Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
1
Auditoria Interna Outubro/Dezembro 2010 Nº 41
Outubro/Dezembro 2010 Trimestral Distribuição gratuita Nº 41
2
Auditoria Interna Outubro/Dezembro 2010 Nº 41
CORPOS SOCIAIS PARA O BIÉNIO 2010 – 2011
Assembleia Geral
Presidente da Mesa: António dos Santos Ramos, CIA – Estoril Sol
Secretário: Carlos Alberto Mendes Lopes – Estradas de Portugal
Vogal: Rodrigo Mário de Carvalho – ISCAP
Conselho Fiscal
Presidente: Manuel dos Santos Gomes
Vogais: Álvaro da Silva João
João Manuel Barata da Silva - CGD
Vogal Suplente: Maria de Lurdes Neves - TAP
Direcção
Presidente: Fátima Geada, PHD – TAP
Vice-Presidentes: Francisco de Melo Albino, CIA; CCSA; CGAP
António Neutel Neves, CIA – Portucel
Nuno Oliveira, CIA - AdP
José Costa Bastos – CGD
Nelson Martins, CCSA – BES
Pedro Cupertino de Miranda, CISA – SONAE
Secretário: Joaquim Leite Pinheiro
Vogais: Luís Filipe Machado, CIA; CCSA – BCP
Severo Praxedes Soares – IGF
Miguel Correia, CIA; CCSA; CFSA I – Liberty Seguros
Georgina Morais – ISCAC
Ana Cláudia – BRISA
Jorge Santos Nunes – Lusitânia
CONSELHO GERAL
Presidente: Manuel Marques Barreiro
Vice-Presidente: Manuel Agostinho Raul Fernandes
Vogais:
Domingos Sequeira – Ex-Presidente da Direcção
Orlando Sousa - SONAE
Ana Margarida Fernandes – Inspecção-Geral de Finanças
António Costa e Silva – Tribunal de Contas
Carlos Baptista da Costa – ISCAL
Octávio Castelo Paulo – Instituto Português Corporate Governance
Jean-éric Gaign – KPMG
João Frade – DELOITTE
João de Mello Franco – PT e EDP Renováveis
Jorge de Freitas Nunes – Ernst & Young
José Manuel Dias da Fonseca – APOGERIS
Francisco Martins da Rocha – Banco de Portugal
Nasser Sattar – PriceWaterhouseeCoopers
Orlando Germano da Silva - BES
Julho/Setembro 2010 Trimestral Distribuição gratuita Nº 40
3
Auditoria Interna Outubro/Dezembro 2010 Nº 41
Agenda 2011
CURSO LOCAL DATA FORMADOR
Introdução ao Controlo e Auditoria Interna Lisboa Porto
Fev. Set.
Francisco Albino, CIA, CCSA, CGAP
Auditoria Interna Baseada no Risco – Metodologia ERM Lisboa Porto
Mai. Set.
Nuno Oliveira, CIA
Auto-avaliação do Risco e do Controlo – Preparação para o Exame CCSA
Lisboa Jun. Nuno Oliveira, CIA Júlia Santos. CCSA
Avaliação da Qualidade e Performance em Auditoria Interna Lisboa Set. Fátima Geada, PhD
Relatórios de Auditoria Lisboa Mai. Francisco Albino, CIA, CCSA, CGAP
Audit Analytics Lisboa Jun. * Prof. Glenn Sumners, CIA, CPA, CFE
Amostragem para Auditoria Lisboa Dez Fátima Geada, PhD Céu Almeida, ROC
Fraude e Auditoria Interna Lisboa Set. Tiago Lopes, CIA, CCSA, CFE
SNC – Reforma da Contabilidade Lisboa Mar Baia Engana, ROC Gervásio Lérias, ROC
Auditoria de Sistemas e Tecnologias de Informação Lisboa Mai. Paulo Gomes, CISA
Segurança de Sistemas de Informação Lisboa Set. Pedro Cupertino, CISA
Liderança e Comunicação em Auditoria Interna Lisboa Porto
Mar Out.
Filipa Oliveira
Técnicas de Apresentação *** Lisboa Set. Filipa Oliveira
CIA Review – I Part Lisboa Jun. * Prof. Glenn Sumners, CIA, CPA, CFE
CIA Review – II Part Lisboa Jun. * Prof. Glenn Sumners, CIA, CPA, CFE
CIA Review – III Part Lisboa Jun. * Prof. Glenn Sumners, CIA, CPA, CFE
CIA Review – IV Part Lisboa Jun. * Prof. Glenn Sumners, CIA, CPA, CFE
Preparação para o exame CIA – I Parte Lisboa Set. Francisco Albino, CIA, CCSA, CGAP
Preparação para o exame CIA – II Parte Lisboa Set. Nuno Oliveira, CIA
Auditoria de Instituições Públicas – Preparação para o Exame CGAP
Lisboa Abr. Francisco Albino, CIA, CCSA, CGAP
Auditoria de Empreitadas de Obras Públicas Lisboa Mai. Sara Pestana, CIA Sofia Correia, CIA
Auditoria Interna no Sector da Saúde *** Lisboa
Seminários em parceria com o MIS ** Lisboa *
* Em língua inglesa; ** Em preparação, com realização a confirmar; *** Curso novo
Pode consultar o calendário em http://www.ipai.pt/gca/index.php?id=149
4
Auditoria Interna Outubro/Dezembro 2010 Nº 41
Índice
Colabore. Envie uma sugestão para [email protected]
Conferência Conferência Anual, Fátima Geada 6
Audire:
Da Responsabilidade Social, Manuel
Marques Barreiro 7
I Fórum de Auditores Internos do
Sector da Saúde - Ana Mafalda Costa,
Andreia Toga Machado, Sofia Cancela
Pires, Sónia Cruz
9
A Gestão do Risco nas empresas do
PSI 20, Marina Cruz, Ana Quental, Ana
Henriques
15
ACL White paper: Detecção de Fraude
na Administração Pública com
tecnologia de Data Analytics, João
Revés
33
Caneta digital 39
Novos Associados 40
Notícias 41
Post_it, Miguel Silva 46
Pesquisa de Institutos de Auditoria Interna – Europa
47
Missão
Promover a partilha do saber e da prática em
auditoria interna, gestão do risco e controlo
interno.
Propriedade e Administração
IPAI – Avenida Duque de Loulé, 5 – 2º B – 1050-085 LISBOA
Contribuinte nº 502 718 714; Telefone/Fax: 213 151 002
FICHA TÉCNICA
Presidente da Direcção: Fátima Geada
Director: Joaquim Leite Pinheiro
Redacção: Manuel Marques Barreiro; Raul Fernandes
Conselho Editorial: Manuel Barreiro, Fátima Geada, Francisco Melo Albino
Colaboradores nesta edição: Manuel Barreiro, Drumond de Freitas,
Miguel Silva, João Revés, F. Melo Albino, Marina Cruz, Ana Quental, Ana
Henriques, Ana Mafalda Costa, Andreia Toga Machado, Sofia Cancela
Pires, Sónia Cruz
Pré-impressão: IPAI
Impressão e Acabamento: CEM
Ano XII – Nº 41 – TRIMESTRAL Outubro/Dezembro 2010
TIRAGEM: 1500 exemplares; Registo: DGCS com o nº 123336;
Depósito Legal: 144226/99; Expedição por correio; Grátis
Correspondência: IPAI – Avenida Duque de Loulé, 5 – 2º B – 1050-085 LISBOA Telefone/Fax: 213 151 002
Visite-nos em www.ipai.pt
Nota: Os artigos vinculam exclusivamente os seus autores, não reflectindo necessariamente as posições da Direcção e do Conselho Editorial da Revista nem do IPAI. A aceitação de publicação dos artigos na Revista Auditoria Interna do IPAI, implica a autorização para a inserção no sítio do IPAI após a edição da revista impressa.
Foto da capa e do I Fórum: FMA; Fotos da Conferência: JLP
5
Auditoria Interna Outubro/Dezembro 2010 Nº 41
IPAI - Membros Colectivos
http://www.ipai.pt/gca/index.php?id=45
CP
6
Auditoria Interna Outubro/Dezembro 2010 Nº 41
Conferência
A complexidade crescente dos negócios, numa
realidade económica extremanente competitiva,
com ausência de processos efectivos de
controlos e gestão eficaz dos mecanismos de
regulação dos mercados, pode potenciar a
existência de situações de fraude, considerada,
em conformidade com a deinição do IIA, como:
“Qualquer acto ilegal caracterizado por um
engano, dissimulação ou violação da confiança
(…). As fraudes são cometidas por entidades e
organizações para obter dinheiro, bens ou
serviços ou para assegurar vantagens pessoais
ou de negócios”.
Na Performance Standart 1201.A2 , o IIA releva
que “…os auditores internos têm de possuir o
conhecimento adequado para avaliar o risco
de fraude e a forma como ela é gerida pela
organização”, mantendo e potenciando as
características de actuação inerentes à sua
função.
A saber: objectividade, persistência,
conhecimentos profundos da organização e
dos sitemas de apoio.
A fraude tem custos elevadíssimos para as
organizações; deste modo os custos para a sua
prevenção serão sempre inferiores aos
decorrentes da sua detecção e correcção.
As organizações devem ser dotadas dos
necessários controlos de prevenção, detecção e
investigação da fraude e implementar adequados
mecanismos de Governance, Risk & Compliance,
atribuindo um papel relevante à Auditoria Interna.
O IPAI tem a honra e o privilégio de nesta
Conferência contar com a participação de
prestigiados oradores cujo contributo será
profícuo para uma abordagem desta temática
numa perspectiva global das organizações.
A Conferência Anual do IPAI é também um
momento de partilha de conhecimento e
ponto de encontro de profissionais,
constituindo um marco de reforço e afirmação
do desenvolvimento da profissão da Auditoria
em Portugal.
o
Conferência anual 2010
Auditoria Interna e risco de fraude
Fátima Geada
Presidente da Direcção do IPAI
7
Auditoria Interna Outubro/Dezembro 2010 Nº 41
Audire
A responsabilidade social das organizações, assunto muito falado nos tempos que vão correndo é quase sempre apresentada como se de novidade se tratasse.
Contudo, o tema em apreço, muito embora com outras conotações que ao longo da história o foram modificando, não será assim tão novo.
Vamos encontrá-lo, nesta perspectiva, na Doutrina Social da Igreja, evidenciado em encíclicas papais a propósito da humanização do trabalho: “…a empresa é uma comunidade de pessoas e bens…”, daqui se tendo partido então para uma responsabilidade que vai além dos muros da empresa.
Ora, em tempos de acentuada crise económica e social em que os cidadãos sentem na pele as agruras do dia-a-dia e as perspectivas de melhoria vão desaparecendo no horizonte da incerteza, é necessário que lhes sejam mostrados, muito claramente, comportamentos de natureza ética.
Todos os que desempenham funções de responsabilidade no Estado, nas empresas, nas organizações e nas instituições, têm o dever de exibirem e praticarem a ética. Ela estará sempre na base de qualquer acção desta natureza.
Da responsabilidade social
Manuel Marques Barreiro
Consultor e Presidente do Conselho Geral do IPAI
Muitas vezes o Balanço Social da empresa não vai além do trivial nestas matérias. A
responsabilidade social tem de ser praticada. Não é justo ficar apenas pelas
referências doutrinárias. Torna-se obrigatório que passe a fazer parte das teorias de
desenvolvimento das organizações e ensinada com maior profundidade nas escolas
de gestão.
8
Auditoria Interna Outubro/Dezembro 2010 Nº 41
E se em condições normais de funcionamento, quer do Estado, quer dos agentes económicos, a responsabilidade social é de grande importância, então, em situações de crise declarada como a que estamos vivendo, é uma exigência urgente.
Todos os grandes especialistas em gestão defendem “ a outrance” o exercício da responsabilidade social, declarando-a como factor fundamental de desenvolvimento.
Contudo, na prática, vamos encontrar muitas vezes um desajustamento que resulta da inadequação entra a comunicação que se apregoa e a prática constatada. Muitas vezes o Balanço Social da empresa não vai além do trivial nestas matérias.
A responsabilidade social tem de ser praticada. Não é justo ficar apenas pelas referências doutrinárias. Torna-se obrigatório que passe a fazer parte das teorias de desenvolvimento das organizações e ensinada com maior profundidade nas escolas de gestão.
Na prática deve ser evidenciada nos actos e nos comportamentos de tal modo que ela também possa contribuir activamente para a criação de uma nova ordem social.
Os tempos que estamos vivendo exigem mudanças profundas.
