Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Auditoria Interna Outubro/Dezembro 2009 Nº 36 Plano de Formação 2010
Auditoria Interna e gestão do risco
Outubro/Dezembro de 2009 Trimestral Distribuição gratuita Nº 36
Auditoria Interna Outubro/Dezembro 2009 Nº 36
Nº CURSO LOCAL DATA FORMADOR 1 Introdução ao Controlo e Auditoria Interna Lisboa
Porto Jan, 25-26 Set, 16-17
Francisco Albino, CIA, CCSA, CGAP
2 Enquadramento Internacional de Práticas Profissionais de Auditoria Interna
Porto Lisboa
Fev, 22-23 Out, 11-12
Francisco Albino, CIA, CCSA, CGAP
3 Auditoria Interna Baseada no Risco – Metodologia ERM
Lisboa Mai, 3-4 Nuno Oliveira, CIA
4 Auto-avaliação do Risco e do Controlo – Preparação para o Exame CCSA
Lisboa Jun, 28-29 Nuno Oliveira, CIA Orlando Sousa, CCSA Júlia Santos. CCSA
5 Quality Assessment and Improvement Program Lisboa Jun, 18 * Prof. Glenn Sumners, CIA, CPA, CFE
6 Fraude e Auditoria Interna Lisboa Set, 27-28 Tiago Lopes, CIA, CCSA, CFE
7 Relatórios de Auditoria Lisboa Mai, 10-11 Francisco Albino, CIA, CCSA, CGAP
8 Amostragem para Auditoria
Lisboa Dez, 13-14 Céu Almeida, ROC
9 SNC – Reforma da Contabilidade Lisboa Mar, 1-2 Baia Engana, ROC Gervásio Lérias, ROC
10 Auditoria de Sistemas e Tecnologias de Informação
Lisboa Mai, 31-Jun, 1 Paulo Gomes, CISA
11 Segurança de Sistemas de Informação
Lisboa Set, 6-7 Pedro Cupertino, CISA
12 Liderança e Comunicação em Auditoria Interna Lisboa Porto
Mar, 29-30 Out, 18-19
Filipa Oliveira
13 CIA Review – I Part Lisboa Jun, 14 * Prof. Glenn Sumners, CIA, CPA, CFE
14 CIA Review – II Part Lisboa Jun, 15 * Prof. Glenn Sumners, CIA, CPA, CFE
15 CIA Review – III Part Lisboa Jun, 16-17 *
Prof. Glenn Sumners, CIA, CPA, CFE
16 CIA Review – IV Part Lisboa Jun, 17 * Prof. Glenn Sumners, CIA, CPA, CFE
17 Preparação para o exame CIA – I Parte Lisboa Set, 20 Francisco Albino, CIA, CCSA, CGAP
18 Preparação para o exame CIA – II Parte
Lisboa Set, 21 Nuno Oliveira, CIA
19 Auditoria de Instituições Públicas – Preparação para o Exame CGAP
Lisboa Abr, 26-27 Francisco Albino, CIA, CCSA, CGAP
20 Auditoria de Empreitadas de Obras Públicas Lisboa Mai, 24-25 Sara Pestana, CIA Sofia Correia, CIA
21 Auditoria Interna no âmbito de Basileia II -Preparação para o Exame CFSA
Lisboa **
22 Seminário especializado em parceria com o MIS
Lisboa **
* Em língua inglesa. ** Em preparação, com realização a confirmar.
NOTA: Poderá haver ajustamentos das datas previstas, pelo que se solicita a consulta ao nosso site e o contacto com o IPAI.
Eventos a realizar em 2010 V Fórum de Auditoria Interna (Junho) XVII Conferência Nacional do IPAI (Novembro)
Auditoria Interna Outubro/Dezembro 2009 Nº 36
Em nome do IPAI, dou-vos as boas-vindas e agradeço a vossa participação nesta XVI Conferência Anual de Auditoria Interna.
Agradecemos a todos os oradores convidados a disponibilidade que tiveram em partilhar as suas ideias e experiências.
Agradecemos, igualmente, a todos os patrocinadores, Deloitte, Ernst&Young, KPMG e Pricewaterhouse&Coopers, a disponibilidade em apoiar esta conferência.
Este ano a Conferência Anual do IPAI retoma o tema da Gestão de Risco e o seu papel na Auditoria Interna.
A ausência de processos efectivos de Gestão de Risco e de Governo das Sociedades, a par da falta de mecanismos eficazes de regulação dos mercados financeiros, estiveram na origem da actual crise económica e financeira global, que levou ao colapso de grandes organizações internacionais.
Neste contexto, torna-se necessário reforçar os sistemas de Gestão de Risco e de Controlo Interno das Organizações e o papel da Auditoria Interna.
A Gestão de Risco e a Auditoria Interna são pilares de um Bom Governo das Organizações.
O Risco assume uma importância fundamental no processo de Auditoria Interna, devendo ser a base e o foco de toda a actividade, desde o planeamento até à comunicação dos resultados, passando pela execução e documentação dos trabalhos. Por outro lado, compete à Auditoria Interna a avaliação dos sistemas de Gestão de Risco e de Controlo Interno.
A actividade da Auditoria Interna traduz-se na melhoria do ambiente do controlo interno e dos riscos das organizações. De forma simplificada, significa desenvolver uma actividade nos processos e unidades de maior risco das organizações, que consiga reduzir esse risco para níveis aceitáveis.
O IPAI tem a honra e o privilégio de contar nesta conferência com a participação de prestigiados oradores, que nos trarão certamente uma perspectiva global do tema, bem como uma abordagem das metodologias e processos de Gestão de Risco e a sua aplicação à Auditoria Interna.
Gostaria de aproveitar a oportunidade para apresentar uma síntese da actividade do IPAI durante o ano em curso.
Este ano, o IPAI continuou a crescer e a desenvolver uma grande actividade em todas as suas áreas de intervenção.
O nº de associados aumentou de 507 membros em finais de 2008 para 604 membros actualmente. De salientar a adesão de mais 10 associados colectivos.
Em Janeiro realizou-se a 1ª reunião do Conselho Geral do IPAI, presidido pelo Dr. Manuel Barreiro, com a participação de todos os seus membros e da direcção executiva do IPAI. O Conselho Geral é um órgão consultivo da Direcção e é composto de personalidades com prestígio e conhecimento relacionados com as actividades de Auditoria, Gestão de Risco e Governo das Sociedades. Nesta reunião o Conselho Geral apreciou o plano de actividades do IPAI para 2009, em especial o plano de formação, teve conhecimento do Novo Enquadramento das Práticas Profissionais de Auditoria Interna e analisou o papel da Auditoria Interna no Governo das Sociedades e na actual crise económica e financeira internacional.
No que respeita à formação, apresentámos um programa anual que procurou responder às necessidades formativas dos associados e outros interessados, quer no que respeita à preparação para os programas de certificação quer na preparação geral e técnica. Em termos gerais, realizámos 13 acções de formação, com um total de 196 horas e abrangendo 210 formandos.
2009 IPAI Conferência Anual
Domingos M. Sequeira de Almeida, Presidente da Direcção
Auditoria Interna Outubro/Dezembro 2009 Nº 36
Gostaria de salientar a procura e importância dos programas de formação “in house” e a realização, pela primeira vez em Portugal, de um curso de nível internacional do MIS training, promovido e organizado pelo IPAI. Está em curso um projecto de certificação do programa de formação do IPAI. Tendo em vista o reforço e diversificação do programa de formação, a Direcção lançou recentemente um concurso para uma bolsa de formadores, para a qual agradecemos a participação dos colegas.
No Fórum de Auditoria Interna, realizado em 17 de Junho, contámos com cerca de 170 participantes. O tema do Fórum foi a importância das ferramentas de suporte à Auditoria Interna e foram partilhados conhecimentos e práticas sobre a utilização de diferentes aplicações informáticas de apoio à actividade de Auditoria Interna.
No que se refere ao programa de certificação, até à data existem 133 certificações, sendo 87 CIA’s - Certified Internal Auditors, 42 CCSA’s - Certification in Control Self Assessment, 2 CGAP – Certified Government Auditing Profissional e 2 CFSA’s – Certified Financial Services Auditor. Em 2009, o programa de certificação prosseguiu, com os exames efectuados directamente em computador e com uma periodicidade superior. Em 2009, o IPAI recebeu 9 certificados CIAs e 5 CCSAs para entrega aos finalistas dos programas de certificação. Parte destes certificados foram já entregues no Fórum e os restantes serão entregues nesta conferência.
No que respeita à revista de Auditoria Interna, este ano foram já publicados 3 nºs. Gostaríamos de apelar mais uma vez a todos os colegas para que colaborem na revista, enviando artigos, notícias e outros documentos para publicação.
O novo site do IPAI foi colocado à disposição de todos os associados. Para além da alteração do grafismo, adaptando-o à nova imagem do IPAI, o novo site contém novos conteúdos e uma possibilidade de interacção mais dinâmica e privilegiada com os associados, através da criação de um acesso reservado.
No que respeita à tradução das Normas para a Prática Profissional de Auditoria Interna, foi lançada este ano uma nova publicação com a tradução das normas obrigatórias, que inclui a definição de auditoria interna, o código de ética e as normas propriamente ditas. Esta publicação está disponível no site do IPAI para acesso livre. As normas recomendadas incluem os documentos de posição e as práticas e guias recomendados, e encontram-se disponíveis para acesso livre em língua inglesa no site do IIA.
No que se refere à colaboração com Instituições de Ensino, o IPAI tem vindo a estabelecer protocolos para o desenvolvimento de iniciativas de interesse comum e que
contribuam para o ensino e desenvolvimento da Auditoria Interna em Portugal. Foram já estabelecidos protocolos com as seguintes instituições de ensino: IFB – Instituto de Formação Bancária; ISEG – Instituto Superior de Economia e Gestão; Universidade Atlântica; Universidade Autónoma de Lisboa; ISCA Lisboa; ISCA Coimbra e Universidade Lusófona.
No âmbito desta colaboração, a Direcção lançou dois prémios, que ainda se encontram em curso: o prémio para o melhor aluno finalista de curso superior de Auditoria e o prémio para o melhor trabalho sobre Auditoria Interna. Agradecemos aos colegas a divulgação e participação nestes concursos.
