departamento de desenvolvimento profissionalwebserver.crcrj.org.br/apostilas/a1039p0147.pdf · “o...
TRANSCRIPT
Departamento de Desenvolvimento Profissional
AUDITORIA DE PROCESSOS
ORGANIZACIONAIS
Professor: Sérgio Vidal
1 Introdução à Auditoria de
Processo 1.1 O que é auditoria de processo
O trabalho do auditor, na análise dos processos operacionais, pode ser defini-
do, de uma forma mais ampla, como:
• uma atividade de avaliação independente de assessoramento à alta gestão
da empresa, que visa à avaliação dos sistemas de controle envolvidos e verificação
dos procedimentos e das normas alocados no desenvolvimento do negócio exerci-
do, atentando para o desempenho operacional e para a eficácia obtida por suas
áreas produtivas, considerando planos de metas, macro-objetivos e políticas defini-
das pela organização.
A amplitude desta definição não nos permite visualizar em detalhe o que re-
almente seja uma Auditoria de Processo e qual a real importância do serviço pres-
tado pelo auditor, quando avalia os processos operacionais de uma empresa.
Como para todo conceito, a simples interpretação do conjunto de palavras que
o formam não é suficiente para o real entendimento de sua abrangência e a per-
cepção dos ganhos possíveis na conclusão desta avaliação.
Quando avaliamos com um pouco mais de profundidade esta definição, pode-
mos destacar como principais aspectos:
• avaliação dos sistemas de controle envolvidos: a visão crítica dos sis-
temas de controle permite concluir sobre o alcance dos objetivos propostos para o
processo, através da identificação da eficácia dos procedimentos e dos controles
adotados em sua execução;
• verificação dos procedimentos e das normas alocados no processo:
os cumprimentos das normas empresariais caracterizam a importância de cada
membro participante do processo possuir o total conhecimento de suas atribuições
e de seu envolvimento no contexto apresentado, detendo assim uma constante
visão holística de suas operações;
• desempenho operacional e eficácia obtida por suas áreas produtivas:
no cumprimento das normas e dos procedimentos definidos pela empresa, é impor-
tante que os membros da organização trabalhem, visando a obter eficácia do pro-
cesso e agregar ao resultado previsto e à sua participação ganhos ou diferenciais
que identifiquem a importância dos serviços prestados na manutenção do negócio
exercido pela empresa;
• planos de metas, macro-objetivos e políticas definidas pela organiza-
ção: as atribuições exercidas pelos membros dos processos operacionais devem,
em suas definições e exposições de resultados, considerar objetivos, metas, planos
e políticas estabelecidos previamente pela empresa, evitando a alocação e a apli-
cação de recursos desnecessários ou desvantajosos às perspectivas da organiza-
ção.
Iremos explorar esta definição, com grande profundidade, ao longo de nosso
estudo da Auditoria de Processo, sempre referenciando o assunto abordado com
cada um dos principais aspectos mencionados.
O auditor avaliando os controles internos e seu objetivo nos processos operacionais de uma empresa
O serviço do auditor, na avaliação dos controles internos, vem sendo conside-
rado por muitos como uma forma de fiscalizar o trabalho feito pelos colaboradores
da empresa, meramente com o intuito de procurar erros e identificar possíveis pro-
blemas e seus culpados.
Também é comum presenciarmos declarações de descontentamento dos co-
laboradores alocados em uma área em que os seus controles internos estejam
sendo auditados, basicamente se referindo:
• ao atraso de suas atribuições pela necessidade de atendimento ao audi-
tor;
• à ocorrência de retrabalho, pela repetição de informações abordadas ante-
riormente; e
• à falta de entendimento e visualização, por sua área, do valor agregado.
Para comentarmos estas declarações, é necessário primeiramente entender o
que são controles internos e como os mesmos são avaliados pelo enfoque de uma
Auditoria de Processo.
Controles internos
Segundo conceito de Fayol:
“O Controle consiste em verificar se tudo ocorre de conformidade com o plano ado-
tado, com as instruções emitidas e com os princípios estabelecidos. Tem por obje-
tivo apontar falhas e erros, para retificá-los e evitar sua reincidência; aplica-se a
tudo: coisas, pessoas, processos etc.”
Segundo o AICPA = American Institute of Certified Public Accountant:
“O Controle Interno compreende o plano de organização e todos os métodos e me-
didas adotados numa empresa para proteger seu ativo, verificar a exatidão e a fide-
dignidade de seus dados contábeis, incrementar a eficiência operacional e promover
a obediência às diretrizes administrativas estabelecidas.”
Considerando as definições expostas, acrescentamos que o sistema de contro-
les internos adotado em uma organização representa o conjunto de procedimentos
ou atos que possibilitem segurança quanto aos aspectos lógicos e técnicos do pro-
cesso, identificando, através de sua adoção, o cumprimento das linhas hierárquicas
de autoridade, limite de alçada estabelecida e efetiva execução do fluxo de proces-
samento das operações.
Alguns especialistas classificam os controles quanto aos níveis (lógicos e téc-
nicos) e quanto à distinção (verticais e horizontais).
Embora esta classificação tenha a finalidade de proporcionar melhor compre-
ensão da forma ideal de aplicação dos controles, este conceito corre o risco de
limitar ou rotular a decisão do auditor.
O entendimento do objetivo do controle, de forma ampla e irrestrita, é, de fato,
o principal elemento para a conclusão sobre a melhor forma de sua adoção. A iden-
tificação deste objetivo possibilita a correspondente averiguação sobre seu alcance,
o que assegura o controle sobre a eficácia do processo.
No atual mundo globalizado e competitivo, já não é possível a ocorrência de
controles que não objetivem a eficácia das operações e que, por questões mera-
mente conceituais, criem, ao invés de segurança e agilidade, processos morosos e
com acúmulo de trabalho aos colaboradores envolvidos.
Quando é estabelecido um controle para qualquer processo produtivo, a finali-
dade determinada para sua existência estabelecerá sua função, ou seja, qual o seu
objetivo.
As funções de um processo produtivo podem ser:
• Preventiva: atua como uma forma de prevenir a ocorrência dos proble-
mas, exercendo o papel de uma espécie de guia para a execução do processo ou
na definição das atribuições e responsabilidades inerentes.
• Detectiva: como o nome indica, detecta algum problema no processo, sem
impedir que ele ocorra.
• Corretiva: serve como base para a correção das causas de problemas no
processo, mas após os mesmos já terem ocorrido.
Considerando nossa análise da importância do controle interno dentro dos pro-
cessos produtivos, concluímos que, nos dias atuais, fica cada vez mais caracteri-
zado que os controles precisam atuar com uma finalidade preventiva. Não adianta
somente identificar e corrigir um problema após a sua ocorrência. O que os contro-
les precisam proporcionar é segurança quanto à inexistência de problemas ou des-
vios no processo.
Quando alguém já está morto, não adianta descarregar munição sobre o cadá-
ver. Lógico que é importante levantar as causas e consequências do fato ocorrido,
mas o primordial seria ter evitado o crime cometido.
Com o controle acontece a mesma coisa. Cada vez mais os processos têm de
se apresentar ágeis e seguros, através de controles que identifiquem claramente os
seus objetivos e assegurem que os riscos de possíveis problemas sejam preveni-
dos. Ao mesmo tempo, nem todos os problemas que atuam sobre os processos
são previsíveis.
Existem falhas que ocorrem em virtude do próprio tipo de negócio praticado pe-
la empresa e que independem de controles ou do conhecimento prévio da execu-
ção dos processos produtivos.
Também, por mais que se controlem preventivamente os riscos inerentes aos
processos e sejam detectados os problemas envolvidos no tipo de negócio pratica-
do pela empresa, ações ou eventos externos podem influenciar a eficácia do pro-
cesso, ocasionando erros só identificados após sua ocorrência. Neste caso, contro-
les corretivos serão imprescindíveis ao auxílio à investigação e à correção das cau-
sas apresentadas.
Concluímos que uma análise ideal da finalidade dos controles internos seria a
atuação, em conjunto, das três formas conceituadas, ou seja:
1o) criar controles preventivos que proporcionem segurança quanto à inexis-
tência das falhas inerentes aos processos;
2o) definir de que forma podem ser identificadas as ocorrências de erros
possíveis ao tipo de negócio praticado;
3o) criar controles para identificação das causas de possíveis falhas ocorri-
das, para embasamento da forma de sua correção.
A Auditoria de Processo tem como ideologia o conhecimento e a avaliação de
cada um desses controles, identificando a eficácia de sua adoção nos processos
operacionais da empresa, considerando os objetivos envolvidos para assegurar
que o sistema de controle interno suporte as possíveis falhas na execução do ne-
gócio praticado.
Obs.:
Em nosso estudo, estaremos exemplificando e identificando as formas de aplicação
e avaliação dos tipos de controles apontados, assim como as finalidades descritas para o controle.
1.2 Avaliação dos controles internos
Avaliação dos controles internos pelos auditores
A avaliação dos controles internos pelos auditores compreende três fases bási-
cas de execução:
• levantamento do processo;
• análise dos controles internos;
•
verificação da conformidade dos procedimentos executados e da eficácia dos con-troles internos adotados no processo.
Levantamento do processo
Quando os auditores executam uma avaliação do sistema de controles internos
dos processos operacionais de uma empresa, têm como finalidade primordial a
crítica sobre os procedimentos adotados e os controles exercidos, visando a con-
cluir sobre sua eficácia e considerando o objetivo apresentado e o tipo de negócio
exercido pela organização.
Como acontece em qualquer atividade em que é necessário criticar algum pro-
duto elaborado ou serviço prestado, seria leviano exercer qualquer opinião sem o
conhecimento de como ocorre a correspondente fabricação do produto ou a execu-
ção da prestação do serviço.
Logo, o auditor, quando efetua o levantamento do processo, está:
• conhecendo/documentando os procedimentos executados;
• identificando os objetivos envolvidos; e
• evidenciando os controles que suportam sua eficácia.
Como podemos observar, esta fase é primordial para uma análise eficaz do sis-
tema de controle interno da empresa, uma vez que representa o entendimento de
como as coisas acontecem, possibilitando uma visão ampla do processo, essencial
à sua avaliação.
É nesta fase que o fluxo do processo é elaborado, documentando os procedi-
mentos executados, os objetivos e os riscos envolvidos, assim como os controles
responsáveis pelo suporte de sua eficácia. A devida documentação do processo
será imprescindível à execução da segunda fase de execução da avaliação dos
controles internos.
Análise dos controles internos
Quando o auditor critica um sistema de controle interno, suas deduções têm
como base fatos de evidências documentadas durante a fase de levantamento do
processo. Daí a grande importância da confirmação do fluxo levantado junto aos
colaboradores envolvidos no processo, para a formalização de seu “de acordo”
sobre o entendimento dos procedimentos, objetivos e riscos envolvidos, antes de
qualquer conclusão sobre a performance dos controles que os suportam.
