abril/junho 2011 trimestral distribuição gratuita nº 434 avaliação da qualidade e performance...
Post on 14-Jul-2020
1 Views
Preview:
TRANSCRIPT
1
Auditoria Interna Abril/Junho 2011 Nº 43
Abril/Junho 2011 Trimestral Distribuição gratuita Nº 43
A auditoria interna numa economia à deriva
Desenhar e implementar um framework para auditoria
O papel da ISACA na confiança nas organizações e profissionais de TI
(Mau) Humor organizacional um factor contagiante
ISO 26000 – o início
2
Auditoria Interna Abril/Junho 2011 Nº 43
CORPOS SOCIAIS PARA O BIÉNIO 2010 – 2011
Assembleia Geral
Presidente da Mesa: António dos Santos Ramos, CIA – Estoril Sol
Secretário: Carlos Alberto Mendes Lopes – Estradas de Portugal
Vogal: Rodrigo Mário de Carvalho – ISCAP
Conselho Fiscal Presidente: Manuel dos Santos Gomes
Vogais: Álvaro da Silva João
João Manuel Barata da Silva - CGD
Vogal Suplente: Maria de Lurdes Neves - TAP
Direcção
Presidente: Fátima Geada, PHD – TAP
Vice-Presidentes: Francisco de Melo Albino, CIA; CCSA; CGAP
António Neutel Neves, CIA – Portucel
Nuno Oliveira, CIA - AdP
José Costa Bastos – CGD
Nelson Martins, CCSA – BES
Pedro Cupertino de Miranda, CISA – SONAE
Secretário: Joaquim Leite Pinheiro
Vogais: Luís Filipe Machado, CIA; CCSA – BCP
Severo Praxedes Soares – IGF
Miguel Correia, CIA; CCSA; CFSA I – Liberty Seguros
Georgina Morais – ISCAC
Ana Cláudia – BRISA
Jorge Santos Nunes – Lusitânia
CONSELHO GERAL
Presidente: Manuel Marques Barreiro
Vice-Presidente: Manuel Agostinho Raul Fernandes
Vogais:
Domingos Sequeira – Ex-Presidente da Direcção
Orlando Sousa - SONAE
Ana Margarida Fernandes – Inspecção-Geral de Finanças
António Costa e Silva – Tribunal de Contas
Carlos Baptista da Costa – ISCAL
Octávio Castelo Paulo – Instituto Português Corporate Governance
Jean-éric Gaign – KPMG
João Frade – DELOITTE
João de Mello Franco – PT e EDP Renováveis
Jorge de Freitas Nunes – Ernst & Young
José Manuel Dias da Fonseca – APOGERIS
Francisco Martins da Rocha – Banco de Portugal
Nasser Sattar – PriceWaterhouseeCoopers
Orlando Germano da Silva - BES
Filiado na
Chapter 253
Julho/Setembro 2010 Trimestral Distribuição gratuita Nº 40
3
Auditoria Interna Abril/Junho 2011 Nº 43
Agenda 2011
Nº CURSO LOCAL DATA FORMADOR
Formação de Base em Auditoria Interna
1 Introdução ao Controlo e Auditoria Interna Lisboa Porto
Fev. 7 e 8 Set. 5 e 6
Francisco Albino, CIA, CCSA, CGAP
Formação para Auditores Seniores e CAEs
2 Auditoria Interna Baseada no Risco Lisboa Porto
A definir Set. 12 e 13
Nuno Oliveira, CIA
3 Auto-avaliação do Risco e do Controlo – Preparação para o Exame CCSA
Lisboa Jun. 27 e 28 Nuno Oliveira, CIA Júlia Santos. CCSA
4 Avaliação da Qualidade e Performance em Auditoria Interna
Lisboa Set. 26 e 27 Fátima Geada, PhD
Formação de Especialização
5 Relatórios de Auditoria Lisboa Mai. 9 e 10 Francisco Albino, CIA, CCSA, CGAP
6 Audit Analytics Lisboa Jul. 29* Prof. Glenn Sumners, CIA, CPA, CFE
7 Amostragem para Auditoria Lisboa Dez. 12 e 13 Fátima Geada, PhD Céu Almeida, ROC
8 Fraude e Auditoria Interna Lisboa Abr. 4 e 5 Tiago Lopes, CIA, CCSA, CFE
9 Gestão de Risco Lisboa Out. 17 e 18**
Formação para Auditores de Sistemas de Informação
10
Auditoria de Sistemas e Tecnologias de Informação
Lisboa Mai. 16 e 17 Paulo Gomes, CISA
11 Segurança de Sistemas de Informação Lisboa Mai. 26 e 27 Pedro Cupertino, CISA
Formação Comportamental
12 Liderança e Comunicação em Auditoria Interna
Lisboa Porto
Abr.18 e 19 Out.10 e 11
Filipa Oliveira
13 Técnicas de Apresentação *** Lisboa Jul. 4 e 5 Filipa Oliveira
Formação para a Certificação CIA
14 CIA Review – I Part
Lisboa Jul. 25 * Prof. Glenn Sumners, CIA, CPA, CFE
15 CIA Review – II Part Lisboa Jul. 26 * Prof. Glenn Sumners, CIA, CPA, CFE
16 CIA Review – III Part
Lisboa Jul.27 e 28*
Prof. Glenn Sumners, CIA, CPA, CFE
17 CIA Review – IV Part
Lisboa Jul. 28 * Prof. Glenn Sumners, CIA, CPA, CFE
18 Preparação para o exame CIA – I Parte
Lisboa Mar. 14 Francisco Albino, CIA, CCSA, CGAP
19 Preparação para o exame CIA – II Parte Lisboa Mar. 15 Nuno Oliveira, CIA
4
Auditoria Interna Abril/Junho 2011 Nº 43
Nº CURSO LOCAL DATA FORMADOR
Formação para Auditores do Sector Público
20 Auditoria de Instituições Públicas – Preparação para o Exame CGAP
Lisboa A definir Francisco Albino, CIA, CCSA, CGAP
21 Auditoria a Empreitadas de Obras Públicas
Lisboa Nov. 7 e 8 Sara Pestana, CIA Sofia Correia, CIA
22 Auditoria Interna no Sector da Saúde ***
Lisboa Mar.28 e 29
Formação para Auditores do Sector Financeiro
23 Cursos em parceria com o MIS ** Lisboa * * Em língua inglesa. ** Em preparação, com realização a confirmar. *** Curso novo. Nota: As datas indicadas poderão ser alteradas pelo que se sugere o pedido de confirmação por e-mail. ipai@netcabo.pt Eventos a realizar em 2011
VI Fórum de Auditoria Interna (16 de Junho de 2011)
XVIII Conferência Nacional do IPAI (24 de Novembro de 2011)
II Fórum de Auditores do Sector da Saúde
I Fórum de Auditores das Autarquias Locais
Reuniões de Trabalho do Núcleo de Auditores Internos do Sector dos Transportes, Infra-estruturas e Reguladores
Reuniões de Trabalho do Núcleo de Auditores Internos do Sector Financeiro
Reunião de Trabalho do Núcleo de Auditores Internos de Sistemas de Informação
http://www.linkedin.com/in/ipaichapteriia
https://www.facebook.com/ipai.auditoriainternaportugal
http://www.facebook.com/TheInstituteofInternalAuditors
Agenda
5
Auditoria Interna Abril/Junho 2011 Nº 43
Colabore. Envie uma sugestão.
Auditoria interna – que
sucesso?, Joaquim Leite Pinheiro
11
Audire: A auditoria interna numa
economia à deriva, Manuel Marques
Barreiro
14
Auditoria Informática A ferramenta IDEA
para automatizar testes e procedimentos de
análise de dados em auditoria - O IDEA
Script - , Drumond de Freitas
16
(Mau) humor organizacional – um
factor contagiante, Catarina Farinha
18
ACL White Paper- Desenhar e
implementar um framework para
auditoria contínua / monitorização
contínua de controlos, João Revés
20
Não vivemos tempos difíceis, mas
desafiantes- O papel da ISACA na
confiança nas organizações e
profissionais de TI, Bruno Soares
25
ISO 26000 – o início, Mário Parra da
Silva
30
Caneta digital 32
Notícias 35
Novos associados 37
Post_it, Miguel Silva 38
Pesquisa de Institutos de Auditoria
Interna – Europa
39
Propriedade e Administração IPAI – Avenida Duque de Loulé, 5 – 2º B – 1050-085 LISBOA
ipai@netcabo.pt
Contribuinte nº 502 718 714; Telefone/Fax: 213 151 002
FICHA TÉCNICA
Presidente da Direcção: Fátima Geada
Director: Joaquim Leite Pinheiro
Redacção: Manuel Barreiro; Raul Fernandes
Conselho Editorial: Manuel Barreiro, Fátima Geada, Francisco Melo Albino.
Colaboradores nesta edição: Manuel Barreiro, Drumond de
Freitas, Miguel Silva, João Revés, Mário Parra da Silva, Catarina
Farinha, Bruno Soares.
Pré-impressão: IPAI
Impressão e Acabamento: CEM
Ano XIII – Nº 43 – TRIMESTRAL Abril/Junho 2011
TIRAGEM: 1400 exemplares; Registo: DGCS com o nº 123336;
Depósito Legal: 144226/99; Expedição por correio; Grátis
Correspondência: IPAI – Avenida Duque de Loulé, 5 – 2º B – 1050-085 LISBOA Telefone/Fax: 213 151 002
ipairevistaauditoriainterna@hotmail.com
Visite-nos em www.ipai.pt
http://pt-pt.facebook.com/people/Instituto-Auditoria-Interna-Ipai/100001504078987
http://pt.linkedin.com/in/ipaichapteriia
Nota: Os artigos vinculam exclusivamente os seus autores, não reflectindo necessariamente as posições da Direcção e do Conselho Editorial da Revista nem do IPAI. A aceitação de publicação dos artigos na Revista Auditoria Interna do IPAI, implica a autorização para a inserção no sítio do IPAI após a edição da revista impressa.
Foto da capa: JLP
Índice Missão
Promover a partilha do saber e da prática em
auditoria interna, gestão do risco e controlo
interno.
