios
de desempenho, etc.
Os auditores internos deverão elaborar um plano para cada
trabalho de auditoria (Prática Recomendada 2200-1). Os auditores devem realizar entrevistas com responsáveis
O planeamento é o desenvolvimento de uma estratégia e visitas às instalações. No entanto, nem sempre a visita às
de grande importância para execução do trabalho de uma instalações é aplicável a todas auditorias dependendo, para tal da
auditoria interna com o fim de assegurar que o auditor conte natureza e objectivos de cada auditoria, o que deve ser conjugado,
com a colaboração da entidade auditada e tenha conhecimento e igualmente, com a disponibilidade do tempo.
compreensão da entidade e operações a serem auditadas, tendo Segunda vertente: no caso de uma auditoria recorrente, a
em conta os objectivos da instituição, actividades que desenvolve, recolha e revisão poderá confinar-se a identificação de eventuais
sistemas de controlo e informação, factores económicos e legais alterações ocorridas durante o período em análise. Neste caso
que afectam a entidade. será de grande utilidade consultar e/ou actualizar:
O planeamento permitirá avaliar o nível do risco de auditoria, • O plano da auditoria anterior;
determinar e programar a natureza, oportunidade e alcance dos • O relatório da auditoria anterior e o seguimento dado
procedimentos de auditoria a aplicar de acordo com as normas pela instituição quanto as recomendações formuladas;
de auditoria interna geralmente aceites. • A pasta permanente e a pasta corrente da instituição
O detalhe e abrangência da planificação pode variar consoante auditada (se tiver);
a magnitude e especificidade da entidade a auditar, a experiência • O plano e relatórios da auditoria interna, se existirem;
e conhecimento que o auditor tenha da entidade e da actividade • Outras informações relevantes sobre o ambiente onde
que a mesma desenvolve, bem como da qualidade do controlo a instituição opera.
interno existente.
Ao planear a auditoria, o auditor deve, entre outros aspectos: O trabalho de auditoria deve ser programado por áreas distintas.
Para cada área deverá ser estabelecido um programa de auditoria
• Entender os objectivos, as estratégias e metas da entidade; (Prática Recomendada 2240-1). O programa detalhará os métodos
• Avaliar os factores de riscos internos e externos; de auditoria a aplicar, a natureza, oportunidade e extensão dos
• Considerar as informações relativas aos controlos internos
testes a realizar e a quantificação de tempos para a sua execução.
e avaliações;
O programa de trabalho deverá ser aprovado pela entidade
• Avaliar e/ou construir a matriz de riscos;
competente antes de iniciar a auditoria, e quaisquer ajustamentos
• Analisar as informações relativas ao desempenho
deverão ser aprovados atempadamente (IIA -Norma 2240.A1).
da Entidade a Auditar;
• Considerar denúncias, informações periódicas ou b. Análise e avaliação do risco
investigações realizadas sobre a entidade a auditar; No processo de auditoria, a análise de risco é essencial na fase
• Ter em conta os resultados de auditorias anteriores, do planeamento e é efectuada com base na informação recolhida
instruções/recomendações. sobre a entidade (IIA: Norma 2201).
O auditor interno deve: pelo sistema de controlo interno implantado. Por

• Dispor do plano de gestão dos riscos da entidade (definir exemplo, a autorização de despesas indevidas;
áreas/processos de alto risco nas quais incidirá as • Risco de detecção (RD) – resultante dos procedimentos
análises e testes com mais profundidade), caso haja, do auditor não conduzirem à detecção de erros
e proceder a respectiva validação; materialmente relevantes. Por exemplo, erro na
• Construir uma matriz de riscos, caso a entidade não definição de amostras.
disponha de um plano de gestão de riscos; O risco de auditoria em termos matemáticos:
• Identificar os processos/áreas de risco (determinar os RA=RI x RC x RD
riscos que podem comprometer os objectivos da Os riscos inerentes e de controlo estão inter-relacionados,
entidade); devendo ser objecto de uma avaliação conjugada pelo auditor, a
• Proceder a análise qualitativa do risco (priorização fim de este determinar a natureza, tempestividade e extensão dos
de riscos para análise ou acção adicional através da testes substantivos a realizar e, assim, reduzir o risco de detecção.
avaliação e combinação da probabilidade e impacto), Consequentemente, existe uma relação inversa entre o risco de
inclui analisar os papéis e responsabilidades para detecção e o nível combinado dos riscos inerentes e de controlo;
conduzir a gestão dos riscos, orçamentos, actividades quando estes forem altos, o risco de detecção deve ser baixo a
do cronograma para gerir os riscos, categorias de fim de restringir o risco de auditoria a um nível aceitavelmente
riscos, definições de probabilidade e impacto, e revisão baixo. Por outro lado, quando os riscos inerentes e de controlo
das tolerâncias a riscos da organização (medir os riscos forem baixos, um auditor pode aceitar um risco de detecção mais
em termos de probabilidade e impacto); alto e manter ainda o risco de auditoria a um nível baixo aceitável.
• Proceder a análise quantitativa do risco (análise numérica A informação é materialmente relevante, se a sua omissão ou
do impacto dos riscos identificados nos objectivos distorção puder razoavelmente afectar as decisões tomadas na
gerais, produção de informações quantitativas dos base das demonstrações financeiras. A materialidade depende
riscos para sustentar a tomada de decisões, redução da dimensão ou item ou erro nas circunstâncias particulares da
do grau de incertezas); sua omissão ou distorção.
• Avaliar a gestão de risco da organização; No âmbito da auditoria deve-se definir o limite de materialidade,
• Analisar o plano de respostas aos riscos (identificação de conjugado com o nível de confiança pretendido, por forma a
novos riscos e avaliação da eficácia do mecanismo de determinar-se o “limite máximo de erro” ou “taxa máxima de
resposta aos riscos durante toda auditoria); erro” que poderá ser tolerado. Este factor irá ajudar a estabelecer
• Direccionar a auditoria para as áreas de maior risco e dar a extensão dos testes de auditoria a realizar e a planear a previsão
prioridade a actividades nessas áreas. do número de dias necessários para a sua execução. O limite da
Risco de auditoria e Materialidade materialidade definida, no final, depende do julgamento subjectivo
e o juízo profissional do auditor. (De Almeida, 2014)
As acções de controlo são direccionadas, na maioria dos casos,
às áreas em que os riscos são considerados os mais elevados, c. Plano de Auditoria
para permitir uma cobertura equilibrada e contínua do âmbito Um plano de auditoria deve definir os objectivos, o âmbito,
da acção de controlo, o que pode criar o risco do auditor não as metodologias e procedimentos de auditoria, os recursos
identificar eventuais erros e emitir uma opinião não apropriada. necessários e o tempo da execução do trabalho, bem como, a
Desta forma, a análise do risco de auditoria é um processo que calendarização das actividades.
acompanha o auditor ao longo de todo trabalho, devendo este, ser O Plano de auditoria deve conter, nomeadamente, um resumo
conduzido não no sentido da sua eliminação, mas sim no sentido das informações gerais sobre a entidade, os resultados da análise
de o reduzir a níveis aceitáveis. de risco, resposta ao risco e identificação das áreas críticas a
O conceito de risco de auditoria deve contemplar os efeitos auditar.
conjugados dos diversos factores que afectam, de forma directa Os objectivos da auditoria devem ser orientados para os
e significativa, a qualidade da informação em apreço, bem como processos de gestão do risco, controlos e governança associados
outras contingências e incertezas que resultem da impossibilidade à actividade em análise. São declarações genéricas desenvolvidas
de reconstrução integral de todas as operações a controlar. pelos auditores, que definem o que se pretende alcançar com o
Assim, Risco de Auditoria (RA) traduz o nível de incerteza trabalho de auditoria. Os procedimentos e os objectivos no seu
que o auditor se propõe aceitar para a realização da acção, ou conjunto definem o âmbito do trabalho do auditor interno e devem
seja, consiste na susceptibilidade de o auditor não exprimir na orientar-se para os riscos associados à actividade a auditar.
sua opinião eventuais erros, inexactidões ou irregularidades O auditor interno é responsável pelo planeamento e condução
existentes cuja materialidade possa influenciar a opinião e decisão do trabalho de auditoria, sujeito a uma revisão e aprovação
dos destinatários da informação. superior.
O risco de auditoria (RA) será influenciado por três tipos de Nenhuma acção deve ter o início da sua execução sem que
riscos, nomeadamente: tenha sido elaborado o plano e devidamente aprovado. Este plano
• Risco inerente (RI) – Tem origem na natureza da deve servir como base para efeitos de supervisão da auditoria
própria conta/operação/procedimento auditado, antes e deve ser aprovado pela entidade competente.
da implementação dos controlos. Por exemplo a 1.11. A Execução
susceptibilidade da conta caixa apresentar movimentos 1.11.1. Avaliação do Controlo Interno
sem os devidos registos;
Nesta fase, efectua-se o levantamento do controlo interno
• Risco de controlo (RC) – adveniente do controlo
realizado na fase do planeamento de forma mais aprofundada,
interno não prevenir ou detectar erros e omissões
podendo resultar na reformulação do plano de auditoria
materialmente relevantes, ou seja, consiste na
previamente aprovado.
probabilidade de ocorrência de erros materiais sem
A auditoria interna desempenha um papel importante de
que, em tempo útil, sejam prevenidos ou detectados
consultoria e assessoria à gestão na avaliação do sistema de
controlo interno, por esta (gestão) concebido e implantado, através • Sistema de informação de gestão sobre as actividades
da revisão sistemática de acordo com os padrões profissionais. planeadas e realizadas; e,
A avaliação do controlo interno deve ser realizada tendo em • Plano de gestão de riscos da entidade.
conta os objectivos e o tipo de auditoria. Existem elementos A informação que não exista sob forma documental deve
essenciais a ter em atenção quando se avalia um sistema de ser obtida junto dos responsáveis de cada área. Para o efeito,
controlo interno: poderão ser realizados inquéritos ou entrevistas (formais ou
• Definição de níveis de autoridade e delegação de informais) preparadas pelo auditor, que poderá estar munido
competências; de questionários, alinhados aos objectivos e padronizados por
• Segregação de funções; áreas a auditar.
• Ciclo do controlo das operações (ex: proposta - autorização/ b) Descrição do sistema
aprovação – execução – registo – custódia);
Em auditoria é fundamental obter a prova/evidência do trabalho
• Controlo das aplicações e ambiente dos sistemas
realizado. De entre várias, destacam-se três formas de descrever
informáticos;
um sistema de controlo interno:
• Adopção de procedimentos de conciliação e conferência
independentes; • Descrições narrativas
• Qualidade e tempestividade da informação de gestão, e, A narrativa consiste numa descrição relativamente detalhada
• Existência de uma unidade de auditoria interna. dos procedimentos e das medidas de controlo interno existentes
em cada uma das áreas operacionais a auditar, devendo incluir
1.11.1.1. Fases da avaliação do controlo interno
exemplares dos documentos mais importantes.
A avaliação do controlo interno compreende as seguintes fases:
• Fluxogramas
a) Levantamento do sistema
Fluxograma é uma representação gráfica com símbolos
Para poder avaliar os controlos, o auditor deve conhecer específicos. Na avaliação do controlo interno, o fluxograma
a natureza do negócio da organização e compreender os pode ser utilizado para visualizar os processos, funções etc. Por
mecanismos de controlo implantados. Para o efeito, o auditor exemplo, o fluxograma do processo de execução de orçamento
deve reunir toda a informação relevante, designadamente: ou processamento de salários.
• Legislação, regulamentos, relatórios, actas, normas O recurso aos fluxogramas facilita a rápida identificação e
internas e demais documentos; compreensão do sistema e dos pontos fortes e fracos do controlo.
• Organigramas gerais e analíticos e/ou informação Expõe com clareza a situação e funções de cada departamento, a
organizacional; responsabilidade dos intervenientes nas operações, o movimento
• Identificação de funções, níveis de responsabilidade e dos documentos em cada fase do processo e a situação dos registos
delegação de competências; e arquivos.
• Manuais de procedimentos; A simbologia que os auditores utilizam para a elaboração dos
• Fluxograma dos processos da entidade; fluxogramas deve ser clara, de fácil representação, interpretação,
• Sistemas administrativos, contabilísticos e financeiros e uma vez estabelecida, deve ser aplicada de forma uniforme. A
implantados; título exemplificativo, alguns símbolos frequentemente utilizados:
Documento
Processo
predefinido Documentos Registo
Decisão interno
múltiplos
Processo Processo
predefinido
• Descrições Mistas irregularidades. Contudo, a eficácia do controlo interno, tem

