Outubro/Dezembro 2010 Trimestral Distribuição gratuita Nº 41 · I Fórum de Auditores Internos do Sector da Saúde -Ana Mafalda Costa, Andreia Toga Machado, Sofia Cancela Pires,

1

Auditoria Interna Outubro/Dezembro 2010 Nº 41

Outubro/Dezembro 2010 Trimestral Distribuição gratuita Nº 41

2


CORPOS SOCIAIS PARA O BIÉNIO 2010 – 2011

Assembleia Geral

Presidente da Mesa: António dos Santos Ramos, CIA – Estoril Sol

Secretário: Carlos Alberto Mendes Lopes – Estradas de Portugal

Vogal: Rodrigo Mário de Carvalho – ISCAP

Conselho Fiscal

Presidente: Manuel dos Santos Gomes

Vogais: Álvaro da Silva João

João Manuel Barata da Silva - CGD

Vogal Suplente: Maria de Lurdes Neves - TAP

Direcção

Presidente: Fátima Geada, PHD – TAP

Vice-Presidentes: Francisco de Melo Albino, CIA; CCSA; CGAP

António Neutel Neves, CIA – Portucel

Nuno Oliveira, CIA - AdP

José Costa Bastos – CGD

Nelson Martins, CCSA – BES

Pedro Cupertino de Miranda, CISA – SONAE

Secretário: Joaquim Leite Pinheiro

Vogais: Luís Filipe Machado, CIA; CCSA – BCP

Severo Praxedes Soares – IGF

Miguel Correia, CIA; CCSA; CFSA I – Liberty Seguros

Georgina Morais – ISCAC

Ana Cláudia – BRISA

Jorge Santos Nunes – Lusitânia

CONSELHO GERAL

Presidente: Manuel Marques Barreiro

Vice-Presidente: Manuel Agostinho Raul Fernandes

Vogais:

Domingos Sequeira – Ex-Presidente da Direcção

Orlando Sousa - SONAE

Ana Margarida Fernandes – Inspecção-Geral de Finanças

António Costa e Silva – Tribunal de Contas

Carlos Baptista da Costa – ISCAL

Octávio Castelo Paulo – Instituto Português Corporate Governance

Jean-éric Gaign – KPMG

João Frade – DELOITTE

João de Mello Franco – PT e EDP Renováveis

Jorge de Freitas Nunes – Ernst & Young

José Manuel Dias da Fonseca – APOGERIS

Francisco Martins da Rocha – Banco de Portugal

Nasser Sattar – PriceWaterhouseeCoopers

Orlando Germano da Silva - BES

Julho/Setembro 2010 Trimestral Distribuição gratuita Nº 40

3


Agenda 2011

CURSO LOCAL DATA FORMADOR

Introdução ao Controlo e Auditoria Interna Lisboa Porto

Fev. Set.

Francisco Albino, CIA, CCSA, CGAP

Auditoria Interna Baseada no Risco – Metodologia ERM Lisboa Porto

Mai. Set.

Nuno Oliveira, CIA

Auto-avaliação do Risco e do Controlo – Preparação para o Exame CCSA

Lisboa Jun. Nuno Oliveira, CIA Júlia Santos. CCSA

Avaliação da Qualidade e Performance em Auditoria Interna Lisboa Set. Fátima Geada, PhD

Relatórios de Auditoria Lisboa Mai. Francisco Albino, CIA, CCSA, CGAP

Audit Analytics Lisboa Jun. * Prof. Glenn Sumners, CIA, CPA, CFE

Amostragem para Auditoria Lisboa Dez Fátima Geada, PhD Céu Almeida, ROC

Fraude e Auditoria Interna Lisboa Set. Tiago Lopes, CIA, CCSA, CFE

SNC – Reforma da Contabilidade Lisboa Mar Baia Engana, ROC Gervásio Lérias, ROC

Auditoria de Sistemas e Tecnologias de Informação Lisboa Mai. Paulo Gomes, CISA

Segurança de Sistemas de Informação Lisboa Set. Pedro Cupertino, CISA

Liderança e Comunicação em Auditoria Interna Lisboa Porto

Mar Out.

Filipa Oliveira

Técnicas de Apresentação *** Lisboa Set. Filipa Oliveira

CIA Review – I Part Lisboa Jun. * Prof. Glenn Sumners, CIA, CPA, CFE

CIA Review – II Part Lisboa Jun. * Prof. Glenn Sumners, CIA, CPA, CFE

CIA Review – III Part Lisboa Jun. * Prof. Glenn Sumners, CIA, CPA, CFE

CIA Review – IV Part Lisboa Jun. * Prof. Glenn Sumners, CIA, CPA, CFE

Preparação para o exame CIA – I Parte Lisboa Set. Francisco Albino, CIA, CCSA, CGAP

Preparação para o exame CIA – II Parte Lisboa Set. Nuno Oliveira, CIA

Auditoria de Instituições Públicas – Preparação para o Exame CGAP

Lisboa Abr. Francisco Albino, CIA, CCSA, CGAP

Auditoria de Empreitadas de Obras Públicas Lisboa Mai. Sara Pestana, CIA Sofia Correia, CIA

Auditoria Interna no Sector da Saúde *** Lisboa

Seminários em parceria com o MIS ** Lisboa *

* Em língua inglesa; ** Em preparação, com realização a confirmar; *** Curso novo

Pode consultar o calendário em http://www.ipai.pt/gca/index.php?id=149

http://www.ipai.pt/gca/index.php?id=149

4


Índice

Colabore. Envie uma sugestão para [email protected]

Conferência Conferência Anual, Fátima Geada 6

Audire:

Da Responsabilidade Social, Manuel

Marques Barreiro 7

I Fórum de Auditores Internos do

Sector da Saúde - Ana Mafalda Costa,

Andreia Toga Machado, Sofia Cancela

Pires, Sónia Cruz

9

A Gestão do Risco nas empresas do

PSI 20, Marina Cruz, Ana Quental, Ana

Henriques

15

ACL White paper: Detecção de Fraude

na Administração Pública com

tecnologia de Data Analytics, João

Revés

33

Caneta digital 39

Novos Associados 40

Notícias 41

Post_it, Miguel Silva 46

Pesquisa de Institutos de Auditoria Interna – Europa

47

Missão

Promover a partilha do saber e da prática em

auditoria interna, gestão do risco e controlo

interno.

Propriedade e Administração

IPAI – Avenida Duque de Loulé, 5 – 2º B – 1050-085 LISBOA

Contribuinte nº 502 718 714; Telefone/Fax: 213 151 002

FICHA TÉCNICA

Presidente da Direcção: Fátima Geada

Director: Joaquim Leite Pinheiro

Redacção: Manuel Marques Barreiro; Raul Fernandes

Conselho Editorial: Manuel Barreiro, Fátima Geada, Francisco Melo Albino

Colaboradores nesta edição: Manuel Barreiro, Drumond de Freitas,

Miguel Silva, João Revés, F. Melo Albino, Marina Cruz, Ana Quental, Ana

Henriques, Ana Mafalda Costa, Andreia Toga Machado, Sofia Cancela

Pires, Sónia Cruz

Pré-impressão: IPAI

Impressão e Acabamento: CEM

Ano XII – Nº 41 – TRIMESTRAL Outubro/Dezembro 2010

TIRAGEM: 1500 exemplares; Registo: DGCS com o nº 123336;

Depósito Legal: 144226/99; Expedição por correio; Grátis

Correspondência: IPAI – Avenida Duque de Loulé, 5 – 2º B – 1050-085 LISBOA Telefone/Fax: 213 151 002

[email protected]

Visite-nos em www.ipai.pt

Nota: Os artigos vinculam exclusivamente os seus autores, não reflectindo necessariamente as posições da Direcção e do Conselho Editorial da Revista nem do IPAI. A aceitação de publicação dos artigos na Revista Auditoria Interna do IPAI, implica a autorização para a inserção no sítio do IPAI após a edição da revista impressa.

Foto da capa e do I Fórum: FMA; Fotos da Conferência: JLP

mailto:[email protected]

http://www.quotationspage.com/quote/2419.html#email


http://www.ipai.pt/

5


IPAI - Membros Colectivos


CP


6


Conferência

A complexidade crescente dos negócios, numa

realidade económica extremanente competitiva,

com ausência de processos efectivos de

controlos e gestão eficaz dos mecanismos de

regulação dos mercados, pode potenciar a

existência de situações de fraude, considerada,

em conformidade com a deinição do IIA, como:

“Qualquer acto ilegal caracterizado por um

engano, dissimulação ou violação da confiança

(…). As fraudes são cometidas por entidades e

organizações para obter dinheiro, bens ou

serviços ou para assegurar vantagens pessoais

ou de negócios”.

Na Performance Standart 1201.A2 , o IIA releva

que “…os auditores internos têm de possuir o

conhecimento adequado para avaliar o risco

de fraude e a forma como ela é gerida pela

organização”, mantendo e potenciando as

características de actuação inerentes à sua

função.

A saber: objectividade, persistência,

conhecimentos profundos da organização e

dos sitemas de apoio.

A fraude tem custos elevadíssimos para as

organizações; deste modo os custos para a sua

prevenção serão sempre inferiores aos

decorrentes da sua detecção e correcção.

As organizações devem ser dotadas dos

necessários controlos de prevenção, detecção e

investigação da fraude e implementar adequados

mecanismos de Governance, Risk & Compliance,

atribuindo um papel relevante à Auditoria Interna.

O IPAI tem a honra e o privilégio de nesta

Conferência contar com a participação de

prestigiados oradores cujo contributo será

profícuo para uma abordagem desta temática

numa perspectiva global das organizações.

A Conferência Anual do IPAI é também um

momento de partilha de conhecimento e

ponto de encontro de profissionais,

constituindo um marco de reforço e afirmação

do desenvolvimento da profissão da Auditoria

em Portugal.

o

Conferência anual 2010

Auditoria Interna e risco de fraude

Fátima Geada

Presidente da Direcção do IPAI

7


Audire

A responsabilidade social das organizações, assunto muito falado nos tempos que vão correndo é quase sempre apresentada como se de novidade se tratasse.

Contudo, o tema em apreço, muito embora com outras conotações que ao longo da história o foram modificando, não será assim tão novo.

Vamos encontrá-lo, nesta perspectiva, na Doutrina Social da Igreja, evidenciado em encíclicas papais a propósito da humanização do trabalho: “…a empresa é uma comunidade de pessoas e bens…”, daqui se tendo partido então para uma responsabilidade que vai além dos muros da empresa.

Ora, em tempos de acentuada crise económica e social em que os cidadãos sentem na pele as agruras do dia-a-dia e as perspectivas de melhoria vão desaparecendo no horizonte da incerteza, é necessário que lhes sejam mostrados, muito claramente, comportamentos de natureza ética.

Todos os que desempenham funções de responsabilidade no Estado, nas empresas, nas organizações e nas instituições, têm o dever de exibirem e praticarem a ética. Ela estará sempre na base de qualquer acção desta natureza.

Da responsabilidade social

Manuel Marques Barreiro

Consultor e Presidente do Conselho Geral do IPAI

Muitas vezes o Balanço Social da empresa não vai além do trivial nestas matérias. A

responsabilidade social tem de ser praticada. Não é justo ficar apenas pelas

referências doutrinárias. Torna-se obrigatório que passe a fazer parte das teorias de

desenvolvimento das organizações e ensinada com maior profundidade nas escolas

de gestão.

8


E se em condições normais de funcionamento, quer do Estado, quer dos agentes económicos, a responsabilidade social é de grande importância, então, em situações de crise declarada como a que estamos vivendo, é uma exigência urgente.

Todos os grandes especialistas em gestão defendem “ a outrance” o exercício da responsabilidade social, declarando-a como factor fundamental de desenvolvimento.

Contudo, na prática, vamos encontrar muitas vezes um desajustamento que resulta da inadequação entra a comunicação que se apregoa e a prática constatada. Muitas vezes o Balanço Social da empresa não vai além do trivial nestas matérias.