Após esta confirmação, caberá ao auditor avaliar se cada objetivo envolvido na
execução dos procedimentos desenvolvidos no processo apresenta os correspon-
dentes riscos identificados em sua operação, devidamente suportados pelos con-
troles existentes, de tal forma que possibilitem:
• a prevenção de possíveis falhas inerentes ao processo;
• a detecção de possíveis problemas relativos ao tipo de negócio praticado;
e
• a obtenção da base para a correção das causas de possíveis distorções derivadas de ações ou eventos externos ao processo.
Caso conclua que os objetivos não estão sendo alcançados e os riscos envol-
vidos não estejam sendo devidamente suportados pelos controles do processo, o
auditor deverá identificar as causas envolvidas, para definição de sugestões que
visem à sua eliminação.
As sugestões relativas a possíveis melhorias no processo deverão considerar,
além da eliminação das causas relativas às falhas ou aos desvios apontados na
operação, ações que proporcionem ganhos ao negócio praticado pela empresa,
agregando qualidade e eficiência à sua execução.
É muito importante que o auditor tenha suas sugestões calcadas em fatos, de
preferência exemplificadas e comprovadas, o que proporciona maior facilidade de
sua aceitação pelos colaboradores envolvidos no processo, que, por representarem
os maiores interessados na eficácia do processo, apresentam-se como os grandes
canais de divulgação do resultado produzido por uma Auditoria de Processo.
Esta visão de parceria constante com o auditado, demonstrando como grande
objetivo do trabalho a obtenção de maior qualidade e eficiência em seus processos,
é imprescindível para o sucesso de uma Auditoria de Processo.
É importante salientar que, caso o auditor detecte a existência de má-fé nos atos
praticados pelos colaboradores do processo e que, de alguma forma, este fato oca-
sione “dolo” para o negócio exercido pela empresa, esta visão de parceria não pode-
rá ser aplicada, uma vez que seria aconselhável a exclusão dos mesmos de qualquer
envolvimento ou conhecimento do trabalho desenvolvido pela auditoria.
Embora, através de uma Auditoria de Processo, tenham sido identificados pos-
síveis desvios ou falhas graves nos procedimentos praticados pela empresa, esta
situação acarreta que o trabalho perca o enfoque de uma Auditoria de Processo,
assumindo o papel de uma Auditoria Especial, com seu objetivo focado na conclu-
são sobre a extensão e implicação dos fatos apontados.
Obs.:
No desenvolvimento de nosso estudo, estaremos fazendo uma analogia com as
demais modalidades de auditoria, em relação à Auditoria de Processo.
Por outro lado, quando a Auditoria de Processo é executada sem esta visão de
parceria, a qualidade do seu resultado está comprometida. Uma abordagem fiscali-
zadora ou que meramente demonstre um intuito de informar as conclusões obtidas,
sem demonstração de interesse sobre a opinião do auditado, afeta sua principal
base de apoio para:
• obtenção das informações envolvidas;
• entendimento do processo;
• avaliação dos controles; e
• obtenção de suporte para as possíveis sugestões de melhorias.
Estas, sem dúvida, são ações primordiais para o sucesso desse trabalho.
Como vemos, o relacionamento com o auditado é preponderante para uma efi-
caz avaliação dos controles internos, pelo enfoque de uma Auditoria de Processo,
podendo, a partir do tipo de abordagem firmada, representar uma aliança para a
promoção e a divulgação dos valores agregados ou, até mesmo, um obstáculo para
a definição e a aceitação das sugestões apresentadas pelo auditor.
Estaremos, no Capítulo 3, demonstrando a forma para levantamento e análise
dos processos junto ao auditado, exemplificando situações distintas de abordagem
e avaliando os resultados obtidos.
Após a conclusão sobre os controles internos dos processos auditados, é ne-
cessária a comprovação dos procedimentos levantados, o que compreende a ter-
ceira fase de avaliação dos controles internos.
1.3 Documentação dos controles internos
Verificação da conformidade dos procedimentos executados e da eficácia dos
controles internos adotados no processo
Em posse do processo documentado e concluída a análise dos controles inter-
nos adotados em seu desenvolvimento, o auditor irá verificar a conformidade das
rotinas levantadas e a efetiva aplicação dos controles informados pelo auditado.
Com base nesta verificação, o auditor certificar-se-á de que:
• os procedimentos levantados, junto aos colaboradores envolvidos na exe-
cução do processo, vêm sendo executados conforme o fluxo documentado; e
• os controles internos identificados durante o levantamento do processo es-
tão sendo devidamente aplicados, suportando os riscos envolvidos para o alcance
dos objetivos propostos.
As possíveis melhorias, identificadas durante a análise do processo, serão
também confirmadas, com especial atenção para:
• sua comprovação/documentação;
• identificação de sua extensão;
• corroboração de suas implicações no processo.
Para a execução desta confirmação, deverão ser definidos, considerando cada
fase do processo levantado, quais os procedimentos de auditoria ideais para verifi-
cação do processo e comprovação das possíveis melhorias identificadas na análise
do processo.
Podemos conceituar procedimentos de auditoria como:
ação ou conjunto de eventos que comprovem a eficaz execução do
controle interno e/ou corroborem a existência de possíveis melhorias no processo auditado, atentando para:
• o embasamento de sua adoção em uma amostra ou na totalidade da mas-
sa de dados e informações avaliadas; e
• a certificação sobre a documentação, evidência, exemplificação e dimen-
são dos resultados obtidos.
Como vemos, o auditor estará estabelecendo uma metodologia para suportar
as suas conclusões, de forma a não propiciar dúvidas quanto à sua coerência e
pertinência, em relação ao processo auditado.
A documentação é de importância primordial em qualquer trabalho de confir-
mação do processo levantado e comprovação das possíveis melhorias, uma vez
que não bastam palavras ou intenções para o embasamento de qualquer avalia-
ção sobre o trabalho exercido por terceiros.
A simples tomada de opinião sobre a eficácia de algo, sem evidência ou docu-
mentação das bases utilizadas e argumentos considerados para as conclusões
obtidas, é uma forma inadequada de crítica, que impossibilita a explicação e sus-
tentação do efetivo valor agregado pela mesma.
Conhecimento de todo o processo, identificando a importância de cada uma de suas fases e interfaces com outros processos
Na avaliação do processo, o auditor precisa, dentro das limitações expostas pelo
tempo, pelo custo-benefício exigido e pelo objetivo a que se destina o trabalho, co-
nhecer o seu todo. Ou seja, o auditor necessita saber qual a finalidade das fases do
processo e qual a influência destas sobre os demais processos da empresa.
Esta visão do todo vem ao encontro não só da filosofia de uma Auditoria de
Processo, mas também da necessidade de termos sempre um conhecimento geral
das operações exercidas em nossa empresa.
A visão departamental do negócio exercido, estabelecendo a sua mera atuação
ou de seu departamento, como o limite necessário de seu conhecimento sobre os
processos da empresa, encontra-se totalmente ultrapassada.
Visando ao entendimento de sua importância, assim como à defesa do valor
agregado com sua atuação, o profissional moderno tem que deter o conhecimento
de todos os processos que cercam sua função dentro da empresa.
É quase uma questão de sobrevivência profissional a demonstração do total
conhecimento da importância de suas atribuições não só no sentido de desempe-
nhar o seu papel da melhor forma possível, mas também para permanente de-
monstração de sua importância dentro do contexto geral do processo.
Esta visão holística torna-se ainda mais importante para o auditor de processo,
pois ela é que vai tornar possível a identificação de quais melhorias agregarão valo-
res à empresa e de que forma.
Dentro deste conceito, o auditor aprende a importância de cada fase do pro-
cesso auditado, identificando de forma clara e objetiva:
• sua execução, atentando para os procedimentos exercidos, pessoas e limi-
tes de alçadas envolvidos;
• os riscos inerentes, pensando sempre nas consequências prováveis no ca-
so de sua ocorrência; e
• os controles que suportam o processo e garantem que seus objetivos se-jam alcançados.
Também é imprescindível que o auditor identifique como, quando e por que o
processo auditado tem ligação com os demais processos da empresa ou deles par-
ticipa de alguma forma.
A cada possível melhoria identificada cabe ao auditor avaliar o impacto e/ou
envolvimento em outros processos.
Por muitas vezes, uma alteração considerada essencial ao processo auditado po-
de literalmente aniquilar outros processos envolvidos, trazendo, ao invés de ganhos,
perdas ou prejuízos à empresa. Esta visão deve ser considerada não só na avaliação
dos controles adotados nos processos, mas também na definição dos procedimentos
de auditoria que serão adotados para a verificação de sua devida execução.
O auditor tem de ter certeza de que seus testes estão
abrangendo todo o processo auditado
Para a eficácia de seus resultados, a Auditoria de Processo precisa avaliar o
conjunto do processo, ou seja, é necessária a sua avaliação desde o fato que origi-
nou seu início até a elaboração de seu produto final, objetivo de sua existência.
O auditor tem que considerar os demais processos interligados ao processo auditado
Qualquer informação ou procedimento que, de forma manual, verbal ou eletrô-
nica, seja repassado aos demais processos da empresa necessariamente tem de
ser avaliado pelo auditor, visando a constatar sua integridade, exatidão e legitimi-
dade.
Também pensando em termos atuais, é primordial que o auditor, ao desenvol-
ver esta visão do todo, nunca perca o controle sobre o foco e o escopo de seu tra-
balho.
Quando se tem esta visão muito ampla, por vezes torna-se fácil perder o foco
do trabalho, ultrapassando-se os limites estabelecidos em seu escopo, possibilitan-
do a ocorrência de custos desnecessários e/ou do não atingimento dos resultados
previstos.
Durante nossa leitura, estaremos demonstrando as formas possíveis para a
adoção desta visão holística, considerando o fator custo-benefício e a manutenção
do foco e do objetivo atribuído a cada projeto de auditoria.
1.4 Normatização dos procedimentos adotados
Quando o auditor executa o seu teste, mesmo em se tratando de uma Auditoria
de Processo, além de avaliar a adequação dos controles existentes, em relação
aos objetivos e riscos envolvidos no processo, também visa à obtenção de segu-
rança quanto à exatidão dos controles exercidos.
Pode ser denominado “procedimento padrão”, “manual de controle interno”,
“procedimentos internos” etc.; o importante é que a empresa tenha previamente
documentados os seus processos, atentando para atualizações constantes de
seus procedimentos, e que estes sejam totalmente divulgados aos funcionários
da empresa.
Esta metodologia ajuda toda a empresa a ter uma visão processual de suas
atividades de negócio, facilitando o entendimento do valor agregado em cada fase
e da participação de todos os colaboradores nos processos existentes.
O levantamento do processo, junto ao auditado, é facilitado quando a empresa
possui documentada a forma ideal para adoção do processo. O auditor tem o seu
trabalho minimizado, uma vez que a fase de levantamento do processo restringe-se
à confirmação do processo ideal documentado pela empresa, atentando para sua
funcionalidade e eficácia.
É importante que, para a elaboração destas normas e de procedimentos
ideais, a empresa possua uma área específica, que fatalmente tenha grande afini-
dade com o setor de Auditoria Interna da empresa.
A cada novo processo ou atualização dos procedimentos existentes, é impres-
cindível que a Auditoria e a área de padronização dos processos avaliem a manu-
tenção da segurança e a agilidade das operações da empresa.
