Escolar Documentos
Profissional Documentos
Cultura Documentos
1
Conteúdo programático
• 1 O Risco
• 1.1 Conceito fundamental de risco
• 1.2 COSO / ERM
• 1.3 O risco da auditoria
• 1.4 Ferramentas possíveis (ISO 31000; ABR; Matriz)
2
Conteúdo programático
• 4. A Auditoria do processo de gestão dos riscos de negócio
• 4.1 Enquadramento internacional
• 4.2 Procedimentos para avaliação e assurance do processo de gestão de risco
• 4.3 Relatórios de assurance do processo de gestão de risco
• 6. Resposta ao Risco
• 6.1 Normas de Auditoria Interna
• 6.2 Responsabilidade dos Auditores
• 6.3 Sinais de Alerta 3
Identificação cromática dos principais tópicos da matéria
4
CRONOGRAMA
MESES / dias dias dias dias dias dias dias dias dias CAPITULOS /ações
Junho 5 6 Apresentações
• Contínua: a avaliação dos alunos será feita por trabalho valendo cada componente 50%. Este
será feito em grupos de 2-3 elementos e a partir de dois trabalhos práticos interligados e
valendo 50% cada e que terão a nota mínima de 10 valores. Um dos trabalhos obedecerá ao
tema: “O risco e o negócio” – Estudo de caso: A empresa ou Empresas XY e o outro ao tema “A
fraude” – Estudo de caso: A empresa ou Empresas XY. A avaliação terá lugar antes do fim do
semestre.
• Final: consistirá num trabalho individual que considerará análogo conteúdo da avaliação
contínua (dois relatórios interligados sob temas respetivamente “O risco e o negócio” e “A
fraude”) e a sua entrega deverá ocorrer de acordo com o Calendário da Escola.
NOTA: em termos de avaliação os trabalhos realizados quer na avaliação contínua quer na final
serão submetidos à plataforma URKUND (anti pelágio) onde apenas será aceitável um nível até
30% de cópia direta sem referência de autor
6
1. O Risco
7
1.1 Conceito fundamental de risco
8
RISCOS TOP, 2022 (IIA, On Risk 2022)
CIBERSEGURANÇA A crescente sofisticação e diversidade dos Ciberataques continuam a provocar perdas na reputação e
nas marcas de uma organização, provocando mesmo em alguns casos impactos financeiros desastrosos. Este risco
examina se as organizações estão suficientemente preparadas para enfrentar ciberataques que posam provocar
disrupções ou perdas reputacionais.
ENTIDADES TERCEIRAS Para que uma organização tenha sucesso, tem que manter relações saudáveis e frutuosas com os
seus parceiros e fornecedores. Este risco examina as capacidades das organizações em selecionar e monitorizar as suas
relações com Entidades Terceiras
INFORMAÇÃO PARA A ADMINISTRAÇÃO Tal como os Reguladores, Investidores, e o Público exigem uma forte supervisão
do Conselho, os Administradores colocam uma grande confiança na informação de que dispõe para tomar decisões. Este
risco examina se os Administradores estão confiantes em que recebem informação completa, oportuna, transparente,
adequada e relevante.
SUSTENTABILIDADE O aumento progressivo da consciência ambiental, social e de governação cada vez influencia mais o
processo organizacional de tomada de decisões. Este risco examina as capacidades das organizações em definir estratégias
que tenham em conta aspetos relacionados com a sustentabilidade a longo prazo.
9
RISCOS TOP, 2022
• INOVAÇÃO DISRUPTIVA Estamos numa era de modelos de negócio inovadores, potenciados por tecnologias disruptivas.
Este risco examina se as organizações estão preparadas para se adaptarem ou até capitalizar essas disrupções.
• VOLATILIDADE ECONÓMICA E POLÍTICA Eleições, Acordos de Comércio Internacionais, fixação de Taxas Alfandegárias
protecionistas, e incerteza sobre o timing e os ciclos macroeconómicos, tudo isto cria volatilidade nos mercados nos
quais operam as organizações. Este risco examina os desafios e incertezas que enfrentam as organizações face a um
ambiente económico e político dinâmico e potencialmente volátil.
• GOVERNANCE ORGANIZACIONAL A Governance determina todos os aspetos sobre como uma organização é dirigida e
gerida: o sistema de regras, práticas, processos e controlos em que assenta o seu funcionamento. Este risco examina se
a Governance da organização apoia ou dificulta a consecução dos objetivos.
• DATA GOVERNANCE A confiança das organizações nos dados está em expansão exponencial, mas é afetada pelos
avanços das tecnologias e alterações das leis e regulamentos. Este risco examina as estratégias globais das
organizações na gestão dos dados: a sua recolha, uso, armazenagem, segurança e formatação.
10
RISCOS TOP, 2022
• GESTÃO DE TALENTOS Uma economia em crescimento acentuado, com condições laborais dinâmicas e o impacto
contínuo da digitalização estão a mudar a maneira como o trabalho é feito. Este risco examina os desafios que as
organizações enfrentam na identificação, obtenção, qualificação e retenção dos talentos adequados para alcançar os
seus objetivos.
• CULTURA “A forma como as coisas aqui são feitas” tem sido a base de inúmeros escândalos empresariais. Este risco
examina se as organizações entendem, monitorizam e gerem o tom/mensagem, os incentivos e as ações que levam aos
comportamentos pretendidos
• CONTINUIDADE DO NEGÓCIO E GESTÃO DE CRISE As organizações enfrentam desafios significativos quanto à sua
existência, desde ciberataques a pandemias, a escândalos na sua reputação e planos de sucessão. Este risco examina a
capacidade das organizações em preparar, reagir, responder e recuperar
11
1.2 COSO / ERM
• Committee of Sponsoring Organizations of the Treadway Commission:
• Trata-se uma entidade que traduz a iniciativa conjunta – setor público e privado - de
combater a fraude nas organizações. Foi fundada nos EUA por 5 entidades do setor privado
Americano dedicadas a orientar e supervisionar a gestão executiva das empresas e as
entidades governamentais. As diferentes perspetivas consideradas são: governo das
sociedades, etica do negócio, controlo interno, gestão do risco do negócio, fraude e
relatórios financeiros. Essas entidades são:
• American Institute of Certified Public Accountants (AICPA),
• American Accounting Association (AAA),
• Financial Executives International (FEI),
• Institute of Internal Auditors (IIA) and
• Institute of Management Accountants (IMA)
• COSO definiu um modelo de controlo interno a partir do qual as empresas devem avaliar o
seu sistema de controlo. 12
Breve história do COSO
Devido às práticas duvidosas de financiamento de campanhas políticas corporativas e práticas estrangeiras
corruptas em meados da década de 1970, a Comissão de Valores Mobiliários dos EUA (SEC) e o Congresso
dos EUA promulgaram reformas na lei de financiamento de campanha e na Lei de Práticas de Corrupção no
Exterior (FCPA) de 1977, a qual criminalizou o suborno transnacional e exigiu que as empresas
implementassem programas de controle interno.
