AUDITORIA

III CONTROLO INTERNO III

Fernando Teixeira Pinto

ISCAP

AUDITORIA FINANCEIRA

NDICE

Conceitos, objectivos e limitaes Registo e Avaliao do Sistema de Controlo Interno Testes aos Controlos

DRA 410

AUDITORIA FINANCEIRA

Algumas definies de CI

O IIA define controlos (*) como:

qualquer aco tomada pela gesto ou qualquer outra parte para gerir risco e aumentar a probabilidade de que os objectivos estabelecidos e as metas sero alcanadas. A gesto planeia, organiza e dirige o desempenho de aces suficientes para fornecer garantia suficiente que os objectivos e metas sero alcanados

(*) = controlos internos

AUDITORIA FINANCEIRA

A AICPA no seu SAS n 1 original apresentava a seguinte definio de controlo interno:

controlo interno compreende o plano da empresa e todos os mtodos e medidas adoptados para salvaguarda dos activos, verificar a exactido e fiabilidade dos seus dados contabilsticos, promover a eficcia operacional e encorajar a adeso s polticas de gesto definidas.

AUDITORIA FINANCEIRA

O COSO define Controlo Interno:

um processo da responsabilidade do Conselho de Administrao, da gesto executiva ou de outro pessoal da entidade, estabelecido com vista a fornecer garantia razovel a respeito da consecuo dos seguintes objectivos da organizao: eficcia e eficincia das operaes fiabilidade do relato financeiro cumprimento das leis e regulamentos aplicveis

AUDITORIA FINANCEIRA

Por outras palavras, podemos dizer que

SCI (1) o conjunto de mtodos, procedimentos e dispositivos organizacionais destinados a assegurar: Salvaguardar os activos Detectar e prevenir erros e fraudes Promover a eficcia e a eficincia operacionais Assegurar a fidedignidade dos registos contabilsticos Assegurar o cumprimento das leis e dos regulamentos Encorajar o cumprimento das polticas e regras definidas pela gesto

SCI: sistema de controlo interno

AUDITORIA FINANCEIRA

O controlo interno sempre esteve ligado s boas prticas O controlo interno est em mudana O controlo interno como um sistema de controlo do risco Toda e qualquer organizao tem um SCI natural que o SCI comece pelo dinheiro e meios mais lquidos

AUDITORIA FINANCEIRA SISTEMA CONTABILSTICO

"Sistema contabilstico" significa a srie de tarefas adoptadas pela gesto de uma entidade atravs das quais as transaces so processadas como um meio de manter registos financeiros. Tal sistema identifica, agrega, analisa, calcula, classifica, regista, resume e relata transaces e outros acontecimentos.

Sistema contabilstico vs. SCI

AUDITORIA FINANCEIRA

ESTRUTURAS DE REFERNCIA (frameworks) de Controlo Interno

COSO Internal control-integrated framework (1992) e ERM framework (2004)

CobiT Control objectives for Information and Related Technology, 3 ed. (2000), aborda controlo sobre sistemas de informao

AICPA - Sass 55 e 78 editados em 1988 e 1995

AUDITORIA FINANCEIRA

SAC Systems auditabiliy and control emitido em 1991 pelo Internal Auditors Research Foundation do IIA

CoCo Criteria of control board Guidance on assessing control The CoCo principles, editado em 1997 pelo The Canadian Institute of Chartered Accountants

ISO 17779 Code of practice for information management, de 2000, da autoria da International Organization for Standardization

AUDITORIA FINANCEIRA
O COSO usa um modelo tridimensional para representar o SCI de uma empresa: na parte frontal: 5 nveis no topo: 3 componentes (objectivos) lado direito: unidades, actividades, segmentos, etc (depende da estrutura da entidade)
os 3 objectivos

