Janeiro/Mar 2012 trimestral distribuição gratuita nº 46€¦ · 8 Auditoria Interna - abril/junho 2012 - Nº 47 . Formação para a Certificação CIA 17 CIA Review – I Part

1

Auditoria Interna - abril/junho 2012 - Nº 47

abril/junho 2012 trimestral distribuição gratuita Nº 47

Janeiro/Mar 2012 trimestral distribuição gratuita nº 46

2


Missão Promover a partilha do saber e da prática em auditoria interna, gestão do risco e controlo interno.

Índice

Fórum de Auditoria Interna 2012 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Edi tor ia l :FAI 2012 , O con t ro lo in te rno e a su s ten t ab i l idade das organizaçõ es , Fát ima Gead a, P res id en te Direção . . . 12 Audi re: Glob al izações , Manuel Marques Barrei ro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 In tegração de working papers co m Gestão d e Audi to r ia : Co mo mud ar d as “prát i cas co muns” para as “melh ores

prát i cas” , Jo ão Revés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Th e In format ion Technolo gy Assuran ce F ramework ( ITAF T M ) - Pau lo F . Cardoso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 Por uma nova Sust en tab i l i dade, Már io Parra d a S i lva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Era u ma vez u m audi tor qu e ousou provar do seu pró pr io remédio …, Luí s Fonseca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Dez d icas para apanh ar ment i ras nos depoimen tos , Debora Calh au Alves . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 II Fórum dos Auditores Internos da Saúde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 A impor tân cia da Audi tor i a In t erna no se tor da saúde e o po sic ionamento dos d i feren tes a tores , Ana Mafalda Cost a ,

Andrei a To ga Machado , Sofi a P i res , Sónia Cru z, Francisco Melo Alb ino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 Os b enef íc io s da s i s temat i zação de pro cesso s e p rocedimentos em Audi tor ia In tern a, RIS I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 Sugest ão de l e i tu ra . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 Cane ta Digi t a l . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 Pesquisa n a r ede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 IPAI Foto d a mesa d a as semblei a geral 30 março de 2012 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 IPAI Foto s do jan t ar do 20 ºan iver sár io 6 março 2012 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 Post_ i t , Migue l S i lva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 Pesquisa d e Ins t i tu tos d e Audi tor ia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

Errata: Na edição 46 o logotipo do BPI não constou de forma correta. Pelo facto, as nossas desculpas.

Propriedade e Administração

IPAI – Avenida Duque de Loulé, 5 – 2º B – 1050-085 LISBOA; [email protected];Contribuinte nº 502 718 714; Telefone/Faxe: 213 151 002

Ficha técnica

Presidente da Direção: Fátima Geada; Diretor: Joaquim Leite Pinheiro; Redação: Manuel Barreiro; Raul Fernandes; Conselho Editorial: Jorge Nunes, Manuel

Barreiro, Fátima Geada, Francisco Melo Albino. Colaboradores nesta edição: Fátima Geada, Manuel Barreiro, F. Melo Albino, Miguel Silva, Mário Parra da Silva,

João Revés, Luís Fonseca, Paulo F. Cardoso, Luís Montanha Rebelo, Ana Mafalda Costa, Andreia Toga Machado, Sofia Pires, Sónia Cruz, RISI.

Pré-impressão: IPAI; Impressão e Acabamento: CEM; Ano XIV – Nº 47 – TRIMESTRAL abril-junho2012; TIRAGEM: 1400 exemplares.

Registo: DGCS com o nº 123336; Depósito Legal: 144226/99; Expedição por correio; Grátis; Correspondência: IPAI – Avenida Duque de Loulé, 5 – 2º B – 1050-

085 LISBOA Telefone/Faxe: 213 151 002; [email protected]; [email protected] Visite-nos em www.ipai.pt

http://pt-pt.facebook.com/people/Instituto-Auditoria-Interna-Ipai/

http://pt.linkedin.com/in/ipaichapteriia

Nota: Os artigos vinculam exclusivamente os seus autores, não refletindo necessariamente as posições da Direcção e do Conselho Editorial da Revista nem do IPAI. A

aceitação de publicação dos artigos na Revista Auditoria Interna do IPAI, implica a autorização para a inserção no sítio do IPAI após a edição da revista impressa.

Foto da capa: TJP

mailto:[email protected]



http://www.ipai.pt/





https://www.facebook.com/

http://www.linkedin.com/home?trk=hb_logo

3


Fórum de Auditoria Interna

2012

Textos disponíveis em

http://www.ipai.pt/gca/index.php?id=90 área reservada

http://www.ipai.pt/gca/index.php?id=90

4


5


6


Corpos sociais para o biénio 2012-2013 Assembleia Geral

Presidente da Mesa: António dos Santos Ramos, CIA

Secretário: Carlos Alberto Mendes Lopes

Vogal: Rodrigo Mário de Carvalho

Conselho Fiscal

Presidente: Manuel dos Santos Gomes

Vogais: Álvaro da Silva João

João Manuel Barata da Silva

Vogal Suplente: Maria de Lurdes Neves

Direção

Presidente: Fátima Geada, PHD

Vice-Presidentes

Tesoureiro: Francisco de Melo Albino, CIA; CCSA; CGAP

Nuno Oliveira, CIA

Nelson Martins, CCSA

Pedro Cupertino de Miranda, CISA, CRMA

Jorge Santos Nunes

Luís Filipe Machado, CIA; CCSA

Miguel Correia, CIA; CCSA; CFSA

Secretário: Joaquim Leite Pinheiro

Vogais:

António Neutel Neves, CIA

Georgina Morais

Ana Cláudia

Júlia Santos, CCSA

Luís Montanha Rebelo, CGEIT, CRISC

Andreia Machado

Conselho geral

Presidente: Manuel Marques Barreiro

Vice-Presidente: Manuel Agostinho Raul Fernandes

Vogais:

Domingos Sequeira – Ex-Presidente da Direção

Orlando Sousa - SONAE

Ana Margarida Fernandes – Inspeção-geral de Finanças

António Costa e Silva – Tribunal de Contas

Carlos Baptista da Costa, ISCAL

Octávio Castelo Paulo – Instituto Português Corporate Governance

Jean-éric Gaign – KPMG

João Frade – DELOITTE

João de Mello Franco – PT e EDP Renováveis

Jorge de Freitas Nunes – Ernst & Young

Francisco Martins da Rocha – Banco de Portugal

Nasser Sattar – PriceWaterhouseeCoopers

Orlando Germano da Silva - BES

IIA Portugal

Chapter 253

IPAI filiado na

http://www.eciia.eu/

7


Agenda 2012 Nº CURSO LOCAL DATA FORMADOR

Formação de Base em Auditoria Interna

1 Introdução ao Controlo e Auditoria Interna Lisboa

Porto

Fev. 13 e 14

Maio 17 e 18

Set. 10 e 11

Francisco Albino, CIA, CCSA, CGAP

2 Curso Prático Intensivo de Auditoria Interna

**

Lisboa Vários formadores. Coordenação: Francisco

Albino

Formação para Auditores Seniores e CAEs

3 Auditoria Interna Baseada no Risco Lisboa

Porto

Jul. 30 e 31

Out. 8 e 9

Nuno Oliveira, CIA

4 Autoavaliação do Risco e do Controlo –

Preparação para o Exame CCSA

Lisboa Mar.12 e 13 Nuno Oliveira, CIA

Júlia Santos, CCSA

5 Avaliação da Qualidade e Performance em

Auditoria Interna

Lisboa Mar.26 e 27 Fátima Geada, Ph.D.

6 Audit Planning to Address Fraud * Lisboa Jun. 29 Prof. Glenn Sumners, CIA, CPA, CFE

Formação de Especialização

7 Relatórios de Auditoria Lisboa Mai. 21 e 22 Francisco Albino, CIA, CCSA, CGAP

8 Amostragem para Auditoria Lisboa Dez. 3 e 4 Fátima Geada, Ph.D.

9 Fraude e Auditoria Interna Lisboa Abr. 23 e 24 Tiago Brito Lopes, CIA, CCSA, CFE

10 Programas de Trabalho em Auditoria Interna

**

Lisboa Mai. 7 e 8 Joaquim Pinheiro

11 Introdução à Gestão do Risco ** Lisboa Mai. 28 e 29 ***

Formação para Auditores de Sistemas de Informação

12

Auditoria de Sistemas e Tecnologias de

Informação

Lisboa Jun. 4 e 5 Paulo Gomes, CISA

13 Segurança de Sistemas de Informação Lisboa Jul. 9 e 10 Pedro Cupertino de Miranda, CISA

14 Auditoria aos Controlos Aplicacionais ** Lisboa Out. 22 e 23 Luís Rebelo, CGEIT

Formação comportamental

15 Liderança e Comunicação em Auditoria Interna Lisboa

Porto

Mar. 5 e 6

Jul. 2 e 3

Filipa Oliveira

16 Técnicas de Apresentação Lisboa Out. 29 e 30 Filipa Oliveira

8


.

Formação para a Certificação CIA

17 CIA Review – I Part Lisboa Jun. 25 * Prof. Glenn Sumners, CIA, CPA, CFE

18 CIA Review – II Part Lisboa Jun. 26 * Prof. Glenn Sumners, CIA, CPA, CFE

19 CIA Review – III Part Lisboa Jun. 27-28 * Prof. Glenn Sumners, CIA, CPA, CFE

20 CIA Review – IV Part Lisboa Jun. 28 * Prof. Glenn Sumners, CIA, CPA, CFE

21 Preparação para o exame CIA – I Parte Lisboa Set. 27 Francisco Albino, CIA, CCSA, CGAP

22 Preparação para o exame CIA – II Parte Lisboa Set. 28 Nuno Oliveira, CIA

Formação para Auditores do Sector Público

23 Auditoria de Instituições Públicas – Preparação

para o Exame CGAP

Lisboa Abr. 19 e 20 Francisco Albino, CIA, CCSA, CGAP

24 Auditoria de Empreitadas de Obras Públicas Lisboa Set. 24 e 25 Sara Pestana, CIA; Sofia Correia, CIA

25 Auditoria Interna no Sector da Saúde Lisboa Out. 1 e 2 Andreia Machado, Mafalda Costa, Sofia Pires

e Sónia Cruz.

Formação para Auditores do Sector Financeiro

26 Seminário em parceria com o MIS ** Lisboa ** ***

* Em língua Inglesa.** Em preparação, com realização a confirmar.*** Monitor a confirmar.

NOTA. As datas indicadas podem sofrer ajustamentos, em função da disponibilidade dos formadores, pelo que se sugere a respectiva

confirmação junto do IPAI ([email protected], tel. 213151002).

Eventos a realizar em 2012

Jantar comemorativo dos 20 anos da fundação do IPAI, 6 março 2012 - Lisboa

VII Fórum de Auditoria Interna,21 junho 2012 - Lisboa

XIX Conferência Nacional do IPAI, 22 novembro 2012 - Lisboa

II Fórum de Auditores do Sector da Saúde, 30 maio 2012 - Coimbra

I Fórum de Auditores das Autarquias Locais

Reuniões de trabalho dos núcleos:

Auditores Internos do Sector dos Transportes, Infra-estruturas e Reguladores.

Auditores Internos do Sector Financeiro

Auditores Internos de Sistemas de Informação.

Agenda 2012


9


IPAI - Membros Coletivos

Click here to enter text.



Click here to enter text..


http://www.cgd.pt/Pages/default.aspx

10


IPAI – Membros Coletivos

.

.


http://www.libertyseguros.pt/Default.aspx?tabId=40

11


Parcerias e protocolos http://www.ipai.pt/gca/index.php?id=116


http://www.deloitte.com/view/pt_PT/pt/index.htm

http://www.ey.com/PT/EN/Home

12


Editorial

Editorial:FAI 2012, O controlo interno e a sustentabilidade das

organizações, Fátima Geada, Presidente Direção

Boa Tarde a Todos,

Cabe-me o grato prazer de em nome da Direção do IPAI

dar-vos as Boas Vindas e cumprimentar os ilustres

convidados, os membros do Conselho Geral,

prestigiados oradores e estimados colegas aqui

presentes.

Tenho o privilégio de iniciar este fórum de partilha de

conhecimento e de metodologias, sobre um Tema “O

Controlo Interno e a Sustentabilidade das

Organizações”, que reflete a importância acrescida que

os procedimentos de controlo, análise e monitorização

têm para o bom desempenho das Organizações e a sua

sobrevivência.

As transformações sócio-económicas dos últimos anos

têm afetado profundamente o comportamento de

empresas que até então se focalizam no objetivo quase

exclusivo de maximização do lucro. As organizações

têm cada vez mais um papel determinante na criação de

riqueza aliado a uma responsabilidade acrescida para

com a sociedade no seu todo. A preocupação de

desenvolvimento sustentável incorporada nos negócios é

relativamente recente, complexa e senão mesmo

controversa.

Com o surgimento de novas responsabilidades e maior

pressão com uma acrescida transparência nos negócios,

as empresas obrigam-se a adotar uma atitude de maior

controlo interno, de modo a responder a um cada vez

maior escrutínio social.

Outros valores passaram a pautar a atuação das

organizações, para além das responsabilidades

económicas, as sociais e ambientais assumiram

particular relevância.

Compreender essa mudança de paradigma é vital par a

competitividade, o mercado está, a cada dia, mais aberto

e competitivo, fazendo com que as empresas tenham que

se preocupar com o controle dos impactos ambientais,

sociais e com a forma mais eficiente e eficaz de afetar os

recursos, uma fase de grandes desafios de correntes do

contexto da crise económica que estamos a vivenciar.

Este cenário deve ser encarado como uma oportunidade

para que se passem a implementar práticas sustentáveis

de gestão, não apenas como uma postura preventiva

relativa a exigências legais e regulamentares, mas

também com a intenção de obter vantagens

competitivas, evidenciando um posicionamento

criterioso na utilização dos recursos e na demonstração

de práticas de transparência de processos de gestão,

como fatores fundamentais para mitigar os custos de

agência e da envolvente.

13


Empresas socialmente responsáveis geram mais valor

para a sociedade e para os stakeholders em geral e,

acima de tudo, conquistam resultados melhores para si

próprias. A visão sustentável deixou de ser uma opção

para as empresas, é uma questão de visão, de estratégia

e, muitas vezes, de sobrevivência.

Neste contexto, os órgãos que nas empresas permitem

uma melhoria de processos na alocação de recursos e

monitorização dos mesmos têm um papel extremamente

relevante. Neste âmbito surgem com destaque as funções

de controlo, auditoria, risk management e compliance.