Mudanças de natureza estrutural; seguramente. Mas sobretudo mudanças de comportamento e de atitude. Sem fracturas ou roturas estratégicas de toda a natureza, não há lugar aquele new look por todos esperado.
É pois de um novo paradigma que se trata.
Situações sociais que mostrem, sem titubear, a vontade de apostar em pôr fim à sistemática acumulação da riqueza, pois esta apropriação indevida, na nossa perspectiva, pode consubstanciar um crime social, por atentar contra os mais elementares direitos de convivência em sociedade.
A reinvenção do modelo estratégico económico e social do País nunca terá lugar se essa rotura não acontecer, pois não é com a injecção de dinheiro, mas antes com o ataque ao centro do problema: o desequilíbrio da competitividade e produtividade e a distribuição assimétrica dos rendimentos comprometendo a segurança e a paz social.
Os acontecimentos recentes à volta da corrupção sistémica, e a má gestão dos dinheiros públicos vieram trazer de novo à colação o tema da responsabilidade social.
Em resumo, a transparência e a ética, são os dois factores que, intrinsecamente ligados à responsabilidade social, em todas as suas vertentes, devem ser o seu sustentáculo, como aliás já foi dito noutro ponto deste texto.
Sem a sua presença em permanência, não
há sustentabilidade social que lhes valha.
o
Colabore com o IPAI.
Diga-nos a sua opinião para [email protected]
Audire
9
Auditoria Interna Outubro/Dezembro 2010 Nº 41
I Fórum de Auditores Internos do Sector da Saúde
“Governação, gestão de risco e auditoria interna no sector da saúde”
Coimbra, 25 de Outubro de 2010 – Hotel Tryp
10
Auditoria Interna Outubro/Dezembro 2010 Nº 41
1. O Fórum
No dia 25 de Outubro de 2010, realizou-se, em
Coimbra, o I Fórum de Auditores Internos do
Sector da Saúde, promovido pelo IPAI – Instituto
Português de Auditoria Interna, sob o tema
“Governação, gestão de risco e auditoria
interna no sector da saúde”.
O objectivo da iniciativa, que se inscreveu no lema do
IPAI – “partilhar experiências para progredir” – foi dar
um apoio incondicional à função de Auditor Interno
neste sector, de acordo com o art.17.º do DL n.º
233/2005, de 29 de Dezembro. Este decreto
determinou a transformação de trinta e uma unidades
de saúde em entidades públicas empresariais, às
quais havia sido atribuído o estatuto de sociedade
anónima de capitais exclusivamente públicos, em
anterior legislação.
O artigo 17.º deste decreto-lei prevê a existência
nestas entidades públicas empresariais de um auditor
interno com a devida qualificação, designado pelo
Conselho de Administração.
Ao auditor interno compete proceder ao controlo
interno nos domínios contabilístico, financeiro,
operacional, informático e de recursos humanos.
No âmbito das suas funções, o auditor interno deve
fornecer ao Conselho de Administração, análises e
recomendações sobre as actividades revistas, para a
melhoria do funcionamento dos serviços e propor a
realização de auditorias por entidades terceiras. O
auditor interno elabora, semestralmente, um relatório
sobre a actividade desenvolvida, onde são referidos
os controlos efectuados, as anomalias detectadas e as
medidas correctivas a adoptar.
Este relatório deve ser submetido pelo Conselho de
Administração aos Ministros das Finanças e da
Saúde. Além disso, a actividade do auditor interno
deve ser articulada com a Inspecção-Geral de
Finanças e a Inspecção-Geral das Actividades em
Saúde.
I Fórum de Auditores Internos do Sector
da Saúde
Ana Mafalda Costa
Andreia Toga Machado
Sofia Cancela Pires
Sónia Cruz
I Fórum de Auditores Internos do Sector da Saúde
11
Auditoria Interna Outubro/Dezembro 2010 Nº 41
O sector da saúde aparece assim como pioneiro na
gestão pública em Portugal, ao prever a
obrigatoriedade da existência de Auditoria Interna nos
hospitais.
A legislação referida, em conjunto com a global e
crescente consciencialização da importância da
auditoria interna no ambiente organizacional, bem
como o inegável contributo que esta função tem vindo
a proporcionar à gestão, como um instrumento de
apoio à tomada de decisão, com critérios de
economia, eficiência e eficácia, torna premente a
implementação generalizada, desta mais-valia no
sector da saúde.
O Fórum de Auditores Internos do Sector da Saúde
destinou-se a Auditores Internos, Gestores de Risco,
Auditores da Inspecção-Geral das Actividades em
Saúde (IGAS) e a outros profissionais deste sector
interessados nos temas da governação, gestão do
risco, controlo interno e auditoria interna.
2. Dificuldades da Gestão Hospitalar
Na primeira parte do Fórum participou o Prof. Dr.
António Ferreira, Presidente do Conselho de
Administração do Hospital de São João, EPE., do
Porto, com uma intervenção sobre o modelo de
governação do hospital a que preside. Nessa
apresentação formulou várias das dificuldades que um
gestor público enfrenta para cumprir cabalmente a sua
missão e apontou a importância de dispor de Auditoria
Interna a funcionar correctamente, para o efeito.
3. O Papel dos Organismos Centrais
do Ministério
Posteriormente, o Dr. Martins Coelho, Subinspector-
Geral da IGAS, descreveu as competências deste
organismo e as actividades de inspecção e auditoria
desenvolvidas tendo dado ênfase às relações das
equipas da IGAS com os auditores internos do sector
da saúde.
A intervenção da Dra. Leonor Abecassis, do Gabinete
de Gestão de Risco e Auditoria da ACSS –
Administração Central dos Sistemas de Saúde, incidiu
sobre o papel coordenador que este organismo exerce
na gestão de risco e controlo do sector da saúde.
A manhã terminou com a apresentação de um modelo
de gestão de risco hospitalar, actividades de controlo
e sua monitorização, por parte do Dr. David Esteves,
da PriceWaterhouseCoopers – PWC. Esta entidade
contribuiu também para a realização do evento,
através da concessão de apoio financeiro.
4. Quatro Casos de Auditoria Interna
no Sector
A segunda parte do Fórum iniciou-se com a
apresentação de quatro casos ilustrativos das
actividades de Auditoria Interna no âmbito de
instituições hospitalares.
A primeira apresentação, a cargo da Dra. Andreia
Toga Machado, da Administração Regional de Saúde
do Norte, I.P., descreveu as fases de realização de um
compromisso de auditoria interna, tomando como
exemplo o processo de facturação.
A segunda apresentação, a cargo da Dra. Sofia
Cancela Pires, do Centro Hospitalar do Porto, E.P.E.,
incidiu sobre o processo de aquisição de meios
complementares de diagnóstico e terapêutica ao
exterior, destacando objectivos de controlo e auditoria,
principais conclusões e recomendações.
I Fórum de Auditores Internos do Sector da Saúde
12
Auditoria Interna Outubro/Dezembro 2010 Nº 41
A terceira apresentação, a cargo da Dra. Ana Mafalda
Costa, do Hospital Distrital da Figueira da Foz, E.P.E.,
demonstrou a elaboração de um sumário executivo
para comunicação dos resultados de uma auditoria à
gestão de existências - Logística e Farmácia –,
relatando os objectivos, riscos, conclusões e
recomendações.
A quarta e última apresentação, a cargo da Dra. Sónia
Cruz, do Instituto Português de Oncologia do Porto
Francisco Gentil, E.P.E., evidenciou a importância da
auditoria interna na gestão da área de transporte de
doentes.
As quatro apresentações culminaram com a evidência
da utilidade da função de Auditoria Interna por
contribuir para a realização dos objectivos de gestão,
nomeadamente na optimização da receita, na
utilização eficiente dos recursos, no controlo de custos
e na salvaguarda dos activos das entidades
hospitalares.
Para finalizar foi lançada a questão, a título de
reflexão, do porquê de tão importante função ainda
não estar a funcionar em pleno em todas as
instituições hospitalares, isto apesar da sua evidente
utilidade e da obrigação legal instituída.
5. Auditoria Interna e Governação
dos Hospitais
Seguiu-se a apresentação da Dra. Elsa Baião, Vogal
do Conselho de Administração do Centro Hospitalar
da Cova da Beira, EPE, incidindo sobre a auditoria da
qualidade na sua instituição na procura de um
processo de melhoria contínua dos serviços
prestados.
O Fórum terminou com a intervenção do Vice-
Presidente do IPAI, Dr. Francisco Albino, que
apresentou o tema: Auditoria Interna no sector público
– Presente e Futuro, recordando os princípios de
governação do sector público e um recente modelo do
IIA -The Institute of Internal Auditors sobre o grau de
maturidade das auditorias internas do sector público.
6. Debate e conclusões
Nos vários períodos de debate ao longo do dia, houve
oportunidade de discutir com os colegas
representantes dos serviços centrais do Ministério
algumas questões nomeadamente sobre o estatuto da
auditoria interna, o período do seu mandato, a
elaboração e envio dos seus relatórios e a articulação
com os auditores externos e com as entidades de
inspecção e auditoria, quer do Ministério da Saúde
quer do Ministério das Finanças.
Este foi o primeiro fórum de auditores internos do
sector da saúde, marcado pela adesão de 80
participantes, vindos de diversos organismos do sector
e de todo o país, desde auditores internos, gestores
hospitalares, membros de Conselhos de
Administração, inspectores/auditores, gestores de
risco, consultores e codificadores clínicos. A
diversidade dos grupos profissionais presentes,
propiciou a discussão e debate de temas ligados à
temática da auditoria interna hospitalar de um modo
abrangente e incisivo, salientando a real importância
da auditoria interna, corroborando desta forma a
necessidade da existência desta função em
articulação com a gestão e o seu reconhecimento a
nível institucional.
Os participantes manifestaram a sua satisfação e
agrado junto da comissão organizadora, durante o
Fórum e através de contactos posteriores.
A Comissão Organizadora e o IPAI pretendem que
este seja apenas o primeiro de muitos Fóruns de
auditores internos no sector da saúde, dado o sucesso
do primeiro e a vontade de cooperação entre os
diversos hospitais e as entidades com que se
articulam.
o
I Fórum de Auditores Internos do Sector da Saúde
13
Auditoria Interna Outubro/Dezembro 2010 Nº 41
I Fórum de Auditores Internos do Sector da Saúde
14
Auditoria Interna Outubro/Dezembro 2010 Nº 41
Programa
“Governação, gestão de risco e auditoria interna no sector da saúde”
Coimbra, 25 de Outubro de 2010 – Hotel Tryp
8H30 – Recepção dos participantes
9H00 – Abertura (Presidente da Direcção do IPAI)
9H30 – O modelo de governação dos hospitais - Prof. Dr. António Ferreira, Presidente do CA do Hospital de S.
João, EPE
10H00 – O papel da ACSS na gestão do risco e no controlo no sector – Dra. Leonor Abecasis, Directora do
Gabinete de Gestão de Risco e Auditoria, da ACSS
10H30 – Debate
10H45 – Intervalo para café
11H15 – Competências e actividades da IGAS e relação com as auditorias internas do sector – Dr. Martins
Coelho, Subinspector-Geral da IGAS
11H45 – Modelo de gestão de risco: actividades de controlo e sua monitorização – Dr. David Esteves,
PriceWaterhouseCoopers
12H30 – Debate
13H00 – Almoço
14H00 – Apresentação de casos de Gestão de Risco e Auditoria Interna – Ana Mafalda Costa, Andreia Toga
Machado, Sofia Pires, Sónia Cruz, profissionais de Auditoria Interna do sector saúde
15H30 – Debate
15H45 – Intervalo para café
16H15 – O que deve esperar um gestor hospitalar da Auditoria Interna – Dra. Elsa Baião, Vogal do CA do Centro
Hospitalar da Cova da Beira, EPE
16H45 – Auditoria Interna no sector público – Presente e futuro – Francisco Albino, Vice-presidente da Direcção
do IPAI
17H15 – Debate
17H30 – Encerramento
PATROCÍNIO: Comissão organizadora
Francisco Albino (IPAI); Severo Soares (IPAI); Ana Mafalda Costa (Hospital Figueira da Foz); Andreia Toga Machado
(ARS Norte); Sofia Pires (CH Porto); Sónia Cruz (IPO Porto)
Novas iniciativas do IPAI no sector
da Saúde
De entre as iniciativas que se seguiram já a este Fórum o
IPAI vai incluir no seu programa de formação para 2011 um
curso especificamente dedicado à auditoria interna e
gestão de risco no sector da saúde, que será leccionado
por profissionais do sector.