A responsabilidade social tem de ser praticada. Não é justo ficar apenas pelas referências doutrinárias. Torna-se obrigatório que passe a fazer parte das teorias de desenvolvimento das organizações e ensinada com maior profundidade nas escolas de gestão.

Na prática deve ser evidenciada nos actos e nos comportamentos de tal modo que ela também possa contribuir activamente para a criação de uma nova ordem social.

Os tempos que estamos vivendo exigem mudanças profundas.

Mudanças de natureza estrutural; seguramente. Mas sobretudo mudanças de comportamento e de atitude. Sem fracturas ou roturas estratégicas de toda a natureza, não há lugar aquele new look por todos esperado.

É pois de um novo paradigma que se trata.

Situações sociais que mostrem, sem titubear, a vontade de apostar em pôr fim à sistemática acumulação da riqueza, pois esta apropriação indevida, na nossa perspectiva, pode consubstanciar um crime social, por atentar contra os mais elementares direitos de convivência em sociedade.

A reinvenção do modelo estratégico económico e social do País nunca terá lugar se essa rotura não acontecer, pois não é com a injecção de dinheiro, mas antes com o ataque ao centro do problema: o desequilíbrio da competitividade e produtividade e a distribuição assimétrica dos rendimentos comprometendo a segurança e a paz social.

Os acontecimentos recentes à volta da corrupção sistémica, e a má gestão dos dinheiros públicos vieram trazer de novo à colação o tema da responsabilidade social.

Em resumo, a transparência e a ética, são os dois factores que, intrinsecamente ligados à responsabilidade social, em todas as suas vertentes, devem ser o seu sustentáculo, como aliás já foi dito noutro ponto deste texto.

Sem a sua presença em permanência, não

há sustentabilidade social que lhes valha.

o

Colabore com o IPAI.

Diga-nos a sua opinião para [email protected]

Audire


9


I Fórum de Auditores Internos do Sector da Saúde

“Governação, gestão de risco e auditoria interna no sector da saúde”

Coimbra, 25 de Outubro de 2010 – Hotel Tryp

10


1. O Fórum

No dia 25 de Outubro de 2010, realizou-se, em

Coimbra, o I Fórum de Auditores Internos do

Sector da Saúde, promovido pelo IPAI – Instituto

Português de Auditoria Interna, sob o tema

“Governação, gestão de risco e auditoria

interna no sector da saúde”.

O objectivo da iniciativa, que se inscreveu no lema do

IPAI – “partilhar experiências para progredir” – foi dar

um apoio incondicional à função de Auditor Interno

neste sector, de acordo com o art.17.º do DL n.º

233/2005, de 29 de Dezembro. Este decreto

determinou a transformação de trinta e uma unidades

de saúde em entidades públicas empresariais, às

quais havia sido atribuído o estatuto de sociedade

anónima de capitais exclusivamente públicos, em

anterior legislação.

O artigo 17.º deste decreto-lei prevê a existência

nestas entidades públicas empresariais de um auditor

interno com a devida qualificação, designado pelo

Conselho de Administração.

Ao auditor interno compete proceder ao controlo

interno nos domínios contabilístico, financeiro,

operacional, informático e de recursos humanos.

No âmbito das suas funções, o auditor interno deve

fornecer ao Conselho de Administração, análises e

recomendações sobre as actividades revistas, para a

melhoria do funcionamento dos serviços e propor a

realização de auditorias por entidades terceiras. O

auditor interno elabora, semestralmente, um relatório

sobre a actividade desenvolvida, onde são referidos

os controlos efectuados, as anomalias detectadas e as

medidas correctivas a adoptar.

Este relatório deve ser submetido pelo Conselho de

Administração aos Ministros das Finanças e da

Saúde. Além disso, a actividade do auditor interno

deve ser articulada com a Inspecção-Geral de

Finanças e a Inspecção-Geral das Actividades em

Saúde.

I Fórum de Auditores Internos do Sector

da Saúde

Ana Mafalda Costa

Andreia Toga Machado

Sofia Cancela Pires

Sónia Cruz


11


O sector da saúde aparece assim como pioneiro na

gestão pública em Portugal, ao prever a

obrigatoriedade da existência de Auditoria Interna nos

hospitais.

A legislação referida, em conjunto com a global e

crescente consciencialização da importância da

auditoria interna no ambiente organizacional, bem

como o inegável contributo que esta função tem vindo

a proporcionar à gestão, como um instrumento de

apoio à tomada de decisão, com critérios de

economia, eficiência e eficácia, torna premente a

implementação generalizada, desta mais-valia no

sector da saúde.

O Fórum de Auditores Internos do Sector da Saúde

destinou-se a Auditores Internos, Gestores de Risco,

Auditores da Inspecção-Geral das Actividades em

Saúde (IGAS) e a outros profissionais deste sector

interessados nos temas da governação, gestão do

risco, controlo interno e auditoria interna.

2. Dificuldades da Gestão Hospitalar

Na primeira parte do Fórum participou o Prof. Dr.

António Ferreira, Presidente do Conselho de

Administração do Hospital de São João, EPE., do

Porto, com uma intervenção sobre o modelo de

governação do hospital a que preside. Nessa

apresentação formulou várias das dificuldades que um

gestor público enfrenta para cumprir cabalmente a sua

missão e apontou a importância de dispor de Auditoria

Interna a funcionar correctamente, para o efeito.

3. O Papel dos Organismos Centrais

do Ministério

Posteriormente, o Dr. Martins Coelho, Subinspector-

Geral da IGAS, descreveu as competências deste

organismo e as actividades de inspecção e auditoria

desenvolvidas tendo dado ênfase às relações das

equipas da IGAS com os auditores internos do sector

da saúde.

A intervenção da Dra. Leonor Abecassis, do Gabinete

de Gestão de Risco e Auditoria da ACSS –

Administração Central dos Sistemas de Saúde, incidiu

sobre o papel coordenador que este organismo exerce

na gestão de risco e controlo do sector da saúde.

A manhã terminou com a apresentação de um modelo

de gestão de risco hospitalar, actividades de controlo

e sua monitorização, por parte do Dr. David Esteves,

da PriceWaterhouseCoopers – PWC. Esta entidade

contribuiu também para a realização do evento,

através da concessão de apoio financeiro.

4. Quatro Casos de Auditoria Interna

no Sector

A segunda parte do Fórum iniciou-se com a

apresentação de quatro casos ilustrativos das

actividades de Auditoria Interna no âmbito de

instituições hospitalares.

A primeira apresentação, a cargo da Dra. Andreia

Toga Machado, da Administração Regional de Saúde

do Norte, I.P., descreveu as fases de realização de um

compromisso de auditoria interna, tomando como

exemplo o processo de facturação.

A segunda apresentação, a cargo da Dra. Sofia

Cancela Pires, do Centro Hospitalar do Porto, E.P.E.,

incidiu sobre o processo de aquisição de meios

complementares de diagnóstico e terapêutica ao

exterior, destacando objectivos de controlo e auditoria,

principais conclusões e recomendações.


12


A terceira apresentação, a cargo da Dra. Ana Mafalda

Costa, do Hospital Distrital da Figueira da Foz, E.P.E.,

demonstrou a elaboração de um sumário executivo

para comunicação dos resultados de uma auditoria à

gestão de existências - Logística e Farmácia –,

relatando os objectivos, riscos, conclusões e

recomendações.

A quarta e última apresentação, a cargo da Dra. Sónia

Cruz, do Instituto Português de Oncologia do Porto

Francisco Gentil, E.P.E., evidenciou a importância da

auditoria interna na gestão da área de transporte de

doentes.

As quatro apresentações culminaram com a evidência

da utilidade da função de Auditoria Interna por

contribuir para a realização dos objectivos de gestão,

nomeadamente na optimização da receita, na

utilização eficiente dos recursos, no controlo de custos

e na salvaguarda dos activos das entidades

hospitalares.

Para finalizar foi lançada a questão, a título de

reflexão, do porquê de tão importante função ainda

não estar a funcionar em pleno em todas as

instituições hospitalares, isto apesar da sua evidente

utilidade e da obrigação legal instituída.

5. Auditoria Interna e Governação

dos Hospitais

Seguiu-se a apresentação da Dra. Elsa Baião, Vogal

do Conselho de Administração do Centro Hospitalar

da Cova da Beira, EPE, incidindo sobre a auditoria da

qualidade na sua instituição na procura de um

processo de melhoria contínua dos serviços

prestados.

O Fórum terminou com a intervenção do Vice-

Presidente do IPAI, Dr. Francisco Albino, que

apresentou o tema: Auditoria Interna no sector público

– Presente e Futuro, recordando os princípios de

governação do sector público e um recente modelo do

IIA -The Institute of Internal Auditors sobre o grau de

maturidade das auditorias internas do sector público.

6. Debate e conclusões

Nos vários períodos de debate ao longo do dia, houve

oportunidade de discutir com os colegas

representantes dos serviços centrais do Ministério

algumas questões nomeadamente sobre o estatuto da

auditoria interna, o período do seu mandato, a

elaboração e envio dos seus relatórios e a articulação

com os auditores externos e com as entidades de

inspecção e auditoria, quer do Ministério da Saúde

quer do Ministério das Finanças.

Este foi o primeiro fórum de auditores internos do

sector da saúde, marcado pela adesão de 80

participantes, vindos de diversos organismos do sector

e de todo o país, desde auditores internos, gestores

hospitalares, membros de Conselhos de

Administração, inspectores/auditores, gestores de

risco, consultores e codificadores clínicos. A

diversidade dos grupos profissionais presentes,

propiciou a discussão e debate de temas ligados à

temática da auditoria interna hospitalar de um modo

abrangente e incisivo, salientando a real importância

da auditoria interna, corroborando desta forma a

necessidade da existência desta função em

articulação com a gestão e o seu reconhecimento a

nível institucional.

Os participantes manifestaram a sua satisfação e

agrado junto da comissão organizadora, durante o

Fórum e através de contactos posteriores.

A Comissão Organizadora e o IPAI pretendem que

este seja apenas o primeiro de muitos Fóruns de

auditores internos no sector da saúde, dado o sucesso

do primeiro e a vontade de cooperação entre os

diversos hospitais e as entidades com que se

articulam.

o


13



14


Programa

“Governação, gestão de risco e auditoria interna no sector da saúde”

Coimbra, 25 de Outubro de 2010 – Hotel Tryp

8H30 – Recepção dos participantes

9H00 – Abertura (Presidente da Direcção do IPAI)

9H30 – O modelo de governação dos hospitais - Prof. Dr. António Ferreira, Presidente do CA do Hospital de S.

João, EPE

10H00 – O papel da ACSS na gestão do risco e no controlo no sector – Dra. Leonor Abecasis, Directora do

Gabinete de Gestão de Risco e Auditoria, da ACSS

10H30 – Debate

10H45 – Intervalo para café

11H15 – Competências e actividades da IGAS e relação com as auditorias internas do sector – Dr. Martins

Coelho, Subinspector-Geral da IGAS

11H45 – Modelo de gestão de risco: actividades de controlo e sua monitorização – Dr. David Esteves,

PriceWaterhouseCoopers

12H30 – Debate

13H00 – Almoço

14H00 – Apresentação de casos de Gestão de Risco e Auditoria Interna – Ana Mafalda Costa, Andreia Toga

Machado, Sofia Pires, Sónia Cruz, profissionais de Auditoria Interna do sector saúde

15H30 – Debate

15H45 – Intervalo para café

16H15 – O que deve esperar um gestor hospitalar da Auditoria Interna – Dra. Elsa Baião, Vogal do CA do Centro

Hospitalar da Cova da Beira, EPE

16H45 – Auditoria Interna no sector público – Presente e futuro – Francisco Albino, Vice-presidente da Direcção

do IPAI

17H15 – Debate

17H30 – Encerramento

PATROCÍNIO: Comissão organizadora

Francisco Albino (IPAI); Severo Soares (IPAI); Ana Mafalda Costa (Hospital Figueira da Foz); Andreia Toga Machado

(ARS Norte); Sofia Pires (CH Porto); Sónia Cruz (IPO Porto)

Novas iniciativas do IPAI no sector

da Saúde

De entre as iniciativas que se seguiram já a este Fórum o

IPAI vai incluir no seu programa de formação para 2011 um

curso especificamente dedicado à auditoria interna e

gestão de risco no sector da saúde, que será leccionado

por profissionais do sector.