6
Auditoria Interna Abril/Junho 2011 Nº 43
IPAI - Membros Colectivos
http://www.ipai.pt/gca/index.php?id=45
CP
7
Auditoria Interna Abril/Junho 2011 Nº 43
IPAI - Membros Colectivos
8
Auditoria Interna Abril/Junho 2011 Nº 43
IPAI – Parcerias e protocolos
http://www.ipai.pt/gca/index.php?id=116
http://www.pwc.com/pt/pt
http://www.caseware.com/about-us/distributors/Equiconsulte-SA
http://www.cgov.pt/
http://www.universidade-autonoma.pt/index_ual2010.html
http://www.infocontab.com.pt/
http://www.iscad.pt/
9
Auditoria Interna Abril/Junho 2011 Nº 43
IPAI – Parcerias e protocolos
http://www.iscac.pt/portal
http://www.uatlantica.pt/
http://www.isaca-lisbon.org/
www.ssp-sa.com
http://www.egp-upbs.up.pt/
http://www.ordemeconomistas.pt/xportal/xmain?xpid=oe
10
Auditoria Interna Abril/Junho 2011 Nº 43
IPAI – Parcerias e protocolos
http://www.ey.com/PT/EN/Home
http://www.deloitte.com/view/pt_PT/pt/index.htm
http://www.kpmg.com/PT/
11
Auditoria Interna Abril/Junho 2011 Nº 43
Editorial
..
A função auditoria interna desempenha um
papel crucial nas empresas, fornecer valor .
Para esse papel ser coroado de sucesso é
extremamente relevante o desempenho dos
respect ivos profissionais e a consequente
motivação no exercício das funções, que
passa, também, pelo modelo de gestão
implementado e pela adopção do pr incípio da
equidade na respectiva aval iação.
Sem uma at i tude proact iva e empenhada, os
audi tores in ternos não passam de mais um
cent ro de custo a agregar aos restantes, não
fornecendo va lor acc ion is ta, tanto nas
recomendações como na ident i f icação de
d is func ionamentos exis tentes.
Dois factores de sucesso na função audi tor ia
para que haja bom desempenho:
motivação intr ínseca , assoc iada ao gosto e ao
prazer do exerc íc io da função,
e a motivação extrínseca , assoc iada ao modelo
de gestão, aos pr incíp ios jus tos e equi tat ivos
apl icados na aval iação do desempenho e ao
respei to que a empresa tem pelos seus
co laboradores.
Auditoria interna – que sucesso?
Joaquim Leite Pinheiro
“A oportunidade é a fonte de inovação”
Peter F. Drucker
“It takes 20 years to build a reputation and five minutes to ruin it”
Warren Buffet
12
Auditoria Interna Abril/Junho 2011 Nº 43
Se exis t i r uma lóg ica de acei tação de que os
audi tores in ternos são os “homens do
Pres idente” e que fornecem valor à empresa,
teremos bons pr incíp ios indutores de sucesso e
do exerc íc io da função com desempenho
adequado.
Pr incíp io chave essenc ia l “eu gosto do que faço,
faço com honest idade e va lore s ét icos, e se i
fazer bem”, com cont r ibutos dec is ivos para a
busca da excelênc ia, fornecendo va lor
acc ion is ta, va lor c l iente, va lor empregado e
enquadrado no desenvolv imento sustentável da
empresa.
Esquemat icamente a audi tor ia interna tem um
conjunto de re lac ionamentos na empresa, mas
deve ter como pedra bas i lar : ao revelar os
d is func ionamentos exis tentes, o audi tor tem por
obr igação de apresentar uma recomendação
para resolver a s i tuação.
Não chega apresentar o problema e af i rmar
“ resolvam -no” .
O gestor operac ional não deve ser
sobrecarregado com mais uma “mala de
problemas”, t raz ida por um e lemento que acha
que é o “melhor” . A complexidade da empresa e
os re lac ionamentos exis tentes, devem obr igar o
audi tor a ter uma at i tude asser t iva e proact iva,
com todos os e lementos com quem se re lac iona,
sem, no entanto, perder a sua capac idade cr í t ica
e a sua independência face aos operac ionais .
Não deve o audi tor t ransformar a função
audi tor ia in terna numa barre i ra ent re os
e lementos de “co lar inho branco” e os outros .
Cada vez mais a impor tânc ia da audi tor ia
in terna, passa por antecipar soluções e não
meramente constatar erros ou deficiências de
controlo, mas por ident i f icar as melhores
prát icas e ajudar a que possam ser
implementadas na empresa, numa lógica de
responsabi l idade part i lhada.
No entanto, a inda exis tem audi tores com uma
v isão “clássica ” da função e não adoptam uma
at i tude de proact iv idade, candura e fa i r -p lay .
Numa lóg ica de mudança o audi tor dever
perceber um conjunto de ide ias chave, com o
seguinte destaque:
1 . Os resul tados não pagam div idendos nem
a remuneração;
2 . Um custo deve ser assumido v isando a
geração de um provei to;
3 . Um provei to tem de ser gerado em função
de um custo;
4 . Um processo/subprocesso /operação tem
assoc iado um cont ro lo;
5 . Um cont ro lo tem assoc iado um s is tema
de in formação;
6 . O s is tema de in formação tem cont ro los
embut idos;
7 . Não exis te processo sem s is tema de
in formação assoc iado;
8 . Um s is tema de in formação prec isa de
in f ra-est rutura tecnológica;
9 . Uma est rutura prec isa de recursos para
efectuar a gestão;
10. Não exis tem s is temas per fe i tos ;
11. As empresas prec isam de uma cul tura
mais for te de cont ro lo para obv iar
problemas ocorr idos com empresas
conhec idas;
12. Um processo/cont ro lo tem sempre
impacto f inancei ro, a níve l de
custos/provei tos;
13. Uma recomendação deve te r em conta o
custo-benef íc io inerente à sua
implementação;
Editorial
13
Auditoria Interna Abril/Junho 2011 Nº 43
14. A audi tor ia in terna deve ser uma i lha de
excelênc ia na empresa;
15. A recomendação ident i f icada deve ser
par t i lhada;
16. O audi tor deve ser c laramente in te l igente
(perceber a d i ferença ent re “um copo
meio cheio ou um copo meio vaz io” ,
sendo, matemat icamente, iguais) ;
17. O audi tor in terno deve saber formular –
QQCOP:
O quê? Quando? Como? Onde? Porquê?
18. O audi tor in terno deve saber ut i l izar a
est ratég ia de TDA-Top_Down Approach;
19. O audi tor in terno deve perceber que
ident i f icar um problema é só ½ solução; a
out ra ½ passa por ident i f icar a
recomendação e saber vendê - la com
“Low prof i le” ;
20. O audi tor in terno deve exercer a função
com um prof iss ional ismo i r repreensíve l ,
candura, é t ica e uma postura de
ent rea juda, sem perder a sua capacidade
de independência ;
21. O audi tor in terno deve ter a capac idade
de in ter ior izar novos concei tos ou
evolução conceptual de va lores – p .e .
f ide l izar c l ientes impl ica que o c l iente
recompre s is temat icamente, ou facturar
sem cobrar não serve;
22. O audi tor in terno não deve ser um
“sleeping partner”;
23. O audi tor interno deve saber t rabalhar em
equipa (Drucker d iz que, no fu turo, o
melhor modelo será o de “quarteto de
cordas” , já que o modelo “orquest ra” é de
mais d i f íc i l implementação) ;
24. O audi tor in terno deve reconhecer os
e lementos crí t icos da função :
Pr incíp io da independência.
Par t i lha e envolv imento na busca das
so luções com o audi tado, sem colocar
em r isco a independência, a
in tegr idade e a ét ica.
Publ ic i tar adequada e opor tunamente
os resul tados.
Aval iar o sucesso de implementações
das recomendações.
Perceber o concei to de mater ia l idade.
Perceber a est ratég ia da empresa e
p lanear as acções no sent ido de
fornecer va lor .
Perceber os pr incíp ios de boa
governação (Corporate Governance) .
Neste conjun to de ide ias e de pensamentos
est ruturantes, os auditores internos podem
contr ibuir decisivamente para a mudança da
cultura de controlo, para a implementação de
boas prát icas e para o desenvolvimento
sustentável da empresa onde se inserem.
o
Editorial
14
Auditoria Interna Abril/Junho 2011 Nº 43
Audire
Não é a primeira vez que na Revista do IPAI temos
questionado qual deve ser o estatuto e o papel da Auditoria
Interna em situações invulgares do crescimento da economia
e o seu impacto nas organizações empresariais e nas
instituições, levando em linha de conta as condicionantes
que, nestas situações, dificultam o desempenho das
administrações.
Neste momento, dada a situação deveras crítica que estamos
atravessando, com o seu cortejo de incomodidades que
transporta consigo, interessará mais uma vez, fazermos uma
reflexão sobre este fenómeno.
Procurar levar os responsáveis pela tomada de decisão, ao
mais alto nível nas organizações e instituições, a elegerem a
Auditoria Interna, colocando-a no patamar onde a sua
visibilidade os possa ajudar, como aliada preferencial, é o
nosso propósito. Se assim for, a Auditoria Interna contribuirá,
certamente, para minimizar os problemas que nos estão
afectando.
Vivemos, não de memória (histórica, bem entendido) mas de
mitos. Nós, os portugueses, temos alguma dificuldade em
nos interrogarmos e, sobretudo, mostramos sempre alguma
relutância em olhar para o passado.
Estamos ancorados, algures, em porto que julgamos seguro
e é desse ancoradouro, donde teimamos em não sair, que
vemos o mundo. Visão muito peculiar, feita tipicamente à
nossa maneira, como não podia deixar de ser. É este modo
de encarar o mundo e a vida que nos deita a perder.
Por outro lado, há em nós uma tendência nata para sublimar
e denegar a realidade. Esta atitude bárbara, justifica aquilo
que encontramos a nível comportamental de alguns
responsáveis pela governação do nosso mundo empresarial.
Ao longo da nossa velha História, sempre acreditámos no
transcendente e sempre através dele procurámos resolver os
problemas, com o recurso a uma espécie de magia.
Carregamos este comportamento mítico para a realidade do
nosso dia-a-dia. E, o que vemos?
Os responsáveis pela condução dos negócios nas
organizações empresariais, muito mais preocupados com os
objectivos imediatos, agindo por instinto e sem objectividade,
numa permanente fuga a reflexões que as situações
imporiam, acabando enredados, quantas vezes, em grandes
trapalhadas, despendendo esforços muito superiores aos que
uma racionalidade séria evitaria.