Consiste em documentar o sistema de controlo interno, limites que o auditor deve ponderar quando procede ao seu estudo
combinando a descrição narrativa com um fluxograma. e avaliação, nomeadamente:
• A segregação de funções dificulta, mas não pode evitar
c) Confirmação do sistema
o conluio ou a cumplicidade;
Descrito o sistema, torna-se necessário confirmar a informação
• Os poderes de autorização de operações por parte daqueles
registada mediante a realização de testes de procedimento que
a quem os mesmos foram confiados podem ser usados
consistem em seleccionar uma operação e acompanhá-la através
de forma abusiva ou arbitrária;
de todo o circuito (walkthrough). Deverão ser realizados testes
de procedimentos a todas as operações consideradas relevantes • A competência e a integridade do pessoal que executa as
tendo em conta os objectivos previamente definidos. funções de controlo podem deteriorar-se por razões
internas ou externas, não obstante os cuidados postos
d) Apreciação do funcionamento do sistema na sua selecção e formação;
• Avaliação do Risco por Área • A própria direcção do organismo pode em muitos casos
Concluído o levantamento do sistema de controlo interno da negligenciar ou contornar as medidas de controlo por
entidade, o auditor efectua uma avaliação dos riscos identificados si implantadas;
e os controlos implantados, determinando e avaliando os riscos • O controlo interno tem maior incidência sobre as
residuais. operações frequentes, não estando montado para as
O auditor deverá desenvolver um programa de auditoria que transacções pouco usuais;
priorize a cobertura das áreas de maior risco. • A própria existência do controlo só se justifica quando
• Identificação dos Controlos-chave e testes de avaliação a relação custo/benefício é positiva, isto é, quando
o custo de determinado procedimento não supera o
Tendo o auditor um profundo conhecimento do sistema,
benefício relativamente aos riscos que visa cobrir.
estará em condições de fazer uma avaliação da sua adequação
recorrendo, para o efeito, aos testes de conformidade. 1.11.2. Objectivos da Auditoria e Critérios de Controlo
Os testes de conformidade consistem na realização de Interno por Área
observações, exames de evidência e reexecuções, a fim de tirar Os objectivos da auditoria e os critérios de controlo interno
uma conclusão do tipo “sim” ou “não”, ou seja, verificar se o por áreas servem de base para o desenvolvimento dos programas
controlo-chave é cumprido e determinar a frequência com que específicos da auditoria.
o procedimento de controlo não ocorreu (margem de erro ou Os auditores devem estabelecer objectivos gerais para cada
desvio). trabalho de auditoria, e objectivos específicos para cada área de
Os referidos testes destinam-se a confirmar se o sistema de avaliação.
controlo interno descrito é considerado adequado e se funciona Os objectivos são declarações amplas da finalidade da
de modo uniforme ao longo de toda a cadeia de processos. auditoria. Podem abranger aspectos financeiros, de salvaguarda
Além dos aspectos atrás referidos, que podemos designar de activos, de legalidade, de regularidade ou de desempenho.
por avaliação quantitativa na apreciação do funcionamento do “São necessários critérios adequados para avaliar a governança,
sistema, também é necessário ter em consideração a natureza e a gestão de riscos e os controlos. Os auditores internos devem
a causa dos erros – avaliação qualitativa, nomeadamente para verificar a extensão na qual a administração e/ou o conselho
verificar se: estabeleceu critérios adequados para determinar se os objectivos
• Os erros detectados são independentes entre si ou se há e metas têm sido alcançados. Se forem adequados, os auditores
alguma ligação entre eles. Por exemplo: se (1) apontam internos devem utilizar tais critérios em sua avaliação. Se
para um determinado funcionário, se (2) só ocorrem inadequados, os auditores internos devem trabalhar com a
em determinadas circunstâncias, etc.; administração e/ou o conselho para desenvolver critérios
• Os erros são intencionais, motivados por negligência ou apropriados de avaliação.” (IIA – Norma 2210.A3).
por má compreensão das instruções; Assim, consoante os objectivos do trabalho para cada área, o
• Os erros são sistemáticos ou esporádicos. auditor adopta ou desenvolve critérios (ou seja, como deveria ser
Feita a avaliação do sistema de controlo interno, o auditor está um bom controlo ou a melhor prática) que servirão de base de
em condições de determinar a extensão dos testes substantivos comparação da condição (ou realidade) encontrada, sobre a qual
de auditoria a realizar. irá emitir suas conclusões e opiniões.
Por vezes, devido ao número reduzido de operações ou às 1.11.2.1. Gestão por resultados
deficiências de controlo detectadas, é eficaz e eficiente não confiar a) Objectivo da auditoria
no controlo interno e aumentar o número e extensão dos testes
✔ Avaliar o grau, a eficácia e eficiência do
substantivos a realizar.
cumprimento dos objectivos/actividades
Complementarmente, o auditor fica em condições de poder
estabelecidos periodicamente;
incluir no seu relatório uma opinião independente e fundamentada
✔ Concluir se a entidade identifica os riscos
sobre o referido sistema, devendo identificar os procedimentos-
associados a cada um dos objectivos estratégicos
chave, as áreas mais expostas a ocorrência de riscos, as
e operacionais dos respectivos planos, analisa-
deficiências detectadas e formular sugestões e recomendações
os em termos de probabilidade de ocorrência e
com vista à sua melhoria.
impacto, e traça planos adequados de resposta aos
1.11.1.2. Limitações do sistema de controlo interno riscos, e
Um sistema de controlo interno adequado proporciona ✔ Aferir sobre a fiabilidade dos relatórios
uma segurança razoável na prevenção ou detecção de erros e (financeiros e ou de actividades).
b) Critérios de controlo (Como deve ser um bom controlo • Devem ser efectuados acompanhamentos dos projectos
interno sobre Gestão por Resultados) anuais e plurianuais.
• Os objectivos/actividades operacionais devem estar 1.11.2.3. Receitas
alinhados com os objectivos estratégicos e estes
com a missão da organização; a) Objectivos da auditoria
• O orçamento deve ser suportado pelo plano de i. Receitas Gerais
actividades da organização, devendo este ser • Identificar, caracterizar e inventariar a existência
consentâneo com as políticas, objectivos e de receitas geradas pela instituição e respectiva
programas governamentais; cobertura legal;
• O plano de actividades deve possuir metas, crono/ • Assegurar-se de que são cobradas somente
grama e indicadores de desempenho; receitas inscritas no orçamento da entidade;
• A entidade procede a análise dos riscos tendo em conta • Avaliar o sistema de controlo interno implantado
a natureza das actividades e controlos (políticas e e concluir se o mesmo proporciona fiabilidade da
procedimentos) implantados em resposta ao risco; informação financeira e operacional, salvaguarda
• A avaliação sistemática da implementação do plano da receita, conformidade dos procedimentos com
de actividades e orçamento deve ser devidamente as leis, regulamentos e políticas, uso económico
documentada e os desvios justificados; e eficiente e cumprimento das metas;
• A gestão dos sistemas de informação deve especificar • Identificar riscos associados ao processo de
as unidades subordinadas, os projectos e o tipo de
receitas, desde arrecadação até a sua utilização
custos incorridos; e
ou entrega;
• Devem ser tomadas medidas que visem o cumprimento
• Identificar os controlos-chave implantados, avaliar
das recomendações de auditorias anteriores.
a sua operacionalidade e formular recomendações
1.11.2.2. Contabilidade visando a melhoria dos procedimentos;
a) Objectivos da auditoria • Identificar os mecanismos de registo e
✔ Avaliar o sistema de controlo interno contabilístico controlo implantados pela Instituição para o
implantado e concluir se o mesmo proporciona lançamento, liquidação, cobrança, contabilização,
Fiabilidade da informação financeira e operacional; encaminhamento à Direcção da Área Fiscal
Salvaguarda dos meios financeiros; Conformidade (DAF) e/ou utilização, e prestação de contas das
dos procedimentos com as leis, regulamentos receitas;
e políticas; Uso económico e eficiente e • Avaliar o cumprimento, pela instituição, dos
Cumprimento das metas (eficácia); princípios e normas em vigor sobre a gestão,
✔ Avaliar o cumprimento das disposições legais controlo e execução do OE em relação às suas
relativas ao registo e contabilização das despesas receitas.
e das demais regras orçamentais; ii. Receitas Tributárias 4
✔ Identificar os controlos-chave implantados, avaliar
a sua operacionalidade e formular recomendações • Aferir sobre o grau de cumprimento dos objectivos
visando a melhoria dos procedimentos; organizacionais e metas predefinidas pela
✔ Identificar os riscos associados ao processo de Autoridade Tributária (AT);
registo, controlo e comunicação de informações • Avaliar o sistema de controlo interno instituído nas
relativas as transacções realizadas pela entidade; e unidades de cobrança da AT;
✔ Emitir uma opinião sobre a conformidade legal e • Aferir sobre o desempenho das unidades orgânicas
regularidade financeira da informação contida da AT.
nas contas. • Identificar os controlos-chave implantados, avaliar a
b) Critérios de controlo interno sua operacionalidade e formular recomendações
visando a melhoria dos procedimentos;
Como deve ser um bom controlo interno sobre a • Aferir sobre a regularidade fiscal dos contribuintes
Contabilidade? e verificação do cumprimento das obrigações
• Contabilidade interligada com os relatórios financeiros; tributárias, contribuindo para o combate à fuga e
• Controlo prévio/posterior das transacções; evasão fiscal;
• Contabilidade actualizada de acordo com as leis, • Aferir sobre o desempenho da Administração
incluindo monitorização das transacções, fluxos Tributária no que respeita ao processo de
financeiros, saldos bancários e orçamentais; fiscalização tributária;
• Controlo mensal de prestação de contas; • Verificar o tratamento dado às infracções tributárias;
• Contabilidade com recurso a várias aplicações • Avaliar a adequação das diligências da Administração
informáticas deve ser reconciliada com os livros Tributária no âmbito da recuperação de dívidas
obrigatórios, excepto nas situações em que tributárias;
a escrituração destes se encontra legalmente • Avaliar a integridade e justiça na actuação da
dispensada. Devem existir controlos preventivos
Administração Tributária;
contra alterações e manipulações de dados, bem
• Propor correcções à matéria colectável, consubstanciada
como procedimentos de “back-up”;
em liquidações adicionais de impostos;
• Devem ser feitas conciliações contabilísticas e
bancárias, e • Identificar os comportamentos fiscais de risco.
4
Nos termos da Lei n.º 15/2002, de 26 de Junho, constituem receitas tributárias, o IVA, IRPC, IRPS, ICE, ISPC, SISA, Direitos Aduaneiros, entre outras.
b) Critérios de controlo interno • Os contribuintes singulares devem entregar

i. Receitas gerais anualmente as declarações de rendimentos e de
informação contabilística e fiscal (quando se tratar
• Existência de um dispositivo legal de criação das
de rendimentos empresariais e profissionais), e
receitas e/ou definição dos procedimentos de
proceder ao pagamento do IRPS devido a final e
arrecadação, distribuição e utilização;
pagamentos por conta, quando devidos;
• Todos os recebimentos de receitas em numerário
• Os sujeitos Passivos de IVA estão obrigados a
(ou depositado na respectiva conta bancária)
entregar, em função do seu regime, uma declaração
devem ter em contrapartida um recibo numerado
periódica e efectuar o pagamento do IVA;
sequencialmente;
• Os Sujeitos Passivos do ISPC são obrigados a entregar,
• O produto da cobrança deve ser registado em
trimestralmente, uma declaração e efectuar o
diário de caixa e depositado no banco no dia útil
pagamento do imposto, quando devido;
imediatamente a seguir ao da cobrança;
• Os processos do contencioso fiscal devem ser
• Deve existir um sistema de escrituração em livros e/
tramitados de acordo com o preceituado no
ou aplicativos informáticos apropriados;
Regulamento do Contencioso de Contribuições
• Os movimentos de entrada e saída na conta bancária
e Impostos;
de receita devem ser objecto de registo no livro
• Os processos executivos devem ser tramitados em
de controlo de conta bancária e mensalmente
obediência ao Código das Execuções Fiscais;
conciliados com os respectivos extractos;
• Os Recebedores de Fazenda e os Tesoureiros das
• Deve existir segregação de funções entre quem cobra,
Alfândegas devem possuir livros de registos
quem tem a custódia, quem regista os diversos
regulamentares e processos de contas do exactor;
livros e quem efectua as conciliações bancárias;
• Mensalmente, devem ser elaborados Processos de
• Deve-se proceder a rotatividade dos cobradores,
Contabilidade;
fiscais, tesoureiros, recebedores e demais técnicos
que intervêm na cobrança para evitar viciação de 1.11.2.4. Contratação pública
processos; a) Objectivos da auditoria
• Deve haver uma correlação entre as receitas e os ✔ Aferir sobre a capacidade da unidade gestora e
factores que lhes determinam, para avaliar a executora de aquisições em suprir as necessidades
razoabilidade dos montantes contabilizados; da entidade de forma eficiente, eficaz e pontual;
• Devem ser feitas, pela entidade, conciliações das ✔ Identificar os controlos-chave implantados, avaliar
receitas entre: Liquidação – Cobrança – Depósito a sua operacionalidade e formular recomendações
no banco – entrega à Direcção da Área Fiscal visando a melhoria dos procedimentos;
(através de guias de receita). ✔ Avaliar o cumprimento da legislação sobre a
ii. Receitas Tributárias contratação de empreitada de Obras Públicas,
Fornecimento de Bens e Prestação de Serviços ao
• O cadastro de contribuintes encontra-se actualizado,
Estado.
sendo que os Sujeitos Passivos que cessaram
✔ Identificar os riscos associados ao processo de
as suas actividades ou não apresentam as suas
contratação pública relacionados a identificação
declarações fiscais, devem ser expurgados do
da necessidade, processos de adjudicação,
sistema de cadastro;
contratação, aquisição e recepção dos bens ou
• Os contribuintes devem ser enquadrados em função
serviços prestados.
do nível da sua actividade económica, sendo
que os respectivos critérios de enquadramento b) Critérios de controlo interno
se encontram definidos nos Códigos sobre o • Devem existir UGEA e comissões de recepção
Rendimento das Pessoas Colectivas ou Singulares, formalmente nomeadas e que efectivamente
conforme os casos; funcionem;
• Nas unidades de cobrança deve ser instituído o “Gestor • As entidades devem ter um plano de aquisições
de Contribuinte”; previamente aprovado;
• Cada Gestor de Contribuinte é responsável em gerir • Deve existir transparência, documentação e critérios
uma carteira de contribuintes, designadamente, no claros para avaliar as propostas dos concorrentes,
que se refere ao cumprimento das suas obrigações de modo a assegurar a competitividade;
fiscais; • Devem ser feitas reconciliações entre as especificações
• Anualmente deve existir um Plano de Actividades técnicas dos documentos de concurso e o Cadastro
de Fiscalização Tributária. A selecção dos de Bens e Serviços;
contribuintes a serem fiscalizados deve obedecer • Devem ser feitas reconciliações entre os preços
os critérios definidos no respectivo regulamento; dos bens e serviços contratados e os preços de
• As provas/evidências da realização da fiscalização referência;
tributária interna e externa são os verbetes de • Deve haver um sistema eficiente de arquivo dos
fixação e o relatório de fiscalização; processos de adjudicação e de aquisição; e
• Os contribuintes colectivos devem entregar anualmente • Deve haver arquivo de correspondência trocada entre
as declarações de rendimentos e de informação a entidade e a Unidade Funcional de Supervisão de
contabilística e fiscal, e proceder ao pagamento Aquisições (UFSA) e o Tribunal Administrativo
do IRPC devido a final e pagamentos por conta e relativamente aos processos de contratação e
especial por conta, quando devidos; adjudicação.
1.11.2.5. Despesas ✔ Pagamentos de subsídios de renda de casa a

1.11.2.5.1. Bens e serviços indivíduo cuja função lhe confere o direito de
a) Objectivos da auditoria residência do Estado ou da Entidade, conforme as
políticas e regulamentos aprovados;
✔ Avaliar o sistema de controlo interno implantado ✔ Pagamento de subsídio de representação a
e concluir sobre se o mesmo proporciona indivíduos cuja lei lhe confere o direito, no
Fiabilidade da informação financeira e operacional; montante aprovado;
Salvaguarda dos bens adquiridos; Conformidade ✔ Pagamento de subsídio de funeral suportado por
dos procedimentos com as leis, regulamentos e informação proposta e cópia de certidão de óbito
políticas; Uso económico e eficiente dos recursos do funcionário ou familiar elegível para o efeito
e Cumprimento das metas (eficácia); (cônjuge, ascendentes, descendentes (incluindo
✔ Identificar os riscos associados aos processos de enteados e adoptados) até 18 anos de idade ou 25
despesas incluindo a solicitação dos bens/serviços, anos em caso de estudantes universitário, e
recepção dos mesmos, cabimentação, liquidação, ✔ Pagamento de despesas com telefone a pessoas
pagamento e prestação de contas sobre as despesas; cujas funções lhes conferem o direito, nos
✔ Avaliar as actividades de aquisição, recepção, montantes previstos para a função.
conferência e armazenamento de bens e serviços,
e 1.11.2.5.3. Salários e remunerações
✔ Identificar os controlos-chave implantados, avaliar a) Objectivos da auditoria
a sua operacionalidade e formular recomendações
✔ Aferir se os pagamentos efectuados em salários
visando a melhoria dos procedimentos.
e remunerações pela entidade são os devidos aos
b) Critérios de Controlo interno beneficiários;
• Deve existir uma segregação de funções no processo da ✔ Identificar os riscos associados aos processos de
realização da despesa, nomeadamente, funções de recrutamento do pessoal, registo e comunicação
requisição, de compra, de recepção e conferência, de efectividade, pagamento de abonos e descontos;
de armazenamento e de pagamento; ✔ Analisar a situação actual do pagamento de
• Aquisição de bens e serviços em fornecedores com vencimentos e organização de recursos humanos;
contratos visados pelo Tribunal Administrativo, ✔ Aferir sobre a conformidade de processamento e
salvo em caso de fiscalização sucessiva; pagamentos de vencimentos;
• Existência de uma informação-proposta previamente ✔ Aferir sobre o cumprimento dos objectivos e metas
autorizada pela entidade competente, planificados no âmbito da contratação e a gestão
fundamentando a necessidade da aquisição, em e controlo dos recursos humanos e financeiros da
concordância com o plano de aquisições; entidade;
• Solicitação de bens e serviços aos fornecedores através ✔ Avaliar a eficácia do sistema de controlo interno
da requisição externa devidamente autorizada; implantado, no que concerne a:
• Realização de procedimentos de verificação das – Inserção do Pessoal no sistema de pagamentos;
quantidades e especificações dos bens na recepção – Remoção pontual do pessoal desvinculado;
em comparação com as requisições, para assegurar – Atribuição de subsídios e regalias inerentes a
a recepção de bens efectivamente solicitados, e cargos de direcção e chefia, e remoção dos
• Pagamento de facturas de fornecimento de bens ou mesmos no termo do mandato;
prestação de serviços baseado em declarações de – Atribuição de bónus especial, subsídios de
conformidade ou relatórios de fiscalização. localização e de adaptação, baseada na
1.11.2.5.2. Demais despesas com pessoal verificação de existência de condições
a) Objectivos da Auditoria objectivas e legais para a sua consecução.
✔ Aferir se os pagamentos efectuados pela entidade ✔ Aferir sobre o pagamento de abonos de horas
são legais e devidos aos beneficiários, nas seguintes extraordinárias e de segunda turma (docentes)
rubricas: Ajudas de custo dentro ou fora do país; atento à proposta prévia de beneficiários
Renda de casa; Representação para pessoal; devidamente autorizada; e
Subsídio de combustível e manutenção de viatura; ✔ Identificar os controlos-chave implantados, avaliar
Suplemento de salários e remunerações; Subsídio a sua operacionalidade e formular recomendações
de funeral; Subsídio de telefone e Outras; e visando a melhoria dos procedimentos.
✔ Identificar os riscos associados aos processos de b) Critérios de controlo interno
pagamento das despesas nas rubricas das demais ✔ Existência de um quadro de pessoal aprovado;
despesas com o pessoal. ✔ Nomeação do pessoal de acordo com o respectivo
b) Critérios de controlo interno quadro;
✔ Só pessoas legalmente nomeadas ou contratadas e
✔ Pagamento de ajudas de custo dentro do país
suportado por uma requisição interna devidamente em serviço efectivo devem receber vencimento;
autorizada e guias de marcha com as datas de ✔ O recrutamento e fixação de remunerações devem
chegada e partida, averbadas pela entidade visitada, ser autorizados e responder às necessidades do
e com declaração de conformidade do beneficiário; sector de acordo com os critérios estabelecidos por
✔ Pagamento de ajudas de custo fora do país lei;
suportado por informação proposta e requisições ✔ Existência de evidências documentais que
internas (ou de fundo) devidamente autorizadas, suportam as alterações dos dados do pessoal com
comprovativos de viagem (talão de embarque impacto no salário;
e cópia do passaporte) e relatório de viagem ou ✔ Os vencimentos devem ser pagos tendo em
declaração de conformidade do beneficiário; consideração a efectividade gerada. Para isso, os
mapas de efectividade devem estar em concordância c) Critérios de controlo interno