Está também a ser lançada uma rede de auditores

internos do sector da saúde, através de contactos por e-

mail, por telefone ou presenciais. Através desta rede os

colegas que estão a iniciar a função de auditor interno no

sector, que têm menos experiência ou que têm especiais

dificuldades no desenvolvimento da sua actividade, poderão

entrar em contacto com colegas do sector mais experientes.

Informações sobre esta rede poderão ser solicitadas ao IPAI

([email protected] e www.ipai.pt).

Os e as colegas que queiram participar nesta rede ou em

futuras iniciativas neste domínio deverão manifestar o seu

interesse junto do IPAI.

Francisco Melo Albino, CIA, CCSA, CGAP

Vice-presidente da Direcção do IPAI



http://www.ipai.pt/

15


Artigos

1. Resumo

Actualmente, a preocupação com o risco é cada vez

mais visível, não só pela necessidade de criar valor

mas, essencialmente, pelos inúmeros factores

externos que conduziram ao relevo do risco, onde

podemos incluir a volatilidade das condições

económicas, as alterações na exposição a

determinados riscos, a pressão dos investidores, e das

agências de rating, nova legislação e o facto de as

abordagens tradicionais de gestão de risco serem

insuficientes para gerir as complexas actuais

necessidades de negócio.

Nos tempos que correm os stakeholders exigem mais

e melhor informação. A visibilidade do mercado, a

exposição ao risco e a velocidade de transmissão da

informação, com especial importância nas empresas

cotadas em Bolsa, torna fundamental a adopção de

princípios de gestão de risco, foi a essa análise que

nos propusemos ao elaborar este trabalho.

A insuficiente eficácia e fiabilidade dos mecanismos de

governo das sociedades, confirmada posteriormente

pelos diversos escândalos financeiros internacionais

ocorridos a partir dos anos oitenta, contribuíram para

que, a par dos textos legislativos, se verificasse a

proliferação de documentos recomendatórios com

maior enfoque para a gestão do risco.

A Gestão do Risco nas empresas do PSI 20

Marina Cruz, Assessora do Director Financeiro da Fapricela S.A., Docente do

ISCAC - Instituto Superior de Contabilidade e Administração de Coimbra;

Licenciatura em Contabilidade e Auditoria; Mestranda em Auditoria Empresarial e

Pública no ISCAC - Instituto Superior de Contabilidade e Administração de

Coimbra

Ana Quental, Técnica Superior na Divisão Financeira da Universidade de

Coimbra, Licenciatura em Contabilidade e Auditoria; Mestranda em Auditoria

Empresarial e Pública no ISCAC - Instituto Superior de Contabilidade e

Administração de Coimbra

Ana Henriques, Técnica Superior na Divisão Financeira da Universidade de

Coimbra, Licenciatura em Economia; Pós-Graduação em Economia

Europeia; Mestranda em Auditoria Empresarial e Pública no ISCAC -

Instituto Superior de Contabilidade e Administração de Coimbra

16


Da amostra de empresas cotadas em bolsa

seleccionámos as empresas pertencentes ao PSI20, e

tentámos fazer uma análise crítica relativa ao

cumprimento do ponto II.4 do regulamento nº 1/2007,

avaliando os itens que estas empresas focaram no

relatório do governo da sociedade do ano de 2008,

relativamente à gestão de risco. Concluímos que todas

cumprem o referido regulamento, com maior ou menor

magnitude, tendo encontrado relatórios que abrangem

uma descrição bastante pormenorizada da gestão do

risco implementada, o que é sem dúvida uma mais-

valia, com a globalização as organizações viram-se

forçadas a mudar mentalidades, e a assumir riscos

para se tornarem competitivas. A Gestão de risco é

uma função que indubitavelmente acresce valor e

ajuda as organizações a ser cada vez mais proactivas

e eficientes.

2. Corporate Governance

O conceito clássico de “governo”, entendido como

acção e efeito de mandar com autoridade ou de dirigir

com arte uma comunidade humana, permite-nos

retomar a ideia de empresa como uma sociedade de

pessoas e não apenas como uma sociedade de

capitais. A ideia de “governação” permite aproximar a

actividade empresarial dos mais nobres objectivos da

actividade política entendida como arte de governar

que precisa do talento dos artistas e, por isso, não se

deve deixar reduzir às meras técnicas de gestão.1

A reflexão sobre o Governo das Sociedades surgiu

pela harmonização dos mercados financeiros,

nivelando os parâmetros de segurança e de

organização dos agentes de mercado. As primeiras

recomendações do governo das sociedades surgiram

em 1999 pela CMVM (Comissão de Mercado e Valores

1 Corporate Governance em Portugal, José Manuel Moreira, Helena

Gonçalves, Gonçalo Almeida de Oliveira

Mobiliários), na sua penúltima redacção podemos

encontrar o seguinte:

II.1.1.2 - A sociedade deve criar um sistema interno de

controlo, para a detecção eficaz de riscos ligados à

actividade da empresa, em salvaguarda do seu

património e em benefício da transparência do seu

governo societário. (CMVM: 2007).

A estrutura de governo corporativo especifica a

distribuição de direitos e responsabilidades entre as

diferentes classes corporativas: o Conselho de

Administração, os gestores, os accionistas e outros

stakeholders, delimita os procedimentos para a tomada

de decisão sobre os aspectos corporativos.

Segundo a Organização para a Cooperação e

Desenvolvimento Económico – OCDE (1999)

Corporate Governance: “É o sistema através do qual

as organizações são dirigidas e controladas. A

estrutura do Corporate Governance especifica a

distribuição dos direitos e das responsabilidades ao

longo dos diferentes participantes na empresa – o

conselho de administração, os gestores, os accionistas

e outros intervenientes – e dita as regras e os

procedimentos para a tomada de decisões nas

questões empresariais.

Ao fazê-lo, fornece também a estrutura através da qual

a empresa estabelece os seus objectivos e as formas

de atingi-los e monitorizar a sua performance.”


17


Assim, os objectivos do governo das sociedades

podem ser resumidos da seguinte forma: melhorar o

desempenho da organização; promover a gestão de

risco; aumentar a confiança dos investidores no

mercado de capitais; melhorar a reputação da

organização através de melhor transparência e reporte

da informação e apoiar a prevenção e detecção de

comportamentos fraudulentos.

Embora a governação corporativa seja definida e

regulamentada de diferentes maneiras em todo o

mundo, organizações de todas as dimensões,

indústrias e países concordam quanto aos seus

objectivos principais: auxiliar os líderes a manter

organizações sustentáveis, merecedoras da confiança

do mercado e capazes de retornar o valor do

investimento aos seus accionistas.2

De notar, que as questões de governo societário são

igualmente relevantes fora do universo das sociedades

cotadas. São princípios importantes para outras

organizações tais como empresas e outras entidades

públicas, organizações não governamentais, mercados

de capitais, organizações internacionais, etc.3

Podemos verificar pela análise da figura seguinte que

constituem pilares do Governo das Sociedades, a

auditoria e a gestão de risco, devido à importância que

estas funções têm para uma gestão eficaz e eficiente

das organizações.

A gestão do risco muitas vezes exercida pela Auditoria

Interna encontra-se numa posição privilegiada para

auxiliar a gestão na tomada de decisões, em suma

para acrescentar valor.

Figura 1: Corporate Governance:

2Pinheiro, Joaquim, Auditoria Interna, Nyse, SEC, COSO e Corporate

Governance, consultado em http://sol.sapo.pt/blogs/jleitepinheiro/archive/2008/10/04/Auditoria-Interna_2C00_-Nyse-e-Corporate-Governance.aspx 3 Corporate Governance e responsabilidade social das empresas -

Fernando Teixeira dos Santos – Presidente da CMVM

Fonte: XIII Conferência Nacional de Auditoria Interna, IPAI, Paupério (2006)

3.Legislação aplicável, referente à Gestão do Risco

A noção da insuficiente eficácia e fiabilidade dos

mecanismos de governo das sociedades, confirmada

posteriormente pelos diversos escândalos financeiros

internacionais ocorridos a partir dos anos oitenta,

contribuiu para que, a par dos textos legislativos, se

verificasse a proliferação de documentos

recomendatórios (códigos de boas práticas) destinados

a aumentar o grau de transparência na informação

financeira, restabelecendo assim a confiança dos

mercados. Em virtude do desenvolvimento do mercado

de valores mobiliários, foram então criadas regras

quanto à estrutura e controlo das sociedades abertas

ao investimento público, com o intuito de optimizar o

seu desempenho, precavendo os interesses de todas

as pessoas e entidades envolvidas na actividade

societária.

Contudo, a introdução do conceito e das boas práticas

de gestão de risco no seio do quadro normativo do

Corporate Governance encontra-se actualmente

bastante disperso e pouco sistematizado (Beja, 2004)4.

4 Beja, Rui (2004), Risk management – Gestão, Relato e Auditoria

dos Riscos do Negócio, Áreas Editora,pg 22.


18


A excepção está presente no referencial normativo

emergido do Acordo de Basileia II, cuja matéria central

é precisamente a gestão do risco. Assinado

inicialmente em 1988, pelos bancos centrais de alguns

países, o Basileia I surge da constatação de que as

dificuldades nas condições normais de funcionamento

dos bancos poderem propagar-se a toda a economia,

sendo imprescindível uma regulamentação bancária,

nomeadamente a cobertura de riscos de crédito e de

mercado, que permita então garantir a manutenção da

estabilidade e solidez de todo o sistema económico.

Os principais objectivos do Basileia II consistem em:

fomentar a adopção das melhores práticas de gestão

de risco, de modo a preservar a solidez e a

solvabilidade dos sistemas financeiros; aumentar a

transparência da gestão de risco efectuada por cada

banco, face ao mercado e a aproximação do capital

mínimo imposto pelo regulador dos riscos tomados

pelos bancos, afastando-se do conceito de regras

simples e iguais para todos os concorrentes.

O Código dos Valores Mobiliários (CVM), em vigor

desde Março de 2000, constitui, no âmbito do direito

dos valores mobiliários, a principal fonte legislativa

sobre governo das sociedades. Complementando as

disposições de natureza legislativa do CSC (Código

das Sociedades Comerciais) e do CVM, as

Recomendações e o Regulamento nº. 7/2001, emitidos

pela CMVM, constituem actualmente, as peças

centrais do quadro regulamentar e recomendatório

nacional referente ao governo das sociedades.

O Regulamento nº. 7/2001da CMVM, cuja última

revisão ocorreu já no presente ano de 2010

(Regulamento n.º 1/2010 da CMVM), impõe às

sociedades cotadas não só o dever de indicarem

discriminadamente, em relatório anual sobre o governo

da sociedade (em capítulo ou anexo do relatório de

gestão), através de modelo pré-definido no próprio

regulamento, quais as recomendações que cumprem e

apresentar justificação para as que não cumprem

(técnica de “comply or explain”), bem como um

extenso conjunto de informações que utilizam como

quadro de referência aquelas recomendações.

O objectivo primordial do referido regulamento é o de

alinhar as empresas portuguesas “com as boas

práticas internacionais, de forma a renovar a confiança

dos investidores no mercado de capitais português e

nos modelos de governo societário nestes existentes”5.

No que respeita à organização interna das empresas,

salienta-se o ponto 2 do Regulamento n.º 1/2007,

referente à gestão de riscos, nomeadamente a

recomendação de descrição de um sistema interno de

controlo de riscos e da existência de unidades

orgânicas dedicadas à auditoria interna e/ou gestão de

riscos, considerada pela CMVM um meio privilegiado

de assegurar um governo transparente. De entre as

alterações mais significativas ocorridas desde 2001,

evidencia-se a recomendação de que o órgão de

administração inclua um número suficiente de

administradores não-executivos, que acompanhem e

avaliem a gestão dos membros executivos, e que entre

aqueles exista um número suficiente de

administradores independentes. Destaca-se ainda, no

decorrer destas alterações, a nova recomendação de

que as empresas adoptem e divulguem no relatório

uma política de comunicação interna de irregularidades

ocorridas no seu interior, que inclua os meios, os

destinatários e o tratamento dessas comunicações.