Por último, gostaria de salientar a actividade dos Núcleos Especializados de Auditoria Interna:
- O Núcleo dos Auditores do Sector Financeiro que realizou em Maio o segundo Seminário com os responsáveis de auditoria interna das principais empresas da Banca e Seguros, e que reflectiu e discutiu sobre a evolução futura da Função Auditoria Interna no actual contexto da crise económica e financeira, e destacaria também a organização e realização já referida do primeiro seminário do MIS Training em Portugal sobre o tema muito actual dos instrumentos financeiros derivados, que se revestiu de grande qualidade e certamente de muita utilidade para os profissionais do sector financeiro que nele participaram;
- O Núcleo de Auditoria de Sistemas de Informação realizou em 10 de Dezembro de 2008 da 1ª Conferência de Auditores de Sistemas de Informação, que contou com a adesão de mais de 60 profissionais da área, tendo-se constituído vários grupos de trabalho. No âmbito desta actividade foi ainda criada uma parceria para a constituição do Lisbon Chapter da ISACA-Information Systems Audit and Control Association, que é uma referência internacional na área de Auditoria de Sistemas de Informação, e que se encontra em processo de aprovação final. Espera-se que 2010 seja o ano de arranque, onde se prevê a realização de várias acções conjuntas nomeadamente, formação, conferências, workshops e apoio ao processo de certificação;
- O Núcleo de Auditoria do Sector de Transportes, Infra-estruturas e Reguladores tem realizado vários encontros com a apresentação e abordagem de vários temas da profissão e da actualidade; e, por último,
- O Núcleo de Auditoria do Sector Público está a preparar o seu arranque.
Em nome da Direcção do IPAI, desejo a todos uma boa Conferência e que esta seja mais uma vez uma oportunidade de partilha de conhecimentos e experiências e um ponto de encontro e de convivência de profissionais e outros interessados na Auditoria Interna, contribuindo deste modo para o desenvolvimento do Governo das Organizações e da Auditoria Interna em Portugal.
Discurso de abertura do Presidente da Direcção – 2009 Conferência Anual
Auditoria Interna Outubro/Dezembro 2009 Nº 36
Fotos – 2009 Conferência Anual
Auditoria Interna Outubro/Dezembro 2009 Nº 36
Índice
Editorial:
Auditoria Interna, marketing e controlo interno, Joaquim Leite Pinheiro
2
Audire: A Auditoria interna e o bom governo das sociedades, Manuel Marques Barreiro
4
A Gestão da Performance de uma organização é o último elo do Modelo Unificado do Corporate Governance, José Oliveira
7
Implementação da Auditoria Interna no sector público, Rogério Simões 13
A u d i t A u t o m a t i o n F a c i l i t i e s – M ó d u l o d e a u d i t o r i a , Fernando Fernandes
16
Zeitgeist * da Função de Auditoria Interna de Sistemas de Informação, Gonçalo Carvalho
19
Análise de dados em auditoria, Drumond de Freitas 24
Pesquisa na Rede 29
Notícias 30
Conferência Anual 2009 31
O Zé Auditor 36
Missão
Promover a partilha do saber e da prática
em auditoria interna, gestão do risco e
controlo interno.
Propriedade e Administração
IPAI – Avenida Duque de Loulé, 5 – 2º B – 1050-085 LISBOA
Contribuinte nº 502 718 714; Telefone/Fax: 213 151 002
Correio electrónico: [email protected] Sítio: www.ipai.pt
FICHA TÉCNICA
Presidente da Direcção: Domingos Sequeira
Director: Joaquim Leite Pinheiro
Coordenação de edição: Orlando Sousa
Redacção: Manuel Marques Barreiro; Raul Fernandes
Conselho Editorial: Manuel Barreiro, Domingos Sequeira, Francisco Melo Albino
Colaboradores nesta edição: Manuel Barreiro, Fernando Fernandes, Rogério Simões, Miguel Silva, José Oliveira, Gonçalo Carvalho
Pré-impressão: IPAI
Impressão e Acabamento: CEM
Ano XI – Nº 36 – TRIMESTRAL Outubro/Dezembro 2009
TIRAGEM: 1200 exemplares; Registo: DGCS com o nº 123336;
Depósito Legal: 144226/99; Expedição por correio; Grátis
Correspondência: IPAI – Avenida Duque de Loulé, 5 – 2º B – 1050-085 LISBOA Telefone/Fax: 213 151 002
[email protected]; Visite-nos em www.ipai.pt
Nota: Os artigos vinculam exclusivamente os seus autores, não reflectindo necessariamente as posições da Direcção e do Conselho Editorial da Revista nem do IPAI. A aceitação de publicação dos artigos na Revista Auditoria Interna do IPAI, implica a autorização para a inserção no sítio do IPAI após a edição da revista impressa.
Auditoria Interna Outubro/Dezembro 2009 Nº 36
IPAI - Membros Colectivos
http://www.ipai.pt/gca/index.php?id=45
CP
GALP ENERGIA
1
Auditoria Interna Outubro/Dezembro 2009 Nº 36
Editorial
A vida em democracia baseia-se, essencialmente, na economia de mercado e centrada em valores humanistas, na liberdade e na aceitação de responsabilidades.
É o melhor sistema, pese os defeitos inerentes e as recentes situações dramáticas ao nível financeiro, da gestão de topo, da supervisão e da regulação.
Uma das funções essenciais das empresas é a capacidade de vender (facturar, cobrar) e o marketing desempenha um papel chave e que pode ser definido como o “conjunto de meios de que se dispõe para vender os produtos aos clientes, de uma maneira rendível”; envolve:
Organizações; Público-alvo; Promoção de comportamentos; Prossecução de objectivos.
Como auditar o marketing? Os auditores com uma visão clássica da função preparam auditorias financeiras em detrimento das auditorias de processos, necessariamente mais complexas e difíceis de executar.
Uma auditoria ao marketing deve ser planeada tendo em conta os seguintes aspectos.
Quando realizar? O que auditar/analisar? Como conduzir? Que equipa de auditores a deve realizar?
Estes aspectos são essenciais a considerar na fase de planeamento da auditoria e o auditor interno deve, em primeiro lugar, identificar e apreender os principais conceitos de marketing, tendo em consideração:
1. O marketing é um fenómeno afectivo que visa harmonia, equilíbrio, criatividade e inovação;
2. O marketing é uma atitude e envolve um compromisso com o cliente (falar verdade);
Auditoria Interna, marketing e
controlo interno
Joaquim Leite Pinheiro, Director da Revista Auditoria Interna
“O mau marketing paga-se caro e não demora a pagar-se. Não é possível haver bom marketing ao serviço de maus produtos ou de más ideias”.
Luís Barbosa, in Novo Mercator 6ª edição
2
Auditoria Interna Outubro/Dezembro 2009 Nº 36
3. O marketing visa a harmonização das pessoas, das situações, dos recursos e a eficiência;
4. O marketing tem um papel proeminente sendo um
dos activos principais da empresa e do cliente>;
5. O marketing deve ser entendido em sentido lato:
– No seu conteúdo desde a concepção do produto até ao
pós-venda;
– No seu campo de aplicação (desde empresas
comerciais, industriais, empresas de serviços, incluindo
partidos políticos).
6. A atitude de marketing deve ter os seguintes
comportamentos:
– Ver para além do produto (evitar a miopia);
– Ter uma visão próxima dos clientes (perceber os
gostos e vontade dos clientes);
– Apoiar-se em factos e não em meras suposições;
– Espírito crítico e capacidade de antecipação dos
problemas;
– Analisar o espírito da concorrência;
– Ser ousado, mas dentro de um risco calculado;
– Atitude constante e integridade;
– Valores éticos na construção da mensagem; – Respeito pelos valores e identidade dos clientes.
Depois da análise dos aspectos chave do marketing, o auditor deverá efectuar o programa de trabalho, que poderá envolver os seguintes aspectos:
1. Descrição geral da empresa (actividade, estrutura, funções);
2. A envolvente geral (identificar os aspectos essenciasi da estrutura, das funções da empresa no contexto);
3. Conhecer o mercado nas diversas vertentes;
4. Analisar a estrutura e o plano de marketing da empresa;
5. Analisar a organização e estrutura de funcionamento do departamento de marketing;
6. Analisar/avaliar a performance da empresa face a campanhas de marketing anteriores;
7. Efectuar testes sobre os controlos realizados;
8. Elaborar conclusões, identificando as principais ameaças/oportunidades, as forças/fraquezas;
9. Elaborar Recomendações, numa perspectiva de melhoria dos resultados e incremento das vendas, da melhoria do relacionamento com os clientes e melhorias da performance dos diversos produtos/serviços.
Como dizia Charles Revlon “na fábrica produzimos cosméticos, nas perfumarias vendemos sonhos”.
Em auditoria a lógica é semelhante: todas as funções
devem ser auditadas de uma forma inteligente no sentido
de acrescentar valor à empresa e que as
recomendações contribuam para o sucesso e
desenvolvimento da empresa, na perspectiva que os
colaboradores têm sonhos e visualizam um futuro de
qualidade e de harmonia.
Como alguém afirmou, aplicar a lógica Viagra:
V I S Ã O
I D E I A S
A U D Á C I A
G O V E R N A Ç Ã O
R I S C O
A C O M P A N H A M E N T O
o
Auditoria Interna, marketing e controlo interno 3
Auditoria Interna Outubro/Dezembro 2009 Nº 36
Audire
Transparência, objectividade e independência
são três conceitos da auditoria interna que
reputamos essenciais e imprescindíveis para o
cabal desempenho da sua actividade.
Em nosso entender o “corporate governance” ao
adoptar estes conceitos, adequando-os à sua
realidade e assumindo-os, estará a interagir, na
prática, com a auditoria interna enquanto
ferramenta por excelência da gestão.
De contrário, terá alguma dificuldade em
ultrapassar situações decorrentes de causas, ainda
que involuntárias ou fortuitas, para não falarmos
das que consubstanciem questões intencionais
visando objectivos desviantes.
Como princípio, pressupõe-se que estes conceitos
se encontram intimamente ligados,
intercondicionando-se.
A falta de um deles em qualquer processo implica,
de imediato um entorce ao bom governo
independentemente da modalidade societária
adoptada.
A AUDITORIA INTERNA E O BOM GOVERNO DAS SOCIEDADES
Manuel Marques Barreiro, Consultor e Presidente do Conselho
Geral do IPAI
A transparência, a objectividade e a independência, bem como a assunção do sentido ético nem sempre têm sido tomados na devida conta, sendo, por vezes, ignorados ou considerados despiciendos.
4
Auditoria Interna Outubro/Dezembro 2009 Nº 36
Não podemos considerar que existe
objectividade quando a informação da gestão
se focaliza em aspectos acessórios, pouco ou
nada relevantes no que respeita à defesa dos
interesses dos stakeholders, tendo como pano
de fundo a ocultação de práticas incorrectas no
exercício da governação da sociedade.
Também não há transparência quando a
informação sobre actos de governação dá azo a
interpretações dúbias quanto ao verdadeiro sentido
dos resultados da gestão, permitindo que se fale
em actos heterodoxos, inadequados e, em regra,
fraudulentos.
A transparência, a objectividade e a
independência, bem como a assunção do sentido
ético nem sempre têm sido tomados na devida
conta, sendo, por vezes, ignorados ou
considerados despiciendos.
