Auditoria Interna Julho/Setembro 2011 Nº 44 · 4 Auditoria Interna Julho/Setembro 2011 Nº 44 Agenda 2011 Nº CURSO LOCAL DATA FORMADOR Formação de Base em Auditoria Interna 1

1

Auditoria Interna Julho/Setembro 2011 Nº 44

2


Índice

Agenda 2011 ................................................................................................................................................................................................................ 4

IPAI - Membros Colectivos .............................................................................................................................................................................. 6

Parcerias e protocolos ........................................................................................................................................................................................ 9

Fórum de Auditoria Interna 2011-“Crescer pela partilha do conhecimento”, Fátima Geada, Presidente Direcção

IPAI ................................................................................................................................................................................................................................... 11

Da incompetência na gestão, Manuel Marques Barreiro; Consultor e Presidente do Conselho Geral do IPAI .......... 15

Análise de dados-Técnicas gerais para detectar e prevenir erros, não intencionais ou

premeditados, nos dados de uma organização, Drumond de Freitas – Consultor EQUICONSULTE, SA ................... 17

Prémios IPAI ............................................................................................................................................................................................................. 21

Controlo Interno, Risco e Auditoria Interna, João Revés - SSP Partner ........................................................................... 26

Gestão de Riscos de Tecnologias de Informação – a framework Risk IT, - José Tinoco, CISA, CIA, CFE,

ISO 27001 LA, ISACA Lisbon Chapter Industry Officer ................................................................................................................................. 31

Partes interessadas – ISO 26000- Mário Parra da Silva, Empresário e Presidente da Associação Portuguesa

de Ética Empresarial ............................................................................................................................... 34

Fórum de Auditoria Interna 2011 - fotos ............................................................................................. 36

Sugestão de leitura ................................................................................................................................. 44

Caneta Digital ........................................................................................................................................ 44

Post_it , Miguel Silva ........................................................................................................................ 46

Pesquisa de Institutos de Auditoria ................................................................................................... 47

Missão

Promover a partilha do saber e da prática em auditoria

interna, gestão do risco e controlo interno.

Propriedade e Administração IPAI – Avenida Duque de Loulé, 5 – 2º B – 1050-085 LISBOA; [email protected];Contribuinte nº 502 718 714; Telefone/Faxe: 213 151 002

Ficha técnica

Presidente da Direcção: Fátima Geada; Director: Joaquim Leite Pinheiro; Redacção: Manuel Barreiro; Raul Fernandes; Conselho Editorial: Manuel Barreiro, Fátima Geada, Francisco Melo Albino; Colaboradores nesta edição: Manuel Barreiro, Drumond de Freitas, Miguel Silva, João Revés, Mário Parra da Silva, José Tinoco.

Pré-impressão: IPAI; Impressão e Acabamento: CEM; Ano XIII – Nº 44 – TRIMESTRAL Julho/Setembro 2011; TIRAGEM: 1400 exemplares; Registo: DGCS com o nº 123336; Depósito Legal: 144226/99; Expedição por correio; Grátis; Correspondência: IPAI – Avenida Duque de Loulé, 5 – 2º B – 1050-085 LISBOA Telefone/Faxe: 213 151 002; [email protected]; [email protected]; Visite-nos em www.ipai.pt

https://www.facebook.com/ipai.auditoriainternaportugal

http://pt.linkedin.com/in/ipaichapteriia

Nota: Os artigos vinculam exclusivamente os seus autores, não reflectindo necessariamente as posições da Direcção e do Conselho Editorial da Revista nem do IPAI. A aceitação de publicação dos artigos na Revista Auditoria Interna do IPAI, implica a autorização para a inserção no sítio do IPAI após a edição da revista impressa.

Fotos da capa: Raul Fernandes; Contracapa: Composição: JLP; outras fotos: Raul Fernandes e JLP

mailto:[email protected]



http://www.ipai.pt/

https://www.facebook.com/

http://www.linkedin.com/home?trk=hb_logo

http://pt.linkedin.com/in/ipaichapteriia

3


Corpos sociais para o biénio 2010-2011

Assembleia Geral

Presidente da Mesa: António dos Santos Ramos, CIA – Estoril Sol

Secretário: Carlos Alberto Mendes Lopes – Estradas de Portugal

Vogal: Rodrigo Mário de Carvalho – ISCAP

Conselho Fiscal Presidente: Manuel dos Santos Gomes

Vogais: Álvaro da Silva João

João Manuel Barata da Silva - CGD

Vogal Suplente: Maria de Lurdes Neves - TAP

Direcção

Presidente: Fátima Geada, PHD – TAP

Vice-Presidentes: Francisco de Melo Albino, CIA; CCSA; CGAP

António Neutel Neves, CIA – Portucel

Nuno Oliveira, CIA - AdP

José Costa Bastos

Nelson Martins, CCSA – BES

Pedro Cupertino de Miranda, CISA – SONAE

Secretário: Joaquim Leite Pinheiro

Vogais: Luís Filipe Machado, CIA; CCSA – BCP

Severo Praxedes Soares – IGF

Miguel Correia, CIA; CCSA; CFSA I – Liberty Seguros

Georgina Morais – ISCAC

Ana Cláudia – BRISA

Jorge Santos Nunes – Lusitânia

CONSELHO GERAL

Presidente: Manuel Marques Barreiro

Vice-Presidente: Manuel Agostinho Raul Fernandes

Vogais:

Domingos Sequeira – Ex-Presidente da Direcção

Orlando Sousa - SONAE

Ana Margarida Fernandes – Inspecção-Geral de Finanças

António Costa e Silva – Tribunal de Contas

Carlos Baptista da Costa – ISCAL

Octávio Castelo Paulo – Instituto Português Corporate Governance

Jean-éric Gaign – KPMG

João Frade – DELOITTE

João de Mello Franco – PT e EDP Renováveis

Jorge de Freitas Nunes – Ernst & Young

José Manuel Dias da Fonseca – APOGERIS

Francisco Martins da Rocha – Banco de Portugal

Nasser Sattar – PriceWaterhouseeCoopers

Orlando Germano da Silva - BES

IPAI filiado na

IIA Portugal

Chapter 253

4


Agenda 2011

Nº CURSO LOCAL DATA FORMADOR

Formação de Base em Auditoria Interna

1 Introdução ao Controlo e Auditoria Interna Lisboa Porto

Fev. 7 e 8 Set. 5 e 6

Francisco Albino, CIA, CCSA, CGAP

Formação para Auditores Seniores e CAEs

2 Auditoria Interna Baseada no Risco Lisboa Lisboa

Maio. 2 e 3 Set. 12 e 13

Nuno Oliveira, CIA

3 Auto-avaliação do Risco e do Controlo – Preparação para o Exame CCSA

Lisboa Jun. 27 e 28 Nuno Oliveira, CIA Júlia Santos. CCSA

4 Avaliação da Qualidade e Performance em Auditoria Interna

Lisboa Set. 26 e 27 Fátima Geada, PhD

Formação de Especialização

5 Relatórios de Auditoria Lisboa Mai. 9 e 10 Francisco Albino, CIA, CCSA, CGAP

6 Audit Analytics Lisboa Jul. 29* Prof. Glenn Sumners, CIA, CPA, CFE

7 Amostragem para Auditoria Lisboa Dez. 12 e 13 Fátima Geada, PhD Céu Almeida, ROC

8 Fraude e Auditoria Interna Lisboa Abr. 4 e 5 Tiago Lopes, CIA, CCSA, CFE

9 Gestão de Risco Lisboa Out. 17 e 18**

Formação para Auditores de Sistemas de Informação

10

Auditoria de Sistemas e Tecnologias de Informação

Lisboa Mai. 16 e 17 Paulo Gomes, CISA

11 Segurança de Sistemas de Informação Lisboa Mai. 26 e 27 Pedro Cupertino, CISA

Formação Comportamental

12 Liderança e Comunicação em Auditoria Interna Lisboa Porto

Abr.18 e 19 Out.10 e 11

Filipa Oliveira

13 Técnicas de Apresentação *** Lisboa Jul. 4 e 5 Filipa Oliveira

Formação para a Certificação CIA

14 CIA Review – I Part

Lisboa Jul. 25 * Prof. Glenn Sumners, CIA, CPA, CFE

15 CIA Review – II Part Lisboa Jul. 26 * Prof. Glenn Sumners, CIA, CPA, CFE

16 CIA Review – III Part

Lisboa Jul.27 e 28*

Prof. Glenn Sumners, CIA, CPA, CFE

17 CIA Review – IV Part

Lisboa Jul. 28 * Prof. Glenn Sumners, CIA, CPA, CFE

18 Preparação para o exame CIA – I Parte

Lisboa Mar. 14 Francisco Albino, CIA, CCSA, CGAP

19 Preparação para o exame CIA – II Parte Lisboa Mar. 15 Nuno Oliveira, CIA

5


…Agenda 2011

Nº CURSO LOCAL DATA FORMADOR Formação para Auditores do Sector Público

20 Auditoria de Instituições Públicas – Preparação para o Exame CGAP

Lisboa A definir Francisco Albino, CIA, CCSA, CGAP

21 Auditoria a Empreitadas de Obras Públicas

Lisboa Nov. 7 e 8 Sara Pestana, CIA Sofia Correia, CIA

22 Auditoria Interna no Sector da Saúde ***

Lisboa Mar.28 e 29

Formação para Auditores do Sector Financeiro

23 Cursos em parceria com o MIS ** Lisboa * * Em língua inglesa. ** Em preparação, com realização a confirmar. *** Curso novo. Nota: As datas indicadas poderão ser alteradas pelo que se sugere o pedido de confirmação por correio electrónico. [email protected] Eventos a realizar em 2011