com os registos de assiduidade nos respectivos • A entidade possui banco de dados de todos os
livros de Ponto; trabalhadores/funcionários que descontam para o
✔ Os valores abonados devem estar em conformidade
fundo de pensões, identificados com um número
com as regras em vigor;
único (de contribuinte ou NUIT);
✔ As pessoas que cessam ou suspendem seu vínculo
• As contribuições (descontos de trabalhadores/
laboral com a entidade, transferidas e falecidas
devem ser imediatamente retiradas da folha de funcionários) recebidas são creditadas associadas
pagamento; ao número do contribuinte/NUIT do trabalhador/
✔ A entidade deve possuir procedimentos de análise funcionário;
da execução orçamental das rubricas de salários • As contribuições dos trabalhadores/funcionários são
e remunerações, identificação e justificação de depositadas/creditadas unicamente em conta(s)
eventuais desvios; e bancária(s) específica(s);
✔ Deve-se obedecer ao princípio de segregação de • Os montantes destas contas são integralmente
funções nos controlos-chave de processamento transferidos para uma conta única centralizadora,
de salário bem como do respectivo pagamento, à antes da sua utilização em despesas;
excepção do Agente de Conformidade (AGC); • Os valores da conta bancária centralizadora são
1.11.2.5.4. Pensões (segurança social e previdência social) transferidos para contas específicas da entidade,
a) Objectivos da Auditoria nomeadamente: pagamento de pensões (de
cada unidade pagadora), despesas com o pessoal,
✔ Avaliar o sistema de controlo interno implantado despesas de funcionamento e investimento
sobre o fundo de pensões e concluir se o mesmo
institucional, investimento de capital e poupança;
proporciona:
• No momento de admissão dos indivíduos ao sistema
– Fiabilidade da informação financeira e operacional; de pensões, são constituídos processos individuais
– Salvaguarda dos recursos;
dos beneficiários contendo os documentos
– Conformidade dos procedimentos com as leis,
regulamentos e políticas; para aquisição do direito de pensão, conforme
– Uso económico e eficiente dos recursos; e a legislação aplicável;
• Os dados do processo são comparados com os
– Realização dos resultados estratégicos e operacionais
constates no banco de dados dos contribuintes para
(eficácia).
verificação da sua existência, identidade pessoal,
✔ Identificar os riscos associados aos fundos de pensões tempo de serviço e satisfação dos encargos para
desde a sua arrecadação, contabilização, utilização a pensão;
e prestação de contas; • Os indivíduos são devidamente enquadrados nas
✔ Identificar os riscos associados ao processo de modalidades de pensões a que têm direito, segundo
pensões desde o ingresso dos beneficiários o facto determinante da qualidade de pensionista
no sistema de pensões até ao pagamento dos (aposentação, sobrevivência, de sangue, por
pensionistas; serviços excepcionais e relevantes prestados ao
✔ Certificar-se de que a fixação das pensões tem sido País, ....);
resultante da ocorrência de factos determinantes, • Determinação das circunstâncias que decorre a
nos termos da legislação aplicável; aposentação serem alheias à vontade do funcionário
✔ Assegurar-se de que os pagamentos efectuados são ou agente, como do próprio Estado, na qual resulta
os devidos aos beneficiários; e na incapacidade de prestar serviços;
✔ Identificar os riscos associados aos processos de • Existência de procedimento de verificação de
fixação e pagamento de pensões desde o ingresso desactivação no sistema de salário dos indivíduos
dos indivíduos ao sistema, o cálculo dos valores admitidos no sistema de pensões;
devidos e o pagamento a pessoas certas. • Existência de procedimento de fixação da pensão
b) Riscos comuns com base no último salário, ou média aritmética
do salário dos últimos dois anos e no tempo de
➢ Uso indevido do valor (receita) do fundo serviço prestado;
de pensões; • Existência de segregação de funções e uma divisão
➢ Descaminho e apropriação de fundos; de responsabilidade entre as seguintes entidades/
➢ Aplicação de fundos em projectos não autorizados; funções:
➢ Má contabilização dos fundos recebidos;
– Verificação do processo de admissão dos
➢ Utilização da receita na fonte;
beneficiários no sistema de pensões;
➢ Pagamento simultâneo de salário e pensão;
– Autorização do ingresso;
➢ Duplicação de registos;
– Processamento das folhas de pagamento;
➢ Inserção no sistema e pagamentos a pessoas
– Liquidação dos montantes a pagar;
indevidas;
– Realização de pagamentos, e
➢ Pagamento a pessoas não autorizadas;
➢ Cálculos mal efectuados; – Realização de procedimentos de prova de vida.
➢ Processamento e pagamento de pensões • Suspensão automática de processamento de pensões,
de beneficiários falecidos, e após duas faltas consecutivas; e
➢ Defraudação por apropriação indevida dos recursos • Realização de procedimento de prestação de prova de
do Estado. vida anual dos pensionistas.
1.11.2.6. Património i. Controlos Organizacionais e Operacionais

a) Objectivos da auditoria a) Objectivos da auditoria:
✔ Avaliar o sistema de controlo interno implantado ✔ Avaliar o controlo interno, promover a eficiência das
e concluir se o mesmo proporciona fiabilidade da operações e impulsionar maior adesão às normas,
informação e operacional; salvaguarda dos bens políticas e procedimentos administrativos prescritas
e conformidade dos procedimentos com as leis, pela gestão com maior foco na responsabilidade.
regulamentos e políticas; b) Critérios de controlo interno:
✔ Avaliar as actividades de gestão, manutenção, • Devem estar definidas normas, políticas
inventariação e controlo físico dos bens afectos à e procedimentos administrativos para as actividades
Instituição; das TI (por exemplo: normas e procedimentos
✔ Identificar os controlos-chave implantados, avaliar para a aquisição e utilização de equipamentos de
a sua operacionalidade e formular recomendações hardware e software);
visando a melhoria dos procedimentos; • A área das TI deve dispor de um plano de actividades
✔ Identificar os riscos associados ao processo de e orçamento financeiro actualizado, para o seu
salvaguarda do património que inclui a aquisição, funcionamento, devendo o mesmo estar integrado
a recepção, o registo e inventariação, utilização e no orçamento global da organização;
manutenção; e • Deve existir um plano de formação profissional de
✔ Avaliar o cumprimento da legislação sobre gestão todos os técnicos das TI e dos utilizadores do
e controlo do património do Estado. equipamento e aplicativos;
• Deve estar definido um plano de carreira profissional
b) Riscos comuns para os técnicos que sejam responsáveis pelo
➢ Descaminho de bens funcionamento do sistema de informação;
• Deve ser implementado o princípio de segregação de
c) Critérios de controlo interno
funções na área das TI;
• Deve existir inventário dos bens com os respectivos custos • Devem estar definidas com clareza as funções
unitários, ano de aquisição e localização; e responsabilidades dos técnicos das TI;
• Devem ser realizadas verificações físicas, elaborados os • As funções e os cargos devem ser adequados
respectivos relatórios periódicos e aprovados pela à qualificação dos técnicos existentes;
gestão. Os desvios devem ser investigados pela gestão • Devem existir contractos com os fornecedores para
da entidade; a manutenção do hardware e do software;
• Deve existir um registo dos movimentos dos bens • Deve estar definido um mecanismo para avaliar
duradouros e a respectiva actualização no inventário; os custos das actividades do departamento de
• Deve existir um processo de furto ou roubo dos bens, que informática; e
deverá incluir, a participação à polícia, o resultado da • Devem estar identificados e diferenciados os processos
mais importantes da organização e os seus recursos,
investigação e as medidas tomadas;
para que em casos de desastres, ser possível
• Os custos totais dos bens duradouros adquiridos devem
recuperar convenientemente.
estar de acordo com a respectiva rubrica orçamental;
• Deve existir um sector responsável pela área do ii. Aquisição, Desenvolvimento e Manutenção de Sistemas
património; a) Objectivos da auditoria
• Deve existir segregação de funções entre Património ✔ Analisar o estudo de viabilidade económica,
– UGEA – Contabilidade – Tesouraria - operacional e técnica para implementação do
Aprovisionamento; sistema;
• Devem existir infra-estruturas adequadas (armazém, ✔ Analisar a documentação dos sistemas, quer
economato, etc.) para prevenir vários tipos de perdas concebidos localmente quer adquiridos;
de stocks; ✔ Avaliar a operacionalidade/funcionalidade,
• Para salvaguarda dos consumíveis deve haver livro de tecnologia, pós-venda, segurança e análise de custo
entrada, ficha de controlo de stock e ficha de prateleira; e benefícios, quando se trata de uma aquisição
• Para bens abatidos, a entidade deve possuir processo de externas; e
abate, contendo a relação de bens ociosos ou incapazes, ✔ Avaliar os procedimentos para alteração das
o despacho de nomeação da comissão de verificação da aplicações, sejam elas de manutenção, melhorias ou
incapacidade e a comunicação da unidade intermédia mesmo substituição total de recursos informáticos.
ou supervisora do Subsistema do Património e termos b) Critérios de controlo interno
de entrega; e • Devem estar estabelecidos critérios e procedimentos
• Existência de procedimentos de controlo sobre o para elaboração da especificação, visando dar
pagamento de viaturas em processo de alienação. suporte a projectos de novos sistemas ou mudanças
1.11.2.7. Tecnologias de informação e comunicação nos sistemas existentes;
• Devem estar estabelecidas rotinas e procedimentos
A auditoria a tecnologia de informação deve ser encarada sob para revisão da especificação e codificação
cinco prismas, nomeadamente (i) Controlos Organizacionais e dos programas relativos a novos projectos ou
Operacionais (ii) Desenvolvimento, Aquisição e Manutenção de alterações, por pessoal apropriado (por exemplo:
Sistemas, (iii) Infra-estrutura e Data Center (iv) Segurança Física analistas, líderes de projecto, operação, segurança
e Lógica e (v) Base de Dados. e suporte);
• Os utilizadores devem ser envolvidos no processo sistemas/aplicações, redes, procedimentos, ou seja,

de selecção, especificação ou modificação de tudo o que regula e faz funcionar a organização do
sistemas; ponto de vista das TI.
• Em projectos de desenvolvimento interno e b) Critérios de controlo interno
manutenção de sistemas, devem estar definidas 1) Segurança Lógica
rotinas e procedimentos para determinar as
• Devem estar estabelecidas políticas que forneçam
prioridades, assim como estar sujeitas aos padrões
directrizes para a implementação de normas de
de programação aplicáveis ou outros usados pela segurança de informação;
organização; • Devem estar implementadas políticas e procedimentos
• Devem estar estabelecidas rotinas e procedimentos para a atribuição ou modificação do nível de acesso;
de teste para os novos sistemas, assim como para • A organização deve dispor de um software de controlo
os que sofreram mudanças, antes de aprovados de acesso, que detecte a tentativa de intrusão de
e implantados; e pessoas não autorizadas, e restringindo o acesso
• A documentação do sistema em funcionamento dos usuários somente aos recursos necessários
(desenho, especificação, arquitectura, aceitação, (dados, programas, transacções, etc.) para executar
utilizador, administração, etc.) deve ser mantida as suas funções de trabalho;
actualizada, para atender às necessidades tanto do • Deve estar estabelecida uma norma para a utilização
usuário, assim como do pessoal da manutenção e de softwares em redes locais;
processamento de dados. • Devem estar implementados os níveis de segurança
iii. Infra-estrutura e Data Center de informação recomendada em termos de
a) Objectivo da auditoria complexidade e níveis de confidencialidade;
• Área das TI deve ter estabelecida e implementada uma
✔ Avaliar se as configurações feitas ao equipamento política para a criptografia dos dados;
de rede (router, firewall, swisch, access points, entre • Deve ser feita a rotatividade dos operadores que se
outros), computadores, data center, servidores, ocupam do processamento das operações mais
etc., observam o recomendado pelas boas práticas. delicadas, e
b) Critérios de controlo interno • Deve estar implementada uma segurança correcta e
• Devem estar estabelecidos procedimentos e políticas eficaz através do desenvolvimento de um misto
para a gestão da rede; de controlos digitais e controlos físicos no sentido
• A estrutura da rede deve estar documentada (planta de proteger toda a plataforma informática da
de projecto); instituição; quer aplicações quer componentes
• Devem ser estabelecidos mecanismos de controlo do físicas.
hardware e software que garantam a segurança e 2) Segurança física
integridade dos dados no ambiente de rede e dos
recursos físicos que a compõem, bem como limitar • Deve estar instalado um sistema de detenção e extinção
e controlar o acesso aos programas e dados; de incêndios nas unidades de processamento;
• Devem estar estabelecidas rotinas para o • Os equipamentos e instalações das TI devem estar
restabelecimento da rede após interrupções assegurados contra riscos (incêndio, roubo...);
inesperadas; • As instalações devem ser sujeitas a inspecções
• As instalações do data-center devem estar localizadas, periódicas pela empresa seguradora ou pelos
considerando a possibilidade de ocorrência de bombeiros;
inundações e proximidade a pólos geradores de • A área das TI deve ter uma lista com nomes, telefones e
fogo (tanque de combustível, depósito de papeis, endereços da Polícia, dos Bombeiros, de empresas
de manutenção, do responsável pela segurança
cozinhas), áreas com radiações electromagnéticas
total do sistema de informação, guardado em lugar
e outras de elevado perigo;
visível e de fácil acesso;
• Deve ser feito o controlo contínuo tanto da • Deve existir um plano de contingência que possibilite
temperatura assim como da humidade, nas áreas a segurança do sistema de informação, em casos
de processamento de dados (data-center); de catástrofes;
• O data-center deve estar protegido por um sistema • Deve existir um gerador de corrente eléctrica
de detecção e extinção de incêndios; que suporte o funcionamento da unidade de
• A infra-estrutura do data-center deve dispor de um processamento de dados;
sistema alternativo de alimentação de energia • A organização deve ter pessoal de vigilância
eléctrica, compatível com a energia consumida; devidamente treinado para intervir no domínio das
• Devem existir contratos para a utilização de hardware TI, em casos de emergência;
e de software, bem como para a manutenção dos • Devem estar definidas as condições de limpeza e de
mesmos, e higiene que devem existir no data-center;
• Os equipamentos no data-center devem ser • A documentação de segurança deve ter cópias em
alimentados por uma energia limpa (Ups). local seguro;
iv. Segurança Física e Lógica • Devem ser realizadas acções de formação relativa a
prevenção de acidentes no domínio da informática;
a) Objectivo da auditoria e
✔ Avaliar o controlo sobre acesso físico e lógico aos • Equipamento ou material informático com propriedades
elementos que compõem o sistema de informação, magnéticas, deve estar armazenado ou arrumado de
tais como bases de dados, hardware, software, modo a não afectar outros equipamentos.
v. Base de Dados A observação consiste em ver como são desenvolvidas na