Vemos isso pelo número de casos recentemente
vindos a público. Ocorrências cuja visibilidade
formal evidencia provas factuais de corrupção e
fraude ocupacional, muitas delas já a contas com a
justiça.
Perante isto, a auditoria interna tem algo a dizer.
Ela deve ser considerada e aceite como o controle
dos controles, cuja missão pressupõe o
ordenamento, a avaliação e a monitorização do
ambiente do controle interno.
Enfatizamos a importância da auditoria interna,
porque ela é o repositório da objectividade e da
transparência, enquanto função independente, tal
como deve ser entendida a sua postura.
Prosseguindo os seus objectivos na avaliação e
prevenção do risco, no acompanhamento da
evolução e operacionalidade das actividades ou na
avaliação sistemática dos processos, a auditoria
interna pode ser, dentro da instituição onde
pontifica, factor de persuasão.
Com os seus relatórios sobre a actividade
desenvolvida, indicando as principais fragilidades
do controlo interno detectadas, bem como o grau
de implementação das recomendações sugeridas,
estará também prevenindo a ocorrência de
irregularidades e obrigando os responsáveis pela
gestão às tais objectividade, transparência,
independência e, consequentemente à observância
dos códigos de conduta ética ou a deontologia.
Se à auditoria interna não forem negados, quer o
estatuto, quer o papel que as instâncias nacionais
e internacionais de regulação lhe conferem, ela
estará apta a ajudar a gestão, prevenindo
derrapagens temerárias as tais que podem arrastar
os responsáveis máximos das organizações para o
banco dos réus.
Estará contribuindo, de forma decisiva
para um bom governo das sociedades.
o
A Auditoria Interna e o bom governo das sociedades 5
Auditoria Interna Outubro/Dezembro 2009 Nº 36
Publicidade
Informação IPAI
Lisboa, 26 de Janeiro de 2009 1
Associados
Núcleo Auditores Sector PúblicoNúcleo Auditores Sector Público
Será atribuído um prémio de 1.000 € (mil euros) ao melhor aluno, 500€ (quinhentos euros) ao 2º e 250€ (duzentos e cinquenta euros) ao 3º. Ao melhor aluno de cada curso elegível, será atribuído um convite para a participação na Conferência de Auditoria.
PRÉMIO IPAI
MELHOR ALUNO FINALISTA DE CURSO SUPERIOR EM AUDITORIA
Lisboa, 26 de Janeiro de 2009 1
Associados
Núcleo Auditores Sector PúblicoNúcleo Auditores Sector Público
Será atribuído um prémio de 1.000€ (mil euros) ao melhor trabalho, 500€ (quinhentos euros) ao 2º e 250€ (duzentos e cinquenta euros) ao 3º.
Ao Júri, reserva-se o direito de não atribuir qualquer um dos prémios, por decisão irrevogável, caso os trabalhos apresentados não transmitam qualidade que o justifique.
PRÉMIO IPAI
MELHOR TRABALHO SOBRE AUDITORIA INTERNA
6
Auditoria Interna Outubro/Dezembro 2009 Nº 36
Artigos
Ultimamente todos temos verificado que algumas
das empresas portuguesas onde supostamente
funcionariam excelentes modelos de gestão, foram
as primeiras a acusar problemas aos primeiros
sinais de crise. Como é possível que, entidades
onde os deveres e responsabilidades dos
Conselhos de Administração estejam definidos
segundo as melhores práticas do “Governo das
Sociedades”, sejam estas entidades as primeiras a
entrar em colapso financeiro? Tanto mais quando
esse colapso tem origem na falta de liquidez ou
através de fraudes detectadas ao nível da
administração?
Na minha perspectiva, a problemática da gestão
actual das empresas passa pela ausência de uma
relação directa entre as várias componentes do
Modelo Unificado do Corporate Governance. (ver
figura seguinte)
Figª1 – Modelo Unificado do Corporate Governance
A Gestão da Performance de uma organização é o último elo do Modelo Unificado do Corporate Governance.
José Oliveira Director Geral
Os deveres e responsabilidades dos Conselhos de Administração estejam definidos segundo as melhores práticas do “Governo das Sociedades”.
7
Auditoria Interna Outubro/Dezembro 2009 Nº 36
1. Organização e Processos A primeira componente do Corporate Governance
passa por uma organização sustentada em
processos perfeitamente descritos e com todas as
ocorrências perfeitamente identificadas.
As empresas multinacionais com fábricas ou linhas
de montagem em Portugal, conhecem
perfeitamente esta realidade pois só podem
optimizar e potenciar a sua actividade, pelo
detalhe e visão global, considerando todos os
custos, proveitos e tempos necessários à
realização das respectivas tarefas. No entanto o
nosso tecido empresarial está ainda longe dessa
realidade. Se existem referências em Portugal
nesta área, essas referências são inferiores aquilo
que se verifica na maioria das organizações por
onde já passei e tive oportunidade de fazer a sua
análise.
O principal motivo é desconhecimento destas
matérias ou nalgumas situações, o custo de
transformar uma empresa numa organização
orientada a processos, ser alto demais para a
realidade portuguesa.
Ora, isto será verdade se analisarmos o retorno do
investimento a curto prazo. No entanto, a médio e
longo prazo, a vantagem competitiva de uma
organização orientada a processos é, em todos os
aspectos, enorme, pois ganham um maior trunfo
que é o facto de obter informação ao detalhe, de
uma forma integrada e em tempo real, sabendo
exactamente os custos e importância que cada
processo ou linha de produção representa para a
empresa.
fig. 2 – Processos de negócios
A g e n te V e n d e d o r T e so u ra ria e C o b ra n ç a s
M e io d e P a g a m e n to
M e io d e P a g a m e n to
E la b o ra ç ã o R e la ç ã o
P a g a m e n to s
R e la ç ã o P a g a m e n to s
E la b o ra ç ã o R e la ç ã o
P a g a m e n to s
R e la ç ã o P a g a m e n to s
D e p ó s ito
E n v io d a re la ç ã o d e V a lo re s ju s tif ic a t iv o d e D e p ó s ito e D o c C lie n te
S im
D e p ó s ito
N ã o
E n v io d a R e la ç ã o V a lo re s , M e io s
P a g a m e n to e D o c C lie n te
J u s t if ica tiv o D e p ó s ito
C o n ta b iliz a ç ã o P ro v is ó r ia
D iá r io
R e la ç ã o P a g a m e n to s
D iá r io
A n á lis e M o n ta n te s re c e b id o s
D o c u m e n ta ç ã o C lie n te
F o rn e c e d o r?E n c o n tro d e
C o n ta sS im
In fo rm a ç ã o V a lid a d a
A p lic a ç ã o D e s c o n to s d e
P a g a m e n to
N ã o
A p lic a ç ã o C o n d iç õ e s E sp e c ific a s
L iq u id a ç ã o (D é b ito e C ré d ito )
C o n ta b iliz a ç ã o F in a l
A rq u ivo P ro c e s s o
R e c e b im e n to
D iá r io s
In fo rm a ç ã o E sp e c ific a
R e la ç ã o V a lo re s
D
V a lid a ç ã o d a s c o n d iç õ e s d e V e n d a
p e lo R e s p o n sá v e l
D e m o n s tra ç õ e s F in a n c e ira s
A Gestão da Performance de uma organização é o último elo do Modelo Unificado do Corporate Governance 8
Auditoria Interna Outubro/Dezembro 2009 Nº 36
Modelos de Governação
O próximo passo após a Organização e Processos
são os Modelos de Governação. Dentro desta
componente integra‐se a definição de standards
em termos contabilísticos, informáticos, sistemas
de suporte à decisão e finalmente modelos de
governação (Modelo Continental e Japonês,
Modelo Latino, Anglo Saxónico e Dualista).
Por exemplo, verificamos muitas vezes que, em
grupos ou organizações de múltiplas empresas, em
termos contabilísticos não estão criadas standards
que simplifiquem a vida dos responsáveis pela
consolidação legal e financeira das contas. No final
essas organizações perdem muito tempo a
preparar a consolidação das mesmas, correndo o
risco de os dados já estarem a desactualizados
aquando da sua entrega. Em tempos conturbados
como os actuais, onde a rapidez de análise do
negócio leva a que a tomada de decisões tenha de
ser mais rápida e com maior assertividade, as
empresas que não têm essa componente bem
montada, perdem claramente em relação às
outras.
Se isto é verdade em termos de standards
contabilísticos, os sistemas de informação também
não ficam atrás, pois uma boa integração e
optimização dos sistemas leva a uma redução, que
pode levar a um decréscimo nos custos de
manutenção superiores a 60% (Sistemas, Pessoas,
energia, consumíveis, etc.).
Já em relação aos sistemas de suporte à decisão,
hoje em dia a maioria dos ERPs do mercado já
trazem uma componente de Business intelligence
Integrado. No entanto, há que ter em conta que
esses sistemas apesar de virem já pré‐definidos,
não são exactamente “out of the box” tendo de ser
preparados para responder às especificidades de
cada negócio. Também encontramos no mercado
Business Intelligence, os chamados Sistemas
Independentes com “pacotes analíticos” (cubos
financeiros, cubos de recursos humanos,
comerciais, entre outros). Esses pacotes vêm
preparados para responder analiticamente, ou
seja, por sectores das organizações respondendo
transversalmente às principais necessidades do
negócio. No entanto a experiência diz‐me que não
existem milagres e que na maioria das vezes o
custo de optimização dos sistemas integrados é
mais elevado do que pegar num sistema
independente e construir todo o sistema Business
Intelligence “sem vícios” e completamente
orientados às especificidades das organizações.
Além disso, temos de considerar que todas as
empresas são diferentes umas das outras. Ou seja,
um sistema de BI que sirva uma entidade, não irá
servir para outra entidade, já que a problemática
da origem dos dados, o objecto de negócio, a visão
do decisor e, finalmente até a própria cultura da
organização, leva a que isso não seja transparente.
Em relação aos modelos de governação tem sido
desenvolvido muito trabalho nesta componente do
Governance. No entanto o que se verifica, e já se
sabia, é que não basta criar um modelo de
organização da administração em termos de
responsabilidades e deveres, mas é preciso
também alinhar esses princípios com todo o
Modelo Unificado do Corporate Governance.
O que acontece é que, na maioria das vezes, se dá
demasiada ênfase a esta componente do
Governance descurando muitas vezes todas as
outras relações entre o modelo (fig.1). Resultado
prático, um fraco negócio, não sustentando, com
falhas de estrutura e com maior apetência para
desvios.
A Gestão da Performance de uma organização é o último elo do Modelo Unificado do Corporate Governance 9
Auditoria Interna Outubro/Dezembro 2009 Nº 36
Existe no entanto uma corrente que separa a
gestão do risco dos modelos de governação, o que
nos remete para o próximo passo.