Esse novo paradigma precisa ser acompanhado por uma

mudança de valores, passando da expansão para a

conservação, da quantidade para a qualidade, da

denominação para a parceria. Como retorno, a

sustentabilidade concretiza-se através dos seguintes

ganhos:

Para acionistas e investidores, pela valorização da

empresa na sociedade e no mercado;

Em imagem e a vendas, pelo fortalecimento e

fidelidade à marca e ao produto;

Em tributação, com as possibilidades de isenções

fiscais;

Em produtividade e pessoas, pelo maior empenho e

motivação dos colaboradores;

Em ganhos sociais, pelas mudanças comportamentais

da sociedade;

Em melhoria de processos;

Em melhor afetação dos recursos existentes;

Em menores custos de agência e em maior

transparência de processos.

A busca de excelência pelas empresas passa a ter como

objetivos a qualidade nas relações com os stakeholders e

a sustentabilidade económica, social e ambiental. O

conceito de desenvolvimento sustentável define-se como

“aquele que atende as necessidades de curto prazo sem

comprometer a possibilidade de as gerações futuras

atenderem às suas próprias necessidades”, o que só irá

ser possível se houver um verdadeiro escrutínio na

afetação dos recursos e respetiva monitorização,

atendendo às seguintes características:

É plural. Empresas não devem satisfações apenas aos

seus acionistas. O mercado deve agora prestar contas

aos colaboradores, ao governo, ao setor não-

governamental e ambiental e, por fim, às

comunidades com que opera.

É distributiva. É um conceito que se aplica a toda a

cadeia produtiva. Não somente o produto final deve

ser avaliado por fatores ambientais ou sociais, mas o

conceito é de interesse comum e, portanto, deve ser

difundido ao longo de todo e qualquer processo

produtivo. Assim como consumidores, empresas

também são responsáveis pelos seus fornecedores e

devem fazer valer os seus códigos de ética aos

produtos e serviços usados ao longo dos seus

processos produtivos.

É sustentável. Responsabilidade social aliada ao

conceito de desenvolvimento sustentável. Uma

atitude responsável em relação ao ambiente e à

sociedade, não só garante a não escassez de recursos,

mas também amplia o conceito a uma escala mais

ampla. O desenvolvimento sustentável não só se

refere ao ambiente, mas por via do fortalecimento de

parcerias duráveis, promove a imagem da empresa

como um todo e, por fim, leva ao crescimento

orientado. Uma postura sustentável é por natureza

preventiva e possibilita a prevenção de riscos futuros,

como impactos ambientais ou processos judiciais.

É transparente. A crise económica traz consigo uma

procura acrescida por transparência, um maior

escrutínio dos atos dos gestores. Empresas são

gradualmente obrigadas a divulgar a sua performance

económico, financeira, social e ambiental, os

impactos das suas atividades e das medidas tomadas

para prevenção ou compensação de acidentes e para a

mitigação de riscos, com o esmagamento de margem

decorrente do contexto económico/financeiro atual, a

exigência e o back to the basis em termos de

investimento torna os stakeholders, shareholders e

jobholders cada vez mais exigentes com a atuação

gestionária no seio das empresas e instituições.

FAI 2012, O controlo interno e a sustentabilidade das organizações

14


As Organizações são incentivadas cada vez mais pela

administração pública e pelos seus stakeholders a

focalizar e a relevar os seus impactos ambientais, sociais

e económicos, a desenvolver maneiras apropriadas de

reduzir os custos associados, e a construção de atuações,

complementando soluções legislativas e contratuais que

se aplicam a questões como, por exemplo, o

desenvolvimento da qualidade de emprego, a adequada

informação, consulta e participação dos trabalhadores,

bem como o respeito e a promoção dos direitos sociais e

ambientais e a qualidade dos produtos e serviços e um

cada vez mais eficaz e eficiente modo de afetar os

recursos existentes.

A empresa é socialmente responsável quando vai além

da obrigação de respeitar as leis, pagar impostos e

observar as condições adequadas de segurança e saúde

para os trabalhadores, desenvolve esse procedimento

por acreditar que assim será uma empresa melhor e

estará contribuindo para a construção de uma sociedade

justa.

Um dos pilares em que o conceito de sustentabilidade

assenta é na atuação em conformidade com os valores

do Código de ética, dos quais salientamos:

Transparência nos negócios;

Mitigar ou minimizar os custos de agência;

Promover a lealdade na concorrência;

Buscar excelência e competitividade no

mercado;

Atender ao bem-estar e ao crescimento das

comunidades nas quais operam;

Valorizar os seus recursos humanos;

Ter como meta o desenvolvimento sustentável;

Dar relevância e valorizar a interação com os

seus stakeholders.

Em todo este processo a Auditoria tem um papel

de crescente importância, só instituições com

implementação efetiva do standard 2130 do IIA

dando relevância aos aspetos de compliance nos

aspetos legais, atuais e de responsabilidade

social poderão ser assumidos como tendo um

elevado grau de integridade e de confiabilidade

e poderão garantir um bom desempenho

económico e social no curto prazo, mas

simultaneamente manter a sua sobrevivência no

médio prazo, sendo consideradas organizações

sustentáveis.

Segundo o IIA o papel da auditoria interna neste

contexto é claro devendo ter um papel ativo como

promotor de um comportamento ético nos negócios

e deste modo contribuindo efetivamente para a sua

afetação eficiente de recursos e para a instigação

dos custos da agência e da envolvente.

Desejo-vos uma boa jornada de trabalho e espero

vivamente que venhamos todos a colher

ensinamentos interessantes da mesma.

Obrigada.

FAI 2012, O controlo interno e a sustentabilidade das organizações

15


Audire

Audire: Globalizações, Manuel Marques Barreiro

Consultor e Presidente do Conselho Geral do IPAI

Durante o renascimento português, uma das

características mais marcantes, nem sempre falada, foi a

expansão portuguesa para a Europa.

A burguesia enriquecida com o comércio do Oriente,

muito florescente a partir da rotineira carreira das índias,

proporcionou aos seus filhos a oportunidade de

desenvolverem os seus estudos sem obediência à

limitação de tempo e de custos.

Durante mais de um século, os portugueses não só

frequentaram as mais distintas universidades europeias

da época, como ministraram o ensino em algumas das

mais conceituadas.

Assim, desde Salamanca, universidade que teve nessa

época uma grande projeção, passando por Bolonha, tida

como a mais antiga universidade, e Pavia, entre muitas

outras, até à de Paris, os portugueses, com o seu saber e

prestígio, não só marcaram a sua presença como

honraram a Pátria que representavam.

Apenas a título de curiosidade, não queria deixar passar

aqui em claro o facto de, num período de cinquenta

anos, entre 1500 e 1550, os cinco reitores da

Universidade de Paris terem sido portugueses.

Isto já num tempo em que a escolha do reitor era feita

por eleição democrática entre os professores,

conjuntamente com os alunos e os funcionários da

universidade.

Durante esse período áureo para os portugueses,

destacaram-se, pelo seu conhecimento, muitos dos

nossos humanistas, cujo reconhecimento, admiração

e respeito dos seus pares por essa Europa fora, era a

pedra de toque.

Distinguidos nos domínios das ciências e das artes, os

portugueses de então, que tendo feito carreira fora da

Pátria e, logo após a sua jubilação, muitos deles

prosseguiam em Portugal a sua catividade docente,

tendo contribuído assim para a melhoria do nosso

ensino.

É também preciso que se diga que esta oportunidade

decorreu, como vimos, do facto da grande atividade

comercial desenvolvida pelos portugueses ao longo

daquele período da nossa História Pátria.

Sob o ponto de vista comercial e de negócios, foram

os portugueses protagonistas da mundialização da

economia. Teremos então aqui, nesta perspectiva, o

primeiro fenómeno da globalização.

16


E aqui, é preciso que se diga que o português era

então a língua franca. Estaria nessa época para as

transações comerciais como o inglês está hoje para o

mundo do saber, dos negócios e da economia. Nessa

época quem quisesse negociar com os mercadores

orientais, nomeadamente potências colonizadoras como

a Holanda, a França, a Alemanha e a Inglaterra, tinha

que o fazer em português.

Surgiram assim os primeiros dicionários em português e

as outras línguas, por ser a forma mais fácil e rápida para

a formalização e efetivação das transações comerciais.

Apenas por curiosidade, podemos hoje constatar que

alguns termos náuticos existentes noutras línguas,

grande parte deles tem radical de termos marítimos

portugueses, sendo a desinência já feita de acordo com a

respectiva característica linguística de cada país.

Durante o fenómeno a que podemos apelidar de

globalização, decorrente dos descobrimentos e das

navegações portuguesas, e dado o grosso volume de

mercadorias transportadas, tiveram então que ser criados

entrepostos, grandes armazéns de mercadorias, as

feitorias, para guardar os produtos transportados, os

quais seriam depois distribuídos quer localmente, quer

para os países europeus. Isso obrigava já à manutenção

de um organizado sistema contabilístico adequado às

circunstâncias. E, para aqueles que por vezes são

levados a pensar que a atividade da auditoria é coisa

relativamente recente, desiludam-se, pois já nessa altura

o sistema de controlo era desenvolvido por equipas

independentes a quem cabia também a missão de

supervisionar a gestão.

Os ouvidores eram então nesse período da nossa História

as pessoas nomeadas especialmente para atuar em

repartições públicas; uma espécie de juízes. Na prática

as suas funções eram essencialmente de controlo.

Ora, por sinonímia, o auditor dos nossos dias pode ser

entendido como um juiz que, não absolve nem condena;

simplesmente faz recomendações a quem cabe tomar as

decisões.

Daqui podemos também inferir que a auditoria, tal como

hoje a entendemos pode sob o ponto de vista histórico, ir

encontrar as suas raízes mergulhadas no renascimento

português, um período de expansão, leia-se globalização

que, à escala do tempo e dos meios então disponíveis, é

dos mais interessantes sob o ponto de vista interno e

interessantes também e sobretudo para o mundo, muito

particularmente para os países que, por maldade, por

desconhecimento ou ignorância, tendo andado às nossas

costas, hoje nos apoucam.

Portugal foi, pois, o principal obreiro da primeira

globalização da História, partindo do pressuposto dos

negócios e do comércio internacional partilhados. Não

deixa de ser curioso como nos dias que estamos vivendo

está Portugal sendo uma das vítimas desta nova

globalização.

Enquanto a globalização protagonizada pelos

portugueses de quinhentos foi compartilhada, sabendo-

se hoje que, nesse empreendimento eram os nossos

navegadores quem mais arriscava, a globalização atual

tornou-se irracional e impiedosa. Esta globalização é

feroz e egoísta, visando na sua essência a concentração

de poder e de riqueza em poucos, à custa do sofrimento

e da miséria de muitos.

Globalizações

17


Framework de Controlo Interno COSO, Luís Montanha Rebelo,

CRISK, CGEIT, ISO 27001 LA Membro da Direção do IPAI; Membro da Direção do ISACA Lisbon Chapter

(As opiniões contidas neste texto são expressas a titulo exclusivamente individual)

A adoção do COSO garante ao auditor uma sólida base na avaliação da eficácia dos controlos e

ajuda-o a focar-se no que realmente é relevante para a organização.

Nos fóruns onde tenho participado, não raras vezes encontro profissionais de auditoria

que, ou não conhecem, ou acham que o COSO é uma

Framework de difícil aplicação e utilização pela função

de auditoria.

Proponho-me, em três artigos,

apresentar as Frameworks do COSO

(Controlo Interno, Gestão do Risco e

Monitorização), tentando desta forma

facilitar o seu entendimento pelos

leitores desta revista.

Uma breve história

Na década de oitenta, a economia Americana foi alvo de

diversos escândalos relacionados com entidades

financeiras. A opinião pública e os governos da altura

exigiram mudanças, capazes de evitar que este tipo de

acontecimento voltasse a acontecer. Como resultado

desta iniciativa, foi criada em 1985 uma comissão com o

objetivo de estudar as causas que levaram às fraudes

financeiras e fundamentalmente, para desenvolver um

conjunto de recomendações que aumentasse a robustez

das organizações e, desta forma evitar que se repetissem.

A comissão COSO foi formada nesse mesmo ano e uma

das principais conclusões do seu trabalho referia que, a

melhor forma de prevenir a fraude é através da melhoria

do Controlo Interno.

Em 1992 foi publicada a Framework de Controlo Interno

COSO. Este documento não só ganhou bastante

relevância nos últimos anos, como também

começou a ser aplicado com mais

frequência pelos profissionais de auditoria.

Foi também adotado pela Comissão

Europeia e pelo Banco de Portugal, como

modelo de suporte aos seus Sistemas de

Controlo Interno.

Mais recentemente, o Banco de Portugal

através do Aviso n.º 5/2008, recomenda às

Instituições Financeiras a operar em Portugal, a

utilização do COSO como referência para a

implementação de um efetivo sistema de Controlo

Interno e como prática para a sua avaliação.

Modelo de Controlo Interno

O COSO define o Controlo Interno como um processo,

tornado efetivo pelo corpo diretivo, gestores intermédios

e outros colaboradores designados, com o objetivo de

obter uma razoável garantia do atingir os objetivos sobre

as seguintes categorias:

Eficácia e eficiência das operações;

Veracidade do reporte financeiro;

Conformidade com leis e regulamentos.

18


Esta definição abrange os seguintes conceitos

fundamentais:

O Controlo Interno é um processo. O que significa que é

um meio para atingir um fim e não um fim em si mesmo.

O Controlo Interno é aplicado por pessoas. Não é

meramente uma política ou um manual, mas é

constituído por pessoas nos mais diversos níveis da

organização.

O Controlo Interno só pode dar uma garantia razoável,

não garante, de forma absoluta, o cumprimento dos

objetivos.

O Controlo Interno é orientado para o cumprimento dos

objetivos de um ou mais categorias de objetivos.

Segundo o COSO, o Controlo Interno é composto por

cinco componentes interrelacionadas. Esta divisão

deriva da forma como são geridos os processos de

negócio. Os componentes são os seguintes:

Ambiente de Controlo – As pessoas – os seus atributos

como indivíduos, como a integridade, valores, ética e

competência – e pelo ambiente onde estas operam são os

aspetos fundamentais de qualquer organização;

Avaliação de Riscos – A organização deverá conhecer e

tratar os riscos que enfrenta na persecução dos seus

objetivos. Os objetivos devem estar bem definidos e

introduzidos na cadeia de valor. Todas as suas

componentes devem trabalhar de forma integrada,

devendo estar dotadas de mecanismos para a gestão dos

riscos que coloquem os seus objetivos em causa;

Atividades de Controlo – Deverão ser implementadas

políticas e procedimentos de controlo, que ajudem a

garantir que, as ações implementadas pela gestão são

suficientes e corretamente implementadas;

Informação e Comunicação – Os sistemas de

informação e comunicação são o suporte a toda a

atividade da Organização. Estes sistemas permitem que

as pessoas recebam e a troquem informação necessária

para conduzir, gerir e controlar as operações diárias;

Monitorização – Todo o processo deverá ser

monitorizado e, numa perspetiva de melhoria contínua,

feitas as alterações necessárias. Desta forma, o sistema

reage de forma dinâmica, mudando à medida das

necessidades;

Aspetos a considerar na avaliação

Por cada componente do controlo interno, o COSO

identifica os principais aspetos a ter em consideração na

avaliação do Controlo Interno.