a) Objectivo da auditoria prática as funções cometidas aos vários intervenientes num
processo. A observação é sobretudo importante na confirmação
✔ Avaliar os controlos implantados para a
do levantamento do controlo interno ou quando um processo ou
administração da base de dados, administração
procedimento não é susceptível de comprovação posterior.
de dados, controlos de acesso, dicionário de
A evidência física deverá ser documentada sob forma
dados, sua disponibilidade, recuperação e,
de memorandos, resumindo os assuntos inspeccionados ou
integridade da Base de Dados;
observados, nomeadamente, mapas, gráficos, fotografias ou
b) Critérios de controlo interno amostras reais.
• O acesso à base de dados deve ser controlado por
ii. Evidência documental
um software específico, devendo existir a figura
de administrador de base de dados; A evidência documental é aquela obtida dos exames de ofícios,
• A organização deve ter contracto de manutenção e contratos, documentos comprobatórios (registos contabilísticos,
apoio técnico à utilização do software de gestão contratos, cartas, facturas, etc.) e informações prestadas por
da base de dados; pessoas de dentro e de fora da entidade auditada, sendo que a
• A gestão da base de dados deve estar sujeita a normas, evidência obtida de fontes externas adequadas é mais fidedigna
políticas e procedimento de funcionamento; que a obtida na própria organização sob auditoria. O exame destes
• Os logs da base de dados devem ser analisados pelo registos e documentos proporciona distintos graus de evidência
responsável pela segurança do SI; segundo a natureza da fonte e a eficácia dos controlos internos.
• É crucial que seja feito, de forma periódica, As três categorias mais importantes de evidência documental
o backup da base de dados e do log das que proporcionam ao auditor distintos graus de confiança são a:
transacções, e uma das cópias conservada em • Produzida e mantida pela entidade;
lugar geograficamente distante, como é o caso • Produzida por terceiros e em poder da entidade, e
de uma outra cidade, para assegurar que em • Produzida e mantida por terceiros.
caso de catástrofes naturais (como o cismo) a
informação seja recuperada; iii. Evidência analítica
• Os arquivos de backups devem ser testados no Consiste em cálculos, comparações, estudo de índices e
sentido de se aferir a qualidade e o seu estado; tendências, assim como a investigação de variações e transacções
• A transferência de ficheiros da base de dados na não habituais.
ligação entre os computadores terminais e o
servidor (upload e download) deve ser feita com iv. Evidência electrónica
recurso a um software; Evidência electrónica trata-se de informações geradas,
• A capacidade das unidades de discos deve ser armazenadas ou transmitidas em formato digital e que pode
suficiente para suportar as bases de dados; ser utilizada como papel de trabalho apresentando-se de várias
• Deve existir um ambiente de testes da base de dados formas, tais como correio electrónico, fotografias, vídeo, áudio,
para permitir que os analistas e programadores páginas web, dentre outros.
usem-no em casos de alterações feitas as Um dos grandes desafios actualmente é estabelecer uma
aplicações, e gestão de acesso eficaz tanto do ponto de vista operacional como
• Os técnicos da administração de dados devem ter a de compliance (conformidade). Para isso, é necessário integrar
formação suficiente para dar o suporte necessário gestão de identidades, segregação de funções, análises de risco,
aos utilizadores, analistas e programadores. procedimentos de autenticação, autorização, inclusão e revogação
1.11.3. Evidência de acessos, assim como um conjunto de ferramentas tecnológicas
Uma parte importante do trabalho do auditor consiste em obter que permitem o controlo de acesso em vários ambientes, sistemas
evidência de auditoria para poder fundamentar as suas conclusões. e aplicativos.
Uma vez que raramente se analisam todas as informações acerca O papel do auditor é de verificar a eficácia dos controlos
da entidade auditada, é essencial que as técnicas de compilação e procedimentos existentes assegurados pela segregação de
de dados e de amostragem sejam cuidadosamente escolhidas e funções no uso das tecnologias de informação e comunicação
sejam suficientes para detectar adequadamente todos os erros e apontando, por um lado, deficiências e irregularidades que possam
irregularidades materialmente relevantes. De acordo com o IIA comprometer a segurança e o desempenho organizacional e, por
- Norma 2330, os auditores devem documentar adequadamente outro, recolhendo evidências através dessas tecnologias para
as informações relevantes para dar suporte às conclusões e aos suportar as suas conclusões.
resultados do trabalho de auditoria. v. Testemunho
a) Classes de evidência O testemunho consiste em declarações escritas ou orais de
indivíduos da entidade auditada e outras pessoas em resposta
Segundo a fonte de obtenção, a evidência de auditoria pode a perguntas e/ou entrevistas. Os testemunhos podem não ser
ser classificada em: conclusivos e devem ser sustentados por outras formas de
i. Evidência física informação, quando possível.
A evidência física obtém-se mediante a inspecção ou No caso das declarações orais, o auditor deve gerar um auto
observação física. A inspecção efectua-se relativamente a de declarações que deve ser assinado por ele e pelo declarante.
determinados bens do activo (numerário em cofre, stocks em vi. Confirmações
armazém, bens patrimoniais, etc.). A inspecção de activos A confirmação consiste em obter a corroboração, normalmente
tangíveis proporciona evidência sobre a sua existência, mas não por escrito, de uma determinada informação. Pode ser conseguida
sobre sua propriedade. através de certidões ou de circularizações.
b) Propriedades das Evidências • Resultados de procedimentos analíticos de auditoria;

As evidências devem atender a certos requisitos legais, de • Relatório de auditoria e os comentários da Direcção
acordo com a legislação de cada país, podendo se destacar as (contraditório), e;
seguintes propriedades: • Matriz das recomendações.
Admissíveis – no caso em que reúnem condições de ser 1.11.4.3. Qualidade dos papéis de trabalho
apresentadas em órgãos judiciais. A legislação de
Os papéis de trabalho deverão ser:
cada país pode especificar de forma diferente o que
é admissível em um tribunal, por exemplo: as provas • Completos e exactos, de forma a poderem documentar
obtidas por meio de peritos; os factos comprovados, as avaliações e conclusões, e
Autênticas - são aquelas exaradas com as formalidades mostrar a natureza e alcance do trabalho;
legais pelas autoridades públicas nos limites das suas • Claros, compreensíveis e detalhados, de forma a não
competências com assinatura reconhecida pelo notário necessitarem de esclarecimentos adicionais para a
ou com o selo do respectivo serviço. Por exemplo: compreensão da sua finalidade, fontes, natureza e
escritura pública, certidão de registo predial, título de suficiência do trabalho realizado e pertinência das
propriedade, etc., e conclusões;
Confiáveis - os procedimentos de recolha e análise devem • Relevantes, de modo a que somente incluam assuntos de
ser obtidos através de técnicas de auditoria geralmente
importância para os objectivos da auditoria.
aceites e que aplicados por qualquer outro auditor
conduzam aos mesmos resultados. A evidência deve No caso em que os papéis de trabalho são gerados pelo
ser clara e de fácil compreensão ao destinatário da auditor, os mesmos devem conter determinados requisitos,
informação. Por exemplo: as ordens de pagamento designadamente:
geradas no ambiente e-SISTAFE são geradas por • Cabeçalho: Contendo o nome da entidade auditada,
um funcionário com perfil autorizado por um oficial o exercício económico, a codificação e referência
público.
do papel de trabalho e uma breve descrição do seu
1.11.4. Papéis de Trabalho conteúdo;
Os papéis de trabalho documentam as informações obtidas, • Identificação: Iniciais dos auditores responsáveis pela sua
as análises realizadas e apoiam as conclusões e os resultados do elaboração e revisão, as respectivas datas e assinaturas;
trabalho. Os papéis de trabalho são preparados pelo auditor e • Fonte: Indicação da origem da informação obtida,
examinados pela gestão da auditoria interna (IIA - PR 2330-1). fazendo referência dos documentos base e/ou às
Os papéis de trabalho deverão permitir que qualquer auditor, pessoas que a facilitaram;
sem prévio envolvimento na auditoria, chegue às mesmas • Explicação: Comentários sobre o trabalho realizado,
conclusões expressas no relatório. assinalando os objectivos prosseguidos e as provas
Os papéis de trabalho poderão ser em papel, suportes levadas a cabo para sua consecução;
magnéticos (flash disk, CD, DVD) ou outros suportes. • Alcance do trabalho: Indicação da unidade usada para
A gestão da auditoria deverá definir políticas sobre o tipo, a as quantias e valores, tamanho das amostras e a forma
classificação e a salvaguarda dos papéis de trabalho. da sua obtenção;
Os papéis de trabalho normalizados (por exemplo questionários • Informação geral: Sobre problemas deparados,
e programas de auditoria) podem melhorar a eficácia de uma
deficiências encontradas, aspectos a aprofundar em
auditoria e facilitar a delegação do trabalho de auditoria.
auditorias posteriores, alterações a introduzir ao
1.11.4.1. Finalidade dos papéis de trabalho programa de trabalho etc.;
Os papéis de trabalho servem para: • Conclusões: Exposição sucinta dos resultados obtidos e
opinião final sobre o trabalho realizado; e
• Ajudar no planeamento, realização e revisão das • Referências: Indicação das folhas de trabalho
auditorias;
relacionadas, de acordo com um sistema de referências
• Fornecer o suporte principal para o relatório de auditoria;
cruzadas que permita a sua revisão.
• Facilitar revisões por terceiros;
• Fornecer uma base para o controlo de qualidade das Cada área deve ser referenciada de forma a permitir o
auditorias; encadeamento entre os vários aspectos e a facilitar a consulta,
• Documentar se os objectivos do trabalho foram podendo ser utilizado um código de uma ou mais letras.
alcançados;
Exemplo:
• Ajudar no desenvolvimento profissional dos auditores; e
• Demonstrar o cumprimento das Normas de Auditoria. A área de Bens e Serviços pode ser referenciada com o código
“BS” e a numeração dos papéis de trabalho começará em BS/0
1.11.4.2. Conteúdo dos papéis de trabalho (para a folha resumo com as conclusões), seguindo-se depois uma
Os papéis de trabalho devem ser completos e constituir numeração sequencial BS/1, BS/2 BS/3 ....BS/n.
o suporte das conclusões alcançadas. Poderão incluir, entre outros, • Símbolos: são um auxiliar e podem ser diversos. Os
os seguintes elementos:
símbolos utilizados deverão ser explicados na parte
• Documentos de planeamento e programas de auditoria; inferior do respectivo papel e devem ser mantidos ao
• Questionários/checklists de controlo, fluxogramas longo de toda auditoria.
e narrativas;
• Memorandos de entrevistas; Exemplos:
• Informação sobre a instituição auditada (por exemplo T – soma conferida
organograma e descrição de funções); Y – multiplicação conferida
• Cópias de contratos e acordos importantes; TT – somas horizontais e verticais conferidas
Exemplos:
Dados seleccionados para a testagem:
Lista de Fornecedores
Fornecedor Produto Quantidade Preço Unitario Total
A Agrafos 5 100,00 500,00 Y
B Resma de papel 12 300,00 3.600,00 Y
C Toner 3 150,00 450,00 Y
Total 4.550,00
T
Folha de Salário
Trabalhador Salário Subsídio Abono de familia Salário bruto
A 7.500,00 1.200,00 700,00 9.400,00 T
B 8.600,00 1.500,00 900,00 11.000,00 T
C 11.000,00 2.000,00 1.200,00 14.200,00 T
Total 27.100,00 4.700,00 2.800,00 34.600,00
T T T TT
1.11.4.4. Organização dos papéis de trabalho • Contratos e acordos celebrados pela instituição;
Os papéis de trabalho devem ser organizados em pasta corrente • Relatórios de auditoria interna e externa;
e pasta permanente: • Lista de contas bancárias, e
a) Pasta corrente • Outros relatórios (avaliação do risco, etc.).
A pasta corrente engloba toda a documentação relativa a cada 1.11.4.5. Arquivo
auditoria específica, tais como o programa de auditoria, o registo Os arquivos de trabalho de auditoria são propriedade da
das análises e conclusões do trabalho desenvolvido, cópia das organização e, por isso mesmo, devem, em geral, permanecer
demonstrações financeiras e dos relatórios de outras auditorias. sob controlo da actividade de auditoria interna e a eles deverão
O conteúdo da referida pasta pode ser agrupado em: ter acesso somente do pessoal autorizado.
• Programa de trabalho – documento escrito destinado a Cada unidade de auditoria deve criar e implementar um
servir de guia à execução dos testes de conformidade sector de gestão do arquivo cuja política de protecção deverá
e substantivos; e ser superiormente definida. O arquivo deve ser centralizado e
• Mapas de trabalho – documentos de evidência dos testes permitir a localização rápida e eficiente das informações referentes
ou procedimentos efectuados pelo auditor assim como a cada processo de auditoria. Os códigos das pastas deverão ser
das suas conclusões. os mesmos das acções constantes da Programação do Controlo
Os papéis de trabalho da pasta corrente podem ser organizados Interno.
em conformidade com os aspectos abaixo descritos, relativos as A política de protecção do arquivo deve incluir as condições de
fases do processo de auditoria: segurança dos arquivos, a restrição de acesso, a protecção contra
incêndio e humidade, e cópia de segurança.
• Planeamento;
• Avaliação do Sistema de Controlo Interno; 1.12. Supervisão
• Procedimentos de auditoria efectuados, a informação A supervisão é essencial para garantir a consecução dos
obtida e as conclusões alcançadas; objectivos de auditoria e a manutenção da qualidade do trabalho
• Revisão do trabalho; (IIA – Norma 2340, PR 2340-1). Uma supervisão e um controlo
• Relatório; e adequado são, assim, sempre necessários, independentemente da
• Acompanhamento das recomendações (a posterior). competência individual dos auditores.
b) Pasta permanente A supervisão deve ser orientada tanto para o conteúdo como
para o método de auditoria, em todas as fases do processo de
Esta pasta engloba toda a informação que o auditor considera
auditoria, sendo exercida pelo chefe da equipa ou por um auditor
importante e que tenha de ser consultada ao longo das auditorias
designado para o efeito, e visa garantir que:
em curso e futuras, tal como:
• Os membros da equipa de auditoria tenham uma clara
• Informação geral sobre a instituição auditada;
compreensão do plano da auditoria;
• Estatuto orgânico e regulamentos internos;
• A auditoria seja realizada de acordo com as normas e
• Quadro de pessoal;
práticas estabelecidas;
• Descrição da organização (organograma);
• O plano de auditoria e os métodos e procedimentos nele
• Planos estratégicos e programas;
especificados sejam seguidos;
• Legislação específica do Sector;
• O cronograma do trabalho seja cumprido e os objectivos
• Descrições dos sistemas e rotinas de controlo interno;
da auditoria sejam alcançados;
• Os papéis de trabalho contenham informações probatórias o leitor entenda a mensagem que se pretende transmitir. Nesse
que fundamentem adequadamente todas conclusões, caso, é desejável utilizar as principais conclusões como sumário
recomendações e pareceres; e executivo, mas também incluir em resumo, as recomendações
• O relatório de auditoria contenha todas conclusões, mais importantes. O sumário executivo não é apenas uma cópia
recomendações e pareceres pertinentes. e colagem das constatações e conclusões, mas uma leitura destas,
Todo o trabalho de auditoria deve ser revisto pelo chefe da permitindo fácil percepção do conteúdo do relatório.
equipa ou por um auditor designado para o efeito, à medida que 1.13.2. Procedimento de Contraditório
se vai cumprindo cada fase da auditoria, de modo a garantir que: As UAI, tendo em vista os objectivos de rigor, transparência,
• As avaliações e conclusões estejam fundamentadas operacionalidade e eficácia, devem conduzir as suas intervenções
e adequadamente documentadas; em observância ao princípio de contraditório, afigurando-se como
• Os erros, deficiências e factos excepcionais foram um direito incontornável da entidade auditada.
convenientemente identificados, documentados e O procedimento de contraditório consiste em dar a conhecer
sanados ou levados ao conhecimento do supervisor a entidade auditada os resultados preliminares da auditoria, com
da equipa de auditoria; e vista a obter pronunciamento ou esclarecimentos adicionais sobre
• As alterações e melhorias da auditoria em curso sejam os factos arrolados.
identificadas e registadas, a fim de serem consideradas Um contraditório informal deve ser efectuado no decurso e no
nos planos de auditorias futuras, de formação final do trabalho de campo para permitir aproximar a versão do
e treinamento do pessoal. relatório a enviar para efeitos de contraditório formal, evitando
1.13. Comunicação dos Resultados a contestação dos resultados da auditoria pela entidade auditada.
1.13.1. Relatório de Auditoria 1.14. Monitorização e Avaliação das Recomendações
Todas as acções de auditoria terão necessariamente como A acção de auditoria só será eficaz se produzir os efeitos
produto final um instrumento adequado para a tomada de decisões desejados no que tange a implementação das recomendações e
sobre os seus resultados, assumindo geralmente a forma de outras medidas preconizadas. Assim, deverá ser efectuado um
relatório. acompanhamento das recomendações e medidas implementadas
O relatório constitui a face visível de todo o trabalho realizado, pelos organismos ou entidades visadas, com o objectivo de
pelo que a sua utilidade está relacionada com a sua capacidade suprimir as irregularidades relatadas e efectivar as boas práticas
de transmitir informações úteis em tempo oportuno. recomendadas.
Os relatórios devem ser precisos, objectivos, claros, concisos, Desta feita, a entidade auditada deve, no prazo fixado na matriz
construtivos, completos e tempestivos (IIA – Norma 2420). de recomendações e remetido pela nota de envio juntamente com
Assim, os relatórios de auditoria devem comportar os seguintes o relatório de auditoria, dar o ponto de situação do cumprimento
atributos: das recomendações constantes do mesmo e o Plano de acção
• Precisos – são livres de erros e distorções e são fiéis aos referente às recomendações não cumpridas.
factos fundamentais; O processo será proposto para encerramento logo que as
• Objectivos – são justos, imparciais e neutros, e são o recomendações estejam implementadas. De referir que pela
resultado de um julgamento justo e equilibrado de sua importância, esse acompanhamento, em caso de acções de
todos factos e circunstâncias relevantes; auditoria recorrentes, poderá constituir o ponto de partida para o
• Claros – são facilmente compreendidos e são lógicos, trabalho a efectuar seguidamente.
evitam linguagem técnica desnecessária e fornecem Métodos e Técnicas de Auditoria
todas as informações significativas e relevantes; 1.15. Técnicas de Entrevista
• Concisos – são directos ao ponto e evitam elaboração
desnecessária, detalhes supérfluos, redundância e Um dos métodos que o auditor interno pode empregar com o
excesso de palavras; objectivo de obter informação sobre a entidade auditada e sobre
• Construtivos – são úteis ao cliente do trabalho e à as rotinas de controlo interno é através de entrevistas, sendo de
organização e conduzem à melhorias onde sejam destacar as seguintes:
necessárias; a) Entrevista estruturada - é uma entrevista com perguntas
• Completos – não omitem nada do que seja essencial predeterminadas, seguindo um roteiro preestabelecido
à audiência alvo e incluem todas informações e aplicada a pessoas seleccionadas. A entrevista
significativas e relevantes e as observações que dão estruturada possibilita comparações e permite maior
suporte às conclusões e recomendações; e controlo sobre a qualidade dos dados colectados.
• Tempestivos – são oportunos e práticos, dependem da Uma alternativa a entrevista estruturada é o questionário
importância do ponto, permitem a administração tomar enviado a entidade auditada com objectivo de efectuar o
as decisões correctivas e apropriadas. levantamento do sistema de controlo interno. Este procedimento
A estrutura do relatório deve ser a mais adequada a cada tem a vantagem, por um lado, de fornecer a possibilidade de os
situação concreta. No entanto, deve obedecer a uma estrutura gestores da entidade auditada se auto-avaliarem sobre as áreas/
básica mínima que assente nos seguintes pontos: introdução, processos cujo controlo se mostra insuficiente e, por outro, a
resultados, conclusões, recomendações. desvantagem de limitar o âmbito na medida em que as questões
Os auditores internos deverão, de forma clara e sucinta, além colocadas podem não focar outros aspectos relevantes. O auditor
de expressar a sua opinião (elemento indispensável do relatório), deve prestar atenção às questões com respostas previsíveis, pois
identificar a natureza e o objecto do trabalho, descrever as abrem a possibilidade de o entrevistado escolher as respostas que
responsabilidades dos órgãos de gestão e as suas próprias, bem melhor lhe convêm.
como o âmbito do trabalho realizado. b) Entrevista aberta – É aquela em que não existem
Quando o relatório for extenso (mais de 30 páginas de conteúdo) respostas predefinidas. O entrevistador introduz
deve conter um sumário executivo para permitir que rapidamente o tema e o entrevistado tem liberdade de analisar
e desenvolver o tema. É uma forma de explorar 1.16. A amostragem aleatória