Em resposta, a Comissão Treadway, uma iniciativa do setor privado, formada em 1985 para inspecionar,
analisar e fazer recomendações sobre relatórios financeiros corporativos fraudulentos estudou o sistema de
informações financeiras durante o período de outubro de 1985 a setembro de 1987 e emitiu um relatório de
constatações e recomendações em outubro de 1987, "Relatório da Comissão Nacional sobre Informações
Financeiras Fraudulentas".
Como resultado deste relatório inicial, o Comitê de Organizações Patrocinadoras (COSO Committee of
Sponsoring Organizations of the Treadway Commission) foi formado e contratou a Coopers & Lybrand, uma
grande empresa de contabilidade, para estudar os problemas e escrever um relatório sobre uma estrutura
de controle interno integrado
13
AUDITORIA INTERNA E DE GESTAO
O cubo COSO passou…. embora os seus principios permaneçam
OBJECTIVES
Three DIMENSION
ORGANIZATION
MATRIX (structure)
ERM
Enterprise Risk
Management
Figure 1
PARTS (8) 14
Agora tudo é um processo
Figure 2
15
https://commsrisk.com/new-coso-erm-framework-out-for-comment/
Processo que engloba a organização como um todo
16
1.3 O Risco da auditoria
• RISCO INERENTE - RI
• RISCO DE CONTROLO - RC
• RISCO DE DETEÇÃO - RD
• RA= RI X RC X RD
17
1.3 O risco de auditoria
RDM
Contabilidade
O RDM (risco de distorção material) é uma combinação do risco inerente (RI) e do risco de controlo (RC), que pode ser resumido como RI x RC =
RDM
Fonte: Guia de Aplicação das ISA IFAC/OROC, 2018 18
https://www.oroc.pt/uploads/normativo_tecnico/auditoria-guias/GUIA%20DE%20APLICA%C3%87%C3%83O%20DAS%20ISA.pdf
Em síntese o risco de auditoria compõe-se de
RISCO INERENTE (depende de): Resultados anteriores; Integridade da gestão;
Motivação Recursos Humanos; Contabilidade
20
ISO 31000: 2018
-Princípios ponto 3, Estrutura ponto 4, Processo ponto 6
21
22
ABR - AUDITORIA BASEADA NOS RISCOS
análise planeada e implementada na organização para colmatar/mitigar/planear a gestão do risco
23
Matriz de risco
– ameaças e oportunidades
24
CASO PRÁTICO Artigos sobre o risco (NR1 E NR2 – Moodle)
26
2.1 PLANEAMENTO E ANALISE ESTRATÉGICA
O processo de Risk Management depende de sistemas de Planeamento Estratégico e de sistemas de Controlo e Contabilidade de Gestão adequados! Tais
sistemas constituem a base sistemática para o escrutínio, a avaliação e o relato dos riscos de negócio.
As decisões estratégicas contemplam riscos que o Planeamento pretende antecipar, visando a sua minimização (riscos
negativos) ou a sua potenciação (risco positivos).
• Planear significa ter em conta um conjunto abrangente de conceitos (pessoais e técnicos), que irá produzir efeitos no
futuro, porque implica definir o que deve ser feito, e como deve ser feito;
• Planear implica a definição de um horizonte temporal, a definição dos sistemas a utilizar, métodos e técnicas a seguir;
• Planear significa criar condições para melhorar o desempenho e obter vantagens competitivas;
• Planear não é adivinhar, mas sim antecipar tendências e definir estratégias, políticas e objetivos.
O processo de planeamento deverá respeitar um determinado horizonte temporal (entre 3 a 5 anos), e ter em conta:
• A análise da envolvente e das suas tendências, em matéria de ameaças e oportunidades;
• O diagnóstico interno sobre as forças e fraquezas;
• A definição dos principais objetivos a perseguir;
• A definição da estratégia de implementação;
• A definição de orientações internas a observar que sejam consistentes com esses objetivos;
• O estabelecimento de parâmetros de natureza qualitativa e quantitativa a monitorizar (no 1º ano do Plano)
2.1 Planeamento e análise estratégica
A definição de uma estratégia pressupõe uma clara definição de objetivos, os projetos associados e os indicadores definidos para avaliar o seu desempenho.
Um simples exemplo:
Um exemplo de empresas onde isto se verifica : Mc Donald, IKEA, Continente, Pingo Doce
2.2 Controlo e informação para a gestão
• Fixação de rumos para a organização (objetivos, definição da estratégia, avaliação e implementação de projetos,
planeamento das atividades, afetação de recursos, suporte à decisão);
• Definição da estrutura organizacional da entidade (definição dos processos de negócio e dos sistemas de suporte,
definição de responsabilidades e afetação dos recursos a cada processo);
• Estabelecimento de compromissos (definição de uma visão e dos seus valores essenciais, das competências críticas,
estabelecer motivação e confiança nos colaboradores, definir sistema de compensação, suportar o desenvolvimento
individual, da equipa e da entidade);
• Suportar mudanças organizacionais (reengenharia de processos, reafectação de recursos);
• Proporcionar um sistema de controlo operacional (definir o nível de risco residual aceitável, definir critérios e métricas
de avaliação do desempenho, suportar a definição dos sistemas de informação de suporte aos processos, permitir
avaliar o desempenho).
2.2 Controlo e informação para a gestão
CONTROLO DE GESTÃO: constitui um dos pilares de um Sistema de Controlo Interno integrado, juntamente com as atividades de
controlo e a supervisão/auditoria.