Um auditor interno nos dias de hoje no pode deixar de conhecer este modelo do COSO.
fundao componentes

u n i d a d e s

AUDITORIA FINANCEIRA

COMPONENTES do modelo COSO de controlo interno 1. AMBIENTE DE CONTROLO

fundamental, a fundao de qualquer SCI, porque condiciona todas as actividades, o modo como o risco avaliado e as restantes componentes e todas as 3 dimenses e os seus elementos. O ambiente reflecte a atitude geral e as aces do CA, da gesto e outro pessoal sobre CI. A histria e a cultura da empresa so muito importantes para este ambiente. Nas empresas mais pequenas os factores do ambiente de controlo podem ser mais informais, mas no deixam de ser importantes.
Exs: a) atitude do CA sobre violaes (fechou os olhos? ) b) quando o CEO passa uma mensagem forte e reiterada de produtos de qualidade, esta mensagem fica e impe-se c) BPN

AUDITORIA FINANCEIRA
Elementos do AMBIENTE DE CONTROLO: Integridade e valores ticos A empresa pode apresentar um Cdigo de Conduta (Ex : juramento de Davos) Devem ser difundidos sinais desta mensagem pela empresa. A poltica de incentivos ou de objectivos pode corroer estes princpios. Ex: definir metas irrealistas para vendas pode levar os comerciais a violar regras Compromisso com a competncia Pessoal incompetente pode fazer perigar o ambiente de controlo da empresa. Um departamento de RH forte com um sistema de gesto do desempenho adequado e bem gerido importante Conselho de Administrao (executivo) e Comit de Auditoria As suas aces e exemplos tm grande importncia. Filosofia de gesto e Estilo de Operao Estes factores dos principais gestores (a diversos nveis) afectam o ambiente. Ex: a apetncia pelo risco que transmitem. Uns arriscam mais no crdito a clientes, outros menos

AUDITORIA FINANCEIRA

Estrutura organizativa Organizao: funes + relaes O organograma Atribuio de autoridade e responsabilidade Relacionado com anterior: deve ser atribuda autoridade com a consequente accountability. Se as pessoas no sentem esta responsabilizao, tendero a ser mais negligentes . Exs. : atrasos na justia, erros em processos. Polticas e prticas de RH Nas diversas reas: contratao (pela competncia), acolhimento, avaliao de desempenho, formao, aco disciplinar (!), etc. Esta rea crtica para um ambiente de controlo adequado. Controlo do ambiente em perspectiva

AUDITORIA FINANCEIRA

2. AVALIAO DO RISCO

Os objectivos de uma organizao podem estar em risco por diversos factores (internos e externos). Uma empresa deve ter um processo para avaliar os riscos potenciais que possam por em causa a consecuo dos seus objectivos. Esta avaliao de risco distingue-se da framework ERM (a estudar frente) : Foca-se nos controlos internos da empresa Tem um mbito muito mais estreito que o COSO ERM

AUDITORIA FINANCEIRA

Esta avaliao um processo de 3 passos: Estimar a significncia do risco Avaliar a probabilidade de ocorrncia Definir como o risco deve ser gerido e que aces tomar

Avaliao pelo auditor dos riscos capazes de determinarem DFs com distores materialmente relevantes. Alguns exs:
Contratao de novos RH Crescimento vertiginoso da empresa Novos sistemas de informao Reestruturaes de empresas

AUDITORIA FINANCEIRA

Esta framework do COSO considera que os riscos devem ser considerados em 3 perspectivas: 1. Riscos devidos a factores externos
Alteraes tecnolgicas Mudana nos hbitos e gostos dos clientes Nova legislao ou regulamentos Acidentes naturais ou catstrofes (a desenvolver frente ERM Framework)

2. Riscos devidos a factores internos

Rotura num servidor Competncia dos RH contratados Facilidade de acesso do pessoal aos activos

3. Riscos de actividades especficas

Os riscos tambm ser encarados por actividades (finanas, marketing, TI, etc.) ou unidades de negcios

AUDITORIA FINANCEIRA
3. ACTIVIDADES DE CONTROLO So os procedimentos e polticas a todos os nveis de uma organizao. Tipos destas actividades: Revises de nvel superior: comparaes com oramentos, estatsticas, dados da concorrncia, medidas de benchmark, etc. (Sistema de gesto oramental) Exception reports relativos a diversas actividades. TI: tentativas de acesso no autorizados Auditoria contnua Controlos fsicos Segregao de funes Superviso e conferncias independentes Indicadores de desempenho Controlos sobre TIC: crtico. Ex: exception report se N horas de uma trabalhador > 80h semana Pr-numerao de documentos e registos Controlo de acessos Estas actividades de controlo devem estar relacionadas com os riscos identificados (2.)