Importa também referir, no âmbito das normas

nacionais relativas à gestão de riscos, o Aviso n.º

5/2008 do Banco de Portugal que define os requisitos

quanto aos objectivos, princípios e função de um

sistema de gestão de riscos, o processo de

identificação, avaliação, acompanhamento e controlo

de riscos, bem como as responsabilidades do órgão de

administração relativamente ao sistema de gestão de

riscos.

5 Retirado do Preâmbulo do regulamento da CMVM n7/2001.


19


Este aviso ainda indica a obrigatoriedade do Relatório

de Gestão ser acompanhado de um “parecer do órgão

de fiscalização da instituição, em que seja emitida

opinião detalhada sobre a adequação e a eficácia do

sistema de controlo interno, face aos requisitos

definidos pelo presente Aviso” ou um parecer do

revisor oficial de contas “sobre a adequação e a

eficácia da parte do sistema de controlo interno

subjacente ao processo de preparação e de divulgação

de informação financeira” (art. 25º do Aviso n.º 5/2008

do Banco de Portugal).

4. Enterprise RisK Management – Gestão

do risco

Muito se tem dito acerca da suficiência e eficácia dos

relatos financeiros e da gestão tradicionais, mas as

conclusões são claras e convergem para um

denominador comum o modelo tradicional está

obsoleto.

No centro dos estudos efectuados, o tema risco do

negócio permanece como elemento comum, segundo

Beja (2004)6 praticar o acto de negócio implica

enfrentar todo o tipo de riscos: dentro, fora e em redor

da respectiva entidade empresarial. No entanto,

apenas recentemente o controlo e informação dos

riscos do negócio começa a constituir um tema central

nos princípios de governação empresarial, e uma

componente fundamental dos relatos financeiros e de

gestão.

Relativamente aos riscos do negócio, podemos

resumir que os desafios que se colocam à gestão

equivalem, a: assumir os riscos empresariais

indispensáveis; assegurar que os riscos incorridos

respeitam os actuais parâmetros de ética nos negócios

e de relacionamento com os stakeholders; conseguir o

6 Beja, Rui (2004), Risk management – Gestão, Relato e Auditoria

dos Riscos do Negócio, Áreas Editora,pg 22.

equilíbrio entre a pressão para evitar riscos

significativos e a pressão para aumentar a

performance e o valor para os investidores e evitar

riscos de quebra de reputação, incompatíveis com a

salvaguarda da imagem institucional.

É neste contexto que o risk management se enquadra

como um dos mais relevantes elementos dos novos

parâmetros de governação empresarial.

As situações que ocorreram a nível mundial em termos

de fraudes financeiras vieram merecer a atenção do

COSO7, de modo a evoluir-se para um referencial

comum ao nível da gestão do risco empresarial

(Enterprise Risk Management - ERM). Em Junho de

2002, foi iniciado um projecto com a colaboração de

uma das principais firmas de auditoria

PricewaterhouseCoopers (PWC) com o objectivo de

ser definida uma base conceptual e metodológica

quanto à gestão do risco empresarial, tendo em 2004

sido publicados os documentos denominados

"Enterprise Risk Management - Executive Summary

Framework", e "Enterprise Risk Management -

Integrated Framework. Aplication Techniques", os

quais certamente influenciaram os fundamentos das

actuais Normas Internacionais de Auditoria.

Em 2004 o COSO publica o seu 3º relatório: Enterprise

Risk Management – Integrated Framework, colocando

agora claramente o foco da sua atenção quanto aos

sistemas de governo das organizações, já não no

sistema de controlo interno, mas antes, no sistema de

gestão do risco.

7 COSO – The Committee of Sponsoring Organizations of the

Treadway Commission

Organização do sector privado dedicada a melhorar a qualidade dos Relatórios financeiros considerando a ética do negócio, o efectivo controlo interno e a governação.


20


O COSO define Enterprise Risk Management (ERM): “

como um processo levado a cabo pela administração,

direcção e outro pessoal de uma entidade para a

fixação da sua estratégia, e concebido para identificar

potenciais eventos que possam afectar a entidade e

gerir o risco, para que este se mantenha adequado ao

apetite de risco da organização, no sentido de fornecer

razoável segurança de que os objectivos da entidade

serão cumpridos” (COSO, 2004).

Frank et al (2003, citado por Beja 2004) afirma que

“Enterprise Risk Management é uma abordagem

completa e sistemática para ajudar as organizações,

independentemente da dimensão ou missão, a

identificar eventos, e medir, priorizar e responder aos

desafios de risco dos projectos e iniciativas que

assumem. Enterprise risk management permite às

organizações determinar o nível de risco que podem -

ou querem - aceitar na procura de criar valor para os

investidores. A incerteza é uma espada de dois gumes:

cria tantos riscos como oportunidades, que tanto

podem retirar como acrescentar valor. Enterprise risk

management oferece uma estrutura para gerir

eficazmente a incerteza, respondendo aos riscos e

explorando as oportunidades que surjam”

O ERM compreende assim vários conceitos e

actividades com a preocupação de a entidade:

o proceder ao alinhamento do apetite de risco com

a estratégia;

o favorecer as decisões de resposta ao risco;

o reduzir as surpresas operacionais e as perdas;

o identificar e gerir múltiplos riscos transversais à

entidade;

o estar preparado para aproveitar as

oportunidades (o risco não representa apenas

potencial de perda mas também de

oportunidade).

O âmbito de avaliação do risco do negócio é global,

devendo no entanto ser organizado por categorias de

forma a aliar as grelhas de enquadramento dos riscos.

Estas categorias devem ser definidas com uma

extensão suficientemente alargada, de forma a permitir

a inclusão das múltiplas realidades existentes em cada

empresa, ou grupo empresarial, o que podemos aferir

pela análise do quadro seguinte:

Quadro 1 – Âmbito do Risk Management:

Fonte: Beja, Rui - Contributos para um Projecto de Desenvolvimento do Risk Management em Portugal

A implementação do modelo ERM nas organizações traz diversas vantagens competitivas dentre as quais se podem

destacar as constantes no quadro seguinte:


21


Quadro 2: Vantagens do Risk Management

Fonte: Beja, Rui - Contributos para um Projecto de Desenvolvimento do Risk Management em Portugal

Para Zárate (referido por Castanheira, 2007)8, esta

nova abordagem constitui uma ferramenta de gestão

moderna, fundamental para a implementação de uma

cultura orientada para a criação de valor para o

accionista, que dinamiza a gestão e proporciona novos

elementos para a tomada de decisões.

Segundo Castanheira (2007), uma vez que cada

organização é única em termos estruturais, culturais e

operacionais, predefinir uma lista de riscos para

diferentes entidades não é mais do que tentar

identificar os riscos próprios da actividade. Assim, o

processo de ERM inicia-se com a identificação e

priorização numa base consistente de todos os riscos

enfrentados pela organização. Numa segunda fase,

8Castanheira, Nuno, Rodrigues Lúcia Lima, (2007) Gestão

Risco – da abordagem tradicional à gestão de risco

empresarial (ERM), Revista Auditoria Interna nº 26

segue-se a avaliação e mitigação dos principais riscos,

sendo que os mesmos devem ser priorizados

atendendo à sua probabilidade, ao valor actual do seu

impacto e à qualidade dos controlos já implementados.

Por último, o passo final no processo de ERM é a

monitorização contínua dos riscos, quer seja novos ou

já previamente identificado.

Vejamos cada uma das componentes da Gestão

do Risco Empresarial dentro da abordagem

metodológica específica do COSO mais

detalhadamente:

Ambiente Interno - Incorpora a cultura de uma

organização e cristaliza as bases segundo as

quais o risco é visto e gerido pelos

colaboradores dessa empresa, incluindo a

filosofia de gestão do risco, a apetência para

o risco, a integridade e os valores éticos,

bem como o ambiente em que se trabalha.


22


Corpos de Objectivos - Os objectivos devem

existir para que a gestão possa identificar os

eventos potenciais que podem afectar a

prossecução desses objectivos. A Gestão do

Risco assegura que a gestão dispõe de um

processo para estabelecer objectivos e

que os objectivos escolhidos são consistentes

com o nível de risco aceite.

Identificação de Eventos - Os eventos

externos e internos que afectam a

capacidade da organização alcançar os seus

objectivos devem ser identificados,

distinguindo claramente risco e oportunidades.

Avaliação do Risco - Os riscos são

analisados, considerando a sua natureza e

impactos, como base para determinar como

devem ser geridos.

Resposta ao Risco - A gestão escolhe as

respostas ao risco (evitar, aceitar, reduzir

ou partilhar) desenvolvendo um conjunto de

acções tendo em vista o seu alinhamento

com a tolerância da organização ao risco.

Actividades de Controlo - São estabelecidos

e implementados políticas e procedimentos

para assegurar que as respostas ao risco

são efectivamente levadas a cabo e de

forma consistente.

Informação e Comunicação - A informação

relevante é identificada, classificada e

comunicada, para que os colaboradores

possam cumprir com as suas

responsabilidades.

Monitorização - Toda a gestão do risco é

monitorizada e são implementadas

modificações na medida do necessário. A

monitorização é realizada no decurso das

actividades normais da gestão ou através de

avaliações separadas.

Estas componentes são as condições e pressupostos

que a empresa deve preencher para atingir os

objectivos do seu sistema de Risk Management (RM),

quaisquer que sejam os objectivos estratégicos,

operacionais, de relato e de compliance com a

legislação e regulamentação aplicáveis.

Segundo Castanheira (2007), podemos concluir que o

processo de ERM assume-se como uma ferramenta

fundamental para assegurar com razoabilidade a

concretização dos objectivos estratégicos. Não

obstante, importa salientar a existência de alguns

obstáculos à implementação de um processo eficaz de

ERM.

É quase redundante dizer que qualquer organização

necessita de um forte clima ético, uma madura cultura

de risco ou uma cultura de conformidade para a

implementação com sucesso de ERM. São múltiplos os

estudos desenvolvidos que identificaram a cultura das

organizações como uma das principais barreiras à

implementação de ERM. A difusão desta cultura deve

partir da gestão de topo, auxiliada pela auditoria

interna.

5. A importância da Auditoria Interna na Gestão do Risco

Na redefinição do conceito e âmbito da auditoria interna

operada em 2000, o Institute of Internal Auditors (IIA)

acompanhou a preocupação que vinha sendo sentida

na esfera da governação das empresas e outra

organizações, tendo introduzido a noção do risco como

um dos focos da actividade dos auditores internos.

Isto está claramente demonstrado na definição oficial

de auditoria interna quando o IIA refere que a auditoria

interna “ajuda a organização a atingir os seus

objectivos, fornecendo uma abordagem sistemática e

disciplinada na avaliação da eficácia dos processos de

gestão do risco, controlo e governação”.


23


De entre as normas profissionais a que estão obrigados

os auditores internos, salienta-se a ND 2110, a

propósito da natureza do trabalho da auditoria interna.

Toda ela é dedicada ao papel dos auditores internos na

gestão do risco.

IIA, ND 2110 – Gestão do risco:

“A actividade de auditoria interna deve apoiar a

organização na identificação e avaliação das

exposições significativas aos riscos e contribuir para o

aperfeiçoamento dos sistemas de gestão do risco e

controlo. A actividade de auditoria interna deve

monitorizar e avaliar a eficácia dos sistemas de gestão

do risco da organização.

A actividade de auditoria interna deve avaliar as

exposições ao risco relativas à governação, operações

e sistemas de informação da organização, quanto a:

confiança e integridade da informação financeira e

operacional; eficácia e eficiência das operações;

salvaguarda dos activos; conformidade com as leis,

regulamentos e contratos.”