PRESSUPOSTOS:
• NÍVEIS DE AUTONOMIA / DELEGAÇÃO
• COMPATIBILIZAÇÃO ENTRE ESTRATÉGIAS EMPRESARIAIS / POLÍTICAS DEPARTAMENTAIS / OBJETIVOS SECTORIAIS /
ACTIVIDADES OPERACIONAIS
PRINCIPAIS OBJETIVOS:
• REDUZIR AS SURPRESAS, ANTECIPANDO OS RESULTADOS DAS ACTIVIDADES PROGRAMADAS
• ARTICULAÇÃO ENTRE AS ACTIVIDADES PROGRAMADAS
• TOMADA DE DECISÕES ATEMPADA SOBRE MEDIDAS CORRETIVAS
• AVALIAÇÃO OBJETIVA DA PERFORMANCE SECTORIAL
• SUPORTE PARA SISTEMA DE COMPENSAÇÃO DO DESEMPENHO
➢ O SISTEMA DE CONTROLO DE GESTÃO SUPORTA AS VÁRIAS FASES QUE COMPÕEM O PROCESSO DE GESTÃO DE RISCO:
organização, escrutínio, controlo, graduação, quantificação, monitorização, relato e avaliação independente.
2.2 Controlo e informação para a gestão
TRP = (% de juro de financiamento externo x % Passivo de Longo Prazo no Capital Investido) – (% rentabilidade esperada pelos
Investidores x % Capitais Próprios no Capital Investido)
EVA = Resultado Operacional após Impostos – (TRP após Impostos x Capital Investido)
33
3.1 Conceitos fundamentais (identificação, avaliação e informação)
Abordagem completa e sistemática que visa ajudar as organizações, independentemente da sua dimensão ou missão, a identificar
eventos, medir, prioritizar e responder aos seus desafios de risco, permitindo às organizações determinar o nível de risco que
podem ou querem aceitar na procura de criar valor para os investidores.
Abordagem transversal a toda a empresa, que procura oferecer uma estrutura para gerir eficazmente a incerteza, transformando
os riscos em oportunidades.
“Um bom sistema de controlo dependerá então de uma avaliação cuidada e regular da natureza e da dimensão dos riscos a que a
empresa está exposta. Dado que os resultados positivos representam, em parte, a recompensa em assumir o risco de negócio, o
objetivo do controlo interno é o de auxiliar a gerir e a controlar o risco de forma adequada e não de o eliminar.”
3.1 Conceitos fundamentais (identificação, avaliação e informação)
Prevenir riscos: não se deve correr um risco que não possa vir a significar um potencial ganho. Quanto melhor
preparados estivermos na identificação e quantificação de riscos, mais condições de sucesso haverá para os
prevenir ou evitar os indesejáveis;
3.1 Conceitos fundamentais (identificação, avaliação e informação)
• Criar riscos: aproveitamento de oportunidades em que o ganho potencial justifica o risco; não se pretende
eliminar o risco mas sim assume-lo de forma controlada;
• Comprar ou vender riscos: as vantagens poderão ser compensadoras ao assumir determinados riscos que
potenciem ganhos elevados, assim como se poderá eventualmente alienar riscos indesejados, com a
realização imediata da perda;
• Diversificar riscos: evitar a concentração dos riscos: “não pôr os ovos todos no mesmo cesto”;
• Concentrar riscos: opção de compensar riscos de natureza negativa com riscos de natureza positiva;
• Impulsionar riscos: alavancagem de oportunidades, i.e. potenciais ganhos, embora com assunção de
eventuais perdas acrescidas.
• Atualmente nota-se, uma cada vez maior preocupação com a gestão dos riscos intangíveis, comerciais e
operacionais (tendo a gestão de riscos tradicionalmente seguráveis ficado para segundo plano) através de
medidas como:
• Estabelecimento de fluxos de informação e relato relacionada com eventos de riscos entre os orgãos
de gestão e as unidades operacionais;
• Orientação dos departamentos de gestão de risco para funções de consultoria em práticas internas e
aumento da sua representatividade e protagonismo junto dos órgãos de gestão, nos seus diversos
níveis.
3.2 A implementação da Gestão dos riscos de negócio
elementos extrínsecos
Planeamento Contabilidade
Estratégico de Gestão
Risk
Management
elementos intrínsecos
3.2 A implementação da Gestão dos riscos de negócio
Business Risk
Management Process
“O BRMP – Business Risk Management Process é uma BRMP
abordagem sistemática para construir e melhorar as
capacidades de gestão de riscos” • Objectivos
• Linguagem Comum
Desenv. estratégia de
Melhoria contínua das informação
para a gestão riscos de negócio
capacidades de gestão
tomada de • Evitar • Reduzir • Reter
de riscos de negócio
decisão • Explorar • Transferir
Monitorizar a Implementar
performance dos riscos capacidades para
de negócio gerir riscos
3.2 A implementação da Gestão dos riscos de negócio
• As diferentes fases de implementação de um Business Risk Management Process (BRMP) passam por:
6. Ações dirigidas de formação dos quadros superiores, chefias intermédias e colaboradores directamente
envolvidos;
8. Análise dos resultados do projeto experimental e introdução dos ajustamentos considerados necessários; e
Avaliação
Independente
• Estabelecimento dos parâmetros de avaliação a efectuar:
• Critérios de alocação daqueles parâmetros no caso de grupos
de empresas.
Ex: na Alemanha existe já obrigatoriedade de avaliação do sistema de Risk Management por parte do auditor
externo para empresas de capital aberto (de acordo com as ISAs – International Standards on Auditing).
3.3 A O processo de Gestão dos riscos de negócio
• Principais passos:
• Organização
• Escrutínio
• Controlo
• Graduação
• Quantificação
• Monitorização
• Relato
• Avaliação Independente
3.3 A O processo de Gestão dos riscos de negócio
• Organização
O processo de risk management é da responsabilidade dos gestores das diferentes áreas de negócio e gestores
operacionais, num fluxo de comunicação ascendente e descendente, apoiados tecnicamente por departamentos
de apoio e consultoria, tais como o planeamento e o controlo de gestão, a auditoria interna ou o gestor de riscos,
quando exista. O objetivo essencial é o da identificação e avaliação do grau de criticidade dos vários riscos, e a
sua viabilidade depende, em grande parte, da articulação adequada com o planeamento estratégico, a
contabilidade de gestão, o controlo interno e os instrumentos de gestão de risco.
• Escrutínio
Consiste em planear, avaliando de forma organizada, sistemática e consistente, quais as oportunidades e
ameaças com que a entidade pode contar da sua envolvente, quais as fraquezas e forças de que dispõe
internamente, e quais as consequências previsíveis das ações que decida desenvolver, manter, suster ou cancelar.