A AUDITORIA INTERNA NUMA
ECONOMIA À DERIVA
Manuel Marques Barreiro
Consultor e Presidente do Conselho Geral do IPAI
Os responsáveis pela tomada de decisão, ao mais alto nível nas organizações e instituições,
a elegerem a Auditoria Interna, colocando-a no patamar onde a sua visibilidade os possa
ajudar, como aliada preferencial, é o nosso propósito.
15
Auditoria Interna Abril/Junho 2011 Nº 43
Não estamos a inventar nada, nem sequer precisamos!
O que hoje dispomos, como ajuda para as situações mais
críticas que vão acontecendo como uma inevitabilidade, está
mais que testado.
Por conseguinte, há que fugir do improviso, (o que nem
sempre acontece) nem tampouco socorrermo-nos do semi-
amadorismo (o que ocorre com alguma frequência).
Quando entramos na fase do sem remédio, atribuímos as
culpas do fracasso, a entidades supostamente inimputáveis,
ou a qualquer coisa inacessível, esotérica.
As crises, qualquer que seja a sua natureza ou alcance,
geram sempre tempos de aflição, quando não mesmo de
pânico, pela incerteza que consigo transportam.
No entanto, é nestas situações que deve passar a ser
prestada ainda uma maior atenção às questões que se
prendem a variáveis que são inteiramente da
responsabilidade de quem é responsável em última instância,
pelo governo da sociedade. Entroncam aqui alguns princípios
que reputamos como fundamentais, tais como: controlo
interno, segurança de negócios, gestão do risco, análise e
avaliação do risco.
E porquê? Naturalmente, porque entre coisas (consideradas
eufemisticamente mais relevantes) existe a tendência para
precipitar a tomada de decisão. A urgência da resolução de
situações anómalas, sabemos isso muito bem, rouba o tempo
necessário ao exame reflexivo e, consequentemente à
prudência que sempre se impõe. Então, em vez de uma
robusta contribuição para a resolução dos problemas, estes
se avolumam ainda mais, podendo criar efeito de bola de
neve e aproximar as empresas da extinção. Facto que,
infelizmente vamos constatando.
Poderá a Auditoria Interna, nesta perspectiva, contribuir à sua
maneira, para evitar que as situações de natureza gravosa,
ocorram? Certamente que sim. É a resposta que se impõe.
Tudo está implícito na sua definição, muito bem caracterizada
pelo IIA.
Em situações como a que estamos vivendo, com problemas
económicos e sociais tão abrangentes e complicados e, nem
sequer ainda inteiramente identificados, pode a Auditoria
Interna aumentar o seu protagonismo, tornando-se uma
aliada preferencial de quem decide ao mais alto nível na
organização.
Contudo não incluir no processo a preocupação (ainda
reinante) de ela ter que andar a vasculhar coisas passadas,
sem interesse, sabendo-se de antemão que, por sistema, tais
atitudes não aportam qualquer valor acrescentado, mas
ganham, isso sim, alguma descredibilização. Esta anomalia
ainda hoje tem lugar. Infelizmente.
Em vez disso, é preciso dotá-la dos meios técnicos e
humanos, dar-lhe a importância devida, (nunca é de mais
dizê-lo) para que, uma vez considerada como parceiro
estratégico, tal como defendemos, passe a ser
essencialmente proactiva.
Torna-se evidente que esta chamada de atenção não se
dirige ao auditor enquanto tal, visto que todos conhecem os
seus desígnios. A sequência normal, nesta análise, entronca
no desempenho da sua actividade com a eficiência e a
eficácia conhecidas. Por esse facto, estas considerações
dirigem-se basicamente para quem decide. Para quem tem a
responsabilidade pelo cumprimento dos objectivos, em suma,
quem tem que responder pelos resultados perante terceiros.
Ora, são pois os responsáveis pela decisão que terão de
levar em linha de conta a necessidade de adquirirem, motu
próprio, os conhecimentos essenciais que devem possuir,
visando a importância a dar à Auditoria Interna neste
contexto.
Não deixa de ser curioso ouvir, como tem sido recentemente
propalado, vindo de todos os quadrantes políticos,
principalmente do lado da oposição a este governo, o
clamoroso grito: “É preciso mandar fazer uma auditoria!!!”
Aqui, curiosamente, este apelo quase sistemático à auditoria,
certamente que, na nossa óptica, não poderá consubstanciar
a tradução que gostaríamos tivesse numa situação tão
precária da economia portuguesa nesta deriva a que
assistimos.
Trata-se, no caso vertente, dado os cenários em jogo, de
pura adulteração do conceito ou definição de auditoria.
Antes não fosse!
O que vemos aqui, mais uma vez, é a angústia a entroncar a
tal tendência para nos refugiarmos nos mitos, tentando dessa
forma resolver todos os males que nos afligem.
Será difícil mudar? Certamente!
Contudo, não vislumbramos outra saída.
o
Colabore com o IPAI. Diga-nos a sua opinião para ipai@netcabo.pt
A Auditoria interna numa economia à deriva
16
Auditoria Interna Abril/Junho 2011 Nº 43
Auditoria de Sistemas
IDEAScript é uma linguagem de programação, similar ao
Visual Basic for Applications™ (VBA). É uma ferramenta
de programação, embebida no IDEA, que permite aos
utilizadores IDEA desenvolverem de forma simples e
rápida as suas próprias rotinas ou procedimentos –
designados no IDEA por scripts - para executarem, os testes
e análises sobre os dados a serem auditados de forma
automática e repetitiva.
Para quem já tiver conhecimentos sobre VBA™, utilizar o
IDEAScript é muito fácil. Como outras linguagens de
programação, o IDEAScript só pode ser usado dentro do
programa IDEA ou recorrendo a uma ferramenta de
desenvolvimento de programação de alto nível tal como
Visual Basic™ ou C++™.
Quando um utilizador do IDEAScript, está programando um
teste ou análise está na realidade a dizer ao computador o
que quer este execute repetidamente em momentos futuros.
Porque os computadores não falam línguas padrão como
inglês, francês ou português, temos que usar um código de
programação (uma lista de instruções ou de comandos)
apoiados numa terminologia (linguagem) que o computador
entenda. Felizmente, o vocabulário do IDEAScript tem muito
em comum com o inglês que conhecemos tornando-se,
assim, mais fácil compreender o que os comandos ou o
código de programação querem significar.
As ferramentas de programação existentes no IDEA
eliminam a necessidade do utilizador manualmente ter de
digitar a grande maioria das linhas de código de
programação. O gravador de IDEAScript pode ser usado
para gravar a sequência das etapas que serão a estrutura
do teste, análise, procedimento ou aplicação.
O editor de “janelas” de diálogo do IDEA ajudam a construir
as “janelas” de diálogo adequadas e menus para controlar a
aplicação e eventualmente recolher dos utilizadores IDEA os
dados necessários ao seu normal funcionamento.
Porém, o IDEAScript não pode prever todos os detalhes que
o utilizador pretende incorporar na sua macro pelo que o
utilizador poderá de ter de escrever ou editar algumas das
linhas de código geradas automaticamente durante a
gravação do teste ou análise.
Apresentamos algumas situações onde a utilização do
IDEAScript é muito vantajosa em auditoria durante a fase da
análise dos dados:
Automatização de tarefas repetitivas com o IDEA
Existem diversas situações onde uma série de testes pode
ser repetida. O mais comum é quando um ficheiro ou
ficheiros de dados são recebidas com regularidade da
entidade auditada e é necessário realizar uma bateria de
testes padrão sobre aqueles. Nestes casos uma macro pode
ser guardada e executada sempre que o ficheiro ou ficheiros
são recebidos.
É também útil quando uma análise ou verificação tem de ser
repetida em várias localizações (por exemplo: filiais) ou onde
o mesmo sistema necessita ser examinado em vários locais
ou clientes (por exemplo: um programa de contabilidade
standard).
Análise de dados em auditoria
A ferramenta IDEA para automatizar testes e
procedimentos de análise de dados em auditoria
O IDEA Script
Drumond de Freitas – Consultor EQUICONSULTE, SA
17
Auditoria Interna Abril/Junho 2011 Nº 43
Nestes casos é geralmente melhor construir macros com um
carácter mais geral introduzindo parâmetros tais como
nomes de ficheiros, datas e valores limites de excepção.
Criar um sistema de auditoria automatizado com o IDEA
Frequentemente existe a necessidade de se criar uma
selecção particular de testes, análises e opções requeridos
por um conjunto determinado de utilizadores. Por exemplo
Revisores de Contas, Auditores Internos, Analistas,
Inspectores, Contabilistas, ou quem quer que necessite de
analisar dados. Estas opções podem ser agrupadas numa
janela de diálogo de fácil selecção associando a cada uma
delas uma série das tarefas a realizar pelo IDEAScript.
Utilizar software que aceita a tecnologia OLE
Algumas tarefas tais como circularizações ou cenários “what
if” são melhores executados com programas de
processamento de texto ou folhas de cálculo. Usando a
tecnologia OLE (Microsoft‟s Object Link Embedding) é
possível controlar outros programas que suportem esta
tecnologia OLE a partir do IDEA. O outro programa é gerado
como um objecto dentro do IDEAScript e a linguagem de
scripting desse outro programa (por exemplo. Visual Basic
for Applications™ ou LotusScript™) é usado para realizar as
tarefas requeridas.
Criar testes especiais ou novas funções com o IDEA
Poderá haver a necessidade de executar alguns testes ou
funções particulares muito úteis em situações tais como
verificar a validade de um determinado código identificador
de registo ou documento, verificar o cálculo de um imposto
ou realizar uma verificação cruzada de listas de endereços
ou números de contribuintes. Nestes casos a existência de
um script que contem a função permite a realização do teste
executando-a sempre que necessário de forma rápida e
simples. A função pode ser criada utilizando o IDEAScript
gerando um script autónomo que pode ser executado pelo
utilizador quando necessário ou pode ser um procedimento
copiado e colado noutras scripts para utilização no interior
destes.
Um exemplo de um script para executar um teste com uma
finalidade especial é, por exemplo, o cálculo do “Coeficiente
de Variância”. O coeficiente da variância é uma função que
não existe no IDEA standard. No entanto, pode-se calcular
usando a informação derivada das estatísticas dos campos
existentes numa base de dados IDEA e guardá-la num
script. Este script executará o cálculo para um campo
numérico seleccionado pelo utilizador e escreve então o
resultado num ficheiro de resultado para permitir voltar a ser
acedido pelo utilizador sempre que necessário.