VI Fórum de Auditoria Interna (16 de Junho de 2011)

XVIII Conferência Nacional do IPAI (17 de Novembro de 2011)

II Fórum de Auditores do Sector da Saúde

I Fórum de Auditores das Autarquias Locais

Reuniões de Trabalho do Núcleo de Auditores Internos do Sector dos Transportes, Infra-estruturas e Reguladores

Reuniões de Trabalho do Núcleo de Auditores Internos do Sector Financeiro

Reunião de Trabalho do Núcleo de Auditores Internos de Sistemas de Informação

http://www.linkedin.com/in/ipaichapteriia

https://www.facebook.com/ipai.auditoriainternaportugal

http://www.facebook.com/TheInstituteofInternalAuditors







http://www.facebook.com/TheInstituteofInternalAuditors

6


IPAI - Membros Colectivos

7


IPAI - Membros Colectivos

8


Parcerias e protocolos

http://www.ipai.pt/gca/index.php?id=116

http://www.pwc.com/pt/pt

http://www.caseware.com/about-us/distributors/Equiconsulte-SA

http://www.cgov.pt/

http://www.universidade-autonoma.pt/index_ual2010.html

http://www.infocontab.com.pt/ 99

http://www.iscad.pt/


http://www.pwc.com/pt/pt

http://www.caseware.com/about-us/distributors/Equiconsulte-SA

http://www.cgov.pt/

http://www.universidade-autonoma.pt/index_ual2010.html

http://www.infocontab.com.pt/

http://www.iscad.pt/

9



http://www.iscac.pt/portal

http://www.uatlantica.pt/

http://www.isaca-lisbon.org/

www.ssp-sa.com

http://www.egp-upbs.up.pt/

http://www.ordemeconomistas.pt/xportal/xmain?xpid=oe

http://www.iscac.pt/portal

http://www.uatlantica.pt/

http://www.ssp-sa.com/

http://www.egp-upbs.up.pt/

http://www.ordemeconomistas.pt/xportal/xmain?xpid=oe

10



http://www.ey.com/PT/EN/Home

http://www.deloitte.com/view/pt_PT/pt/index.htm

http://www.kpmg.com/PT/

http://www.ey.com/PT/EN/Home

http://www.deloitte.com/view/pt_PT/pt/index.htm

http://www.kpmg.com/PT/

11


Fórum de Auditoria Interna 2011-

“Crescer pela partilha do conhecimento”, Fátima Geada, Presidente Direcção IPAI

Cabe-me o grato prazer de em nome da Direcção do IPAI dar-

vos as Boas Vindas e cumprimentar os ilustres convidados, os

membros do Conselho Geral, prestigiados oradores e

estimados colegas aqui presentes.

Tenho o privilégio de iniciar este fórum de onde mais uma vez

se procurará realizar a máxima do IPAI “Crescer pela partilha

do conhecimento”.

Endereço um agradecimento especial aos nossos

patrocinadores KPMG e PWC.

O tema escolhido para o fórum de reflexão ao longo desta

tarde “Governação e controlo interno num contexto de

crise” vem mais uma vez ao encontro das preocupações

fundamentais dos profissionais da área.

Se por um lado a vertente confiabilidade dos processos de

controlo evidencia um reforço do papel das estruturas de

Auditoria, a pressão colocada sobre a vertente redução de

custos poderá surgir como uma ameaça ou será antes uma

oportunidade?

Quando nos referimos a governação, a expressão «governo da

sociedade» designa, precisamente, o conjunto de estruturas de

autoridade e de fiscalização do exercício dessa autoridade,

quer internas e externas, tendo por objectivo assegurar que a

sociedade estabeleça e concretize, eficaz e eficientemente,

actividades e relações contratuais consentâneas com os fins

privados e ou públicos para que foi criada e mantidas as

responsabilidades sociais que estão subjacentes à sua

existência.

“Crescer pela partilha do conhecimento”.

12


Podemos considerar como definição de governação um

“Sistema pelo qual as empresas são administradas e

controladas”

Segundo a União Europeia, a governação é o:

“Conjunto das relações entre a gestão da empresa, o seu

órgão de administração, os seus accionistas e outros

sujeitos com interesses relevantes, estabelecendo

igualmente a estrutura através da qual são fixados os

objectivos da empresa e são determinados e controlados

os meios para os alcançar”.

Quer isto significar que o governo da sociedade compreende

todos os mecanismos que respeitam à determinação da

vontade da empresa e à sua concretização, seja ao nível da

definição do tipo de actividades económicas a desenvolver,

seja no que se refere à organização operacional dessas

actividades, seja ainda na tomada de decisões de

financiamento dos respectivos investimentos ou no que

respeita à devolução dos recursos investidos aos seus

proprietários- à sua remuneração sob a forma de dividendos.

Paralelamente com as estruturas que tomam decisões em

nome da empresa, integram o governo das sociedades, outros

mecanismos que controlam e fiscalizam esse exercício e que

visam garantir que a empresa é gerida de modo eficaz,

eficiente e consentâneo com os seus interesses.

Por outras palavras, o governo de cada empresa deve

contemplar mecanismos que induzam a uma eficiente

afectação de recursos e mecanismos que exijam a

responsabilização pelo modo como esses recursos são

usados.

Importa notar que o alcance da expressão governo das

sociedades não se limita a abarcar o conjunto de estruturas de

decisão e de fiscalização internas às empresas (tais como o

órgão de administração, o órgão de fiscalização, etc.).

Neste conceito devem também englobar-se todas as restrições

que lhes são impostas externamente, designadamente aquelas

que se referem ao escrutínio e ao juízo de valor que é feito

pelos diversos agentes que operam a nível dos reguladores e

do mercado de capitais. Ao longo desta sessão será possível

abordarmos também esta vertente com contributos de subida

importância, dos representantes do BdP e da CMVM.

A função Auditoria Interna tem vindo também a mudar, no

contexto de sofisticação acrescida dos negócios e de

responsabilidade crescente, decorrente do ambiente

regulamentar e da pressão exercida pelos stakeholders e

shareholders e da envolvente económica externa, que torna

cada vez mais necessário um posicionamento adequado no

seio da organização, maior eficácia e eficiência na realização

das actividades de auditoria interna, baseada sempre que

possível num processo de Risk Assessment, de modo a

garantir “fazer mais com menos”.

Neste contexto, não deixando de reconhecer as virtualidades

do objectivo ultimo de maximização do valor da empresa, e não

deixando de reconhecer que múltiplos dos interesses

específicos que gravitam em torno das empresas são

adequadamente defendidos por contratos específicos, por

legislação adequada e por uma opinião pública atenta, crê-se

que subsistem interesses não adequadamente defendidos e

cuja salvaguarda se deve cometer às equipas de gestão, pelo

menos no que concerne aos planos ético e deontológico.

O primeiro objectivo da gestão da empresa deve, pois, ser o da

criação de riqueza, assim como promover a sua distribuição de

modo equitativo e transparente entre a totalidade dos seus

accionistas. Porém, deve também exigir-se que as equipas de

gestão actuem de forma ambiental e socialmente responsável,

contribuindo para que o desenvolvimento seja equilibrado e

sustentável.

Os mecanismos de fiscalização e de controlo das empresas

devem igualmente promover a dimensão da sustentabilidade

nos seus critérios de actuação. Além disso, deve ainda exigir-

se que as empresas não esqueçam a sua responsabilidade,

seja no plano das relações com o Estado e com a comunidade

em geral, seja no plano das relações com os seus

trabalhadores e colaboradores.

Fórum de Auditoria Interna 2011


13


A consciência de que as empresas são espaços

de realização pessoal e profissional, onde o

desempenho por mérito deve ser o critério

fundamental de remuneração e de progressão,

deve igualmente presidir à organização da

estrutura hierárquica em que se baseia a

tomada de decisões no seio da empresa.