É necessário que esta avaliação seja efetuada de forma sustentada pela experiência profissional, pelo
conhecimento do negócio, pela sensibilidade à cultura de risco da entidade, pela capacidade de perceção para
riscos ocultos e pela intuição sobre os riscos do negócio. Na maior parte dos casos, a metodologia utilizada para a
avaliação baseia-se em “workshops” específicos sobre o assunto, embora se possam aplicar p.e. check-lists de
avaliação.
3.3 A O processo de Gestão dos riscos de negócio
• Controlo
Efectuada a avaliação e a tomada de decisões sobre quais as medidas concretas a implementar para gerir os
riscos considerados mais críticos, por forma a mantê-los a um nível residual aceitável, torna-se necessário
que se estabeleça uma metodologia para controlar se tais objectivos estão ou não a ser atingido, para o que
é necessário dispôr de um sistema de informação e de monitorização. Este processo passa também pela
identificação dos responsáveis dentro da organização, “risk-owners” que detenham os necessários
conhecimentos e competências para manter o sistema a funcionar de forma sistemática, e que estabeleçam
quais as medidas a adoptar, calendários e impactos esperados. (Vidé as componentes de controlo interno do
COSO: Ambiente de controlo, Avaliação do risco, Sistemas de informação e comunicação, Actividades de
controlo e Monitorização dos controlos).
• Graduação
A graduação dos riscos de negócio assenta nos conceitos de risco inerente ao negócio e às operações
desenvolvidas pela entidade. Após a implementação das estratégias de gestão dos riscos, importa apurar
qual o grau de risco residual. É esse apuramento que importa para a graduação dos riscos. E tal graduação
deverá ser efectuada tendo em conta o impacto e a probabilidade de ocorrência dos factores de risco. É um
processo que se caracteriza, inevitavelmente, pelo seu elevado grau de subjectividade, mas que apesar disso
constitui um instrumento imprescindível da gestão, numa lógica de minimização dos riscos e/ou de
potenciação de oportunidades de negócio.
3.3 A O processo de Gestão dos riscos de negócio
• Quantificação
A quantificação assenta na utilização de informação sobre o negócio, devendo recorrer, sempre que possível,
a técnicas, em muitos casos sofisticadas, de instrumentos técnicos e tecnológicos que transformem dados
em conhecimento do negócio. Tais técnicas consistem na aplicação de métodos de avaliação estatística, com
relevância para o cálculo de probabilidades. Exemplos: “Risco de mercado (de capitais)”, “Risco de Crédito”,
“Risco operacional”, entre outros.
• Monitorização
Deverá, na medida do possível ser um processo contínuo e automatizado, numa perspectiva pró-ativa para a
tomada de decisões. Os métodos de monitorização baseiam-se essencialmente na comunicação que deverá
existir nos sistemas de controlo interno e na informação reportada à gestão. É frequente a criação de
indicadores de risco chave (KRI’s - Key Risk Indicators), que permitam a monitorização dos riscos. Esses
indicadores deverão ter, sempre que aplicável, uma expressão quantitativa, e se tal for impossível, deverá ser
encontrada uma forma qualitativa que permita a sua monitorização (p.e.: calendarização de medidas de
gestão de risco, registo de ocorrências relevantes, realização de estudos, lançamento e controlo de projetos,
questionários de avaliação, consultas periódicas a peritos, emissão periódica de pontos de situação, avaliação
de processos evolutivos).
3.4 ABR - Auditoria e Relato sobre o processo de Gestão dos riscos de negócio
• Relato : O relato sobre a gestão de riscos de negócio deverá ser o reflexo de uma organização com uma
ampla visão estratégica, profundo conhecimento do negócio e adequados sistemas de informação e controlo.
O Relato sobre os riscos de negócio deverá conter (ver ICPG – Instituto Português de Corporate Governance):
• Risco
• Descrição do risco
• Graduação do Risco inerente
• Probabilidade
• Impacto financeiro
• Graduação (Elevado, médio ou baixo) = Probabilidade x Impacto
• Medidas de controlo dos riscos
• Graduação do risco residual
• Comentário (sobre a avaliação do risco residual)
• Indicadores de desempenho
• Instrumentos e processos de monitorização
• Risk Owner
• Impacto no Orçamento
3.4 ABR - Auditoria e Relato sobre o processo de Gestão dos riscos de negócio
• O Mapa de Riscos trata-se de uma ferramenta de avaliação de Riscos, considerando os processos nos quais se
encontram inseridos. (Ver em elementos de estudo Guia de aplicação das ISAS paginas 54-60)
• Segundo esta ferramenta, um risco é medido mediante dois vectores:
• Impacto / Materialidade: avaliação das consequências do risco nos objectivos de determinado processo.
24 31
7
Projecto
Low Probability High
4. A Auditoria do processo de gestão dos riscos de negócio
51
4.1 Enquadramento internacional
ASPECTOS FUNDAMENTAIS NAS NORMAS DE AUDITORIA AO PROCESSO DE GESTÃO DOS RISCOS DE NEGÓCIO
ASSURANCE FRAMEWORK” – Definição e descrição dos elementos e objectivos de um trabalho de assurance e identificados os
trabalhos para os que se devem aplicar as ISA’s (International Standards on Auditing) e as ISAE’s (International Standards on
Assurance Engagements)
“ISAE 3000 (Revised), 2011 – ASSURANCE ENGAGEMENTS OTHERS THAN AUDITS OR REVIEW OF HISTORICAL
INFORMATION” – Princípios básicos e procedimentos para trabalhos não contemplados pelas ISA’s
(International Standards on Auditing a partir de 2005)
TRABALHOS DE ASSURANCE:
• Relato com âmbito alargado de matérias, contemplando informação financeira e não-financeira;
• Que pretendem proporcionar níveis elevados ou moderados de assurance;
• De certificação e relato direto;
• De relato interno e externo;
• Nos sectores público e privado.
DEVEM INCLUIR:
• Relação entre Auditor, a parte responsável pela matéria objecto e um utilizador;
• Matéria objeto;
• Critérios adequados de avaliação/medida;
• Um processo de trabalho;
• Uma conclusão.
ISAE 3000 (R) – Outros trabalhos de Assurance que não sejam auditorias e exames simplificados de informação financeira histórica
• Limited Assurance Engagement – objetivo de redução do risco do trabalho de assurance para um nível aceitável, embora maior do
que os anteriores (relato não adequado)
REQUISITOS:
• Éticos;
• Controlo de Qualidade;
• Aceitação e continuidade do trabalho;
• Acordo sobre os termos do trabalho;
• Planeamento e execução do trabalho;
• Utilização do trabalho de um perito;
• Obtenção de evidências;
• Consideração de eventos subsequentes;
• Documentação;
• Preparação do relatório de assurance;
• Outras responsabilidades de relato.