Outro exemplo poderá ser um script para validar o número
de identificação fiscal do sistema tributário português, função
que não existe igualmente no IDEA standard.
Importação de Ficheiros para o IDEA
A grande maioria dos ficheiros a auditar pode ser lida
directamente no IDEA usando o assistente da importação.
No entanto, se não for este o caso pode ser necessário
recorrer a equipa especializada, normalmente IT, para
produzir um tipo de ficheiro que o IDEA possa ler
directamente. Porém, em algumas situações não há
nenhuma alternativa desta natureza e o ficheiro encontra-se
num formato complexo que definitivamente não pode ser lido
directamente no IDEA. Nestes casos o IDEAScript pode ser
usado para importar estes tipos de ficheiro. Um script do
IDEA pode mesmo ser combinado com uma macro de
edição do texto criada no MS Word ou no Excel para permitir
aos utilizadores ultrapassarem as dificuldades e efectuar o
processo de importação através de um simples script.
Conclusão:
A automatização de tarefas baseadas em ferramentas de análise de
dados tais como o IDEA, utilizando o IDEAScript, introduz
enormes benefícios na actividade diária do auditor, inspector ou
analista dos quais destacamos os seguintes:
Maior rapidez na execução dos teste construídos sobre scripts,
Os resultados obtidos irão conter necessariamente menos erros,
Maior consistência na realização das análises sobre os
dados a auditar,
Maior interesse na execução da tarefa por parte do
auditor porque estará focado numa única operação,
Não haverá a necessidade de recordar todos os passos
necessários para executar um determinado teste porque
estes estarão registados no script e serão executados
sem falhas,
Maior facilidade em justificar acções tomadas tendo
como base a consistência dos scripts utilizados.
A ferramenta IDEA para automatizar testes e procedimentos de análise de dados em auditoria - O IDEA Script
18
Auditoria Interna Abril/Junho 2011 Nº 43
Artigos
Na actualidade, um dos comportamentos mais
comuns e desgastantes entre as pessoas é o
mau humor. Quando uma pessoa está irritada,
todos à sua volta vão adquirir esta postura
negativa.
Emoções como o mau humor, tristeza ou ansiedade
são normais. Mas a diferença está na forma como
lidamos com elas. Todos já passámos por algo
semelhante: a caminho do trabalho, ficamos presos no
trânsito; enlatados no metro; chegamos tarde e,
adicionalmente, de péssimo humor. Daí em diante, o
dia só piora. O facto é que todos temos manhãs em
que nada parece bater certo. Mas será que o mau
humor tem realmente consequências no resto do dia,
influenciando negativamente a produtividade?
Cientificamente, sabe-se que tanto o bom, como o mau
humor, afectam a produtividade, mas que a boa
disposição tem um efeito mais poderoso.
De igual modo, o humor com que alguém chega ao
local de trabalho tem um efeito mais forte sobre o seu
ânimo no decorrer do dia, e sobre o desempenho no
trabalho, do que as possíveis variações causadas por
eventos no local de trabalho. Há pesquisas que têm
demonstrando que a maior dificuldade dos headhunters
é a de encontrar profissionais bem-dispostos.
O que considero realmente interessante nestas
descobertas é que o humor que levamos para o
trabalho influencia de forma significativa os resultados
obtidos. Assim, destacam-se aquelas pessoas que
fazem um excelente trabalho, isolando as más
influências e mantendo um espírito positivo.
(MAU) HUMOR ORGANIZACIONAL
UM FACTOR CONTAGIANTE
Catarina Farinha, Researcher Hays
Passamos, na maioria dos casos, mais de 10 horas por dia no trabalho, durante
pelo menos 35 anos das nossas vidas e com 365 dias de planos concretos de
cumprimento de objectivos. Estamos exaustos e queremos mais.
Agora, respire fundo e sorria.
19
Auditoria Interna Abril/Junho 2011 Nº 43
Devemos aprender a controlar a irritabilidade porque,
para além de ser altamente contagiosa, pode ter efeitos
devastadores na produtividade de toda uma equipa.
Mas o que fazer para aqueles casos em que o mau
humor se torna persistente? Para que não nos
tornemos num mal-humorado crónico, devemos pelo
menos:
Deixar de ser do contra – em vez de colocar
constantemente em questão cada situação e as
atitudes de quem nos rodeia, tentemos ser mais
tolerantes;
Assumir um compromisso – acordar que não nos
vamos aborrecer com nada durante duas horas.
Vencida a primeira etapa, devemos ir renovando esse
acordo regularmente e cada vez será mais fácil
ficarmos alheios às pequenas irritações do dia-a-dia;
Espalhar um sorriso – não custa nada retribuir um
cumprimento com simpatia;
Auto controlo - descarregar a raiva nos outros ou
passar um dia inteiro de “cara feia” para o mundo não
resolver nada.
Por vezes, é mesmo necessário abrandar o ritmo, pois
o permanecer muitas horas na empresa a dar resposta
às constantes solicitações diárias é factor suficiente
para quebrar a boa disposição. É necessário
desacelerar e aligeirar a tensão habitual.
Pela minha experiência, diria que todos temos direito a
um dia “não”. Mas só um, senão é sinal que deve fazer
qualquer coisa: vá à rua e fale momentaneamente com
um estranho sobre amizade à primeira vista; dance
sozinho(a) na sua sala de trabalho; leia três notícias
aborrecidas seguidas de uma interessantíssima; ligue
para alguém aborrecido e diga-lhe que afinal até é
simpático.
Algumas multinacionais já apostam fortemente em
políticas de recursos humanos baseadas em práticas
que promovem equipas inovadoras, produtivas e
enérgicas. Estas empresas têm normalmente índices
de bem-estar elevado e promovem programas que
estimulam os colaboradores, o que resulta de forma
comprovada numa grande afiliação à empresa,
redução do absentismo e turnover e uma clara
predisposição para fazer mais e melhor. Estes
conceitos adoptados assentam na ideia de que os
colaboradores que dispõem de um bom ambiente de
trabalho, com índices de bem-estar elevados, são mais
felizes e produzem mais.
Outra eficaz ferramenta que deve ser utilizada é
delegar e definir prioridades, porque ganhamos tempo.
Tempo para fazer nada, tempo para fazer tudo, tempo
para trabalho voluntário; para conhecer outras
pessoas, para inovar. E, principalmente, para descobrir
que podemos ser organizados e profissionais sem
deixar de sorrir.
Passamos, na maioria dos casos, mais de 10 horas
por dia no trabalho, durante pelo menos 35 anos
das nossas vidas e com 365 dias de planos
concretos de cumprimento de objectivos. Estamos
exaustos e queremos mais.
Agora, respire fundo e sorria.
o
http://www.hays.
pt/index.aspx
(Mau) Humor organizacional – um factor estimulante
20
Auditoria Interna Abril/Junho 2011 Nº 43
O tema da auditoria contínua e monitorização contínua de controlos não é uma novidade.
No entanto, são poucas as organizações que efectivamente adoptaram e implementaram
com sucesso estes conceitos.
O tema da auditoria contínua e monitorização contínua de
controlos não é uma novidade. No entanto, são poucas as
organizações que efectivamente adoptaram e
implementaram com sucesso estes conceitos. Por
dificuldades processuais/organizacionais? Por dificuldades
tecnológicas? Ou ainda por questões orçamentais?
Entendemos útil partilhar um dos caminhos possíveis para
levar a cabo com sucesso este desafio. Neste caso,
partilhamos, o apresentado no GTAG (Global Technology
Audit Guide) do Institute of Internal Auditors de Maio de
2005, pelo Vice-presidente de Professional Services da ACL,
John Verver.
Introdução
Assegurar a eficácia dos sistemas de controlo interno é uma
componente chave do processo de auditoria. Devem ser
consideradas duas fases principais: garantir que foram
desenhados os controlos adequados, organizados num
sistema e testar a eficácia desses controlos num ambiente
real, com transacções reais.
Durante os últimos 10 anos, a profissão de auditoria aceitou
de forma consensual a tecnologia de data analysis como
uma ferramenta fundamental para apoiar ambas as fases do
processo de validação do controlo interno. Esta tecnologia é
usada para examinar transacções e detectar quer indicações
de eventos que ocorrem sem qualquer controlo associado
quer transacções que parecem não cumprir com os
controlos implementados.
A tecnologia de data analysis também tem um papel a
desempenhar para testar os controlos cuja eficácia não é
directamente evidenciada pelos dados transaccionais.
ACL White Paper
Desenhar e implementar um framework para auditoria
contínua / monitorização contínua de controlos
SSP, SA, authorised channel distribution partner da ACL para Portugal
João Revés - Partner
joão.reves@ssp-sa.com
www.ssp-sa.com
21
Auditoria Interna Abril/Junho 2011 Nº 43
Por exemplo, as tabelas de direitos de acesso e autorização
de um sistema ERP (Enterprise Resource Planning) podem
ser analisados para determinar se existem falhas na política
de segregação de funções adoptada.
O processo de auditoria tradicional baseia-se muitas vezes
numa amostra representativa dos eventos, ao invés de
validar o universo de dados. O processo de auditoria,
geralmente, acontece um certo período de tempo após as
transacções de negócio terem ocorrido. Como resultado, os
problemas no controlo têm uma maior oportunidade de
ocorrer, aumentar e de terem um impacto negativo
significativo no negócio. Em termos de maximização da
eficácia do processo de auditoria e controlo, esta abordagem
tradicional tem claras limitações.
A forma de ultrapassar as limitações do processo de
auditoria e controlo identificadas, pode ser endereçada
através da implementação de um modelo de monitorização e
auditoria contínua de transacções. As etapas chave de um
modelo com estas características (ver diagrama abaixo),
incluem:
Identificar a regra de controlo para cada ponto de
controlo interno num determinado processo de
negócio, de acordo com o framework adoptado
(como por exemplo, o COSO)
Definir os testes que, por meio tecnologia de data
analysis, irão validar cada regra de controlo
Estabelecer testes que irão identificar transacções
suspeitas através de técnicas de profiling de
transacções
Testar todas as transacções numa base regular e
tempestiva – de acordo com a natureza dos testes,
poderá ser diariamente
Identificar todas as transacções que falham nos
testes e notificar os responsáveis, de acordo com a
prioridade das excepções
Investigar todas as excepções e quando
apropriado:
o Corrigir as transacções
o Corrigir a falha no sistema de controlo.