Ambiente de controlo

Quando o auditor avalia o ambiente de controlo, deverá

levar em consideração alguns aspetos, por exemplo:

Comunicação e observância de valores éticos e morais;

Comprometimento com critérios de competência;

Desenho da estrutura organizativa;

Políticas e procedimentos associados à gestão de

recursos humanos.

Avaliação do Risco

O auditor deve-se questionar se a organização tem feito

um esforço efetivo para identificar as áreas de risco onde

possam ocorrer erros materiais.

Esta questão prende-se com a capacidade da organização

em avaliar corretamente os riscos e, para os riscos mais

relevantes, através da utilização de controlos, mitigá-los

até um nível aceitável.

Framework de Controlo Interno COSO

19


Nas organizações, os riscos podem aparecer sob diversas

formas e consequentemente o auditor deverá avaliar se

estão sujeitos a controlos, como por exemplo:

Mudanças no ambiente operacional;

Entrada de novos colaboradores;

Aplicação de novas tecnologias de informação;

Novos modelos de negócio, produtos ou atividades;

Restruturações corporativas;

Internacionalização de processos de negócio.

Se o corpo de gestão da organização não é ativa na

avaliação e mitigação dos seus riscos, este aspeto do

sistema de controlo interno fica de alguma forma posto

em causa.

Informação e Comunicação

No caso da informação para o reporte financeiro, esta

deverá não só ser verdadeira, mas também ser atempada

e corretamente comunicada à gestão e órgãos de decisão.

De forma geral, este aspeto de controlo está relacionado

com a capacidade efetiva de comunicar, na adequação do

seu conteúdo e nos controlos existentes que tornem essas

capacidades efetivas.

Este ponto pode ser avaliado, levando em consideração,

entre outros, o risco associado aos seguintes fatores:

Sistemas que suportam a identificação, captura e troca

de informação, de forma a permitir a reação atempada.

Informação de reporte financeiro;

Comunicação de Controlo Interno;

Fluxo de comunicação interna.

Atividades de Controlo

O auditor terá de se questionar se os controlos existentes

são suficientes para, de forma agregada, mitiguem

efetivamente o risco de existência de erros materiais no

reporte financeiro.

Os controlos devem ser avaliados segundo os seguintes

critérios:

Desenho – O controlo é desenhado de forma a ser capaz

de mitigar os riscos e garantir um adequado controlo,

sobre um determinado processo de negócio, ou garantir

que o processo cumpre com as políticas e procedimentos

que lhe estão associados. O controlo deverá ser capaz de

detetar, de forma atempada, qualquer desvio

materialmente relevante.

Implementação – O Segundo nível de avaliação prende-

se com a avaliação de que o controlo está efetivamente

implementado.

Eficácia operacional – O terceiro nível avaliação

refere-se à eficácia operacional do controlo. Se este está

a cumprir com os objetivos para o qual foi desenhado.

Monitorização

A avaliação deste elemento pretende concluir sobre a

capacidade da organização em acompanhar, de forma

efetiva e independente, a eficácia dos seus controlos

durante a sua operação diária, individualmente ou em

conjunto com outros controlos.

Existem várias formas de monitorizar a eficácia dos

controlos, por exemplo:

Efetuar avaliações periódicas aos controlos;

Avaliar de forma continua a eficácia dos controlos;

Definir procedimentos específicos para alteração do

sistema de controlo interno.


20


Benefícios e dificuldades de adoção do COSO

A adoção do COSO para avaliação do sistema de

controlo interno trás claramente benefícios a nível dos

seguintes aspetos:

Eficácia – A execução de testes sobre os cinco

componentes de controlo do COSO, garante ao auditor

uma sólida base para definição do grau de garantia dada

pelos controlos.

Eficiência – Quando o auditor se foca nas categorias do

COSO, evita derrapagens ao âmbito dos trabalhos.

Focando-se unicamente no que realmente é relevante

para a organização.

Comparabilidade – A utilização de uma Framework e

sistemas de rating comummente aceites, permite a

comparabilidade da eficácia dos controlos entre processo

de negócio diferentes.

Comunicação – A integração dos componentes do

COSO, na discussão com os auditados, aumenta a sua

compreensão sobre os conceitos relacionados com o

controlo e risco.

No entanto, como podemos verificar através do exemplo

de aplicação do COSO à Boeing

(http://www.coso.org/audit_shop.htm), a implementação

do COSO não é tarefa fácil.

Neste exemplo, a adoção dos princípios do COSO,

obrigou a equipa de auditoria a redesenhar todo o

processo de auditoria.

Segundo a mesma fonte, os próprios consideram que o

resultado foi bastante proveitoso. Neste momento há

uma fundamentação sólida para todo o trabalho que

executam.

O futuro

A Framework de Controlo Interno foi revista e espera-se

a sua publicação no primeiro trimestre de 2013. O IIA

teve oportunidade de avaliar o DRAFT proposto e

considera que, as alterações propostas irão permitir que

o mesmo acompanhe a evolução verificada nos

processos de governação, gestão de risco e controlo das

Organizações. E que estas alterações permitirão que o

COSO seja uma referência pelo menos por mais 20 anos.

Próximo artigo

No próximo artigo abordarei outro documento emitido pelo

COSO, nomeadamente a sua Framework de gestão de risco

(COSO – Enterprise Risk Management – Integrated

Framework).

O COSO – ERM, integra a Framework de Controlo Interno,

que tratei neste artigo e alarga o conceito de gestão do risco

nas organizações.


http://www.coso.org/audit_shop.htm

21


Integração de working papers com Gestão de

Auditoria: Como mudar das “práticas comuns” para as

“melhores práticas”, João Revés

SSP Partner

Um pedido que é comum ouvir aos responsáveis de

auditoria interna é o de uma solução única que integre as

funções de audit analytics e de gestão de auditoria e

working papers. Esta constatação empírica é confirmada

por um inquérito levada a cabo pela ACL e citado mais à

frente neste texto. O mercado até agora não tem dado

uma resposta credível e robusta a esta necessidade. No

entanto, estamos em crer que será por pouco tempo. A

ACL está empenhada em conseguir colmatar essa lacuna

do mercado, através da integração nas suas soluções da

solução Workpapers.com (www.workpapers.com) que

adquiriu recentemente.

Assim, entendemos ser oportuno trazer a este fórum um

excerto do white paper “Integrating Working Papers

with Audit Management” do Vice-presidente da Working

Papers Software, Dan Zitting.

Na auditoria os working papers servem como

importantes pontos de referência para todo o ciclo de

vida de auditoria, disponibilizando aos diretores de

auditoria interna, empresas externas de auditoria e

consultores de risco e controlos, uma referência da

documentação e do conhecimento de auditoria. Apesar

do seu valor estratégico, muitas organizações abordam

esta função crítica com uma check-list baseada, na

maioria das vezes, por processos manuais de gestão de

projecto. Além disso, as normas que definem o conteúdo

dos working papers e a forma como estes devem ser

preparados são vagas ou até inexistentes, resultando em

práticas inconsistentes e em problemas de qualidade.

À medida que os processos de auditoria adquirem

maturidade, as atividades se tornam mais sofisticadas e

as organizações implementam diferentes aplicações de

software para automatizar o seu processo de auditoria,

um risco que surge com regularidade é o dos vários

workflows existentes se tornarem excessivamente

complexos e desarticulados. Não é invulgar coexistirem

na mesma organização diferentes aplicações e diferentes

workflows a suportar diferentes funções do processo de

auditoria: gestão de Projectos, working papers, análise

de dados, audit analytics, revisão externa, e reporting,

entre outros.

Estes factores contribuem para um novo tipo de risco do

negócio – o Audit Performance Gap - o valor estratégico

que é perdido devido à ineficiência no processo de

gestão de auditoria.

Na auditoria os working papers servem como importantes pontos de referência para

todo o ciclo de vida de auditoria.

http://www.workpapers.com/

22


Ao integrarem no ciclo de vida da auditoria uma solução

de gestão de working papers totalmente automatizada, as

organizações podem derrubar os “silos” de informação.

Os recursos antes aplicados na gestão do processo dos

working papers podem agora ser redirecionados para

atividades de auditoria estratégicas e de maior valor

acrescentado, tais como a melhoria de técnicas de

análise de auditoria, realização de auditorias adicionais,

avaliação de riscos organizacionais adicionais ou

formação e requalificação equipa de auditoria.

Este artigo aborda o papel dos working papers no

processo de auditoria e sugere três passos práticos para o

estabelecimento de melhores práticas para a gestão de

working papers e consequentemente minimizar o Audit

Performance Gap.

EVOLUÇÃO DA FUNÇÃO DOS WORKING PAPERS

Os working papers são fundamentais para o processo de auditoria. É

necessária a existência de documentação precisa e completa do trabalho

realizado de forma apoiar e fundamentar os principais resultados,

recomendações, opiniões e conclusões contidos nos relatórios de auditoria.

No entanto, os auditores tradicionalmente consideram a preparação dos

working papers um processo separado da gestão de Projectos de auditoria.

De facto, para as equipas de auditoria de elite que atingem performances

altamente produtivas, consistentes e eficazes, preparar os working papers e

a gestão das auditorias caminham lado a lado, tal como pedalar e guiar

constituem um conjunto de acções colaborativas, necessárias para andar de

bicicleta.

É um equívoco comum considerar que os working papers só se aplicam à

fase de trabalho de campo. Não é verdade. Os working papers constituem

um ponto de referência importante para todo o processo de auditoria.

Quando criados e geridos adequadamente, fornecem uma base de

conhecimento vital antes, durante e após uma auditoria. Durante a fase de

planeamento de uma auditoria, ajudam a definir o contexto e a orientar

revisão em curso das áreas problemáticas. Durante uma auditoria, os

working papers servem para registar o trabalho dos auditores, evidenciar

áreas de risco, e comunicar os resultados entre os membros da equipa de

auditoria e outros stakeholders.

Características dos working papers de

qualidade

Abrangência e Rigor - Os working papers

devem ser completos, precisos e suportar

observações, testes, conclusões e

recomendações. Devem também demonstrar

a natureza e o âmbito do trabalho realizado.

Clareza - Os working papers devem ser

compreensíveis sem necessidade de

explicações orais suplementares. Um terceiro

deve ser capaz de determinar facilmente a

finalidade, natureza e âmbito do trabalho

realizado, assim como as conclusões do autor

Pertinência - As informações contidas nos

working papers devem limitar-se às questões

necessárias para apoiar os objectivos e o

âmbito estabelecidos para trabalho

Organização Lógica - Os working papers

devem obedecer a uma organização lógica e

racional.

Consistência - Os working papers devem ser

preparados e executados dentro de uma

abordagem consistente ao longo da auditoria

e em toda a organização, independentemente

do auditor responsável pelo trabalho.

Legibilidade - Os working papers devem ser

legíveis e tão objectivos quanto possível.

Working papers subjetivos podem perder o

seu valor para demonstrar evidência.

Workflows Optimizados – cria workflows

para preparação de documentação que se

integram diretamente com os mecanismos de

gestão de projecto - rastreamento da check-

list de pedidos do cliente, sign-offs, revisões

do supervisor, follow-up de incidentes,

monitorização do consumo de tempo e status

do projecto - num único processo.

Integração de working papers com Gestão de Auditoria: Como mudar das “práticas comuns” para as “melhores práticas”

23


Após a conclusão de uma auditoria, os working papers

servem para suportar o relatório final e as suas as

conclusões, documentar o trabalho realizado em cada

fase do projecto e servir como o repositório de

conhecimento para futuras auditorias. Os working

papers também evidenciam se o devido zelo profissional

foi exercido e ilustram o cumprimento das normas

profissionais de auditoria.

Para os auditores - tanto auditores internos como

empresas de auditoria independentes ou consultores de

risco e controlos - os working papers podem ajudá-los a

serem mais eficazes e produtivos, acrescentando valor

estratégico à sua organização.

DIRETRIZES GENERICAS PARA WORKING

PAPERS

Enquanto é consensual que os working papers são

reconhecidos como práticas geralmente aceites, as

normas que definem o conteúdo dos working papers e a

forma como são preparados são vagas. Em vez de

imporem regras rígidas, as normas da profissão definem

o contexto e apontam orientações, deixando espaço para

uma interpretação por parte dos auditores.

Por exemplo, as Normas Internacionais para a Prática

Profissional de Auditoria Interna especificam requisitos

de working papers em diversas secções, entre as quais:

“2240 Engagement Work Program” - Os

auditores internos devem desenvolver e

documentar programas de trabalho que

cumpram os objectivos do engagement.

“2300 Performing the Engagement” - Os

auditores internos devem identificar, analisar,

avaliar e documentar a informação suficiente

para alcançar os objectivos do engagement.

“2310 Identifying Information” - Os auditores

internos devem identificar informação

suficiente, fidedigna, relevante e útil para

alcançar os objectivos do engagement.

“2320 Analysis and Evaluation” - Os auditores

internos devem basear as suas conclusões e os

resultados do trabalho em análises e avaliações

adequadas.

“2330 Documenting Information” - Os auditores

internos devem documentar informação

relevante para apoiar as conclusões e resultados

do seu trabalho.

Adicionalmente, muitas associações profissionais

emanam também orientações vagas relativas aos

working papers e a diferentes tipos de auditoria. Como

resultado, os auditores são em grande parte livres para

conceber o seu próprio sistema e/ou estilo para

documentar o seu trabalho. Se por um lado, isto

proporciona flexibilidade, por outro também cria

oportunidade para demasiada heterogeneidade, o que

pode levar a desvios nos programas de auditoria e

resultar em ineficiências, erros e riscos desnecessários.

DAS “PRÁTICAS COMUNS” ÀS “MELHORES

PRÁTICAS”

Concentrarmo-nos nos seguintes três passos práticos, é a

chave para estabelecer as melhores práticas para gestão

de working papers e minimizar o Audit Performance

Gap.


24


1. INTEGRAR A DOCUMENTAÇÃO DE

WORKING PAPERS NO PROCESSO DE

GESTÃO DE AUDITORIA

Os working papers têm uma correlação direta com a

performance das auditorias. Os working papers podem

fornecer informações/conhecimento valiosos para outras

funções de auditoria, desde a gestão global de auditoria

até à colaboração da equipa passando pela audit

analytics e pela avaliação de risco.