4.2 Procedimentos para avaliação e assurance do processo de gestão de risco
CHECK-LIST
a) CULTURA DE RISCO E CONCEITOS FUNDAMENTAIS
• Proceder a entrevistas com os gestores de topo para entender sobre a apetência da entidade para o risco, análise de histórico, para
conhecer estratégias assumidas, resultados e medidas subsequentes adoptadas;
• Entender quais as estratégias que predominam:
• Prevenir
• Criar;
• Comprar / Vender;
• Diversificar;
• Concentrar;
• Compensar;
• Impulsionar.
• Quais as razões que determinaram a implementação de um processo de risk management (externas ou internas);
• Sustentação do processo:
• Sistemas de controlo interno;
• Fluxos de informação e de relato;
• Consolidação de práticas de auditoria interna e de gestão de risco;
• Awareness sobre risco;
• Apoio da gestão de risco em trabalhos de consultoria interna sobre gestão de risco.
4.2 Procedimentos para avaliação e assurance do processo de gestão de risco
CHECK-LIST
b) ÂMBITO DO PROCESSO DE RISK MANAGEMENT
• Cobertura do processo – níveis estratégico e operacional, atividades financeiras e operacionais, e cobertura da estrutura
organizacional, utilização de ferramentas e procedimentos específicos;
• Aplicação a todos os processos e cadeia de valor;
• Existência de uma matriz de riscos e processos / atividades.
c) ENQUADRAMENTO SISTÉMICO
• Existência de sistema de planeamento estratégico, como parte de um conceito de gestão estratégica, em que se verificam as
seguintes regras:
• Aceitação dos efectiva dos controlos;
• Adequação dos sistemas e instrumentos de trabalho;
• Efectividade dos princípios de gestão relacionados com o planeamento;
• Existência de um órgão dinamizador.
• Existência de contabilidade de gestão, que permita a avaliação do desempenho tendo em conta a criação de valor.
• Existência de sistema de controlo interno, que tenha como objetivos, entre outros, apoiar a gestão no domínio da eficácia e
eficiência, limites de competência, segregação de funções, salvaguarda dos ativos, observância de normas e regulamentos.
• Existência de práticas estruturadas de risk management, articuladas com o planeamento estratégico, a contabilidade de gestão e o
controlo interno, proporcionando feedback adequado sobre a gestão de risco.
CHECK-LIST
d) IMPLEMENTAÇÃO DO RISK MANAGEMENT
❑ Preparação do processo (fases):
❑ Informação e preparação dos gestores de topo;
❑ Disponibilidade de especialistas em gestão de risco;
❑ Programa de implementação;
❑ Manual de Risk Management.
CHECK-LIST
CHECK-LIST
CHECK-LIST (cont.)
h) GRADUAÇÃO DOS RISCOS DE NEGÓCIO
• Evidência de que todos os riscos críticos escrutinados foram tidos em conta em termos de risco inerente, e de que existem
critérios adequados para a graduação dos riscos quantificáveis e descrição adequada para os não quantificáveis (sourcing,
impacto e probabilidade);
• Evidência do cálculo de probabilidades de um evento de risco ocorrer e respectivo impacto;
• Evidência de que a matriz de risco espelha adequadamente o impacto e a probabilidade;
• Evidência sobre se as medidas adoptadas são consistentes com o impacto estimado;
• Evidência sobre se o grau de risco residual reflecte as medidas/estratégias/políticas/procedimentos adoptados.
CHECK-LIST (cont.)
j) MONITORIZAÇÃO DOS RISCOS DE NEGÓCIO
• Evidência de emissão de documento com divulgação adequada sobre como os riscos são
monitorizados, assim como das alterações identificadas em matéria de âmbito e graduação;
• Verificar se os sistemas de controlo interno são adequados para a monitorização dos riscos críticos,
viabilizando a tomada de decisões;
• Evidência de que sempre que se exista informação relevante sobre os riscos críticos, existe um
relato adequado e sua monitorização;
• Evidência da razoabilidade e credibilidade na monitorização dos riscos, através do uso de
indicadores, como p.e. calendários, registo de eventos, realização de estudos, desenvolvimento de
projetos, inquéritos, consultas a peritos, relatórios de pontos de situação, avaliação de processos de
evolução e outros processos de aferição oportuna de riscos potenciais ;
• Evidência de atitudes globalmente proactivas na gestão dos riscos, com tomadas de decisões em
termos de gestão e controlo dos mesmos;
• Evidência de atribuição de responsabilidades na monitorização dos riscos que coordene o processo
da sua gestão com a estrutura organizacional da entidade.
CHECK-LIST (cont.)
k) RELATO DOS RISCOS DE NEGÓCIO
• O mapa de riscos contém os elementos que dão informação completa, relevante, credível e
oportuna, sobre a avaliação dos riscos de negócio, designadamente:
• Designação;
• Descrição;
• Graduação (risco inerente);
• Medidas de gestão;
• Graduação (risco residual);
• Justificação para o grau de risco residual atribuído;
• Indicadores de medida e monitorização;
• Instrumentos e processos de monitorização utilizados;
• Risk owner;
• Impato orçamentado.
• Verificar se o que é relatado corresponde aos elementos apurados nas várias fases atrás indicadas.
4.3 Relatório de assurance do processo de gestão de risco
63
5. O Risco de Fraude
5.1 A Fraude
5.2 Elementos da Fraude - Fraude e Ambiente de Controlo
5.3 Normas IFAC sobre Fraude
5.4 Branqueamento de Capitais
64
5.1 A Fraude
Conceito
ato de má-fé praticado com o objetivo de enganar ou prejudicar alguém; burla; engano; logração
contrabando; candonga
Fraude não é erro, fraude tem ideia prévia construida no intuito de ser cometida
Sinónimos
alicantina, burla, comedela, dolo, embuste, engano, enliço, falcatrua, fraudação, galezia, logração, l
ogro, trapaça, tratada, velhacaria
65
5.1 Fraudes financeiras exemplos
Fonte: CMVM, área do investidor, mecanismos de fraude financeira https://www.cmvm.pt/pt/AreadoInvestidor/fraude/Fraude/Pages/Mecanismos.aspx
a) Boiler Room
Consiste em induzir os investidores a comprar valores mobiliários a preços superiores ao seu valor real.