ACL White Paper - Desenhar e implementar um framework para auditoria contínua / monitorização contínua de controlos
22
Auditoria Interna Abril/Junho 2011 Nº 43
Os principais benefícios deste modelo são a tempestividade
da notificação para a Gestão das transacções irregulares e a
independência do processo.
Pode-se argumentar que este modelo é redundante num
ambiente em que todas as transacções são processadas
através de um sistema ERP, onde todos os controlos
necessários tenham sido implementados.
Porém, na prática, não é comum as implementações de
sistemas ERP incluírem todos os potenciais mecanismos de
controlo interno existentes, de forma eficaz e abrangente,
por não ser esse o driver dessas implementações.
Mesmo nos casos em que os controlos são inicialmente bem
implementados, nenhum ERP (ou qualquer outro sistema)
pode assegurar que ao longo do tempo, com as alterações
nos processos induzidas pela contínua mudança que
caracteriza a realidade empresarial, esses controlos manter-
se-ão adequados e eficazes.
É frequentes os utilizadores contornarem os controlos de
negócio de modo a simplificar e tornar mais rápidas as
transacções em que participam.
Existem também certos tipos de controlos que simplesmente
não são passíveis de ser implementados, sob pena de
afectar a normal actividade da empresa ou organização.
Inviabilizada a implementação de controlos preventivos, leva
à implementação de controlos detectivos.
Uma das maiores vantagens de um modelo que, monitoriza
dados transaccionais de forma independente é precisamente
isso - a sua independência dos sistemas operacionais e
financeiros.
Este facto complementa e fortalece os sistemas de gestão e
controlo existentes e fornece aos auditores um mecanismo a
que podem recorrer e confiar para suportar as suas
actividades de revisão e validação.
Idealmente, um processo de monitorização contínua
independente acontece num período de tempo que impede a
conclusão de qualquer operação suspeita.
Na prática, isso só é alcançado quando verificado um
conjunto de circunstâncias. A decisão sobre a frequência do
processo de monitorização depende de uma variedade de
factores, incluindo o grau de risco que a falha específica de
cada controlo representa para o negócio, bem como as
tecnologias dos sistemas aplicacionais e dados envolvidos.
A generalidade dos objectivos dos modelos de
monitorização contínua pode ser alcançada com testes de
frequência diária.
O modelo de monitorização contínua pode suportar
simultaneamente os objectivos tanto da Gestão como da
auditoria. A Gestão é responsável por implementar e manter
sistemas de controlo eficazes. Um sistema de monitorização
contínua proporciona à Gestão um maior grau de confiança
quanto à eficácia do sistema de controlo interno e à
capacidade de responder de forma tempestiva a eventuais
deficiências que possam surgir.
Os auditores internos e externos, têm a responsabilidade de
avaliar se a Gestão tem realizado com sucesso as suas
responsabilidades de controlo.
Na medida em que um sistema de monitorização contínua é
parte integrante de um framework de controlo interno, os
auditores devem validar a eficácia do próprio sistema de
monitorização contínua.
Tendo feito isso, os auditores podem recorrer aos ouputs
desse sistema para avaliar a eficácia do sistema de controlo
interno. A equipa de auditoria deve também validar as
acções que foram tomadas para analisar e, caso se
justifique, corrigir as excepções detectadas.
Os principais requisitos funcionais de um sistema de
monitorização contínua incluem a capacidade de:
Aceder e normalizar os dados heterogéneos
provenientes de diferentes sistemas da empresa ou
organização
Realizar uma ampla gama de testes concebidos
para avaliar a eficácia de diversos pontos de
controlo
Alterar os parâmetros utilizados nos testes
Testar os dados transaccionais e reportar os
resultados em tempo útil
Processar grandes volumes de transacções sem
afectar o desempenho dos sistemas operacionais
Gerir as notificações de alerta
Acesso seguro ao sistema de monitorização
contínua
Consultar e gerir os resultados.
ACL White Paper - Desenhar e implementar um framework para auditoria contínua / monitorização contínua de controlos
23
Auditoria Interna Abril/Junho 2011 Nº 43
O objectivo da implementação de um sistema de
monitorização contínua de controlos deverá ser, em última
análise, submeter todas as operações da empresa ao
sistema.
Na prática, a implementação destes sistemas são melhor
sucedidas, quando o projecto é iniciado pelas áreas cujas
excepções detectadas são susceptíveis de proporcionar
maior e mais rápido retorno.
Em muitas organizações, isto inclui todos os principais
processos relacionados com despesas - como compras,
pagamentos e processamento de salários - bem como
gestão de stocks, facturação / billing e accounts receivables.
Os desafios mais relevantes com que as organizações se
deparam na implementação de um sistema de monitorização
contínua incluem:
Obter acesso a todos os dados pertinentes e em
tempo útil
Evitar o impacto no desempenho de sistemas
operacionais
Desenhar o teste capaz de detectar de forma eficaz
uma excepção ao ponto de controlo
Identificar o momento (dia e hora) ideal para
executar o processo monitorização (de cada um
dos testes)
Compreender a natureza dos testes aos controlos
durante a investigação das excepções identificadas
Quantificar a exposição total aos riscos identificada
durante o processo de monitorização
Optimizar os resultados obtidos. Isto é, “calibrar” o
sistema de forma a produzir um equilíbrio razoável
minimizando os falsos positivos, mantendo uma
vigilância apertada sobre as transacções do
negócio
Garantir que o controlo e redução dos riscos a que
a organização está exposta compensam o custo do
processo de análise e revisão de excepções
Desenvolver um mecanismo de scoring com
critérios de ponderação adequados à correcta
priorização das excepções
Quando implementados de forma eficaz, os benefícios do
sistema de monitorização contínua, superam os custos.
Geralmente, estes benefícios são de duas ordens:
Primeiro, bons controlos beneficiam directamente a
empresa ao reduzir os casos de erro, fraude e ineficiência.
Em segundo lugar, a monitorização de controlos é uma
poderosa ferramenta que suporta e facilita a conformidade
com o cada vez mais complexo e exigente ambiente
regulador nos diversos sectores de actividade.
Existe também uma razão de negócio mais pragmática que
justifica a implementação de um modelo de monitorização
contínua de controlos na maioria das organizações.
Ao considerar qualquer estrutura de controlo interno, a
organização deve avaliar o custo da implementação do
controle versus o custo do “não controlo”.
O objectivo é manter o equilíbrio entre, o custo da
implementação e manutenção de controlos e um nível de
controlo aceitável. Como o gráfico abaixo demonstra, um
nível de 100% de confiança sobre os controlos é
inaceitavelmente dispendioso (para além de ser muito
discutível a sua exequibilidade).
A abordagem ao controlo e processos de auditoria
tradicionais, assegura um nível de confiança muito longe dos
100% e totalmente inadequado e inaceitável para os
accionistas e reguladores em particular e para todos os
stakeholders em geral.
ACL White Paper - Desenhar e implementar um framework para auditoria contínua / monitorização contínua de controlos
24
Auditoria Interna Abril/Junho 2011 Nº 43
Em especial no actual ambiente económico e político, onde
as fraudes e a ausência de gestão de risco (e até da sua
compreensão ou percepção) tem levado a inúmeros
escândalos e falências financeiras.
No entanto, a implementação de um sistema de
monitorização contínua desloca efectivamente o ponto de
equilíbrio.
O incremento do nível de confiança sobre os controlos é
muito superior ao aumento dos custos (ver ROI da
monitorização contínua de controlos no gráfico abaixo).
Para além de proporcionar um aumento do nível de
confiança nos controlos, o sistema de monitorização
contínua, normalmente, garante um retorno financeiro
positivo imediato, ao detectar rapidamente despesas
ilegítimas e falhas de facturação (billing).
Como os problemas são descobertos mais cedo, a
probabilidade de corrigir os erros e recuperar as
perdas potenciais é muito maior. Pela mesma
razão, os pequenos problemas podem ser
impedidos de se transformarem em grandes
problemas.
Ao adoptar um modelo de análise transaccional para
auditoria contínua / monitorização contínua de controlos, os
auditores podem avaliar a eficácia dos controlos com base
nos dados e transacções reais.
Um nível adicional de garantia pode ser alcançado testando
certos tipos de controlos de Sistemas de Informação.
Estes controlos são geralmente definidos de acordo com um
framework de controlo de sistemas de informação como o IT
Governance Institute’s Control Objectives for Information and
Related Technology (COBIT).
Estes controlos incluem, por exemplo, os direitos acesso e
autorização dos sistemas aplicacionais que asseguram a
segregação de funções, assim como os parâmetros de
configuração dos sistemas ERP.
O conceito de auditoria contínua / monitorização contínua de
controlos não é novo para a profissão de auditoria interna.
No entanto, em muitas das organizações onde o conceito
tem sido posto em prática, foi-o com um âmbito limitado,
envolvendo testes automatizados de poucos controlos de
forma recorrente.
A oportunidade com que a profissão se depara agora, é
implementar a auditoria contínua de uma forma abrangente
em todos os processos de negócio relevantes.
As razões para o fazer são cada vez mais diversificadas e
prementes.
Por exemplo, é difícil imaginar como as organizações
que estão sujeitas a regulamentações pesadas e
exaustivas (como as do sector financeiro ou as
impostas às empresas cotadas), conseguem assegurar
a sua conformidade e realizar uma avaliação eficaz e
eficiente do sistema de controlo interno, sem
implementarem um sistema de monitorização contínua
de controlos.
o
ACL White Paper - Desenhar e implementar um framework para auditoria contínua / monitorização contínua de controlos
25
Auditoria Interna Abril/Junho 2011 Nº 43
Introdução1
Um otimista inveterado diria que: 1) não vivemos tempos
difíceis, mas desafiantes; 2) a evolução das organizações
em geral - e das suas áreas de Tecnologias de Informação
(TI) em particular - não está suspensa, apenas se está na
expetativa e a refletir; 3) não existem desinvestimentos
generalizados - mas sim otimização de recursos; e 4) a
formação e capacitação dos recursos humanos não deixou
de ser prioridade, só se procura que seja mais efetiva.