A verificação da execução dos procedimentos padronizados pela empresa dar-
se-á através da revisão, por amostragem, de cada passo ou fase do processo audi-
tado.
É também função do auditor verificar se existe conformidade dos procedimen-
tos padronizados pela empresa, visando à avaliação de sua correta divulgação e
eficaz treinamento entre os colaboradores envolvidos.
Durante a execução desta verificação, o auditor poderá deparar-se com alguma
possível correção ou atualização do procedimento padrão. Neste caso, mais uma
vez será primordial o conhecimento do processo, para que, em comum acordo com
a área auditada e com a área de padronização dos processos, sejam sugeridas as
ações corretivas cabíveis à sua eficácia.
Quando os procedimentos adotados para a execução do processo não se en-
contram documentados, o auditor obriga-se a um levantamento mais detalhado do
processo. Tal fato terá impacto direto no tempo disponível para a execução do pro-
jeto e sobre o seu custo, interferindo diretamente nos resultados previstos para a
auditoria.
A qualidade do trabalho pode ser afetada, em razão da falta de tempo hábil pa-
ra a obtenção de um conhecimento adequado do processo, e o custo para execu-
ção do projeto pode acarretar que seja definida uma equipe insuficiente ou inade-
quada para auditoria.
A normatização dos procedimentos adotados pela empresa é uma ferramenta
importante não apenas para a execução de uma Auditoria de Processo, uma vez
que se torna um fator imprescindível a disseminação da filosofia de processo por
seus colaboradores. A partir do momento em que a empresa documente seus pro-
cessos, divulgue e treine seus colaboradores na execução dos procedimentos en-
volvidos, é também disseminada a importância de cada participação em relação
aos objetivos e resultados esperados.
Cada colaborador compreende que ele representa, no todo do processo, o
grande objetivo envolvido em sua execução, e tem total conhecimento dos resulta-
dos possíveis, considerando sua performance neste contexto.
Com essa filosofia, a empresa obtém uma visão bem mais participativa de seus
colaboradores, que buscam, a partir daí, não só obter eficiência nas suas tarefas do
“dia a dia”, mas também acompanhar e lutar piamente pela manutenção da eficácia
do processo como um todo, preservando seus objetivos e visando ao alcance dos
resultados previstos.
1.5 Evolução da avaliação dos controles internos
Considerando as avaliações dos controles internos, feitas por uma área de Au-
ditoria que não tenha uma visão de processo, via de regra é comum o auditor inter-
no ser visto, pelo auditado, como alguém que vai se intrometer no trabalho desen-
volvido por sua área, dando sugestões e opiniões sobre assuntos que ele desco-
nhece e que, por muitas vezes, irão prejudicar ou tornar mais moroso o procedi-
mento exercido, sem qualquer razão aparente ou ganho compensatório.
Criticar o trabalho exercido por terceiros é uma tarefa extremamente árdua,
uma vez que ninguém gosta de ter sua função ou procedimento questionado, muito
mais se este questionamento partir de alguém completamente alheio ao processo.
As pessoas, por questões de autodefesa ou, mesmo, por incômodo, têm ten-
dência a contestar possíveis mudanças em seu trabalho, por considerarem que
qualquer alteração no seu “dia a dia” vai afetar diretamente a sua performance,
exigindo uma nova adaptação, ou interação, de algo que já está totalmente ab-
sorvido e, pelo menos em sua opinião, vem se mostrando eficaz.
Por ser alguém totalmente independente do processo, o auditor é obrigado a
conhecer os procedimentos e controles adotados, o que, dependendo da forma e
abrangência aplicadas, poderá representar uma parceria junto ao auditado ou uma
relação desgastante e nociva à conclusão da eficácia do processo.
Cabe ao auditor tornar claro o objetivo de seu trabalho, mostrando ao auditado a
importância de sua colaboração, para a obtenção de um resultado que agregue valor
ao processo. A partir daí, podemos observar claramente a evolução do trabalho de-
senvolvido pelo auditor na avaliação dos controles internos.
Em uma Auditoria com enfoque meramente operacional, o auditor levanta os
procedimentos exercidos pela área auditada, pensando em identificar possíveis
pontos de controle no processo e a melhor forma de testar a sua conformidade,
verificando se o que foi informado pela área representa efetivamente o que é feito
no processo e quais as possíveis sugestões para sua melhoria. Sob este enfoque,
o auditor concentra seus esforços para identificar problemas e apontar sugestões
para a sua correção.
Não queremos dizer que esta metodologia esteja errada, mas sua adoção está
muito calcada na avaliação do auditor, em sua capacidade técnica e sua ex-
periência na execução da função.
A necessidade de conhecer em detalhe determinado procedimento, de enten-
der esse procedimento dentro do contexto geral do processo e sua influência sobre
todos os demais processos adotados pela empresa vai depender das conclusões
obtidas pelo auditor operacional, após sua avaliação dos controles internos.
Volto a dizer que este procedimento não representa um erro, porém condicio-
nar a abrangência e a extensão da avaliação do controle interno ao julgamento do
auditor responsável pela execução do trabalho condiciona a eficácia desta avalia-
ção ao julgamento exercido por esse profissional.
Muitas vezes, a metodologia utilizada para avaliação do controle interno não se
apresenta padronizada, existindo apenas a preocupação de documentar o proces-
so avaliado, através de fluxo dos procedimentos ou de descrição narrativa de sua
execução, e evidenciar as conclusões da avaliação do controle interno feita.
Logicamente, na maioria das vezes, esta avaliação será revisada por alguém
superior tecnicamente ao auditor encarregado do trabalho, mas, de qualquer forma,
a falta de uma técnica ou metodologia específica para a avaliação dos controles
internos, independentemente de posterior revisão, representará o risco de um jul-
gamento inadequado do processo.
Considerando agora o enfoque de uma Auditoria de Processo, quando avalia-
mos os controles internos adotados para o desenvolvimento de qualquer processo
da empresa, é imprescindível, para mensuração da abrangência e extensão do
trabalho, a identificação de alguns parâmetros, tais como:
• dimensionamento dos indicadores, dados e números envolvidos no pro-
cesso (valores, quantidades, pessoas envolvidas etc.);
• interligação do processo auditado com os demais processos da empresa;
•
riscos inerentes ao processo, independentemente da eficácia dos controles adota-
dos;
• importância do processo em relação ao negócio exercido pela empresa,
considerando a sua continuidade, a ocorrência de perdas financeiras, o prejuízo à sua imagem e a manutenção da qualidade de seu produto final.
Após a identificação destes parâmetros, para a execução de um trabalho em
parceria com a área auditada, é primordial a obtenção das impressões que a alta
gestão do processo auditado tem em relação:
• aos objetivos do processo;
• aos processos e sistemas correlacionados à sua execução;
• às suas prioridades em relação à qualidade do serviço prestado e à eficá-
cia do processo;
• às principais atividades desenvolvidas e suas influências sobre o processo;
• aos riscos e deficiências conhecidos e aos controles adotados para seu
suporte;
• às ações em andamento, entendendo seus objetivos e os resultados al-
cançados;
• às políticas, às normas, aos procedimentos e à legislação vigentes; e
• às pessoas-chave envolvidas.
Municiado destas informações, o auditor estará apto a avaliar se o objetivo de
seu projeto apresenta-se pertinente ao processo a ser avaliado, identificando, junto
à alta gestão responsável:
• as necessidades e as expectativas do resultado da auditoria;
• o entendimento e o acordo do objetivo do trabalho; e
• a melhor forma para a execução do projeto, considerando o staff da área
auditada, os documentos e as informações envolvidas, o prazo estabelecido pela
auditoria e a forma de acompanhamento e divulgação dos resultados alcançados.
Essas etapas são primordiais para o sucesso do trabalho, uma vez que possibi-
litam que a área auditada efetivamente exerça uma parceria, auxiliando com a in-
formação e divulgação de todos os dados importantes ao entendimento do proces-
so.
A forma para documentação dos procedimentos, avaliados com um enfoque de
Auditoria de Processo, representa uma ferramenta que possibilita ao auditor de-
monstrar, para cada fase do processo auditado:
• o fluxo dos procedimentos exercidos;
• a descrição das informações e dados envolvidos nestes procedimentos;
• o objetivo da fase avaliada;
• os riscos envolvidos pelo não atingimento deste objetivo;
• os controles adotados para suportar estes riscos;
• a análise da auditoria, se os controles efetivamente suportam ou não os
riscos identificados; e
• os procedimentos de auditoria que serão executados para avaliação dos controles internos adotados.
Durante o nosso estudo, exemplificaremos as ferramentas utilizadas para a
avaliação do controle interno, com um enfoque de Auditoria de Processo.
Ao término desta avaliação, o auditor terá todas as condições de identificar e
demonstrar, de forma gráfica, as causas e os efeitos apresentados para cada ponto
de controle existente no processo auditado.
Como vemos, a existência de uma metodologia-padrão, com forma e cronolo-
gia definidas, facilita a vida do auditor, proporcionando maior segurança quanto aos
resultados obtidos e credibilidade e participação da área auditada na adoção das
possíveis melhorias identificadas no processo auditado.
Uma Auditoria de Processo eficaz permite que o auditor transmita à área audi-
tada os verdadeiros ganhos agregados com suas possíveis sugestões de melho-
ria, principalmente por demonstrar que sua participação na conclusão e definição
destas sugestões foi essencial ao sucesso do trabalho. O auditado efetivamente
percebe que, atuando como parceiro do auditor, o processo passa a agregar valor.
O conhecimento mútuo do processo, considerando o seu executor e uma pes-
soa independente à sua execução, possibilita que vícios e acomodações que este-
jam tornando as rotinas morosas ou desqualificadas sejam eliminados, assim co-
mo soluções não factíveis, ou que influenciem outros processos correlatos de forma
negativa não sejam propostas.
Trabalhando como parceiros, auditor e auditado reconhecem sua importância
para a empresa e potencializam o valor a ser agregado ao negócio exercido.
1.6 O que significa a existência de algum risco
A auditoria é exercida, via de regra, por amostragem.
São definidos os processos a serem auditados dentre aqueles em que se iden-
tificar a maior relevância para a execução do negócio-fim da empresa auditada.
Cabe à área de Auditoria definir o grau de risco envolvido em cada processo, para
determinação da amplitude exigida perante os riscos.
O auditor terá de mapear os macroprocessos de sua empresa, identificando
sua importância dentro do negócio praticado e nas prioridades assumidas para o
período a ser auditado. Dependendo da situação mercadológica ou do momento
que atravesse a empresa, as prioridades podem ser alteradas, estabelecendo-se
focos de trabalho imprescindíveis ao sucesso do auditor.
É importante ter sempre em mente que o principal objetivo do auditor de pro-
cesso é proporcionar a melhor forma e condição de praticar o negócio-fim da em-
presa. Por exemplo, em uma indústria, o auditor trabalha para que suas vendas
aumentem, a qualidade dos produtos melhore e a rentabilidade de suas operações
seja sempre crescente.
Daí a necessidade de identificar os riscos envolvidos em cada macroprocesso
da empresa, para que não seja perdido tempo nem munição em algo que não pos-
sa representar um ganho prioritário para seu negócio-fim.