A avaliação do cumprimento dos supracitados objectivos, bem

assim como a formulação de um juízo de valor pelos

accionistas e pela comunidade sobre a sua articulação,

obviamente, exige uma total transparência da gestão, seja na

sua relação com os mecanismos de fiscalização, seja no que

se refere ao reporte de informação ao exterior.

Podemos considerar que a “Corporate governance” assenta

em três pilares fundamentais:

- Informação: Deve existir transparência e toda a

informação relevante deverá ser tendencialmente tornada

pública, desde que tenha subido interesse para a

comunidade financeira (investidores, accionistas,

analistas) e para a comunidade em geral.

- Administração: Na administração da empresa deverão

estar representados os diversos interesses,

nomeadamente os accionistas de referência, os pequenos

accionistas, os trabalhadores e até mesmo elementos sem

qualquer vínculo especial. Por outro lado, devem ser

evitados conflitos de interesses na relação entre os

administradores e a empresa e uma parte importante da

remuneração deverá estar dependente dos resultados

obtidos.

- Controlo: Deve existir uma estrutura de controlo interno

composta por elementos independentes da Administração

(Conselhos Fiscais, Comissão de Auditoria, etc.) que

assistam o próprio Conselho de Administração no

cumprimento das suas responsabilidades de prestação de

informação financeira, auditoria interna e externa, controlo

interno e aplicação dos códigos de conduta existentes.

Deste modo, os objectivos fundamentais de uma eficaz

governação, passará por:

Reforçar os direitos dos accionistas e a protecção dos

restantes stakeholders

Promover a eficiência e a competitividade das empresas;

Fomentar a confiança nos mercados de capitais;

Fomentar a estabilidade financeira e o crescimento

económico.

Contudo, continuam a existir problemas decorrentes da

articulação e de um trade-off adequado entre:

Administração com grande liberdade

Dificuldade de Controlo da Administração

“Custos de Agência”,

que tornam importante um reforço dos:

Mecanismos de fiscalização e controlo das

organizações.

A necessidade e a percepção da importância da função

Auditoria Interna no seio das empresas, tem obrigado à

alteração do paradigma existente: a realização auditorias

contabilísticas e financeira deixou de ter a exclusividade e deu-

se importância à realização de auditorias operacionais,

auditorias informáticas e auditorias de sistemas de informação;

passou-se da identificação de erros para a identificação de

perdas de oportunidades e para a formulação de

recomendações no sentido de ajudar a gestão a melhorar o

seu desempenho, na lógica de fornecer valor à organização.

Actualmente, é dada ênfase à recomendação mais do que ao

problema identificar o erro é só um terço do

caminho andado; os outros dois terços

correspondem à identificação da solução e à

capacidade de convencer os gestores

operacionais a participar na sua

implementação).

Neste contexto, a realização de follow-up’s (acompanhamento

das acções correctivas) é um aspecto essencial da auditoria

interna – de modo a ser um efectivo parceiro proactivo para a

implementação das recomendações.


http://www.knoow.net/cienceconempr/gestao/proprietario_accionista.htm

http://www.knoow.net/cienceconempr/gestao/empresa.htm



http://www.knoow.net/cienceconempr/gestao/empresa.htm

14


Torna-se também relevante reflectir no que concerne aos

Modelos de Regulação legal vs. Auto-regulação cujas

Características relativas à:

- Divulgação de

informação

insuficiente.

vs. - Total divulgação de

informação (transparência) é

suficiente.

- Criação de

obrigações e

responsabilidades.

vs. - Mercado avalia a

informação e julga (eficiência

do mercado).

- Lei vs. - “Códigos de Conduta”

- Obrigatoriedade vs. - Comply or Explain

Multas e

criminalização

vs. - Ausência de penalidades

No que se refere ao modelo de auto-regulação (ou modelo

Europeu) de governação, tem a seu favor a:

- Transparência;

- Facilita o acesso ao mercado;

- considera que o mercado é eficiente (preço);

- considera um adequado controlo dos custos (adaptação);

- “Comply or explain” basta;

- Não espartilha a actividade,

mas também pode argumentar-se que não protege

suficientemente os investidores e que o não “comply” não é

penalizado, conferindo alguma insegurança intrínseca ao

modelo. Deste modo, na envolvente actual, com a Globalização

dos mercados e benefícios de uma uniformização e

reconhecimento mútuo, tender-se-á para uma auto-regulação

mitigada ou mesmo uma regulação legal.

No âmbito da “governance”, permanecem questões para

reflexão:

Qual o equilíbrio entre Auto-regulação e Regulação

Legal?

Aumento da regulação legal versus acréscimo de

custos?

Conflitos de interesse e papel do CEO , articulação com

o do Chairman.

Responsabilidades dos administradores e definição dos

respectivos enquadramentos remuneratórios.

Estas questões de reflexão coexistem nem período económico

de crise e de grande contenção de custos, mas parafraseando

Albert Einstein… “Não pretendemos que as coisas

mudem se fazemos sempre a mesma coisa. A crise é

a maior bênção que pode suceder a pessoas e

países porque a crise traz progressos. A verdadeira

crise é a crise da incompetência. Sem crise não há

desafios; sem desafios a Vida é uma rotina. Sem

crise, não há mérito. Acabemos de vez com a única

crise ameaçadora que é a tragédia de não querer

lutar para superá-la”.

É com estas palavras de alento de Albert Einstein que vos

deixo com a esperança que esta jornada de trabalho seja

profícua para nós, profissionalmente, e para as nossas

Organizações.

o


15


Audire

Da incompetência na gestão, Manuel

Marques Barreiro; Consultor e Presidente do Conselho Geral do IPAI

Não é admissível que, nos dias de hoje ainda

haja alguém que se disponha aceitar a

responsabilidade de gerir organizações

empresariais ou instituições sem que possua

um mínimo de conhecimentos e sensibilidade

para adopção de um instrumento privilegiado

de auxílio à gestão – a auditoria interna.

Qualquer modelo de governação não será inteiramente

credível se não adoptar no seu funcionamento, um

sistema de monitorização do controlo interno com todas

as variáveis que estão associadas a esta função.

Por isso, é confrangedor constatar, ainda nos dias de

hoje, haver personalidades que se intitulam e actuam

como gestores, mas ignoram ou fingem desconhecer a

importância da auditoria interna. Contudo, essa

constatação ainda hoje é bem visível no mundo

empresarial português.

Essa ausência é as mais das vezes ditada pelo medo

ou por inexplicável precaução. A sistemática negação e

por vezes até, uma certa aversão ao controlo interno,

esconde a inépcia dos actores.

Essa desatenção é responsável, em primeira linha, por

recorrentes erros de gestão os quais, quantas vezes,

põem em causa os maus resultados da actividade.

A todos os insinuantes gestores deste país, sobretudo

os que em consecutivas provas de ingenuidade

demonstram a vacuidade do seu profissionalismo, peço

um momento de reflexão. Estou a dirigir-me aos que

são o fruto ácido de meras e fugazes ligações

partidárias e que se fazem passar por profissionais

competentes.

A sua competência, diga-se de passagem, releva do

seu interesse em abocanhar benesses e mordomias

que, em qualquer outro país não teria cabimento.

Vem todo este arrazoado a propósito da incompetência

da gestão quando a auditoria interna não faz parte do

seu portfólio.

Nesta perspectiva, como pode uma organização mostrar

que é transparente, que tem uma actuação ética

satisfatória, que previne os riscos associados à gestão,

que tem um feedback permanente sobre a eficácia do

desempenho do seu governo corporativo, se não acolhe

os bons ofícios da auditoria interna?

Essa má qualidade da gestão é, por conseguinte, a

parte mais visível de grande parte do nosso tecido

empresarial, o qual se vai pautando por outros

princípios visando outras finalidades.

16


Por contraponto à situação acima descrita, temos entre

nós comprovadamente, os melhores operacionais.

Profissionais cujos níveis de produtividade,

tradicionalmente baixos, porque o seu enquadramento e

comando deixa muito a desejar.

Veja-se, a título de exemplo, o que noutros países

acontece quando essa mesma gente consegue, num

ápice, cumprir metas, superar objectivos e distinguir-se

positivamente entre os melhores. Os exemplos são aos

montes.

Alguém se interroga ou se tem preocupado em corrigir

tal trajectória de incompetente comando? Claro que

não!

Agora uma palavra para as escolas de gestão. Hoje

constatamos que tem havido uma preocupação no

ensino da auditoria interna. É de louvar, pois é aí que

tudo começa.

Contudo nem toda a matéria programática se adequa à

realidade das situações reais.

Seria interessante que os conteúdos se

aproximassem das matérias que fazem parte do

programa para a obtenção da certificação em

auditoria interna – CIA.

Isso permitiria aos potenciais auditores ou profissionais

de funções afins, nomeadamente os futuros gestores de

topo, visualizarem e entenderem melhor como se

desenrola a aderência à realidade das situações em

acção.