Ainda que seja uma visão minimalista do contexto, cumpre o
desafio de refletirmos sobre a importância crescente do
factor Confiança no contexto actual e a relevância de 3
pilares da visão da ISACA na resposta a esse desafio:
A importância da adopção de boas práticas nas
áreas de IT Governance, Risco, Controlo e
Segurança no desenvolvimento de uma estratégia
sustentável para as organizações;
A formação e certificação profissional como factor
de credibilização da função de TI; e
A importância da comunidade de profissionais
ISACA e o desafio da partilha de conhecimento.
Durante os próximos meses, o ISACA Lisbon Chapter em
associação com o IPAI procurarão debater estes e outros
temas numa série de artigos que serão publicados
periodicamente na revista do IPAI. Procuraremos assim
prestar o nosso melhor contributo para o esclarecimento,
mas sobretudo discussão, destes temas tão actuais e que
merecerão certamente a melhor atenção das comunidades
de profissionais das duas associações.
1 Escrito de acordo com as novas regras de ortografia.
A ISACA no mundo e em Portugal
A relevância dada ao associativismo profissional difere de
local para local e na generalidade é condicionada pelos
modelos de organização social em que os profissionais e as
suas organizações se inserem.
A visão clássica (e necessariamente limitada) de
caracterizar o modelo social Europeu como um sistema de
matriz mais Socialista e o modelo Americano como um
sistema mais Liberal poderia à partida levar a uma
associação directa de Socialismo a Grupo e Liberalismo a
Individual, potenciando uma conclusão precipitada sobre os
fenómenos associativistas nos dois lados do Oceano
Atlântico. Não querendo avançar pelo estudo de caso
político/social, é interessante notar que a relevância do
associativismo profissional é bem mais acentuada na
sociedade Americana, sendo os desafios de fomentar o
sentido de Grupo bem maiores nas sociedades Europeias, e
o caso Português não é excepção.
Foi portanto “nas Américas” que no final dos anos 60 foi
lançada a Information Systems Audit and Control
Association. A ISACA é hoje uma associação com mais de
86.000 membros em mais de 160 países e é considerada a
associação líder global de conhecimento, certificações,
comunidade profissional e educação/formação nas áreas de
IT Governance, Risco, Controlo e Segurança. A ISACA é
hoje responsável pelo desenvolvimento de standards
internacionais e certificações profissionais de auditoria e
controlo de SI que ajudam os profissionais de TI e os líderes
das empresas a cumprirem as suas responsabilidades de
governance de TI e a contribuir para a criação de valor para
o negócio.
Não vivemos tempos difíceis, mas desafiantes
O papel da ISACA na confiança nas
organizações e profissionais de TI
Bruno Soares, Presidente fundador do ISACA Lisbon, Portugal Chapter
26
Auditoria Interna Abril/Junho 2011 Nº 43
Desde a sua constituição que a visão da ISACA assenta no conceito de comunidade de profissionais e no potencial que o
contributo individual dos seus membros pode ter na definição e implementação de boas práticas globais e também da importância
que o grupo pode ter na valorização dos profissionais e das organizações em que estes colaboram.
A constituição de chapters locais é portanto um importante elemento da
estratégia da ISACA para que possa ser garantida a máxima: “think globally
act locally”.
Em Portugal, o ISACA Lisbon Chapter (ILC) foi constituído em 2010 com a
missão de “Assegurar um suporte operacional de excelência aos membros
do ISACA em Portugal, e comunidades de Sistemas de Informação em
geral, através do desenvolvimento e promoção das práticas de IT
Governance, Segurança, Risco e Controlo de Sistemas de Informação” e
conta já com 138 membros profissionais de diferentes áreas das TI a
atuarem nas principais empresas nacionais e internacionais
.
Os 3 pilares do ISACA
Pilar 1 – Boas práticas por via de standards,
frameworks e pesquisa
Como auditor de Sistemas de Informação (SI), nos últimos
anos foram muitas as organizações que me apresentaram o
seu Sistema de Informação como um “complexo” modelo de
2 processos (a visão clássica do Desenvolvimento e
Operação), mas também aconteceu encontrar organizações
que, de tão empenhadas em implementar frameworks e
standards internacionais, depararam-se com a limitação dos
mesmos e ao número de processos definidos aumentaram
mais 1 ou 2 para fazer face a características auto
designadas de "específicas na nossa realidade".
Diferentes tipos de organizações terão certamente diferentes
tipos de desafios e requisitos, internos e externos, mas não
é pouco frequente que os ambientes de SI caiam na
tentação de se focar quase na totalidade nos requisitos de
Eficácia e que a sua avaliação seja orientada a factores
exógenos de satisfação das áreas utilizadoras.
Tais abordagens são cada vez menos correntes e aceitáveis
e os “fins” têm cada vez mais de ser justificados e
demonstrados pelos “meios”.
São os requisitos de Confiança a ganhar cada vez mais
importância e a sustentabilidade das organizações a passar
para as prioridades internas e externas das organizações.
A adopção de frameworks e standards possibilitam às
organizações uma abordagem estruturada na gestão dos
seus recursos de TI, sejam eles Informação, Aplicações,
Infra-estruturas ou Pessoas, ao mesmo tempo que
capacitam as organizações de canais de comunicação
internos e externos que lhes permitem demonstrar de forma
clara e transparente a maturidade do seu Sistema de
Informação.
Cada vez mais entidades reguladoras e de supervisão
têm vindo a adoptar a referenciação de boas práticas
para que possa ser assegurado o melhor entendimento
dos requisitos legais e normativos, ao mesmo tempo que
ajuda a uma melhor gestão de expectativas na realização de
actividades de revisão ou auditoria.
Os standards e frameworks da ISACA abrangem as
áreas de Governance, Risco, Controlo e Segurança das
TI e são já hoje considerados referências de mercado e
adoptados por inúmeras organizações em todo o
mundo.
Gold Level Member (10 - 14
Years)4%
Silver Level Member (5 - 9
Years)39%
Bronze Level Member (3 - 4
Years)31%
Recent Members (<3 Years)
26%
Antiguidade Membros ISACA LC
Não vivemos tempos difíceis, mas desafiantes - O papel da ISACA na confiança nas organizações e profissionais de TI.
27
Auditoria Interna Abril/Junho 2011 Nº 43
Standard e
Frameworks ISACA Área de SI Apresentação geral
COBIT Framework for
IT Governance and
Control
Controlo de TI O COBIT procura apoiar as organizações na minimização dos riscos
relacionados com as TI ao mesmo tempo que maximiza os benefícios da
tecnologia. O COBIT é a única framework que assegura uma visão
holística do sistema de informação garantindo uma gestão global do ciclo
de vida dos investimentos e serviços de TI.
Mais informação: http://www.isaca-lisbon.org/recursos.html
Val IT TM
Governance de TI
O Val IT TM
garante a entrega de valor dos investimentos relacionados
com as TI. Esta framework integra a o valor do governance de TI, gestão
de portfolio e processo de gestão de investimentos de TI.
Mais informação: http://www.isaca-lisbon.org/research.html
RiskIT
Risco de SI
O Risk IT permite uma gestão integrada dos riscos de TI. Esta framework
integra os processos e actividades de governance, avaliação e resposta
aos riscos de TI
Mais informação: http://www.isaca-lisbon.org/research.html
Business Model for
Information Security
(BMIS)
Segurança
O Business Model for Information Security garante uma abordagem
sistémica e integrada da segurança da informação e das actividades de
negócio das organizações.
Mais informação: http://www.isaca-lisbon.org/standards.html
IT Assurance
Framework (ITAF TM
)
Auditoria de SI O ITAF é uma ferramenta essencial para os profissionais das áreas de
auditoria e controlo de sistemas de informação, garantindo a integração
dos standards, guidelines, ferramentas e técnicas para a realização de
revisões de sistemas de informação.
Mais informação: http://www.isaca-lisbon.org/standards.html
Tabela 1- Apresentação Standards e Frameworks ISACA
Pilar 2 – O reconhecimento profissional através
das Certificações ISACA
O planeamento de carreira é possivelmente o maior desafio
de qualquer profissional. A diferenciação positiva é hoje um
dos desígnios no desenvolvimento de competências e todo o
profissional de TI reconhece a importância das certificações
para o seu reconhecimento interno, na organização em que
actua, e externo, perante a comunidade de profissionais
onde se insere.
Genericamente falando, existem dois tipos de Certificação:
1) Aquelas que certificam o conhecimento de um profissional
num determinado standard ou framework; e 2) aquelas que
certificam as competências e experiência de um profissional
de TI numa determinada área de conhecimento à luz de um
conjunto de princípios e regras conhecidas e comummente
aceites.
O catálogo de certificações ISACA enquadra-se de forma
geral no segundo grupo, sendo responsabilidade da ISACA
assegurar o reconhecimento da experiência e conhecimento
dos profissionais de TI e garantir essa certificação enquanto
o profissional cumprir um conjunto de requisitos,
designadamente a formação contínua.
Não vivemos tempos difíceis, mas desafiantes - O papel da ISACA na confiança nas organizações e profissionais de TI.
28
Auditoria Interna Abril/Junho 2011 Nº 43
As certificações ISACA devem ser encaradas como um
factor diferenciador, assegurando uma relação de “win win”
entre profissionais e organizações. Este é portanto um factor
determinante para o desenvolvimento da maturidade das
organizações, desenvolvimento profissional dos seus
colaboradores e sobretudo de credibilização e confiança
perante entidades externas, designadamente entidades
supervisoras e reguladoras.
Certificação Área de SI Apresentação geral
Certified Information
Systems Auditor
(CISA®)
Auditoria de
Sistemas de
Informação
A certificação CISA reconhece aqueles que controlam, monitorizam e
avaliam as tecnologias de informação e sistemas de negócio de uma
empresa.
Mais informação: http://www.isaca-lisbon.org/certif.html
Certified Information
Security Manager
(CISM®)
Segurança
A certificação CISM é dedicada aos profissionais que com experiência no
desenho e implementação de programas de segurança de informação. O
CISM é a certificação líder para gestores de segurança de informação.
Mais informação: http://www.isaca-lisbon.org/cism.html
Certified in the
Governance of
Enterprise IT (CGEIT®)
Governance de TI
O CGEIT reconhece uma vasta gama de profissionais pelos seus
conhecimentos e aplicações de princípios e práticas empresariais de IT
Governance.