Os autores da fraude começam por comprar valores mobiliários de baixo valor, num mercado com baixa liquidez e transparência. Durante
algum tempo, sustentam artificialmente o preço desses valores mobiliários (através de manipulação), que procuram depois vender a
investidores menos informados a um preço inflacionado.
Em regra, a empresa emitente dos valores mobiliários vendidos não existe ou a informação transmitida ao investidor sobre atividade que
esta exerce não é verídica.
67
5.1 Fraudes financeiras exemplos
Fonte: CMVM, área do investidor, mecanismos de fraude financeira https://www.cmvm.pt/pt/AreadoInvestidor/fraude/Fraude/Pages/Mecanismos.aspx
•Promessa de dinheiro fácil, rápido e de elevada rentabilidade e sem qualquer risco (inclusive oferecem comissões elevadas para recrutar
novos "investidores");
Desconfiar de propostas para angariar novos investidores em troca de mais dinheiro. Os "investidores" interessados em participar entregam
o dinheiro aos promotores, e estes pagam o retorno prometido, usando o dinheiro dos novos investidores que entraram depois. Em vez de
organizar uma estrutura de marketing e distribuição, estes esquemas transformam os próprios clientes em vendedores;
•Como precaução para esta situação deve se verificar qual o tipo de ativo que lhe está a ser proposto para o investimento e se for um
instrumento financeiro ou produto bancário averiguar se a entidade está registada ou autorizada na Comissão do Mercado de Valores
Mobiliários ou no Banco de Portugal.
68
5.2 Elementos da Fraude - Fraude e Ambiente de Controlo
69
5.1 A Fraude
O TRIÂNGULO DA FRAUDE
Em 1953, Donald Cressey identifica três componentes que denominou como o modelo do triângulo da fraude, são elas:
5.2 Elementos da Fraude - Fraude e Ambiente de Controlo
Pressões (Motivos)
• A pressão, própria da vida particular, nomeadamente a que resulte de urgentes necessidades de liquidez financeira, como acontece em caso de problemas
de saúde, existência de dívidas, hábitos de jogo, consumos excessivos (de álcool, de drogas ou até de outro tipo de substâncias).
• Por outro lado, esta pressão pode resultar também de simples "necessidades" relacionadas com a ostentação de determinados símbolos, associados à
posse de certos objetos (como automóveis, roupas, perfumes, etc.), que permitem fomentar a necessidade de integração em determinados grupos sociais
com os quais se revê.
• Em qualquer um dos casos, a pressão resulta de uma necessidade incontrolável de alcançar dinheiro ou bens de natureza material com valor, a fim de
solucionar problemas (conforme referimos no primeiro caso), ou simplesmente para aumentar a disponibilidade financeira e ou património.
Oportunidade
• Entende-se por oportunidade a perceção, por parte de uma entidade ou um indivíduo, da possibilidade de cometer fraude sem ser apanhado.
• Esta poderá ser o componente mais controlável deste processo, dado que é sobre este aspeto que incide o controlo interno. Algumas entidades apresenta
fraquezas manifestamente convidativas à prática da fraude, que devem ser minimizadas, como é o caso dos seguintes:
Racionalização (Atitude)
• É entendida como a capacidade que o sujeito possui para racionalizar (interpretar e correlacionar) os diversos dados
que possui sobre a realidade que o rodeia, e cujo somatório, entre eventuais perdas (riscos de poder vir a ser
detetado e punido) e ganhos (os dividendos resultantes do ato fraudulento) o levam a decidir-se ou não pela prática
do ato.
• Entre estes elementos encontramos muitas vezes aspetos associados:
▪ Ao facto de a ação fraudulenta não deixar vítimas individualizáveis (ninguém ficará lesado com a sua
ocorrência);
▪ Aos exemplos vindos de outros colegas, a quem se ouviu relatar, ou mesmo se presenciou a prática de atos
semelhantes;
▪ À existência de discursos sociais associados à ineficácia das instâncias de punição e consequentemente a
sentimentos de impunidade (por um lado, a organização dificilmente deteta as ações fraudulentas praticadas e
portanto a justiça não as pode punir, e, por outro lado, nos casos detetados parece não haver notícia da
respetiva punição);
▪ Notícias frequentemente divulgadas pelos media de atos fraudulentos bem mais graves praticados por
destacadas figuras do sociedade, sem que haja notícia das correspondentes punições.
Diamond Model (acresce a capability ao Triangle Model)
73
Pentagon Model (competence substitui capability e entra arrogance)
74
5.1 A Fraude e Normas/ entidades A Fraude
• Fraude: falsa representação ou conceção de um facto material para induzir alguém a partilhar algo com valor.
Esta definição não inclui o peculato de empregados, a extorsão ou a conversão para a sua propriedade de bens que se
encontram à sua guarda.
O IIA refere-se à fraude como compreendendo "um conjunto de irregularidades e atos ilegais caracterizados pela
desonestidade intencional. Pode ser efetuado para o benefício de, ou para o prejuízo da organização e por pessoas quer
de fora quer de dentro da organização“.
• Crime de colarinho branco: ato errado ou conjunto de atos cometidos com meios não físicos e através de camuflagem ou
astúcia, por forma a obter fundos ou bens, para evitar o pagamento ou a perda de dinheiro ou de bens, ou para obter
vantagens em negócios ou de tipo pessoal.
Mas muitas formas de atuações erradas levadas a cabo por empregados ou gestores não são crimes e muitas são
perpetradas por pessoas que não se enquadram na categoria de trabalhadores de colarinho branco.
• Desvio: conversão ilegal do uso pessoal de bens que estão à guarda de determinada pessoa a quem foram confiados.
Não inclui crimes tais como corrupção, roubo, fraude contra o Estado ou obtenção ilegal de bens através de chantagem.
5.3 Elementos da Fraude - Fraude e Ambiente de Controlo Normas IFAC sobre Fraude
• Ao planear/executar procedimentos de revisão /auditoria o revisor/auditor deve considerar o risco de distorções materialmente
relevantes nas demonstrações financeiras resultantes de fraudes ou erros.
• O termo "fraude" refere-se a um ato intencional praticado por um ou mais indivíduos entre os quais a gerência, empregados, etc. ou
terceiros, que resultem num erro de apresentação nas demonstrações financeiras. A fraude pode envolver:
• Manipulação, falsificação ou alteração de registos ou documentos.
• Apropriação indevida de ativos.
• Supressão ou omissão dos efeitos de transações nos registos ou documentos.