Segundo Morais (2007)9 o auditor interno deve verificar

se a metodologia adoptada para implementar o

processo da gestão de risco é entendida pelos

diferentes grupos de interesses envolvidos no

Governance da entidade. Embora seja tarefa da gestão

conceber uma metodologia da gestão de risco, cabe

aos auditores internos auxiliar a entidade na sua

identificação e avaliação.

A Auditoria Interna baseada no risco surge-nos na

base da pirâmide do alinhamento dos processos de

negócio com a gestão de risco.

9Morais, Georgina, Martins, Isabel, Auditoria Interna - Função

e Processo, p.93

Figura 3: Auditoria Interna baseada no risco:

Fonte: XIII Conferência Nacional de Auditoria Interna, IPAI, Paupério (2006)

Segundo Paupério (2006), a interligação entre a

gestão de topo e a auditoria interna assenta, em

especial, no processo gestão de risco, é através desta

que a auditoria interna exerce o seu papel de principal

aliada da gestão de topo.

Esta opinião é também validada pelo IIA, que num

texto sobre o ERM, defende que os auditores internos

desempenham uma função essencial no que toca à

avaliação da eficácia da gestão dos riscos e na

recomendação de possíveis melhorias.10

.

6. Análise Empírica

O estudo baseia-se na análise dos relatórios do

governo das sociedades de 2008 das empresas do

PSI20 e verificação do cumprimento destas quanto ao

constante no ponto II.4. do Regulamento nº1/2007 da

CMVM.

O ponto II.4. da CMVM refere que deve ser feita uma

“descrição dos sistemas de controlo interno e de

gestão de risco implementados na sociedade,

designadamente, quanto ao processo de divulgação de

informação”.

10

COSO Releases New ERM Framework, em http://www.theiia.org/guidance/additional-resources/coso-related-resources/coso-releases-new-erm-framework/?search=COSO Releases New ERM Framework


24


Para a nossa análise do nível de cumprimento do

descrito na recomendação II.4. do Regulamento

nº1/2007 da CMVM destacámos oito pontos que

considerámos mais relevantes para testar o grau de

conformidade relativamente à referida recomendação.

Foram efectuadas análises quantitativas, qualitativas e

comparativas entre as diversas sociedades e

respectivos sectores quanto ao nível de cumprimento

do referido ponto regulamentar permitindo-nos tecer

algumas considerações.

6.1- Análise qualitativa

A pesquisa foi efectuada na página da internet das

empresas seleccionadas para o estudo, de forma a

validarmos o cumprimento do ponto II.4. do

Regulamento da CMVM nº 1/2007.

Da análise efectuada às empresas do PSI-20, verifica-

se que todas as empresas têm um relatório anual

sobre o governo das sociedades e que todas cumprem

o ponto II.4. do Regulamento da CMVM nº 1/2007,

evidenciando, por norma, na 1ª página do Relatório as

empresas identificam quais as recomendações do

regulamento da CMVM que cumprem e qual o seu

posicionamento no relatório e quando não cumprem o

motivo da não adopção dessas recomendações.

Nos relatórios no ponto onde é abordado a questão da

Estrutura e competência, é mencionado que as

sociedades devem criar sistemas internos de controlo,

para a detecção eficaz de riscos ligados à actividade

da empresa, em salvaguarda do seu património e em

benefício da transparência do seu governo societário.

Todas referem que compete ao Conselho de

Administração assegurar que a Sociedade actua de

forma consentânea com os seus objectivos, não

devendo delegar a sua competência, designadamente,

no que respeita a: definir a estratégia e as políticas

gerais da Sociedade, a estrutura empresarial do grupo

e as decisões que devam ser consideradas

estratégicas devido ao seu montante, risco ou às

suas características especiais.

A Gestão de Risco empresarial é um processo

desenvolvido pela gestão de topo, cabe a esta aprovar

formalmente a política de controlo de riscos. É da

responsabilidade da gestão de topo supervisionar o

estabelecimento e avaliação dos processos de gestão

de risco e de controlo, contudo, os colaboradores

devem partilhar a responsabilidade pela qualidade,

eficácia dos controlos e da gestão do risco.

O regulamento aplicado é o da CMVM nº1/2007, este

não refere explicitamente a obrigatoriedade da

existência de um órgão especializado para gestão do

risco, no entanto, na anterior redacção o regulamento

da CMVM nº7/2001 no seu capitulo III – regras

societárias, referia que deveria ser feita uma descrição

dos procedimentos internos adoptados para o controlo

de risco na actividade da sociedade, designadamente

a existência de unidades orgânicas dedicadas à

auditoria interna e/ou à gestão de riscos.

Neste âmbito, constatámos que apenas a Sonae

SGPS, Soane Indústria, BCP, BPI, Brisa, EDP, Galp

Energia, Mota Engil, Portugal Telecom, EDP

Renováveis possuem um órgão especializado de

gestão de risco, sendo que as restantes possuem uma

comissão de auditoria e/ou controlo interno que

também acumulam a função de gestão de risco, à

excepção da Altri que apenas menciona a existência

de órgãos de controlo de gestão, que exercem a sua

actividade a todos os níveis das empresas auxiliados

pelo Revisor Oficial Contas e pelos auditores externos.


25


Denota-se que a gestão de risco assume uma

importância acrescida, sendo que é no sector bancário

que se expressa claramente que a gestão de riscos é

encarada como um vector primordial para a

rendibilidade e para a sustentabilidade do negócio. O

que se entende tendo em conta o acordo de Basileia

que implementou medidas para a regulamentação

bancária.

As empresas Semapa, Zon Multimédia, Sonae Com e

a EDP Renováveis não definem quais os

objectivos/missão do órgão especializado na gestão do

risco, no entanto a existência de um órgão

especializado leva-nos a crer que está implícito que a

sua criação pressupõem que foram definidos os seus

objectivos e missão a priori.

Quanto à identificação dos riscos constatámos que da

amostra apenas as empresas Teixeira Duarte e REN

não identificam os riscos a que estão expostas, ou os

que estão no âmbito do sistema gestão do risco que se

encontra implementado.

Todas as organizações enfrentam uma quantidade de

riscos que afectam diversas partes da organização, é

importante que a Gestão esteja atenta para a

necessidade de gerir não só os riscos individuais, mas

também o impacto dos riscos que se cruzam e

interligam.

Uma das componentes de ERM é a identificação de

eventos que possam ter impacto e que devem ser

identificados, essa identificação inclui factores internos

e externos à entidade e que devem ser categorizados

de forma a criar uma linguagem de risco comum a toda

a organização e formar uma base para considerar

estes eventos numa perspectiva de portfolio.

Desta análise, verificámos que as restantes empresas

da amostra, para além dos riscos inerentes ao seu

próprio negócio, identificam também os riscos

financeiros. No entanto, é importante salientar que, nos

tempos que correm, cada vez mais surge a

preocupação com outros tipos de riscos,

nomeadamente os sociais, ambientais e de

sustentabilidade, tornando-se esta

divulgação/preocupação num factor diferenciação.

Temos como exemplos a Portucel, BES e EDP que

mencionam a sua preocupação com os riscos

ambientais; a PT e ZON mencionam os riscos de

regulação e concorrência e a Mota Engil e Jerónimo

Martins os riscos de reputação, sendo que esta última

salienta ainda os riscos de compliance.

Das empresas que identificam os riscos, à excepção

da Teixeira Duarte e da Ren, todas apresentaram

medidas para mitigar os riscos identificados.

Os objectivos da gestão de risco devem estar

alinhados com os objectivos definidos no planeamento

estratégico.

O objectivo do programa de gestão de risco é o de

auxiliar as unidades de negócio a atingirem os seus

objectivos, através da monitorização dos efeitos das

variáveis de risco nos resultados da Empresa.

Nos relatórios da Mota Engil, Jerónimo Martins,

Portugal Telecom, BCP, BES, EDP, Sonae SGPS,

Sonaecom, Zon e Sonae Industria é notória a

importância que a gestão de riscos tem como objectivo

central para a criação de valor, através de processos

de gestão e controlo das incertezas e ameaças.

Denota-se que a exposição ao risco deverá estar

subordinada à estratégia e que o processo de gestão

de risco é da responsabilidade de cada uma das áreas

de negócio do grupo. Estas empresas adoptam uma

concepção de que a gestão de risco é efectuada ao

longo de toda a organização, como um todo, ao invés

de cada área gerir os seus próprios riscos, a análise

aos riscos é transversal a toda a organização.


26


Outra componente do modelo ERM é a avaliação de

risco, que permite que a entidade compreenda a

extensão com que os eventos potenciais possam ter

impacto na realização dos objectivos. Estes riscos

devem ser analisados em duas vertentes, a

probabilidade de ocorrer e o impacto que pode causar.

Uma das ferramentas utilizadas para auxiliar a

centralizar a informação sobre a gestão de riscos é

através da construção do mapa de riscos que

consolida e agrupa os riscos por classes, permitindo

assim uma visão lógica e dinâmica dos riscos do

negócio.

As empresas que manifestam claramente a existência

da priorização dos riscos e o seu mapeamento são o

BCP, BPI, Cimpor, EDP e Zon. A Mota Engil refere que

está em curso o mapeamento de risco para cada uma

das empresas materialmente relevantes, pois este

processo irá garantir um carácter dinâmico na

monitorização do risco em cada uma das operações,

promovendo acções adequadas em função do risco

percepcionado e acompanhando a sua evolução.

As empresas Sonae SGPS, Sonae Industria, Zon

Multimedia, Sonaecom, BCP, BES, BPI, Mota-Engil,

Jerónimo Martins e REN referem que a organização e

o processo de gestão de risco contemplam as

componentes de identificação e avaliação de riscos, de

definição de estratégias de gestão, de implementação

dos processos de controlo, e de monitorização do

processo.

Por se distinguirem das restantes pela positiva,

gostaríamos de realçar que as empresas Sonae

SGPS, Sonae Industria e Sonaecom mencionam que a

gestão de risco, enquanto pilar da cultura corporativa,

é inerente a todos os processos de gestão, e é

assumida como uma preocupação constante de todos

os gestores e colaboradores do Grupo. Para além

destas, também a Jerónimo Martins realça, que um

dos objectivos da Gestão de Risco é promover a

consciencialização dos colaboradores em matéria de

riscos, e dos efeitos positivos e negativos de todos os

processos que influenciam as operações e que

constituem fontes de criação de valor.

É nosso entendimento que este factor merece ser

realçado pois o processo de RM deve envolver todos

os colaboradores, acrescendo ainda que a Sonae

SGPS e a Sonae Industria reforçam que as suas

empresas estimulam a formação contínua e a adopção

das melhores metodologias e práticas internacionais

nas áreas de Gestão de Risco e Auditoria Interna.

Nesse sentido, apoiam a frequência de um programa

de formação e actualização de conhecimentos que

inclui a certificação profissional internacional em

Auditoria Interna promovida pelo IIA - The Institute of

Internal Auditors - o Certified Internal Auditor (CIA).

6.2- Análise quantitativa

Análise do grau de cumprimento das

recomendações da CMVM

Com base na informação disponível nos relatórios e

contas respeitantes ao exercício de 2008, em especial

na parte relativa ao governo das sociedades, das

empresas cotadas no mercado de cotações oficiais

(Euronext Lisbon), a nossa análise consistiu na

avaliação do cumprimento das recomendações sobre o

governo das sociedades, nomeadamente o referente à

gestão de risco, por parte das empresas pertencentes

ao PSI20 (ponto II.4 do Regulamento N.º 1/2007 da

CMVM).

Após a análise dos Relatórios de Contas das

sociedades em estudo e tendo em conta a

recomendação n.º II.4 do referido regulamento da

CMVM e toda a literatura referente a matérias de

gestão de risco, destacámos os seguintes pontos que,

na nossa opinião, são fundamentais em qualquer

processo de gestão de risco:


27


Existência de um órgão especializado de

gestão de risco;

Identificação da função, missão e objectivos do

órgão especializado de gestão de risco;

Identificação dos principais riscos a que a

sociedade está sujeita;

Implementação de medidas para mitigar os

riscos identificados;

Definição dos objectivos do Programa de

Gestão de Risco;

Identificação do órgão que define a Política de

Gestão de Risco;

Determinação das áreas onde é implementado

gestão de risco;

Definição dos princípios e das fases do

processo de gestão de risco.