Um inquérito recente a mais de 8.000 clientes da ACL,

indicou interesse por parte de 75% dos mesmos numa

solução integrada de audit analytics e de working papers

de modo a melhorar a eficiência e aumentar a utilização

da tecnologia nos seus departamentos de auditoria

interna.

Uma solução desta natureza permitiria partilhar

conhecimento e criar valor nas seguintes áreas:

Fornece um framework para auditoria eficaz –

mais análise, menos documentação

Agiliza o trabalho de campo, a documentação e

os relatórios - Permite aos departamentos de

auditoria, carentes de recursos, produzirem mais

do que poderiam somente com recurso a

técnicas manuais.

Facilita a comunicação entre a equipa – Mantém

toda a equipa sintonizada na mesma informação

e alinhada com os mesmos objectivos

2. FAVORECER A NORMA FACE À

CUSTOMIZAÇÃO

Definir a norma dentro do processo de auditoria

Revisite as auditorias concluídas nos últimos 12 meses e

determine o que foi reportado aos stakeholders

(provavelmente o comité de auditoria e / ou a

administração). Examine o trabalho realizado nessas

auditorias e identifique áreas de similaridade, assim

como as diferenças e inconsistências. Geralmente, 80-

90% dos processos e formatos de documentação

mantêm-se iguais de uma auditoria para a seguinte.

Concentre-se nesses 80-90%, e simplifique os processos

comuns tanto quanto possível. Selecione uma ferramenta

de auditoria que imponha a norma convencionada e

deixe pouco espaço para desvios.

Eliminar a necessidade de customização

Evite personalização para além do workflow definido e

aceite como norma. Evite também ferramentas com

opções extremamente complexas no que concerne a

instalação, atualizações periódicas, atribuição de perfis

de utilizadores, sincronização e outras áreas de pouco

valor para a função de auditoria

3. REDIRECIONAR RECURSOS PARA AS

ACTIVIDADES ESTRATÉGICAS DE

AUDITORIA

Como as etapas 1 e 2 proporcionam ganhos nos prazos

de execução, é possível utilizar esse tempo para

atividades de auditoria de alto valor. As principais

oportunidades geralmente incluem:

Realização de auditorias suplementares

Melhorar técnicas de auditoria, particularmente

a utilização da data analytics para avaliar

maiores volumes de dados transacionais (e

passar de testar amostras para testar o universo

de dados)

Formação da equipa de auditoria em áreas

estratégicas

Dedicação de atenção especial às atividades de

avaliação de risco e identificação de áreas de

risco


25


Este valor acrescentado gerado solidifica o papel da Auditoria Interna como parceiro estratégico do Comité de Auditoria,

do CEO, CFO, e da Comissão Executiva em geral.

Figura 1: Melhores Práticas: Abordagem Integrada aos working papers.

Ao integrar os working papers em todo o ciclo de gestão de auditoria, as organizações melhoram as avaliações de risco, reduzem

redundâncias e imprecisões, e alargam o âmbito de atividades de assurance.

A SOLUÇÃO DE GESTÃO DE AUDITORIA DA ACL

A solução ACL Workpapers ® é um sistema de gestão de

auditoria, acessível de forma segura através da Internet,

que aumenta a produtividade da auditoria através da

organização de trabalho de campo e da automatização da

gestão de projecto. O framework que suporta o sistema

permite aos auditores criar Projectos de auditoria de

qualquer tipo: Financeira, operacional, compliance ou

técnica. A solução é atualmente utilizada por empresas

de auditoria, organizações públicas, bancos, auditores

internos e equipas de compliance por todo o mundo.

Desenhado para o diretor de auditoria...

A solução ACL Workpapers liberta os

utilizadores de tarefas de gestão de auditoria,

uma vez que organiza Projectos, notifica as

pessoas certas, e mantém auditorias dentro do

planeado.

Facilita um workflow produtivo e organizado. A

estrutura permite aos auditores construir o seu

programa de auditoria, em seguida, a partir de

qualquer procedimento, adicionar rápida e

facilmente incidentes, todos, pedidos do cliente

e tempo gasto. Tudo é agregado

automaticamente ao nível do projecto,

proporcionando uma gestão de projecto simples

e eficaz.

Automatiza Relatórios de projecto, com mais de

60 relatórios pré-configurados, que abrangem a

auditoria, matrizes de risco e controlos,

orientações, planos de teste, resultados de testes,

relatórios de status e detalhe de incidentes -

todos disponíveis em formato PDF e Excel.


26


Com as necessidades do auditor em mente...

Interface amigável e intuitivo para proporcionar

menos tempo de formação e mais tempo de

auditoria.

Permite que os utilizadores colaborem com a

equipa de auditoria, executivos, clientes e

terceiros. O repositório central do trabalho de

auditoria permite controlar os acessos,

satisfazendo as necessidades específicas dos

diferentes tipos de utilizadores e stakeholders do

trabalho de auditoria.

Receber notificações automáticas por e-mail

para eventos chave, tais como a revisão do

supervisor, as notas de revisão, e muito mais....

...E liderando no que respeita à segurança de

aplicações na cloud.

É 100% seguro, privado e de confiança. A

solução ACL Workpapers estabeleceu um novo

padrão em segurança de aplicações na cloud

com um conjunto abrangente de controlos para

assegurar a proteção dos dados dos seus clientes.

Custos reduzidos.

Sem necessidade de instalar e manter qualquer

hardware ou software. Configuração rápida de

novos utilizadores, facilmente geridos

diretamente pela equipa de auditoria.

CONCLUSÃO

Os working papers, quando bem geridos, fornecem

informações valiosas para outras funções de auditoria,

desde a gestão global de auditoria até à colaboração da

equipa passando pela audit analytics e pela avaliação de

risco. Soluções automatizadas permitem às equipas de

auditoria produzir working papers de alta qualidade,

precisos e eficientes que melhoram o planeamento de

auditoria, a avaliação de riscos, e a expansão do âmbito

da auditoria. Com esses ganhos, os departamentos de

auditoria podem melhorar as avaliações de risco, reduzir

redundâncias e imprecisões, e alargar o âmbito de

atividades de assurance.- acrescentando assim valor à

sua organização.

Enquanto se verificou um progresso significativo no que

respeita a tecnologia e processos para estabelecer as

melhores práticas na gestão de auditoria, um problema

comum para muitas organizações é a existência de

diferentes silos de informação e de processos de

negócio. Integrar os processos de gestão dos working

papers no ciclo de vida da auditoria, constitui uma “boa

prática” que ajuda a acabar com esses silos da função de

auditoria.

À medida que a tecnologia de auditoria e capacidades

analíticas se tornam mais sofisticadas, as práticas de

auditoria continuarão a evoluir na direção de uma

plataforma totalmente integrada de gestão de auditoria.

Este evento irá cumprir a promessa de integração

profunda e contínua entre a gestão de auditoria e a audit

analytics para auditoria de desempenho elevado.

A ACL está a integrar sua solução de working papers

com o seu software de audit analytics para responder a

essa necessidade do mercado.


27


The Information Technology Assurance Framework

(ITAFTM

) - Paulo F. Cardoso

CISA, CRISC, Communication Officer do ISACA Lisbon Chapter,

Controls Assurance Auditor no Barclays Bank Plc, London, UK.

Introdução

A evolução cada vez mais rápida da tecnologia e a

crescente importância que esta assume numa

organização e na tomada de decisão, tornou clara a

necessidade de desenvolver um framework de IT

assurance capaz de responder a este novo paradigma.

Mais do que nunca, também por imperativos de

legislação específica (por exemplo o Sarbanes-Oxley

Act, de 2002), reguladores e shareholders exigem mais

informação e informação mais precisa sobre a operação,

a eficácia e eficiência dos seus mecanismos de controlo

interno, quase sempre suportados por uma massiva

infraestrutura de IT.

Executar uma auditoria à operação, eficiência e eficácia

dos controlos de IT é um dos mecanismos para

responder às necessidades que reguladores e

shareholders exigem nos dias de hoje, permitindo a

prossecução dos objectivos definidos pela gestão e uma

maior confiança do cliente final.

O ISACA, de forma a contribuir para que estas

auditorias tenham a qualidade, consistência e fiabilidade

exigidas, tal como para assegurar que estão disponíveis

os procedimentos, boas práticas e linhas de orientação

para a prossecução do trabalho do auditor, desenvolveu

o framework ITAFTM (The Information Technology

Assurance Framework).

Este modelo, assente em 4 secções distintas - mas

apenas 3 elaboradas, estando a última reservada para

desenvolvimentos futuros -, é um modelo bastante

abrangente que estabelece boas práticas, que, na sua

essência:

Orienta no desenho, condução e relato de uma

auditoria de IT e de IT assurance;

Define termos e conceitos específicos relativos a IT

assurance;

Estabelece referências para endereçar funções e

responsabilidades, conhecimentos e aptidões e

define requisitos quanto ao zelo, condução e relato

de uma auditoria de IT e de IT assurance;

Define um Código de Ética Profissional.

Estrutura do framework

O framework divide-se em 3 secções distintas:

Section 1000 – Introdução do próprio framework;

Section 2000 – Define os padrões de IT assurance.

Inclui ainda o Código de Ética Profissional do

ISACA e introduz os três tipos de padrões que

formam o framework: gerais (os princípios sobre os

quais a profissão de IT assurance é executada), de

desempenho (estabelece as expectativas base na

condução dos compromissos de IT assurance) e de

relato (endereça os tipos de relatório, os meios de

comunicação e a informação a ser comunicada.);

Executar uma auditoria à operação, eficiência e eficácia dos controlos de IT é um dos mecanismos para

responder às necessidades que reguladores e shareholders exigem nos dias de hoje, permitindo a

prossecução dos objectivos definidos pela gestão e uma maior confiança do cliente final.

28


Section 3000 – O núcleo prático do framework.

Remete, em cada uma das suas linhas orientadoras,

para os recursos práticos do ISACA, como por

exemplo, mas não limitado a, os programas de

auditoria, por área.

A secção 3000 foca cada uma das suas linhas

orientadoras em:

Processos e problemas de IT que o profissional de

assurance deve perceber e considerar quando

planeia, define o âmbito, executa e reporta as suas

atividades;

Auditoria de IT e processos de assurance,

procedimentos, metodologias e abordagens que o

profissional de auditoria de IT e de assurance deve

considerar quando conduz as suas atividades.

Esta secção endereça as suas linhas de orientação nos

seguintes tópicos:

Conclusão

O ITAFTM

é uma resposta às necessidades cada vez

maiores da gestão satisfazer reguladores e shareholders

no que concerne à operação, eficácia e eficiência do seu

controlo interno, suportado em IT. Este framework não é

apenas um guia teórico.

Remete para as boas práticas e linhas orientadoras do

ISACA, como sejam os seus programas de auditoria ou

as suas publicações e padrões.

O framework define claramente alguns conceitos e

orienta o auditor de sistemas de informação e o

profissional de assurance no seu trabalho diário em

planear, definir o âmbito, executar e reportar as

conclusões da sua atividade, sem esquecer que o mesmo

deve cumprir as suas atividades no estrito cumprimento

do código de conduta profissional, também definido

neste framework.

Nota: deliberadamente, devido à inexistência de uma

uniformização e definição clara de uma tradução

portuguesa, o autor utilizou expressões na sua língua

original, amplamente difundida entre os auditores.

Bibliografia

[1] ISACA, ITAF A Professional Practices framework

for IT Assurance, USA, 2008

[2] ISACA, ITAF A Professional Practices framework

for IT Assurance Summary Document, USA, 2008

Estas publicações podem ser encontradas a partir de:

http://www.isaca.org/Knowledge-Center/ITAF-IT-

Assurance-Audit-/Pages/default.aspx

Secção Area

3200 Tópicos empresariais

3400 Processos de gestão de IT

3600 Auditoria de IT e processos de

assurance

3800 Auditoria de IT e gestão de assurance



http://www.isaca.org/Knowledge-Center/ITAF-IT-Assurance-Audit-/Pages/default.aspx

http://www.isaca.org/Knowledge-Center/ITAF-IT-Assurance-Audit-/Pages/default.aspx

29


http://www.apee.pt/

Por uma nova Sustentabilidade, Mário Parra da Silva

Presidente Direção da APEE

As últimas semanas foram naturalmente dominadas pelo

próximo evento RIO+20, a Conferência das Nações

Unidas sobre Desenvolvimento Sustentável.

Uma das inúmeras iniciativas associadas foi a

“messages of the world” que publicou mensagens

recebidas de pessoas de todo o mundo.

Uma breve leitura das muitas mensagens publicadas

permitiu perceber quanta esperança foi depositada nos

esforços globais para criar um planeta mais sustentável,

mas também que a grande maioria das mensagens era

focada nas questões ambientais.

Desde o inicio do movimento do Desenvolvimento

Sustentável que, do meu ponto de vista, se colocam

algumas contradições que nunca foram bem tratadas e

que precisam de ser encaradas com determinação

idêntica à que usamos para combater as ameaças

ambientais. Irei referir aqui apenas uma – a questão do

modelo de desenvolvimento e da criação de emprego.

Durante anos observei em muitas pessoas que quando

falavam de “desenvolvimento sustentável” assumiam

que o vigente modelo de desenvolvimento era excelente

mas precisava tornar-se mais “ecológico”, mais amigo

do ambiente, melhor utilizador dos recursos, mais

reutilizador e reciclador.

A questão não estava no “modelo de desenvolvimento”

mas sim em esse modelo não ser suficientemente

“sustentável”.

Nunca acreditei que um modelo de desenvolvimento que

exige o crescimento constante, o aumento do consumo, a

subida média das bolsas, pudesse tornar-se sustentável.

O sistema baseia-se na criação de bolhas, que

têm de ser recicladas de tempos a tempos.

As últimas semanas foram naturalmente dominadas pelo próximo evento RIO+20, a

Conferência das Nações Unidas sobre Desenvolvimento Sustentável

http://www.apee.pt/

30


Este modelo pôde no passado conviver com os 3 Rs e

pode hoje e no futuro ganhar muito dinheiro com os

negócios do ambiente, mas nunca conseguirá ser um

modelo de sustentabilidade porque exige muita energia

para criar algo que se destina a ser destruído

rapidamente de modo a que novos produtos possam

entrar no mercado e ser comprados.

De automóveis a roupas, utensílios electrónicos ou

mobiliário, tudo terá de existir num curto ciclo de vida

para que as fábricas não parem, o comércio continue e o

dinheiro circule.

Os materiais serão reciclados e teremos casas feitas com

restos de automóveis, roupas produzidas a partir de

fibras recicladas, agricultura alimentada com os

desperdícios urbanos, energia recebida diretamente do

sol, ou através do vento.