AUDITORIA FINANCEIRA

4. COMUNICAES E INFORMAO Embora relacionados so componentes diferentes do ambiente de CI. Deve haver informao adequada (assente em TI) a circular para cima e para baixo de uma empresa. As empresas devem tambm ter procedimentos de comunicao para comunicar com partes internas e externas. Informao Uma empresa necessita de informao a todos os nveis para alcanar os seus objectivos e esta informao deve fluir ao longo da empresa. Baseada em IT cada vez mais. Ex: para preparar as DFs O COSO considera sistema de informao seja ele manual, automatizado ou conceptual, formal ou informal. Exs.: conversa com clientes ou fornecedores so fontes de informao informais (uma empresa eficiente deve ter sistemas de informao apurados para obter informaes dos seus clientes: pedidos, sugestes, reclamaes, etc.)

AUDITORIA FINANCEIRA

Os sistemas de informao apurados so vitais para uma empresa se adaptar ao clima de mudana e incerteza de hoje. Ser a TI adequado s necessidades de hoje?

As TI comearam nas empresas na contabilidade e finanas nos anos 50 (mquinas IBM).

COSO aconselha que nos dias de hoje implementem SI estratgicos e integrados: estratgicos: como parte da estratgia da empresa integrados: sistema de controle produo, mquinas, inventrios, expedio, etc.

A qualidade da informao tambm essencial: O contedo A tempestividade Correcta Acessvel

AUDITORIA FINANCEIRA

Comunicao A empresa deve definir os canais de comunicao adequados quer internamente quer com o exterior. A comunicao entendida nos 2 sentidos:
Componente interna Todos os stakeholders devem receber mensagens da gesto lembrando-lhes da sua responsabilidade no controlo interno da entidade. Canais podem ser normais ou confidenciais (whistleblower programs: comunicao de irregularidades) Componente externa Comunicao com clientes (fonte preciosa), accionistas, bancos, Bolsa, fornecedores, reguladores, etc. O relato financeiro; a web Meios Diversos: boletins, webcast, videos, etc

AUDITORIA FINANCEIRA

5. MONITORIZAO A monitorizao do SCI foi a tarefa tradicional dos auditores internos. Com a framework do COSO esta componente tem um alcance mais amplo: numa ptica dinmica, j que um bom SCI numa altura pode no o ser noutra. A monitorizao destina-se a avaliar a eficcia de todas as componentes do SCI e implementar aces correctivas quando necessrio. Actividades de monitorizao ongoing O COSO salienta a importncia destas actividades, isto , funes de rotina que executam esta monitorizao. Exs: Comunicaes de terceiros (vd. 4); Ex: n de telef para reclamaes de clientes Actividades de superviso (mesmo a nveis intermdios; ex: anlise CC) Inventrios (stocks, Af, e reconciliao de activos) Funes normais de gesto: reportes regulares, exception reports, etc

AUDITORIA FINANCEIRA

Avaliao separada do SCI So frequentes quando se fazem aquisies, mudana no negcio, por ex

Reporte de deficincias do SCI Seja qual for o meio de detectar os pontos fracos do SCI, estes devem ser reportados gesto. Com que detalhe? A quem deve reportar? COSO diz queles que podem tomar a aco necessria e precisa: devem ser reportados no s ao responsvel pela funo mas tambm pelo menos 1 nvel acima Materialidade: COSO defende que no deve vigorar (diferente auditoria externa ou financeira); um erro um erro; o mau exemplo para o restante pessoal.

AUDITORIA FINANCEIRA

A framework de CI do COSO tridimensional, no se esqueam as outras 2 dimenses.