Está também a ser lançada uma rede de auditores
internos do sector da saúde, através de contactos por e-
mail, por telefone ou presenciais. Através desta rede os
colegas que estão a iniciar a função de auditor interno no
sector, que têm menos experiência ou que têm especiais
dificuldades no desenvolvimento da sua actividade, poderão
entrar em contacto com colegas do sector mais experientes.
Informações sobre esta rede poderão ser solicitadas ao IPAI
([email protected] e www.ipai.pt).
Os e as colegas que queiram participar nesta rede ou em
futuras iniciativas neste domínio deverão manifestar o seu
interesse junto do IPAI.
Francisco Melo Albino, CIA, CCSA, CGAP
Vice-presidente da Direcção do IPAI
I Fórum de Auditores Internos do Sector da Saúde
15
Auditoria Interna Outubro/Dezembro 2010 Nº 41
Artigos
1. Resumo
Actualmente, a preocupação com o risco é cada vez
mais visível, não só pela necessidade de criar valor
mas, essencialmente, pelos inúmeros factores
externos que conduziram ao relevo do risco, onde
podemos incluir a volatilidade das condições
económicas, as alterações na exposição a
determinados riscos, a pressão dos investidores, e das
agências de rating, nova legislação e o facto de as
abordagens tradicionais de gestão de risco serem
insuficientes para gerir as complexas actuais
necessidades de negócio.
Nos tempos que correm os stakeholders exigem mais
e melhor informação. A visibilidade do mercado, a
exposição ao risco e a velocidade de transmissão da
informação, com especial importância nas empresas
cotadas em Bolsa, torna fundamental a adopção de
princípios de gestão de risco, foi a essa análise que
nos propusemos ao elaborar este trabalho.
A insuficiente eficácia e fiabilidade dos mecanismos de
governo das sociedades, confirmada posteriormente
pelos diversos escândalos financeiros internacionais
ocorridos a partir dos anos oitenta, contribuíram para
que, a par dos textos legislativos, se verificasse a
proliferação de documentos recomendatórios com
maior enfoque para a gestão do risco.
A Gestão do Risco nas empresas do PSI 20
Marina Cruz, Assessora do Director Financeiro da Fapricela S.A., Docente do
ISCAC - Instituto Superior de Contabilidade e Administração de Coimbra;
Licenciatura em Contabilidade e Auditoria; Mestranda em Auditoria Empresarial e
Pública no ISCAC - Instituto Superior de Contabilidade e Administração de
Coimbra
Ana Quental, Técnica Superior na Divisão Financeira da Universidade de
Coimbra, Licenciatura em Contabilidade e Auditoria; Mestranda em Auditoria
Empresarial e Pública no ISCAC - Instituto Superior de Contabilidade e
Administração de Coimbra
Ana Henriques, Técnica Superior na Divisão Financeira da Universidade de
Coimbra, Licenciatura em Economia; Pós-Graduação em Economia
Europeia; Mestranda em Auditoria Empresarial e Pública no ISCAC -
Instituto Superior de Contabilidade e Administração de Coimbra
16
Auditoria Interna Outubro/Dezembro 2010 Nº 41
Da amostra de empresas cotadas em bolsa
seleccionámos as empresas pertencentes ao PSI20, e
tentámos fazer uma análise crítica relativa ao
cumprimento do ponto II.4 do regulamento nº 1/2007,
avaliando os itens que estas empresas focaram no
relatório do governo da sociedade do ano de 2008,
relativamente à gestão de risco. Concluímos que todas
cumprem o referido regulamento, com maior ou menor
magnitude, tendo encontrado relatórios que abrangem
uma descrição bastante pormenorizada da gestão do
risco implementada, o que é sem dúvida uma mais-
valia, com a globalização as organizações viram-se
forçadas a mudar mentalidades, e a assumir riscos
para se tornarem competitivas. A Gestão de risco é
uma função que indubitavelmente acresce valor e
ajuda as organizações a ser cada vez mais proactivas
e eficientes.
2. Corporate Governance
O conceito clássico de “governo”, entendido como
acção e efeito de mandar com autoridade ou de dirigir
com arte uma comunidade humana, permite-nos
retomar a ideia de empresa como uma sociedade de
pessoas e não apenas como uma sociedade de
capitais. A ideia de “governação” permite aproximar a
actividade empresarial dos mais nobres objectivos da
actividade política entendida como arte de governar
que precisa do talento dos artistas e, por isso, não se
deve deixar reduzir às meras técnicas de gestão.1
A reflexão sobre o Governo das Sociedades surgiu
pela harmonização dos mercados financeiros,
nivelando os parâmetros de segurança e de
organização dos agentes de mercado. As primeiras
recomendações do governo das sociedades surgiram
em 1999 pela CMVM (Comissão de Mercado e Valores
1 Corporate Governance em Portugal, José Manuel Moreira, Helena
Gonçalves, Gonçalo Almeida de Oliveira
Mobiliários), na sua penúltima redacção podemos
encontrar o seguinte:
II.1.1.2 - A sociedade deve criar um sistema interno de
controlo, para a detecção eficaz de riscos ligados à
actividade da empresa, em salvaguarda do seu
património e em benefício da transparência do seu
governo societário. (CMVM: 2007).
A estrutura de governo corporativo especifica a
distribuição de direitos e responsabilidades entre as
diferentes classes corporativas: o Conselho de
Administração, os gestores, os accionistas e outros
stakeholders, delimita os procedimentos para a tomada
de decisão sobre os aspectos corporativos.
Segundo a Organização para a Cooperação e
Desenvolvimento Económico – OCDE (1999)
Corporate Governance: “É o sistema através do qual
as organizações são dirigidas e controladas. A
estrutura do Corporate Governance especifica a
distribuição dos direitos e das responsabilidades ao
longo dos diferentes participantes na empresa – o
conselho de administração, os gestores, os accionistas
e outros intervenientes – e dita as regras e os
procedimentos para a tomada de decisões nas
questões empresariais.
Ao fazê-lo, fornece também a estrutura através da qual
a empresa estabelece os seus objectivos e as formas
de atingi-los e monitorizar a sua performance.”
A Gestão do Risco nas empresas do PSI 20
17
Auditoria Interna Outubro/Dezembro 2010 Nº 41
Assim, os objectivos do governo das sociedades
podem ser resumidos da seguinte forma: melhorar o
desempenho da organização; promover a gestão de
risco; aumentar a confiança dos investidores no
mercado de capitais; melhorar a reputação da
organização através de melhor transparência e reporte
da informação e apoiar a prevenção e detecção de
comportamentos fraudulentos.
Embora a governação corporativa seja definida e
regulamentada de diferentes maneiras em todo o
mundo, organizações de todas as dimensões,
indústrias e países concordam quanto aos seus
objectivos principais: auxiliar os líderes a manter
organizações sustentáveis, merecedoras da confiança
do mercado e capazes de retornar o valor do
investimento aos seus accionistas.2
De notar, que as questões de governo societário são
igualmente relevantes fora do universo das sociedades
cotadas. São princípios importantes para outras
organizações tais como empresas e outras entidades
públicas, organizações não governamentais, mercados
de capitais, organizações internacionais, etc.3
Podemos verificar pela análise da figura seguinte que
constituem pilares do Governo das Sociedades, a
auditoria e a gestão de risco, devido à importância que
estas funções têm para uma gestão eficaz e eficiente
das organizações.
A gestão do risco muitas vezes exercida pela Auditoria
Interna encontra-se numa posição privilegiada para
auxiliar a gestão na tomada de decisões, em suma
para acrescentar valor.
Figura 1: Corporate Governance:
2Pinheiro, Joaquim, Auditoria Interna, Nyse, SEC, COSO e Corporate
Governance, consultado em http://sol.sapo.pt/blogs/jleitepinheiro/archive/2008/10/04/Auditoria-Interna_2C00_-Nyse-e-Corporate-Governance.aspx 3 Corporate Governance e responsabilidade social das empresas -
Fernando Teixeira dos Santos – Presidente da CMVM
Fonte: XIII Conferência Nacional de Auditoria Interna, IPAI, Paupério (2006)
3.Legislação aplicável, referente à Gestão do Risco
A noção da insuficiente eficácia e fiabilidade dos
mecanismos de governo das sociedades, confirmada
posteriormente pelos diversos escândalos financeiros
internacionais ocorridos a partir dos anos oitenta,
contribuiu para que, a par dos textos legislativos, se
verificasse a proliferação de documentos
recomendatórios (códigos de boas práticas) destinados
a aumentar o grau de transparência na informação
financeira, restabelecendo assim a confiança dos
mercados. Em virtude do desenvolvimento do mercado
de valores mobiliários, foram então criadas regras
quanto à estrutura e controlo das sociedades abertas
ao investimento público, com o intuito de optimizar o
seu desempenho, precavendo os interesses de todas
as pessoas e entidades envolvidas na actividade
societária.
Contudo, a introdução do conceito e das boas práticas
de gestão de risco no seio do quadro normativo do
Corporate Governance encontra-se actualmente
bastante disperso e pouco sistematizado (Beja, 2004)4.
4 Beja, Rui (2004), Risk management – Gestão, Relato e Auditoria
dos Riscos do Negócio, Áreas Editora,pg 22.
A Gestão do Risco nas empresas do PSI 20
18
Auditoria Interna Outubro/Dezembro 2010 Nº 41
A excepção está presente no referencial normativo
emergido do Acordo de Basileia II, cuja matéria central
é precisamente a gestão do risco. Assinado
inicialmente em 1988, pelos bancos centrais de alguns
países, o Basileia I surge da constatação de que as
dificuldades nas condições normais de funcionamento
dos bancos poderem propagar-se a toda a economia,
sendo imprescindível uma regulamentação bancária,
nomeadamente a cobertura de riscos de crédito e de
mercado, que permita então garantir a manutenção da
estabilidade e solidez de todo o sistema económico.
Os principais objectivos do Basileia II consistem em:
fomentar a adopção das melhores práticas de gestão
de risco, de modo a preservar a solidez e a
solvabilidade dos sistemas financeiros; aumentar a
transparência da gestão de risco efectuada por cada
banco, face ao mercado e a aproximação do capital
mínimo imposto pelo regulador dos riscos tomados
pelos bancos, afastando-se do conceito de regras
simples e iguais para todos os concorrentes.
O Código dos Valores Mobiliários (CVM), em vigor
desde Março de 2000, constitui, no âmbito do direito
dos valores mobiliários, a principal fonte legislativa
sobre governo das sociedades. Complementando as
disposições de natureza legislativa do CSC (Código
das Sociedades Comerciais) e do CVM, as
Recomendações e o Regulamento nº. 7/2001, emitidos
pela CMVM, constituem actualmente, as peças
centrais do quadro regulamentar e recomendatório
nacional referente ao governo das sociedades.
O Regulamento nº. 7/2001da CMVM, cuja última
revisão ocorreu já no presente ano de 2010
(Regulamento n.º 1/2010 da CMVM), impõe às
sociedades cotadas não só o dever de indicarem
discriminadamente, em relatório anual sobre o governo
da sociedade (em capítulo ou anexo do relatório de
gestão), através de modelo pré-definido no próprio
regulamento, quais as recomendações que cumprem e
apresentar justificação para as que não cumprem
(técnica de “comply or explain”), bem como um
extenso conjunto de informações que utilizam como
quadro de referência aquelas recomendações.
O objectivo primordial do referido regulamento é o de
alinhar as empresas portuguesas “com as boas
práticas internacionais, de forma a renovar a confiança
dos investidores no mercado de capitais português e
nos modelos de governo societário nestes existentes”5.
No que respeita à organização interna das empresas,
salienta-se o ponto 2 do Regulamento n.º 1/2007,
referente à gestão de riscos, nomeadamente a
recomendação de descrição de um sistema interno de
controlo de riscos e da existência de unidades
orgânicas dedicadas à auditoria interna e/ou gestão de
riscos, considerada pela CMVM um meio privilegiado
de assegurar um governo transparente. De entre as
alterações mais significativas ocorridas desde 2001,
evidencia-se a recomendação de que o órgão de
administração inclua um número suficiente de
administradores não-executivos, que acompanhem e
avaliem a gestão dos membros executivos, e que entre
aqueles exista um número suficiente de
administradores independentes. Destaca-se ainda, no
decorrer destas alterações, a nova recomendação de
que as empresas adoptem e divulguem no relatório
uma política de comunicação interna de irregularidades
ocorridas no seu interior, que inclua os meios, os
destinatários e o tratamento dessas comunicações.