• Registo de transações sem substância.
• Má aplicação de políticas contabilísticas.
• O termo "erros" refere-se a enganos não intencionais nas demonstrações financeiras, tais como:
• Enganos matemáticos ou de escrituração nos registos subjacentes e nos dados contabilísticos.
• Descuido ou má interpretação de factos.
• Má aplicação de políticas contabilísticas.
5.3 Elementos da Fraude - Fraude e Ambiente de Controlo Normas IFAC sobre Fraude
• A responsabilidade pela prevenção e detecção de fraudes e erros reside na gerência através da implementação e do
funcionamento continuado de sistemas contabilístico e de controlo interno adequados. Tais sistemas reduzem mas não eliminam a
possibilidade de fraudes e erros.
• O revisor/auditor não é nem pode ser responsabilizado pela prevenção de fraudes e erros. O facto de ser levada a efeito uma
revisão/auditoria anual actua, todavia, como um dissuasor.
• Ao planear a revisão/auditoria, o revisor/auditor deve avaliar o risco de fraudes e erros poderem dar origem a que as
demonstrações financeiras contenham distorções materialmente relevantes e deve indagar da gerência quanto a qualquer fraude
ou erro significativo que tenha sido descoberto.
• Com base na avaliação do risco o revisor/auditor deve conceber procedimentos de revisão/auditoria para obter segurança
razoável de que sejam detectadas as distorções provenientes de fraudes e erros que sejam materialmente relevantes para as
demonstrações financeiras tomadas como um todo.
5.3 Elementos da Fraude - Fraude e Ambiente de Controlo Normas IFAC sobre Fraude
• O revisor/auditor deve planear e executar a revisão/auditoria com uma atitude de ceticismo profissional, reconhecendo que
podem ser encontradas condições ou acontecimentos que indiciem que possam existir fraudes ou erros.
• Quando a aplicação de procedimentos de revisão/auditoria, concebidos a partir da avaliação do risco, indiciar a possível existência
de fraude ou erro, o revisor/auditor deve considerar o potencial efeito nas demonstrações financeiras.
• O revisor/auditor deve comunicar as conclusões factuais à gerência, assim que for praticável, se:
• o revisor/auditor suspeitar de que exista fraude, mesmo se o potencial efeito nas demonstrações financeiras poder ser materialmente
irrelevante; ou
• se verificar realmente a existência de fraude ou erro significativo.
• Se o revisor/auditor concluir que a fraude ou o erro tem um efeito materialmente relevante nas demonstrações financeiras e não
tenha sido devidamente refletido ou corrigido nas demonstrações financeiras, o revisor/auditor deve expressar uma opinião com
reservas ou uma opinião adversa.
5.3 Elementos da Fraude - Fraude e Ambiente de Controlo Normas IFAC sobre Fraude
• A principal responsabilidade pela prevenção e deteção de fraudes e de erros permanece tanto nos encarregados
da governação como na gerência de uma entidade.
• O facto de uma revisão/auditoria ser levada a efeito pode agir como dissuasor, mas o revisor/auditor não pode ser
considerado responsável pela prevenção de fraudes e erros.
A fraude corporativa continua a ser uma das maiores prioridades criminais pois além de causar
perdas financeiras significativas aos investidores, tem o potencial de causar danos imensuráveis à
economia e à confiança dos investidores. Como agência líder na investigação de fraudes
corporativas, o FBI (EUA) concentra seus esforços em casos que envolvem esquemas de
contabilidade, negociação própria por executivos e obstrução da justiça. A maioria dos casos de
fraude corporativa perseguidos pelo FBI envolve esquemas contabilísticos projetados para enganar
investidores, auditores e analistas sobre a verdadeira condição financeira de uma empresa ou
entidade comercial.
Por meio da manipulação de dados financeiros, do preço das ações ou de outras medidas de
avaliação de uma empresa, o desempenho financeiro pode permanecer artificialmente inflacionado
com base em indicadores de desempenho fictícios fornecidos ao público investidor.
82
5.4 Branqueamento de capitais
Dinheiro ilícito: as transações em dinheiro são particularmente vulneráveis à lavagem de dinheiro. O dinheiro é
anônimo, fungível e portátil; não tem nenhum registro de sua fonte, proprietário ou legitimidade; é usado e
mantido em todo o mundo; e é difícil rastrear uma vez gasto. Além disso, apesar de seu volume, o dinheiro pode
ser facilmente escondido e transportado em grandes quantidades em veículos, remessas comerciais, aeronaves,
barcos, bagagens ou pacotes; em compartimentos especiais escondidos dentro da roupa; ou em pacotes
embrulhados para parecerem presentes.
Lavagem de dinheiro com base no comércio (Trading Business as Money Laundering): as organizações de tráfico
de drogas também usam corretores de dinheiro para facilitar a TBML. Em esquemas complexos de TBML, os
criminosos movem mercadorias, falsificam seu valor e deturpam as transações financeiras relacionadas com o
comércio, muitas vezes com a ajuda de comerciantes cúmplices, em um esforço para disfarçar simultaneamente a
origem dos rendimentos ilícitos e integrá-los no mercado. Uma vez que os criminosos trocam dinheiro ilícito por
bens comerciais, é difícil para a aplicação da lei rastrear a origem dos fundos ilícitos.
83
5.4 Branqueamento de capitais
Uso indevido de bancos: os bancos lidam com milhões de dólares em volume de transações diárias. A maioria
usa instituições financeiras depositárias - como bancos comerciais, associações de poupança e empréstimo e
cooperativas de crédito – realizam transações financeiras. Os não têm acesso a essas instituições, ou que optam
por não usar instituições financeiras depositárias, podem realizar transações financeiras usando empresas de
serviços financeiros (MSBs), como transmissores de dinheiro, descontadores de cheques, cambistas ou
empresas que vendem ordens de pagamento pré-pagas dispositivos de acesso e cheques de viagem. Algumas
MSBs também podem contratar os serviços de instituições financeiras depositárias para liquidar transações. Os
bancos também podem manter contas em outros bancos para facilitar as transações no país do banco onde a
conta é mantida. Por exemplo, alguns bancos estrangeiros estabelecem relações de correspondente com bancos
para permitir que eles conduzam os negócios e forneçam serviços aos seus clientes fora do país de origem e
sem a sua presença.