Todas as componentes estudadas devem ser consideradas em relao s outras 2 dimenses: dimenso superior: o Fiabilidade do reporte financeiro o Conformidade com leis e regulamentos o Eficcia e eficincia das operaes unidades ou actividades desempenhadas

Este framework do COSO tem vindo a tornar-se um padro mundial em termos de Controlo Interno

AUDITORIA FINANCEIRA

Uma unidade ou processo da empresa tem um bom SCI, portanto, se:

se cumpre a sua misso de um modo tico emite demonstraes financeiras fiveis e credveis cumpre as leis e os regulamentos e polticas da empresa realiza uma utilizao de recursos econmica, eficaz e eficiente promove uma adequada salvaguarda dos seus activos

AUDITORIA FINANCEIRA

CONTROLO INTERNO (SCI)

Compreende: Controlo contabilsticos Controlos administrativos

AUDITORIA FINANCEIRA

SCI compreende: CONTROLOS BSICOS

Controlos do utilizador Procedimentos programados Controlos de integridade > > manuais > informticos

manuais / informticos

So os controlos que visam assegurar que as transaces vlidas (e apenas estas) so processadas, registadas, e mantidas com exactido e que os procedimentos programados so implementados, armazenados e mantidos de modo adequado.

AUDITORIA FINANCEIRA

DISCIPLINAS SOBRE CONTROLOS BSICOS

Segregao de funes > evitar que mesma pessoa faa transaco de princpio ao fim; devero ser separadas: autorizao / custdia de activos / registos

Superviso

> provas e conferncias independentes

Controlos fsicos

AUDITORIA FINANCEIRA

Objectivos do SCI

Relativamente s transaces, assegurar:

Totalidade Exactido Validade Manuteno Segurana fsica

AUDITORIA FINANCEIRA

LIMITAES DE UM SCI
Nenhum SCI (mesmo se adequado e em funcionamento) pode dar uma garantia absoluta do cumprimento dos seus objectivos, por razes tais como:

Custo / benefcio nos CI Erros humanos (m interpretao dos CI, negligncia, etc) Conluios (dentro da empresa ou com o exterior) Mau uso de CI por um responsvel Ambiente de controlo (cultura da empresa, autoridade do rgo de gesto) Mudanas no pessoal, no rgo de gesto ou nos accionistas Transaces no usuais

AUDITORIA FINANCEIRA

A avaliao do SCI
Duas questes fundamentais se colocam quanto a um SCI: Se o SCI contempla procedimentos considerados essenciais Se, encerrando tais procedimentos, eles foram/so efectivamente praticados (ou no)

Para esta finalidade so utilizados frequentemente os ICQ (questionrios de controlo interno), por processos ou reas.

AUDITORIA FINANCEIRA

Procedimentos para compreender o SCI

Inquritos (a gestores e outros colaboradores da entidade) Inspeco (de documentos e registos) Observao (de actividades e operaes da entidade)

AUDITORIA FINANCEIRA

Avaliao de um SCI
se existe se adequado se est em funcionamento

1. Identificao e descrio dos sistemas implantados; 2. Confirmao do sistema testes aos controlo 3. Identificao dos pontos - chaves do controlo e avaliao preliminar dos controlos 4. Realizao dos testes de conformidade (funcionamento) 5. Apreciao do funcionamento do sistema.

AUDITORIA FINANCEIRA

Identificao e descrio dos sistemas implantados

Descries narrativas Fluxogramas Observao Descrio de processos Questionrio de controlo interno (QCI) Confirmao do sistema de controlo Identificao dos pontos-chave do SCI Quadro de foras e fraquezas aparente

AUDITORIA FINANCEIRA
CICLO DE COMPRAS identificao e descrio dos SCI implantado Ex

SELECO DE FORNECEDORES

CONSULTA MERCADO CONSULTA

ENTRADA DE STOCKS DEVOLUES N/CREDITO

RECEPO

CONTAS A PAGAR

COMPRA

DE MERCADORIAS

REQUISIO

CONTROLO QUALIDADE AUTORI ZAO

PAGAMENTOS

FUNES DE COMPRAS Seleco de fornecedores Reconhecimento da necessidade Autorizao da compra Consulta ao mercado Integralidade Processamento Acompanhamento

REQUISITOS DE C.I. Segregao de funes Autorizao Classificao Avaliao Processamento de dados

DOCUMENTOS Internos: Requisio interna Requisio de compra Nota de Recepo Nota de Entrada N/devoluo Externos: Guia de Remessa Factura N/Crdito Recibo