Importa também referir, no âmbito das normas
nacionais relativas à gestão de riscos, o Aviso n.º
5/2008 do Banco de Portugal que define os requisitos
quanto aos objectivos, princípios e função de um
sistema de gestão de riscos, o processo de
identificação, avaliação, acompanhamento e controlo
de riscos, bem como as responsabilidades do órgão de
administração relativamente ao sistema de gestão de
riscos.
5 Retirado do Preâmbulo do regulamento da CMVM n7/2001.
A Gestão do Risco nas empresas do PSI 20
19
Auditoria Interna Outubro/Dezembro 2010 Nº 41
Este aviso ainda indica a obrigatoriedade do Relatório
de Gestão ser acompanhado de um “parecer do órgão
de fiscalização da instituição, em que seja emitida
opinião detalhada sobre a adequação e a eficácia do
sistema de controlo interno, face aos requisitos
definidos pelo presente Aviso” ou um parecer do
revisor oficial de contas “sobre a adequação e a
eficácia da parte do sistema de controlo interno
subjacente ao processo de preparação e de divulgação
de informação financeira” (art. 25º do Aviso n.º 5/2008
do Banco de Portugal).
4. Enterprise RisK Management – Gestão
do risco
Muito se tem dito acerca da suficiência e eficácia dos
relatos financeiros e da gestão tradicionais, mas as
conclusões são claras e convergem para um
denominador comum o modelo tradicional está
obsoleto.
No centro dos estudos efectuados, o tema risco do
negócio permanece como elemento comum, segundo
Beja (2004)6 praticar o acto de negócio implica
enfrentar todo o tipo de riscos: dentro, fora e em redor
da respectiva entidade empresarial. No entanto,
apenas recentemente o controlo e informação dos
riscos do negócio começa a constituir um tema central
nos princípios de governação empresarial, e uma
componente fundamental dos relatos financeiros e de
gestão.
Relativamente aos riscos do negócio, podemos
resumir que os desafios que se colocam à gestão
equivalem, a: assumir os riscos empresariais
indispensáveis; assegurar que os riscos incorridos
respeitam os actuais parâmetros de ética nos negócios
e de relacionamento com os stakeholders; conseguir o
6 Beja, Rui (2004), Risk management – Gestão, Relato e Auditoria
dos Riscos do Negócio, Áreas Editora,pg 22.
equilíbrio entre a pressão para evitar riscos
significativos e a pressão para aumentar a
performance e o valor para os investidores e evitar
riscos de quebra de reputação, incompatíveis com a
salvaguarda da imagem institucional.
É neste contexto que o risk management se enquadra
como um dos mais relevantes elementos dos novos
parâmetros de governação empresarial.
As situações que ocorreram a nível mundial em termos
de fraudes financeiras vieram merecer a atenção do
COSO7, de modo a evoluir-se para um referencial
comum ao nível da gestão do risco empresarial
(Enterprise Risk Management - ERM). Em Junho de
2002, foi iniciado um projecto com a colaboração de
uma das principais firmas de auditoria
PricewaterhouseCoopers (PWC) com o objectivo de
ser definida uma base conceptual e metodológica
quanto à gestão do risco empresarial, tendo em 2004
sido publicados os documentos denominados
"Enterprise Risk Management - Executive Summary
Framework", e "Enterprise Risk Management -
Integrated Framework. Aplication Techniques", os
quais certamente influenciaram os fundamentos das
actuais Normas Internacionais de Auditoria.
Em 2004 o COSO publica o seu 3º relatório: Enterprise
Risk Management – Integrated Framework, colocando
agora claramente o foco da sua atenção quanto aos
sistemas de governo das organizações, já não no
sistema de controlo interno, mas antes, no sistema de
gestão do risco.
7 COSO – The Committee of Sponsoring Organizations of the
Treadway Commission
Organização do sector privado dedicada a melhorar a qualidade dos Relatórios financeiros considerando a ética do negócio, o efectivo controlo interno e a governação.
A Gestão do Risco nas empresas do PSI 20
20
Auditoria Interna Outubro/Dezembro 2010 Nº 41
O COSO define Enterprise Risk Management (ERM): “
como um processo levado a cabo pela administração,
direcção e outro pessoal de uma entidade para a
fixação da sua estratégia, e concebido para identificar
potenciais eventos que possam afectar a entidade e
gerir o risco, para que este se mantenha adequado ao
apetite de risco da organização, no sentido de fornecer
razoável segurança de que os objectivos da entidade
serão cumpridos” (COSO, 2004).
Frank et al (2003, citado por Beja 2004) afirma que
“Enterprise Risk Management é uma abordagem
completa e sistemática para ajudar as organizações,
independentemente da dimensão ou missão, a
identificar eventos, e medir, priorizar e responder aos
desafios de risco dos projectos e iniciativas que
assumem. Enterprise risk management permite às
organizações determinar o nível de risco que podem -
ou querem - aceitar na procura de criar valor para os
investidores. A incerteza é uma espada de dois gumes:
cria tantos riscos como oportunidades, que tanto
podem retirar como acrescentar valor. Enterprise risk
management oferece uma estrutura para gerir
eficazmente a incerteza, respondendo aos riscos e
explorando as oportunidades que surjam”
O ERM compreende assim vários conceitos e
actividades com a preocupação de a entidade:
o proceder ao alinhamento do apetite de risco com
a estratégia;
o favorecer as decisões de resposta ao risco;
o reduzir as surpresas operacionais e as perdas;
o identificar e gerir múltiplos riscos transversais à
entidade;
o estar preparado para aproveitar as
oportunidades (o risco não representa apenas
potencial de perda mas também de
oportunidade).
O âmbito de avaliação do risco do negócio é global,
devendo no entanto ser organizado por categorias de
forma a aliar as grelhas de enquadramento dos riscos.
Estas categorias devem ser definidas com uma
extensão suficientemente alargada, de forma a permitir
a inclusão das múltiplas realidades existentes em cada
empresa, ou grupo empresarial, o que podemos aferir
pela análise do quadro seguinte:
Quadro 1 – Âmbito do Risk Management:
Fonte: Beja, Rui - Contributos para um Projecto de Desenvolvimento do Risk Management em Portugal
A implementação do modelo ERM nas organizações traz diversas vantagens competitivas dentre as quais se podem
destacar as constantes no quadro seguinte:
A Gestão do Risco nas empresas do PSI 20
21
Auditoria Interna Outubro/Dezembro 2010 Nº 41
Quadro 2: Vantagens do Risk Management
Fonte: Beja, Rui - Contributos para um Projecto de Desenvolvimento do Risk Management em Portugal
Para Zárate (referido por Castanheira, 2007)8, esta
nova abordagem constitui uma ferramenta de gestão
moderna, fundamental para a implementação de uma
cultura orientada para a criação de valor para o
accionista, que dinamiza a gestão e proporciona novos
elementos para a tomada de decisões.
Segundo Castanheira (2007), uma vez que cada
organização é única em termos estruturais, culturais e
operacionais, predefinir uma lista de riscos para
diferentes entidades não é mais do que tentar
identificar os riscos próprios da actividade. Assim, o
processo de ERM inicia-se com a identificação e
priorização numa base consistente de todos os riscos
enfrentados pela organização. Numa segunda fase,
8Castanheira, Nuno, Rodrigues Lúcia Lima, (2007) Gestão
Risco – da abordagem tradicional à gestão de risco
empresarial (ERM), Revista Auditoria Interna nº 26
segue-se a avaliação e mitigação dos principais riscos,
sendo que os mesmos devem ser priorizados
atendendo à sua probabilidade, ao valor actual do seu
impacto e à qualidade dos controlos já implementados.
Por último, o passo final no processo de ERM é a
monitorização contínua dos riscos, quer seja novos ou
já previamente identificado.
Vejamos cada uma das componentes da Gestão
do Risco Empresarial dentro da abordagem
metodológica específica do COSO mais
detalhadamente:
Ambiente Interno - Incorpora a cultura de uma
organização e cristaliza as bases segundo as
quais o risco é visto e gerido pelos
colaboradores dessa empresa, incluindo a
filosofia de gestão do risco, a apetência para
o risco, a integridade e os valores éticos,
bem como o ambiente em que se trabalha.
A Gestão do Risco nas empresas do PSI 20
22
Auditoria Interna Outubro/Dezembro 2010 Nº 41
Corpos de Objectivos - Os objectivos devem
existir para que a gestão possa identificar os
eventos potenciais que podem afectar a
prossecução desses objectivos. A Gestão do
Risco assegura que a gestão dispõe de um
processo para estabelecer objectivos e
que os objectivos escolhidos são consistentes
com o nível de risco aceite.
Identificação de Eventos - Os eventos
externos e internos que afectam a
capacidade da organização alcançar os seus
objectivos devem ser identificados,
distinguindo claramente risco e oportunidades.
Avaliação do Risco - Os riscos são
analisados, considerando a sua natureza e
impactos, como base para determinar como
devem ser geridos.
Resposta ao Risco - A gestão escolhe as
respostas ao risco (evitar, aceitar, reduzir
ou partilhar) desenvolvendo um conjunto de
acções tendo em vista o seu alinhamento
com a tolerância da organização ao risco.
Actividades de Controlo - São estabelecidos
e implementados políticas e procedimentos
para assegurar que as respostas ao risco
são efectivamente levadas a cabo e de
forma consistente.
Informação e Comunicação - A informação
relevante é identificada, classificada e
comunicada, para que os colaboradores
possam cumprir com as suas
responsabilidades.
Monitorização - Toda a gestão do risco é
monitorizada e são implementadas
modificações na medida do necessário. A
monitorização é realizada no decurso das
actividades normais da gestão ou através de
avaliações separadas.
Estas componentes são as condições e pressupostos
que a empresa deve preencher para atingir os
objectivos do seu sistema de Risk Management (RM),
quaisquer que sejam os objectivos estratégicos,
operacionais, de relato e de compliance com a
legislação e regulamentação aplicáveis.
Segundo Castanheira (2007), podemos concluir que o
processo de ERM assume-se como uma ferramenta
fundamental para assegurar com razoabilidade a
concretização dos objectivos estratégicos. Não
obstante, importa salientar a existência de alguns
obstáculos à implementação de um processo eficaz de
ERM.
É quase redundante dizer que qualquer organização
necessita de um forte clima ético, uma madura cultura
de risco ou uma cultura de conformidade para a
implementação com sucesso de ERM. São múltiplos os
estudos desenvolvidos que identificaram a cultura das
organizações como uma das principais barreiras à
implementação de ERM. A difusão desta cultura deve
partir da gestão de topo, auxiliada pela auditoria
interna.
5. A importância da Auditoria Interna na Gestão do Risco
Na redefinição do conceito e âmbito da auditoria interna
operada em 2000, o Institute of Internal Auditors (IIA)
acompanhou a preocupação que vinha sendo sentida
na esfera da governação das empresas e outra
organizações, tendo introduzido a noção do risco como
um dos focos da actividade dos auditores internos.
Isto está claramente demonstrado na definição oficial
de auditoria interna quando o IIA refere que a auditoria
interna “ajuda a organização a atingir os seus
objectivos, fornecendo uma abordagem sistemática e
disciplinada na avaliação da eficácia dos processos de
gestão do risco, controlo e governação”.
A Gestão do Risco nas empresas do PSI 20
23
Auditoria Interna Outubro/Dezembro 2010 Nº 41
De entre as normas profissionais a que estão obrigados
os auditores internos, salienta-se a ND 2110, a
propósito da natureza do trabalho da auditoria interna.
Toda ela é dedicada ao papel dos auditores internos na
gestão do risco.
IIA, ND 2110 – Gestão do risco:
“A actividade de auditoria interna deve apoiar a
organização na identificação e avaliação das
exposições significativas aos riscos e contribuir para o
aperfeiçoamento dos sistemas de gestão do risco e
controlo. A actividade de auditoria interna deve
monitorizar e avaliar a eficácia dos sistemas de gestão
do risco da organização.
A actividade de auditoria interna deve avaliar as
exposições ao risco relativas à governação, operações
e sistemas de informação da organização, quanto a:
confiança e integridade da informação financeira e
operacional; eficácia e eficiência das operações;
salvaguarda dos activos; conformidade com as leis,
regulamentos e contratos.”
Segundo Morais (2007)9 o auditor interno deve verificar
se a metodologia adoptada para implementar o
processo da gestão de risco é entendida pelos
diferentes grupos de interesses envolvidos no
Governance da entidade. Embora seja tarefa da gestão
conceber uma metodologia da gestão de risco, cabe
aos auditores internos auxiliar a entidade na sua
identificação e avaliação.