2. Gestão do Risco e Controlo Interno
Acredito sinceramente que esta crise virá provar
que um bom modelo de Governação terá de ter
obrigatoriamente todas as componentes de
monitorização activas e bem presentes nas
organizações. Um bom controlo interno permitirá
uma melhor gestão do risco.
Dentro desta componente, temos obviamente de
considerar o tema da avaliação dos líderes das
organizações na sua componente prática, tema tão
bem abordado em “The Leadership Scorecard”, de
Jack Philips e Lynn Schmidt, e fundamental na
visão holística de todo este processo. Ou seja,
criaram uma metodologia onde se avalia os líderes
de acordo com o retorno do investimento que é
feito na sua pessoa, bem como o seu
desenvolvimento dentro da organização
(liderança) e o respectivo contributo para a
organização.
As empresas cotadas na Bolsa dos Estados Unidos
têm de estar em conformidade com as SOX. No
entanto, saindo dos Estados Unidos pela Europa
fora, e descendo a empresas locais não cotadas na
Bolsa ou outras que devido a estratégia não
consideram esta matéria relevante, não
encontramos na sua maioria qualquer tipo de
sistemas monitorização do risco. Como tal, mais
desprotegidas em relação as práticas de gestão e
de operações.
Começa a haver interesse nesta matéria por parte
dos líderes das organizações, mas do interesse à
sua implementação, ainda pouco se fez em
Portugal.
A Gestão da Performance de uma organização é o último elo do Modelo Unificado do Corporate Governance 10
Auditoria Interna Outubro/Dezembro 2009 Nº 36
Acredito que a conjuntura actual comece a dar
frutos em relação a estas matérias e que aos
poucos as organizações percepcionem a
importância destas componentes para uma boa
gestão e comecem a implementar sistemas de
monitorização dos riscos financeiros e processuais
eficazes no combate à fraude e às ineficiências.
fig. 3 Controlo Interno ‐ COSO
Tudo isto deverá ser monitorizado e avaliado, ou
seja, Risk Management e controlo interno.
3. Performance Management
Finalmente temos o último elo de ligação do
modelo, o módulo de Performance Management.
O módulo de performance Management surge
somente no final e, na minha opinião só pode ser
implementado numa organização após esta ter
passado pelos 3 passos anteriores: Processos
perfeitamente definidos e alinhados, os Modelos
de Governação em conformidade com as boas
práticas, e a componente de Risco e Controlo
interno activa e em monitorização constante.
Após isso, o passo na evolução da excelência é a
monitorização integrada das 3 componentes e a
sua evolução em termos de capacidade de reduzir
os custos e, por consequência, aumentar os lucros
da organização.
Existem várias ferramentas de monitorização da
Gestão da Performance. Uma das mais utilizadas é
o famoso Balanced Scorecard (BSC) de Kaplan e
Norton.
O modelo das quatro perspectivas do BSC
descreve como uma unidade de negócio cria valor
para os accionistas, por via de um melhor
relacionamento com o cliente e impulsionado pela
excelência nos processos internos.
Os processos são aprimorados continuamente
mediante o alinhamento das pessoas, sistemas e
culturas.
A Gestão da Performance de uma organização é o último elo do Modelo Unificado do Corporate Governance 11
Auditoria Interna Outubro/Dezembro 2009 Nº 36
Um exemplo deste alinhamento e de boas
práticas na implementação de sistemas de gestão
da performance sustentado no Balanced
Scorecard, temos o modelo implementado pela
Dr.ª Mónica Monteiro na Lipor.
A Lipor, empresa de resíduos do norte, conseguiu
construir um sistema com o qual monitoriza não
só o negócio, como faz o alinhamento de toda a
organização com a estratégia da empresa.
Fig. 4 Mapa estratégico da Lipor.
Conclusão
Em conclusão, podemos afirmar que neste mundo
cada vez mais competitivo, só irá sobreviver quem
se destacar pela positiva, inovar o suficiente
antecipando as tendências de mercado,
monitorizando toda a componente nervosa da
organização, avaliando em tempo real o seu
“state of the art” seja a nível processual,
financeiro ou de negócio, permitindo uma
actuação mais proactiva do que reactiva, com
todos os benefícios da excelência de actuação e
imagem da empresa.
o
A Gestão da Performance de uma organização é o último elo do Modelo Unificado do Corporate Governance 12
Auditoria Interna Outubro/Dezembro 2009 Nº 36
O Estado está a assumir o papel que lhe cabe
como fomentador do desenvolvimento
económico, designadamente através de
reformas da Administração Pública há muito
aguardadas, impulsionando os serviços públicos
para a lógica da gestão por resultados e para uma
cultura de avaliação, instituindo um sistema
integrado de avaliação, contemplando
trabalhadores, dirigentes e os próprios serviços e
organismos públicos.
A introdução de funções de Auditoria Interna nos
organismos públicos vai no sentido das reformas
iniciadas pelo Estado, mas podemos dizer que
ainda estamos numa fase inicial se compararmos o
universo de organismos públicos que ainda não
adoptaram esta função na sua estrutura
organizacional, relativamente ao que se passa no
sector empresarial privado ou estatal.
Deste modo vamos apresentar de forma resumida
as vantagens da adopção da função Auditoria
Interna para organismos públicos, que passos
podem ser dados, e que questões devem ser
consideradas para a sua implementação.
Benefícios da função de Auditoria Interna nos
organismos públicos
Os Benefícios obtidos com a implementação da
função auditoria interna nos organismos públicos
que ainda não o tenham feito são vários e
ultrapassam largamente o seu custo.
O benéfico mais óbvio é claramente a melhoria do
ambiente de controlo de gestão, em que as áreas
mais sensíveis do organismo são vigiadas, quer
em termos das transacções quer em termos das
regras operacionais vigentes, isto porque cabe à
função ter uma avaliação objectiva do sistema de
gestão de risco e controlo, analisar
sistematicamente os processos de negócio (ou
operacionais) e respectivos controlos, bem como
avaliar processos de salvaguarda de activos.
Deste modo é possível detectar situações que
podem lesar a organização em valores
significativos, ou mitigar riscos, como por exemplo
detectando situações de fraude ocupacional, ou
reduzir riscos de perda de activos.
Adicionalmente a função de auditoria interna pode melhorar a qualidade da informação financeira produzida, isto porque deve também ser um garante da conformidade com regras contabilísticas e de controlo interno, deste modo pode ser uma ajuda à implementação do POCP e POCAL, assim como contribuir para uma melhoria significativa de todo o ambiente de controlo interno, ajudando a criar novas regras e actualizando as já existentes.
Implementação da Auditoria Interna no sector público
Rogério Simões, Consultor Sénior – Able Solutions
A introdução de funções de Auditoria Interna nos organismos públicos vai no sentido das reformas iniciadas pelo Estado.
13
Auditoria Interna Outubro/Dezembro 2009 Nº 36
Factores a ter em conta na implementação da função de Auditoria Interna
Quando se pretende introduzir a função auditoria
interna num organismo público, tal como numa
empresa, há um conjunto de questões a ter em
consideração para que os benefícios obtidos com
esta função sejam maximizados.
Factores como, a estrutura organizacional
existente e motivação da administração; dimensão
da equipa; planeamento e elaboração de objectivos
de auditoria de acordo com o risco organizacional;
selecção de ferramentas informáticas de apoio; e
reporte, devem ser tidos em conta. Iremos ver em
detalhe cada um destes pontos críticos na
implementação de um departamento de auditoria.
Estrutura organizacional e motivação
Numa estrutura tradicional a função de auditoria
interna deve sempre reportar os seus resultados e
opiniões directamente à administração. Num
organismo público não deve ser diferente, só desta
forma se garante a total independência da função,
e o acesso sem restrições a todas as áreas da
organização.
Deste modo é importante o factor motivação e
empenho da administração pois é desta que partirá
todo o apoio e incentivo à função assim como é a
administração que deverá avaliar os resultados
relatados pela auditoria interna, e tomar as
medidas adequadas.
Em termos de controlo de gestão a auditoria
interna é um garante importante da fidedignidade
da informação proveniente do sistema, bem como
da validade e eficácia do funcionamento do
mesmo.
Outro ponto importante é a comunicação interna
para desmistificar o papel da Auditoria Interna,
para que esta não seja vista como uma espécie de
polícia interna da organização, e mais como uma
equipa de apoio pronta a contribuir para uma
melhoria conjunta.
Avaliação da dimensão da equipa
A dimensão de um departamento de auditoria
interna difere consoante a dimensão do organismo,
áreas de risco a auditar, plano de actividades, etc.
Podendo a dimensão ser de uma única pessoa, até
uma vasta equipa. Outro ponto importante diz
respeito à qualificação dos recursos, um recurso
experiente pode valer por dois ou três, assim como
a utilização de ferramentas informáticas aumenta a
produtividade e reduz o tempo de análise. Há
também que ter em conta a curva de
aprendizagem, isto porque será de esperar um
aumento de produtividade da função ao longo do
tempo, á medida que os seus elementos se vão
tornando mais experientes e conhecedores da
realidade da organização.
Identificação das áreas de risco e planeamento da actividade
Este é um ponto crítico em todo o processo de
implementação da função de auditoria. Pois todo o
planeamento dependerá das áreas de risco
identificadas.
A identificação de áreas de risco deverá ser feita
com base em diversos factores quantitativos e
qualitativos. Mas o seu ponto de partida é o
conhecimento do negócio (neste caso o
funcionamento do organismo publico), porque só
assim é possível identificar o universo e os riscos
auditáveis em cada processo.
Implementação da Auditoria Interna no sector público 14
Auditoria Interna Outubro/Dezembro 2009 Nº 36
Áreas onde se registem grandes volumes de
transacções, ou o valor dos activos seja elevado,
áreas onde o risco de fraude ou apropriação
indevida de activos seja significativo, são algumas
das situações a ter em conta na definição de riscos
em que a atenção da função estará focada.
Após esta análise então é possível planear toda a
actividade, de forma a maximizarmos o valor
acrescentado para a organização.
Selecção de ferramentas informáticas de apoio
Um aspecto importante para o sucesso na
implementação da função auditoria é a introdução
de ferramentas informáticas de apoio,
nomeadamente software de análise de
transacções.
Estas ferramentas possibilitam ganhos de
produtividade significativos, a realização de uma
multiplicidade de testes que manualmente não
seriam possíveis de realizar, podendo com poucos
recursos, muitas vezes só com uma pessoa, ser
possível auditar diversas áreas de risco ao longo
de um ano.
Estas ferramentas possibilitam ainda a realização
de testes analíticos periódicos e automáticos com
detecção de situações suspeitas logo após a sua
ocorrência e não meses depois.
Avaliação de resultados e reporte
Como em todos os processos de implementação,
após executarmos o nosso plano de actividades,
há que reportar à administração as situações
detectadas, sugestões de melhorias a implementar
e potenciais riscos a ter em conta no futuro.