Não estamos, com isso, afirmando que os processos que não envolvam gran-
des riscos não tenham que ser vistos, ou que, por isso, não representem problemas
em potencial, porém, com certeza, é preferível trabalhar pensando que os macro-
problemas estão sendo mais bem controlados do que aqueles pontuais que, de
forma isolada ou em conjunto, possam representar alguma perda menor para a
empresa.
Partindo do princípio de que o mais importante está sendo preservado, a audito-
ria aplica uma teoria de risco prioritário, sabendo que perdas ou falhas podem ocorrer
em processos menos prioritários, mas sempre em uma proporção que não gere sé-
rios danos à continuidade e eficácia do negócio exercido pela empresa.
Dentro da possibilidade, e constatando-se a finalidade eminente, processos
não prioritários ao produto final da empresa também serão auditados, porém em
menor frequência e com menor ênfase.
Não esquecendo que, no caso de alguma denúncia ou da constatação de atitu-
de de dolo à empresa, independentemente da importância do processo, será exer-
cida auditoria para apontamento dos fatos, sendo que com um enfoque totalmente
diferente de uma Auditoria de Processo.
Dentro deste nosso estudo, estaremos discutindo sobre os outros tipos de audi-
toria, comparados a uma Auditoria de Processo.
O auditor mapeando os macroprocessos da empresa a ser auditada
Quando o auditor mapeia os macroprocessos da empresa, visando a estabele-
cer sua abordagem de auditoria, é primordial que, antes de qualquer levantamento
prévio ou entendimento do processo, seja ouvido o principal gestor ou executivo
envolvido.
É imprescindível conhecer, do auditado, quais são suas prioridades e metas
para o período em curso, assim como entender quais os pontos considerados críti-
cos ou cruciais em seu processo. Estes dados serão os fomentadores dos resulta-
dos esperados, pela área, perante o trabalho da auditoria.
O enfoque de uma Auditoria de Processo está calcado na parceria junto ao au-
ditado, que se torna inviável sem o total conhecimento das metas, das prioridades e
dos aspectos essenciais à sua execução eficaz e obtenção dos resultados espera-
dos.
O principal objetivo do auditor de processo é proporcionar a melhor forma e
condição de praticar o negócio-fim da empresa. Logo, a melhor forma de alcançar
este objetivo é proporcionar estas melhorias aos processos que formam os negó-
cios da empresa.
Após a obtenção das prioridades e metas do auditado, em relação ao processo
desenvolvido, o auditor estabelece os pontos convergentes destes dados com os
objetivos da auditoria que serão propostos para a área.
Para a existência de uma parceria real entre auditor e auditado, em relação à
obtenção de trabalhos que agreguem valor aos processos, os objetivos propostos
no projeto, além de deslumbrarem a verificação e a análise de todos os riscos ine-
rentes, têm de estar em linha com as prioridades e metas do auditado.
Como toda parceria, a eficácia do trabalho a ser feito está calcada no alcance
de todas as expectativas previstas por seus participantes.
O auditor, demonstrando que as prioridades e as metas do auditado também
estão incluídas no escopo de seu trabalho, facilita a sua cooperação e esclarece
que, sem ela, será impossível identificar as possíveis melhorias ao processo.
Estabelecidos os pontos de convergência, o auditor avalia, através do levanta-
mento prévio dos dados envolvidos, do macrofluxo do processo e do entendimento
sumarizado dos procedimentos adotados, quais seriam os riscos inerentes envolvi-
dos, classificando sua importância como:
ALTA, MÉDIA e BAIXA.
Levantamento Prévio
Basicamente, esta fase representa o dimensionamento do processo, na qual o
auditor levanta as informações relativas a números e quantidades envolvidas nos
controles exercidos.
Para um entendimento prático disto, no caso de uma auditoria sobre a área de
vendas, serão questionados aspectos como:
• Qual o tamanho da carteira de clientes com que a empresa trabalha?
• As vendas apresentam-se pulverizadas ou centralizadas em alguns poucos
clientes?
• Qual o volume de vendas ocorridas no período-base da auditoria?
• Qual a quantidade de cancelamentos e seu percentual sobre as vendas,
neste mesmo período?
• Quais os canais de vendas utilizados pela empresa?
• Qual é a estrutura do departamento de vendas, a importância e responsa-
bilidade de cada setor envolvido?
• Qual a receita obtida no período, confrontando seu total com os períodos
anteriores?
Como vemos, trata-se de dados que são armazenados pela auditoria, visando
a uma análise da importância do processo em relação ao negócio exercido pela
empresa.
Esta fase caracteriza-se pelo questionamento de todos os dados necessários
ao melhor entendimento possível da performance e resultados gerados pelo pro-
cesso a ser auditado.
É muito importante que esta fase tenha o envolvimento da alta gestão do pro-
cesso, imprescindível ao entendimento da necessidade de ter dados confiáveis
sobre o processo.
O envolvimento da alta gestão facilita a disponibilidade destes dados pelas
áreas que dão suporte ao processo, deixando clara a importância de sua integrida-
de e exatidão.
Aliás, a participação da alta gestão é fator decisivo para o sucesso de uma Au-
ditoria de Processo.
Através da abertura das portas para a informação dos dados envolvidos e re-
sultados obtidos, a alta gestão é a principal responsável pela divulgação, junto aos
seus subordinados, da grande importância de suportar devidamente o trabalho do
auditor.
Os demais membros do processo sentem-se mais seguros em transmitir estes
dados e auxiliar o trabalho do auditor, quando esta segurança é passada por sua
diretoria imediata.
Como já discutimos anteriormente, colocar o seu trabalho em julgamento é
uma tarefa preocupante para o auditado. Ele se sente vulnerável à identificação de
falhas em seu trabalho, o que gera um bloqueio involuntário no auditor.
Quando o auditor consegue vender à alta gestão do processo a importância e
os resultados possíveis com a realização de uma auditoria de processo, através de
real parceria com o auditado, esta alta gestão tem todas as condições de motivar
seu pessoal de suporte a não temer ou bloquear o trabalho do auditor.
Porém, no caso em que a alta gestão não compra ou, melhor, não entende a
importância do trabalho que uma Auditoria de Processo fará, é melhor nem come-
çar o trabalho, pois o mesmo estará fadado ao fracasso.
Para que isto não ocorra, o auditor de processo deve sempre demonstrar à alta
gestão que sua atuação é de um grande colaborador das áreas da empresa, dis-
posto a auxiliar, para que o negócio-fim seja exercido da melhor forma possível e
cada vez mais os resultados sejam atingidos, de preferência superando as expecta-
tivas orçadas.
Mantendo-se esta visão de parceria, fica facilitada a obtenção de um
macrofluxo do processo e do entendimento sumarizado dos procedimentos adotados.
Trata-se do primeiro contato com os membros do processo, visando a uma vi-
são macro dos controles e de seus objetivos.
O auditor obtém esta visão através de uma entrevista junto aos principais res-
ponsáveis pela gerência da performance do processo.
Não nos podemos prender a detalhes neste momento, uma vez que não se tra-
ta de um levantamento do sistema, mas apenas do conhecimento dos grandes
objetivos envolvidos e dos principais controles adotados para seu suporte.
O auditor deve ser prático ao extremo, obtendo do auditado uma visão bem
macro do processo. O imprescindível, neste momento, é identificar quais as princi-
pais etapas do processo, o objetivo de cada uma delas e quais os controles que
suportam estes objetivos.
Lembre-se de que a pessoa que está sendo entrevistada precisa ter total co-
nhecimento da finalidade do trabalho do auditor, naquele momento. É vital que não
se gere qualquer dúvida quanto à necessidade e finalidade das informações solici-
tadas. O auditado não pode ter a sensação de que, no futuro, este tipo de solicita-
ção será refeito.
Também é primordial ao sucesso de uma parceria o entendimento da impor-
tância de cada fase do trabalho proposto. Não haver dúvida sobre o grau de pro-
fundidade necessário, assim como do resultado previsto, é aspecto essencial ao
bom entendimento entre auditor e auditado.
Quando nos referimos às etapas do processo e a seus objetivos, estamos fa-
lando efetivamente das fases cronológicas do processo. Quando dividimos qual-
quer processo, considerando suas principais etapas de execução, fica muito mais
fácil o entendimento dos procedimentos adotados, assim como a avaliação de seus
objetivos e importância.
Analisando o processo como um todo, é possível obter um entendimento dos
principais objetivos envolvidos, identificar os controles que os suportam e concluir
sobre os riscos inerentes à sua execução. Porém, imagine se, ao invés de esta
avaliação corresponder ao processo como um todo, ela tivesse como foco cada
fase de sua execução.
Quando se analisam os objetivos e os controles existentes em cada fase do
processo, é possível a identificação de riscos que, em uma visão global, poderiam
ficar despercebidos. O conjunto dos riscos atribuídos a cada fase do processo cor-
responde aos aspectos ou fatores que devem ser considerados para que o produto
ou resultado gerado pelo processo seja eficaz.
Analisando o todo, corre-se o perigo de não vislumbrar um risco que, embora
não pareça tão primordial ao processo, sendo ofensor a alguma fase do mesmo,
possa afetar a qualidade ou eficácia do produto final pretendido.
Sendo mais uma vez práticos, exemplificamos um processo desenvolvido por
um lava-jato de automóveis. Considerando o processo como um todo, sem a sepa-
ração de suas etapas produtivas, o desenho dos procedimentos adotados apresen-
tar-se-ia assim:
Avaliando o fluxo, podemos concluir que os principais objetivos são:
• a lavagem do carro com a maior qualidade possível;
• o término do processo de lavagem dentro do prazo acordado com o cliente;
• liquidação financeira da operação.
O principal controle do processo seria:
• o Relatório de Produção que registra todo o histórico do processo.
E, a partir daí, podemos concluir que os principais riscos envolvidos seriam:
• prejuízo à imagem da empresa pela execução de um trabalho com baixo
padrão de qualidade;
• perda financeira por diminuição da clientela pela existência de serviço des-
qualificado;
• perda financeira relativa à quitação indevida do processo.
Considerando o mesmo processo, mas dividindo-o nas etapas de recebimento
do veículo, lavagem do veículo e cobrança e entrega do serviço, o desenho
dos procedimentos adotados apresentar-se-ia assim:
Além da melhor clareza e interpretação do processo, analisando os objetivos,
riscos e controles, podemos fazer as seguintes observações:
Primeira Etapa: recebimento do veículo
Objetivo Risco Controle
Registrar o início do
processo, estabelecendo o
prazo para o término em
acordo com o cliente.
Prejuízo à imagem da
empresa, pelo não
cumprimento dos prazos
acordados, e à qualidade do
processo, pela falta de
controle dos serviços
iniciados.
Relatório de Controle de
Produção, onde são
registrados todos os veículos
recebidos e o prazo acordado
para o término do serviço.
Comentários. O prejuízo à imagem da empresa pelo não cumprimento dos
prazos e por falta de qualidade nos serviços prestados foi identificado em nossa
primeira análise, mas a identificação do registro inicial do processo, como um dos
objetivos desta etapa, possibilitou o conhecimento de um dos ofensores à obtenção
de qualidade no processo.