A Auditoria Interna baseada no risco surge-nos na
base da pirâmide do alinhamento dos processos de
negócio com a gestão de risco.
9Morais, Georgina, Martins, Isabel, Auditoria Interna - Função
e Processo, p.93
Figura 3: Auditoria Interna baseada no risco:
Fonte: XIII Conferência Nacional de Auditoria Interna, IPAI, Paupério (2006)
Segundo Paupério (2006), a interligação entre a
gestão de topo e a auditoria interna assenta, em
especial, no processo gestão de risco, é através desta
que a auditoria interna exerce o seu papel de principal
aliada da gestão de topo.
Esta opinião é também validada pelo IIA, que num
texto sobre o ERM, defende que os auditores internos
desempenham uma função essencial no que toca à
avaliação da eficácia da gestão dos riscos e na
recomendação de possíveis melhorias.10
.
6. Análise Empírica
O estudo baseia-se na análise dos relatórios do
governo das sociedades de 2008 das empresas do
PSI20 e verificação do cumprimento destas quanto ao
constante no ponto II.4. do Regulamento nº1/2007 da
CMVM.
O ponto II.4. da CMVM refere que deve ser feita uma
“descrição dos sistemas de controlo interno e de
gestão de risco implementados na sociedade,
designadamente, quanto ao processo de divulgação de
informação”.
10
COSO Releases New ERM Framework, em http://www.theiia.org/guidance/additional-resources/coso-related-resources/coso-releases-new-erm-framework/?search=COSO Releases New ERM Framework
A Gestão do Risco nas empresas do PSI 20
24
Auditoria Interna Outubro/Dezembro 2010 Nº 41
Para a nossa análise do nível de cumprimento do
descrito na recomendação II.4. do Regulamento
nº1/2007 da CMVM destacámos oito pontos que
considerámos mais relevantes para testar o grau de
conformidade relativamente à referida recomendação.
Foram efectuadas análises quantitativas, qualitativas e
comparativas entre as diversas sociedades e
respectivos sectores quanto ao nível de cumprimento
do referido ponto regulamentar permitindo-nos tecer
algumas considerações.
6.1- Análise qualitativa
A pesquisa foi efectuada na página da internet das
empresas seleccionadas para o estudo, de forma a
validarmos o cumprimento do ponto II.4. do
Regulamento da CMVM nº 1/2007.
Da análise efectuada às empresas do PSI-20, verifica-
se que todas as empresas têm um relatório anual
sobre o governo das sociedades e que todas cumprem
o ponto II.4. do Regulamento da CMVM nº 1/2007,
evidenciando, por norma, na 1ª página do Relatório as
empresas identificam quais as recomendações do
regulamento da CMVM que cumprem e qual o seu
posicionamento no relatório e quando não cumprem o
motivo da não adopção dessas recomendações.
Nos relatórios no ponto onde é abordado a questão da
Estrutura e competência, é mencionado que as
sociedades devem criar sistemas internos de controlo,
para a detecção eficaz de riscos ligados à actividade
da empresa, em salvaguarda do seu património e em
benefício da transparência do seu governo societário.
Todas referem que compete ao Conselho de
Administração assegurar que a Sociedade actua de
forma consentânea com os seus objectivos, não
devendo delegar a sua competência, designadamente,
no que respeita a: definir a estratégia e as políticas
gerais da Sociedade, a estrutura empresarial do grupo
e as decisões que devam ser consideradas
estratégicas devido ao seu montante, risco ou às
suas características especiais.
A Gestão de Risco empresarial é um processo
desenvolvido pela gestão de topo, cabe a esta aprovar
formalmente a política de controlo de riscos. É da
responsabilidade da gestão de topo supervisionar o
estabelecimento e avaliação dos processos de gestão
de risco e de controlo, contudo, os colaboradores
devem partilhar a responsabilidade pela qualidade,
eficácia dos controlos e da gestão do risco.
O regulamento aplicado é o da CMVM nº1/2007, este
não refere explicitamente a obrigatoriedade da
existência de um órgão especializado para gestão do
risco, no entanto, na anterior redacção o regulamento
da CMVM nº7/2001 no seu capitulo III – regras
societárias, referia que deveria ser feita uma descrição
dos procedimentos internos adoptados para o controlo
de risco na actividade da sociedade, designadamente
a existência de unidades orgânicas dedicadas à
auditoria interna e/ou à gestão de riscos.
Neste âmbito, constatámos que apenas a Sonae
SGPS, Soane Indústria, BCP, BPI, Brisa, EDP, Galp
Energia, Mota Engil, Portugal Telecom, EDP
Renováveis possuem um órgão especializado de
gestão de risco, sendo que as restantes possuem uma
comissão de auditoria e/ou controlo interno que
também acumulam a função de gestão de risco, à
excepção da Altri que apenas menciona a existência
de órgãos de controlo de gestão, que exercem a sua
actividade a todos os níveis das empresas auxiliados
pelo Revisor Oficial Contas e pelos auditores externos.
A Gestão do Risco nas empresas do PSI 20
25
Auditoria Interna Outubro/Dezembro 2010 Nº 41
Denota-se que a gestão de risco assume uma
importância acrescida, sendo que é no sector bancário
que se expressa claramente que a gestão de riscos é
encarada como um vector primordial para a
rendibilidade e para a sustentabilidade do negócio. O
que se entende tendo em conta o acordo de Basileia
que implementou medidas para a regulamentação
bancária.
As empresas Semapa, Zon Multimédia, Sonae Com e
a EDP Renováveis não definem quais os
objectivos/missão do órgão especializado na gestão do
risco, no entanto a existência de um órgão
especializado leva-nos a crer que está implícito que a
sua criação pressupõem que foram definidos os seus
objectivos e missão a priori.
Quanto à identificação dos riscos constatámos que da
amostra apenas as empresas Teixeira Duarte e REN
não identificam os riscos a que estão expostas, ou os
que estão no âmbito do sistema gestão do risco que se
encontra implementado.
Todas as organizações enfrentam uma quantidade de
riscos que afectam diversas partes da organização, é
importante que a Gestão esteja atenta para a
necessidade de gerir não só os riscos individuais, mas
também o impacto dos riscos que se cruzam e
interligam.
Uma das componentes de ERM é a identificação de
eventos que possam ter impacto e que devem ser
identificados, essa identificação inclui factores internos
e externos à entidade e que devem ser categorizados
de forma a criar uma linguagem de risco comum a toda
a organização e formar uma base para considerar
estes eventos numa perspectiva de portfolio.
Desta análise, verificámos que as restantes empresas
da amostra, para além dos riscos inerentes ao seu
próprio negócio, identificam também os riscos
financeiros. No entanto, é importante salientar que, nos
tempos que correm, cada vez mais surge a
preocupação com outros tipos de riscos,
nomeadamente os sociais, ambientais e de
sustentabilidade, tornando-se esta
divulgação/preocupação num factor diferenciação.
Temos como exemplos a Portucel, BES e EDP que
mencionam a sua preocupação com os riscos
ambientais; a PT e ZON mencionam os riscos de
regulação e concorrência e a Mota Engil e Jerónimo
Martins os riscos de reputação, sendo que esta última
salienta ainda os riscos de compliance.
Das empresas que identificam os riscos, à excepção
da Teixeira Duarte e da Ren, todas apresentaram
medidas para mitigar os riscos identificados.
Os objectivos da gestão de risco devem estar
alinhados com os objectivos definidos no planeamento
estratégico.
O objectivo do programa de gestão de risco é o de
auxiliar as unidades de negócio a atingirem os seus
objectivos, através da monitorização dos efeitos das
variáveis de risco nos resultados da Empresa.
Nos relatórios da Mota Engil, Jerónimo Martins,
Portugal Telecom, BCP, BES, EDP, Sonae SGPS,
Sonaecom, Zon e Sonae Industria é notória a
importância que a gestão de riscos tem como objectivo
central para a criação de valor, através de processos
de gestão e controlo das incertezas e ameaças.
Denota-se que a exposição ao risco deverá estar
subordinada à estratégia e que o processo de gestão
de risco é da responsabilidade de cada uma das áreas
de negócio do grupo. Estas empresas adoptam uma
concepção de que a gestão de risco é efectuada ao
longo de toda a organização, como um todo, ao invés
de cada área gerir os seus próprios riscos, a análise
aos riscos é transversal a toda a organização.
A Gestão do Risco nas empresas do PSI 20
26
Auditoria Interna Outubro/Dezembro 2010 Nº 41
Outra componente do modelo ERM é a avaliação de
risco, que permite que a entidade compreenda a
extensão com que os eventos potenciais possam ter
impacto na realização dos objectivos. Estes riscos
devem ser analisados em duas vertentes, a
probabilidade de ocorrer e o impacto que pode causar.
Uma das ferramentas utilizadas para auxiliar a
centralizar a informação sobre a gestão de riscos é
através da construção do mapa de riscos que
consolida e agrupa os riscos por classes, permitindo
assim uma visão lógica e dinâmica dos riscos do
negócio.
As empresas que manifestam claramente a existência
da priorização dos riscos e o seu mapeamento são o
BCP, BPI, Cimpor, EDP e Zon. A Mota Engil refere que
está em curso o mapeamento de risco para cada uma
das empresas materialmente relevantes, pois este
processo irá garantir um carácter dinâmico na
monitorização do risco em cada uma das operações,
promovendo acções adequadas em função do risco
percepcionado e acompanhando a sua evolução.
As empresas Sonae SGPS, Sonae Industria, Zon
Multimedia, Sonaecom, BCP, BES, BPI, Mota-Engil,
Jerónimo Martins e REN referem que a organização e
o processo de gestão de risco contemplam as
componentes de identificação e avaliação de riscos, de
definição de estratégias de gestão, de implementação
dos processos de controlo, e de monitorização do
processo.
Por se distinguirem das restantes pela positiva,
gostaríamos de realçar que as empresas Sonae
SGPS, Sonae Industria e Sonaecom mencionam que a
gestão de risco, enquanto pilar da cultura corporativa,
é inerente a todos os processos de gestão, e é
assumida como uma preocupação constante de todos
os gestores e colaboradores do Grupo. Para além
destas, também a Jerónimo Martins realça, que um
dos objectivos da Gestão de Risco é promover a
consciencialização dos colaboradores em matéria de
riscos, e dos efeitos positivos e negativos de todos os
processos que influenciam as operações e que
constituem fontes de criação de valor.
É nosso entendimento que este factor merece ser
realçado pois o processo de RM deve envolver todos
os colaboradores, acrescendo ainda que a Sonae
SGPS e a Sonae Industria reforçam que as suas
empresas estimulam a formação contínua e a adopção
das melhores metodologias e práticas internacionais
nas áreas de Gestão de Risco e Auditoria Interna.
Nesse sentido, apoiam a frequência de um programa
de formação e actualização de conhecimentos que
inclui a certificação profissional internacional em
Auditoria Interna promovida pelo IIA - The Institute of
Internal Auditors - o Certified Internal Auditor (CIA).
6.2- Análise quantitativa
Análise do grau de cumprimento das
recomendações da CMVM
Com base na informação disponível nos relatórios e
contas respeitantes ao exercício de 2008, em especial
na parte relativa ao governo das sociedades, das
empresas cotadas no mercado de cotações oficiais
(Euronext Lisbon), a nossa análise consistiu na
avaliação do cumprimento das recomendações sobre o
governo das sociedades, nomeadamente o referente à
gestão de risco, por parte das empresas pertencentes
ao PSI20 (ponto II.4 do Regulamento N.º 1/2007 da
CMVM).
Após a análise dos Relatórios de Contas das
sociedades em estudo e tendo em conta a
recomendação n.º II.4 do referido regulamento da
CMVM e toda a literatura referente a matérias de
gestão de risco, destacámos os seguintes pontos que,
na nossa opinião, são fundamentais em qualquer
processo de gestão de risco:
A Gestão do Risco nas empresas do PSI 20
27
Auditoria Interna Outubro/Dezembro 2010 Nº 41
Existência de um órgão especializado de
gestão de risco;
Identificação da função, missão e objectivos do
órgão especializado de gestão de risco;
Identificação dos principais riscos a que a
sociedade está sujeita;
Implementação de medidas para mitigar os
riscos identificados;
Definição dos objectivos do Programa de
Gestão de Risco;
Identificação do órgão que define a Política de
Gestão de Risco;
Determinação das áreas onde é implementado
gestão de risco;
Definição dos princípios e das fases do
processo de gestão de risco.