amplamente as questões colocadas. É a que ocorre quando todos os elementos da população em
c) Entrevista semiestruturada – Este tipo de análise têm a mesma possibilidade de serem escolhidos para a
entrevista combina perguntas abertas e fechadas amostra. Por isso, procura representar o mais próximo possível a
(predeterminadas). Um conjunto de questões é população em que foi extraída e quanto mais larga for a amostra
definido, mas o entrevistador pode dirigir a discussão mais representativa se torna. A amostragem aleatória pode ser
para o assunto de interesse, para elucidar questões estatística ou não estatística.
e respostas não claras. Este tipo de entrevista é
utilizado quando é desejável delimitar o volume das i. Amostragem estatística é aquela em cuja determinação
informações. do tamanho da amostra, a selecção dos itens que
a integram e a avaliação dos resultados se fazem
A técnica da entrevista semiestruturada pode ser utilizada por métodos matemáticos, baseados no cálculo de
pelos auditores internos no encontro inicial com a entidade a probabilidade e inferência estatística. A amostragem
ser auditada.
estatística permite a medição do risco de amostragem,
1.16. Técnicas de Amostragem ou seja, o risco de a amostra seleccionada não
Amostragem é a selecção de uma amostra em determinada representar a população que se pretende analisar.
população, de acordo com o método apropriado e estudo dos A amostragem estatística pode ser (a) por números
elementos (unidades de amostragem) que a compõem, com vista aleatórios, (b) estratificada, (c) agrupada ou (d)
a emitir um parecer sobre o total dessa população (OECI-CPLP, sistemática ou por intervalo;
2009). ii. Amostragem não estatística é o processo cuja
A amostragem em auditoria, quer seja estatística ou não determinação do tamanho da amostra e a avaliação
estatística, é o processo de selecção de parte de uma população dos resultados é baseada num critério subjectivo,
(amostra), usando as características dessa amostra para retirar tal como na análise de risco e no juízo profissional.
conclusões sobre a população. Ou seja, é a aplicação de A amostragem não estatística pode ser por (a) por
procedimentos de auditoria a menos de 10% dos itens de uma números aleatórios, (b) estratificada ou (c) agrupada.
rubrica das demonstrações financeiras, com o objectivo de avaliar Na selecção de amostras aleatórias, três regras básicas devem
as características dessa rubrica (Almeida 2014, 222). ser observadas:
Amostragem em auditoria é o processo de aplicação de ➢ Conhecer a população, uma vez que as conclusões
procedimentos de auditoria a uma parte da população (amostra)
serão baseadas em amostras retiradas apenas dessa
para emitir uma opinião sobre a totalidade da população
população;
(universo) (Sawyer, 437).
➢ Definir a unidade de amostragem conforme os
Ao analisar uma parcela da população o auditor aceita o risco
objectivos da auditoria; e,
de que a amostra seleccionada não representa verdadeiramente a
➢ Permitir que todos os elementos da população
população, ou seja, que as características projectadas da amostra
tenham possibilidade igual (ou conhecida) de serem
não sejam as que seriam encontradas, caso a amostra fosse
alargada ou a população inteira fosse analisada. escolhidos.
“A amostra e os resultados da amostra devem ser analisados em a. Amostragem por números aleatórios
termos de materialidade, razão, causas e efeito real ou potencial.” É aquela cuja selecção de todos os elementos da amostra
(Sawyer, 437) se baseia em algoritmos informáticos ou tabelas de dígitos
O maior desafio para os auditores internos ao realizar os cientificamente aleatorizadas. Considera-se a mais passível de
seus trabalhos reside na escolha do (1) tipo, (2) tamanho, resultar em amostra mais representativa, no entanto difícil de
(3) método de selecção da amostra apropriados e (4) como usar em análise de documentos não numerados ou organizados
avaliar os resultados das análises em termos dos objectivos dos de forma sequencial.
procedimentos da auditoria (Sawyer, 438). Esta decisão deverá
ser tomada na fase de programação dos trabalhos. b. Amostragem estratificada
De acordo com o Ponto 153 das Normas de Controlo da É utilizada quando se observa significativas variações
INTOSAI “Os resultados, conclusões e recomendações de dentro da população, havendo necessidade de criar-se dois
auditoria devem ter por base informações probatórias. Dado ou mais subgrupos da população, ou estratos, com elementos
que os auditores raramente têm a oportunidade de tomar em com características mais semelhantes, donde serão tomadas
consideração toda a informação relativa à entidade auditada, é as amostras, resultando em amostras mais eficientes, ou seja,
fundamental que as técnicas de recolha de dados e de amostragem com menos variância. A baixa variabilidade dos elementos
sejam cuidadosamente seleccionadas”. de cada estrato resulta em maior representatividade dos seus
O trabalho de auditoria, em consequência da quantidade elementos, o que reduz o número de itens necessários para obter
e complexidade da informação, não é integral. Para obter a representatividade necessária da população.
informações probatórias adequadas, relevantes e de custo A decisão sobre, como estratificar, quantos estratos e que
razoável, a auditoria deverá incidir sobre uma amostra que lhe elementos agrupar, depende do julgamento do auditor, embora
permita obter uma segurança aceitável na emissão da sua opinião. existam softwares que o possam fazer. Estratificada a população,
A amostra tem que ser representativa do universo, do qual dependendo das circunstâncias, os elementos da amostra podem
o auditor procura tirar as conclusões. Sendo representativa, a ser seleccionados por números aleatórios ou por intervalos.
amostra pode ser usada para obter evidência relativamente ao Exemplo:
funcionamento do sistema de controlo interno e quanto à validade Suponhamos que o auditor pretenda estimar o consumo de
das operações registadas. combustível para uma frota de 1000 viaturas. Se todas
1.16. Tipos de Amostragem as viaturas da frota tiverem a mesma característica
Conforme os objectivos da análise e os procedimentos a serem (cilindrada, ano de fabrico, estado de conservação,
efectuados, o auditor pode considerar adequado basear as suas uso), provavelmente bastaria uma amostra de uma
análises em amostragem aleatória ou não aleatória. unidade para estimar o consumo mensal da frota. Mas
se existirem variações na frota, por exemplo viaturas Exemplo:

pesadas de carga, ligeiras de carga, ligeiras de Suponhamos que o número de facturas emitidas durante
passageiros, viatura novas e com mais de 5 anos, etc., um determinado período foi de 1000 (N), numeradas
efectuar a estimativa de consumo de combustível, requer de 1 a 1000, e que se pretende seleccionar 200 (n) para
análise de consumo de cada estrato. a realização do teste, de onde resulta que o intervalo
(i) será 5. Se a factura de começo tiver o número 4
c. Amostragem em bloco ou agrupada (seleccionado aleatoriamente) a segunda factura a testar
É o processo utilizado para seleccionar amostra de registos ou será a que tiver o número 9 (4+5) e assim sucessivamente
documentos dispersos ou espalhados de tal modo que a utilização até serem testadas todas as 200.
de simples números aleatórios absorveria muito tempo. Consiste Para evitar que certos padrões afectem a representatividade
em seleccionar aleatoriamente um bloco/grupo de registos/ da amostra (por exemplo: a entidade adoptou o procedimento de
documentos e analisá-los na totalidade ou por amostragem. Se a supervisionar as 10 primeiras facturas de cada mês), o auditor
selecção do grupo e/ou da amostra dentro do grupo for aleatória, pode optar por realizar três começos, todos de forma aleatória,
então a amostragem pode ser considerada aleatória, assumindo-se conforme os passos a seguir:
que todos os elementos tiveram a mesma possibilidade de serem • Multiplicar o intervalo da amostra (i= 5) por 3 e obter
escolhidos. 15.
Exemplo: • Escolher três números de partida aleatoriamente, todos
menores que 15, (suponhamos 4, 9, 13).
Bloco N.º da factura
Os elementos da amostra serão:
1.º 25 a 74
Começo 1.º Elemento 2.º Elemento 3.º Elemento 4.º Elemento Sucessivamente
2.º 289 a 338 1.º 4 19 34 49 x+15
2.º 9 24 39 54 x+15
3.º 660 a 709
3.º 13 28 43 58 x+15
4.º 909 a 958
1.161.2. A amostragem não aleatória, dirigida ou
d) Amostragem sistemática (ou por intervalos) intencional
Quando os elementos da amostra são seleccionados por É a que é utilizada quando o auditor tem suspeita de existência
intervalos. A sua utilização requer observância de três princípios de erros ou manipulações sérias, e pretende colher evidência que
básicos, nomeadamente (1) que todos os elementos da população sustente a sua suspeita ou apurar o máximo de elementos com
estejam presentes e disponíveis para a amostragem, uma vez que as características suspeitas. Não sendo amostragem aleatória, o
a opinião da auditoria sairá unicamente da população em análise, auditor não pode extrapolar as conclusões obtidas a partir das
(2) que o primeiro elemento no processo de selecção seja tomado amostras colhidas intencionalmente para toda a população. A
aleatoriamente, dado que se trata de amostragem aleatória, e amostragem dirigida pode ser (a) agrupada, (b) fortuita ou casual,
(3) que o auditor efectue dois ou mais processos de selecção na (c) julgamento, (d) pára e avança ou (e) descoberta.
população (começos múltiplos) para evitar que algum viés ou a) Amostragem não aleatória agrupada ou em bloco
padrão específico da população afecte a selecção, e todos com o A amostragem agrupada já foi abordada na amostragem
elemento inicial aleatório. aleatória. A única diferença reside no facto de a escolha do
• O intervalo amostral é dado pela fórmula i = N , em grupo ou bloco objecto a ser analisada, poder ser por métodos
n
subjectivos ou intencionais, por exemplo, o grupo que o auditor
que N é o número da população e n é tamanho da amostra
julgue possuir muitas transacções.
que se pretende colher;
b) Amostragem fortuita ou casual
• Seleccionar o item de começo a partir, por exemplo,
de números aleatórios (sendo este número A amostragem casual consiste na selecção de elementos da
obrigatoriamente menor que o do intervalo), e amostra por acaso, sem se preocupar com viés ou representatividade.
• Determinar os itens seguintes da amostra adicionando, Exemplo:
sucessivamente, o intervalo ao item de começo. Na selecção de amostragem por acaso de facturas, o auditor
Este método é mais utilizado nas médias e grandes organizações, pode tomar qualquer factura que estivesse imediatamente
quando o auditor deposita uma certa margem de confiança no disponível, independentemente de informações tais como
sistema de controlo interno, podendo aplicar-se, na realização o número de factura, o fornecedor, o local de venda,
dos testes de conformidade e outros. o valor de venda ou a quantidade de bens vendidos.
136 Add a heading to yourI SÉRIE — NÚMERO
document 4 16
Sistemática
(intervalos)
Estatística
Por n.ºs Aleatórios