Muitas vezes consoante a realidade que
encontramos temos a necessidade de mudar
objectivos e a própria abordagem, com por
exemplo nos casos em que detectamos falhas de
controlo interno mais graves do que estávamos à
espera, ou encontramos indícios de fraude em
áreas onde não esperávamos.
Nestes casos necessitamos de reformular o nosso
plano de actividade, de modo a cobrir mais
eficazmente as nossas áreas de risco.
Conclusão
A introdução da função Auditoria interna num
organismo público embora não seja uma tarefa
fácil, é uma decisão que sem dúvida trará
muitos benefícios a diversos níveis,
nomeadamente mais rigor, transparência e
segurança a nível operacional.
Neste processo o organismo público pode recorrer
a ajuda externa, nomeadamente consultadoria,
para a implementação da função. Deste modo
acelera o processo, evita erros de percurso,
maximiza os benefícios, e minimiza o risco de falha
da implementação.
A consultadoria pode ser uma ajuda importante
não só como guia no processo de implementação,
mas também pode ajudar a escolher e implementar
as ferramentas informáticas de apoio à auditoria,
com formação aos utilizadores, e aplicações
práticas de utilização no seu dia-a-dia.
Um organismo público que não conte nos seus
quadros com pessoal experiente em auditoria, e
pretenda introduzir a função, deve seriamente
considerar a hipótese de recorrer a ajuda externa,
sob pena de comprometer seriamente todo o
processo.
o
Implementação da Auditoria Interna no sector público 15
Auditoria Interna Outubro/Dezembro 2009 Nº 36
Fernando Fernandes (Director Projectos da WJPortugal)
Audit Automation Facilities – Módulo de Auditoria
Dando s egu imen to ao a r t i g o an t e r i o r , i r emos f i na l i z a r a abo rdagem ao Módu l o de
Aud i t o r i a , r e f e r en t e à O rgan i z a ção /e s t r u t u r a ção do Módu l o de Aud i t o r i a .
A g o r a j á p o d e i n t e r a g i r o n - l i n e c o m o s a u d i t a d o s n o d e c o r r e r d a s a u d i t o r i a s , p a r a s o l i c i t a r i n f o r m a ç ã o , n e g o c i a r p r a z o s , e t c . A c o m u n i c a ç ã o e n t r e a u d i t o r e s e a u d i t a d o s f i c a g u a r d a d a e i n d e x a d a à a u d i t o r i a e m c u r s o .
O r g a n i z a ç ã o / e s t r u t u r a ç ã o da P a s t a
d o A u d i t o r
R e l e m b r a n d o a o r g a n i z a ç ã o d a p a s t a d e
t r a b a l h o :
1 – P r o g r a m a s d e T r a b a l h o *
2 – C o m e n t á r i o s *
3 – A u d i t o r i a A n t e r i o r *
4 - O c o r r ê n c i a s
5 – G a s t o s
6 – R e l a t ó r i o s
7 – M e l h o r e s P r á t i c a s
8 – L e v a n t a m e n t o P r o c e d i m e n t o s
9 – C h e c k l i s t
1 0 – D o c . P r i n c i p a l d a A u d i t o r i a
* I t e n s a b o r d a d o s n o a r t i g o a n t e r i o r
( 4 – O c o r r ê n c i a s )
O A A F , n o d e c o r r e r d a a u d i t o r i a p e r m i t e -
l h e l e v a n t a r p r o c e d i m e n t o s , r e c o l h e r
d e p o i m e n t o s , i m p u t a r c u s t o s , e t c .
D e q u e f o r m a ?
A p e n a s r e g i s t a n d o a o c o r r ê n c i a .
E c r ã d e P a r a m e t r i z a ç ã o d a s o c o r r ê n c i a s
( 5 – G a s t o s )
O A A F p e r m i t e - l h e u m v e r d a d e i r o c o n t r o l o
d o s c u s t o s d e e x e c u ç ã o d e c a d a a u d i t o r i a
( h o t e l , v i a g e n s , g a s o l i n a , e t c . ) .
D e q u e f o r m a ?
A p e n a s r e g i s t a n d o o s c u s t o s p o r
a u d i t o r i a e p o r a u d i t o r .
16
Auditoria Interna Outubro/Dezembro 2009 Nº 36
E c r ã d e P a r a m e t r i z a ç ã o d o s C u s t o s
O t i p o d e c u s t o é p a r a m e t r i z á v e l p e l o
a u d i t o r .
E c r ã d e T i p o d e C u s t o
( 6 – R e l a t ó r i o s )
N o A A F a q u a n t i d a d e d e T i p o s d e
R e l a t ó r i o s d e A u d i t o r i a n ã o t e m l i m i t e . É
p o s s í v e l c r i a r r e l a t ó r i o s p o r f a s e s , p o r
á r e a s d e a c t u a ç ã o , e t c .
N o d e c o r r e r d a a u d i t o r i a , a p e n a s t e r á d e
s e l e c c i o n a r o r e l a t ó r i o p r e t e n d i d o .
D e q u e f o r m a ?
O s r e l a t ó r i o s d e a u d i t o r i a e s t ã o d i v i d i d o s
e m s e c ç õ e s , p a r a m e t r i z á v e i s p e l o a u d i t o r
e i n d e x a d a s a c a d a t i p o d e r e l a t ó r i o .
O A A F a g r u p a t o d a s a s i n f o r m a ç õ e s
r e s p e i t a n d o a s r e g r a s e f o r m a t o s
p a r a m e t r i z a d o s p a r a c a d a t i p o d e
r e l a t ó r i o .
R e l a t ó r i o G e r a d o ( s e m l i m i t e d e v e r s õ e s )
T o d a a e s t r u t u r a a s s e n t a n u m t e m p l a t e
( W o r d ) c r i a d o p o r t i p o d e r e l a t ó r i o .
C o m o s e p r o c e s s a n o d e c o r r e r d a
A u d i t o r i a ?
A s d i v e r s a s s e c ç õ e s d o r e l a t ó r i o , c o m o
p o r e x e m p l o : I n t r o d u ç ã o , S u m á r i o
E x e c u t i v o , C o n c l u s ã o , e t c . , p o d e m s e r
c r i a d a s t e n d o p o r b a s e d o c u m e n t o s
p a d r ã o ( p r e v i a m e n t e c a r r e g a d o s ) o u
s i m p l e s m e n t e i n t r o d u z i d a s p e l o a u d i t o r
n u m a f o l h a d e W o r d e m b r a n c o .
E a s n ã o c o n f o r m i d a d e s , c o m o s e p r o c e s s a m ?
À m e d i d a q u e o s T e s t e s d e a u d i t o r i a s ã o
e x e c u t a d o s , o a u d i t o r v a i c r i a n d o
i n f o r m a ç ã o p a r a o r e l a t ó r i o ; n o f i n a l ,
a p e n a s t e r á d e d i s t r i b u i r a s “ n ã o
c o n f o r m i d a d e s ” p e l o s d i v e r s o s t i p o s d e
r e l a t ó r i o o u , e m a l t e r n a t i v a , p a r a m e t r i z a r
a d i s t r i b u i ç ã o d a s “ n ã o c o n f o r m i d a d e s ” d e
a c o r d o c o m o , p o r e x e m p l o , o s e u p e s o o u
i m p o r t â n c i a r e l a t i v a ( C r i t i c o , M é d i o ,
F r a c o , e t c . )
E c r ã d e d i s t r i b u i ç ã o d e P o n t o s ( n ã o c o n f o r m i d a d e s ) p e l o s d i v e r s o s t i p o s d e R e l a t ó r i o s
A u d i t A u t o m a t i o n F a c i l i t i e s – M ó d u l o d e A u d i t o r i a 17
Auditoria Interna Outubro/Dezembro 2009 Nº 36
A p ó s a d i s t r i b u i ç ã o d a s n ã o
c o n f o r m i d a d e s o a u d i t o r a p e n a s t e r á d e
c l i c a r n o B o t ã o
( 7 – M e l h o r e s P r á t i c a s )
O A A F p e r m i t e - l h e a s s o c i a r a s m e l h o r e s
p r á t i c a s p o r P r o g r a m a d e
T r a b a l h o / P r o c e s s o :
D e q u e F o r m a ?
A p e n a s r e g i s t a n d o a m e l h o r p r á t i c a .
E c r ã d e P a r a m e t r i z a ç ã o d a s m e l h o r e s
p r á t i c a s
( 8 - L e v a n t a m e n t o P r o c e d i m e n t o s )
O A A F p e r m i t e - l h e e f e c t u a r o
l e v a n t a m e n t o p r é v i o d a s á r e a s d e
n e g ó c i o ( p r o c e s s o s ) o n d e s e r ã o a p l i c a d o s
o s r e s p e c t i v o s c o n t r o l o s e t e s t e s d e
a u d i t o r i a .
Ecrã de Levantamento de procedimentos
( 9 – C k e c k l i s t )
O A A F p e r m i t e - l h e e f e c t u a r d o i s t i p o s d e
C k e c k l i s t :
1 . C á l c u l o d a n o t a f i n a l d a a u d i t o r i a
2 . A u x i l i a r d e f e c h o d a s a u d i t o r i a s
N o p r i m e i r o t i p o , c a l c u l a o r e s u l t a d o
( n o t a ) d a a u d i t o r i a , c o n s i d e r a n d o a s
n o t a s d o s t e s t e s / p r o g r a m a s d e t r a b a l h o e
r e s p e c t i v o s p e s o s .
N o s e g u n d o t i p o , é u m a u x i l i a r q u e
p e r m i t e i d e n t i f i c a r q u e i t e n s s e
e n c o n t r e m e m a b e r t o e i m p e d e m o f e c h o
d a a u d i t o r i a .
E c r ã d e C k e c k l i s t
( 10 – Documento P r i nc ipa l )
É o d o c u m e n t o d e G e s t ã o d a a u d i t o r i a . O
A A F p e r m i t e - l h e :
1 . I n c l u i r / r e t i r a r n o v a s u n i d a d e s
a u d i t á v e i s
2 . I n c l u i r / r e t i r a r n o v o s a u d i t o r e s
3 . I n c l u i r / r e t i r a r n o v o s p r o g r a m a s d e
t r a b a l h o
4 . I n c l u i r / r e t i r a r f a s e s d a a u d i t o r i a
E c r ã d e p a r a m e t r i z a ç ã o d o D o c u m e n t o
P r i n c i p a l .
Continua no próximo artigo
A u d i t A u t o m a t i o n F a c i l i t i e s – M ó d u l o d e A u d i t o r i a 18
Auditoria Interna Outubro/Dezembro 2009 Nº 36
Os Sistemas de Informação (SI) são uma componente indispensável no suporte das estratégias de negócio e da actividade diária das organizações.