O material produzido igualará um dia o material

reciclado. Mas a energia desta equação subirá sempre,

gasta a produzir e depois gasta a reciclar. Na equação da

energia infelizmente a Física não permite reciclagem.

Nada a recear se ela puder dissipar-se para o espaço

sideral. Mas tal não é, segundo algumas autoridades

científicas, tão garantido como parece, porque se

geraram barreiras na atmosfera que o impedem em parte,

pequena por ora mas crescente.

Por outro lado este modelo foi eficaz num mundo em

que as disparidades, Norte-sul e entre Desenvolvidos e

em Desenvolvimento, permitiam a recirculação de

capitais e mercadorias, que absorviam em boa parte o

efeito das bolhas. Hoje isso não é mais possível na

mesma extensão. Ainda por outro lado este modelo não

previa a chegada ao mercado produtor de centenas de

milhões de pessoas que em consequência desejam

usufruir dos mesmos níveis de consumo que os seus

antigos colonizadores. Pior do que tudo isso este modelo

não foi criado para um mundo de telecomunicações

instantâneas e de opinião pública global.

Penso que todos têm consciência que nada vai voltar a

ser como dantes, como nos gloriosos anos 80 e 90 do

século passado. Uns acreditam que o sistema está apenas

a viver uma “gripe” saudável, que os suores frios fazem

parte do processo de cura e que os milhões de falidos e

desempregados são apenas “danos colaterais”, outros, no

extremo oposto, vêm já a alvorada de um maravilhoso

mundo verde, feito de cânticos de louvor à nova deusa

Terra, celebrada em festas à maneira da São Francisco

dos anos 60, com o “imagine” de Lennon em fundo.

Receio que não será bem assim. Parece-me bem

evidente que precisamos de um novo modelo de

desenvolvimento que seja sustentável, concebido para

responder às necessidades das pessoas, sem sobre

utilização de recursos ambientais e sem a necessidade de

crescimento de produção, ou seja, que tal como o

anterior foi excelente a produzir, esse novo modelo terá

de ser igualmente eficaz a distribuir, enquanto mantém a

anterior eficácia a produzir.

Se o anterior modelo é de alto consumo de energia e de

carbono, o próximo terá de ser de consumos reduzidos e

baseado mais em produtos da terra e mercadorias

virtuais do que em artefactos físicos. Chegou, para o

ambiente e para as TIs a hora da “Nuvem”

Estou a ver os leitores a sorrir perante a utopia e perante

a lonjura da possibilidade deste novo modelo. Mas não é

bem assim. Atente-se à atenção que a questão do estilo

de vida atraiu em muitas e insuspeitas entidades.

Por uma nova Sustentabilidade

31


Simbolicamente a família Obama instalou uma horta na

Casa Branca. Paris expôs nos Campos Elísios milhares

de pequenas iniciativas rurais. Ministros optam por

vespas, a gravata perde adeptos, o biológico e o natural

crescem.

Mas tudo isso são apenas sinais. O verdadeiro motor

para um novo modelo de desenvolvimento é a

necessidade. Produzimos muito, seria de esperar que

trabalhássemos menos, por ser menos necessário

trabalhar para viver.

O absurdo é que quanto mais produzimos mais temos de

trabalhar, porque o atual sistema não sabe organizar-se

de outra forma.

Este absurdo terá mais tarde ou mais

cedo um desfecho lógico. Virá um novo

estilo de vida.

Com os olhos postos no futuro temos de continuar a

cuidar do presente. Temos de continuar a trabalhar pela

agenda básica (assim estamos entre nós) ou seja pela

recolha seletiva, pela reciclagem, contra a destruição dos

recursos florestais, pela eficaz gestão da água, pelas

energias renováveis, pela eficácia térmica das

construções, pela redução e tratamento dos efluentes,

etc., etc. Mas sabemos que esta é uma estratégia de

mitigação de impactes e que seremos inevitavelmente

derrotados pela pressão por mais empregos ou por mais

instalações industriais. Até porque o Ambiente e as

Gerações Futuras não têm assento na Concertação

Social.

Há uma enorme esperança nas mensagens que chegam

ao site da Conferência Rio+20. Só não será defraudada

se a nova Sustentabilidade responder também às

questões sociais. Como vamos dar às pessoas, a todas as

pessoas, condições de vida dignas? Como vamos

garantir paz, sustento, saúde, realização pessoal,

liberdade e continuidade a todas as comunidades

humanas no Planeta?

Quem o irá conseguir se os governos nacionais perdem

poder, os regionais são confusos e de vistas curtas e os

mundiais ainda não existem?

Se, como dizia Mário Soares, o século XX foi o século

do Povo, este talvez venha a ser o Século da Pessoa

Humana, sem distinção alguma.

São as Pessoas que podem formar as redes de

cooperação entre Partes Interessadas de que fala a

ISO 26000, se adotarem os perenes valores éticos que

ao longo da História se revelaram geradores de

comunidades humanas sustentáveis.

A nova Sustentabilidade é um pacto ético em que as

atuais pessoas, enquanto guardiãs e responsáveis

do Planeta que lhes foi legado, o administram para

obter o seu sustento e o enriquecem em recursos

naturais para o transmitir às novas gerações

melhorado!

Por uma nova Sustentabilidade

32


Era uma vez um auditor que ousou provar

do seu próprio remédio…, Luís Fonseca

Grupo Auchan

Era uma vez um auditor que ousou provar do seu

próprio remédio…

Resolveu refletir sobre o que é ser auditor e como

resultado, assimilou a responsabilidade pedagógica e

curativa com que há de pautar as suas auditorias.

Certo dia, numa organização, um auditor no decorrer de

um trabalho, constatou determinada situação. Mais

tarde, num momento próprio, iniciou uma reflexão cujos

contornos não seriam mais do que uma auditoria a si

próprio…

Deu assim início a uma sequência de perguntas que fazia

a si mesmo, começando a sentir um crescente

desconforto por saber que a cada resposta, nova pergunta

seria colocada, porque no seu íntimo sabia que poderia

chegar a uma altura, em que lhe seria muito difícil

explicar-se, o último porquê…Estranha sensação de

masoquismo, submeter-se a si próprio a uma auditoria…

Voltando à constatação que motivou este exercício de

auto-reflexão, foi–se questionando: Porque é que ele fez

mal? Outras pessoas na mesma situação fariam o

mesmo? Se sim, não será o processo que está mal? Se o

processo está bem, foi por desconhecimento do

processo? Os que fariam o mesmo na mesma situação,

também o fariam assim, por desconhecerem o processo?

Afinal será o processo que está errado? Será um erro por

ausência ou insuficiência de formação sobre o processo?

Ou seria um erro por negligência ou desleixo da pessoa?

Em menos do que 5 segundos de reflexão, já havia

encontrado 3 alternativas para a causa da constatação…

Então pensou: qualquer que seja a causa, todas estas

situações devem ser prevenidas.

Quem exerce as mais variadas funções numa

organização, deve estar capacitado para fazê-lo, por isso

deve ter formação teórica e saber aplicá-la na prática, de

forma a conhecer o processo e tentar melhorá-lo todos

os dias. Só cumprindo estes requisitos que garantem as

condições mínimas para o normal exercício da função, é

que se pode responsabilizar ou, dar os parabéns, por

aquilo que se faz e que tem impacto na organização.

Continuando a perguntar-se: Se a causa for um processo

desajustado? A prática é diferente do que está previsto,

porque o que está previsto não tem aplicação prática?

Mas porque é que não a tem?

33


Porque foi definido no papel sem ser testado na prática?

Porque se alteram as circunstâncias que tornaram o

processo obsoleto e com necessidade de atualização?

Tantos porquês…

Ou será que simplesmente a pessoa comete erros por

desleixo, ou por criatividade? Mas se é por criatividade

será um erro? Será que se reportar esta constatação não

estarei a ser um obstáculo para a melhoria continua?

Mas se for este o caso, o fazer diferente não deverá ter

que ser validado para se garantir o cumprimento de

todas as normas internas e externas dos vários domínios,

como as leis, requisitos de segurança de pessoas, de

bens, ambientais, etc.? Será que existe um processo pelo

qual é possível fazer sugestões, estas serem validadas,

trabalhadas e implementadas? Se este processo existir,

será que a pessoa o conhece e é motivada a usá-lo?

Terminada esta auto reflexão, concluímos que de facto,

para o auditor fazer uma recomendação eficaz, credível

e que acrescente valor, é necessário deixar o carimbo em

casa para não correr o risco de ser apenas mais um que

vai picando uma «checklist», e que no final, faz um

relatório que apenas reflete as não conformidades das

situações que encontrou.

O auditor deve refletir o quanto for necessário, para cada

situação merecedora de atenção, de forma a identificar

as verdadeiras causas das constatações e de facto

cumprir aquilo que lhe é mais exigido, defender os

interesses e a sustentabilidade da sua organização dando

prioridade à segurança das Pessoas, à visão Cliente, à

rentabilidade e à imagem da organização, assim como à

segurança dos bens e do património da mesma.

A verdade é que devemos trabalhar sempre as causas

porque somos sempre sujeitos às suas consequências, e

se ignorarmos as causas e nos cingirmos apenas às

consequências, procurando soluções para resolver

apenas estas, por muito boas que as soluções

encontradas sejam, serão sempre ineficazes porque as

causas mantêm-se.

Um processo pode ser alterado, mas se continuar

desajustado ou se existirem falhas na formação, o erro

vai persistir sempre.

A solução passa por formar, manter cada processo

atualizado e controlado de forma a identificarem-se

atempadamente as suas fragilidades e atuarmos sempre

de forma a proteger a organização, eliminando ou

reduzindo os riscos, cobrindo-os com seguros ou

partilhando-os, externalizando atividades, aceitando o

risco mas mantendo um controlo adequado, ou

principalmente evitando-o, atuando preventivamente,

por exemplo, reforçando a formação em cada uma das

funções, adquirindo competências mais atualizadas e

adaptadas, melhorando processos, implementando

tecnologias, reforçando o controlo que continua a ser a

melhor garantia para se mitigarem os riscos e se

atingirem os resultados pretendidos. Uma forte e

contínua cultura de controlo e atitude pragmática para

além de serem alicerces da eficácia, funcionam também

como dissuasores de atitudes ilícitas.

Um auditor é um médico de organizações, coloca

questões que permitem obter diagnósticos responsáveis,

cujas recomendações tenham o poder de fazer corrigir

situações não conformes, ou possam influenciar

oportunidades de melhoria, principalmente através da

partilha de boas práticas.

Era uma vez um auditor que ousou provar do seu próprio remédio

34


Tal como o médico certifica que o paciente se encontra

bem, ou prescreve medicamentos e tratamentos para o

paciente melhorar, assim o auditor recomenda correções

e contribui para a melhoria contínua das áreas auditadas.

Tal como se pretende que todos os médicos prescrevam

os mesmos medicamentos e tratamentos para

determinada situação, assim se pretende que todos os

auditores capacitados para auditar determinado domínio,

façam diagnósticos e recomendações similares. Esta

situação jamais deve ser confundida com um carimbo,

mas deve identificar a consonância dos mesmos

princípios de reflexão e perseguição da melhoria

contínua.

Um auditor é um privilegiado recipiente de

conhecimento, ele tem uma visão global e integrada da

organização, ele adquire experiências e conhecimentos

sempre que se disponibiliza a isso, sempre que ouve

mais do que fala, sempre que reflete mais do que

recomenda, sempre que as suas recomendações são mais

ajustadas do que as de tamanho único, isto é, devem ter

em conta a relação custo da implementação/ benefício a

adquirir. Com efeito, as recomendações muitas vezes são

ótimas mas de difícil implementação, implicando

investimentos desmedidos, que pretendem prevenir uma

situação cuja probabilidade de acontecer é muito baixa.

Existem contudo, dois domínios em que deve existir

total intransigência da parte dos auditores: a segurança

de pessoas e o cumprimento da legislação em vigor.

Por outro lado, as recomendações devem ser sempre

exequíveis, mesmo contendo em si riscos que merecerão

tanto controlo quanto for necessário, assim como planos

de contingência prontos a serem implementados.

A imprevisibilidade que já há algum tempo nos tem

obrigado a redobradas atenções sobre as adaptações

estruturais e processuais necessárias, que todos os dias

são trabalhadas para manter as organizações

competitivas e rentáveis, obriga a uma atualização

constante das cartas de risco porque estas medidas por

um lado minimizam os riscos, e por outro lado dão

origem a novos riscos.

Os riscos devem ser sujeitos a uma avaliação

quantitativa (mais objetiva) e também qualitativa. Os

riscos são dinâmicos, o seu grau varia ao longo do

tempo, aumenta ou diminui dependendo de

circunstâncias atuais ou previsionais, e das medidas que

se tomam, que devem tender para os controlarem e

minimizarem.

De acordo com o nível de risco, devem ser tomadas

decisões sobre cada um dos seus impactos.

“A auditoria não pretende ser um travão na organização,

um dos seus principais objetivos, é que a organização

ande cada vez mais depressa, em segurança.”

Estes serão certamente alguns dos muitos passos que se

devem dar, para chegarmos ao fim do dia mais

descansados e com o sentimento do dever cumprido.

Afinal, por definição do IIA, a auditoria interna é uma

atividade independente, de garantia e de consultoria,

destinada a acrescentar valor e a melhorar as

operações de uma organização. Ajuda a organização a

alcançar os seus objetivos, através de uma abordagem

sistemática e disciplinada, na avaliação e melhoria da

eficácia dos processos de gestão de risco, de controlo e

de governação.

Era uma vez um auditor que ousou provar do seu próprio remédio

35


Dez dicas para apanhar mentiras nos depoimentos, Debora

Calhau Alves

Inspectora - Banco Espírito Santo

Tradução do artigo: The 10 Tell-Tale Signs of Deception, Paul M. Clikeman, Dr., CFE,

Professor associado na Escola de Negócios na Universidade de Richmond

Suspeitos e testemunhas muitas vezes dizem mais do

que o que querem pela sua escolha de palavras. Seguem-

se algumas formas de detectar possíveis mentiras em

depoimentos escritos e orais.

Exemplo:

Um gerente de um restaurante de fast-food liga para a

polícia de madrugada e reporta que um ladrão armado

entrou no restaurante, enquanto o gerente estava sozinho

no escritório a terminar algum trabalho administrativo.

O gerente afirma que o ladrão roubou todas as receitas

do dia – um pouco mais de € 4 000,00.

O Gerente já havia reportado um assalto similar 6 meses

antes. Não houve testemunhas em nenhum dos assaltos.

O dono do restaurante foi informado pela polícia local

que os assaltos à mão armada são incomuns na

vizinhança.