Aleatória
Estratificada
Não Estatística
AMOSTRAGEM
Agrupada
Dirigida ou
intencional
(não aleatória) Fortuita (por acaso)
Julgamento
1.16.2. Plano Amostral dos testes do tipo “sim-ou-não”, “certo-ou-errado”, “conforme

Consoante os objectivos da auditoria, o tamanho da amostra ou não-conforme”, o teste visa determinar quantos elementos tem
pode ser determinado por julgamento do auditor ou por cálculos a característica de não-conformidade.
estatísticos. Em muitas situações de auditoria, amostras grandes a) Amostragem de descoberta
ou calculadas estatisticamente são desnecessárias. Amostragem de descoberta é uma forma de amostragem de
Após levantamento preliminar do sistema de controlo interno, atributo usada quando haja suspeita de ocorrência de muito
o auditor pode ficar impressionado com a qualidade do mesmo poucos desvios (não-conformidades), mas que sejam críticos. Os
e sentir-se confortável em rever uma amostra de dois ou três resultados da amostragem de descoberta não podem ser avaliados
elementos, tomados casualmente, para testar a funcionalidade estatisticamente, se houver desvios na amostra.
dos controlos. No entanto, segundo Sawyer (2005), se o auditor O tamanho da amostra é calculado de modo a incluir pelo
quiser ter certeza razoável da eficácia do controlo interno, não menos uma instância de um desvio, se os desvios ocorrerem na
deverá depositar confiança em testes de amostras com menos população a uma dada taxa.
de 30 elementos, pois somente a partir de 30 elementos é que a Este tipo de amostragem é chamado de descoberta porque
amostra começa a adoptar as características da população. Por o auditor examina os elementos de amostra até que descubra um
conseguinte, uma amostra de 30 a 40 elementos fornece uma erro, o que o leva a considerar o controlo interno inadequado.
segurança suficiente de que o sistema funciona com eficácia É utilizada na análise de uma população em que existe suspeita
razoável. de fraude ou pouca ocorrência de poucos erros, mas muito
Se o auditor quiser objectivamente medir a confiabilidade significativos, como nos casos de folhas de pagamento de salários
dos resultados da sua amostra, deverá necessariamente utilizar a que contenham trabalhadores fictícios, lista de abastecimentos de
amostragem estatística. combustíveis com viaturas fictícias; duplicação de pagamentos,
Assim a escolha do tipo de amostragem depende do objectivo entrada não autorizada de mercadoria, etc.
do teste e da natureza dos dados ou características a serem A descoberta de um erro fará com que o auditor considere
o controlo interno inadequado. A Amostragem de Descoberta
avaliadas. Algumas amostras podem ser avaliadas sob mais de
é indicada para um propósito especial e limitado.
uma abordagem. O auditor deve seleccionar cuidadosamente
Contrasta com a Amostragem por Atributos, que permite
a abordagem ou combinação de abordagens que tararão os avaliar a condição de uma população inteira mediante o exame
resultados pretendidos da maneira mais eficiente. de uma amostra. A amostragem de descoberta é utilizada para
1.16.2.1. Planos de natureza da variável fornecer alta probabilidade de evidência produtiva de que existem
certos acontecimentos numa população, ainda que ocorram
Conforme o objectivo do teste e da natureza dos dados
a alguma taxa mínima.
em análise, ou seja, da característica específica da população
É mais um procedimento de investigação que de auditoria,
sobre a qual o auditor pretende avaliar, este pode decidir pela: muito útil quando o auditor deseja determinar se um tipo particular
(1) amostragem de atributos, (2) amostragem pára-e-avança; de discrepância significante ocorreu, ou uma fraqueza séria existe
(3) amostragem de descoberta; (4) amostragem de variáveis; no sistema de controlo, a amostragem de descoberta é a técnica
(5) amostragem de unidade monetária, ou (6) amostragem de ajustada.
julgamento.
b) Amostragem pára-ou-avança (amostragem
1.16.2.1.1. Amostragem de atributos sequencial)
A amostragem de atributos é utilizada para variáveis discretas, Amostragem pára-ou-avança (amostragem sequencial) é
ou seja, para estimar a taxa de ocorrência ou não ocorrência usada com o objectivo de reduzir o tamanho da amostra, quando
de uma determinada característica de interesse (atributo) na o auditor acredita que a taxa de erro na população é baixa.
população. Em geral, o auditor usa este tipo de amostragem em Assim, examina apenas elementos de amostra suficientes para
testes de controlo para verificar se os procedimentos de controlo se assegurar de que a taxa de desvio está abaixo de uma taxa
interno estabelecidos são ou não adequados, dado que estes específica em um nível de confiança específico, podendo alterar
actuam sobre todas as transacções da mesma forma, em regra, (expandir) o nível de confiança em estágios. Como o tamanho da
independentemente da dimensão do universo. Sendo a resposta amostra não é fixo, (Gleim, 2016).
1.16.2.1.2. A amostragem de variáveis 4. Selecção de amostra do inventário de uma unidade e emitir