Nos dias que vão correndo, uma administração

que descure determinados meios de controlo

interno, principalmente o controlo dos

controles - a auditoria interna -, capazes de

proporcionar à organização a garantia da

qualidade da gestão, não promovendo as

formas mais adequadas para que possa actuar

mediante medidas correctivas em tempo útil,

está condenada ao fracasso.

É incompetente.

A competência na gestão é, por conseguinte,

uma abrangência.

É um abarcar de conhecimentos, detenção de uma

capacidade para dominar um conjunto de variáveis

(dependentes e independentes), que vão confluindo

todas para o mesmo fim.

Centrar a sua atenção apenas naquelas que lhe

mereçam mais simplicidade ou alguma simpatia, em

detrimento de outras cuja utilidade nem sempre muito

evidente, mas fundamental, é deitar os resultados da

sua acção ao fracasso.

Quanto mais exigentes forem os gestores na sua

preocupação dominante pelo ambiente do controlo

interno com todas as suas valências, tanto maiores

serão os níveis de eficiência e eficácia da sua

actividade, estamos certos disso.

Cumulativamente e por acréscimo maior será a

motivação de todo o tecido humano e a consequente

avaliação global.

Numa altura em que tanto se fala de auditorias, é

importante reforçar e clarificar quer o seu papel, quer o

estatuto que, por natureza lhe cabe.

Muitas vezes este tipo de discurso parece emergir de

situações reactivas, numa tentativa de explicar

situações anómalas que o acaso indiciou.

Não nos parece ser o mais importante, como é óbvio.

Por tudo isto, é altura de aceitar a auditoria interna

como factor proactivo.

É uma forma facilmente justificável de garantir

o retorno do investimento que nela foi feito.

E ao dizemos investimento e não custo, podem

crer que não é por acaso.

Da incompetência na gestão

17


Auditoria de Sistemas

Análise de dados-Técnicas gerais para

detectar e prevenir erros, não intencionais ou

premeditados, nos dados de uma organização,

Drumond de Freitas – Consultor EQUICONSULTE, SA

As ferramentas de extracção e análise de dados

permitem garantir e evidenciar a total integridade dos

dados em análise, de um modo rápido, eficiente e

eficaz. Permitem, assim, garantir a precisão de

cálculo, a não existência de falhas de registos bem

como a não existência de duplicação de registos, de

forma interactiva e rápida.

Porém, a utilidade de qualquer uma das técnicas irá

depender do tipo de análise de detecção de erros da

investigação. A combinação de várias técnicas será a

maior parte das vezes a solução necessária para

detecção dos eventuais erros gerados na actividade. Os

analistas devem ter conhecimento das várias técnicas

disponíveis e quais as mais adequadas e em que

circunstâncias devem ser aplicadas em cada situação.

Perante milhões de transacções a maioria dos

erros, mesmo aqueles de baixa complexidade, é de

muito difícil detecção de forma manual. As ferramentas

de extracção de dados e de emissão de relatórios são,

nesta perspectiva, ferramentas críticas na prevenção e

detecção dos erros.

Estes programas informáticos oferecem uma grande

variedade de funcionalidades orientadas para perceber e

analisar os dados. A grande maioria destas técnicas é

extraordinariamente útil no dia-a-dia do analista e é

também facilmente aplicável na identificação de

desperdícios e mesmo fraude. As técnicas apresentadas

nos parágrafos seguintes são baseadas nos utilitários da

ferramenta IDEA (Interactive Data Extraction Analisys) e

darão uma breve visão sobre um alargado número de

técnicas de análise de dados.

Análises Estatísticas

Obter, de forma expedita e rápida, informação estatística

sobre o universo de dados fornece uma visão global dos

mesmos antes de iniciar a análise mais detalhada. Pode

evidenciar anomalias em campos numéricos, campos

que contêm datas ou horas. Auxilia o analista a orientar

o seu trabalho, planear novos testes e obter indicação da

materialidade envolvida.

Esta funcionalidade informa sobre a média, desvio

padrão, total de valor absoluto, valores máximo e

mínimo, etc. para cada campo numérico, datas válidas e

inválidas, data mais cedo e mais tarde, itens em cada

mês, itens em cada dia, dia mais comum, mês mais

comum, etc. para cada campo do tipo data e finalmente

horas válidas e inválidas, horas mais cedo e mais tarde,

hora mais comum, minuto mais comum, segundo mais

comum, número de registos antes e depois do meio-dia,

número de horas superiores e inferiores a 1 dia, etc. para

cada campo do tipo hora.

18


Exemplo: Numa análise de cartões de compras o

analista tem imediatamente disponível as transacções de

maior valor e de menor valor, valor médio das

transacções, mês e dia da semana com maior número

de compras, valor médio das compras por transacção.

Filtros / Visualização de Critérios

O filtro isola os registos que satisfazem um critério

imposto pelo analista. Após visualizar os registos o

investigador pode estreitar a consulta aplicando novos

critérios ainda mais restritivos ou aprofundar detalhes.

Esta técnica foca a atenção do analista nas transacções

relevantes reduzindo o tempo de análise.

Exemplo: A lista de transacções detalhadas das facturas

do mês „06‟ obtida da lista de transacções do 1º

semestre. O filtro permite isolar as transacções do

período em análise colocando todas as restantes fora do

foco da análise.

Expressões / Equações

Esta facilidade permite aplicar novas equações sobre

valores chave ou testar relações lógicas para verificar

cálculos e relações internas da aplicação que gera os

dados. O analista pode confirmar os valores utilizando

uma expressão que recalcula as quantias em análise

assinalando os registos onde os valores recalculados

sejam diferentes dos valores armazenados na base de

dados.

Exemplo: No teste sobre facturação o analista pode

multiplicar o preço unitário do item pela quantidade e

comparar o resultado com o valor debitado em cada

linha da factura.

Detecção de falhas de sequência (gap)

Este teste é de grande importância e permite a pesquisa

de itens em falta numa série ou sequência. Se as

transacções devem obedecer a uma determinada ordem

ou sequência esta técnica pode rapidamente identificar

falhas na sequência. Todas as transacções podem ser

verificadas para garantir que todos os itens foram

contabilizados ou registados.

Exemplo: Números de factura em falta, números de

cheques ou outros quaisquer itens pré-numerados em

falta podem auxiliar o analista a orientar os seus

recursos para detectar uma fraqueza do sistema de

controlo ou potencial fraude.

Detecção de duplicados

Esta técnica permite isolar os registos duplicados sobre

o campo ou campos chave.

Exemplos: Num ficheiro de facturas de vendedores a

existência de número duplicados pode indicar que as

facturas foram pagas duas vezes. Esta situação poderá

ser acidente ou indiciar fraude, dependente da

frequência com que ocorre, embora não deva ser o único

indicador.

Estratificação

A estratificação dos dados distribui as transacções por

intervalos ou estratos em função do valor de cada

transacção. Esta função conta o número de transacções

que caem em cada estrato. Totaliza o valor das

transacções por estrato e fornece adicionalmente variada

informação estatística sobre cada estrato

nomeadamente percentagem de transacções por estrato

e percentagem de valor por estrato.

Exemplo: Para seleccionar um conjunto de itens em

armazém para efeito de inspecção física podemos

facilmente estratificar as existências e concluir que

inspeccionando 5% dos produtos analisamos por

exemplo 75% do valor das existências. A listagem dos

produtos a inspeccionar é obtida automaticamente.

Pivot Tables

A tabela de análise multidimensional é um método que

permite visualizar os dados e eventuais situações de

excepção numa tabela normalmente bidimensional, na

qual se analisa duas ou mais dimensões dos dados.

Análise de dados -Técnicas gerais para detectar e prevenir erros, não intencionais ou premeditados, nos dados de uma organização

19


Exemplo: Distribuir as transacções dos pagamentos a

cada empregado numa tabela bidimensional onde em

ordenadas estão os empregados, em abcissas os tipos

de abono (vencimento, horas extras, etc.) e a tabela é

preenchida com os valores pagos a cada funcionário por

tipo de abono.

‘Aging’

Nas áreas financeiras, armazéns e noutros tipos de

dados é muitas vezes útil calcular o número de dias que

uma transacção financeira demorou a ser paga ou o

número de dias que um determinado item de armazém

permaneceu sem ser movimentado. O número de dias

entre duas datas pode ser facilmente calculado e

utilizado para determinar falha de fundos, ineficiências

nas contas a pagar ou nas contas a receber e numa

grande variedade de outras transacções de excepção.

Exemplo: A análise de contas a receber pode gerar

um relatório que calcula o número total e o valor de cada

transacção cujo número de dias para além da data de

vencimento cai dentro dos intervalos definidos pelo

analista, normalmente, 1-29, 30-59, 60-89 e maior que

90 dias.