Para cada uma das sociedades verificámos a
existência ou a falta de divulgação no Relatório de
Gestão de cada um desses pontos. O quadro 3, que se
apresenta de seguida, resume os resultados desta
análise.
Quadro 3- Cumprimento de Pontos do Relatório
Função e
objectivos do
orgão
especializado
de gestão do
risco
Identificação
principais
riscos
Medidas
Implementada
s
Objectivos
do PGR -
Programa de
Gestão do
risco
Identificação
do Orgão
que define a
PGR
Áreas onde é
implementada
Fases do
processo de
gestão de
risco
N.º de
requisitos
cumpridos
por empresa
Média por
empresa
Teixeira Duarte Departamento de Auditoria Interna 0 1 0 0 0 0 0 0 1 13%
Sonae SGPS Centro Corporativo: Departamento de Gestão de Risco e Ambiente 1 1 1 1 1 0 1 1 7 88%
Sonae Indústria Gabinete de Auditoria e Gestão de Risco 1 1 1 1 1 0 0 1 6 75%
Semapa Comisão de Controlo Interno 0 0 1 1 1 1 0 0 4 50%
Zon Multimédia Conselho de Administração/Comissão de Auditoria 0 1 1 0 0 1 0 1 4 50%
SoaneCom Comissão de Auditoria e Finanças 0 0 1 1 1 0 0 1 4 50%
Altri ROC e Auditores 0 0 1 0 0 0 0 0 1 13%
BCP Comissão de Risco 1 1 1 1 1 1 1 1 8 100%
BES Comissão de Auditoria e ROC 0 1 1 0 0 1 1 1 5 63%
BPI Comissão Executiva de Riscos de Mercado e de Riscos de Crédito 1 1 1 1 1 1 1 1 8 100%
BRISA Comissão de Auditoria e Gestão de Riscos 1 1 1 0 1 1 1 0 6 75%
CIMPOR Gabinete de Auditoria Interna 0 1 1 1 1 1 1 0 6 75%
EDP Comissão de Auditoria, Comité do Risco e Direcção de Gestão de Risco 1 1 1 1 1 1 1 0 7 88%
Galp Energia Comité de gestão de risco 1 1 1 1 1 1 1 0 7 88%
Mota Engil Gabinete de Auditoria e Risco 1 1 1 1 0 1 0 1 6 75%
Portugal Telecom Comissão de Auditoria e Núcleo de CI e GR 1 1 1 0 1 1 0 0 5 63%
EDP Renováveis Comissão de Auditoria e Controlo e Direcção de Gestão de Risco 1 0 1 1 1 1 0 0 5 63%
Portucel Comisão de Controlo Interno 0 1 1 1 0 1 1 0 5 63%
Jerónimo Martins Comissão de Auditoria/Auditoria Interna 0 1 1 1 1 1 1 1 7 88%
Ren Comissão de Auditoria 0 1 0 0 1 1 0 0 3 38%
10 16 18 13 14 15 10 9 105 66%
50% 80% 90% 65% 70% 75% 50% 45%
Pontos Focados
N.º de empresas cumpridoras por requisito
Média
Em
presa
s
Existência de orgão especializado
Fonte: Elaboração Própria
De entre as vinte sociedades estudadas, apenas
metade dispõem de um órgão especializado de gestão
de risco, isto é, o Conselho de Administração delega
algumas competências e responsabilidades de gestão
de risco a gabinetes, direcções ou departamentos
integrados na estrutura funcional de cada sociedade.
As restantes sociedades aliaram as competências de
gestão de risco às numerosas competências em
matéria de controlo interno das Comissões de
Auditoria.
A Gestão do Risco nas empresas do PSI 20
28
Auditoria Interna Outubro/Dezembro 2010 Nº 41
Apenas a Altri delega estas competências de gestão
de risco a entidades externas, nomeadamente ao ROC
e auditores externos, não possuindo uma estrutura de
gestão de risco interna, com as consequentes
desvantagens que desse facto resultam.
Analisando os resultados obtidos, constata-se que a
média de cumprimento dos pontos por nós
destacados, intimamente ligados à recomendação II.4
do Regulamento n.º 1/2007, pelas sociedades cotadas
do PSI20 foi de 66%, contribuindo positivamente para
este resultado sobretudo o BCP e o BPI.
Gráfico 1 – Nível de Cumprimento por Sociedade
Fonte: Elaboração própria
Analisando o gráfico 1, verifica-se que as várias
sociedades apresentam uma grande heterogeneidade
no cumprimento, existindo sociedades que cumprem
menos de metade das recomendações, três cumprem
apenas metade dos requisitos, outras que cumprem
quase que integralmente todas as recomendações e
outras duas chegam ainda a cumprir 100 % dos pontos
analisados.
Gráfico 2- Nível de Cumprimento por Sector
Fonte: Elaboração Própria
Por outro lado, realizando uma análise comparativa
entre sectores, existe um inequívoco destaque do
sector bancário, onde as sociedades bancárias
apresentam um cumprimento de mais três quartos dos
pontos focados, cabendo o cumprimento referido de
100% ao BCP e BPI. Pelo contrário, o sector do Papel
e Madeira é aquele que apresenta o menor grau de
cumprimento, motivado essencialmente pelo nível de
cumprimento da sociedade ALTRI que reúne o nível
mais baixo de entre as sociedades que correspondem
ao PSI 20 (com um nível de 13%), absorvendo os bons
resultados das restantes sociedades do sector (a
Sonae Indústria e a Portucel com um nível de 75% e
63%, respectivamente).
Gráfico 3-Nível de Cumprimento por requisito
Fonte: Elaboração própria
No que concerne ao nível de cumprimento dos pontos
por nós focados, o maior destaque vai para a
identificação de riscos que arrecada 90% (gráfico 3).
A Gestão do Risco nas empresas do PSI 20
29
Auditoria Interna Outubro/Dezembro 2010 Nº 41
Ou seja, 90% das empresas do PSI20 identificam os
riscos a que a sua actividade está sujeita,
nomeadamente os riscos financeiros e operacionais.
De entre estas sociedades, merece especial destaque
o sector bancário, que identifica de uma forma
detalhada as várias categorias de riscos a que está
sujeita. Apenas as sociedades Teixeira Duarte e REN
não identificam no seu Relatório de Contas os riscos
do seu negócio.
Elevada adesão mereceu igualmente o ponto de
identificar a função e objectivos do órgão especializado
de gestão do risco, com 80%. Têm também especial
interesse, pelo seu significado, os resultados obtidos
relativamente ao cumprimento da identificação do
órgão que define a Política de Gestão de Risco e
definição dos objectivos do programa de gestão de
risco, com 75% e 70%, respectivamente. Quanto aos
restantes pontos – identificação de medidas
implementadas para mitigar os riscos identificados, as
fases do processo de gestão de risco e as áreas onde
este processo é implementado, beneficiaram de um
modo geral de um grau de cumprimento razoável,
situado entre os 65% e 50%.
Realizando também uma análise sectorial, verifica-se
que o ponto com maior destaque – identificação de
riscos – assume maior importância nos sectores da
banca e das telecomunicações.
Quadro 4- Nível de Cumprimento por Sector
Fonte: Elaboração Própria
As novas recomendações – o Regulamento n.º
1/2010 da CMVM
No início do presente ano, a CMVM aprovou as novas
recomendações para o Governo das Sociedades das
empresas cotadas, sugerindo regras mais restritas aos
administradores das empresas cotadas.
Estas novas recomendações focaram sobretudo três
grandes áreas: remuneração dos administradores, o
funcionamento dos sistemas de controlo de risco e a
independência dos auditores externos.
Para que as empresas consigam gerir melhor os riscos
que enfrentam nas suas actividades, a CMVM propõe
mais sete dicas. Segundo a CMVM, os sistemas
internos de controlo e gestão de riscos devem passar a
integrar as seguintes componentes:
A Gestão do Risco nas empresas do PSI 20
30
Auditoria Interna Outubro/Dezembro 2010 Nº 41
1) Fixação dos objectivos estratégicos da
sociedade em matéria de assumpção de riscos;
2) Identificação dos principais riscos ligados à
concreta actividade exercida e dos eventos
susceptíveis de originar riscos;
3) Análise e mensuração do impacto e da
probabilidade de ocorrência de cada um dos riscos
potenciais;
4) Gestão do risco com vista ao alinhamento dos
riscos efectivamente incorridos com a opção
estratégica da sociedade quanto à assunção de
riscos;
5) Mecanismos de controlo da execução das
medidas de gestão de risco adoptadas e da sua
eficácia;
6) Adopção de mecanismos internos de
informação e comunicação sobre as diversas
componentes do sistema e de alertas de riscos;
7) Avaliação periódica do sistema implementado e
adopção das modificações que se mostrem
necessárias.
O regulador adianta também que a responsabilidade
pela criação e o funcionamento dos sistemas de
controlo de risco deverá caber ao órgão de
administração, enquanto a responsabilidade de avaliar
a sua eficácia e de propor o seu ajustamento às
necessidades da sociedade caberá ao órgão de
fiscalização.
Visto ter surgido, no período do estudo, um novo
regulamento que abarca novas recomendações no que
toca aos sistemas de controlo interno e gestão de
riscos, pareceu-nos importante identificar as
sociedades que já em 2008 seguiam estas
recomendações, presentes no regulamento de 2010.
Quadro 5 - Novas Recomendações
Fonte: Elaboração Própria
A Gestão do Risco nas empresas do PSI 20
31
Auditoria Interna Outubro/Dezembro 2010 Nº 41
Pela análise do quadro 5, podemos constatar que, mais
uma vez, o primeiro lugar pertence a uma sociedade do
sector bancário – o BCP, que reúne um nível de
cumprimento de 100% das novas recomendações; a
Mota Engil, a EDP renovável e Jerónimo Martins
cumprem três quartos das novas recomendações; a
Altri e a Teixeira Duarte são, como seria de esperar e
comprovando a análise anteriormente realizada
referente à recomendação II.4 do já citado
Regulamento n.º 1/2007 da CMVM, as que apresentam
um menor nível de cumprimento; a identificação dos
principais riscos (económicos, financeiros e jurídicos) é
a recomendação que é seguida pela maioria das
sociedades do PSI 20, à excepção da REN que, no seu
Relatório do Governo das Sociedade, não divulga os
principais riscos que enfrenta do desenvolvimento da
sua actividade; a descrição da actuação e eficácia do
Sistema de Gestão de Riscos aparece como a
recomendação que menos é seguida. Apenas o BCP
faz referência no seu Relatório de Gestão a prática de
descrever a actuação do seu sistema de gestão de
risco, bem como a sua eficácia.
Em síntese, de uma maneira geral, as sociedades já
referem no seu Relatório do Governo das Sociedades,
do exercício de 2008, as novas recomendações
emanadas em 2010 pela CMVM, evidenciando a
crescente preocupação pelo acompanhamento e
controlo dos riscos que qualquer sociedade enfrenta no
decorrer da sua actividade.
7.Limitações
As limitações com que nos deparámos, ao longo do
estudo que efectuámos, estão relacionadas com o
facto de os dados recolhidos incidirem apenas na
informação que é divulgada no relatório do governo das
sociedades, o que poderá reflectir nas conclusões
obtidas. Desta forma, as conclusões retiradas do nosso
estudo podem não caracterizar a realidade das práticas
seguidas pelas sociedades analisadas. De facto, a não
divulgação no Relatório de Governo das Sociedades
dos procedimentos de gestão de risco não quer dizer
que estes não estejam implementados nas sociedades.
Para um estudo mais aprofundado, seria necessário a
recolha de informação complementar, nomeadamente
através da realização de questionários às sociedades
em questão.
8.Conclusão
O presente trabalho de investigação procurou analisar
o cumprimento do ponto referente à gestão de risco do
regulamento nº 1/2007 nas organizações cotadas no
PSI-20. Mostrou-se que a introdução de novas
metodologias de gestão de riscos através dos
regulamentos da CMVM representa um papel inovador
e diferenciador nas organizações referidas, permitindo-
nos concluir que na amostra todas as empresas
cumprem este requisito, apesar de termos constatado
que é no sector bancário e nas empresas Sonae
SGPS, EDP, Galp Energia e Jerónimo Martins, que é
feita uma descrição mais exaustiva da gestão de risco.
Denota-se também uma maior preocupação com
outros tipos de riscos, fruto da importância que cada
vez mais se dá a matérias como a sustentabilidade,
responsabilidade social, ambiente, compliance e
corporate governance, é importante referir que estes
riscos não são novos, mas as organizações só agora
começam a atribui-lhes importância.