A amostragem de variáveis é utilizada quando se pretende opinião sobre o inventário de todas as unidades da organização.
avaliar variáveis contínuas, ou seja, características qualitativas Cada uma destas projecções, a menos que seja devidamente
de um universo, com determinado nível de confiança. Em geral, qualificada, está errada e sem suporte. Quando a população e a
este tipo de amostragem é utilizado em testes substantivos amostra são adequadamente definidas, a confiança e a abordagem
com o objectivo de determinar a razoabilidade dos registos da auditoria aumenta.
contabilísticos, obter informações sobre se um valor declarado, 1.17. Procedimentos Analíticos
está significativamente deturpado.
Os auditores internos deverão fundamentar as conclusões
Assim a amostragem de variáveis é utilizada para critérios
e resultados do trabalho com base em análises e avaliações
materiais, onde o auditor pode determinar um nível de confiança
adequadas.
específico, uma faixa que inclui o valor real. Nestas amostragens,
Os procedimentos analíticos de auditoria proporcionam
tanto o limite superior como o inferior são relevantes, uma vez
ao auditor interno um meio eficiente e eficaz de efectuar uma
que um saldo pode ser supre ou subvalorizado.
avaliação da informação obtida num trabalho de auditoria.
Segundo (Gleim, 2016) os auditores podem aplicar as
A avaliação resulta da comparação da informação existente
seguintes técnicas de amostragem: (a) Média por Unidade não
na entidade auditada (condição) com expectativas (critério)
Estratificadas, (b) Média por Unidade Estratificada, (c) Estimativa
desenvolvidas pelo auditor ou existente na indústria/sector. Os
de Diferença e (d) Estimativa de Proporção.
procedimentos analíticos de auditoria são úteis na identificação,
a. Cálculo do tamanho da amostra estatística entre outros aspectos, de:
Para calcular o tamanho da amostra, é necessário primeiramente • Diferenças não esperadas;
conhecer a população, e em seguida determinar o nível de • Ausência de diferenças quando esperadas;
confiança ou fiabilidade pretendido, a precisão desejada e a • Erros potenciais;
variabilidade encontrada na população. Seja: • Irregularidades potenciais ou actos ilegais, e
N – tamanho da população; • Outras transacções ou factos não recorrentes ou não
n1 – tamanho da amostra para uma população infinita; usuais.
n2 – tamanho real da amostra (após uma população finita); Os procedimentos analíticos de auditoria podem incluir:
Z – factor de confiança correspondente ao nível de confiança
• Comparação de informação do período corrente com
pretendido;
informação similar de períodos anteriores;
r – taxa de erro esperada;
• Comparação dos dados de execução com o orçamento
p – precisão pretendida.
ou previsão;
Teremos: • Estudo das relações entre a informação financeira e a
n1 = (Z2 × r × ( 1 - r ) informação não financeira apropriada (por exemplo:
custos com o pessoal com alterações no número médio
p2 de empregados);
• Estudo de relações entre elementos de informação (por
n1
n2 = n1 + exemplo: flutuação dos custos financeiros comparada
1 N com alterações nos saldos do passivo remunerado);
• Comparação da informação da unidade com a informação
Exemplo: similar de outras unidades da organização;
Suponhamos que a população era constituída por 1 000 • Comparação da informação da entidade com a informação
documentos e que o auditor pretendia um nível de confiança de da indústria/sector na qual a organização opera; e
95% e uma precisão de +/-3%. Suponhamos, ainda que a taxa de • Benchmarking, que consiste em comparar aspectos de
erro esperada, com base na experiência passada, foi estabelecida desempenho da entidade com as melhores práticas da
em 5 %. Qual é o tamanho da amostra a seleccionar? classe ou indústria/sector em que opera.
Um nível de confiança de 95 % corresponde com um factor Os procedimentos analíticos de auditoria poderão ser
de confiança (factor Z) de 1,96. O nível de confiança é dado efectuados utilizando valores monetários, quantidades físicas,
através de tabelas pré-calculadas. A primeira fórmula resulta num rácios ou percentagens.
tamanho inicial de 203 elementos (tamanho para uma população Os procedimentos analíticos de auditoria incluem, mas não
muito grande) se limitam, à análise de regressão, de rácios ou de tendências,
n1 = 1,96²*0,05*(1-0,05)/0,03²=203 testes de razoabilidade, comparações entre períodos homólogos,
n2 = 203/1+ (203/1000)=168 comparação com orçamentos, previsões e informação económica
externa.
Resposta: O tamanho da amostra = 168 documentos.
Os procedimentos analíticos de auditoria auxiliam o auditor
O tamanho máximo para uma amostragem é sempre 203 interno na identificação de condições que possam necessitar
documentos de procedimentos subsequentes de auditoria. Os auditores
1.16.3. Erros Comuns de Amostragem Cometidos pelos internos devem utilizar procedimentos analíticos de auditoria no
Auditores planeamento da auditoria de acordo com as linhas de orientação
contidas na secção 2200 das normas do IIA.
1. Selecção de amostra de facturas pagas apenas num único
mês e emitir opinião sobre todas as facturas pagas no ano; Os procedimentos analíticos de auditoria devem também
2. Selecção de amostra de comprovativos de viagens internas e ser utilizados durante os trabalhos para avaliar a informação de
emitir opinião sobre todas as viagens incluindo as internacionais; suporte dos resultados da auditoria. Os auditores internos deverão
3. Selecção de amostra de pagamentos acima de um certo considerar os seguintes factores para verificar a necessidade da
montante emitir opinião sobre todos os pagamentos mesmo abaixo utilização dos procedimentos analíticos de auditoria:
do montante mínimo definido; e • A importância da área a ser analisada;
• A adequação do sistema de controlo interno; O questionário não pode ser confundido com a Lista de
• A disponibilidade e a fiabilidade da informação financeira Verificação, na medida em que esta, embora comportando também
e não financeira; questões, visa orientar todo processo de auditoria, assinalando
• A precisão com que os resultados dos procedimentos aspectos que não podem, de modo algum, serem esquecidos.
analíticos de auditoria podem ser previstos; Auditoria Interna e A Fraude
• A disponibilidade e a comparação da informação referente
1.21. Definição
a indústria/sector na qual a organização opera; e
• A medida em que outros procedimentos, de trabalhos de Fraude são actos ilegais caracterizados por engano,
auditoria já realizados, proporcionam um suporte para encobrimento ou violação de confiança, perpetradas por
os resultados desta auditoria. indivíduos ou organizações a fim de se obter dinheiro,
propriedades ou serviços, para evitar pagamento ou perda de
Quando os procedimentos analíticos de auditoria identificam
serviço ou para garantir vantagem pessoal ou de negócio. Estes
resultados ou relações inesperadas, os auditores internos deverão
actos não implicam o uso de ameaças, violência ou força física.
avaliar esses resultados ou relações.
(IIA – Glossário). A fraude inclui quatro elementos essenciais,
O exame e a avaliação dos resultados ou relações inesperadas,
a saber:
resultantes da aplicação de procedimentos analíticos de auditoria,
• Uma declaração materialmente falsa;
deverão incluir inquéritos à gestão e a aplicação de outros
• Conhecimento (por parte do perpetrador) de que as
procedimentos de auditoria até que os auditores internos se
declarações são falsas na altura de cometimento;
assegurem de que os resultados e relações estão suficientemente
• Confiança em tais declarações por parte da vítima, e;
explicados.
• Danos resultantes da confiança depositada nas decla-
Os resultados ou relações que não forem convenientemente
rações falsas.
explicados devem ser comunicados aos níveis adequados da
gestão. O auditor interno pode recomendar a tomada de acções 1.22. Identificação da Fraude
apropriadas, dependendo das circunstâncias. O auditor deverá possuir os conhecimentos adequados para
Instrumentos de Auditoria avaliar o risco de fraude e a maneira com o qual é gerida pela
organização, mas não se espera que disponha da perícia de alguém
Para executar com eficiência os trabalhos de auditoria, os
cuja responsabilidade primária é a detecção e a investigação de
auditores socorrem-se de diversos instrumentos orientadores que
fraude (IIA – Norma 1210.A2). A fraude engloba um conjunto
garantem a cobertura de todas as áreas e processos a auditar, bem
de irregularidades e actos ilegais caracterizados pelo engano
como o efectivo alcance dos resultados.
intencional. Pode ser perpetrada em benefício ou em prejuízo da
1.18. Programa de Trabalho organização e por pessoas tanto externas ou internas.
Um programa de trabalho é um documento que lista os A fraude perpetrada em detrimento da organização é
procedimentos a serem seguidos durante o trabalho de auditoria, e geralmente em benefício directo ou indirecto de um empregado,
destinados a alcançar o plano. Em geral, os programas de trabalho entidade ou outra organização. Citam-se como exemplos:
são desenvolvidos por área. • Aceitação de suborno;
De acordo com as normas internacionais, os auditores internos • Desvio de uma transacção potencialmente proveitosa por
deverão desenvolver programas de trabalho de forma a alcançar um empregado ou terceiro;
os objectivos previstos. • Desfalque, tipificado pela posse indevida de dinheiro,
Os programas de trabalho deverão estabelecer os procedimentos de bens, e falsificação de registos financeiros para
para a identificação, análise, avaliação e registo da informação dar encobrimento ao acto, tornando assim a detecção
durante a sua execução. Estes deverão ser aprovados antes difícil;
do início da auditoria, e quaisquer ajustamentos deverão ser • Encobrimento ou descrição incorrecta e intencional de
aprovados atempadamente (IIA - Norma 2240.A1). factos e dados; e
Os instrumentos associados aos programas de trabalho são as • Reclamações apresentadas por serviços ou mercadorias
Listas de Verificação ou questionários. não fornecidas à organização.
1.19. Lista de Verificação 1.23. Sintomas de Fraude
A Lista de Verificação (checklist) é o instrumento mais • Sintoma documental - trata-se de alterações de registos
utilizado, tanto pelos auditores internos como externos. Consiste contabilísticos para ocultar a fraude, como por exemplo
numa série de questões acerca de aspectos básicos do sistema e, no manter dois livros (factura, entrada, etc.) ou forçar a
geral, uma resposta negativa evidencia uma fraqueza no controlo. reconciliação dos livros;
Este instrumento ajuda a assegurar que todos os pontos básicos • Estilo de vida – um aumento inexplicável de condição
de controlo são considerados na auditoria. social ou níveis de consumo material do funcionário; e
A Lista de Verificação tem uma função importante de • Sintoma comportamental – uma mudança drástica no
harmonizar a metodologia e assegurar um processo uniforme com comportamento do funcionário pode indicar ocorrência
qualidade suficiente e também indica quais partes da auditoria de fraude.
devem ser priorizadas. 1.24. Indicadores de Fraude
1.20. Questionário • Falta de alternância de funcionários em posições
O questionário é constituído por uma lista de perguntas delicadas, tais como o manuseio de dinheiro;
colocadas de forma sequenciada e lógica, com finalidade de • Combinação inadequada de tarefas;
orientar o auditor na execução de uma entrevista, tendo em vista • Cadeias hierárquicas de responsabilidades e prestação
apurar factos ou obter informações que não sejam possíveis de contas pouco claras;
por via documental. As perguntas constantes deste documento • Vendas ou metas de produção não realistas;
devem ser cautelosamente elaboradas, de fácil compreensão, • Um funcionário que se recusa a gozar férias ou recusa
demandando respostas do tipo “sim” ou “não” ou respostas curtas. a promoção;
• Controlos estabelecidos não aplicados com consistência; participar na investigação de forma a assegurar que o
• Altos lucros relatados enquanto os concorrentes deparam- trabalho é conduzido por indivíduos que tem o tipo e
se com crises financeiras; o nível apropriados de competência técnica;
• Uso excessivo ou não justificado de aquisição de fonte • Conceber os procedimentos a seguir para tentar identificar
única; os implicados, a extensão da fraude, as técnicas
• Aumento nas vendas, desproporcional ao aumento dos utilizadas e o motivo da fraude;
custos dos produtos vendidos, e • Coordenar as actividades com elementos da gestão,
• Alta rotatividade entre posições de supervisão nas áreas consultor jurídico e outros especialistas, conforme
financeira e contabilidade. apropriado, durante o curso da investigação; e
• Ter conhecimento dos direitos dos implicados e pessoal
1.25. Desencorajamento da Fraude suspeito no âmbito da investigação e da reputação das
O desencorajamento da fraude consiste nas acções tomadas próprias organizações.
para dissuadir a ocorrência da fraude e eliminar os focos de Uma vez terminada a investigação, deve-se:
oportunidades para que a fraude ocorra. O principal mecanismo
• Verificar se é necessário implementar ou reforçar os
para o desencorajamento da fraude é o aprimoramento do controlos para reduzir futuras vulnerabilidades;
controlo. A responsabilidade primária pelo estabelecimento e • Desenvolver testes de auditoria para facilitar a descoberta
manutenção do controlo pertence à gestão. de fraudes similares no futuro; e
Os auditores internos são responsáveis por ajudar no • Ajudar a cumprir a responsabilidade do auditor interno
desencorajamento da fraude, examinando e avaliando a adequação em manter um conhecimento suficiente da fraude e,
e eficácia do sistema de controlo interno, de acordo com a desta forma, estar apto a identificar futuros indicadores
extensão da exposição ou do risco potencial nos vários segmentos de fraude.
das operações da organização. 1.26. Comunicação da Fraude
Ao executar essa responsabilidade, os auditores deverão, por
Quando houver indícios de fraude e o auditor tiver certeza
exemplo, verificar se:
razoável, as situações devem ser comunicadas de imediato à
• O ambiente organizacional favorece que se tenha gestão superior.
consciência sobre o controlo; Uma comunicação formal deverá ser emitida na fase de
• Estão estabelecidos objectivos e metas organizacionais conclusão da investigação e incluindo todas as revelações,
realistas; conclusões, recomendações e acções correctivas tomadas.
• Existem políticas organizacionais por escrito (por A comunicação sobre a fraude deverá ser submetida ao
exemplo Código de Ética) que mencionam actividades consultor jurídico para revisão. Nos casos em que o auditor
proibidas e quais as medidas que devem ser tomadas interno pretenda invocar privilégio legal ao implicado, deverá
quando se detectam violações; considerar-se a hipótese de submeter a referida comunicação a
• Foram estabelecidas e se mantêm políticas apropriadas aconselhamento jurídico.
de autorização de transacções; Devem ser listadas as comunicações, com indícios de fraude,
• Foram definidas políticas, práticas, procedimentos, das UAI e com indícios de matéria criminal, as quais devem ser
relatórios e outros mecanismos para controlar submetidas a apreciação superior, para envio à Procuradoria-
actividades e proteger os activos, particularmente nas Geral da República.
áreas de elevado risco; Programa de Garantia de Qualidade e Melhoria
• Os canais de comunicação dão à gestão informação As organizações de auditoria, tal como outras organizações
adequada e fidedigna; e profissionais, são susceptíveis de situações de ineficiências no
• É necessário fazer recomendações para o estabelecimento seu desempenho decorrentes da forma organizacional, o fluxo da
ou melhoria de controlos eficazes e com custos informação, competência técnica dos colaboradores, incentivos
aceitáveis para ajudar a desencorajar a fraude. pessoais, perda de foco, entre outras razões.
A investigação consiste na realização de procedimentos Algumas unidades de auditoria, ainda que tenham um
extensos necessários para apurar se ocorreu a fraude, o impacto desempenho eficiente, podem não estar a funcionar de forma
da mesma, os sujeitos e como terá ocorrido. Inclui uma eficaz, ou seja, sem conseguirem alcançar os seus objectivos
obtenção de evidência material suficiente acerca dos pormenores operacionais, de reporte ou de conformidade com as Normas, leis,
específicos da fraude detectada. Os auditores internos, advogados, regulamentos, e até os respectivos planos de actividade.
investigadores, pessoal de segurança e outros especialistas da Para dar impulso ao funcionamento da actividade de auditoria
organização, ou externos a ela, são as entidades que normalmente interna, de acordo com a Norma 1300, o auditor-chefe deve
conduzem ou participam em investigação de fraude. Quando um desenvolver e manter um Programa de Garantia de Qualidade e
auditor suspeita de actuações incorrectas, deve: Melhoria (PGQM) que compreenda todos os aspectos relevantes
• Avaliar os indícios e decidir se mais acções são necessárias da actividade de auditoria interna.
ou se uma investigação deve ser recomendada; 1.27. Objectivos do Programa de Garantia de Qualidade
• Avaliar o nível provável e a extensão de cumplicidade da e Melhoria
fraude dentro da organização. Tal pode ser crítico para Segundo a interpretação da Norma 1300 do IIA, um Programa
assegurar que o auditor interno evite dar informação de Garantia de Qualidade e Melhoria (PGQM) “é desenhado
a pessoas que possam estar envolvidas ou obter delas para permitir uma avaliação da conformidade da actividade de
informações enganosas; auditoria interna com as Normas e uma avaliação quanto a, se
• Determinar os conhecimentos e o domínio técnico e das os auditores internos observam o Código de Ética. O programa
matérias necessárias para efectuar a investigação com também avalia a eficiência e a eficácia da actividade de auditoria
eficácia. Avaliar as qualificações e experiência dos interna e identifica oportunidades de melhoria” (IIA- Norma
auditores internos e dos especialistas disponíveis para 1300: Interpretação).
Assim, segundo Sawyer (2005) o PGQM é concebido para: • Avaliação de risco, vulnerabilidade e materialidade dos
a) Proporcionar uma garantia razoável de que os trabalhos processos do cliente;
de auditoria são executados em conformidade com as • A extensão dos testes realizados conducentes a melhores
Normas, com o Estatuto de auditoria, e outras normas resultados da auditoria possíveis, sem desperdício de
aplicáveis; recursos;
b) Assegurar ao auditor-chefe de que os seus subordinados • Procedimentos usuais de auditoria para determinar
estão a cumprir com as Normas e outros critérios o nível de imaginação e cepticismo profissional
aplicáveis; esperado do auditor, principalmente em áreas com
c) A actividade de auditoria interna funciona de forma sinal de problemas potenciais ou onde a supervisão
eficaz e eficiente; e é deficiente; e
d) Proporcionar aS partes interessadas a percepção de que • Medições e avaliações contínuas de desempenho
a actividade de auditoria interna é fonte de geração (cumprimento do planeamento da auditoria interna,
de valor e de melhoria das operações da organização. duração do ciclo, recomendações aceites e satisfação
1.28. Objecto de Programa de Garantia de Qualidade do cliente).
e Melhoria 1.29. A Estrutura de Programa de Avaliação de Qualidade
O PGQM incide sobre todos os aspectos da actividade de e Melhoria
auditoria interna, que podem ser vistas em perspectivas macro Segundo a Norma 1300, “O executivo chefe de auditoria deve
e micro. desenvolver e manter um programa de garantia de qualidade e
Na perspectiva macro, o PGQM visa avaliar e melhorar melhoria que compreenda todos os aspectos da actividade de
aspectos gerais de funcionamento da unidade, o que inclui: auditoria interna.”.
• O modelo organizacional; O Manual de Avaliação de Qualidade do IIA elenca os
• A independência da unidade dentro da estrutura seguintes elementos comuns em PGQM:
operacional;
• Um âmbito de avaliação que inclui todos os aspectos da
• Os métodos de contratação dos auditores;
• Os requisitos de desenvolvimento profissional; actividade de auditoria interna;
• O planeamento das actividades de auditoria; • Uma avaliação de conformidade com as Normas e o
• O uso das tecnologias emergentes; Código de Ética;
• O emprego de novas metodologias de trabalho; • Uma avaliação da eficiência e eficácia da actividade de
• A eficácia/alcance das comunicações (relatórios); auditoria interna;
• O controlo de projectos de auditoria; • A identificação de oportunidades para melhoria contínua;
• O esforço em desenvolver relações interpessoais com e
os clientes; • Envolvimento do conselho na supervisão do PGQM.
• Métodos de monitorização, e Uma estrutura é muitas vezes usada para descrever o
• Conformidade com a Missão, Princípios fundamentais, ambiente completo para desenvolvimento e implementação
Definição, Código de Ética e as Normas de auditoria do PGQM. Para construir uma estrutura integrada de PGQM,
interna. um universo de requisitos deve ser considerado, o que inclui
Ao nível micro, a avaliação de qualidade incide sobre aspectos o IPPF, legislação e regulamentos aplicáveis ao país/indústria,
de processos individuais de auditoria, tais como: as expectativas das partes interessadas, o recurso a avaliadores
• Evidência de entendimento do auditor sobre a operação externos independentes, o tamanho da organização, entre outros.
que auditada; O seguinte exemplo, adaptado do Manual de Avaliação de
• Indicação de que o auditor está atento à atitude de Qualidade do IIA, apresenta a estrutura (framework) do Programa
gestão do cliente assim como aos factores de controlo de Garantia e Melhoria de Qualidade,
Add a heading para as 5unidades de
to your document
MANUAL
relacionados BÁSICO DE AUDITORIA
a conformidade, eficácia e efiINTERNA
ciência; auditoria interna.
Figura Figura 4: Estrutura

4: Estrutura de Avaliaçãode
deAvaliação
Qualidade e de Qualidade
Melhoria e Melhoria
Fonte: Adaptado do Manual de Avaliação de Qualidade do IIA
1.30. Tipos de Avaliação de Qualidade e Melhoria • As comunicações incluem os objectivos, âmbito e

O processo de implementação do PGQM pode ocorrer de resultados do trabalho da auditoria;
forma contínua ou periódica em diversos momentos da vida • A comunicação final dos resultados do trabalho inclui
da actividade da auditoria e ser levado a cabo por avaliadores conclusões com suporte em papeis de trabalho e as
internos ou externos. recomendações e/ou planos de acção são aplicáveis.
1.30.1. Avaliação contínua e melhoria d) 2500: Monitoramento do Progresso