Esta forte dependência dos SI, o aumento da sua complexidade e a crescente exposição das organizações ao exterior, através das estratégias de outsourcing ou da utilização de novos canais, potencia os riscos associados aos SI.
Adicionalmente, a conjuntura económica negativa e os tempos conturbados em que vivemos, que afectam organizações e pessoas, aumentam a probabilidade de utilização dos SI para comportamentos indevidos e actos de fraude.
Neste cenário, a Auditoria Interna de SI assume um papel determinante, por um lado, na manutenção da disciplina e do rigor das diversas funções e geografias da organização e, por outro, na manutenção da segurança da informação e da reputação das organizações.
A forma como a função de auditoria interna de SI desempenha este papel está, até certo nível, muito dependente da autoridade e credibilidade que possui na organização e da capacidade de influência que exerce ao nível dos órgãos executivos e de gestão. A auditoria interna necessita de aumentar o seu perfil e visibilidade para ser encarada de forma séria como uma ferramenta de governo, protecção de valor e conformidade.
Reconhecendo a crescente importância do papel da auditoria de SI, a KPMG IT Advisory promoveu o seu primeiro estudo sobre esta função na região da Europa, Médio Oriente e África (EMA).
Participaram 297 organizações de diversos sectores de actividades distribuídas por 22 países, entre as quais 13 organizações de Portugal.
Este estudo foi apoiado em diversos países pelos representantes locais do The Institute of Internal Auditors e da Information Systems Audit and Control Association (ISACA), incluindo Portugal que contou com o apoio do Instituto Português de Auditoria Interna (IPAI).
A KPMG agradece ao IPAI e a todas as organizações que participaram no 1º Estudo da sobre a Função de Auditoria Interna de Sistemas de Informação.
Neste estudo, os participantes responderam a um questionário de 52 perguntas contemplando diversos temas relevantes para a função de Auditoria Interna de SI, nomeadamente:
Organização da Auditoria de SI, Funções da Auditoria de SI, Tipos de projecto e metodologias, Planeamento das actividades, Comunicação e acompanhamento, Avaliação e controlo de qualidade, Utilização de ferramentas, Competências, Formação e avaliação, Progresso profissional.
A Auditoria de SI, enquanto disciplina, está em processo de maturação. Para competir no actual ambiente e para responder às ameaças, necessita de uniformizar, automatizar e agilizar as suas actividades, análises e reporte.
Zeitgeist * da Função de Auditoria Interna de Sistemas de Informação
Gonçalo Carvalho Senior Manager, IT Advisory Head of IT Internal Audit Services KPMG Advisory *termo alemão que significa sinal dos tempos, as características de um determinado período de tempo
A Auditoria Interna de SI assume um papel determinante, por um lado, na
manutenção da disciplina e do rigor das diversas funções e geografias da
organização e, por outro, na manutenção da segurança da informação e da
reputação das organizações.
19
Auditoria Interna Outubro/Dezembro 2009 Nº 36
A auditoria de SI tem necessariamente que aumentar a sua visibilidade na organização, evidenciar a valia da sua actividade e comunicar adequadamente os seus resultados; estreitar relações com o negócio e com as áreas tecnológicas, mantendo a sua independência e objectividade; cooperar com os restantes domínios de auditoria, assumindo-se como uma parte integrante da auditoria interna; adquirir as competências necessárias, interna ou externamente; atingir maiores níveis de eficácia e eficiência através da utilização de ferramentas que racionalizem a execução das suas actividades e melhorem a qualidade dos resultados e o nível de conformidade e controlo.
Este estudo (disponível em www.kpmg.pt) analisa os processos e práticas actuais da função de Auditoria Interna de SI das organizações da região EMA e revela de que forma estão preparadas para lidar com os desafios colocados à Auditoria Interna de SI numa economia sobre pressão.
Organização e Planeamento
A importância do planeamento para o sucesso da função de auditoria interna de SI não pode ser subvalorizada. A definição do âmbito e o planeamento detalhado da auditoria são factores essenciais para assegurar que os riscos organizacionais são compreendidos e endereçados através do plano de auditoria.
A maioria das organizações inquiridas reconhece esta importância, tendo 86% adoptado um ciclo formal de planeamento de auditoria, das quais 78% com uma periodicidade anual. Os resultados das organizações portuguesas inquiridas são consistentes com os resultados globais.
No processo de planeamento da actividade da auditoria interna de SI, é cada vez maior a utilização de frameworks de risco e controlo, como por exemplo o COBIT (Control Objectives for Information and Related Technology) da ISACA, contribuindo para uma abordagem estruturada ao planeamento e para um foco da auditoria de SI nos riscos de negócio e tecnológicos da organização. O estudo revela que 75% das organizações adoptam estes frameworks, sendo o COBIT o modelo mais utilizado. Estes resultados também são válidos para Portugal.
Um aspecto crítico para o planeamento é a forma como a auditoria interna de SI está integrada na actividade global de auditoria e a maturidade dessa integração. Este estudo revela indicadores positivos quando se verifica
que 41% das organizações inquiridas alinham as suas actividades de auditoria interna de SI com outras actividades de governo e controlo mais abrangentes (e.g. Auditoria Interna, Sarbanes-Oxley) e que 33% parecem caminhar na direcção correcta apresentando já alguma coordenação e com planos para promover o alinhamento. A análise dos resultados para as organizações portuguesas revela que embora 38% possuam alguma coordenação e intenção de melhorar, actualmente apenas 25% consideram que as actividades estão alinhadas.
Os resultados deste estudo demonstram também sinais encorajadores de mudança na função de auditoria interna de SI de uma abordagem tradicional para uma perspectiva mais pró-activa e de valor, com os profissionais de auditoria de SI a trabalhar e colaborar com maior proximidade às áreas de TI. As respostas das organizações portuguesas inquiridas também parecem confirmar estes sinais. No entanto, nunca é demais reforçar que esta proactividade e aproximação não podem fazer esquecer a necessidade de assegurar que a independência e objectividade dos auditores não fica, em nenhuma circunstância, comprometida.
No processo de planeamento é indispensável a respectiva aprovação do plano de auditoria interna de SI. O estudo demonstra que os planos são aprovados pelo Comité de Auditoria em 63% das organizações inquiridas. No entanto, em 10% das organizações os planos de auditoria ainda são aprovados pela função de TI, comprometendo seriamente a independência da função de auditoria. Das organizações portuguesas inquiridas, a maioria tem o plano de auditoria de SI aprovado pelo Presidente/CEO. No entanto, apenas 23% envolve o Comité de Auditoria na aprovação e em 15% das organizações o plano é aprovado apenas ao nível do Director de Auditoria Interna.
Recursos e Competências
Um dos desafios do responsável da auditoria interna e/ou da auditoria Interna de SI, é a procura do equilíbrio entre as competências técnicas dos colaboradores e o conhecimento mais alargado do negócio. Este equilíbrio, fundamental para assegurar que a auditoria endereça de forma adequada tanto os riscos técnicos como os riscos de negócio, pode ser alcançado incentivando os auditores de SI e as restantes áreas de auditoria a trabalharem em conjunto.
Zeitgeist * da Função de Auditoria Interna de Sistemas de Informação 20
Auditoria Interna Outubro/Dezembro 2009 Nº 36
O estudo mostra que 60% das equipas de auditoria interna que executam os projectos incluem um misto de auditores de SI e não-SI. Este indicador baixa para 38% quando analisamos os resultados das organizações portuguesas que participaram no estudo.
A existência de profissionais com a experiência e competência adequadas é uma condição indispensável para o sucesso da execução do plano da auditoria interna de SI.
Nesta procura de competências, o estudo revela que as áreas de segurança da informação, frameworks de referência (e.g. COBIT) e aplicações (e.g. ERPs) estão no topo da procura dos responsáveis da auditoria interna de SI das organizações inquiridas, incluindo as organizações portuguesas.
Na análise dos canais utilizados pelas funções de auditoria interna de SI para recrutar os seus profissionais verifica-se que 55% opta pelo recrutamento externo, um indicador de que as competências adequadas para esta função não existem internamente na auditoria ou noutras áreas da organização.
No entanto, no actual ambiente de restrições e reduções orçamentais, o recrutamento nem sempre é uma opção e, consequentemente, a formação e desenvolvimento dos colaboradores internos pode ser uma alternativa viável.
O recurso a profissionais externos é outra solução frequentemente utilizada pelas organizações para preencher a insuficiência de competências de auditoria interna de SI.
Neste estudo, aproximadamente 42% das organizações inquiridas afirmam recorrer a outsourcing para obter recursos e competências que não dispõem internamente, um indicador que também se verifica para as organizações portuguesas que responderam a este inquérito.
A KPMG acredita que a utilização de recursos externos na função de auditoria interna de SI poderá ser uma tendência nos próximos 18 meses. Esta opção, quando gerida de forma cuidadosa, poderá representar uma boa relação custo-benefício para obter acesso a competências específicas.
Embora a formação dos recursos seja um tema presente na agenda da maior parte das organizações, o número de horas dedicadas à formação continua a ser baixo.
O estudo revela que 29% das organizações dedica menos de uma semana por ano à formação dos seus colaboradores, com a maior parte do tempo de formação dedicado à obtenção de certificações.
A análise dos resultados das organizações portuguesas que participaram neste estudo revela um indicador ainda mais negativo com 46% a reconhecer que a média anual de formação por auditor de SI é inferior a uma semana.
Adicionalmente, 57% dos inquiridos considera a certificação CISA (Certified Information System Auditor) um requisito para os auditores de TI.
Os resultados das organizações portuguesas inquiridas diferem significativamente das conclusões globais, verificando-se que apenas 15% considera as certificações um requisito e que 31% reconhece que não existe qualquer requisito específico de formação/certificação.
O desenvolvimento e avaliação dos colaboradores é reconhecidamente importante para a maioria das organizações com 70% a avaliar o desempenho dos seus profissionais pelo menos uma vez por ano, mas apenas 12% avaliam no final de cada intervenção.
Os resultados para as organizações portuguesas inquiridas são consistentes com os resultados globais, com uma frequência de avaliação maioritariamente anual. A KPMG entende que as organizações devem implementar planos estruturados de desenvolvimento para identificar as insuficiências de competências e as necessidades futuras de desenvolvimento, contribuindo para o aumento do nível de satisfação e retenção dos colaboradores, e para a redução da dependência de recrutamento externo.
Ferramentas
A utilização de ferramentas de forma mais sistemática e abrangente, desde o planeamento até ao reporte, é um contributo importante para a eficiência da auditoria interna de SI. A KPMG acredita que os colaboradores mais proficientes tecnicamente poderão liderar o caminho do aumento da eficiência do processo de auditoria interna de SI através da automatização.