No decorrer deste trabalho foi emanada pela CMVM o
regulamento nº 1/2010 que revoga o regulamento nº
1/2007 e que vem definir regras ainda mais restritas e
esclarecer quais as divulgações que as empresas
devem fazer em matéria de gestão do risco, definindo
quais as componentes que os sistemas de gestão de
risco devem conter.
A Gestão do Risco nas empresas do PSI 20
32
Auditoria Interna Outubro/Dezembro 2010 Nº 41
Pela sua pertinência, efectuámos uma breve análise às
empresas da nossa amostra para verificar em que
medida é que as empresas já estariam a cumprir esta
nova recomendação.
Após o estudo efectuado, podemos concluir que a
gestão do risco tem ganho um enfoque cada vez maior
nas organizações e só as empresas que adoptem esta
metodologia conseguirão criar valor, no mundo
globalizado de hoje não se pode fugir do risco, mas
deve-se saber viver com ele.
9.Bibliografia:
AZEVEDO, Belmiro, Transcrição da Intervenção no Risk Management Forum 2005 FERMA, Lisboa 3 de Out.20 05
BEJA, Rui (2004), Risk management – Gestão, Relato e Auditoria dos Riscos do Negócio, Áreas Editora
CASTANHEIRA, Nuno, Rodrigues Lúcia Lima, (2007) Gestão Risco – da abordagem tradicional à gestão de risco empresarial (ERM), Revista Auditoria Interna nº 26
Corporate Governance e responsabilidade social das empresas - Fernando Teixeira dos Santos – Presidente da CMVM
COSO Releases New ERM Framework, em http://www.theiia.org/guidance/additional-resources/coso-related-resources/coso-releases-new-erm-framework/?search=COSO Releases New ERM Framework
IPAI, (2007), Práticas profissionais de Auditoria Interna
MORAIS, Georgina e Martins, Isabel, (2007), Auditoria interna: função e processo,
Áreas Editora.
MOREIRA, J.M., Gonçalves, H. e Oliveira, G.A. (2004), Corporate Governance em Portugal, XII Conferencia Anual de Ética, Economía y Dirección, Úbeda, Espanha: Universidad de Jaén.
PAUPÉRIO, Ângelo (Vice-Presidente Executivo da Sonae SGPS), XIII Conferência Nacional de Auditoria Interna, IPAI, Lisboa, 27 de Novembro de 2006
PINHEIRO, Joaquim, Auditoria Interna, Nyse, SEC, COSO e Corporate Governance, consultado em http://sol.sapo.pt/blogs/jleitepinheiro/archive/2008/10/04/Auditoria-Interna_2C00_-Nyse-e-Corporate-Governance.aspx
http://www.bdo.pt/docs/publicacoes/ArtigoGestaoRiscoVI_20070126.pdf
Consultado em 02.2010
http://www.sinfic.pt/SinficNewsletter/sinfic/Newsletter83/Dossier1.html
Consultado em 02.2010
http://mdseguros.com/img_upload/Managing_Risk_by_Value_Creation_PT.pdf
Consultado em 02.2010
http://www.apq.pt/img_manager/imagens/pdf/Gestao_de_risco_no_contexto_organizacional.pdf Consultado em 02.2010
http://www.theiia.org/
Consultado em 05-12-2009
http://www.iso.org/iso/home.htm,
consultado em 04-12-2009
http://www.bdo.pt/docs/publicacoes/ArtigoGestaoRiscoVI_20070126.pdf
Consultado em 02.2010
http://www.sinfic.pt/SinficNewsletter/sinfic/Newsletter83/Dossier1.html
Consultado em 02.2010
http://mdseguros.com/img_upload/Managing_Risk_by_Value_Creation_PT.pdf
Consultado em 02.2010
http://www.apq.pt/img_manager/imagens/pdf/Gestao_de_risco_no_contexto_organizacional.pdf
Consultado em 02.2010
http://www.theiia.org/,
Consultado em 05-12-2009
http://www.iso.org/iso/home.htm,
Consultado em 04-12-2009
http://www.eben-spain.org/docs/Papeles/XII/Jose_Manuel_Moreira_y_otros.pdf
Consultado em 04-12-2009
o
A Gestão do Risco nas empresas do PSI 20
Colabore.
Envie um artigo para [email protected]
33
Auditoria Interna Outubro/Dezembro 2010 Nº 41
Desta vez optámos por falar de detecção de fraude. Outra vez. Esta nossa insistência devesse essencialmente a 3
factores:
O ambiente económico é propício à prática de fraude;
É mais fácil aprovar orçamentos para projectos de retorno rápido, mensurável e visível;
A plataforma ACL é realmente eficiente na detecção de fraude.
O que é a Fraude?
O conceito de fraude inclui uma variedade de práticas ilícitas
e actos ilegais, por meio de acção ou omissão intencional
que resultem na obtenção de vantagens ilegítimas. O
International Professional Practices Framework (IPPF) do
Institute of Internal Auditors (IIA), define fraude como
“...qualquer acto ilegal caracterizado por engano,
dissimulação ou quebra de confiança. Não é necessário
estes actos envolverem ameaça de violência ou força física.
A fraude é perpetrada por indivíduos e organizações para
obter dinheiro, património ou serviços; para evitar
pagamento ou perda de serviços; ou para preservar
vantagens pessoais ou empresariais.”
A fraude tem impacto nas organizações a diversos níveis,
nomeadamente financeiro, operacional e psicológico. A
perda monetária derivada da fraude pode ser significativa.
Já o impacto total da fraude numa organização pode ser
devastador. As perdas de reputação, goodwill e nas relações
com os clientes podem ser demolidoras. Uma vez que as
fraudes podem ser praticadas por qualquer colaborador ou
por terceiros, é importante dispor de um programa eficaz de
gestão de fraude, para salvaguardar a reputação e os
activos da organização.
De quem é a responsabilidade de Detecção de Fraude?
A Gestão é, em última análise, responsável pelo programa de gestão de fraude, no entanto a auditoria interna pode ter um papel
chave no combate a esta ameaça. Ao proporcionar uma avaliação da probabilidade de ocorrência de fraude, a auditoria interna
pode demonstrar como a organização está preparada para a combater e como está a gerir o risco de fraude.
ACL White paper: Detecção de Fraude na
Administração Pública com tecnologia de
Data Analytics
João Revés - Partner
SSP, SA, authorised channel distribution partner da ACL para Portugal
www.ssp-sa.com
34
Auditoria Interna Outubro/Dezembro 2010 Nº 41
“Denunciar e parar esta fraude e,
recuperar milhões perdidos da
receita fiscal em representação
do Ministério, foi possível através
da utilização da tecnologia ACL.
Adicionalmente, na sequência
dos novos standards de auditoria
para todos os países membros
da UE, o Ministério das Finanças
da Áustria está a utilizar a
tecnologia ACL para auditoria e
monitorização contínuas”
Senior EDP Auditor, Ministério das Finanças da Áustria
Hoje em dia, no mundo digital e automatizado em que as empresas e organizações públicas desenvolvem a sua actividade, muitos
processos de negócio dependem do uso de tecnologia. Este facto, permite a exploração de debilidades na segurança, nos
controlos ou nas aplicações de negócio, por parte dos praticantes de fraudes e crimes financeiros. A boa notícia é que a
tecnologia pode também ser uma ajuda vital no combate à fraude. A auditoria interna
deve encarar a tecnologia como parte integrante - e fundamental - das suas
ferramentas de prevenção e detecção de fraude. Potenciar a tecnologia para
implementar programas de prevenção contínua de fraude contribui para que as
organizações se defendam daquele risco e reduzam o tempo necessário à
descoberta de práticas fraudulentas. E, desta forma, minimizarem o impacto que a
fraude pode ter nas organizações.
Porquê o Recurso a Tecnologias de Data Analysis
na Detecção de Fraude?
As tecnologias de data analysis permitem aos auditores analisar os dados
transaccionais da sua organização para compreenderem como os controlos estão a
desempenhar com eficácia o seu papel na identificação de transacções que indiciam
actividades fraudulentas ou risco de fraude acrescido. As tecnologias de data
analysis podem ser aplicadas em qualquer ponto da organização onde existam
transacções electrónicas.
As tecnologias de data analysis proporcionam também uma forma proactiva no
combate à fraude. As linhas de denúncia (whistleblower hotlines) - populares nos
países anglo-saxónicos -permitem a comunicação de suspeitas de comportamentos fraudulentos mas, por si só, não são
suficientes. Porque devemos ser reactivos e esperar por uma denúncia para agir? Porque não ser proactivos e procurar indícios
nos dados transaccionais do negócio? Desta forma as organizações podem detectar indicadores de fraude mais cedo e pará-la
antes que tome dimensões de materialidade e cause danos financeiros.
Detectar a fraude de forma eficaz, implica testar todas as
transacções relevantes de todos os sistemas e aplicações
de negócio. Analisar as transacções de negócio
directamente na sua fonte, ajuda os auditores a fornecer
uma melhor e mais completa visão da probabilidade de
ocorrência de fraude. Ajuda também a concentrar as acções
investigativas nas transacções suspeitas ou que evidenciam
debilidades em controlos que possam ser exploradas pelos
perpetradores de fraude. Posteriormente devem ser
efectuados testes de validação do entendimento que o
auditor tem dos dados e que permitam detectar nestes
indícios de fraude11
.
Existe um leque variado de testes e análises passíveis de
serem executados para detectar fraude. Desde uma análise
11 Coderre, David G., Fraud Analysis Techniques Using ACL, John Wiley & Sons, 2009
pontual conduzida de forma ad-hoc, no contexto de uma
investigação ou exercício específicos, até análises e testes
recorrentes a processos de negócio onde práticas
fraudulentas são mais susceptíveis de ocorrer. Em última
análise, onde o risco de fraude é elevado, as organizações
podem aplicar uma abordagem contínua para detectar
fraude – particularmente nas áreas onde os controlos
preventivos não são adequados.
Quando uma organização se inicia na data analysis, o
processo é, normalmente, irreversível. Cada vez mais o âmbito da
sua aplicação é maior e mais detalhado. As organizações
modernas têm vindo a aumentar as suas exigências de
informação e o paradigma da auditoria está a mudar da
abordagem cíclica tradicional para um modelo contínuo e
baseado no risco.
ACL White paper: Detecção de Fraude na Administração Pública com tecnologia de Data Analytics
35
Auditoria Interna Outubro/Dezembro 2010 Nº 41
“O ACL AuditExchange veio
potenciar a já provada capacidade
analítica da ACL e de integração
de dados da Informática® em
garantir aos auditores meios de
realizar análises de dados e de
contribuírem de forma eficaz para
a prevenção e detecção de
fraude.”
David Coderre
Prestigiado autor de livros como “Computer-Aided Fraud Detection & Prevention: A Step-by-Step Guide”
Neste contexto, a tecnologia oferece uma diversidade de
soluções que varia conforme a dimensão, complexidade e
sofisticação da organização. Desde a análise ad-hoc até
procedimentos automáticos e recorrentes, e auditoria e
monitorização contínuas, as tecnologias de data analysis
permitem a compreensão da integridade das transacções
financeiras e de negócio. As tecnologias de data analysis
levam a relatórios de auditoria mais precisos, melhor
conhecimento do framework de controlo interno e melhora a
capacidade de identificar e gerir os riscos do negócio.
Técnicas de Data Analysis para Detecção de
Fraude
Para pormos em prática a detecção de fraude através de tecnologias de data
analysis, temos de previamente identificar:
Áreas onde existe probabilidade de ocorrência de fraude;
Características nos dados transaccionais que indiciam fraude;
Quais as fontes de dados a que precisamos de aceder.
As técnicas enumeradas de seguida são eficazes na
detecção de fraude. Os auditores devem assegurar-se de
que são aplicadas adequadamente. A saber:
o Cálculo de parâmetros estatísticos (e.g. media,
desvio padrão, máximos/mínimos) para identificar
desvios que indiciem fraude;
o Classificação – para detectar padrões entre os
dados;
o Estratificação de valores – para identificar
ocorrências invulgares (i.e. excessivamente altas
ou baixas)
o Análise automática, com recurso à Lei de
Benford – para identificar ocorrências de dígitos
invulgares entre conjuntos de dados “naturais”;
o Cruzar várias fontes de dados – com o objectivo
de identificar correspondências (e.g. nomes,
moradas, NIBs, NIF’s, etc.) onde não deveriam
existir;
o Teste de duplicados - para identificar transacções
duplicadas, como pagamentos, facturas, ou
despesas de representação;
o Somatórios – para detectar eventuais totais falsos;
o Validação de datas – de modo a detectar datas
incoerentes com a natureza das transacções12
(e.g.
horas extras em dias de folga)
12 Global Technology Audit Guide: Fraud Prevention and Detection in an Automated World. The Institute of Internal Auditors, 2009.