Além disso, o dono também sabe que o vencimento do

gerente se encontra penhorado para pagamento de uma

pensão de alimentos. O dono do restaurante contrata-o a

si, como inspetor de fraude, para investigar se o gerente

tem feito queixas falsas à polícia para esconder os seus

próprios roubos.

E você começa a investigação por pedir um depoimento

escrito ao empregado daquilo que aconteceu naquelas

noites.

Detectando anomalias.

A análise da linguagem dos textos envolve o estudo da

linguagem, da gramática e da sintaxe que o sujeito usa

para descrever um acontecimento, permitindo assim

detectar quaisquer anomalias. Inspetores experientes

estão habituados a estudar o comportamento não-verbal

dos entrevistados, assim como o contacto visual e os

movimentos das mãos. Por outro lado, a análise de

textos considera apenas o comportamento verbal do

sujeito, quer nos depoimentos escritos, quer nos orais.

De facto, muitos investigadores preferem analisar os

depoimentos escritos para tentar detectar sinais de

mentira antes de conduzir as entrevistas face a face.

A análise de textos é baseada em estudos efectuados nos

anos 70 em que psicólogos e linguistas estudaram a

linguagem e a escolha de palavras de indivíduos, em

experiências controladas, e encontraram diferenças

previsíveis entre depoimentos verdadeiros e falsos.

Susan Adams, professora de análise de texto na

Academia do FBI por muitos anos descreve este

processo como tendo duas fases. Primeiro os

investigadores determinam o que são declarações

tipicamente verdadeiras. Depois, procuram os desvios a

essas normas.

De seguida, descrevem-se alguns desvios que podem

sugerir que o inquirido poderá estar a reter, a alterar ou a

fabricar informação.

36


Dez sinais de mentira

1. Não uso do pronome pessoal

Pessoas verdadeiras usam frequentemente o pronome

pessoal ‘Eu’ para descrever as suas acções: ‘ Eu cheguei

a casa às 6.30h. O telefone estava a tocar quando eu

estava a abrir a porta, por isso eu fui diretamente para

a cozinha para o atender. Eu falei com a minha mãe

cerca de 10 minutos antes de notar que a minha

televisão e o meu computador tinham desaparecido da

sala de estar.’ Este breve depoimento contém o pronome

pessoal ‘Eu’ quatro vezes em três sentenças.

Pessoas mentirosas, em regra, usam linguagem que

minimiza as referências a si próprio. Uma forma de fazer

isso é por descrever os eventos no pretérito passado.

- ‘O cofre foi deixado destrancado’ em vez de ‘ Eu

deixei o cofre destrancado’.

- ‘O envio foi autorizado’ em vez de ‘Eu autorizei o

envio’.

Outra forma de reduzir a auto referência é por substituir

o pronome ‘Eu’ por ‘Tu’/’Você’/’O Senhor(a)’:

Pergunta: ‘Pode descrever-me como faz a reconciliação

bancária?

Resposta: ‘Você sabe, você tenta identificar todos os

cheques e depósitos em trânsito e conferir as diferenças,

mas, às vezes, quando você está muito ocupado, você

simplesmente coloca as diferenças numa conta em

suspenso’.

Nos depoimentos orais e nos depoimentos escritos

informais, testemunhas enganadoras, algumas vezes,

simplesmente omitem os pronomes pessoais. Veja este

depoimento feito por um marido que afirma que a sua

esposa foi morta acidentalmente: ‘Eu agarrei na arma

para a limpar. Passou para a mão esquerda para poder

agarrar o pano. Aí algo carregou no gatilho. A arma

disparou e atingiu a minha mulher.’ O marido reconhece

na primeira sentença que ele agarrou na arma. Mas a

segunda sentença está gramaticalmente incompleta. O

‘Eu’ foi estrategicamente retirado do início da frase. Na

terceira sentença, ‘algo’ substitui ‘Eu’ carreguei no

gatilho. A frase também tem poucos pronomes

possessivos. O individuo refere ‘a arma’ e ‘a mão

esquerda’ em vez de ‘a minha arma’ ou a ‘minha mão

esquerda’.

2. Tempo dos verbos.

Pessoas verazes normalmente descrevem os eventos

históricos no passado. Um mentiroso refere-se a

acontecimentos passados como se estes estivessem a

ocorrer no presente. Descrever eventos passados usando

os tempos dos verbos no presente sugere que os

inquiridos estão a ensaiar os acontecimentos na sua

mente. Os investigadores devem estar particularmente

atentos a aspectos na narrativa em que o inquirido usa

em demasia verbos no presente. Analise o seguinte

depoimento, feito por um empregado que afirma que

uma bolsa contendo € 6 000,00 foi roubada antes de ele

a ter conseguido depositar no Banco (assinalei algumas

palavras):

‘Depois de fechar a loja, eu pus a bolsa com o dinheiro

dentro do meu carro e conduzi até ao edifício do Banco

Olympia em Elm Street. Estava a chover

torrencialmente, por isso, tive que conduzir bem

devagar. Entrei no parque de estacionamento e conduzi

até ao cofre de depósito noturno. Quando parei o carro,

e baixei o vidro da janela, um individuo salta dos

arbustos e grita-me. Eu consigo ver que ele tem uma

arma. Ele agarra na bolsa com o dinheiro e foge! A

última vez que o vi ele ia a descer para sul na Elm

Street. Depois de ter desaparecido, eu chamei a polícia

no meu telemóvel e reportei o assalto’.

As primeiras três sentenças descrevem o que o

empregado fez até chegar ao Banco utilizando tempos

verbais no passado. Mas, as seguintes três sentenças

descrevem o suposto assalto no presente.

Dez dicas para apanhar mentiras nos depoimentos

37


Um inspetor alerta deverá desconfiar que foi o próprio

empregado que roubou o dinheiro da caixa desse dia e

que, depois, se dirigiu ao parque de estacionamento do

Banco e aí chamou a polícia apresentando queixa do

falso assalto.

3. Responder a perguntas com perguntas.

Até os mentirosos preferem não mentir. Demasiadas

mentiras criam o risco de serem apanhados. Assim, antes

de responder a uma pergunta com uma mentira, um

inquirido que queira engana, normalmente, tentará evitar

responder de todo. Uma forma típica de contornar as

questões é por responder fazendo outra pergunta. Os

investigadores deverão estar alertas para respostas tais

como:

-‘Porque haveria eu de roubar o meu próprio

irmão?’

-‘Mas eu pareço-lhe o tipo de pessoa capaz de fazer

uma coisa dessas?’

-‘Não acha que era preciso ser muito estúpido para

retirar dinheiro da minha própria caixa

registadora?’

4. Equívocos.

Um inquirido mentiroso evita as perguntas do

entrevistador por preencher as suas afirmações com

expressões dúbias, adjetivos desnecessários e abstractos

e expressões vagas. Um inspetor deverá estar alerta para

palavras tais como: ‘penso’, ‘acho’, ‘parece’, ‘um tipo

de’, ‘talvez’, ‘poderá’, ‘aproximadamente’, ‘à volta

disso’, etc. Depoimentos vagos e expressões de incerteza

permitem que um mentiroso possa, mais tarde, alterar ou

‘esclarecer’ as suas afirmações de uma forma que não

contradiga as declarações iniciais.

Verbos evasivos são: pensar, acreditar, imaginar, supor,

crer, assumir. Adjetivos equívocos e advérbios são: ‘um

tipo de’, ‘quase’, ‘principalmente’, ‘talvez’, ‘poderá’.

Expressões qualificadoras são: ‘mais ou menos’; ‘poder-

se-á dizer isso’.

5. Juramentos.

Apesar de os indivíduos mentirosos preferirem dar o

mínimo de informações úteis possíveis, eles tentam

convencer de forma veemente os seus ouvintes de que

falam a verdade. Por isso, usam frequentemente juras

para fazer os seus depoimentos parecerem mais

convincentes. Tendencialmente, um sujeito que queira

enganar alguém usa mais os juramentos do que alguém

que fale a verdade. Usará expressões tais como: ‘Eu

juro’, ‘por minha honra’, ‘Deus é minha testemunha’ ou

‘pela saúde dos meus filhos’. Testemunhas verídicas

confiam que os factos atestem a veracidade das suas

declarações e não sentem necessidade de suportá-las em

juras e promessas.

6. Eufemismos.

A maioria das línguas tem mais do que um termo para a

mesma situação ou para o mesmo facto. Depoimentos

feitos por pessoas culpadas, em regra, incluem palavras

vagas e dúbias em vez de outros sinónimos mais claros e

explícitos. Os eufemismos caracterizam o

comportamento do sujeito de um ponto de vista mais

favorável e minimizam os danos que tal ação possa ter

causado. Um inspetor deverá estar atento a eufemismos

tais como: ‘desaparecido’ em vez de ‘roubado’, ‘tomei

de empréstimo’ em vez de ‘tirei’, ‘fui de encontro a’ em

vez de ‘empurrei’ e ‘’avisei’ em vez de ‘ameacei’.

7. Aludir a acções.

Os inquiridos, por vezes, fazem alusão a acções sem

dizer diretamente que as fizeram de facto. Considere o

seguinte depoimento de uma empregada que foi

questionada acerca da perda de alguns dados

informáticos de valor:

‘Eu tento fazer um ‘back-up’ no meu computador e

guardar os meus papéis todas as noites antes de sair.


38


Na última terça-feira, decidi copiar os meus ficheiros

para a rede e colocar os meus papéis em ordem na

minha gaveta da secretária. Também precisei de fechar

a lista de clientes dentro do cofre do escritório.’

Será que a empregada fez efetivamente o ‘‘back-up’ no

computador? Será que copiou os seus ficheiros para a

drive da rede? Terá guardado os papéis na gaveta da

secretária? Trancou a lista dos clientes no cofre? A

empregada fez alusão a todas essas acções mas nunca

disse claramente que ela completou cada uma delas. Um

investigador atento não deverá assumir que um inquirido

tenha feito, efetivamente, todas as acções a que se refere.

8. Falta de detalhe.

Declarações verazes normalmente contêm detalhes

específicos, alguns dos quais podem até nem ser

relevantes para a questão em causa. Isso acontece porque

o sujeito poderá estar a tentar recordar-se de eventos que

aconteceram há muito tempo, e a nossa mente guarda

dezenas de factos acerca de cada experiência vivida – os

sapatos novos que estávamos a usar naquele dia, a

música de fundo que estava a tocar, a senhora que estava

na mesa ao lado e que nos fazia lembrar a professora da

primária ou a conversa que interrompemos quando o

alarme de fogo começou a tocar. Pelo menos alguns

destes detalhes aparecerá num depoimento verídico.

Contudo, alguém que fabrique uma história, tentará

manter o seu depoimento simples e breve. Poucos

mentirosos conseguem ter imaginação suficiente para

inventar descrições detalhadas ou eventos fictícios. Além

disso, um enganador quer minimizar o risco de ser

apanhado em contradição; quanto menos factos possam

ser provados como falsos, melhor.

Uma narrativa equilibrada.

Uma narrativa é composta de três partes: o prólogo, a

questão principal e o epílogo. O prólogo contém

informação do contexto e descreve eventos que tiveram

lugar antes da ação principal. A questão principal é o

aspecto mais importante da narrativa. O epílogo

descreve o que aconteceu depois dos eventos principais.

Numa narrativa completa e veraz, o prólogo corresponde

a 20%/25% da mesma, os eventos principais ocuparão

40% a 60% daquela e ao epílogo corresponderão 25% a

35% da descrição. Se uma parte da narrativa for

substancialmente menor que o esperado, isso poderá

significar que foi omitida informação importante. Se

uma parte da narrativa for substancialmente maior que o

esperado, isso poderá significar que foi ‘enriquecida’

com informação falsa.

As seguintes declarações numa reclamação de seguros

são suspeitas:

‘Eu ia a conduzir a este da Elm Street cerca das 16,00h

na terça-feira. Ia a caminho de casa vinda do

Supermercado A&P. O sinal no cruzamento da Elm com

a Patterson Street estava vermelho, por isso tive que

parar completamente. Depois do sinal ficar verde eu

avancei lentamente para o cruzamento. De repente, um

automóvel chocou no meu. O outro condutor não parou,

por isso conduzi para casa e telefonei ao meu agente de

seguros’.

As declarações do sujeito contêm quatro sentenças no

prólogo, apenas uma para descrever os factos principais

e também só uma no epílogo. No prólogo contém muitos

detalhes credíveis: o dia e a hora do acidente, o destino

do condutor e a localização do acidente. Mas a descrição

do acontecimento principal, o alegado acidente, é

suspeitamente curta. O reclamante não descreve o outro

veículo, de que direção vinha, quão depressa vinha, se o

outro condutor chegou a travar para evitar o acidente ou

como é os dois veículos chocaram.

O epílogo é igualmente mais curto do que seria de

esperar num depoimento completo e verdadeiro de um

acidente entre dois automóveis.


39


O reclamante não diz em que direção é que o outro

condutor fugiu, não refere se o reclamante saiu do carro

para ver qual era o prejuízo nem diz se este falou com

alguma testemunha no local. A Companhia de Seguros,

neste caso, seria sábia se investigasse o dono da apólice

para perceber se este não teria apresentado este falso

relato de fuga do local de acidente para pagar as

despesas do arranjo do seu carro pela sua própria

condução negligente.

9. Número médio de palavras.

O número médio de palavras por sentença é traduzida na

equação ‘Expressão média do cumprimento’ (EMC)

(‘Mean length of utterance’ – MLU no original). A EMC

é igual ao número total de palavras numa sentença a

dividir pelo número de sentenças:

A maioria das pessoas tendencialmente usa sentenças

com 10 a 15 palavras (ACFE, ‘Analyzing Written

Statements for Deception and Fraud’’). Quando as

pessoas se sentem ansiosas em relação a certo assunto,

tendem a utilizar sentenças significativamente mais

curtas ou mais compridas que o normal.

Os investigadores devem prestar particular atenção,

então, ao EMC do inquirido.

Palavras reveladoras.

As descrições de acontecimentos reais são normalmente

feitas utilizando o tempo verbal no passado e são

tendencialmente equilibradas na sua narrativa.

Geralmente, declarações verídicas, contém diversos

pronomes pessoais e incluem alguns detalhes

aparentemente sem importância. Raramente contém

juramentos, equívocos ou eufemismos. Um inspetor

deverá ter especial atenção a depoimentos orais ou

escritos que se desviem destas normas. Suspeitos e

testemunhas revelam mais do que pretendem através da

sua escolha de palavras.

Nota: Paul M. Clikeman, Dr., CFE Professor

associado na Escola de Negócios na Universidade de

Richmond

Excerto do livro ‘Analyzing Written Statements for

Deception and Fraud’, por Don Rabon, CFE: ‘Truques

com a Semântica’.