De facto, os resultados deste estudo demonstram uma utilização crescente de ferramentas no suporte ao processo de auditoria de SI, embora sejam ainda pouco comuns em áreas como o planeamento e análise de riscos e controlos.
Zeitgeist * da Função de Auditoria Interna de Sistemas de Informação 21
Auditoria Interna Outubro/Dezembro 2009 Nº 36
A distribuição das ferramentas utilizadas para testes de auditoria revela que 33% das organizações permanecem ainda sem usar ferramentas de análise de dados e amostragem nos testes e que apenas 45% recorre a ferramentas para execução de testes de segurança da informação.
Tendo em consideração o contributo destas ferramentas para o aumento da confiança nos resultados da auditoria, a sua não utilização em algumas organizações poderá enfraquecer o impacto da actividade de auditoria de SI.
Adicionalmente, apesar do crescente interesse das organizações em software de auditoria contínua, os projectos reais de desenvolvimento e implementação são ainda inexistentes em muitas organizações.
Os resultados para as organizações portuguesas inquiridas são consistentes com esta perspectiva global.
As ferramentas de fácil acesso e amplamente disponíveis, tais como Microsoft Excel® e Microsoft Access® são, naturalmente, as mais utilizadas pelos auditores de TI, de acordo com este estudo.
Estas ferramentas, embora de fácil compreensão e utilização, não disponibilizam o mesmo nível de sofisticação nem o mesmo potencial de melhoria da qualidade e eficiência que ferramentas específicas possibilitam.
A análise das respostas das organizações portuguesas que participaram neste estudo confirma os resultados globais, sendo de destacar a utilização de SQL como ferramenta de análise de dados para quase 50% das organizações e a utilização do ACL em 38%.
Reporte e Qualidade
A comunicação das mensagens adequadas dirigidas aos interlocutores adequados é fundamental para que as organizações consigam percepcionar, por um lado, a importância e qualidade do trabalho desempenhado pela auditoria interna de SI e, por outro, um melhor entendimento e consciencialização dos riscos.
Estas são condições fundamentais para que a auditoria interna de SI tenha o patrocínio do negócio, o suporte da organização e a visibilidade ao nível da gestão.
A importância da formalização do reporte é reconhecida pela maioria das organizações que participaram neste
estudo, com 97% das organizações a comunicar os resultados e recomendações de auditoria de SI num reporte formal, 80% das quais com um modelo de reporte padrão para facilitar a análise e compreensão do conteúdo.
No entanto, o estudo revela que mais de 55% das organizações inquiridas não incorpora os comentários da gestão no relatório.
Este indicador pode sugerir que o nível executivo não considera a auditoria de SI suficientemente a sério ou que a auditoria de TI não discute os resultados antes do reporte final, o que poderá comprometer o valor do trabalho executado pela função de auditoria interna de SI e a sua reputação na organização.
Os resultados das organizações portuguesas que participaram neste estudo mostram que 75% das organizações não incorporam comentários no relatório final.
Num tom mais positivo, o estudo revela que 72% das organizações reportam as suas conclusões ao Comité de Auditoria, um indicador que também se reconhece nas organizações portuguesas que responderam a este estudo.
No entanto, os auditores externos apenas recebem os relatórios da auditoria interna em 37% das organizações inquiridas, o que compromete a possibilidade da auditoria externa utilizar e/ou capitalizar o trabalho executado pela auditoria interna de SI.
Nas organizações portuguesas inquiridas, o estudo conclui que esta comunicação interna/externa é ainda menos eficaz, uma vez que apenas 8% disponibilizam os relatórios de auditoria interna de SI ao auditor externo.
O acompanhamento das recomendações é um aspecto fundamental no processo de auditoria. É encorajador verificar que 98% das organizações fazem follow-up das recomendações emitidas nos relatórios de auditoria interna de SI.
Esta responsabilidade é reconhecidamente atribuída à função de auditoria interna em 71% das organizações, mas o estudo revela que para 8% das organizações são os departamentos auditados que assumem essa responsabilidade.
Zeitgeist * da Função de Auditoria Interna de Sistemas de Informação 22
Auditoria Interna Outubro/Dezembro 2009 Nº 36
A auditoria interna tem de interiorizar que o follow-up é a sua responsabilidade última e que não deve ser transferida. Nas organizações portuguesas inquiridas a responsabilidade de monitorização das recomendações está atribuída à função de auditoria interna ou à unidade de controlo interno.
De acordo com este estudo, a qualidade do trabalho executado pela auditoria interna de SI é avaliada apenas por 56% das organizações inquiridas.
As restantes não têm processos efectivos de qualidade implementados e, em 41% dos casos, executam apenas uma avaliação informal ou, no pior cenário, não executam qualquer avaliação.
Nas organizações portuguesas que participaram no estudo 38% não fazem qualquer avaliação.
Finalmente, a utilização de questionários de satisfação para obter feedback sobre o serviço prestado pela função de auditoria interna de SI é uma prática reconhecida apenas por 44% das organizações que participaram neste estudo.
Os resultados para as organizações portuguesas inquiridas demonstram que esta prática é utilizada apenas por 23% das funções de auditoria interna de SI.
12 acções que podem fazer diferença
Aproximar a Auditoria Interna de SI ao negócio e aos decisores das SI, demonstrando o entendimento adequado dos riscos de negócio e tecnológicos.
Rever os planos de auditoria com maior frequência para assegurar adequada resposta às mudanças do negócio e nos riscos, em particular no actual ambiente e contexto mundial.
Implementar processos de avaliação de risco e de planeamento para focar a actividade de auditoria nos riscos de negócio e tecnológicos.
Alinhar a auditoria de SI com outras actividades de governo e controlo para obter benefícios de escala e competência.
Encorajar os auditores de SI a desempenhar um papel de maior proactividade e valor para a organização, sem comprometer a independência e integridade da auditoria.
Assegurar que a auditoria reporta e faz aprovar o plano de auditoria ao Comité de Auditoria e/ou Conselho Administração.
Integrar os auditores de SI e os auditores não-SI para acrescentar uma dimensão multidisciplinar ao trabalho da auditoria interna e, assim, promover a qualidade das suas actividades.
Aumentar a formação em competências específicas como por exemplo segurança de informação.
Conduzir avaliações no fim das intervenções de auditoria de SI para identificar oportunidades para melhorar as competências e a eficiência do processo de auditoria.
Reforçar a utilização de ferramentas, por exemplo de tratamento de dados, para aumentar a confiança e credibilidade das conclusões de auditoria.
Assegurar que os órgãos executivos conhecem, compreendem e comentam os relatórios de auditoria interna, para melhorar a percepção e o valor da auditoria interna de SI na organização.
Medir a qualidade do trabalho efectuado pela Auditoria Interna de SI e comunicar os resultados.
o
Zeitgeist * da Função de Auditoria Interna de Sistemas de Informação 23
Auditoria Interna Outubro/Dezembro 2009 Nº 36
Auditoria de Sistemas
Entrou em vigor no passado dia 1 de Janeiro de 2010 o
Decreto-Lei nº 158/2009 de 13 de Julho, que aprovou o
novo Sistema de Normalização Contabilística (SNC)
aplicável, com algumas excepções, às sociedades
abrangidas pelo código das sociedades comerciais,
empresas individuais reguladas pelo código comercial,
estabelecimentos individuais de responsabilidade
limitada, empresas públicas, cooperativas, agrupamentos
complementares de empresas e agrupamentos europeus
de interesse económico.
O processo de reconversão do Plano Oficial de Contas
(POC) para SNC neste primeiro ano da sua aplicação
deverá ser desenvolvido e implementado pelas soluções
informáticas das empresas de forma automática com a
intervenção e orientação dos utilizadores directamente
interessados.
Este processo de reconversão poderá ser controlado
através da análise dos procedimentos e dos resultados
finais obtidos, com recurso a ferramentas de análise e
query de dados, ferramentas informáticas externas
totalmente independentes dos programas que
implementaram a conversão.
Quem tem a missão de controlar poderá utilizar na
realização de testes substantivos para validar a correcta
aplicação das complexas regras definidas para o
processo de reconversão ferramentas informáticas tais
como o Caseware-IDEA ou outra. Poderá de forma
simples e rápida aplicar as tabelas de conversão POC -
SNC sobre os dados contabilísticos do ano de 2009 e
obter como resultado os dados convertidos à luz do novo
normativo SNC. Os resultados obtidos por este meio
deverão ser, por último, reconciliados contra os
resultados gerados pelas soluções informáticas da
empresa.
Embora cada caso apresente sempre as suas
particularidades, podemos definir em termos genéricos
que os dados necessários para realizar a conversão do
POC em SNC com recurso a ferramentas de análise de
dados são os seguintes:
a) ficheiros contendo o balancete e os movimentos
contabilísticos POC de 2009, extraídos da aplicação de
contabilidade da empresa em formato digital; b) ficheiros
contendo as regras de conversão do POC em SNC
identificando a correspondência entre as conta do POC e
as do SNC e finalmente;
ANÁLISE DE DADOS EM AUDITORIA
Controlo do processo de reconversão pela primeira vez do novo
normativo SNC – Sistema de Normalização Contabilística através de
ferramenta de análise e query de dados
Drumond de Freitas – Consultor EQUICONSULTE, SA
Este processo de reconversão poderá ser controlado através da análise dos procedimentos e dos resultados finais obtidos, com recurso a ferramentas de análise e query de dados, ferramentas informáticas externas totalmente independentes dos programas que implementaram a conversão.
24
Auditoria Interna Outubro/Dezembro 2009 Nº 36
c) os planos de contas POC e SNC com a caracterização
das respectivas contas. O processo de reconversão
utilizando o IDEA tem as seguintes principais etapas: a)
Importar os dados para o IDEA, nomeadamente, o
balancete analítico POC (Fig. 1) e os movimentos
contabilísticos do ano 2009 (Fig. 2), a tabela de
conversão das contas do POC para o SNC (Fig. 3) e o
plano de contas SNC (Fig. 4).
Na tabela de conversão do POC para SNC (Fig. 3) só as
contas de lançamento (tipocta = L) deverão estar
relacionadas entre si. As restantes contas intermédias e
do razão (tipocta = I e tipocta = R) não o deverão estar.
As contas intermédias do Plano SNC serão obtidas de
forma automática após concluída a reconversão e
recalculado o balancete SNC de acordo com o plano de
contas SNC.
Fig. 1 – Balancete POC
Fig. 2 - Extractos dos Movimentos de toda a contabilidade POC
Fig. 3 – Tabela conversão da conta POC para a conta SNC
Fig. 4 – Plano de Contas SNC (neste caso também indica a
conta a conta POC)
Qualquer um destes ficheiros atrás referidos poderão ser
importados para o IDEA a partir dos mais diversos
formatos, desde o vulgar ficheiro MS Excel, ficheiro de
texto (ASCII), MS Access, XML, Adobe Pdf, etc., ou
através e ligação a qualquer base de dados via ODBC
(Open Database Connectivity).