Para cada uma das sociedades verificámos a

existência ou a falta de divulgação no Relatório de

Gestão de cada um desses pontos. O quadro 3, que se

apresenta de seguida, resume os resultados desta

análise.

Quadro 3- Cumprimento de Pontos do Relatório

Função e

objectivos do

orgão

especializado

de gestão do

risco

Identificação

principais

riscos

Medidas

Implementada

s

Objectivos

do PGR -

Programa de

Gestão do

risco

Identificação

do Orgão

que define a

PGR

Áreas onde é

implementada

Fases do

processo de

gestão de

risco

N.º de

requisitos

cumpridos

por empresa

Média por

empresa

Teixeira Duarte Departamento de Auditoria Interna 0 1 0 0 0 0 0 0 1 13%

Sonae SGPS Centro Corporativo: Departamento de Gestão de Risco e Ambiente 1 1 1 1 1 0 1 1 7 88%

Sonae Indústria Gabinete de Auditoria e Gestão de Risco 1 1 1 1 1 0 0 1 6 75%

Semapa Comisão de Controlo Interno 0 0 1 1 1 1 0 0 4 50%

Zon Multimédia Conselho de Administração/Comissão de Auditoria 0 1 1 0 0 1 0 1 4 50%

SoaneCom Comissão de Auditoria e Finanças 0 0 1 1 1 0 0 1 4 50%

Altri ROC e Auditores 0 0 1 0 0 0 0 0 1 13%

BCP Comissão de Risco 1 1 1 1 1 1 1 1 8 100%

BES Comissão de Auditoria e ROC 0 1 1 0 0 1 1 1 5 63%

BPI Comissão Executiva de Riscos de Mercado e de Riscos de Crédito 1 1 1 1 1 1 1 1 8 100%

BRISA Comissão de Auditoria e Gestão de Riscos 1 1 1 0 1 1 1 0 6 75%

CIMPOR Gabinete de Auditoria Interna 0 1 1 1 1 1 1 0 6 75%

EDP Comissão de Auditoria, Comité do Risco e Direcção de Gestão de Risco 1 1 1 1 1 1 1 0 7 88%

Galp Energia Comité de gestão de risco 1 1 1 1 1 1 1 0 7 88%

Mota Engil Gabinete de Auditoria e Risco 1 1 1 1 0 1 0 1 6 75%

Portugal Telecom Comissão de Auditoria e Núcleo de CI e GR 1 1 1 0 1 1 0 0 5 63%

EDP Renováveis Comissão de Auditoria e Controlo e Direcção de Gestão de Risco 1 0 1 1 1 1 0 0 5 63%

Portucel Comisão de Controlo Interno 0 1 1 1 0 1 1 0 5 63%

Jerónimo Martins Comissão de Auditoria/Auditoria Interna 0 1 1 1 1 1 1 1 7 88%

Ren Comissão de Auditoria 0 1 0 0 1 1 0 0 3 38%

10 16 18 13 14 15 10 9 105 66%

50% 80% 90% 65% 70% 75% 50% 45%

Pontos Focados

N.º de empresas cumpridoras por requisito

Média

Em

presa

s

Existência de orgão especializado

Fonte: Elaboração Própria

De entre as vinte sociedades estudadas, apenas

metade dispõem de um órgão especializado de gestão

de risco, isto é, o Conselho de Administração delega

algumas competências e responsabilidades de gestão

de risco a gabinetes, direcções ou departamentos

integrados na estrutura funcional de cada sociedade.

As restantes sociedades aliaram as competências de

gestão de risco às numerosas competências em

matéria de controlo interno das Comissões de

Auditoria.


28


Apenas a Altri delega estas competências de gestão

de risco a entidades externas, nomeadamente ao ROC

e auditores externos, não possuindo uma estrutura de

gestão de risco interna, com as consequentes

desvantagens que desse facto resultam.

Analisando os resultados obtidos, constata-se que a

média de cumprimento dos pontos por nós

destacados, intimamente ligados à recomendação II.4

do Regulamento n.º 1/2007, pelas sociedades cotadas

do PSI20 foi de 66%, contribuindo positivamente para

este resultado sobretudo o BCP e o BPI.

Gráfico 1 – Nível de Cumprimento por Sociedade

Fonte: Elaboração própria

Analisando o gráfico 1, verifica-se que as várias

sociedades apresentam uma grande heterogeneidade

no cumprimento, existindo sociedades que cumprem

menos de metade das recomendações, três cumprem

apenas metade dos requisitos, outras que cumprem

quase que integralmente todas as recomendações e

outras duas chegam ainda a cumprir 100 % dos pontos

analisados.

Gráfico 2- Nível de Cumprimento por Sector


Por outro lado, realizando uma análise comparativa

entre sectores, existe um inequívoco destaque do

sector bancário, onde as sociedades bancárias

apresentam um cumprimento de mais três quartos dos

pontos focados, cabendo o cumprimento referido de

100% ao BCP e BPI. Pelo contrário, o sector do Papel

e Madeira é aquele que apresenta o menor grau de

cumprimento, motivado essencialmente pelo nível de

cumprimento da sociedade ALTRI que reúne o nível

mais baixo de entre as sociedades que correspondem

ao PSI 20 (com um nível de 13%), absorvendo os bons

resultados das restantes sociedades do sector (a

Sonae Indústria e a Portucel com um nível de 75% e

63%, respectivamente).

Gráfico 3-Nível de Cumprimento por requisito

Fonte: Elaboração própria

No que concerne ao nível de cumprimento dos pontos

por nós focados, o maior destaque vai para a

identificação de riscos que arrecada 90% (gráfico 3).


29


Ou seja, 90% das empresas do PSI20 identificam os

riscos a que a sua actividade está sujeita,

nomeadamente os riscos financeiros e operacionais.

De entre estas sociedades, merece especial destaque

o sector bancário, que identifica de uma forma

detalhada as várias categorias de riscos a que está

sujeita. Apenas as sociedades Teixeira Duarte e REN

não identificam no seu Relatório de Contas os riscos

do seu negócio.

Elevada adesão mereceu igualmente o ponto de

identificar a função e objectivos do órgão especializado

de gestão do risco, com 80%. Têm também especial

interesse, pelo seu significado, os resultados obtidos

relativamente ao cumprimento da identificação do

órgão que define a Política de Gestão de Risco e

definição dos objectivos do programa de gestão de

risco, com 75% e 70%, respectivamente. Quanto aos

restantes pontos – identificação de medidas

implementadas para mitigar os riscos identificados, as

fases do processo de gestão de risco e as áreas onde

este processo é implementado, beneficiaram de um

modo geral de um grau de cumprimento razoável,

situado entre os 65% e 50%.

Realizando também uma análise sectorial, verifica-se

que o ponto com maior destaque – identificação de

riscos – assume maior importância nos sectores da

banca e das telecomunicações.

Quadro 4- Nível de Cumprimento por Sector


As novas recomendações – o Regulamento n.º

1/2010 da CMVM

No início do presente ano, a CMVM aprovou as novas

recomendações para o Governo das Sociedades das

empresas cotadas, sugerindo regras mais restritas aos

administradores das empresas cotadas.

Estas novas recomendações focaram sobretudo três

grandes áreas: remuneração dos administradores, o

funcionamento dos sistemas de controlo de risco e a

independência dos auditores externos.

Para que as empresas consigam gerir melhor os riscos

que enfrentam nas suas actividades, a CMVM propõe

mais sete dicas. Segundo a CMVM, os sistemas

internos de controlo e gestão de riscos devem passar a

integrar as seguintes componentes:


30


1) Fixação dos objectivos estratégicos da

sociedade em matéria de assumpção de riscos;

2) Identificação dos principais riscos ligados à

concreta actividade exercida e dos eventos

susceptíveis de originar riscos;

3) Análise e mensuração do impacto e da

probabilidade de ocorrência de cada um dos riscos

potenciais;

4) Gestão do risco com vista ao alinhamento dos

riscos efectivamente incorridos com a opção

estratégica da sociedade quanto à assunção de

riscos;

5) Mecanismos de controlo da execução das

medidas de gestão de risco adoptadas e da sua

eficácia;

6) Adopção de mecanismos internos de

informação e comunicação sobre as diversas

componentes do sistema e de alertas de riscos;

7) Avaliação periódica do sistema implementado e

adopção das modificações que se mostrem

necessárias.

O regulador adianta também que a responsabilidade

pela criação e o funcionamento dos sistemas de

controlo de risco deverá caber ao órgão de

administração, enquanto a responsabilidade de avaliar

a sua eficácia e de propor o seu ajustamento às

necessidades da sociedade caberá ao órgão de

fiscalização.

Visto ter surgido, no período do estudo, um novo

regulamento que abarca novas recomendações no que

toca aos sistemas de controlo interno e gestão de

riscos, pareceu-nos importante identificar as

sociedades que já em 2008 seguiam estas

recomendações, presentes no regulamento de 2010.

Quadro 5 - Novas Recomendações



31


Pela análise do quadro 5, podemos constatar que, mais

uma vez, o primeiro lugar pertence a uma sociedade do

sector bancário – o BCP, que reúne um nível de

cumprimento de 100% das novas recomendações; a

Mota Engil, a EDP renovável e Jerónimo Martins

cumprem três quartos das novas recomendações; a

Altri e a Teixeira Duarte são, como seria de esperar e

comprovando a análise anteriormente realizada

referente à recomendação II.4 do já citado

Regulamento n.º 1/2007 da CMVM, as que apresentam

um menor nível de cumprimento; a identificação dos

principais riscos (económicos, financeiros e jurídicos) é

a recomendação que é seguida pela maioria das

sociedades do PSI 20, à excepção da REN que, no seu

Relatório do Governo das Sociedade, não divulga os

principais riscos que enfrenta do desenvolvimento da

sua actividade; a descrição da actuação e eficácia do

Sistema de Gestão de Riscos aparece como a

recomendação que menos é seguida. Apenas o BCP

faz referência no seu Relatório de Gestão a prática de

descrever a actuação do seu sistema de gestão de

risco, bem como a sua eficácia.

Em síntese, de uma maneira geral, as sociedades já

referem no seu Relatório do Governo das Sociedades,

do exercício de 2008, as novas recomendações

emanadas em 2010 pela CMVM, evidenciando a

crescente preocupação pelo acompanhamento e

controlo dos riscos que qualquer sociedade enfrenta no

decorrer da sua actividade.

7.Limitações

As limitações com que nos deparámos, ao longo do

estudo que efectuámos, estão relacionadas com o

facto de os dados recolhidos incidirem apenas na

informação que é divulgada no relatório do governo das

sociedades, o que poderá reflectir nas conclusões

obtidas. Desta forma, as conclusões retiradas do nosso

estudo podem não caracterizar a realidade das práticas

seguidas pelas sociedades analisadas. De facto, a não

divulgação no Relatório de Governo das Sociedades

dos procedimentos de gestão de risco não quer dizer

que estes não estejam implementados nas sociedades.

Para um estudo mais aprofundado, seria necessário a

recolha de informação complementar, nomeadamente

através da realização de questionários às sociedades

em questão.

8.Conclusão

O presente trabalho de investigação procurou analisar

o cumprimento do ponto referente à gestão de risco do

regulamento nº 1/2007 nas organizações cotadas no

PSI-20. Mostrou-se que a introdução de novas

metodologias de gestão de riscos através dos

regulamentos da CMVM representa um papel inovador

e diferenciador nas organizações referidas, permitindo-

nos concluir que na amostra todas as empresas

cumprem este requisito, apesar de termos constatado

que é no sector bancário e nas empresas Sonae

SGPS, EDP, Galp Energia e Jerónimo Martins, que é

feita uma descrição mais exaustiva da gestão de risco.