Note-se que a amostragem aleatória não está entre as
técnicas enumeradas. A amostragem é uma técnica
adequada à análise de valores consistentes ao longo do
universo de dados. Já no que respeita à fraude, a sua
própria natureza é diferente e tende a não ocorrer de forma
aleatória.
Estratégias de Detecção de Fraude
Em vez de confiar somente em medidas reactivas como as
denúncias, as organizações podem e devem tomar as
rédeas e a iniciativa na detecção de fraude.
Um programa de prevenção e detecção de fraude, deve
incluir abordagens variadas – desde pontuais, recorrentes e
em última análise, contínuas, nas áreas de maior risco.
Com base em Key Risk Indicators, testes pontuais (ou ad-
hoc) ajudam a identificar transacções a investigar. Se esses
testes revelarem indícios de fraude, deve ser considerada a
possibilidade de implementar análises recorrentes ou
mesmo contínuas.
ACL White paper: Detecção de Fraude na Administração Pública com tecnologia de Data Analytics
36
Auditoria Interna Outubro/Dezembro 2010 Nº 41
““O nosso grande aumento na
produtividade e no ROI, pode, em
grande parte, ser atribuído ao
programa de formação da ACL e à
utilização da sua tecnologia nas
nossas auditorias no terreno. Por
isso, recomendo fortemente a
formação certificada da ACL”
Cliff Cole
Computer Audit Specialist, US Department of Housing and Urban Development
Um relatório sobre “Forensics’ Fraud Risk Management” da
KPMG, identifica “ao contrário da análise retrospectiva, a
monitorização contínua de transacções permite a uma
organização identificar transacções potencialmente
fraudulentas, por exemplo numa base diária, semanal ou
mensal. As organizações frequentemente concentram os
seus esforços de monitorização contínua para se focarem
em conjuntos restritos de transacções ou áreas expostas a
riscos particularmente elevados”13
.
Ao potenciar a utilização de tecnologias de data analysis, as
organizações podem detectar a fraude mais cedo e assim
minimizar o impacto de perdas significativas, dela
resultantes.
13 “Fraud Risk Management: Developing a Strategy for Prevention, Detection and Response”, KPMG International, 2006
Clientes ACL na imprensa:
O “U.S. Department of Housing and Urban Development” utiliza tecnologia de data analysis para identificar
milhões de dólares de transacções fraudulentas em empréstimos hipotecários.
“HUD intimida 15 titulares de créditos hipotecários.” PBS' Nightly Business Report (12/01/2010) comunicou que 15
companhias que “empréstimos hipotecários tiveram hoje uma surpresa indesejada no correio. Foram intimadas pelo
US Department of Housing and Urban Development.” O Governo pretende apurar porque ]e que existem uma taxa
tão elevada de incumprimento nestas companhias e se existe fraude. Estes créditos malparados milhões de dólares
custaram ao fundo de seguros de hipotecas federal”.
The Mortgage News Daily (13/01/2010) comunicou que Stevens and Donohue declararam “O objectivo desta iniciativa
é determinar porque é que existe uma tão alta taxa de incumprimento e sinistralidade nestas companhias e se
resultam de práticas ilegítimas. Neste momento não existe qualquer acusação, e não temos qualquer evidência de má
fé, mas vamos investigar de forma agressiva os indícios de fraude. Somos membros da Financial Fraud Enforcement
Task Force do Presidente e as acções de hoje reflectem o nosso empenho em investigar informações de alertas que
resultem da data analysis."
ACL White paper: Detecção de Fraude na Administração Pública com tecnologia de Data Analytics
37
Auditoria Interna Outubro/Dezembro 2010 Nº 41
Administração Pública
Os governos têm a responsabilidade de fornecer serviços ao público com
recursos limitados.
No que toca à despesa pública, os governos devem assegurar aos
contribuintes que os dinheiros públicos são bem aplicados. Com rigor e
critério.
Apesar disto, as entidades públicas, a diversos níveis, têm sido alvo de
actividades fraudulentas.
A fraude tem sido reconhecida como uma área de alto risco e,
frequentemente, tem revelado maior peso nos planos de auditoria de
entidades públicas do que no sector privado.
Distribuição de esquemas de fraude na Administração Pública14
14 2010 Global Fraud Study: Report to the Nations on Occupational Fraud and Abuse, Association of Certified Fraud Examiners
Government and public Administration – 176 Cases
Scheme Nr. of Cases % of Cases
Corruption 57 32.4%
Billing 43 24.4%
Expense Reimbursement 32 18.2%
Non-Cash 30 17.0%
Larceny 25 14.2%
Check Tampering 24 13.6%
Skimming 23 13.1%
Cash on Hand 21 11.9%
Payroll 20 11.4%
Financial Statement Fraud 5 2.8%
Register Disbursements 5 2.8%
Ministério das Finanças da Áustria: denunciar e parar a fraude através da tecnologia ACL
O Ministério das Finanças da Áustria tem um orçamento anual de cerca de 110.000 Milhões de EUR. Os auditores do
Ministério têm de analisar quantidades gigantescas de dados, provenientes de múltiplas plataformas e sistemas de
informação, sob grande pressão de cumprimento de prazos. Na Áustria, todos os contribuintes - empresas e
indivíduos - devem submeter as suas declarações fiscais electronicamente, mas podem-no fazer em diversos
formatos.
A flexibilidade do software de auditoria da ACL, contribuiu de forma determinante para o Ministério simultaneamente
aumentar o âmbito e a eficácia das suas auditorias fiscais. No âmbito de uma importante iniciativa que se desenrolou
ao longo de quatro anos, a equipa de auditoria de Electronic Data Processing (EDP) utilizou poderosos testes de
auditoria automatizados que lhe permitiu identificar e posteriormente recuperar, mais de 85 milhões EUR de perdas
em receitas fiscais e anular um esquema fraudulento que vinha a ser perpetrado ao longo de anos no sector da
hotelaria e restauração.
ACL White paper: Detecção de Fraude na Administração Pública com tecnologia de Data Analytics
38
Auditoria Interna Outubro/Dezembro 2010 Nº 41
Detecção de Fraude em Entidades
Públicas
Apresentamos de seguida alguns esquemas de fraude
típicos aplicados a entidades públicas e a forma como a
tecnologia de data analysis pode ser utilizada na sua
prevenção e detenção:
Corrupção
o Compras: analisar a conformidade contratual para
preços unitários de bens contratados
o Fraude fiscal: validar a conformidade fiscal
(rendimentos declarados/auferidos)
o Benefícios: detectar entidades que recebem
benefícios sem legitimidade
o Questões alfandegárias: procurar indícios de
evasão fiscal na área aduaneira
Billing
o Despesas de empregados: analisar consumos de
combustível anormais (volumes, tipo,...)
o Compras: procurar fraccionamento de
encomendas/adjudicações
Reembolso de Despesas
o Despesas de representação: revelar despesas de
representação suspeitas pela sua natureza ou
estatisticamente improváveis
Sem envolver dinheiro (Non-Cash)
o Abuso por parte dos empregados: detectar uso não
autorizado da internet ou chamadas telefónicas de
longa distância
o Atribuição de privilégios: identificar privilégios
atribuídos pelo estado a beneficiários ilegítimos
Remunerações (Payroll)
o Horas extraordinárias: detector abusos de
pagamentos de horas extraordinárias
o Falsificação de remunerações: procurar
empregados que recebem salário e
simultaneamente são pagos como prestadores de
serviços externos.
Outros recursos
o Association of Certified Fraud Examiners (ACFE): a maior organização de combate à fraude a nível mundial e a principal
entidade formadora nesta área www.acfe.org
o The Institute of Internal Auditors (The IIA): www.theiia.org
» International Standards for the Professional Practice of Internal Auditing (Standards): os Standards são referências
obrigatórias – estabelecem um framework para promover e desenvolver a auditoria interna.
» Internal Auditing and Fraud Practice Guide: orientações para assegurar a conformidade com os International Standards
for the Professional Practice of Internal Auditing.
» GTAG 13: Fraud Prevention and Detection Techniques in an Automated World: um guia para auditar um programa de
combate à fraude, incluindo uma explicação dos vários tipos de data analysis a utilizar na detecção de fraude e um
template de assessment do risco de fraude.
o Micro site da ACL dedicado à detecção de fraude: materiais de combate à fraude, incluindo relatórios por indústria/sector
de actividade, case studies e webinars. www.acl.com/governmentfraud
o
ACL White paper: Detecção de Fraude na Administração Pública com tecnologia de Data Analytics
39
Auditoria Interna Outubro/Dezembro 2010 Nº 41
Caneta Digital
“A burocracia não consegue admitir que as
instituições sem fins lucrativos sejam bem
sucedidas onde os governos falham”.” A resposta
correcta à questão: Quem se encarrega dos
desafios sociais da sociedade do conhecimento?
Não é nem o “governo” nem a “organização
empregadora”. É um sector social novo e distinto.
O governo revelou-se incompetente na resolução
dos problemas sociais. E as instituições sem fins
lucrativos gastam muito menos a conquistar
sucessos do que o governo a acumular
fracassos”.
Peter Drucker, O Diário de Drucker, 2004,
Actual Editora, Lda.
Sugestão de leitura
Publicidade
40
Auditoria Interna Outubro/Dezembro 2010 Nº 41
Livros para Venda
The International Professional Practices Framework (IPPF)
is the conceptual framework that organizes authoritative
guidance promulgated by The Institute of Internal Auditors.
Preço para sócios: 36,73 Euros; Preços para não sócios:
38,40 Euros; Acresce portes de correio: 4,00 Euros (Portugal
Continental).
Preço: 30 Euros; Portes de correio: 3,30 Euros (Portugal
Continental).
Para encomendar:
Enviar cheque a favor do Instituto Português de Auditoria
Interna, com indicação do livro pretendido e morada para
envio.
Pode utilizar o método de transferência bancária utilizando o
NIB do IPAI, com informação através do correio electrónico
Não hesite em contactar-nos.
Telef. / Fax 213 151 002
Dr. Bombarda Azevedo
Novos associados
Henrique Manuel S. R. Vicente
Rui Manuel Barros Galhardo
Catarina Isabel Oliveira Pais
Paula Maria Spínola Costa
Alexandre Miguel M. M. Marques
Sandra Cristina P. B. S. Coelho
Maria Fátima Fachada C. Reis
Rodrigo Maria M. P. Soares
Ana Paula Marques Bernardes
Pedro André Martins Miroto
Eurico Clemente Velez Mateus
António Faria Justo
Mafalda Teresa Biard Antunes
Artur Jorge Jesus Alfama
Valter Pimentel Moreira Lima
Ricardo Jorge Pereira Negrinho
Dilma Barber Dias Santos
Luis Bernardo B. Noronha Penaguião
Nuno Ricardo Oliveira Moreira
Sandra Maria Almeida Simões
Gil Vicente Jorge Marcelino
Filipe José Ramos Chamiço
Maria Fátima Soares Lyra
Ana Terezinha Duarte Rodrigues
Catarina Isabel G. Paulino Abreu
Nelson José Santana Marçal
Joana Filipa Lourenço Garcia
Um excelente ano de 2011 a todos os associados.
41
Auditoria Interna Outubro/Dezembro 2010 Nº 41
Notícias
2010 Conferência Anual
42
Auditoria Interna Outubro/Dezembro 2010 Nº 41
Fotos da Conferência Anual
Lisboa, 19 de Novembro de 2010
43
Auditoria Interna Outubro/Dezembro 2010 Nº 41
Protocolo IPAI_ISACA LX
Sócios com sucesso nas certificações
Fotos da Conferência Anual
44
Auditoria Interna Outubro/Dezembro 2010 Nº 41
Documentos da Conferência: pode consultar em http://www.ipai.pt/gca/index.php?id=165
Conferência Anual
45
Auditoria Interna Outubro/Dezembro 2010 Nº 41
Conferência Anual
46
Auditoria Interna Outubro/Dezembro 2010 Nº 41
Post_it
Miguel Silva
47
Auditoria Interna Outubro/Dezembro 2010 Nº 41
Pesquisa de Institutos de Auditoria
France
Affiliate code 84
IFACI- http://www.ifaci.com/
Georgia
Affiliate code 343
Germany
Affiliate code 268
http://www.diir.de/
Publicidade
48
Auditoria Interna Outubro/Dezembro 2010 Nº 41