Cartões de acesso pré-pagos: os cartões de acesso pré-pagos, também conhecidos como cartões de valor
armazenado, podem ser usados como alternativa ao dinheiro. Os cartões de acesso pré-pagos fornecem acesso a
fundos que foram pagos antecipadamente e podem ser recuperados ou transferidos por meio de um dispositivo
eletrônico, como um cartão, código, número de série, número de identificação móvel ou número de identificação
pessoal;funcionam de forma muito semelhante aos cartões tradicionais de débito ou crédito e podem fornecer
meios portáteis e potencialmente anónimos de aceder a fundos.
Compra de imóveis e outros ativos: os fraudulentos também convertem seus rendimentos ilícitos em fundos
limpos, comprando imóveis e outros ativos. Funcionários de governos estrangeiros que roubam de seu próprio
povo, extorquem negócios ou buscam e aceitam pagamentos de suborno, em particular, também usaram esse
método para canalizar seus ganhos ilícitos para o sistema financeiro. Investigações e processos recentes
revelaram que funcionários estrangeiros corruptos compraram vários ativos para lavar o produto de sua
corrupção - imóveis e hotéis de luxo, jatos particulares, obras de arte e empresas de cinema
85
6 Resposta ao Risco
86
6.1 Normas de Auditoria Interna
Código de Ética
87
6.2 Responsabilidades dos Auditores
INTERNO:
inerentes às suas responsabilidades de auditor associadas ao seu desempenho de
funções pertencendo aos quadros da empresa
EXTERNO:
responsabilidades inerentes ao desempenho de sua profissão (ver Código da OROC e
Guia de aplicação e acompanhamento das ISA)
88
6.3 Sinais de Alerta
sinais de alerta de fraude entre empregados/empresa
1.Se a organização atua com muitos fornecedores, um forte alerta é se uma empresa insistir em negociar sempre com o
mesmo funcionário, o que pode indicar que o funcionário esteja recebendo parte dos pagamentos realizados pela empresa;
2.Empregados que não tiram férias ou que trabalham sistematicamente nas férias de outros. Neste caso, estes podem estar
preocupados com a possibilidade de outro funcionário assumir as suas funções e descobrir suas fraudes;
3. Mudança no estilo de vida. Quando o trabalhador muda repentinamente o seu estilo de vida, apresentando um padrão
de comportamento acima do razoável para os seus rendimentos, indica que pode estar envolvido em alguma fraude;
4. Empregados que não expõem as suas atividades, evitando auditorias, relatórios ou qualquer forma de controle de suas
atividades, devem ter algo a esconder. No caso destas situações serem repetidas ao longo do tempo, o melhor a ser feito é
investigar;
5. Quando algum trabalhador evita o confrontamento com os seus superiores, construindo mecanismos de defesa como
doenças e/ou evitando novos desafios, tarefas e questionamentos sobre suas atividades, a empresa deve reforçar o
controle sobre suas atividades.
Em todos os casos, um canal de denúncia (whistleblower hotline) é o meio mais simples e eficiente para evitar o
cometimento de fraudes nas empresas e garantir o comportamento ético dos funcionários.
89
6.3 Sinais de Alerta
Promover a rotatividade de funcionários em funções - chave, também é uma medida eficiente para
prevenir, ou, ao menos, detectar precocemente as fraudes. Importante observar que, em alguns casos, as
fraudes são descobertas quando a pessoa muda de função, troca de área ou é substituída
temporariamente.
A análise de dados financeiros, com o cruzamento eletrônico de informações, também pode trazer à tona
pontos de atenção.
Ao invés de esperar uma eventual denúncia, a Empresa pode conferir se em alguma fatura de Fornecedor
o endereço de entrega é o endereço de algum colaborador, ou se o número da conta bancária para
pagamento coincide com o de contas de colaboradores (ou parentes do mesmo) da empresa.
A organização também pode instituir canais de denúncia. Veja-se que, por exemplo, nos Estados Unidos,
uma legislação de 2010 propõe pagar ao denunciante uma recompensa, que pode variar de 10 a 30% das
multas aplicadas por má conduta financeira.
90
6.3 Sinais de Alerta
6.3 Sinais de Alerta
Alguns sinais podem ser observados quando o Colaborador:
d) Tem um grupo de "favoritos", ou prefere se cercar de pessoas que não vão desafiá-lo;
e) Apresenta indícios de maus hábitos pessoais, vícios, ou tem um estilo de vida superior à sua renda;
Cerca de 86% dos casos de fraudes empresariais são através de apropriações indevidas quando os colaboradores roubam ou
fazem mau uso de ativos da companhia. Os cinco comportamentos mais comuns são:
Viver além da sua capacidade financeira;
Dificuldades financeiras;
Relacionamento excepcionalmente próximo com um fornecedor ou cliente;
Problemas de controle excessivo ou falta de vontade de compartilhar tarefas;
Irritabilidade incomum, desconfiança ou atitude defensiva.
Mais de 40% dos esquemas fraudulentos são descobertos através de dicas ou denúncias e em 50% destas denúncias, são
outros colaboradores que as reportam, geralmente ao supervisor direto ou equipes internas de auditoria.
92
Bibliografia
Agnieszka Dziadosza, Mariusz Rejment (2015) Risk analysis in construction project - chosen methods. Procedia Engineering 122 (2015 ) 258 – 265 (Available online
at www.sciencedirect.com)
Amir Samimi1, Marzieh Samimi (2020) Investigation of Risk Management in Food Industry, International Journal of Advanced Studies in Humanities and Social
Science, 2020, 9(3), 195-204
Anthony Saunders, Marcia Cornett (2014), Financial institutions Management – a risk management approach , Mac Graw Hill 8th Ed
Fraud risk management: a guide to good practice CIMA -CHARTERED INSTITUTE OF MANAGEMENT ACCOUNTANTS 978-1-85971-611-3 (pdf)
file:///C:/Users/dell/Downloads/cupdf.com_cid-techguide-fraud-risk-management-feb09pdf.pdf
José Miguel Aguilera Avalos,( 2012) Auditoria e gestão riscos: Inclui a lei Sarbanes- Oxley e informação COSO (Português),29 novembro 2012, Ed: Instituto
Chiavenato
Marcos Assi,(2012) Gestão de Riscos com Controles Internos: Ferramentas, Certificações e Métodos Para Garantir a Eficiência dos Negócios Ed: Saint Paul
Report to the Nations on Occupational Fraud and Abuse (2012) The Use of Computers in Occupational Fraud, ACFE – Association of Certified Fraud Examiners
WELLS, Joseph T. (2009) Manual da Fraude na Empresa, Prevenção e Deteção, Almedina
93