Além do mais, esta etapa também tem uma importância quanto à quitação fi-
nanceira do processo, pois representa a definição dos parâmetros que serão se-
guidos para a execução do serviço.
Segunda Etapa: lavagem do veículo
Objetivo Risco Controle
Registrar todos os insumos
utilizados e serviços
executados para a lavagem
total do veículo.
Prejuízo à imagem da
empresa, pela falta de
qualidade dos serviços
executados, e perda
financeira pelo desperdício de
insumos no processo.
Relatório de Controle de
Produção, onde são
registrados todos os insumos
utilizados e todos os serviços
executados na lavagem dos
veículos.
Comentários. Como podemos ver, quando analisamos o processo por etapas,
podemos, mesmo de forma macro, aprofundar um pouco mais nosso conhecimento
sobre ele, identificando outros objetivos além daqueles percebidos, quando da vi-
são total do processo.
O objetivo de controlar os insumos utilizados na lavagem não aparecia no pri-
meiro processo, mas, quando avalia por etapa, o auditor extrai do auditado a razão
de existir desta etapa, o que proporciona um conhecimento maior e mais profundo
da operação.
Terceira Etapa: cobrança e entrega do serviço
Objetivo Risco Controle
Garantir a qualidade do
serviço executado, assim
como estão sendo cobrados
do cliente todos os serviços
solicitados no prazo
acordado.
Prejuízo à imagem da
empresa, pelo não
cumprimento dos prazos
acordados, e à qualidade do
processo, pela falta de
controle dos serviços
executados e pela cobrança
indevida do serviço prestado.
Relatório de Controle de
Produção, onde é registrada
a inspeção de qualidade do
serviço.
Comentários. A constatação de que a inspeção de qualidade é um controle
primordial para a verificação da qualidade e cobrança adequada do serviço presta-
do só foi possível com a identificação do processo em etapas.
É importante salientar que a definição do início e do fim de cada etapa é
primordial para uma avaliação correta do processo. Sempre temos que considerar,
de forma cronológica, as etapas em que podemos identificar objetivos distintos.
Cada etapa deverá abranger quantos procedimentos sejam necessários para a
execução deste objetivo. Por isso, é essencial que o auditado concorde com a divi-
são destas etapas, pois ninguém mais do que ele é conhecedor das principais fa-
ses do processo e de seus correspondentes objetivos.
Lembre-se de que nós estamos falando sempre de macroprocessos. Logo, este
estudo de risco deve ser feito, considerando os grandes processos da empresa, que
irão variar em relação a cada tipo de negócio praticado ou mercado envolvido.
Uma forma de identificar os macroprocessos da empresa de forma clara é soli-
citar o entendimento da sua presidência. Ninguém melhor do que o dono para
constatar o que realmente é importante.
Classificação dos riscos em ALTO, MÉDIO e BAIXO
O risco representa uma possibilidade, ou seja, trata-se de algo que existe e pode
ocorrer, mas isso não quer dizer que sua ocorrência seja líquida e certa.
Quando falamos de riscos, temos de focar as conseqüências causadas por sua
ocorrência, ou seja, o que acontece se o risco deixar de ser uma possibilidade pa-
ra, de fato, exercer algum fator negativo no processo da empresa.
A classificação dos riscos está ligada à importância que essas consequências
exercem sobre os processos da empresa. Quando falamos em importância, esta-
mos considerando todos os aspectos ligados à eficácia da execução do negócio
exercido pela empresa. Dentre estes aspectos, podemos salientar sua representa-
ção para obtenção de qualidade no produto ou serviço prestado, a exposição da
imagem da empresa, a materialidade dos valores envolvidos e sua participação na
receita gerada.
A representatividade na obtenção de qualidade refere-se a riscos com potencial
para a diminuição ou a extinção de qualidade nos produtos ou serviços prestados.
A exposição da imagem da empresa diz respeito a riscos que possibilitem pre-
juízo à imagem que a empresa tenha perante seu público de clientes e/ou o merca-
do em geral.
A materialidade dos valores envolvidos e sua participação na receita gerada
correspondem a riscos que poderão prejudicar financeiramente as operações da
empresa, afetando de forma significativa o seu resultado.
Após a identificação do grau de risco envolvido em cada processo, é necessário
estabelecer alguns critérios para definição da classificação destes riscos, conside-
rando sua abrangência em relação aos macroprocessos desenvolvidos pela empre-
sa. Como em todo critério, não existe uma forma certa ou errada para sua aplicação.
Mas o auditor deve certificar-se de que sua forma de classificação dos riscos identifi-
cados está considerando os aspectos de importância citados acima. Mas, antes de
comentarmos esta classificação, é importante o entendimento da razão de sua exis-
tência. Por que o auditor classifica os riscos por sua importância?
Como já dissemos anteriormente, a maior parte do trabalho do auditor é
exercida por amostragem. Logo, esta amostragem tem de ser calcada em algum
critério.
Classificando os riscos identificados como ALTO, MÉDIO e BAIXO, o auditor
restringe o seu campo de ação, gastando a sua munição nos processos que te-
nham risco ALTO. Os riscos classificados como MÉDIOS e BAIXOS também serão
vistos, mas logicamente sem a mesma ênfase e intensidade.
É primordial cobrir o maior volume de riscos ALTOS, em que se concentram as
possíveis melhorias nos processos, com oportunidades de ganhos significativos
para a empresa. Logo, voltando ao critério desta classificação, os parâmetros de
importância, citados anteriormente, são primordiais, uma vez que, independente-
mente da forma a ser utilizada, os riscos considerados ALTOS terão que gerar co-
mo consequência:
• diminuição ou extinção de qualidade nos produtos ou serviços prestados;
• prejuízo à imagem que a empresa tenha perante seus clientes e/ou o mer-
cado em geral;
• interferência financeira nas operações da empresa, afetando de forma sig-
nificativa o seu resultado.
Seguindo este raciocínio, o que fará distinção entre os riscos classificados co-
mo ALTO, MÉDIO e BAIXO será efetivamente a intensidade dada a estas conse-
quências. Logo, os riscos MÉDIOS e BAIXOS terão também consequências que
afetarão os processos da empresa, porém em menor intensidade.
Segue uma forma de estabelecer este critério.
Critério para classificação dos riscos
Classificação dos riscos Tipo de consequência
ALTO •
diminuição ou extinção de qualidade nos produtos ou serviços
prestados;
•
prejuízo à imagem que a empresa tenha perante seus clientes
e/ou o mercado em geral;
•
interferência financeira nas operações da empresa, gerando
perdas correspondentes a mais de 10% de seu resultado;
MÉDIO •
diminuição parcial da qualidade dos produtos ou serviços
prestados, porém sem sua total extinção;
•
interferência financeira nas operações da empresa, gerando
perdas correspondentes à faixa de 1 a 10% de seu resultado;
BAIXO •
interferências pontuais no processo, que podem vir a afetar a
qualidade dos produtos ou serviços prestados;
•
interferência financeira nas operações da empresa, gerando
perdas inferiores a 1% de seu resultado.
Comentários. Reparem que a existência do prejuízo da imagem da empresa, pe-
rante seus clientes e/ou o mercado em geral, aparece somente no ALTO RISCO.
Qualquer risco que tenha como consequência o prejuízo à imagem da empresa
só pode ser classificado como ALTO. O maior valor conquistado por uma empresa é
o reconhecimento de seu nome junto a seus clientes e ao mercado em geral. Qual-
quer prejuízo a esta imagem sempre tem que ser considerado como ALTO.
Lembre-se de que este é apenas um exemplo para adoção de um critério de avali-
ação dos riscos. Não tenho a pretensão de dizer que seja o melhor ou o único.
Os principais fatores a serem considerados nesta classificação são a manuten-
ção dos já citados parâmetros de importância e a adoção de simplicidade e objeti-
vidade na hora da definição do critério.
Qualquer critério muito rebuscado ou detalhado poderá não ser prático ao audi-
tor, interferindo inclusive de forma negativa para o alcance de uma classificação
eficaz dos riscos identificados nos macroprocessos da empresa.
1.7 Finalidade dos procedimentos de auditoria
Como vimos no tópico relativo à evolução do trabalho desenvolvido pelo audi-
tor, na avaliação dos controles internos, uma visão holística do processo é impres-
cindível para a eficácia de uma Auditoria de Processo.
Quando um auditor avalia os controles com um enfoque em processo, suas
conclusões têm de abranger o processo auditado como um todo, ou seja, é neces-
sário considerar todos os controles, objetivos e riscos existentes, desde seu início
até a elaboração do produto final a que se propõe ou até a correspondente presta-
ção de serviço almejado.
O auditor não pode restringir-se a uma operação ou a um departamento da
empresa; sua análise deve corresponder a uma visão holística do processo, consi-
derando, para tal, todas as operações e áreas envolvidas para sua execução e efi-
cácia. Quando avalia os procedimentos, considerando seus objetivos, riscos e con-
troles, relativos apenas a uma das áreas envolvidas no processo, suas conclusões
estarão incompletas.
A visão de processo implica entender que as áreas não são partes independen-
tes do processo. Na verdade, elas participam da definição de seu produto final e
compreendem a importância de sua participação, assim como a de todas as de-
mais áreas envolvidas no processo. É primordial esta visão, para que a Auditoria de
Processo tenha sucesso.
Estabelecendo uma visão gráfica, podemos dizer que, quando a empresa atua
sem uma visão de processo, o fluxo de operações e informações, entre as áreas
envolvidas, apresenta-se completamente vulnerável:
Como podemos observar, as informações e as operações envolvidas no pro-
cesso são passadas entre as áreas de forma desordenada e repetitiva, possibili-
tando a ocorrência de retrabalho e operações ineficazes.
Isto ocorre porque as áreas apenas estão interessadas em executar sua parte
no processo, atentando para que meramente o seu procedimento esteja correto.
Não existe a preocupação com o resultado final. As áreas ocupam uma posição de
egoísmo, fechando-se em suas atribuições e esquecendo-se de que o importante
é o resultado final do processo.
O desconhecimento da importância atribuída à participação de cada área en-
volvida e a inexistência de uma gerência coletiva da obtenção dos resultados finais
previstos são as principais causas para inevitável ocorrência de retrabalho e opera-
ções ineficazes, quando as empresas não disseminam, junto às suas áreas, uma
visão de processo.
Podemos observar uma visão gráfica do fluxo das operações e informações en-
tre as áreas envolvidas totalmente diferente, quando a empresa atua com uma vi-
são de processo:
Visão gráfica de um fluxo de operações com visão de processo
Como vemos, as informações e as operações fluem de forma contínua e uni-
forme, uma vez que todas as áreas têm o total conhecimento da importância de sua
participação no processo e também conhecem o tipo de participação e resultado
previsto para as demais áreas incluídas neste processo.
Tal conhecimento facilita a identificação de possíveis falhas ou perdas de qua-
lidade para a obtenção do produto final do processo, demonstrando preocupação
com a manutenção de sua eficácia e com a constante avaliação da performance do
processo.