Pode acontecer que venha a ‘herdar’ um processo que

outro colega seu tenha iniciado. Para além dos

documentos financeiros, tudo o que tem são os

depoimentos escritos das testemunhas e dos suspeitos.

Poderá retirar informação útil apenas a partir do tipo de

palavras usadas, para detectar tentativas de evasão, falta

de cooperação ou tentativa de enganar? Sim, pode!

A semântica está relacionada com os significados das

palavras ou com a forma como estas se combinam entre

si para formar determinado sentido numa frase. Por

exemplo, o substantivo ‘pedra’ pode significar uma

rocha ou ser usado para descrever a consequência do uso

de uma droga (‘ele está cá com uma pedra’) ou até para

descrever um tipo de comportamento numa festa (‘que

pedra’).

Sempre que tiver que interpretar as palavras de alguém –

durante uma conversa ou no âmbito dos seus deveres

profissionais – estará a praticar a semântica.

Nota: Artigo original em inglês publicado no site da ACFE

http://www.acfe.com/article.aspx?id=4294971184


http://www.acfe.com/article.aspx?id=4294971184

40


II Fórum dos Auditores Internos da Saúde

41


A importância da Auditoria Interna no setor da saúde e o

posicionamento dos diferentes atores, Ana Mafalda Costa,

Andreia Toga Machado, Sofia Pires, Sónia Cruz, Francisco Melo Albino

Decorreu no passado dia 30 de Maio, em Coimbra, o II Fórum dos Auditores Internos da Saúde,

subordinado ao tema “A Importância da Auditoria Interna no Setor da Saúde e o Posicionamento dos

Diferentes Atores”. O evento decorreu nas instalações do ISCAC – Instituto Superior de Contabilidade e

Administração de Coimbra, entidade com quem o IPAI tem um protocolo de colaboração.

Decorreu no passado dia 30 de Maio, em Coimbra, o II

Fórum dos Auditores Internos da Saúde, subordinado ao

tema “A Importância da Auditoria Interna no Setor da

Saúde e o Posicionamento dos Diferentes Atores”. O

evento decorreu nas instalações do ISCAC – Instituto

Superior de Contabilidade e Administração de Coimbra,

entidade com quem o IPAI tem um protocolo de

colaboração.

Os objetivos fixados pela Comissão Organizadora para

este II Fórum de Auditores Internos do Setor da Saúde,

foram os seguintes:

Promover a comunicação dos auditores internos

do setor;

Promover a função da auditoria junto dos diversos

atores do setor;

Partilhar experiências de auditoria interna entre

vários profissionais do setor.

Com este objetivo construi-se um programa que contou

com a participação como oradores de alguns dos

principais atores do sector, entre os quais destacamos a

ACSS – Administração Central do Sistema de Saúde, a

IGAS – Inspeção-Geral das Atividades em Saúde, um

gestor hospitalar e ex-Presidente do Conselho de

Administração de uma instituição hospitalar de Lisboa, e

um Revisor Oficial de Contas e Fiscal Único de uma

instituição hospitalar.

Participaram ainda como oradores 3 auditores internos

de diferentes hospitais públicos e o auditor interno de

um grupo privado de saúde.

A sessão contou ainda com a participação da RISI, uma

empresa que desenvolveu um software para auditoria

interna na área da saúde e uma intervenção do IPAI,

sobre novas metodologias difundidas pelo IIA

relativamente à auditoria do ambiente de controlo das

organizações, uma das 5 componentes dos sistemas de

controlo interno, segundo a abordagem COSO.

No início da manhã, o Prof. Doutor José Carvalho das

Neves, Presidente da ACSS apresentou o tema: “O

impacto da gestão do risco na melhoria do controlo

de gestão e da performance”. Na sua apresentação

referiu o ciclo de gestão da performance que principia na

missão do hospital, passando pelas estratégias deste, até

à definição de indicadores de performance adequados a

uma correta avaliação dos processos e dos resultados.

Referiu alguns erros que por vezes se cometem na

criação e utilização destes indicadores.

Discutiu os vários conceitos de controlo de gestão,

referindo que os principais responsáveis pela instituição

utilizam essas metodologias para procurar que os

objetivos sejam atingidos eficiente e eficazmente, e

aumentar a probabilidade de que os atores

organizacionais se comportam de forma consistente com

os objetivos definidos para o SNS.

Quanto à avaliação e gestão de risco demonstrou que o

controlo de gestão e a gestão de risco constituem uma

alavanca da qualidade para atingir os objetivos da

organização, através da avaliação de performance e dos

procedimentos de controlo interno.

42


Apresentou também alguns dos projetos da ACSS neste

campo, referindo a utilização de ferramentas de

benchmarking de hospitais e de outras instituições

prestadoras de cuidados de saúde e com indicadores de

performance ajustados ao risco.

O Prof. Rodrigo de Carvalho, ROC e Professor no

ISCAP, apresentou o tema “Interligação do trabalho

desenvolvido pelo Fiscal Único/ROC e pelos

auditores internos”. Demonstrou, com a apresentação

dos diferentes pontos fortes da auditoria externa e da

auditoria interna, que a interligação das duas atividades

aumenta o nível de controlo interno das organizações.

Elencou ainda as normas internacionais que orientam as

relações entre os auditores externos e internos, referindo

as normas da IFAC que tratam da utilização pelos

auditores financeiros do trabalho dos auditores internos

e também as normas correspondentes do IIA sobre a

necessidade de coordenação da auditoria interna com

outros fornecedores de serviços de garantia

(“assurance”), sobre o controlo interno, a gestão do risco

e a governação das organizações.

O Prof. Doutor Jorge Branco, do Centro Hospitalar

Lisboa Central, e ex-Presidente do Conselho de

Administração da Maternidade Alfredo da Costa,

partilhou com todos os presentes a sua apresentação

sobre “A importância da auditoria para a gestão

hospitalar”. Fazendo apelo à sua vasta experiência

como gestor de instituições de saúde, elencou a

importância que a auditoria interna tem dentro deste tipo

de organizações, referindo que, pelo seu trabalho

metódico, disciplinado e sistemático, o auditor interno é

um elemento de conforto para a gestão das instituições,

podendo ser considerado como o melhor companheiro

de qualquer Conselho de Administração.

O Dr. José Martins Coelho, Subinspetor – Geral da

Inspeção Geral das Atividades em Saúde (IGAS)

apresentou uma comunicação sobre “A Atividade de

auditoria da IGAS prevista para 2012 e a relação da

IGAS com os auditores internos das instituições

hospitalares”.

Começou por apresentar o Plano de Auditoria para 2012

da IGAS. Alertou de seguida todos os presentes para as

recentes alterações legislativas, nomeadamente a recente

criação da Autoridade de Controlo Interno do Ministério

da Saúde, constituída por altos dirigentes do Ministério,

e coordenada pela IGAS, a qual contará com a

experiência dos auditores internos dos diversos

estabelecimentos de prestação de cuidados de saúde.

Este grupo de trabalho reportará diretamente ao Ministro

da Saúde e definirá objetivos de controlo a curto, médio

e longo prazo, acompanhará os resultados desses

controlos, propondo as medidas que considere

adequadas e imprescindíveis ao cumprimento dos

objetivos definidos.

No início da segunda parte do evento, o Eng.º Joaquim

Correia, Gerente da RISI – Recursos, Ideias e Soluções

Informáticas, apresentou o software “HAS – Health

Audit System”, que consiste numa ferramenta de apoio

à auditoria interna em ambiente hospitalar. O objetivo

deste software consiste na disponibilização e utilização

das metodologias de auditoria interna definidas por

autores consagrados da área, e tendo por base as

Orientações Internacionais para a Prática Profissional de

Auditoria Interna, emitidas pelo IIA, e também os

Manuais de Auditoria Interna produzidos pela ACSS,

permitindo desta forma standardizar os processos e

procedimentos de auditoria interna no setor da saúde e

produzir ganhos de eficácia, eficiência e economicidade

no exercício da atividade no setor.

Seguiu-se a apresentação de três casos práticos de

auditoria interna por colegas Auditoras Internas de 3

unidades de cuidados de saúde.

A Dra. Rita Moutinho, do Centro Hospitalar Tâmega e

Sousa, apresentou a sua experiência na “Implementação

da Gestão de Risco no CHTS, EPE”.

Tratou-se de uma apresentação diferente, que veio

demonstrar o início de uma Auditoria Interna partindo da

Gestão de Risco. Explicou como a sua abordagem e a da

organização em que trabalha teve início com a

identificação dos “riscos de corrupção e infrações

conexas”, decorrentes de um inquérito lançado pelo

Conselho de Prevenção da Corrupção. Essa abordagem

evoluiu depois para a identificação das áreas suscetíveis

de risco.

II Fórum dos Auditores Internos da Saúde - II FAIS 2012

43


Avaliado o risco, identificaram as medidas preventivas

adotadas ou a adotar, e vão acompanhando, reavaliando

e atualizando o Plano de Gestão de Risco. Foi também

referida a elaboração, em auditorias anteriores, de quatro

matrizes de gestão de risco (relativas aos processos de

gestão de imobilizado, gestão de faturação e cobranças,

gestão de admissão de doentes e gestão de existências).

Para o Plano de Gestão de Risco foram ainda elaboradas

outras matrizes de gestão de risco (relativas aos

processos de gestão de compras, gestão de instalações e

equipamentos e gestão de RH). Concluiu lembrando que

se gerem riscos para melhor se alcançarem os objectivos

da organização. Salientou ainda o facto, infelizmente

não muito frequente, de poder contar com o apoio do

Conselho de Administração do seu hospital.

A Dra. Joana Vacas de Carvalho, da Unidade Local da

Saúde do Baixo Alentejo, apresentou um caso particular

não abrangido pelas áreas definidas pelos Manuais de

Auditoria Interna da ACSS, mas que representa uma

área muito sensível no ambiente hospitalar. A sua

apresentação focou, assim, o tema “Diversas Auditorias

no Âmbito do Serviço Social”. Explicou como o seu

âmbito é vastíssimo, o que a levou, já no processo de

execução da auditoria, a ter que redefinir o planeamento

dos trabalhos, limitando o âmbito da auditoria. Seguiu

assim o chamado “princípio do funil”, partindo de uma

vasta área, identificando as subáreas de maior risco,

reduzindo o âmbito do trabalho, concentrando depois o

seu novo planeamento nestas áreas, e assim iniciar a

auditoria.

No relatório final da auditoria ao Serviço Social,

concluiu-se pela necessidade de elaborar um manual de

procedimentos e que as rubricas de transporte de doentes

e ajudas técnicas eram as mais críticas em termos de

montantes de despesa.

A Dra. Cristina Pereira, do Hospital Santa Maria Maior,

trouxe um exemplo de “Auditoria à Gestão de

Consignados”. Trata-se de uma área com que muitos

auditores internos hospitalares já se confrontaram. È

nomeadamente o caso das próteses ortopédicas

adquiridas à consignação e cujo serviço receptor é o

Bloco Operatório de um Hospital e não o Serviço de

Aprovisionamento. Estes materiais têm caraterísticas

muito específicas, não são propriedade do hospital nem

fazem parte dos seus stocks, geram custos elevados e só

são pagos se forem utilizados, nas intervenções

cirúrgicas.

A colega apresentou os objetivos da auditoria, o

programa de trabalho, os riscos desta área, as

observações que resultaram do trabalho de campo e da

análise posterior e as suas recomendações. De entre as

recomendações apresentadas sublinhou a necessidade de

implementação de rígidos controlos no uso destes

materiais e nos respetivos movimentos, fluxos físicos e

inventário, dado o seu elevado custo e a dificuldade de

confirmação da sua existência e uso efetivo.

O “Enquadramento da Direção de Auditoria Interna

no Grupo José de Mello Saúde” foi depois apresentado

pelo Dr. Luís Lee. Na sua apresentação caraterizou o

Grupo José de Mello Saúde (GJMS) que gere 12

unidades de saúde, com cerca de 1300 camas e com

mais de 5700 colaboradores. Referiu, nomeadamente, o

Hospital de Braga, o de Vila Franca de Xira, Hospitais

CUF, Instituto CUF, Clínicas CUF e Domuscare.

A Direção de Auditoria Interna (DAI), foi criada em

Janeiro de 2012, na dependência direta do Presidente da

Comissão Executiva, com quem reúne semanalmente. O

seu âmbito de intervenção é o das funções corporativas e

das unidades quer privadas, quer em parcerias público-

privadas. A DAI apoia a organização na identificação e

avaliação às exposições significativas ao risco, no

estabelecimento de controlos efetivos, e propõe

recomendações para a melhoria contínua dos processos e

operações.

Definiram desafios, nomeadamente assegurar a

sustentabilidade da DAI no GJMS, em que a cultura de

controlo interno possibilite ao Grupo atingir os objetivos

através de uma abordagem sistemática e disciplinada, de

forma a avaliar e melhorar a eficácia da gestão de

problemas/ riscos, sendo fundamental que todos os

intervenientes entendam o impacto das suas atividades

nos processos de negócio.


44


Para além dessa cultura de controlo interno, entenderam

seguir uma abordagem faseada, onde cada fase requer

como input o resultado da fase anterior. É um processo

iterativo e contínuo, com uma base de melhoria

continua. O segundo desafio é a dicotomia “auditor”

versus “consultor”. O terceiro e último desafio, é a

Gestão de Risco.

O Dr. Francisco Albino, Vice-Presidente do IPAI,

divulgou um recente “Practice Guide” do IIA, que tem

por objetivo reforçar a cultura de controlo interno das

organizações. Trata-se de, utilizando a metodologia

COSO – Internal Control – An Integrated Framework,

analisar as suas 5 componentes e desenvolver programas

de auditoria especificamente para a sua componente de

base, a saber “o ambiente de controlo”. Referiu como o

ambiente de controlo proporciona a disciplina e a

estrutura necessárias para o alcance dos objetivos

primordiais do sistema de controlo interno. Elencou os

seguintes 6 elementos desse ambiente de controlo:

1.Integridade e valores éticos; 2.Filosofia e estilo de

liderança; 3.Estrutura orgânica; 4.Delegação de

autoridade e responsabilidade; 5.Políticas e práticas de

recursos humanos e 6.Competência do pessoal.

Recordou que, conforme refere o IIA, o ambiente de

controlo é a fundação sobre a qual um eficaz sistema de

controlo interno é construído e opera numa organização.

Portanto, para uma auditoria ao ambiente de controlo é

fundamental conseguir identificar e avaliar os riscos de

falha em cada um dos seis elementos do ambiente de

controlo acima identificados. E lembrou ainda que, se

não auditarmos a componente “ambiente de controlo”

das nossas organizações, não estaremos em rigor, a

auditar e avaliar o seu sistema de controlo interno,

conforme é nossa obrigação profissional.