Mais informação: http://www.isaca-lisbon.org/cgeit.html
Certified in Risk and
Information Systems
Control (CRISCTM
)
Risco de TI
A certificação CRISC (pronuncia-se “see-risk”) é desenhada para
profissionais de TI com experiência comprovada em identificação,
avaliação e análise, resposta, monitorização do risco, implementação e
desenho de controlos de SI e monitorização e manutenção de controlos
de SI.
Mais informação: http://www.isaca-lisbon.org/crisc.html
Tabela 2 - Apresentação Certificações ISACA
Também em Portugal as certificações são um factor determinante para os membros do ISACA, existindo cerca de 64% de
membros com pelo menos uma certificação.
Certificação ISACA Número de certificações ILC Candidaturas Exame Junho 2011
CISA 81 19
CISM 22 5
CGEIT 12 6
CRIC 21 1
Tabela 3 - ISACA Lisbon Chapter em números
Não vivemos tempos difíceis, mas desafiantes - O papel da ISACA na confiança nas organizações e profissionais de TI.
29
Auditoria Interna Abril/Junho 2011 Nº 43
Pilar 3 – Partilha de conhecimento
O último pilar da ISACA assenta na importância que esta
associação dá à troca de experiência e partilha de
conhecimento entre os seus membros e comunidade em
geral.
A ISACA disponibiliza um conjunto de ferramentas que
potenciam a partilha de informação e garantem o acesso
dos seus membros e comunidade em geral a um dos mais
referenciados centros de conhecimento nas áreas de
governance, risco, controlo e segurança de sistemas de
informação.
Alguns dos conteúdos disponíveis são: Livros, Brochuras,
Casos de Estudo, Downloads, Eventos, Material de apoio
aos Exames, guidelines ISACA, procedimentos ISACA,
standards ISACA, Jornal Online, Revista mensal, Newsletter,
Investigação e Pesquisa e White Papers.
Tudo disponível em: http://www.isaca.org/Knowledge-
Center/Pages/default.aspx
Todos os profissionais estão convidados a partilhar e
participar.
Confiança no futuro
Nos próximos tempos procuraremos trazer aqui
exemplos das frameworks, standards e certificações
profissionais da ISACA, procurando transmitir a sua
mais-valia interna e externa para as organizações.
São certamente tempos desafiantes os que se avizinham,
mas estamos certos que a comunidade de profissionais de
TI poderá contribuir de forma determinante para que estes
sejam igualmente tempos de evolução da maturidade das
suas organizações e valorização das suas funções.
o
http://www.isaca-lisbon.org/
o
Bruno Horta Soares Experiência profissional de 10 anos na área de Sistemas de Informação, com especial enfoque no Risco e Controlo
Tecnológico, Auditoria de Sistemas de Informação, Segurança e Privacidade da Informação, Governance de TI e Gestão de Projectos. É
licenciado em Informática e Gestão de Empresas pelo ISCTE e pós-graduado em Gestão de Projectos pelo ISLA. Adicionalmente possui as
certificações profissionais: PMP®, CISA®, CGEIT®, CRISCTM
, ISO 27001 LA; ITIL® version 3 Foundation; e CAP.
Desde 2008 é professor convidado pela Universidade Católica Portuguesa onde lecciona a disciplina de Auditoria a Sistemas de Informação no
Mestrado em Segurança e na Pós-graduação em Auditoria em Sistemas de Informação.
É Presidente fundador do ISACA Lisbon, Portugal Chapter e orador em diversas conferências, fóruns e seminários relacionados com Risco,
Controlo e Auditoria de Sistemas de Informação.
Não vivemos tempos difíceis, mas desafiantes - O papel da ISACA na confiança nas organizações e profissionais de TI.
30
Auditoria Interna Abril/Junho 2011 Nº 43
Chegou a hora da ISO 26000, norma internacional de
responsabilidade social (RS).
Após seis anos de trabalhos, envolvendo mais de 400
pessoas, 90 Países e 40 organizações internacionais,
chegou-se a um conteúdo notável, através de um processo
notável.
Falemos um pouco antes de mais da base do conteúdo ou
seja o conceito de RS adoptado.
O essencial da responsabilidade social é concebido como “a
disponibilidade de uma organização para incorporar
considerações sociais e ambientais no seu processo de
tomar decisões”
Aqui está a primeira grande inovação. Pela primeira vez a
questão do governo das organizações é colocada em
relação direta com a responsabilidade social. O que era até
aqui um gesto filantrópico das administrações ou dos
proprietários passa a ser visto como factor no “processo de
tomar decisões”.
Ou seja cada decisão, cada política, cada opção deve
levar em conta os impactes sociais e ambientais, além
das já normais considerações de carácter económico.
É bom compreender que estas classificações são mais ao
nível das palavras ou dos modelos do que das realidades.
É preciso compreender que este conceito de RS nos remete
para uma visão mais ampla e mais duradoura do sucesso
económico ao propor que a organização leve em conta a
sua envolvente humana e ambiental, ou seja o conjunto das
suas partes interessadas, quando elabora estratégias,
políticas e decisões tácticas.
Poderá assim tomar melhores decisões económicas porque
se ajustará melhor aos seus públicos, no plano da
disponibilidade de recursos, na resposta às necessidades
dos seus mercados e na prevenção dos riscos decorrentes
da actividade.
Não há pois separação ou alternativa.
Cuidar da saúde económica é responsabilidade social
porque é proporcionar empregos, pagar impostos, comprar
bens e serviços e fornecer produtos de que as pessoas
usufruem. A saúde económica é inseparável, a médio prazo,
da prosperidade das comunidades e da preservação
ambiental.
Muitos problemas resultam de que a curto prazo isso nem
sempre é verdade. Por isso prefiro à clássica visão dos três
pilares a ideia de um só pilar com três faces em que
economia, sociedade, e ambiente, inseparados, são apenas
vistas da mesma realidade – o bem-estar das pessoas nesta
e nas gerações seguintes.
Uma objecção habitual a esta nova atitude estratégica é
decorrente da ideia de que arrastaria um acréscimo de
custos, que deveriam ser suportados pelo Estado a partir
das receitas fiscais, e que portanto estaríamos perante
novas e subtis formas de criar novos impostos, pelo que a
RS seria apenas uma forma de sonegar lucros aos
accionistas a favor do Estado.
ISO 26000 – o início
Mário Parra da Silva, Empresário e Presidente da Associação Portuguesa de
Ética Empresarial
Cuidar da saúde económica é responsabilidade social porque é proporcionar
empregos, pagar impostos, comprar bens e serviços e fornecer produtos de que as
pessoas usufruem. A saúde económica é inseparável, a médio prazo, da prosperidade
das comunidades e da preservação ambiental.
31
Auditoria Interna Abril/Junho 2011 Nº 43
Esta visão é verdadeira no caso da RS de tipo filantrópico,
que tanto tem sido difundida entre nós.
De facto os donativos e apoios a entidades necessitadas
têm saído de, principalmente, três fontes: a primeira é o
orçamento de comunicação e relações públicas de modo a
potenciar a boa reputação e imagem da organização; a
segunda é de fundos que de algum modo beneficiam de
isenções fiscais; e a terceira é de dádiva de recursos do
accionista.
Se por um lado penso que este tipo de acções vai continuar
porque tem as suas próprias motivações, é imperioso
reconhecer que pouco ou nada há de socialmente
responsável nestas manifestações por maior que seja o seu
interesse para os pobres ou para as instituições de
solidariedade ou para a conservação do património.
Apenas para ilustrar com um famoso exemplo, Al Capone
era um grande filantropo e uma pessoa simpática desde que
ninguém lhe perguntasse de onde vinha o dinheiro.
É aqui que está o cerne da questão. As organizações têm de
levar em conta nas suas estratégias de sobrevivência a
médio e longo prazo os problemas das suas comunidades
de suporte bem como a sustentabilidade do modelo de
desenvolvimento.
Se o não fizerem poderão satisfazer os especuladores mas
não estarão a servir os seus accionistas. Mais uma vez
estamos enredados em palavras. O que significa
“accionista”?
Merecerá esta designação, e os direitos inerentes, a pessoa
que apenas está interessada no retorno do capital investido
sem consideração pela sobrevivência da organização?
Ainda é a “propriedade” que dirige o sistema capitalista? Se
os “proprietários” forem substituídos no poder nas
organizações por “administrações”, premiadas a partir de
resultados de curto prazo, irresponsabilizáveis pelos danos
que mais tarde se vierem a constatar, focadas no retorno
rápido e não no valor seguro, será possível uma estratégia
de RS?
Será conveniente começar a pensar em formas de distinguir
os accionistas conforme o seu grau de lealdade à
organização? Teremos de reflectir sobre os poderes dos
vários tipos de accionistas?
Mas ainda não falámos sobre as decisões que são tomadas
ao longo da estrutura hierárquica, pelas chefias intermédias.
Todos sabemos que mesmo quando no topo as intenções
são boas os pequenos poderes descobrem formas de
“atalhar caminho” faltando ao respeito das regras definidas.
Normalmente a ética da organização está bem presente nos
discursos de topo mas é tratada com displicência a nível
intermédio, onde, dizem, são mais vivas as “realidades”. Por
exemplo, se a prioridade absoluta é “cumprir objectivos” a
estrutura intermédia tem bons álibis para práticas erradas.
Ora é normalmente a esse nível que surgem os dilemas
éticos e que se tomam decisões que podem ou não ser
responsáveis. Assim integrar as RS no “processo de
tomar decisões” vai implicar um grande movimento de
educação dos quadros intermédios e a revisão das
políticas sectoriais.
As vantagens são óbvias e economicamente relevantes:
vedando o caminho fácil dos “atalhos” a estrutura intermédia
terá de inovar, terá de aprender a tratar as situações (em
vez de as contornar), terá de fazer resultados dentro das
regras e não com recurso a “desenrascanço”.
Reduzem-se os riscos e melhora-se a organização. Mas
para que isto se converta em valor é indispensável que as
organizações que persistam em má conduta sejam
efectivamente punidas pelo mercado.
Ou seja tem de haver diferenciação. Como será criada?
Como poderá ser evidenciada? Que papel terão as
partes interessadas nesta criação de valor?
E, já agora, quem são mesmo as partes interessadas?
Como as reconhecer, envolver e converter em aliados num
quadro geral de cooperação?
É todo um novo edifício que começa a ser
construído.
Continuaremos esta discussão, hoje apenas ligeiramente
aflorada, em próximos artigos.
o
http://www.apee.pt/site/
ISO 26000 – o início
32
Auditoria Interna Abril/Junho 2011 Nº 43
Sugestão de leitura
Colabore com o IPAI.