Denota-se também uma maior preocupação com

outros tipos de riscos, fruto da importância que cada

vez mais se dá a matérias como a sustentabilidade,

responsabilidade social, ambiente, compliance e

corporate governance, é importante referir que estes

riscos não são novos, mas as organizações só agora

começam a atribui-lhes importância.

No decorrer deste trabalho foi emanada pela CMVM o

regulamento nº 1/2010 que revoga o regulamento nº

1/2007 e que vem definir regras ainda mais restritas e

esclarecer quais as divulgações que as empresas

devem fazer em matéria de gestão do risco, definindo

quais as componentes que os sistemas de gestão de

risco devem conter.


32


Pela sua pertinência, efectuámos uma breve análise às

empresas da nossa amostra para verificar em que

medida é que as empresas já estariam a cumprir esta

nova recomendação.

Após o estudo efectuado, podemos concluir que a

gestão do risco tem ganho um enfoque cada vez maior

nas organizações e só as empresas que adoptem esta

metodologia conseguirão criar valor, no mundo

globalizado de hoje não se pode fugir do risco, mas

deve-se saber viver com ele.

9.Bibliografia:

AZEVEDO, Belmiro, Transcrição da Intervenção no Risk Management Forum 2005 FERMA, Lisboa 3 de Out.20 05

BEJA, Rui (2004), Risk management – Gestão, Relato e Auditoria dos Riscos do Negócio, Áreas Editora

CASTANHEIRA, Nuno, Rodrigues Lúcia Lima, (2007) Gestão Risco – da abordagem tradicional à gestão de risco empresarial (ERM), Revista Auditoria Interna nº 26

Corporate Governance e responsabilidade social das empresas - Fernando Teixeira dos Santos – Presidente da CMVM

COSO Releases New ERM Framework, em http://www.theiia.org/guidance/additional-resources/coso-related-resources/coso-releases-new-erm-framework/?search=COSO Releases New ERM Framework

IPAI, (2007), Práticas profissionais de Auditoria Interna

MORAIS, Georgina e Martins, Isabel, (2007), Auditoria interna: função e processo,

Áreas Editora.

MOREIRA, J.M., Gonçalves, H. e Oliveira, G.A. (2004), Corporate Governance em Portugal, XII Conferencia Anual de Ética, Economía y Dirección, Úbeda, Espanha: Universidad de Jaén.

PAUPÉRIO, Ângelo (Vice-Presidente Executivo da Sonae SGPS), XIII Conferência Nacional de Auditoria Interna, IPAI, Lisboa, 27 de Novembro de 2006

PINHEIRO, Joaquim, Auditoria Interna, Nyse, SEC, COSO e Corporate Governance, consultado em http://sol.sapo.pt/blogs/jleitepinheiro/archive/2008/10/04/Auditoria-Interna_2C00_-Nyse-e-Corporate-Governance.aspx

http://www.bdo.pt/docs/publicacoes/ArtigoGestaoRiscoVI_20070126.pdf

Consultado em 02.2010

http://www.sinfic.pt/SinficNewsletter/sinfic/Newsletter83/Dossier1.html


http://mdseguros.com/img_upload/Managing_Risk_by_Value_Creation_PT.pdf


http://www.apq.pt/img_manager/imagens/pdf/Gestao_de_risco_no_contexto_organizacional.pdf Consultado em 02.2010

http://www.theiia.org/

Consultado em 05-12-2009

http://www.iso.org/iso/home.htm,

consultado em 04-12-2009







http://www.apq.pt/img_manager/imagens/pdf/Gestao_de_risco_no_contexto_organizacional.pdf


http://www.theiia.org/,


http://www.iso.org/iso/home.htm,


http://www.eben-spain.org/docs/Papeles/XII/Jose_Manuel_Moreira_y_otros.pdf


o


Colabore.

Envie um artigo para [email protected]








http://www.iso.org/iso/home.htm









http://www.iso.org/iso/home.htm


33


Desta vez optámos por falar de detecção de fraude. Outra vez. Esta nossa insistência devesse essencialmente a 3

factores:

O ambiente económico é propício à prática de fraude;

É mais fácil aprovar orçamentos para projectos de retorno rápido, mensurável e visível;

A plataforma ACL é realmente eficiente na detecção de fraude.

O que é a Fraude?

O conceito de fraude inclui uma variedade de práticas ilícitas

e actos ilegais, por meio de acção ou omissão intencional

que resultem na obtenção de vantagens ilegítimas. O

International Professional Practices Framework (IPPF) do

Institute of Internal Auditors (IIA), define fraude como

“...qualquer acto ilegal caracterizado por engano,

dissimulação ou quebra de confiança. Não é necessário

estes actos envolverem ameaça de violência ou força física.

A fraude é perpetrada por indivíduos e organizações para

obter dinheiro, património ou serviços; para evitar

pagamento ou perda de serviços; ou para preservar

vantagens pessoais ou empresariais.”

A fraude tem impacto nas organizações a diversos níveis,

nomeadamente financeiro, operacional e psicológico. A

perda monetária derivada da fraude pode ser significativa.

Já o impacto total da fraude numa organização pode ser

devastador. As perdas de reputação, goodwill e nas relações

com os clientes podem ser demolidoras. Uma vez que as

fraudes podem ser praticadas por qualquer colaborador ou

por terceiros, é importante dispor de um programa eficaz de

gestão de fraude, para salvaguardar a reputação e os

activos da organização.

De quem é a responsabilidade de Detecção de Fraude?

A Gestão é, em última análise, responsável pelo programa de gestão de fraude, no entanto a auditoria interna pode ter um papel

chave no combate a esta ameaça. Ao proporcionar uma avaliação da probabilidade de ocorrência de fraude, a auditoria interna

pode demonstrar como a organização está preparada para a combater e como está a gerir o risco de fraude.

ACL White paper: Detecção de Fraude na

Administração Pública com tecnologia de

Data Analytics

João Revés - Partner

SSP, SA, authorised channel distribution partner da ACL para Portugal

[email protected]

www.ssp-sa.com


34


“Denunciar e parar esta fraude e,

recuperar milhões perdidos da

receita fiscal em representação

do Ministério, foi possível através

da utilização da tecnologia ACL.

Adicionalmente, na sequência

dos novos standards de auditoria

para todos os países membros

da UE, o Ministério das Finanças

da Áustria está a utilizar a

tecnologia ACL para auditoria e

monitorização contínuas”

Senior EDP Auditor, Ministério das Finanças da Áustria

Hoje em dia, no mundo digital e automatizado em que as empresas e organizações públicas desenvolvem a sua actividade, muitos

processos de negócio dependem do uso de tecnologia. Este facto, permite a exploração de debilidades na segurança, nos

controlos ou nas aplicações de negócio, por parte dos praticantes de fraudes e crimes financeiros. A boa notícia é que a

tecnologia pode também ser uma ajuda vital no combate à fraude. A auditoria interna

deve encarar a tecnologia como parte integrante - e fundamental - das suas

ferramentas de prevenção e detecção de fraude. Potenciar a tecnologia para

implementar programas de prevenção contínua de fraude contribui para que as

organizações se defendam daquele risco e reduzam o tempo necessário à

descoberta de práticas fraudulentas. E, desta forma, minimizarem o impacto que a

fraude pode ter nas organizações.

Porquê o Recurso a Tecnologias de Data Analysis

na Detecção de Fraude?

As tecnologias de data analysis permitem aos auditores analisar os dados

transaccionais da sua organização para compreenderem como os controlos estão a

desempenhar com eficácia o seu papel na identificação de transacções que indiciam

actividades fraudulentas ou risco de fraude acrescido. As tecnologias de data

analysis podem ser aplicadas em qualquer ponto da organização onde existam

transacções electrónicas.

As tecnologias de data analysis proporcionam também uma forma proactiva no

combate à fraude. As linhas de denúncia (whistleblower hotlines) - populares nos

países anglo-saxónicos -permitem a comunicação de suspeitas de comportamentos fraudulentos mas, por si só, não são

suficientes. Porque devemos ser reactivos e esperar por uma denúncia para agir? Porque não ser proactivos e procurar indícios

nos dados transaccionais do negócio? Desta forma as organizações podem detectar indicadores de fraude mais cedo e pará-la

antes que tome dimensões de materialidade e cause danos financeiros.

Detectar a fraude de forma eficaz, implica testar todas as

transacções relevantes de todos os sistemas e aplicações

de negócio. Analisar as transacções de negócio

directamente na sua fonte, ajuda os auditores a fornecer

uma melhor e mais completa visão da probabilidade de

ocorrência de fraude. Ajuda também a concentrar as acções

investigativas nas transacções suspeitas ou que evidenciam

debilidades em controlos que possam ser exploradas pelos

perpetradores de fraude. Posteriormente devem ser

efectuados testes de validação do entendimento que o

auditor tem dos dados e que permitam detectar nestes

indícios de fraude11

.

Existe um leque variado de testes e análises passíveis de

serem executados para detectar fraude. Desde uma análise

11 Coderre, David G., Fraud Analysis Techniques Using ACL, John Wiley & Sons, 2009

pontual conduzida de forma ad-hoc, no contexto de uma

investigação ou exercício específicos, até análises e testes

recorrentes a processos de negócio onde práticas

fraudulentas são mais susceptíveis de ocorrer. Em última

análise, onde o risco de fraude é elevado, as organizações

podem aplicar uma abordagem contínua para detectar

fraude – particularmente nas áreas onde os controlos

preventivos não são adequados.

Quando uma organização se inicia na data analysis, o

processo é, normalmente, irreversível. Cada vez mais o âmbito da

sua aplicação é maior e mais detalhado. As organizações

modernas têm vindo a aumentar as suas exigências de

informação e o paradigma da auditoria está a mudar da

abordagem cíclica tradicional para um modelo contínuo e

baseado no risco.

ACL White paper: Detecção de Fraude na Administração Pública com tecnologia de Data Analytics

35


“O ACL AuditExchange veio

potenciar a já provada capacidade

analítica da ACL e de integração

de dados da Informática® em

garantir aos auditores meios de

realizar análises de dados e de

contribuírem de forma eficaz para

a prevenção e detecção de

fraude.”

David Coderre

Prestigiado autor de livros como “Computer-Aided Fraud Detection & Prevention: A Step-by-Step Guide”

Neste contexto, a tecnologia oferece uma diversidade de

soluções que varia conforme a dimensão, complexidade e

sofisticação da organização. Desde a análise ad-hoc até

procedimentos automáticos e recorrentes, e auditoria e

monitorização contínuas, as tecnologias de data analysis

permitem a compreensão da integridade das transacções

financeiras e de negócio. As tecnologias de data analysis

levam a relatórios de auditoria mais precisos, melhor

conhecimento do framework de controlo interno e melhora a

capacidade de identificar e gerir os riscos do negócio.

Técnicas de Data Analysis para Detecção de

Fraude

Para pormos em prática a detecção de fraude através de tecnologias de data

analysis, temos de previamente identificar:

Áreas onde existe probabilidade de ocorrência de fraude;

Características nos dados transaccionais que indiciam fraude;

Quais as fontes de dados a que precisamos de aceder.

As técnicas enumeradas de seguida são eficazes na

detecção de fraude. Os auditores devem assegurar-se de

que são aplicadas adequadamente. A saber:

o Cálculo de parâmetros estatísticos (e.g. media,

desvio padrão, máximos/mínimos) para identificar

desvios que indiciem fraude;

o Classificação – para detectar padrões entre os

dados;

o Estratificação de valores – para identificar

ocorrências invulgares (i.e. excessivamente altas

ou baixas)

o Análise automática, com recurso à Lei de

Benford – para identificar ocorrências de dígitos

invulgares entre conjuntos de dados “naturais”;

o Cruzar várias fontes de dados – com o objectivo

de identificar correspondências (e.g. nomes,

moradas, NIBs, NIF’s, etc.) onde não deveriam

existir;

o Teste de duplicados - para identificar transacções

duplicadas, como pagamentos, facturas, ou

despesas de representação;

o Somatórios – para detectar eventuais totais falsos;

o Validação de datas – de modo a detectar datas

incoerentes com a natureza das transacções12

(e.g.

horas extras em dias de folga)

12 Global Technology Audit Guide: Fraud Prevention and Detection in an Automated World. The Institute of Internal Auditors, 2009.