Como conclusões gerais do evento, pudemos retirar as

seguintes:

Tratou-se de uma segunda edição do evento

realizado pela primeira vez em Outubro de 2010;

Este II Fórum foi mais diretamente focado na

auditoria interna e nos profissionais de auditoria

interna;

A auditoria interna requer espírito crítico nas suas

análises;

Há necessidade de partilha de informação entre a

auditoria interna e a externa;

A auditoria interna é uma ferramenta fundamental

de apoio à gestão;

A relevância da atividade de auditoria interna e a

sua articulação com os diversos atores do sistema

de controlo interno do MS;

As dificuldades e oportunidades de um efetivo

desempenho da auditoria interna na saúde são as

mesmas no setor público e no setor privado;

A importância do estudo e aplicação das normas

profissionais do IIA para o desempenho da

profissão de auditoria interna.

O IPAI, como difusor de boas práticas de auditoria

interna, deve promover o progresso da profissão,

através da partilha de experiências entre auditores

internos e pela dinamização do Grupo de

Auditores Internos da Saúde.

Os participantes do Fórum foram também convidados,

pela comissão organizadora, a responderem a um

questionário de satisfação, apresentando também a sua

visão sobre os pontos mais fracos e mais fortes do

evento, para aperfeiçoamento de futuras iniciativas.

No Fórum estiveram presentes 54 participantes. Destes, 11 eram oradores e/ou membros da comissão organizadora e 2

eram membros de Conselhos de Administração de Hospitais. Dos restantes 41 participantes recebemos 40 respostas ao

questionário, verificando-se que, desses, 37 eram efetivamente auditores da saúde.


45


Numa escala de 1 (Mau) a 5 (Muito bom), a análise das respostas revelou a distribuição que se apresenta no gráfico e que

consideramos muito positiva.

Dos comentários/sugestões constantes das respostas ao questionário recebidas, salientam-se as seguintes:

Manutenção deste evento no futuro;

Eventualidade de existirem encontros para partilha de experiências a um nível mais restrito, de cariz

regional, por exemplo;

Incidência nos casos práticos no âmbito de auditorias da saúde para partilhar e discutir;

Desenvolvimento da articulação entre os diversos atores da saúde e os auditores internos;

Um maior envolvimento nestes eventos das entidades reguladoras, ou com funções de supervisão,

nomeadamente da ACSS, IGAS e IGF.

O evento foi encerrado pela colega Andreia Machado, em nome da comissão organizadora, que agradeceu ao IPAI pela

promoção do Fórum, aos oradores pela participação no mesmo, aos patrocinadores RISI e ISCAC e a todos os auditores

internos e restantes participantes que contribuíram para o sucesso deste evento.

4,10

4,18

4,30

4,10

4,05

3,98

3,83

4,05

4,16

4,24

4,35

4,08

4,05

3,97

3,81

4,08

3,50 3,60 3,70 3,80 3,90 4,00 4,10 4,20 4,30 4,40

Divulgação do evento

Condições da sala

Apoio logístico/administrativo

Oradores

Conteúdo Programático

Interesse prático dos temas

Duração do fórum

Expetativas satisfeitas

Média resposta auditores saúde (37) Média 40 inquéritos


46


Os benefícios da sistematização de processos e procedimentos em Auditoria Interna, RISI

O software HAS - Health Audit System consiste num

sistema de gestão de auditorias construído

especificamente para a área da Saúde pela RISI e

destina-se a auditores internos de unidades de prestação

de cuidados de saúde.

Este software tem como objetivo a disponibilização das

metodologias de auditoria interna e o fomento da sua

utilização (tendo por base os contributos de autores

consagrados da área, as orientações do IIA para a prática

profissional da auditoria interna – IPPF - e os Manuais

de Auditoria Interna da ACSS) permitindo desta forma

uniformizar os processos e procedimentos de auditoria e

produzir ganhos de eficácia, eficiência e controlo

operacional.

A auditoria segue um fluxo definido por várias etapas,

sendo que cada uma delas comporta tarefas que devem

ser realizadas pela equipa de auditoria, como a definição

do programa de trabalho, a identificação e validação das

atividades de controlo, tarefas que devem ser realizadas

pelo auditado, como o preenchimento de inquéritos e

eventuais comentários e sugestões ao plano de ações

para cada conclusão levantada.

Esta aplicação permite igualmente efetuar a

monitorização das conclusões em aberto, com o intuito

de controlar os planos de ação, através do

acompanhamento em auditorias presenciais ou mesmo

sem necessidade de auditorias no local, por forma a

comprovar a implementação e eficácia dos referidos

planos.

A aplicação disponibiliza ainda um conjunto de

indicadores que permite aos diferentes interlocutores

efetuar reporting e análises de performance.

Principais funcionalidades do software:

Definição de Planos Anuais de Auditoria

Elaboração de Programas de trabalho

Definição de Equipas

Exames Preliminares

Envio de Comunicações

Envio de Inquéritos de Controlo Interno

Testes de Avaliação do Controlo Interno

Testes de Auditoria

Conclusões

Relatórios de Auditoria

Elaboração Plano de Ações

Pontos de Situação

Arquivo de Documentação / Papéis de Trabalho

Principais benefícios:

Poupança de tempo e respeito pelas recomendações

definidas nos Manuais de Auditoria Interna da ACSS,

conseguidos pela predefinição dos campos:

o Áreas macro,

o Inquéritos por área macro,

o Testes ACSS,

o Programa de trabalho tipo,

o Exames preliminares

47


Ganhos de Controlo e Sistematização

o Instrumento de criação do plano anual de

auditoria com utilização de cronograma e

exportação do relatório para apresentação à

Administração em Word

o Criação da auditoria por etapas para ajudar o

auditor a organizar melhor o trabalho dele

o Exportação automática do relatório da auditoria

em Word

o Acompanhamento online das ações e pontos de

situação

o Análise de vários Indicadores para avaliação de

eficiência e eficácia e sua apresentação à

Administração

o Gestão do tempo da equipa de auditoria

o Análise das áreas críticas do hospital, com

sugestões de redução de riscos.

A Gestão de Risco Hospitalar como

atividade preventiva

No contexto atual, em que o Controlo Interno é uma

ferramenta importante de sustentabilidade, a Auditoria

Interna encontra-se ligada ao controlo interno e gestão de

risco, como forma de alcançar os objetivos estratégicos

das Instituições. Assim, através de uma abordagem “Top

to down”, a Administração define os objetivos

estratégicos, a avaliação de risco e do controlo interno

(contribui para o alcance dos mesmos, sendo estes inputs

importantes para eventuais ações de Auditoria. Deste

modo, a própria Auditoria socorre-se de ferramentas

como o COSO (Committee of Sponsoring Organizations)

e ERM (Enterprise Risk Management) fazendo a ligação

entre Auditoria Interna e a Gestão de Risco. Este

software, HER, faz essa ponte.

O software de Gestão de Risco Hospitalar é uma

ferramenta de extrema utilidade para as instituições de

prestação de cuidados de saúde que decidam implementar

uma estratégia de gestão do risco.

Esta estratégia está alicerçada em três momentos:

Identificação, Avaliação e Resposta ao risco, que se pode

materializar em acções de mitigação ou transferência.

A aplicação é constituída por dois módulos, de

identificação e avaliação de riscos:

Gestão de Incidentes: Aborda e categoriza o risco

potencial, através de relatos de incidentes, com o

objetivo de evitar a reincidência dos mesmos. Baseado

nas taxonomias definidas pela OMS na área de

segurança do doente, este módulo permite

parametrizar e adequar cada tipo de incidente à

realidade de cada instituição.

Avaliação de Risco: adaptação da metodologia do

COSO que identifica e avalia os riscos por

antecipação.

Entre as respostas ao risco encontram-se as ações de

mitigação, que se materializam na correção e /ou

minimização da probabilidade de ocorrência de situações

criticas.

Para os gestores de risco, a aplicação disponibiliza

indicadores de reincidência e análise de causas que

auxiliam o controlo de gestão.

Os benefícios da sistematização de processos e procedimentos em Auditoria Interna

Os benefícios da sistematização de processos e procedimentos em Auditoria Interna

48


No contexto atual, a adoção desta ferramenta pode

potenciar o sucesso das instituições.

A mitigação dos riscos, para além da melhoria da

qualidade dos serviços de saúde prestados, constitui-se

como fator primordial na diminuição de eventos adversos,

reduzindo substancialmente os custos económicos e

financeiros associados e garantindo a credibilidade da

instituição.

O software de Gestão de Risco Hospitalar foi

desenvolvido pela RISI e serve seis instituições

prestadoras de cuidados de saúde com elevado grau de

satisfação.

O software HAS – Health Audit System foi apresentado

publicamente pela RISI, por ocasião do II Fórum dos

Auditores Internos da Saúde, realizado no ISCAC, em

Coimbra, no dia 30 de Maio de 2012.

A RISI desenvolve projetos especializados de software

nas áreas de auditoria e gestão de risco, entre outras,

desde 1996.

É da sua autoria o SIGA - Software Integrado de Gestão

de Auditoria Interna usado pelas Direções de Auditoria

Interna da Sonae MC, Sonae Com, Sonae Sierra, Sonae

Industria e Sonae Capital.

É igualmente de sua autoria o software Enterprise Wide

Risk Management (que assenta na metodologia do

COSO), usado pela Sonae MC e Sonae SR.

A RISI serve, desde 2010, na área de Gestão de Risco

Hospitalar, o Grupo Espirito Santo Saúde, o Grupo José

de Mello Saúde, o Hospital Fernando Fonseca e os

Centros Hospitalares de Entre Douro e Vouga, Lisboa

Central, Leiria Pombal e Barreiro Montijo.

Podem ser obtidas informações adicionais sobre estes

produtos através do sítio www.risi.pt.

http://www.risi.pt/

49


Sugestão de leitura

Caneta Digital

A belief in hell and the knowledge that every ambition is

doomed to frustration at the hands of a skeleton have

never prevented the majority of human beings from

behaving as though death were no more than an

unfounded rumor.

Aldous Huxley

Pesquisa na rede

Conferência Anual

Lisboa

22 novembro 2012

http://www.brainyquote.com/quotes/quotes/a/aldoushuxl165548.html

50


Notícias IPAI Foto da mesa da assembleia geral 30 março de 2012

IPAI Fotos do jantar do 20ºaniversário 6 março 2012

Fotos – Raul Fernandes

51


Notícias

52


Vth GECAMB

Conference on Environmental Management and

Accounting

Faculty of Economics - University of Coimbra Portuguese CSEAR

Conference 25th - 26th October 2012

Consul tar programa em

ht tp: / /www.eaa -onl ine.o rg/user f i les / fi le /GECAMB -%20Call%20for%20Paper.pdf

Consultório – exclusivo dos associados Com o objetivo de estar mais próximo das necessidades dos nossos associados, colmatando -as ,

o IPAI coloca à disposição destes um serviço de apoio cujo objetivo é a promoção das melhores

práticas de auditoria e o esclarecimento de dúvidas e questões acerca da temática de auditoria

interna.

Se gostaria de uma segunda opinião, por exemplo na interpretação de um standard , na análise

de um programa de auditoria ou mesmo de resultados, o IPAI poderá ser o seu melhor aliado.

Para aceder a este serviço basta ter as suas quotas em dia e colocar a sua dúvida ou questão

para [email protected]

A KPM G Advisory – Consultores de Gestão, SA. e o IPAI – Inst ituto Português de Auditor ia

Interna vão lançar na próxima semana o III Survey sobre a Função de Auditoria Interna em

Portugal , através de um inquérito, no meadamente, a Responsáveis pela função de Auditor ia Interna

ou, caso esta não exista , aos pr incipais gestores das organizações.

Este es tudo t em co mo p r in cipal ob je t ivo aval i ar a evolução d a fun ção de Audi tor ia In te rna (AI) em Por tuga l face

aos Surveys r eal izados em 2007 e 2009 e a u m conjun to de boas prát icas in te rnacionai s .

Os d ados serão t r a t ados co nfid encialmen te d e modo a preservar a id en t idad e dos par t ic ipan tes .

Os resu l t ados globa is do inquér i to serão publ icad os duran te o mês de No vembro d e 2012 e o r e l a tór io será

enviado ao s pa r t i c ipan tes , sendo post er io rmente publ icado nos s i t es do IPAI e da KPMG em Por tugal .

Notícias

http://www.eaa-online.org/userfiles/file/GECAMB-%20Call%20for%20Paper.pdf

http://www.eaa-online.org/userfiles/file/GECAMB-%20Call%20for%20Paper.pdf


53


Novos associados

José Manuel Brito Almas

Júlia Conceição Martins Santos

Manuel Alberto Gaspar Soares

David Alexandre Araújo Azevedo

Joana Isabel Marques Moreirinha

Filipa Almeida Matos Oliveira

Luís Manuel Nascimento Duarte

Carolina Paz Cristóvão Duarte

Generosa Maria Ramos Aguiar

Marta Isabel Neves Pinho

Maria Lurdes Godinho Pito

Paulo Jorge Gonçalves Teixeira

Ana Sofia Duarte Caetano

João Pedro Ferreira Duque

Joana Georgina Pereira Vilela

Isabel Maria Sequeira Marcos

Fernando Elísio P. Cravo

José de Moura Rodrigues

Pedro Jorge Rosas Quelhas

Carlos Manuel Coelho Lopes

Bruno Marco Fernandes Salazar

Lígia Isabel Silva Pereira

André Jorge Leitão e Santos

Joana Guerra da Cunha Esteves

Formação:

Segurança de Sistemas

de Informação

9 e 10 julho 2012

Lisboa

Pedro Cupertino de

Miranda

Formação

Auditoria Interna

Baseada no Risco

Nuno Oliveira, CIA

30 e 31 julho 2012

Lisboa

Conferência anual – CAAI 2012

22 novembro 2012

Lisboa

54


Post_it, Miguel Silva

55


Pesquisa de Institutos de Auditoria

Romania Affiliate code 327

http://www.aair.ro/index.php

Russia Affiliate code 301

http://www.iia-ru.ru/

Publicidade

Fórum de Auditoria Interna 2012

Consulte as apresentações em http://www.ipai.pt/gca/index.php?id=90

Área reservada

http://www.aair.ro/

ttp://www.aair.ro/index.php

ttp://www.aair.ro/index.php




56


Documents

Janeiro/Mar 2012 trimestral distribuição gratuita nº 46€¦ · 8 Auditoria Interna - abril/junho 2012 - Nº 47 . Formação para a Certificação CIA 17 CIA Review – I Part