Fig. 5 – Operação de Join com tipo de cruzamento All records in
primary file
O processo de conversão dos ficheiros atrás referidos,
devidamente validados e conferidos, é de simples
execução.
Na realidade só é necessário fazer uma operação de join
entre o ficheiro que contém o balancete analítico POC e
o ficheiro que contém a tabela de conversão das contas
POC para as contas SNC.
25 Análise de dados em auditoria
Auditoria Interna Outubro/Dezembro 2009 Nº 36
Na Fig. 5 está representada a operação de join entre o
BalanceteAnaliticoPOC como base de dados primária,
Tab_POC_SNC-Database como base de dados
secundária, os campos de cruzamento dos dados
respectivamente conta_poc e nrconta_poc e finalmente a
opção do tipo de cruzamento entre as duas bases de
dados definida como All records in primary file para
garantir que todos os registos da base de dados primária,
sejam escritos na base de dados resultado da operação
de join designada por BalAnaliticoPOC vs
TabPOC_SNC1.
Este ficheiro resultante do join contém o balancete
analítico do POC com a informação adicional das
respectivas contas de lançamento (tipocta = L) do plano
SNC.
Agora, para reconstruir o balancete SNC completo
contendo as contas de lançamento, intermédias e de
razão vamos utilizar algumas funcionalidades do IDEA,
como sejam extracção de dados, a criação de novos
campos, sumarizações e append.
Assim em 1º lugar vamos extrair da base de dados
BalAnaliticoPOC vs TabPOC_SNC1 todos os registos
das contas de lançamento (tipocta = L) para uma nova
base de dados temporária a que vamos chamar
BalAnaliticoSNC na qual vamos adicionar os seguintes
novos campos, NIVEL que calculará o nível a que
pertence cada registo, os campos N2, N3, …, até N12
que contém as posições de cada nível (previsto neste
caso contas até um máximo de 12 posições) para
permitir totalizar os montantes das contas de movimento
para os níveis intermédios do plano SNC (Fig. 6). Para
um número de posições superior a 12 introduzir novas
linhas na tabela em conformidade.
Fig. 6 – Campos adicionais para permitir totalizar montantes
intermédios
Vamos de seguida sumarizar esta base de dados tantas
vezes quantos os campos adicionais Ni criados. Os
parâmetros de sumarização das bases de dados Ni
temporárias são de acordo com a Fig. 7 seguinte
substituindo o número 2 assinalado nos parâmetros pelo
respectivo número do nível, 3,4,.., até 11.
Fig. 7 – Parâmetros para a sumarização de cada nível
Será obtido o seguinte conjunto de ficheiros temporários
no File Explorer do IDEA,
26
Análise de dados em auditoria
Auditoria Interna Outubro/Dezembro 2009 Nº 36
Fig. 8 – File Explorer IDEA com os ficheiros de totais de nível
Chegados a este ponto teremos de fazer uma operação
append para juntar aos registos das contas de
lançamento, que são as contas elementares, os registos
dos níveis intermédios com os respectivos totalizadores
do nível. Será gerado um ficheiro temporário designado
por BalAnaliticoSNC Totaliz indicado na Fig. 9.
Fig. 9 – Operação de Append para juntar os registos de movimento com os registos de níveis intermédios
Finalmente para obter o balancete final SNC iremos fazer
uma operação de join entre o plano de contas SNC e
este ficheiro temporário agora obtido para seleccionar
unicamente os níveis intermédios efectivamente
existentes no plano de contas SNC.
Fig. 10 – Operação de join
Nesta operação de join será seleccionado o operador All
records in primary file para gerar unicamente os registos
efectivamente existentes no plano de contas SNC, sendo
deste modo descartados os níveis intermédios não
existentes no plano de contas SNC.
O resultado obtido será o seguinte:
Fig. 11 – Balancete SNC convertido a partir da Balancete POC
Nota: Os ficheiros temporários anteriormente criados podem,
nesta fase, ser eliminados.
27 Análise de dados em auditoria
Auditoria Interna Outubro/Dezembro 2009 Nº 36
Chama-se a atenção para o facto de existirem nesta vista
do balancete o campo nrconta_snc e a correspondente
conta do POC, campo conta_poc, unicamente nas contas
elementares de movimento (tipocta = L).
Com a utilização da funcionalidade do IDEA designada
por Actions Fields, torna-se possível a partir desta vista
do balancete aceder aos extractos de movimentos da
contabilidade através do campo conta_poc que se
encontra realçado a azul (link). Se clicarmos sobre o
campo, por exemplo conta_poc linha 7 (12110)
obteremos o seguinte ecrã que representa o extracto da
conta seleccionada:
Fig. 12 – Consulta da Conta 12110 a partir do balancete
convertido
Adicionalmente, poderíamos ainda utilizando a mesma
técnica aceder às linhas do documento contabilístico 807
se clicarmos no campo doc_int da Fig. 12 na linha 7,
permitindo deste modo viajar ao longo da contabilidade
de forma fácil e rápida.
O balancete SNC na Fig. 11, obtido através do IDEA,
deverá por último ser reconciliado com o gerado pela
aplicação de contabilidade após realizada conversão.
A partir deste ponto validar e documentar o controlo a ser
efectuado pelo auditor ou controlador sobre a
reconversão do POC no SNC é bastante mais fácil e
eficiente.
Conclusão:
Toda esta sequência de operações referida de forma
interactiva para converter o Balancete POC no
Balancete SNC, obviamente que deverá ser
automatizada utilizando as ferramentas de gravação
de scritps ou macros colocadas à disposição dos
utilizadores pelo IDEA. O utilizador não necessita de
saber programar Visual Basic para automatizar os
seus testes no IDEA. Só necessita de activar o
gravador de macros e executar todos os passos
desde o inicio até ao fim de um qualquer teste.
Depois só necessita de reproduzir a macro assim
gravada sobre outro conjunto de dados.
o
28 Análise de dados em auditoria
Colabore. Dê uma sugestão. [email protected]
Auditoria Interna Outubro/Dezembro 2009 Nº 36
Pesquisa na rede
http://kmol.online.pt/artigos/2009/05/08/auditorias-objectivos-ambito
Auditorias de Conhecimento: Objectivos e Âmbito
Ana Neves | 8 Mai 2009
Este texto irá debruçar-se sobre alguns aspectos das auditorias de conhecimento. Nomeadamente sobre o que considerar numa auditoria de conhecimento, a altura indicada para a realizar e os objectivos que a devem orientar.
Quando se fala em auditoria de conhecimento é habitual pensar no levantamento do conhecimento existente na organização. Apesar de tal poder ser útil em algumas circunstâncias, este levantamento não deverá ser feito com o intuito de ser exaustivo e pormenorizadamente documentado. Especialmente no caso de médias e grandes organizações, tal exercício revelar-se-ia uma perda de recursos já que, quando concluído, os resultados estariam muito provavelmente desactualizados.
Assim, querendo encarar uma auditoria de conhecimento segundo a perspectiva mais habitual, recomenda-se que se estude a organização com o objectivo de encontrar resposta às seguintes questões:
qual o conhecimento necessário para viabilizar a estratégia organizacional?
desse conhecimento, qual existe actualmente na organização?
que confiança tem a organização nesse conhecimento?
em que formato está esse conhecimento disponível?
onde pode a organização encontrar ou como pode a organização criar o conhecimento em falta?
que conhecimento tem a organização que possa ser comercializado como serviço ou produto?
Estes pontos serão o fio condutor de uma auditoria focada no conhecimento propriamente dito. No entanto, a auditoria aos processos de conhecimento pode fazer muito mais sentido.
Considerando os vários processos de conhecimento (identificação, aquisição, partilha, arquivo, acesso, validação e utilização) há que olhar aos processos organizacionais, às pessoas e à infra-estrutura existentes para entender de que forma suportam, ou não, os processos de conhecimento.
Considerando que a auditoria deve produzir uma visão bastante completa do estado dos processos de conhecimento e de como são apoiados, a auditoria é um instrumento valioso aquando da definição de uma estratégia de conhecimento.
Como tal, aconselha-se a realização da auditoria como o primeiro passo do programa de gestão de conhecimento, ainda antes de definida a estratégia.
A vantagem de realizar a auditoria nesta altura é também a de criar um ponto de situação, um benchmark, que permita mais tarde efectuar uma avaliação de resultados.
A realização de uma auditoria de conhecimento (ou dos processos de conhecimento) depois de definida a estratégia e/ou iniciado o programa de gestão de conhecimento pode também ser bastante útil. Por exemplo, pode ajudar a:
Validar o trabalho já realizado ou já planeado e as prioridades identificadas
Identificar o vocabulário usado pelos colaboradores, vocabulário esse a incluir na comunicação e nas actividades de envolvimento
Criar um benchmark para avaliação (mais vale tarde do que nunca)
Verbalizar problemas e deficiências, muitas vezes conhecidas pela organização mas que ninguém tem coragem de admitir.
Como em quase tudo o que diz respeito à gestão organizacional, não há receitas e não há verdades absolutas. Assim, os objectivos, o âmbito e a melhor altura para a realização de uma auditoria de conhecimento irão divergir de organização para organização.
Os pontos anteriormente apresentados são, por isso, para ser interpretados cuidadosamente e aplicados com ainda maior espírito crítico.
o
29
Auditoria Interna Outubro/Dezembro 2009 Nº 36
Notícias
Posição IPAI – Projecto do Código do Bom Governo das Sociedades
Notícias 30
Auditoria Interna Outubro/Dezembro 2009 Nº 36
CONFERÊNCIA ANUAL 2009 (pode consultar as apresentações em http://www.ipai.pt/index.php)
A uditoria In terna e
Gestão de R isco O peracional
Exper iênc ia em E mpresa Não -F inance ira
IPAI 2009
AUDITORIA DE SISTEMAS
Uma forma de mitigar risco
Pedro Cupertino de Miranda, CISM, CISA
31
Auditoria Interna Outubro/Dezembro 2009 Nº 36
Fotografias
Conferência Anual 2009 32
Auditoria Interna Outubro/Dezembro 2009 Nº 36
Conferência Anual 2009 33
Auditoria Interna Outubro/Dezembro 2009 Nº 36
Foto do encontro do Núcleo de Auditoria do Sector de Transportes, Infra-estruturas e Reguladores
Conferência Anual 2009 34
Auditoria Interna Outubro/Dezembro 2009 Nº 36
Pesquisa de Institutos de Auditoria - Europa
Croatia
Affiliate code 334
Publicidade
35
Auditoria Interna Outubro/Dezembro 2009 Nº 36
O Zé Auditor
36
Auditoria Interna Outubro/Dezembro 2009 Nº 36
Auditoria Interna Outubro/Dezembro 2009 Nº 36