Na prática, a preocupação em garantir a qualidade da auditoria Assegurar a monitorização dos resultados comunicados ao
começa na própria equipa, e é levado a cabo pelo chefe da cliente do trabalho, de modo a certificar-se de que:
equipa através de mecanismos de revisão e auto-avaliação do • As recomendações tenham sido efectivamente
trabalho pelo chefe da equipa e/ou pelo supervisor do trabalho. implementadas, ou,
São objectos de avaliação os programas de trabalho, as Listas de • O gestor do topo tenha aceitado o risco de não tomar
Verificação, os memorandos de entrevistas e dos restantes papéis nenhuma acção.
de trabalho e visa garantir a abrangência de todos os aspectos A evidência do trabalho de supervisão deverá ser registada nos
relevantes do trabalho e assegurar a execução do trabalho de papéis de trabalho, e as constatações e recomendações expressas
forma eficiente e eficaz. em memorando de supervisão.
1.30.1.1. Supervisão 1.30.2. Avaliações Periódicas de Qualidade e Melhoria
A supervisão é uma revisão contínua de perspectiva micro, ou As revisões periódicas de qualidade e melhoria podem ser
seja, virada a processos inteiros ou partes de auditoria individuais, efectuadas por avaliadores internos (auditores internos) ou por
e ocorre geralmente no decurso da auditoria. O supervisor pode avaliadores externos.
ser um auditor interno ou gestor da organização, a quem lhe é
atribuída a responsabilidade de supervisionar e que não tenha 1.30.2.1. Avaliação interna periódica de qualidade
participado directamente na execução da auditoria. A avaliação interna é parte do PGQM concebida para assegurar
A revisão contínua como parte do PGQM visa principalmente ao auditor-chefe de que a sua equipa (auditores e supervisor)
assegurar a conformidade das auditorias com as Normas em exerceu as suas tarefas de forma adequada e que os resultados
todas as fases da auditoria, assumindo-se que o seu cumprimento das auditorias efectuadas são precisos e fiáveis.
assegura qualidade. Assim, é essencial a verificação do A avaliação interna periódica, segundo a Norma 1311, inclui
cumprimento especificamente das seguintes Normas de a auto-avaliações ou avaliações realizadas por outras pessoas da
Desempenho: organização com conhecimento suficiente das práticas de auditoria
a) 2200: Planeamento do Trabalho da Auditoria interna. Assim, o avaliador pode ser um auditor interno, um gestor
Garantir que o trabalho seja planeado considerando: da entidade com os conhecimentos necessários para o trabalho de
avaliação, ou um grupo de pares5 dentro da organização.
• As estratégias e objectivos da actividade que
Diferente da avaliação contínua focada na avaliação a
está sendo auditada e os meios pelos quais a
conformidade dos trabalhos de auditoria individualmente em
actividade controla seu desempenho.
relação às Normas de Desempenho, a avaliação interna periódica
• Os riscos significativos para os objectivos, recursos
é de perspectiva macro, ou seja, avalia conformidade de toda a
e operações da actividade e os meios pelos quais
unidade de auditoria com as Normas na sua generalidade e com
o impacto potencial dos riscos é mantido em um
o Código de Ética. Ao se conformar as Normas e com o Código
nível aceitável.
de Ética, a unidade de auditoria interna estará alinhada com a
• A adequação e a eficácia dos processos de
Definição da Auditoria interna e com os Princípios Fundamentais
governança, gestão de riscos e controlos da
para a Prática Profissional de Auditoria Interna.
actividade, comparativamente a uma estrutura
Segundo o Manual de Avaliação de Qualidade do IIA, a auto-
ou modelo compatível.
avaliação periódica deve incidir sobre os seguintes aspectos:
• As oportunidades para se fazer melhorias
significativas nos processos de governança, • A qualidade do trabalho de auditoria e da supervisão
gestão de riscos e controlos da actividade. realizados;
• Quão adequadas e apropriadas são as políticas e
b) 2300: Execução do Trabalho da Auditoria procedimentos da auditoria interna;
Assegura que os auditores internos: • A forma como a auditoria interna agrega valor;
• Identifiquem, analisem, avaliem e documentem • O alcance dos indicadores-chave;
informações suficientes para cumprir os objectivos do • O nível de satisfação das expectativas dos interessados
trabalho da auditoria; dos trabalhos de auditoria.
• Utilizem método da auditoria, façam julgamento e tirem Deve principalmente avaliar a conformidade com o Código
conclusões adequados. de Ética e aspectos das seguintes Normas do IIA:
c) 2400: Comunicação dos Resultados 1000 – Propósito, Autoridade e Responsabilidade;
Assegurar que: 1100 – Independência e Objectividade;
• As comunicações sejam precisas, objectivas, claras, 1200 – Proficiência e Zelo Profissional Devido;
concisas, construtivas, completas e tempestivas. 1300 – Programa de Garantia de Qualidade e Melhoria;
5
Auditores da entidade sede que vão avaliar actividades de auditoria subsidiárias. Tem a vantagem da independência, experiência e de conhecimento dos processos da entidade na sua
totalidade. O facto de os mesmos pertencerem a mesma entidade e terem o mesmo ambiente de trabalho, coloca em dúvida o grau da sua independência.
2000 – Gestão da Actividade de Auditoria Interna; externa, sobre se o Auditor-chefe avalia, de forma efectiva a
2100 – Natureza do Trabalho; conformidade da actividade com as Normas e o Código de Ética,
2200 – Planeamento do Trabalho da Auditoria; através de processos de auto-avaliação e relata os resultados às
2300 – Execução do Trabalho da Auditoria; partes interessadas.
2400 – Comunicação dos Resultados; O relatório de auto-avaliação periódica e as evidências de
2500 – Monitorização do Progresso; trabalho pode ser usado como base para avaliação por um
2600 – Comunicação da Aceitação de Riscos. avaliador externo.
O PGQM deve definir e documentar o sistema e uma abordagem O Manual de Avaliação de Qualidade, citado por Sawyer
disciplinada para o processo de auto-avaliação periódica. As boas (2005), aponta oito áreas de cobertura da avaliação externa:
práticas recomendam uma auto-avaliação pelo menos uma vez a. Planeamento;
por ano, e os resultados da avaliação e recomendação poderão ser b. Proficiência profissional;
comunicados e submetidos à aprovação do Conselho e da gestão c. Análise de risco e planeamento de auditoria;
do topo com a mesma periodicidade. d. Análise do cumprimento do plano;
Evidência de uma avaliação periódica interna efectiva incluem e. Revisão de auditorias individuais;
para além do respectivo relatório, cartas, políticas, procedimentos,
f. Revisão de projectos especiais de auditoria;
métricas, relatórios de auditoria, planos anuais de auditoria, papeis
g. Políticas e procedimentos de auditoria;
de trabalho da avaliação, actas do comité de auditoria, registos
h. Âmbito de auditoria computorizada.
de treinamento de pessoal, etc.
Os avaliadores independentes podem ser (a) consultores ou
1.30.2.1.1. Melhoria Contínua auditores externos da organização, (b) consultores ou auditores
Embora o foco do PGQM seja avaliação da conformidade com externos de outras organizações, e (c) auditores internos de outras
as Normas e o Código de Ética, a finalidade, em última instância, organizações.
é a melhoria contínua da actividade de auditoria, cujos benefícios,
a) Auditores externos/consultores da organização
segundo o Manual de Avaliação de Qualidade do IIA, incluem:
São relativamente mais objectivos que os auditores internos (na
• Afirmação da actividade de auditoria interna como
avaliação interna). Sendo auditores externos da entidade, estão
unidade de sucessos dentro da organização; familiarizados com os processos, daí que o seu entendimento não
• Uma actividade de auditoria interna de abordagem será difícil. No entanto, pode-se questionar a sua independência
mais proactiva e mais alinhada com as estratégias e em relação a um sistema de controlo que aceitaram ao longo do
objectivos da organização; tempo. Outra questão que se coloca é a tentação de estruturar a
• Maior adaptabilidade na implementação do processo de avaliação de modo a incentivar a sua contratação como auditores
mudanças da auditoria interna de valor acrescentado, internos por outsourcing.
resultando em maior resposta às expectativas
b) Auditores externos de outras empresas
crescentes das partes interessadas;
• Melhor produtividade da auditoria interna, como resultado Têm nível muito alto de independência e objectividade. Porém
da eliminação de actividades que não agregam valor; tem a desvantagem de não serem conhecedores do sistema, o que
• Melhoria do moral do staff como resultado de processo pode dificultar a avaliação. Teriam igualmente mais dificuldades
de melhoria através de incentivo de novas ideias dos em avaliar aspectos não operacionais da auditoria interna.
colaboradores. c) Auditores internos de outras organizações
O conceito da melhoria contínua assenta na natureza dinâmica É uma avaliação efectuada de recíproca entre grupos de
de estabelecimento, manutenção do PGQM auditoria interna de organizações diferentes. Tem a vantagem de
1.30.2.2. Avaliação Externa de qualidade terem conhecimentos gerais sobre o IPPF e processos de auditoria
Uma revisão externa deve ser realizada pelo menos uma vez interna, o que facilita a sua compreensão.
em cada 5 anos, por pessoas com educação e proficiência técnica 1.30.2.1. Avaliação mista (interna-externa) de qualidade
apropriadas, independentes da organização e que não estejam nem A contratação de avaliadores externos de qualidade, para um
aparentem estar em conflito de interesse com a organização. É trabalho abrangente, é um processo caro. Para poupar recursos,
realizada para avaliar a qualidade das operações da actividade muitas organizações recorrem a um procedimento misto, que
da auditoria interna. consiste em membros da organização efectuarem a avaliação,
O propósito da avaliação externa é fornecer à alta gestão e contando com a supervisão ou validação de um avaliador externo.
ao Conselho uma avaliação independente sobre a actividade de
auditoria interna. 1.30.2.2. Comunicação do Programa de Garantia de
Segundo a Norma 1312, “As avaliações externas devem Qualidade e Melhoria
ser realizadas pelo menos uma vez a cada cinco anos, por Segundo a Norma 1320, o auditor-chefe deve comunicar os
um avaliador, ou uma equipe de avaliação, qualificado e resultados do PGQM à gestão do topo e ao conselho, devendo a
independente, externo à organização. O executivo chefe de comunicação incluir:
auditoria deve discutir com o conselho: • O âmbito e frequência tanto das avaliações internas
• A forma e a frequência da avaliação externa; quanto avaliações externas.
• A qualificação e independência do avaliador externo; • As qualificações e independência do(s) avaliador(es) ou
ou equipe de avaliação, incluindo qualquer potencial da equipe de avaliação, incluindo potenciais conflitos
conflito de interesses.” de interesse.
• As conclusões dos avaliadores.
Sabido que a avaliação interna é anual, o elo entre esta • Planos de acção correctiva.
e a avaliação externa é o processo de geração de relatórios de
PGQM. Para um PGQM seja considerando eficaz, o auditor- A afirmação de que a actividade de auditoria interna está
chefe, precisa de um parecer independente através da avaliação em conformidade com as Normas Internacionais para a Prática
Profissional de Auditoria Interna é apropriada somente se ética afectar o âmbito

Addgeral ou operações
a heading da actividade
to your document 6 da auditoria
suportada pelosMANUAL BÁSICO DE AUDITORIA INTERNA
resultados do PGQM (IIA - Norma 1321). No interna, o auditor-chefe deve comunicar a não conformidade e o
caso em que a “não conformidade” com as Normas e o Código de efeito do mesmo à gestão do topo. (IIA - Norma 1322).
Fonte: Adaptado do Manual de Avaliação de Qualidade do IIA
Ao longo do trabalho, visa assegurar

Chefe da equipa a devida cobertura.
Contínua Interna Em todas as fases do trabalho;

visa assegurar ao Auditor-chefe sobre a
Superviso
Avaliação
cobertura da auditoria e conformidade

com o Código de Ética e Normas de
Desempenho .
Auditor independente ou Analisa selectivamente os trabalhos

Interna Gestor realizado em um determinado
Analisa todos aspectos relevantes da

Auditor Externo da actividade da auditoria interna,
Entidade incluindo trabalhos realizados, e
aspectos de gestão.
Externa
Periódica
Auditor externo de outra
Entidade Analisa todos aspectos relevantes da
actividade da auditoria interna,
incluindo trabalhos realizados, e
aspectos de gestão.
Realizada por auditoresinternos;

Mista
supervisionada ou validada por auditores externos
Bibliografia Legislação
Interna
De entre outra bibliografia, foram utilizados como instrumentos Código Civil Moçambicano;
para a elaboração deste manual os seguintes documentos: Lei n.º 1/2008, de 16 de Janeiro – Define o Regime
Livros: Financeiro, Orçamental e Patrimonial das Autarquias
Carneiro, Alberto, Auditoria de Sistemas de Informação, e o respectivo Sistema Tributário;
Lei n.º 15/2002, de 26 de Junho – Lei de Bases do Sistema
FCA, 2004,
Tributário;
Da Costa, Carlos Baptista, Auditoria Financeira –
Lei n.º 6/2012, de 8 de Fevereiro – Aprova a Lei das
Teoria e Práticas, 7ª edição, Lisboa, Rei dos Empresas Públicas;
Livros, 2003; Lei n.º 9/2002, de 12 de Fevereiro – Cria o SISTAFE;
De Almeida, Bruno J.M, Manual de Auditoria Decreto n.º 84/2013, de 31 de Dezembro – Regulamento
Financeira – Uma Análise Integrada Baseada no da Lei n.º 6/2012, de 8 de Fevereiro;
Risco, Lisboa, Escolar Editora, 2014 Decreto n.º 23/2004, de 20 de Agosto – Regulamento do
Gleim, Irvin N., Gleim CIA Review, 17ª ed., Florida, SISTAFE;
Gleim Publication Inc, 2016 Decreto n.º 70/2009, de 22 de Dezembro – Aprova o Sistema
Morais Georgina et alia, Auditoria Interna – Função e de Contabilidade para o sector empresarial baseado nas
Processos, 3ª edição, Lisboa, Arias editora, 2006; NIRF (PGC-NIRF);
Sawyer, Lawrence B. et alia, The Practice of Modern Decreto n.º 60/2013, de 29 de Novembro – Cria a Inspecção
Internal Auditing, 5ª edição, Florida, IIA 2005. Geral de Finanças;
Decreto n.º 5/2016, de 8 de Março – Regulamento
Documentos Públicos de Contratação de Empreitada de Obras Públicas,
Fornecimento de Bens e Serviços ao Estado;
Manual de Procedimentos de Auditoria ao Sector Público;
Decreto n.º 6/2017, de 6 de Março – Introduz alterações ao
Livro Branco dos Órgãos de Controlo Interno – Subsistema Regulamento do SISTAFE;
de Controlo Interno; Diploma Ministerial n.º 142/2006, de 5 de Setembro –
Manual de Controlo do SCI – Portugal; Aprova o Modelo de Estruturação das Unidades Gestoras
Manual de Avaliação de Qualidade do IIA. Executoras das Aquisições;
Diploma Ministerial n.º 181/2013, de 14 de Outubro – IPPF – International Professional Practices Framework
Manual de Administração Financeira e Procedimentos (Estrutura Internacional de Práticas Profissionais)
Contabilísticos; IRPC – Imposto sobre o Rendimento das Pessoas
Diploma Ministerial n.º 30/2017, de 27 de Abril – Colectivas
Designação das Unidades Funcionais do Subsistema de IRPS – Imposto sobre o Rendimento das Pessoas Singulares
Controlo Interno IVA – Imposto sobre o Valor Acrescentado
OCI – Órgão de Controlo Interno
Internacional
OE – Orçamento do Estado
Estrutura de Práticas Profissionais Internacionais (IPPF) PBCP – Plano Básico de Contabilidade Pública
do Instituto dos Auditores Internos (IIA). PES – Plano Económico e Social
PGC-NIRF – Plano Geral de Contabilidade baseado nas
Normas Internacionais de Relato Financeiro
Lista de siglas e acrónimos PGMQ – Programa de Garantia de Qualidade e Melhoria
PR – Prática Recomendada
CER – Classificador Económico da Receita REODF – Regulamento sobre a Execução do Orçamento
CFMP – Cenário Fiscal de Médio Prazo para Departamento Financeiro
CIGE – Colectivo de Inspectores-Gerais do Subsistema SCI – Subsistema de Controlo Interno
de Controlo Interno SCP – Subsistema da Contabilidade Pública
CNFP – Conselho Nacional da Função Pública SI – Sistema de Informação
COSO – Comité de Organizações Patrocinadoras SISTAFE – Sistema de Administração Financeira
da Comissão Treadway do Estado
CUT – Conta Única do Tesouro SOE – Subsistema do Orçamento do Estado
DNCP – Direcção Nacional da Contabilidade Pública SPE – Subsistema do Património do Estado
EGFAE – Estatuto Geral dos Funcionários e Agentes STP – Subsistema do Tesouro Público
do Estado UAI – Unidades de Auditoria Interna
FR – Fonte de Recursos UFSA – Unidade Funcional de Supervisão das Aquisições
IGF – Inspecção-Geral de Finanças UGB – Unidade Gestora Beneficiária
IIA – Institute of Internal Auditors (Instituto dos Auditores UGE – Unidade Gestora Executora
Internos) UGEA – Unidade Gestora e Executora de Aquisições
INTOSAI – International Organisation of Supreme Audit UI – Unidade Intermédia
Institutions (Organização Internacional de Entidades US – Unidade de Supervisão
Superiores de Auditoria)
Preço — 180,00 MT
IMPRENSA NACIONAL DE MOÇAMBIQUE, E.P.

Auditoria Interna Diploma Ministerial N. 10 - 2021 de 25 de Janeiro

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Auditoria Interna Diploma Ministerial N. 10 - 2021 de 25 de Janeiro

Enviado por

Direitos autorais:

Formatos disponíveis

Segunda-feira, 25 de Janeiro de 2021 I SÉRIE —

d) As decisões referentes à nomeação e demissão do Auditoria operacional – consiste na avaliação sistemática

Auditoria Interna Auditoria Externa

Fonte: Adaptado de Sawyers (2005)

Figura 1: Origem de riscos

Riscos externos Incontroláveis

Risco do meio envolvente

116 I SÉRIE — NÚMERO 16

Figura 2: Matriz de avaliação de risco

Alta F AxF BxF CxF

Baixa D AxD BxD CxD

Combinação Nível do Risco Resposta Acção

Apetência ao risco manter o risco no nível mínimo. No entanto, a implementação

Figura 3: Nível de apetência ao risco:

Quanto ao tempo Concorrentes

Processo de Auditoria 10.2.2.2. Etapas do planeamento de auditoria

O auditor interno deve: pelo sistema de controlo interno implantado. Por

• Descrições Mistas irregularidades. Contudo, a eficácia do controlo interno, tem

b) Critérios de controlo interno • Os contribuintes singulares devem entregar

1.11.2.5. Despesas ✔ Pagamentos de subsídios de renda de casa a

mapas de efectividade devem estar em concordância c) Critérios de controlo interno

1.11.2.6. Património i. Controlos Organizacionais e Operacionais

• Os utilizadores devem ser envolvidos no processo sistemas/aplicações, redes, procedimentos, ou seja,

v. Base de Dados A observação consiste em ver como são desenvolvidas na

b) Propriedades das Evidências • Resultados de procedimentos analíticos de auditoria;

e desenvolver o tema. É uma forma de explorar 1.16. A amostragem aleatória

se existirem variações na frota, por exemplo viaturas Exemplo:

Por n.ºs Aleatórios

1.16.2. Plano Amostral dos testes do tipo “sim-ou-não”, “certo-ou-errado”, “conforme

1.16.2.1.2. A amostragem de variáveis 4. Selecção de amostra do inventário de uma unidade e emitir

Figura Figura 4: Estrutura

1.30. Tipos de Avaliação de Qualidade e Melhoria • As comunicações incluem os objectivos, âmbito e

1.30.1. Avaliação contínua e melhoria d) 2500: Monitoramento do Progresso

Profissional de Auditoria Interna é apropriada somente se ética afectar o âmbito

Fonte: Adaptado do Manual de Avaliação de Qualidade do IIA

Ao longo do trabalho, visa assegurar

Contínua Interna Em todas as fases do trabalho;

cobertura da auditoria e conformidade

Auditor independente ou Analisa selectivamente os trabalhos

Analisa todos aspectos relevantes da

Realizada por auditoresinternos;

IMPRENSA NACIONAL DE MOÇAMBIQUE, E.P.

Você também pode gostar