Juntar / Comparar Bases de Dados

Juntar (Join) e Comparar (Compare) permite cruzar

dados de diferentes bases de dados ou ficheiros

evidenciando eventuais transacções não comuns ou

excepcionais. Este processo transporta os campos de

cada uma das bases de dados em análise para uma

mesma base de dados destino colocando-os disponíveis

para serem analisados em conjunto.

Existem diferentes modos de cruzar a informação.

Cruzamento perfeito - que gera num ficheiro resultado os

registos cuja chave de cruzamento existe

simultaneamente nas bases de dados em análise,

cruzamento dos que só existem numa das bases de

dados e não existe na outra e o cruzamento de todos

com todos. Assim, o analista antes de executar o

cruzamento dos dados deve compreender o significado

do que irá obter com cada uma das opções de

cruzamento disponíveis e utilizar as que o levam a atingir

o objectivo pretendido.

Exemplo: Validar as guias de remessa emitidas pelos

armazéns por forma a garantir que foram todas

facturadas e que as respectivas facturas foram

contabilizadas.

O analista tem de cruzar o ficheiro das guias de remessa

com o ficheiro de facturas emitidas e verificar que todas

as guias já têm a factura emitida com a correspondente

quantidade fornecida facturada.

Depois obter os movimentos de contabilização das

facturas e voltar a cruzar esta base de dados com as

facturas emitidas.

Análise de Tendências

A análise de tendências compara a informação de vários

anos e/ou localizações para identificar eventuais

situações excepcionais ou fora do padrão. Análises

realizadas nas mesmas áreas funcionais são ideais para

aplicar esta funcionalidade. Os dados do ano corrente

podem ser comparados com a tendência dos anos

anteriores e as áreas com desvios significativos sujeitas

a análises mais detalhadas.

Exemplo: Comparação da taxa de devolução por

vendedor, devido a defeitos, poderá indicar um potencial

problema, no qual alguém está a comprar com qualidade

inferior.

Correlação

A correlação é uma técnica para comparar dois

conjuntos de dados numéricos. Uma correlação elevada

(próxima de 1) significa que valores elevados num dos

conjuntos de valores implica valores elevados no

segundo conjunto de valores e baixos valores num dos

conjuntos de dados implica baixos valores no outro.


20


Exemplo: As vendas médias mensais foram calculadas

para uma cadeia de restaurantes e depois foi calculada a

correlação entre as vendas de cada restaurante

individual e as vendas médias. Uma correlação baixa

indica um desvio da norma que poderá implicar uma

auditoria ao restaurante.

Simulação Paralela

Pode ser utilizada para verificar a lógica interna de uma

qualquer sub-área de um sistema de informático

simulando com a ferramenta de análise de dados o

funcionamento dessa área.

Exemplo: Na posse de um ficheiro de existências de

armazém detalhadas por artigo, referentes ao início de

um período, adicionando um ficheiro de movimentos de

artigos detalhados do período em análise, obtém-se com

alguma facilidade um ficheiro de existências no final do

período. Comparando este ficheiro com o gerado pela

aplicação de gestão de existência em produção

identifica-se eventuais desvios no funcionamento da

aplicação.

Amostragem

A técnica da amostragem selecciona um subconjunto de

transacções para análise. Estas ferramentas suportam

uma variedade de métodos estatísticos incluindo

amostragem aleatória, sistemática, amostragem aleatória

por estrato, método das unidades monetárias, método

clássico, amostragem de atributos (beta risk control, alfa

e beta risk control).

Exemplo: No ficheiro de vendas aplicar o método das

unidades monetárias definindo na fase de planeamento a

dimensão da amostra, indicando o grau de confiança, o

erro admissível e o erro esperado.

Gerar o ficheiro de amostra e recolher os valores

registados. Fazer avaliação dos erros e emitir um

parecer baseado na amostra.

Conclusão:

No nosso dia-a-dia estes métodos terão de ser

combinados entre se e reaplicados várias vezes sobre

diversos conjuntos de dados para concluir com sucesso

muitas das análises mais comuns numa organização.

No entanto, não podemos deixar de voltar a referir que

muitos dos testes executados pelos analistas, auditores,

contabilistas e todos os que necessitam de viajar pelo

universo dos dados de uma organização podem e

devem ser sempre realizados numa perspectiva de

automatização dos mesmos. Isto é poder rapidamente

voltar a repetir o teste carregando meramente num botão

do computador.

O IDEA é uma ferramenta excelente também nesta

perspectiva.

A automatização de tarefas baseadas em ferramentas de

análise de dados tais como o IDEA, utilizando o

IDEAScript, introduz enormes benefícios na actividade

diária do contabilista, auditor, inspector ou analista dos

quais destacamos os seguintes:

• Maior rapidez na execução dos teste construídos

sobre scripts,

• Menor número de erros,

• Maior consistência na realização das análises

sobre os dados a auditar,

• Maior interesse na execução da tarefa por parte

do utilizador porque estará focado numa única operação,

• Não haverá a necessidade de recordar todos os

passos necessários para executar um determinado teste

porque estes estarão registados no script e serão

executados sem falhas,

• Maior facilidade em justificar acções tomadas

tendo como base a consistência dos scripts utilizados


21


Prémios IPAI

1ºPrémio

22


2º Prémio

Prémios IPAI

23


Prémios IPAI

24


3º Prémio

Prémios IPAI

25


Pode consultar os trabalhos premiados em http://www.ipai.pt/gca/index.php?id=166

Prémios IPAI


26


Controlo Interno, Risco e

Auditoria Interna, João Revés - SSP Partner

SSP, SA, authorised channel distribution partner da ACL para Portugal,

joã[email protected]; www.ssp-sa.com

Recentemente, num fórum on line, discutia-se a melhor forma de definir, perante leigos, o que é Auditoria Interna. Alguém adiantou

uma imagem interessante que não só define Auditoria Interna mas também a relação com a função de Controlo Interno e de Gestão

de Risco.

Trata-se da imagem da chuva e do guarda-chuva: o guarda-chuva representa o controlo interno que protege a empresa (quem segura

o guarda-chuva) da chuva (que representa os riscos a que a empresa está exposta). A Auditoria Interna é responsável por

inspeccionar o guarda-chuva, por validar que está em boas condições e se existem falhas que afectem a sua missão. Com base nesta

análise, a Auditoria Interna informa a empresa da capacidade do guarda-chuva a proteger e em última análise, da probabilidade de se

molhar. Alguém acrescentou ainda: quando quem segura o guarda-chuva se apercebe do potencial impacto das ameaças (da chuva),

de que direcção vêm as maiores gotas e consequentemente define o tamanho e resistência do guarda-chuva e o orienta em

determinada direcção, então, a empresa está a exercer a função de Gestão de

Risco.

Pareceu-me uma muito boa imagem. Para começar. Claro que na realidade, as

empresas são organizações complexas e o ambiente económico, regulador e social

também e muitas vezes as coisas não são assim tão a preto e branco. Nas

instituições financeiras, até por imperativos regulamentares, estas funções estão

autonomizadas e a sua missão bem definida. Nas outras organizações as fronteiras

e responsabilidades são mais difusas. Por vezes as funções de Controlo Interno

e/ou de Gestão de Risco nem existem formalmente. Muitas vezes é a própria

Auditoria Interna que a desempenha. Creio que não existe uma receita que sirva a

todos. Dependendo da dimensão da organização, natureza e complexidade do

negócio e até de onde, historicamente, estas funções têm sido desempenhadas,

podem existir diversos desenhos organizacionais em departamentos autónomos ou

não.

“o guarda-chuva representa o

controlo interno que protege a

empresa (quem segura o guarda-

chuva) da chuva (que representa os

riscos a que a empresa está

exposta). A Auditoria Interna é

responsável por inspeccionar o

guarda-chuva, por validar que está

em boas condições e se existem

falhas que afectem a sua missão.”

mailto:joã[email protected]

http://www.ssp-sa.com/

27


O que parece irrefutável, é que nos dias que correm, é vital que

as empresas desempenhem estas funções. O ambiente

económico instável e recessivo, os diversos escândalos

empresariais e até as medidas de austeridade que Portugal

enfrenta, impõem uma maior responsabilidade perante o

Mercado e os stakeholders.

Os investidores e os accionistas necessitam de garantias que a

Gestão tem uma percepção correcta dos riscos a que a

empresa está exposta. Não é aceitável que seja de outra forma.

A única forma credível de proporcionar tal garantia é

demonstrando que:

Existe um conhecimento de que riscos afectam a

companhia;

Esses riscos estão (bem) avaliados, isto é, as eventuais

consequências estão mensuradas;

Estão perfeitamente identificados os processos de

negócio onde esses riscos se manifestam;

Para cada risco, existe um ou mais controlos

implementados para o mitigarem;

O grau de efectividade desses controlos é monitorizado

de modo a permitir tomar medidas correctivas quando

se justificarem.