AUDITORIA FINANCEIRA
CICLO DE VENDAS identificao e descrio dos SCI implantado Ex

DISPONIBIL.
PRODUTO

SADA STOCKS DEVOLUES N/CRDITO

CONTROLO CRDITO

SADA

CONTAS A RECEBER

VENDAS

DE MERCADORIAS

ENCOMENDA

CONTROLO SADA

RECEBIMENTO

AUTORIZAO

FUNES DE VENDAS Encomenda do Cliente Controlo de Crdito Expedio da mercadoria Controlo de expedio Emisso da factura Processamento Acompanhamento

REQUISITOS DE C.I. Segregao de funes Autorizao Classificao Avaliao Processamento de dados

DOCUMENTOS Internos: Nota de encomenda Notas de Sada Nota de devoluo Externos: Guia de Remessa Factura N/Crdito Recibo

AUDITORIA FINANCEIRA

CICLO DE RH identificao e descrio dos SCI implantado Ex

FORMAO
RECRUTAMENTO

HIGIENE

IMPUTAO

CUSTOS

ADMISSO

DESEMPENHO

REMUNERAES

PAGAMENTO

SELECO

ASSIDUIDADE

AVALIAO DESEMPENHO

PROCESSAMENTO

FUNES DE REC.HUMANOS ADMISSO ASSIDUIDADE DESEMPENHO FORMAO HIGIENE E SEGURANA REMUNERAES PAGAM ENTO

REQUISITOS DE C.I. Segregao de funes Autorizao Classificao Avaliao Processamento de dados

DOCUMENTOS: FICHA DO EMPREGADO MAPAS LEGAIS RECIBOS DE SALRIOS

AUDITORIA FINANCEIRA

AUDITORIA FINANCEIRA

AUDITORIA FINANCEIRA

reas de foco (5)

Alinhamento estratgico > < Criao de valor

IT Governance Medida do desempenho >

< Gesto de risco

Resource Management
< Gesto de recursos

AUDITORIA FINANCEIRA

Domnios (4)

AUDITORIA FINANCEIRA

COBIT Control objectives for information and related technologies

O COBIT um conjunto das melhores prticas para a gesto de TI, um modelo de governao de TIs Foi criado em 1996 pelo ISACA (Information Systems Audit and Control Association) e pelo ITGI (IT Governance Institute) Como medir o valor criado pela TI numa organizao? Como gerir os riscos relacionado com as TI ? Elementos-chave da governao de TI: valor risco controlo

AUDITORIA FINANCEIRA
> Os objectivos da organizao; os riscos

O COBIT compreende 4 domnios: 1>

P01 P02 P03 P04 P05 P06 P07 P08 P09

PLANEAR E ORGANIZAR
Defina uma estratgia de IT Defina a arquitectura de IT Determine a direco tecnolgica Defina os processos de IT, organizao e relaes Gerir o investimento em IT Comunique os objectivos e metas das gesto Gerir os RH de IT Gerir a qualidade Avaliar e gerir os riscos de IT

AUDITORIA FINANCEIRA
> Identificar e implementar a melhor soluo informtica (e sua manuteno)

2>
AI1 AI2 AI3 AI4 AI5 AI6 AI7 Identificar as solues

ADQUIRIR E IMPLEMENTAR

Adquirir e manter as aplicaes de software Adquirir e manter a infraestrutura tecnolgica Permitir a operao e uso Aquisio de recursos de IT Gerir as mudanas Instalar e acreditar solues e mudanas

AUDITORIA FINANCEIRA
3>
DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13

ENTREGAR E APOIAR
Definir e gerir os nveis de servio Gerir os servios de terceiras partes Gerir e desempenho e capacidade Assegurar um servio contnuo Assegurar a segurana do sistema Identificar e alocar custos Educar e formar os utilizadores Gerir o desk service e incidentes Gerir a configurao Gerir problemas Gerir dados Gerir o ambiente fsico Gerir operaes > Melhor servio a utentes; apoio; segurana

AUDITORIA FINANCEIRA

> Controlo; o desempenho

4>
ME1 ME2 ME3 ME4

MONITORIZAR E AVALIAR
Monitorizar e avaliar os processos de IT Monitorizar e avaliar o SCI Assegurar a conformidade da regulao Fornecer governao de IT