Na execução dos procedimentos de auditoria, o auditor de processo utiliza-se
desta visão do todo para seus testes. É primordial a verificação de objetivos, riscos
e controles atribuídos em cada fase do processo, considerando desde o seu início
até a execução do produto final ou a prestação do serviço proposto.
Classificação dos procedimentos de auditoria com enfoque em auditoria de processo
I – Testes visando à identificação da execução das rotinas e normas determi-
nadas pela empresa
Uma das finalidades apresentadas para os procedimentos de auditoria com um
enfoque de processo é a verificação do desenvolvimento dos procedimentos e das
rotinas adotados, conforme as políticas e normas estabelecidas pela empresa.
Ao levantar o sistema de controle interno do processo a ser auditado, as políti-
cas e as normas estabelecidas pela empresa devem ser pesquisadas, visando à
identificação de seu cumprimento. Os procedimentos adotados serão confrontados
com as normas estabelecidas pela empresa, através da documentação do fluxo do
processo. Quando o auditor documenta o fluxo do processo avaliado, é necessário
verificar se o manual de normas e procedimentos da empresa está sendo respeita-
do.
Para isto, considerada como uma etapa prévia do levantamento do sistema, ou
como uma fase de emersão do processo, antes de documentarem-se os procedi-
mentos e as rotinas adotados, através da documentação de seu fluxo, o auditor
identifica quantas e quais são as normas e as políticas adotadas pela empresa.
Estas políticas e normas serão estudadas e aprendidas pelo auditor, antes do le-
vantamento do sistema de controle interno e documentação do fluxo das rotinas e
controles desenvolvidos no processo. Isto ocorre com a finalidade de serem consta-
tadas as necessidades de mudanças ou adaptações aos processos desenvolvidos,
para que as normas e os procedimentos definidos pela empresa sejam respeitados.
As normas e os procedimentos definidos pela empresa são procedimentos e
controles que, de forma prévia, já foram constatados como itens essenciais à eficá-
cia do processo. Logo, a constatação da aderência das rotinas adotadas a estas
normas e procedimentos, considerados como padrões de qualidade, é uma das
finalidades básicas de uma Auditoria de Processo.
II – Testes visando à confirmação das rotinas documentadas pelo auditor
Após o levantamento do sistema de controle interno e uma posterior documenta-
ção dos procedimentos e controles adotados no processo, é imprescindível que o
auditor verifique se estas rotinas realmente ocorrem de acordo com a descrição do
auditado. Mesmo que o fluxo levantado demonstre que os procedimentos desenvol-
vidos estão respeitando as políticas e as normas da empresa e que aparentemente
não existe risco não suportado por controle adequado, é imprescindível a verificação
da real aplicação destes controles e rotinas na execução do processo.
O auditor deverá avaliar se os controles realmente estão sendo adotados, con-
forme o fluxo levantado junto ao auditado, e se sua aplicação vem ocorrendo de
forma a permitir a obtenção da eficiência prevista nas políticas e normas estabele-
cidas pela empresa.
É muito comum, quando da execução de testes que visam a avaliar a con-
formidade do fluxo documentado, constatar que algum procedimento ou determi-
nado controle levantados junto às áreas não ocorram da exata forma descrita pelo
auditado. Este fato não é determinante de que o auditado esteja, de alguma forma,
escondendo ou camuflando possíveis falhas em seu processo.
Muitas vezes, isto ocorre simplesmente porque os gestores dos processos não
estão atentos a possíveis fatores, tais como:
• ocorrência de atualizações ou modificações no processo originalmente de-
finido, por livre-arbítrio das pessoas envolvidas na execução de suas rotinas e con-
troles;
• execução dos procedimentos e controles definidos pela empresa, porém
de forma incorreta;
• aumento dos volumes originalmente definidos ou das demandas e/ou in-
formações envolvidas, causando incompatibilidade das ferramentas envolvidas no
tratamento ou armazenamento dos dados, obrigando à ocorrência de controles
paralelos ou não considerados nas normas da empresa;
• mudança das prioridades ou do enfoque do negócio da empresa, sem a
devida atualização dos controles e procedimentos originalmente descritos para o processo.
Porém, também pode ocorrer a identificação de controle ou procedimento exer-
cido em desacordo com as normas e políticas da empresa, por efetiva falha no pro-
cesso. A identificação de ambos os casos somente ocorrerá a partir da execução
de testes que visem à verificação da conformidade do processo.
Estes testes correspondem à verificação, por amostragem, de que os procedi-
mentos e os controles documentados no fluxo levantado junto ao auditado estão
sendo efetivamente aplicados pelas áreas envolvidas no processo.
A partir da seleção de uma amostra representativa dos documentos, informa-
ções ou formulários que representem o início do processo, o auditor avalia, consi-
derando o período-base para seus testes, se as amostras selecionadas seguiram
as rotinas e os controles previstos no fluxo documentado, e se os objetivos identifi-
cados em cada fase do processo apresentam-se preservados pelas áreas envolvi-
das, até a execução do produto final previsto ou a prestação do serviço proposto
pela empresa. Efetivamente, o auditor estará confirmando a execução dos proce-
dimentos e controle descritos em seu fluxo.
Estaremos exemplificando e detalhando mais a execução de testes de confor-
midade durante o nosso estudo da Auditoria de Processo.
III – Testes visando à comprovação/confirmação de possíveis melhorias iden-
tificadas no fluxo do processo documentado pelo auditor
Durante o levantamento do processo, quando o auditor descreve, para cada
uma de suas fases, os procedimentos adotados, seus objetivos, riscos e controles
existentes, já é possível identificar possíveis melhorias a serem sugeridas.
Na verdade, durante a documentação do fluxo do processo, no momento em que
o auditor está avaliando objetivos, riscos e controles de cada uma de suas fases, ele
tem condições de verificar possíveis falhas ou fatores diversos envolvidos em sua
execução, que permitam identificar melhorias nos processos auditados. Trata-se,
como já citamos, apenas de possibilidades, porém, nesta fase de nossa avaliação,
qualquer possibilidade de melhoria no processo deve ser considerada.
Apesar de não termos ainda certeza sobre a praticidade e a eficácia das possí-
veis melhorias identificadas, nenhuma oportunidade de melhoria ou ganho nos pro-
cessos desenvolvidos pela empresa deve ser descartada antes de uma avaliação
mais adequada do auditor. Esta avaliação diz respeito ao auditor verificar, através
da execução de testes de comprovação/confirmação, se estas possíveis melhorias
realmente representam um ganho, seja de valor intrínseco, de qualidade, seja da
performance para o processo.
Mais uma vez, é importante a visão holística do processo e, nesse caso, não só
quanto ao processo auditado, mas também quanto à análise de sua participação e
relação com os demais processos existentes quanto a empresa. É preciso avaliar
se mudanças ou alterações necessárias à efetivação das possíveis melhorias iden-
tificadas no processo não irão criar algum impacto negativo nos demais processos
já existentes na empresa.
Algumas dessas mudanças analisadas de forma isolada podem ser considera-
das totalmente viáveis e não representar qualquer interferência na performance do
processo auditado.
Porém, analisando os demais processos que utilizem dados ou informações
modificadas, de forma comum, as diferenças podem representar uma intervenção
direta na performance, na qualidade ou nos objetivos estabelecidos.
Além disso, estas possíveis melhorias devem ser avaliadas, considerando-se o
enfoque e as políticas estabelecidas pela empresa para a prática de seu negócio-
fim. Não adianta as possíveis melhorias agregarem valores intrínsecos de qualida-
de ou de performance para o processo, mas representarem uma caracterização de
um desvio do enfoque, da política ou das diretrizes estabelecidas pela empresa,
para a elaboração e a comercialização de seu principal produto.
Os aspectos citados e a própria constatação do efetivo ganho de algum valor
intrínseco de qualidade ou da performance do processo são constatados, através
da execução de testes que visam à comprovação/confirmação de possíveis melho-
rias identificadas no fluxo do processo documentado pelo auditor.
A partir do registro de todas as possíveis melhorias identificadas na documen-
tação do fluxo do processo, o auditor executa comprovações/confirmações de que
estas melhorias realmente representarão um ganho a ser agregado ao processo.
Estas comprovações/confirmações representam procedimentos de auditoria, visan-
do:
• à confirmação e valorização de possível perda gerada na adoção do pro-
cesso;
• à comprovação de que as melhorias são factíveis e de que representam
um ganho mensurável para o processo;
• à verificação do custo-benefício para implantação da melhoria do processo,
comprovando a praticidade, eficácia e viabilidade de sua adoção; e
• a apontar a forma de medição da confirmação de que as melhorias repre-sentarão um ganho agregado ao processo, após sua implantação.
Efetivamente, o auditor estará confirmando a pertinência das possíveis melho-
rias identificadas na avaliação do fluxo de procedimentos documentados, como
uma forma de agregar alguma espécie de ganho ao processo.
Estaremos exemplificando e detalhando mais a execução dos testes, visando à
comprovação/confirmação de possíveis melhorias identificadas no fluxo do processo
documentado pelo auditor, durante o nosso estudo da Auditoria de Processo.
1.8 Relação com as demais modalidades de auditoria
Partindo do ponto de vista da capacidade do auditor, seu perfil profissional, ne-
gócio exercido pela empresa e treinamento necessário, a área de auditoria interna
pode ter representantes das seguintes modalidades de auditoria.
Auditoria Contábil
Focada nos registros efetuados nas demonstrações financeiras, destina-se ao
exame e à avaliação de seus componentes, considerando sua adequação, bem
como a aplicação dos princípios fundamentais de Contabilidade.
Quando nos referimos à adequação de seus componentes, mencionamos:
• registros e procedimentos contábeis;
• sistemática dos controles internos;
• observância de normas;
• regulamentos; e
• padrões aceitáveis.
As demonstrações financeiras são informações destinadas a apresentar a situ-
ação da evolução do patrimônio da empresa aos administradores e a terceiros,
alheios à mesma.
As demonstrações devem informar aos seus usuários quais os critérios adota-
dos em sua elaboração. Para isso, adotou-se um conjunto de convenções conheci-
das como princípios e normas de Contabilidade geralmente aceitas para a elabora-
ção das demonstrações financeiras, que se referem basicamente à avaliação do
patrimônio e à maneira de apresentar as informações nelas contidas.
Na Auditoria Contábil, a responsabilidade do auditor é avaliar a fidedignidade
das informações contidas nas demonstrações financeiras e se as mesmas vêm
respeitando os princípios e normas de Contabilidade geralmente aceitos.
Auditoria Tributária
Objetiva o exame e a avaliação do planejamento tributário e a eficácia dos pro-
cedimentos e controles adotados para operação, pagamento e recuperação de im-
postos, tributos, taxas e quaisquer outros ônus de natureza fisco-tributária, que
incidam nas operações, nos bens e documentos da empresa.
O auditor executa um trabalho de especialização técnica que requer constante
estudo e atualização das leis, regulamentos e convenções que ditam as práticas
tributárias no país.
Auditoria Operacional
Destina-se a determinar se as operações da empresa auditada estão transcor-
rendo de forma adequada.