Envie a sua sugestão. ipai@netcabo.pt
Caneta Digital
A bad book is as much of a labor to write as a good
one, it comes as sincerely from the author's soul.
Aldous Huxley
Publicidade
33
Auditoria Interna Abril/Junho 2011 Nº 43
Livros para Venda
The International Professional Practices Framework (IPPF) is the conceptual framework that organizes authoritative guidance promulgated by The Institute of Internal Auditors.
Preço para sócios: 36,73 Euros;
Preço para não sócios: 38,40 Euros; Acresce portes de
correio: 4,00 Euros (Portugal Continental).
Preço: 30 Euros; Portes de correio: 3,30 Euros (Portugal
Continental).
Para encomendar:
Enviar cheque a favor do Instituto Português de Auditoria
Interna, com indicação do livro pretendido e morada para
envio.
Pode utilizar o método de transferência bancária utilizando o
NIB do IPAI, com informação através do correio electrónico
ipai@netcabo.pt
Não hesite em contactar-nos. Telef./Fax 213151002 Dr. Bombarda Azevedo
Pesquisa na rede
http://www.cienciahoje.pt/
(extracto)
Andrea Cruz recebe Prémio Pulido Valente Ciência 2010
Investigação identificou efeitos negativos da revacinação com BCG 2011-03-14 Por Susana Lage (texto e fotos)
A cientista Andrea Cruz mostou, juntamente com a equipa
da Universidade do Minho, que a revacinação com BCG
como estratégia de prevenção da tuberculose deve ser
ponderada porque pode desencadear uma reacção
patológica.
“O nosso trabalho tem uma vertente mais molecular, mais
científica, que tem como base a explicação de um fenómeno
que tinha sido descrito há mais de 100 anos por Robert
Koch, o cientista que descobriu o bacilo da tuberculose”,
explica Andrea Cruz ao Ciência Hoje.
“O que este cientista verificou, quando descreveu este
fenómeno, foi que quando tratou pessoas com antigénios
micobacterianos, em vez de as curar, acentuou os sintomas
e muitas delas acabaram por morrer”.
…
34
Auditoria Interna Abril/Junho 2011 Nº 43
http://economia.publico.pt/Noticia/tc-chumba-auditorias-
internas-nas-empresas-publicas_1490585
TC chumba auditorias internas nas empresas públicas
20.04.2011 - 07:38 Por Raquel Almeida Correia
O Tribunal de Contas (TC) chumbou as auditorias internas realizadas pelas empresas públicas.
Mafalda Melo (arquivo)) http://ethisphere.com/
2011 World’s Most Ethical Companies
Sonae no ranking das empresas mais éticas
The World‟s Most Ethical Companies designation recognizes
companies that truly go beyond making statements about
doing business “ethically” and translate those words into
action. WME honorees demonstrate real and sustained
ethical leadership within their industries, putting into real
business practice the Institute‟s credo of “Good. Smart.
Business. Profit.”
There is no set number of companies that make the list each
year. Rather, the World‟s Most Ethical Company designation
is awarded to those companies that have leading ethics and
compliance programs, particularly as compared to their
industry peers. This year, there are 110 World‟s Most Ethical
Companies. Of these companies, 36 are new to the list in
2011 and 26 companies dropped off from the 2010 list.
These “drop offs” generally occurred because of litigation
and ethics violations, as well as increased competition from
within their industry.
IT CAN PAY TO BE ETHICAL
Investing in ethics is beneficial for any company, even in a
recession. The below graph compares the “WME Index,” or
all publicly traded 2011 World‟s Most Ethical Company
honorees, against the S&P 500 since the initial World‟s Most
Ethical Companies recognition from 2007.
http://www.ethicalcorp.com/
Tepco 2010 Sustainability Report: Warning signs missed
Award Winners Announced
Unilever, L‟Oreal, Kingfisher, Banco Santander,
Rainforest Alliance amongst winners at Ethical
Corporation Responsible Business Awards
Pesquisa na rede
35
Auditoria Interna Abril/Junho 2011 Nº 43
Notícias
http://www.europeanpwn.net/
Mission
Promote the professional progress of women through all their career
phases, from potential through the pipeline to power by mentoring,
training and networking
Promote sustainable professional career paths for all by working to
disseminate information on innovative best practices
Encourage companies to recognise the necessity of diverse and
innovative management approaches by promoting women‟s success
stories (what they did new and differently)
Raise the volume of European women‟s voices by increasing
women‟s presence in the media and public life (conferences, think
tanks..)
We aim to create an online European network of 5,000 professional
women dedicated to leading positive and progressive change for and
through their organizations.
The European network will focus on raising our voices,
interconnecting the generations and sharing best practices and
knowledge across Europe.
National networks will focus on developing offline networking,
training and personal development for women in their cities and
countries.
Values WIN/ WIN: we seek to lead by serving women, men and the
companies we work for.
Realistic: our actions are grounded in an experienced, pragmatic
understanding of the private sector business world and scrupulous
standards of professionalism.
Egalitarian: we believe that women and men are different,
complementary and equal in all spheres of personal and
professional life
Positive: we are optimistic and constructive contributors to progress
– and we do it with pleasure
Generous: we recognise the responsibility of privilege, and seek to
„give back‟ to other women and society from a position of relative
strength
Open: we share all we know.
http://www.jn.pt/PaginaInicial/Sociedade/Interior.aspx?content_id=18
17066
Souto Moura ganha "Nobel da Arquitectura" (extracto)
O arquitecto Eduardo Souto Moura venceu a edição 2011 do prémio Pritzker, considerado no meio como o "Nobel da arquitectura.
O prémio foi atribuído ao arquitecto natural do Porto pelo seu "rigor e precisão na arquitectura", assim como pela "sensibilidade" na inserção das obras no seu contexto, revela o site "Scalae", apesar de o site oficial do prémio Pritzker ainda não divulgar o vencedor deste ano.
The Tribunal de Contas of Portugal welcomes all the
Supreme Audit Institutions participants to the VIII
EUROSAI CONGRESS, Lisboa, 2011.
Our Congress will be an important opportunity to discuss and share
experiences on significant and relevant matters.
Moreover, we hope all delegates will have the possibility to contact
with Portuguese culture.
We wish you a pleasant stay in Portugal.
Bem-vindos!
Guilherme d'Oliveira Martins, President of Tribunal de Contas
Pode consultar em http://www.eurosai2011.tcontas.pt/Pages/Welcome.aspx
36
Auditoria Interna Abril/Junho 2011 Nº 43
Certificações- Are you a CIA, CCSA, CFSA, or CGAP?
Your designation represents your internal audit knowledge
and proficiency. Be sure to maintain your IIA Certification by
reporting your CPEs. Those certified individuals with an odd
number ID have a reporting deadline of May 31, 2011 for the
2009-2010 reporting period. Keep your credentials active by
visiting www.theiia.org/reportcpe.
CIAs - Practicing CIAs must report 80 CPE hours (40 hours
for non-practicing).
CCSAs, CFSAs and CGAPs – Practicing specialty
certification holders must report 40 CPE hours (20 hours for
non-practicing).
The reporting deadline for certification holders with an IIA ID
ending with an odd number is May 31, 2011. Hours being
reported for 2011 should have been earned January 1, 2009
through December 31, 2010.
For qualifying CPE activities, please see your certification
CPE web page;
CIA - CPE information page.
CCSA - CPE information page.
CFSA - CPE information page.
CGAP - CPE information page.
Consulte em http://www.theiia.org/certification/certification-
marketing-group/report-cpe/
The IIA Global Headquarters Staff celebrates 100,000 Certified Internal Auditors!
Notícias
37
Auditoria Interna Abril/Junho 2011 Nº 43
Novos associados
Maria Isabel Cantiga Duarte
Alexandre Brandão da Veiga
Ana Filipa Campos Sequeira
Márcia Isabel Rodrigues Santos
Susana Maria Pereira Barbosa
Paulo Jorge Narciso
Elvira Maria Neves Pedroso
Lúcia Margarida Morais Cartaxo
Helena Maria Silva Girão
Paulo Miguel Reis Vaz
Paulo José Rodrigues Brito
José Manuel Lacerda Tinoco
Paulo Manuel Pinho Fernandes
João Eduardo Chalupa Sampaio
Paulo Jorge Borges Godinho
José Alberto Costa Melo
Maria Teresa Correia Passos
Fernando Carvalho Barrias
Marisa Sofia Lopes Teixeira
Domingos Carvalho Paiva
Vera Maria Monteiro Araújo
Maria Manuela Silva Vieira
Carlos Manuel Honorio Cunha
Rogério Monteiro Marques
Maria Margarida Andrês Lesiário
António Pedro Vieira Neves
Rute Magda Simões Pereira
Maria Lurdes Lourenço Lorena
António Manuel Pinho Costa
Rui Fernando Carvalho Magalhães
Maria Alice Ferreira Sousa
Anabela Cecília Beijouco Santos
Luís Filipe Pinto Mendes
Víctor Manuel Marques Cardoso
Anabela Luísa Gouveia Santos
Fátima Cristina Gonçalves Gilde
Maria Conceição Costa Aleixo
Maria Clara Mesquita Pereira
Filipa Jorge Sousa Mendes
António Luís Rodrigues Castro
Fernando Artur Rodrigues Tomáz
Anabela Oliveira Lage
Silvia Cristina Henrique Diogo
Elisabete Monteiro Gama
Abel Djassi Pina Cardoso
Nuno Gonçalo Assis Borges
Sérgio Miguel Meireles Teixeira
Ana Paula Oliveira Santos
Célia Maria Jesus Duarte Gonçalves
Ana Paula Teixeira Henriques
Tiago Melo Reis
Pedro Miguel Seara de Morais
José Neves do Carmo
Patrícia Alexandra Gamito Reis
José Miguel Peixoto Teixeira
Helga Maria M. Pires Almeida
Ana Alexandra B. Fradinho
38
Auditoria Interna Abril/Junho 2011 Nº 43
Post_it Miguel Silva
39
Auditoria Interna Abril/Junho 2011 Nº 43
Pesquisa de Institutos de Auditoria
Italy Affiliate code 104
http://www.aiiaweb.it/
Publicidade
40
Auditoria Interna Abril/Junho 2011 Nº 43
top related