Note-se que a amostragem aleatória não está entre as

técnicas enumeradas. A amostragem é uma técnica

adequada à análise de valores consistentes ao longo do

universo de dados. Já no que respeita à fraude, a sua

própria natureza é diferente e tende a não ocorrer de forma

aleatória.

Estratégias de Detecção de Fraude

Em vez de confiar somente em medidas reactivas como as

denúncias, as organizações podem e devem tomar as

rédeas e a iniciativa na detecção de fraude.

Um programa de prevenção e detecção de fraude, deve

incluir abordagens variadas – desde pontuais, recorrentes e

em última análise, contínuas, nas áreas de maior risco.

Com base em Key Risk Indicators, testes pontuais (ou ad-

hoc) ajudam a identificar transacções a investigar. Se esses

testes revelarem indícios de fraude, deve ser considerada a

possibilidade de implementar análises recorrentes ou

mesmo contínuas.


36


““O nosso grande aumento na

produtividade e no ROI, pode, em

grande parte, ser atribuído ao

programa de formação da ACL e à

utilização da sua tecnologia nas

nossas auditorias no terreno. Por

isso, recomendo fortemente a

formação certificada da ACL”

Cliff Cole

Computer Audit Specialist, US Department of Housing and Urban Development

Um relatório sobre “Forensics’ Fraud Risk Management” da

KPMG, identifica “ao contrário da análise retrospectiva, a

monitorização contínua de transacções permite a uma

organização identificar transacções potencialmente

fraudulentas, por exemplo numa base diária, semanal ou

mensal. As organizações frequentemente concentram os

seus esforços de monitorização contínua para se focarem

em conjuntos restritos de transacções ou áreas expostas a

riscos particularmente elevados”13

.

Ao potenciar a utilização de tecnologias de data analysis, as

organizações podem detectar a fraude mais cedo e assim

minimizar o impacto de perdas significativas, dela

resultantes.

13 “Fraud Risk Management: Developing a Strategy for Prevention, Detection and Response”, KPMG International, 2006

Clientes ACL na imprensa:

O “U.S. Department of Housing and Urban Development” utiliza tecnologia de data analysis para identificar

milhões de dólares de transacções fraudulentas em empréstimos hipotecários.

“HUD intimida 15 titulares de créditos hipotecários.” PBS' Nightly Business Report (12/01/2010) comunicou que 15

companhias que “empréstimos hipotecários tiveram hoje uma surpresa indesejada no correio. Foram intimadas pelo

US Department of Housing and Urban Development.” O Governo pretende apurar porque ]e que existem uma taxa

tão elevada de incumprimento nestas companhias e se existe fraude. Estes créditos malparados milhões de dólares

custaram ao fundo de seguros de hipotecas federal”.

The Mortgage News Daily (13/01/2010) comunicou que Stevens and Donohue declararam “O objectivo desta iniciativa

é determinar porque é que existe uma tão alta taxa de incumprimento e sinistralidade nestas companhias e se

resultam de práticas ilegítimas. Neste momento não existe qualquer acusação, e não temos qualquer evidência de má

fé, mas vamos investigar de forma agressiva os indícios de fraude. Somos membros da Financial Fraud Enforcement

Task Force do Presidente e as acções de hoje reflectem o nosso empenho em investigar informações de alertas que

resultem da data analysis."


37


Administração Pública

Os governos têm a responsabilidade de fornecer serviços ao público com

recursos limitados.

No que toca à despesa pública, os governos devem assegurar aos

contribuintes que os dinheiros públicos são bem aplicados. Com rigor e

critério.

Apesar disto, as entidades públicas, a diversos níveis, têm sido alvo de

actividades fraudulentas.

A fraude tem sido reconhecida como uma área de alto risco e,

frequentemente, tem revelado maior peso nos planos de auditoria de

entidades públicas do que no sector privado.

Distribuição de esquemas de fraude na Administração Pública14

14 2010 Global Fraud Study: Report to the Nations on Occupational Fraud and Abuse, Association of Certified Fraud Examiners

Government and public Administration – 176 Cases

Scheme Nr. of Cases % of Cases

Corruption 57 32.4%

Billing 43 24.4%

Expense Reimbursement 32 18.2%

Non-Cash 30 17.0%

Larceny 25 14.2%

Check Tampering 24 13.6%

Skimming 23 13.1%

Cash on Hand 21 11.9%

Payroll 20 11.4%

Financial Statement Fraud 5 2.8%

Register Disbursements 5 2.8%

Ministério das Finanças da Áustria: denunciar e parar a fraude através da tecnologia ACL

O Ministério das Finanças da Áustria tem um orçamento anual de cerca de 110.000 Milhões de EUR. Os auditores do

Ministério têm de analisar quantidades gigantescas de dados, provenientes de múltiplas plataformas e sistemas de

informação, sob grande pressão de cumprimento de prazos. Na Áustria, todos os contribuintes - empresas e

indivíduos - devem submeter as suas declarações fiscais electronicamente, mas podem-no fazer em diversos

formatos.

A flexibilidade do software de auditoria da ACL, contribuiu de forma determinante para o Ministério simultaneamente

aumentar o âmbito e a eficácia das suas auditorias fiscais. No âmbito de uma importante iniciativa que se desenrolou

ao longo de quatro anos, a equipa de auditoria de Electronic Data Processing (EDP) utilizou poderosos testes de

auditoria automatizados que lhe permitiu identificar e posteriormente recuperar, mais de 85 milhões EUR de perdas

em receitas fiscais e anular um esquema fraudulento que vinha a ser perpetrado ao longo de anos no sector da

hotelaria e restauração.


38


Detecção de Fraude em Entidades

Públicas

Apresentamos de seguida alguns esquemas de fraude

típicos aplicados a entidades públicas e a forma como a

tecnologia de data analysis pode ser utilizada na sua

prevenção e detenção:

Corrupção

o Compras: analisar a conformidade contratual para

preços unitários de bens contratados

o Fraude fiscal: validar a conformidade fiscal

(rendimentos declarados/auferidos)

o Benefícios: detectar entidades que recebem

benefícios sem legitimidade

o Questões alfandegárias: procurar indícios de

evasão fiscal na área aduaneira

Billing

o Despesas de empregados: analisar consumos de

combustível anormais (volumes, tipo,...)

o Compras: procurar fraccionamento de

encomendas/adjudicações

Reembolso de Despesas

o Despesas de representação: revelar despesas de

representação suspeitas pela sua natureza ou

estatisticamente improváveis

Sem envolver dinheiro (Non-Cash)

o Abuso por parte dos empregados: detectar uso não

autorizado da internet ou chamadas telefónicas de

longa distância

o Atribuição de privilégios: identificar privilégios

atribuídos pelo estado a beneficiários ilegítimos

Remunerações (Payroll)

o Horas extraordinárias: detector abusos de

pagamentos de horas extraordinárias

o Falsificação de remunerações: procurar

empregados que recebem salário e

simultaneamente são pagos como prestadores de

serviços externos.

Outros recursos

o Association of Certified Fraud Examiners (ACFE): a maior organização de combate à fraude a nível mundial e a principal

entidade formadora nesta área www.acfe.org

o The Institute of Internal Auditors (The IIA): www.theiia.org

» International Standards for the Professional Practice of Internal Auditing (Standards): os Standards são referências

obrigatórias – estabelecem um framework para promover e desenvolver a auditoria interna.

» Internal Auditing and Fraud Practice Guide: orientações para assegurar a conformidade com os International Standards

for the Professional Practice of Internal Auditing.

» GTAG 13: Fraud Prevention and Detection Techniques in an Automated World: um guia para auditar um programa de

combate à fraude, incluindo uma explicação dos vários tipos de data analysis a utilizar na detecção de fraude e um

template de assessment do risco de fraude.

o Micro site da ACL dedicado à detecção de fraude: materiais de combate à fraude, incluindo relatórios por indústria/sector

de actividade, case studies e webinars. www.acl.com/governmentfraud

o


http://www.acfe.org/


http://www.acl.com/governmentfraud

39


Caneta Digital

“A burocracia não consegue admitir que as

instituições sem fins lucrativos sejam bem

sucedidas onde os governos falham”.” A resposta

correcta à questão: Quem se encarrega dos

desafios sociais da sociedade do conhecimento?

Não é nem o “governo” nem a “organização

empregadora”. É um sector social novo e distinto.

O governo revelou-se incompetente na resolução

dos problemas sociais. E as instituições sem fins

lucrativos gastam muito menos a conquistar

sucessos do que o governo a acumular

fracassos”.

Peter Drucker, O Diário de Drucker, 2004,

Actual Editora, Lda.

Sugestão de leitura

Publicidade

40


Livros para Venda

The International Professional Practices Framework (IPPF)

is the conceptual framework that organizes authoritative

guidance promulgated by The Institute of Internal Auditors.

Preço para sócios: 36,73 Euros; Preços para não sócios:

38,40 Euros; Acresce portes de correio: 4,00 Euros (Portugal

Continental).

Preço: 30 Euros; Portes de correio: 3,30 Euros (Portugal

Continental).

Para encomendar:

Enviar cheque a favor do Instituto Português de Auditoria

Interna, com indicação do livro pretendido e morada para

envio.

Pode utilizar o método de transferência bancária utilizando o

NIB do IPAI, com informação através do correio electrónico

[email protected]

Não hesite em contactar-nos.

Telef. / Fax 213 151 002

Dr. Bombarda Azevedo

Novos associados

Henrique Manuel S. R. Vicente

Rui Manuel Barros Galhardo

Catarina Isabel Oliveira Pais

Paula Maria Spínola Costa

Alexandre Miguel M. M. Marques

Sandra Cristina P. B. S. Coelho

Maria Fátima Fachada C. Reis

Rodrigo Maria M. P. Soares

Ana Paula Marques Bernardes

Pedro André Martins Miroto

Eurico Clemente Velez Mateus

António Faria Justo

Mafalda Teresa Biard Antunes

Artur Jorge Jesus Alfama

Valter Pimentel Moreira Lima

Ricardo Jorge Pereira Negrinho

Dilma Barber Dias Santos

Luis Bernardo B. Noronha Penaguião

Nuno Ricardo Oliveira Moreira

Sandra Maria Almeida Simões

Gil Vicente Jorge Marcelino

Filipe José Ramos Chamiço

Maria Fátima Soares Lyra

Ana Terezinha Duarte Rodrigues

Catarina Isabel G. Paulino Abreu

Nelson José Santana Marçal

Joana Filipa Lourenço Garcia

Um excelente ano de 2011 a todos os associados.

http://www.theiia.org/bookstore/product/international-professional-practices-framework-ippf-1368.cfm

http://www.theiia.org/bookstore/product/international-professional-practices-framework-ippf-1368.cfm

http://www.quotationspage.com/quote/2419.html#email


41


Notícias

2010 Conferência Anual

42


Fotos da Conferência Anual

Lisboa, 19 de Novembro de 2010

43


Protocolo IPAI_ISACA LX

Sócios com sucesso nas certificações

Fotos da Conferência Anual

44


Documentos da Conferência: pode consultar em http://www.ipai.pt/gca/index.php?id=165

Conferência Anual


45


Conferência Anual

46


Post_it

Miguel Silva

47


Pesquisa de Institutos de Auditoria

France

Affiliate code 84

IFACI- http://www.ifaci.com/

Georgia

Affiliate code 343

Germany

Affiliate code 268

http://www.diir.de/

Publicidade

http://www.ifaci.com/

http://www.ifaci.com/

http://www.diir-2009.de/

http://www.diir.de/

http://www.diir.de/

http://www.diir.de/

48


Documents

Outubro/Dezembro 2010 Trimestral Distribuição gratuita Nº 41 · I Fórum de Auditores Internos do Sector da Saúde -Ana Mafalda Costa, Andreia Toga Machado, Sofia Cancela Pires,