Assessora a alta administração, no desempenho efetivo de suas funções e
responsabilidades, avaliando se as áreas, as atividades, os sistemas, as funções e
as operações estão atingindo os objetivos organizacionais e gerenciais com eficá-
cia, atentando para os recursos (financeiros, materiais, humanos e tecnológicos),
bem como para a observância às leis e aos regulamentos aplicáveis e para a ma-
nutenção da devida segurança.
Auditoria de Gestão
Cumpre o exame e a avaliação sobre sistemas políticos, critérios e procedi-
mentos utilizados pela empresa na sua área de planejamento estratégico, tático e,
principalmente, no processo decisório de suas operações. Estes aspectos sinteti-
zam os seguintes objetivos:
• adequação, eficácia e eficiência do desempenho da empresa, no tocante
às suas funções de planejamento estratégico e tático;
• alcance dos resultados em relação aos objetivos e planos estabelecidos e
às alternativas disponíveis;
• obtenção de qualidade e viabilidade para os planos e orçamentos e das
políticas e diretrizes com alcance a todos os níveis gerenciais;
• sugestões de alternativas estratégicas e táticas;
• sugestões de reestruturação e qualidade global da empresa.
Auditoria de Sistemas Informatizados
Compreende o exame e a avaliação dos processos de planejamento, desen-
volvimento, teste e implantação dos sistemas informatizados da empresa.
Também visa ao exame e à avaliação:
• de estruturas lógicas, físicas e ambientais;
• de sistemas de controle, segurança e proteção de determinados ativos;
• de aplicativos desenvolvidos pela empresa ou adquiridos no mercado; e
• das informações, visando à qualidade de controles internos sistêmicos e de
sua observância em todos os níveis gerenciais.
Auditorias Especiais
Trata-se de trabalhos especiais de auditoria, não compreendidos na programa-
ção dos projetos previstos pela área, oriundos de solicitações dos membros do
conselho administrativo e fiscal ou das diretorias da empresa. Incluem-se nesta
modalidade de auditoria:
• os exames de fraudes e irregularidades;
• a desmobilização, aquisição, fusão, cisão e/ou incorporação de empresas; e
• testes sobre contratos especiais de grande vulto, em relação ao negócio da
empresa.
Como podemos observar, com exceção das Auditorias Tributárias e Contábeis,
que tratam de uma avaliação técnica do planejamento tributário e das demonstra-
ções financeiras da empresa, as demais modalidades de auditoria demonstram
objetivos afins, em relação a uma auditoria com o enfoque de processo.
Enfoque em processo x Auditoria Operacional
A Auditoria Operacional é a modalidade que mais se aproxima de um enfoque
de processo, porém não demonstra preocupação de manter uma parceria com o
auditado, no apontamento das possíveis melhorias no processo. Também não tem
como finalidade o acompanhamento das ações sugeridas, visando a avaliar sua
eficácia.
Via de regra, a Auditoria Operacional indica as possíveis melhorias no processo,
define, junto com o auditado, as ações previstas para sua implantação, mas limita a
verificação de sua ocorrência, a execução de teste de sua confirmação, após prazo
acordado com o auditado (procedimento conhecido como follow-up).
A definição de indicadores de desempenho sobre as ações definidas, junto com
o auditado, objetivando a verificação de sua eficácia, e a adoção de medidores
mensais sobre os resultados obtidos após sua execução, avaliando a performance
das ações implantadas, são características exclusivas de uma Auditoria com enfo-
que de processo.
O auditor, quando adota um enfoque em processo, busca a certeza de que as
melhorias identificadas, para o processo auditado, apresentam o acordo das áreas
responsáveis por sua execução e demonstram dados e indicadores capazes de
comprovar sua eficiência e corroborar os ganhos previstos.
A mensuração destes ganhos é um outro diferencial, facilitado quando existe o
estabelecimento de indicadores apropriados para cada ação corretiva definida e de
procedimento de medição da performance do processo, após a implantação das
melhorias identificadas durante o processo de auditoria.
Enfoque em processo x Auditoria de Gestão
A Auditoria de Gestão tem preocupação com os resultados da empresa, che-
gando à avaliação de níveis estratégicos e decisórios de suas operações.
Este conceito requer que a empresa tenha relação ampla com a área de Audi-
toria, divulgando suas metas e políticas para sua obtenção.
O auditor passa a verificar não os processos que compõem a obtenção de seu
produto principal, mas os resultados obtidos a partir do planejamento estratégico,
tático e, principalmente, decisório de suas operações.
Possíveis aumentos ou diminuições de produção, focos e canais de venda es-
tabelecidos, abrangência de determinado mercado ou, até mesmo, a definição e a
rentabilidade de determinado produto podem ser algumas das preocupações de
uma Auditoria de Gestão.
O auditor, quando adota uma visão de processo, não entra em méritos tão de-
cisórios e abrangentes quanto estes, porém sua atuação tem como principal finali-
dade a execução do principal negócio exercido pela empresa, da melhor e mais
rentável forma possível.
A Auditoria de Gestão preocupa-se em como o negócio da empresa está sendo
gerido, enquanto o auditor de processo avalia se o produto final está sendo elabo-
rado de forma a garantir sua rentabilidade e qualidade.
Podemos dizer que a Auditoria de Gestão tem uma visão macro da empresa,
preocupando-se com os resultados gerados a partir das políticas e estratégias e
decisões tomadas pela alta gestão. A Auditoria de Processo avalia as melhorias
possíveis de ser adotadas, em cada processo da empresa, visando a uma melhor
performance para a produção e negociação de seu produto final.
Enfoque em processo x Auditoria de Sistemas Informatizados
Na verdade, a Auditoria de Sistemas Informatizados não representa uma mo-
dalidade de Auditoria diferenciada da Auditoria de Processo.
Com um melhor conhecimento técnico dos processos informatizados da em-
presa, a Auditoria de Sistemas Informatizados pode muito bem atuar com um enfo-
que de processo ou ser utilizada como um suporte ao auditor de processo.
Caminhamos cada vez mais para que este conhecimento, da área de Informá-
tica, não seja mais uma prerrogativa do auditor de sistema, mas uma necessidade
para todos aqueles que trabalham na área de Auditoria.
Os processos informatizam-se em uma velocidade enorme, obrigando a que o
auditor tenha uma visão atualizada e constante de segurança, integridade e contro-
le das informações envolvidas no registro, processamento, armazenamento e gera-
ção destes dados.
1.9 Definição dos processos prioritários
Uma auditoria com o enfoque nos processos da empresa avalia e classifica os
riscos identificados nos macroprocessos da empresa, para definição do seu grau
de importância dentro do negócio exercido.
Relembrando nosso exemplo de critério para classificação dos riscos, temos:
Classificação dos meios Tipo de consequência
ALTO •
diminuição ou extinção de qualidade nos produtos ou
serviços prestados;
•
prejuízo à imagem que a empresa tenha perante seus
clientes e/ou o mercado em geral;
•
interferência financeira nas operações da empresa, gerando
perdas correspondentes a mais de 10% de seu resultado;
MÉDIO •
diminuição parcial da qualidade dos produtos ou serviços
prestados, porém sem sua total extinção;
•
interferência financeira nas operações da empresa, gerando
perdas correspondentes à faixa de 1 a 10% de seu
resultado;
BAIXO •
interferências pontuais no processo, que podem vir a afetar
a qualidade dos produtos ou serviços prestados;
•
interferência financeira nas operações da empresa, gerando
perdas inferiores a 1% de seu resultado.
A definição dos trabalhos considerados prioritários, dentro da programação de
projetos a serem desenvolvidos por uma área de Auditoria de Processo, seguirá
também como parâmetro esta classificação dos riscos.
Logicamente, trataremos das segmentações existentes em cada um destes
macroprocessos, mas, em termos de prioridades, serão considerados os projetos
ligados aos macroprocessos de risco alto.
A forma de alocação dos trabalhos pelos auditores depende do custo permitido
para a área de Auditoria Interna. As empresas que alocarem um orçamento mais
generoso à área de Auditoria Interna terão maior oportunidade de cobertura de
seus riscos.
Para o caso em que a Auditoria não dispuser de recursos significativos para
suas operações, o risco alto será priorizado, visando ao atingimento da maior segu-
rança possível sobre os controles que são desenvolvidos nestes processos.
Como vemos, a cobertura dos riscos inerentes aos processos priorizará sem-
pre os riscos altos, estando sempre atrelada aos recursos disponíveis, pela empre-
sa, à área de Auditoria Interna, para a determinação da cobertura possível aos pro-
cessos com riscos médios e baixos.
Também, nessa programação de projetos, é importante que sejam criados,
dentro da equipe de auditores, especialistas para as áreas operacionais e de negó-
cio da empresa.
Esta especialização facilitará o entendimento dos processos e a identificação
das possíveis melhorias identificadas durante a Auditoria de Processo.
Com essa especialização, a auditoria também facilitará a sinergia com a área
auditada, evitando que as explicações e informações necessárias ao entendimento
do processo sejam repetidas.
Este procedimento facilitará a obtenção de uma real parceria entre auditor e
auditado, uma vez que este passa a encarar o auditor como um verdadeiro inte-
grante de seu processo, empenhado em ajudá-lo a obter:
• eficácia em suas operações;
• rentabilidade em seus negócios;
• qualidade em seus produtos; e
• um produto final que supere as expectativas de seus clientes internos e ex-ternos.
2 Aplicabilidade de uma
Auditoria de Processo
2.1 Documentação do fluxo e de seus procedimentos
Quando o processo é documentado, através do desenho do fluxo exercido pe-
los procedimentos adotados em seu desenvolvimento, o auditor obtém a visão ge-
ral do processo, permitindo uma avaliação plena de sua execução.
Porém, esta avaliação torna-se mais eficaz à medida que o fluxo expresse, de
forma clara e objetiva, todas as atividades envolvidas, assim como os controles
adotados em sua execução.
O formato do fluxo que documenta o processo a ser utilizado varia muito, ha-
vendo inúmeras formas eficientes de documentar as rotinas e os controles desen-
volvidos pelas áreas envolvidas.
Quando a empresa prima pela qualidade de seus processos, visando a obter
eficiência e resultados práticos sobre as rotinas empregadas, é comum identificar
diretorias voltadas para o controle e organização dos processos adotados para a
execução de seu negócio. Essas diretorias têm como objetivo a definição e a do-
cumentação dos processos da empresa, assim como a regulamentação das nor-
mas e políticas que formam as diretrizes a serem seguidas em seu desenvolvi-
mento.
A Auditoria de Processo tem um trabalho muito próximo desta diretoria, obten-
do constantemente dados e informações necessários a seus projetos. Logo, como
uma forma de agilizar e tornar prática a execução da auditoria, fluxos, normas, polí-
ticas e regulamentos desenvolvidos pela Diretoria de Processo são constantemente
utilizados pelo auditor de processo. Este fato torna-se um facilitador para o auditor
de processo.
O fluxo obtido na área de processo é confirmado junto às pessoas envolvidas
nos procedimentos praticados.
Este procedimento de “caminhada sobre o fluxo do processo” tem como finali-
dade avaliar se os procedimentos e os controles descritos encontram-se atualiza-
dos e são efetivamente praticados pelas áreas. Caso o processo a ser auditado
não se apresente previamente documentado pela empresa, o desenho de seu fluxo
será uma das atividades básicas do auditor.