Ou seja, construímos o nosso “guarda-chuva”! Se de forma

transparente for demonstrado que esse “guarda-chuva” existe e

que ele é regularmente “inspeccionado”, não temos a garantia

de que estamos imunes a riscos mas temos a garantia de que

temos perfeito conhecimento de que riscos são esses, como

podem afectar a organização e que existem controlos

implementados para minimizar o seu impacto ou probabilidade

de ocorrência.

Este é o tipo de informação que caracteriza empresas robustas e com uma Gestão capaz de antecipar eventuais problemas e

remediá-los em tempo útil. É o tipo de informação que torna credíveis os planos de negócios, anúncios de prosperidade futura e de

rentabilidade de investimentos. Consequentemente é o tipo de informação que

tranquiliza os investidores, que dá maiores garantias de não existir nenhuma surpresa

desagradável por descobrir. Logo existe maior propensão para investir nestas

empresas. Os seus clientes, fornecedores, trabalhadores e reguladores podem estar

mais confiantes quanto à sua sustentabilidade e sua solvabilidade.

A estrutura organizacional

Mas quem deve ter a responsabilidade destas funções? Devem ser autónomas?

Idealmente sim. Mas nem sempre isso é possível e não é obrigatório que assim seja.

Nem todas as empresas têm dimensão e capacidade (ou disponibilidade) para investir em departamentos autónomos e formalizados

de Gestão de Risco e de Controlo Interno.

No nosso entender, existem diversos formatos possíveis e legítimos. Apenas dois factores são incontornáveis:

O primeiro é que exista um grupo de trabalho que defina o

modelo do sistema de controlo interno, o risk assessment e as

metodologias de testes e monitorização dos controlos mas que

a implementação desses controlos e a responsabilidade de os

testar seja alargada às áreas de negócio e aos process owners.

Se por um lado são necessárias competências específicas para

desempenhar estas funções, por outro, é impraticável que seja

este grupo a fazer o risk assessment e a executar os testes aos

controlos. Por duas ordens de razões: de know how e de

eficiência.

Razões de know how - Quem conhece os processos da

organização, os riscos que eles contêm e em que

medida estes podem afectar a empresa são as

pessoas do negócio e os process owners em

particular, logo é a eles que cabe o risk assessment.

Existem controlos que exigem conhecimentos

específicos para serem testados. Por exemplo os

controlos ligados a aplicações ou a equipamentos

informáticos. Mas os controlos de negócio também

exigem conhecimentos específicos.

...não será surpreendente que o

número de controlos atinja com

alguma facilidade, as centenas ou

mesmo alguns milhares..

Controlo Interno, Risco e Auditoria Interna

28


Podem ser conhecimentos financeiros, de engenharia

industriais, químicos ou outros, conforme a sua

natureza e a actividade em causa. A

multidisciplinaridade é tal que é impossível ao grupo

de trabalho reunir tanta diversidade de competências.

Razões de eficiência – numa grande empresa, com um

razoável grau de maturidade organizacional, não será

surpreendente que o número de controlos atinja com

alguma facilidade, as centenas ou mesmo alguns

milhares. Ainda que estes sejam testados somente

uma vez anualmente, o grupo de trabalho não tem

possibilidade de dispor dos recursos humanos

necessários a tal tarefa. É assim crucial que as áreas

de negócio se envolvam e sejam responsáveis pela

execução dos testes aos controlos.

O segundo é que a Auditoria Interna mantenha a independência

relativamente à função de controlo interno e/ou gestão de risco.

Pela razão que é a ela, Auditoria Interna que cabe a função de

“inspeccionar o guarda-chuva”. É a ela que cabe proporcionar à

Gestão a assurance de que o sistema de controlo interno é

eficaz e desempenha a sua função adequadamente. É a ela

que cabe garantir que a percepção que a Gestão tem dos

riscos que afectam a empresa, e dos respectivos mecanismos

de mitigação implementados, é a correcta.

Mas o papel da Auditoria Interna não se fica por aqui. A

Auditoria Interna está numa posição privilegiada para

aconselhar a Gestão quanto aos riscos mais relevantes, sua

mensuração e metodologias de implementação e gestão do

sistema de controlo interno. Quanto maior for o grau de

automatização da actividade da Auditoria Interna, de utilização

de tecnologias de audit analytics e de auditoria contínua, maior

é o contributo para a gestão de risco da empresa.

Ferramentas

Actualmente existem algumas ferramentas que facilitam a

tarefa das organizações que pretendam implementar um

sistema de controlo interno e de gestão de risco. Desde logo os

frameworks mais divulgados e aceites, o ERM Integrated

Framework da COSO ou o sustentado pela ISO 31000. Estes

frameworks constituem uma base de trabalho clara, testada e

comprovada, pronta a ser customizada com as especificidades

de cada organização.

Existe também um conjunto de aplicações informáticas

disponível no mercado que podem alavancar a implementação

destes conceitos.

Existem aplicações de Governance, Risk & Compliance (GRC)

que permitem implementar os conceitos subjacentes àqueles

frameworks. Algumas das funcionalidades típicas destas

aplicações são:

Representação da estrutura organizacional da empresa

e os seus processos de negócio. Nos processos, são

relacionados os riscos e respectivos controlos. Para

cada risco é registada uma avaliação baseada no

impacto e na probabilidade da sua ocorrência. Os

controlos mitigam os riscos a que estão associados,

dependendo entre outros factores, da sua efectividade.

Gestão dos testes aos controlos - existe um plano de

testes que regista o responsável pelo teste, a data e

frequência da sua realização, os procedimentos do

teste e os seus critérios de sucesso. Na data do teste

o seu responsável é notificado.

Monitorização, através de relatórios e de gráficos

intuitivos, dos níveis de risco e da efectividade dos

controlos e de outros indicadores importantes para o

sistema de controlo interno.

Identificação e classificação dos riscos

Identificação e documentação dos controlos

Mapeamento para os processos de negócio Executar o plano de testes dos controlos

Detectar deficiências

Implementar medidas correctivas

Monitorização – relatórios e dashboards

Identificar áreas com maior risco

Identificar áreas com controlo insuficiente


29


Deixamos aqui um exemplo de uma aplicação de GRC, a easy2comply (www.easy2comply.com).

Do lado esquerdo do écran, podemos ver a estrutura organizacional e do lado direito os riscos e controlos associados ao processo

sob consulta.

Um exemplo do plano de testes de um controlo


http://www.easy2comply.com/

30


E um exemplo de um dos gráficos disponíveis com capacidades de drill down e drill up.

Existem também aplicações informáticas para implementação

de sistemas de Continuous Control Monitoring que permitem

implementar controlos que interagem com aplicações

informáticas ou vivem de dados informáticos. Alguns exemplos:

Garantir que os clientes só são admitidos quando é

fornecido um NIF válido.

Assegurar a segregação de funções entre as

actividades de procurement e de pagamento a

fornecedores.

Detectar facturas ou pagamentos duplicados

Estes controlos geram um conjunto de casos suspeitos que

devem ser analisados. Um módulo de gestão de excepções é

fundamental para suportar essa análise que seguindo um

conjunto de passos predefinidos, determinarão se se tratam de

falsos positivos ou de irregularidades.

Um exemplo de uma aplicação de Continuous Control

Monitoring é o ACL AuditExchange (www.acl.com).

Conclusão

A implementação de um sistema de controlo interno eficaz traz

um activo importantíssimo para qualquer organização:

credibilidade perante os stakeholders. Tudo se resume a essa

credibilidade, que na actual conjuntura económica e social não

é fácil de desfrutar. Proporcionar a garantia de que a empresa

está a ser bem gerida, é esse o seu principal propósito. Existe

no entanto um conjunto de benefícios associados dos quais

destacamos a emergência na organização de uma risk &

control awareness. É um benefício de valor incalculável, pois

trata-se de uma alteração na cultura organizacional e estas são

naturalmente duradouras. Não se perdem com uma mudança

da Gestão ou com uma nova restruturação organizacional. Têm

tendência a persistir e assim contribuir para uma melhor gestão

e sustentabilidade da empresa.

Por último, um alerta. Por muito boas intenções, competências

e ferramentas que caracterizem um projecto desta natureza,

ele só terá sucesso se se conseguir imprimir uma atitude de

responsabilização de modo transversal na organização. É

fundamental que todos entendam que têm um papel a

desempenhar e uma responsabilidade para com o controlo

interno e a gestão de risco.

A informação que alimenta o sistema de controlo

interno deve ser fidedigna e responsável, sob pena

de adulterar os seus resultados e colocar em causa

todo o esforço que a organização aplicou.


http://www.acl.com/

31



Gestão de Riscos de Tecnologias de Informação – a framework Risk IT, -

José Tinoco, CISA, CIA, CFE, ISO 27001 LA, ISACA Lisbon Chapter Industry Officer

O dia-a-dia das empresas é cada vez mais pautado pela gestão das diversas tipologias de riscos – como o risco de mercado, risco de

crédito ou o risco operacional – sendo cada vez mais frequente a sua incorporação nos processos de decisão das organizações, muito

em especial nas que operam em sectores como o financeiro ou o segurador. No entanto, muito embora se trate de uma tipologia de

risco com influência directa nos negócios (cada vez mais automatizados e dependentes de Informação), o risco de Sistemas de

Informação continua a ser relegado para áreas técnicas, com pouca visibilidade para a gestão.

Para endereçar este desafio das organizações, a ISACA desenvolveu uma framework a que chamou Risk IT. Com este artigo

procuraremos apresentar a framework e demonstrar as vantagens da sua adopção pelas organizações, quer seja de forma isolada ou

em articulação com as demais frameworks da ISACA como sendo o CobiT ou o Val IT.

Visão geral da framework Risk IT

A framework Risk IT surgiu para colmatar a necessidade de alinhamento dos riscos de Tecnologias de informação com os objectivos

globais da organização, identificando os princípios basilares para uma gestão efectiva do risco de Tecnologias de Informação.

Esta framework complementa a framework CobiT na medida em que, enquanto o CobiT

disponibiliza um conjunto de objectivos de controlo associados a processos nas áreas de

IT, o Risk IT é responsável pela identificação e gestão dos riscos de IT: ou seja, se o

CobiT é o automóvel, o Risk IT é o mapa que permite conduzi-lo até ao destino.

Esta framework preenche as lacunas de outras mais genéricas de gestão de risco (ex.

COSO ERM, ISO 31000) e ainda de outras frameworks mais detalhadas, tipicamente

relacionadas com segurança de informação.

O Risk IT é composto por dois documentos: o Risk IT Framework e o Risk IT Practitioner

Guide, disponíveis em http://www.isaca.org para utilizadores registados.

O modelo de processos

O documento Risk IT Framework descreve os princípios

basilares da framework e organiza-os num modelo de

processos para a gestão do risco de TI, de forma similar ao

modelo de processos descrito na framework CobiT. Cada

processo Risk IT é caracterizado pelas seguintes

componentes:

Actividades-chave;

Responsabilidades;

Fluxos de informação entre processos; e

Gestão da performance do processo (objectivos e

métricas).

Figura 1 - Complementaridade do Risk IT com CobiT e Val IT. Fonte: ISACA


http://www.isaca.org/

32


O modelo está dividido em três domínios, cada qual contendo três processos:

Domínio Processo

1. Governance do

risco

1.1 Estabelecer e Manter uma Visão Comum sobre o Risco

1.2 Integrar com Enterprise Risk Management (ERM)

1.3 Incorporar o risco nas decisões de negócio

2. Avaliação do risco 2.1 Obtenção de dados

2.2 Análise do risco

2.3 Manutenção do perfil de risco

3. Resposta ao risco 3.1 Comunicação do risco

3.2 Gestão do risco

3.3 Reacção a eventos

Tabela 1 - Domínios e processos Risk IT

Para os três domínios, o documento apresenta também um

modelo de maturidade, permitindo a avaliação das seguintes

características:

Conhecimento e comunicação;

Responsabilidade;

Definição e medição de objectivos;

Políticas, standards e procedimentos;

Experiência; e

Ferramentas e automatismos.

Manual prático para a implementação

O Risk IT Practitioner Guide é um documento de apoio à

framework que apresenta exemplos de técnicas para

descrever, comunicar e avaliar o risco de TIs, bem como

detalhe adicional sobre a forma de abordar os conceitos

inerentes ao modelo de processos. Os conceitos e técnicas

que são explorados em maior detalhe incluem:

A construção de cenários de risco, tomando por base

um conjunto genérico de cenários de risco de TI;

A construção de um mapa de risco, usando técnicas

que descrevem o impacto e a frequência dos

cenários;

A construção de critérios de impacto de acordo com a

sua relevância para o negócio;

A definição de Key Risk Indicators (KRIs); e

A utilização do Cobit e do Val IT para mitigar risco e as

ligações entre estas três frameworks.

Case Study - MetLife melhora a gestão de risco

Sobre a empresa

A MetLife, Inc. (www.metlife.com) é uma companhia líder mundial em seguros de vida, capitalização, acidentes pessoais e benefícios

a colaboradores de empresas, servindo mais de 90 milhões de clientes em mais de 60 países.

Enquadramento e benefícios do Risk IT

A MetLife tem programas robustos de gestão de risco

operacional e está focada na melhoria contínua de forma a

garantir o melhor nível de protecção possível. A gestão do

risco operacional nunca foi tão importante como actualmente

e, como líder na indústria seguradora, a MetLife considera

como fulcral a adequada gestão dos riscos dos seus clientes,

stakeholders e do seu risco reputacional.

Muito embora todos os negócios estejam expostos a algum

nível de risco, foi o cuidado prestado pela MetLife na gestão

dos riscos da sua actividade que fizeram destacar esta

empresa face à concorrência.

A implementação de processos de gestão de risco de TI e o

facto de estes estarem embebidos nos processos de negócio

permitiu à Metlife reduzir as perdas operacionais, garantir

eficiência nos seus investimentos, reagir rapidamente às

mudanças no ambiente de negócios e concentrar recursos nas

áreas de alto risco.

Desta forma, quando a ISACA lançou a versão draft da

framework Risk IT, os gestores de risco da MetLife

compararam esta framework com as práticas de gestão de

risco de TI que usavam, com o objectivo de identificar áreas

de melhoria para os seus programas de gestão de risco.

Gestão de Riscos de Tecnologias de Informação – a framework Risk IT

33


Aquando da publicação do draft final da framework, os

profissionais de gestão de risco de TI da Metlife utilizaram os

documentos de forma a criar uma framework específica de

gestão de risco.

Muito embora esta framework da ISACA fosse de fácil

entendimento pelos técnicos de gestão de risco, a framework

da Metlife utilizou terminologia interna, resumiu algumas áreas

e detalhou outras, de modo a que o documento fosse

facilmente entendido e utilizado em toda a companhia.

Esta versão feita “à medida” permitiu à Gestão compreender,

avaliar e comunicar de forma consistente todos os aspectos

da gestão de riscos de TI pela empresa, assegurando a

ligação dos riscos de TI e a sua ligação às actividades

operacionais do negócio.

De forma semelhante à framework Risk IT, a framework

específica da MetLife agrupou os processos em três domínios

(Governance do risco, Avaliação do risco e Resposta ao

risco), detalhando cada processo em actividades cuja

implementação permite alcançar os objectivos de cada um

destes domínios.

Adicionalmente, foi desenvolvida uma matriz de

responsabilidades (RACI) para cada actividade e métricas,

que podem ser usadas para monitorizar as actividades de

gestão de risco e o nível de conformidade com as políticas e

standards de gestão de risco.

Após elaborarem o draft da Framework, os gestores de risco

de TI, em coordenação com a Auditoria Interna, realizaram

uma análise da maturidade de forma a identificar processos e

actividades prioritários para as acções de melhoria.

O Grupo de Gestão de Risco de TI e Compliance criou um

road map de melhoria a três anos com o foco na convergência

de actividades de gestão de risco.

Esta estratégia permitiu evoluir no sentido da uniformização

dos processos e da diminuição de redundâncias,

incrementando a eficiência e eficácia dos processos.

A supervisão da execução do road map ficou a cargo de um

grupo composto pelas aras de Gestão de Risco Operacional,

Auditoria Interna, Gestão de Risco de TI e Compliance.

Por último - e factor crítico de sucesso da iniciativa -

o plano foi apresentado à Comissão de Auditoria e à

Gestão de topo de TI, de forma a obter o patrocínio

aos esforços de melhoria contínua.

Planos para o futuro

O Grupo de Gestão de Risco de TI e Compliance da MetLife

planeia utilizar a MetLife IT Risk Management Framework de

forma a avaliar anualmente a maturidade dos processos,

actualizando de forma contínua o road map com base nos

resultados da análise, nos requisitos regulatórios, nos

recursos disponíveis e nos objectivos de maturidade dos

processos que sejam determinados pela Gestão.

Conclusão

Com o framework Risk IT a ISACA disponibiliza uma

ferramenta valiosa que, muito embora tenha uma solidez

teórica baseada nos modelos comummente aceites – COSO,

ISO 31000 – tem características muito práticas e adaptáveis a

todas as organizações.

O modelo foi desenhado para ser adaptado aos requisitos de

cada organização e os processos propostos são adaptáveis à

gestão de riscos de TI e não só.

O Risk IT é um útil e pragmático “livro de receitas”

para gerir eficazmente o risco em qualquer

organização.

Informação extraída de materiais disponibilizados pela ISACA no site http://www.isaca.org, acedido em 17 de Maio de 2011. Tradução

e adaptação da responsabilidade do autor.

Gestão de Riscos de Tecnologias de Informação – a framework Risk IT

http://www.isaca.org/

34


http://www.apee.pt/site/

Partes interessadas – ISO 26000- Mário Parra da Silva, Empresário e

Presidente da Associação Portuguesa de Ética Empresarial

A RS, segundo a ISO 26000, repousa sobre o

envolvimento das “partes interessadas” (PI), expressão

portuguesa para “stakeholders”. Antes de mais em que

acepção usamos estas palavras? Como se definem

estes conceitos?

Nos “Termos e Definições”, pode ler-se:

2.20

parte interessada

pessoa ou grupo que tem interesse em qualquer

decisão ou actividade da organização (2.12)

2.21

envolvimento de parte interessada

actividade promovida para criar oportunidades de

diálogo entre uma organização (2.12) e uma ou mais

das suas partes interessadas (2.20), com o objectivo

de proporcionar uma base de informação para as

decisões da organização

Notemos antes de mais a amplidão do conceito de

PI. Pessoas, individuais ou colectivas, formais ou

informais, que tenham interesse na organização,

seja porque de algum modo lhes é útil, ou porque

são afectados pelas suas decisões.

Já o envolvimento é explicitamente relacionado com diálogo

que proporcione informação para as decisões da organização.

Para uma grande organização, com operações em vários

domínios de actividade, geograficamente dispersa, operando

sob diferentes quadros legais e impactando múltiplas

comunidades e ambientes, estas definições podem colocar um

tremendo desafio de realinhamento de práticas.

Nunca poderá satisfatoriamente criar-se uma resposta a estas

questões através de departamentos especializados.

Seria inviável, por muito dispendioso, criar departamentos de

RS incumbidos de assegurar o diálogo com as PI de modo a

obter informação que suporte decisões.

O que a ISO 26000 implica é a necessidade de incorporar a

RS em todas as atividades correntes da organização, ou seja,

de imbuir todos os responsáveis de uma nova orientação de

fundo, conforme com a RS enquanto estratégia, e que

converta a comunicação unidirecional (da organização para os

seus públicos) numa interação dialogante que gere informação

útil e suporte decisões que criem valor para o acionista e para

as PI.

Esta estratégia é consistente com a auscultação de

mercado proposta pelo Marketing, agora vista como

diálogo e já não como mera recolha de tendências,

seguida de venda de produtos.

Trata-se, em RS, de dar às partes interessadas

“o direito a ser ouvidas” e o “direito às

expectativas”.

É importante sublinhar que em toda a ISO 26000 se mantêm a

liberdade decisória da organização com a correspondente

responsabilização da Administração.

http://www.apee.pt/site/

35


As PI têm direito a ser ouvidas, têm direito à manifestação das

suas expectativas mas a organização é sempre livre nas suas

opções, assumindo perante os seus públicos as

consequências que daí decorrerem.

Estamos num novo paradigma. Já não é a lei do Estado que

determina os limites das responsabilidades da organização

mas sim a percepção das suas PI.

A Lei do Estado (muitas vezes decorrente de leis e tratados

internacionais transpostos) é em muitos casos insuficiente,

noutros não é firme ao nível da aplicação ou sanções.

Os Estados são reconhecidamente fracos perante os novos

poderes financeiros ou industriais globais e afigura-se difícil a

implementação de “legislação” internacional por serem ainda

incipientes as instituições com autêntica jurisdição global.

Neste quadro as PI podem ajudar à regulação porque estão

próximas, têm interesse directo e concreto, possuem meios de

pressão, comunicacionais e outros, pertencem naturalmente a

cadeias internacionais de semelhança que lhes dão apoio e

solidariedade.

Por outro lado (pelo menos algumas PI) desejam que a

organização prospere porque daí decorre a sua própria

prosperidade e isso garante o clima de diálogo e não de mera

reivindicação unilateral.

No limite a relação entre a organização e as suas PI

forma um ecossistema organizacional em que as

necessidades de uns são supridas pelos outros

numa teia de dependências e serviços mútuos.

Como pode isto interessar as nossas Empresas e

organizações em geral? Que aplicação tem para uma PME?

Enquanto nova tendência na gestão das empresas a ISO

26000 é de grande valor para as PME exportadoras, porque,

mencionando ou não explicitamente a ISO 26000, os seus

clientes e fornecedores estão já a colocar requisitos

resultantes desta orientação.

Quem e como governa a PME?

Como trata os impactes ambientais, quais são as suas

práticas de recursos humanos, como gere a diversidade

cultural, que riscos colocam as suas politicas laborais e as

relações com a comunidade, como mantêm e desenvolvem a

sua base de conhecimento, que histórico e que acções na

segurança no trabalho, etc., etc.

Estas questões já foram colocadas em Portugal a

PMEs exportadoras ou em negociação de contratos.

Não tenho dúvidas de que irá aumentar o rigor das

respostas exigidas.

Assim, a PME pode optar por ir reagindo conforme a questão

surge ou pode estruturar-se proactivamente para que as

respostas passem a constituir as suas práticas internas

normais.

Reconhecer a sua RS, incorporar o conhecimento de base,

formar os seus quadros, renovar e reformular as suas

relações, identificar as novas oportunidades e sinergias

resultantes, inovar na oferta, criar parcerias, modificar a forma

como desenha os seus negócios, produtos e serviços, enfim

cavalgar a onda do futuro em vez de a combater.

Sempre com a garantia de que tudo o que se fizer contribui

para a competitividade, para a rentabilidade e para o sucesso

económico.

Sem ele, nunca é demais repeti-lo, não há RS, porque

também não haverá organização.

Se necessitar de evidência certificada poderá adotar a Norma

Portuguesa NP 4469-1 Sistema de Gestão da RS,

completamente ajustada à ISO 26000.

Mas será que as PI estão em condições de aceitar o diálogo

que se lhes irá oferecer? Será que o tom das atuais

organizações representativas de trabalhadores, ambiente,

consumidores, imigrantes, comunidades, grupos de interesse,

fornecedores, é de diálogo construtivo e criador de riqueza

partilhada?

Será que a boa-fé, a lealdade, a honestidade,

enfim, os melhores valores éticos, irão

geralmente presidir às relações entre a

organização e as suas PI? Que sabemos sobre

ética das e nas organizações? Que propõe a

ISO 26000 neste domínio?

Tentaremos dar um contributo em próximos artigos.

Partes interessadas – ISO 26000

36


I Fó de A

Fórum de Auditoria Interna 2011 - fotos

Associados com Certificações - Parabéns

Rui Branco, KPMG

37


Bruno Soares, ISACA

Francisco Rocha, Banco de Portugal


38


Jaime Duarte, PW

Amadeu Ferreira, CMVM


39


Mello Franco, PT, EDP Renováveis

Assistência


40


Assistência

Assistência


41


Vencedor Prémio IPAI 2011 – Dr. Francisco Correia

Assistência


42



43


O controlo interno no sector não financeiro


44


Pode consultar as apresentações em http://www.ipai.pt/gca/index.php?id=90

Sugestão de leitura

Caneta Digital

"Se queres conversar comigo, define primeiro os termos que usas." Voltaire

Seja o novo CIA….Colabore.



45


Novos associados

João André Lemos Matos Santos

Maria Conceição Pontinha Rocha

Isabel Maria Mendes Pedrosa

José António Silva Antunes

Anthony Michael Frankel

Hermínio José Pinto Caeiro

Tomas Beleza Magalhães Collaço

João Emanuel Neves Moreira

Nuno Miguel Granjo Matos

Manuel Carlos Figueiredo Silva

José Carlos Castro Mota

Miriam Vanessa G. Correia

Marta Sofia Santos Araújo

João António Costa Alves

Rogério Paulo Silva Lobo

Rita Simões Pereira

Claudio Ricardo Miguens Xavier

Dora Isabel Tavares Lopes

José António Carballo Sequeira

Anabela Silva Santos Conceição

Célia Cristina Cortes Marteniano

Tiago Pinto Silva Antunes

Nuno Filipe Fonseca Duarte

José Manuel Resende Ferreira

Luis filipe Teixeira Guimarães

Manuel Teles Grilo R. de Carvalho

Luis Filipe Almeida Liberal

António José Simões

Carlos Alberto Jeremias Pinto

Susana Isabel Teixeira Pinto

Ana Sofia Fonseca de Sousa

46


Post_it , Miguel Si lva

47


Pesquisa de Institutos de Auditoria

Affiliate code 303

Affiliate code 278

48


Publicidad

Documents

Auditoria Interna Julho/Setembro 2011 Nº 44 · 4 Auditoria Interna Julho/Setembro 2011 Nº 44 Agenda 2011 Nº CURSO LOCAL DATA FORMADOR Formação de Base em Auditoria Interna 1