Como já mencionamos, existem várias maneiras de documentar o fluxo do pro-
cesso, que necessariamente não se demonstra através do desenho do fluxo do
processo.
Documentação do processo de forma narrativa
O auditor, através de um texto explicativo detalhado, descreve o processo,
seus riscos e os controles que os suportam, respeitando a cronologia empregada
para a execução das rotinas envolvidas.
Esta forma não permite uma imediata visão holística do processo, obrigando a
leitura total da narrativa para o seu entendimento e compreensão.
Quando o auditor documenta o processo, através do desenho de seu fluxo, fica
claro o trâmite de suas rotinas, o que facilita o entendimento dos objetivos, riscos e
controles envolvidos.
Documentação do processo através do desenho do fluxo
de procedimentos e controles desenvolvidos
Para desenho do fluxo, pode ser usada uma técnica de visão horizontal ou ver-
tical do processo. A diferença básica entre estas técnicas é a forma de leitura dos
fluxos.
Fluxo com uma visão horizontal
O desenho do processo é exercido de forma que sua leitura considera o trâmi-
te de informações, formulários, documentos e rotinas envolvidas de forma horizon-
tal.
A base do trâmite destas informações são as áreas envolvidas, as quais são alo-
cadas uma ao lado da outra no fluxo do processo. Quando se lê o fluxo, é possível o
entendimento de todas a áreas envolvidas e qual sua participação no processo.
Esta forma permite uma visão holística do processo, porém o detalhamento do
fluxo, assim como qualquer informação adicional ou detalhamento de alguma fase
do processo, torna necessário o uso de uma folha à parte do fluxo.
O auditor, para documentar a sua avaliação dos controles, riscos e objetivos
envolvidos, tem de desenvolver alguma ferramenta complementar ao fluxo. Este
fato acarreta o aumento do volume de documentos envolvidos nesta atividade, difi-
cultando a simplicidade de seu entendimento.
Exemplo de um fluxo com visão horizontal:
Fluxo com uma visão vertical
O desenho do processo é exercido de forma que sua leitura considere a evolu-
ção de informações, formulários, documentos e rotinas envolvidas de forma verti-
cal.
O seu entendimento torna-se facilitado, uma vez que é respeitada a sequência
cronológica dos fatos, assim como a lógica atribuída à sua execução.
Analisando um fluxo vertical, o auditor consegue visualizar de forma clara a ori-
gem e o destino de cada documento, ação e informação contida no processo.
Pela forma como o desenho se apresenta, o detalhamento do fluxo, assim co-
mo qualquer informação adicional a alguma fase do processo, pode ser apresenta-
do junto ao desenho do processo, dispensando o uso de uma folha à parte do fluxo.
Exemplo do mesmo fluxo com uma visão vertical:
Exatamente para facilitar o entendimento da sequência cronológica e da função
dos documentos e informações envolvidos, a Auditoria de Processo utiliza o fluxo
vertical, em que é possível a descrição e a consolidação do entendimento do pro-
cesso em um único documento.
2.2 Conclusão sobre os objetivos envolvidos
Uma vez que, através do fluxo vertical, é possível o entendimento da
sequência cronológica e da função dos documentos e informações envolvidos,
assim como da descrição e consolidação do entendimento do processo em um úni-co documento, podemos ir além e pensar: qual o objetivo destes procedimen-
tos?
Além de conhecer e entender o processo, é necessário que o auditor busque,
junto à área auditada, identificar o objetivo dos procedimentos e rotinas emprega-
dos.
O auditor de processo, como um profissional independente das operações de-
senvolvidas pela área auditada, tem condições de avaliar, junto com os técnicos e
gestores envolvidos, se os objetivos das rotinas empregadas estão claramente de-
finidos. O conhecimento destes objetivos, assim como de sua importância perante
o negócio da empresa, é de vital importância para a conscientização da necessida-
de da eficácia das rotinas empregadas.
Ao mesmo tempo, quanto maior for a empresa e a quantidade de empregados
envolvidos em seus processos, o risco do não atingimento dos objetivos envolvidos
nas rotinas exercidas possibilita perdas financeiras ou prejuízo à imagem da em-
presa.
Também avaliando os objetivos dos processos e de seus controles e rotinas, o
auditor deve atentar para a sua real necessidade e valor agregado para o negócio
exercido. É muito comum que as áreas auditadas adotem procedimentos, conside-
rando sua necessidade em um determinado período ou momento da empresa e, por
costume, hábito ou até acomodação, continuem executando a rotina, mesmo sem a
permanência de sua necessidade. Casos da manutenção de levantamentos de da-
dos, apuração de números e quantidades, contabilidade de fatos, análise de flutua-
ções e demais procedimentos, que, por qualquer razão, em determinado período,
foram necessários para a gerência do negócio, mas que agora se apresentam des-
necessários, são comumente detectados pelo auditor de processo.
Para determinar se o procedimento ou controle adotado possui um objetivo efi-
caz e prático associado à sua execução, o auditor de processo utiliza o fluxo verti-
cal como uma espécie de mapa que demonstra o fluxo desenvolvido, o detalha-
mento dos procedimentos adotados e o objetivo de sua existência.
Demonstramos, a seguir, um exemplo desta utilização.
Projeto: Vendas Varejo
Objetivo: Vendas e Cadastro – Telemarketing Receptivo
Utilizando o fluxo vertical como uma ferramenta estratégica para identificação e
análise da real importância e necessidade dos objetivos envolvidos, o auditor de pro-
cesso tem condições de avaliar seu atingimento, ou seja, será possível verificar se a
razão da existência do processo está sendo alcançada, considerando:
• o valor agregado ao negócio da empresa;
•
o tempo e o custo dispensados, em relação ao valor e à importância envolvidos;
• o envolvimento e a participação do procedimento no processo avaliado; e
•
os índices e os indicadores possíveis para mensurar sua performance, quando
aplicável.
2.3 Conhecimento dos riscos inerentes
A partir do conhecimento dos objetivos existentes, assim como dos valores en-
volvidos, importância dentro do processo auditado e da forma da mensuração de
sua performance, uma outra pergunta cabe ao auditor: o que acontece se o objetivo
não é alcançado?
Uma vez que já é conhecida a razão do processo, quais as consequências, se
o mesmo não for adotado ou for executado de forma indevida?
O auditor precisa avaliar os riscos quando o objetivo do processo não é alcan-
çado. Isto significa a identificação das possíveis perdas, considerando:
• aspectos financeiros;
• imagem da empresa;
• continuidade do negócio exercido;
• qualidade da operação; e
• integridade física de seu patrimônio.
Com base nos objetivos identificados, os processos desenvolvidos represen-
tam riscos para o negócio da empresa, que, de acordo com os tipos de perdas cita-
dos, representarão o grau de sua importância nas operações existentes. Esta aná-
lise será primordial ao trabalho do auditor de processo, uma vez que suportará a
abrangência, tempo e custos dispensados em sua execução.
Como já vimos anteriormente, uma análise de processo deve considerar a im-
portância e a relevância envolvidas nos procedimentos avaliados. O auditor deve
buscar a avaliação de controles que representem e agreguem valores significativos
ao negócio da empresa. É importante que não sejam desperdiçados esforços em
procedimentos sem representatividade ou que não afetem significativamente o
negócio exercido.
Demonstramos, a seguir, o exemplo de análise sobre os objetivos, riscos e
perdas associados ao processo de solicitação de reparo de telefone, relativo a cli-
entes de uma empresa de telecomunicações.
Revisão do processo de reparo
Objetivo do Processo Riscos Identificados Perdas Associadas
Atender às solicitações de reparo
solicitadas pelos clientes
(residenciais, não residenciais e de
prestadores de utilidade pública),
considerando as seguintes metas
estabelecidas pela Anatel (órgão
regulador):
•
a cada 100 terminais instalados,
poderemos ter, no máximo, 2,5
solicitações de reparo;
•
96% das solicitações de reparo
residenciais devem ser atendidas
em até 24 horas;
•
96% das solicitações de reparo não
residenciais devem ser atendidas
em até 8 horas;
•
98% das solicitações de reparo de
prestadores de serviço de utilidade
pública devem ser atendidas em
até duas horas.
• financeiros;
• prejuízo à imagem;
• interrupção do negócio.
•
não cumprimento das
metas estabelecidas;
•
aplicação de penalidades
legais, inclusive com
riscos à concessão para
operação;
•
prejuízos à imagem da
companhia; e
• perdas financeiras.
2.4 Identificação dos controles adotados
Conhecendo os objetivos existentes e os riscos, se os mesmos não forem al-cançados, mais uma pergunta vem à tona: o que é feito para garantir o alcance
dos objetivos e a não ocorrência dos consequentes riscos?
Uma vez que já são conhecidas as razões do processo e as consequências,
se o mesmo não for adotado de forma eficaz, o auditor vai identificar os controles
que garantam esta eficácia.
Como já vimos anteriormente, os controles possuem três finalidades – preven-
tiva, detectiva e corretiva. Cabe ao auditor avaliar se o tipo de controle adotado e
a sua finalidade apresentam-se pertinentes em relação ao processo desenvolvido,
ao objetivo existente e aos riscos envolvidos.
Avaliando os controles adotados, é imprescindível identificar especificamente
procedimentos, ações ou documentos que garantam o alcance dos objetivos do
processo.
Esta especificação é importante, uma vez que sua não adoção pode acarretar
que o auditor avalie o processo de forma genérica ou superficial, o que representa-
ria falta de segurança quanto à identificação do eficaz suporte e controle sobre o
risco envolvido no processo.
Nesta identificação, é importante o envolvimento direto da área auditada. Nin-
guém melhor do que o próprio executor do processo para identificar os procedimen-
tos e as rotinas adotados que garantam o alcance de seus objetivos.
Logicamente, neste momento, o auditor irá avaliar, junto com o auditado, o pro-
cesso, confirmando o seu entendimento quanto:
• aos procedimentos desenvolvidos;
• aos objetivos existentes; e
• aos riscos aplicados.
É muito importante que o auditor deixe claro que os riscos representam a pos-
sibilidade da perda relativa:
• a aspectos financeiros;
• à imagem da empresa;
• à continuidade do negócio exercido;
• à qualidade da operação; e
• à integridade física de seu patrimônio.
Independentemente do processo, empresa ou negócio, o risco sempre irá exis-
tir. A concretização deste risco em uma efetiva perda é que deve ser evitada, atra-
vés da adoção de controles eficazes.
A partir do entendimento deste conceito, o auditado tem uma participação deci-
siva na identificação, junto com o auditor, dos controles adotados para suportar os
riscos envolvidos e garantir o alcance do objetivo do processo.
O acordo, na identificação destes controles, entre auditor e auditado é impres-
cindível, uma vez que representarão efetivamente a base dos testes e avaliações
adotados na Auditoria de Processo.
É imprescindível ao auditado estar ciente sobre controles, análises, procedi-
mentos e ações que serão avaliados pelo auditor.
A participação do auditado, apoiando e assessorando testes e análises realiza-
dos, é crucial, uma vez que possibilita seu total conhecimento e entendimento do
trabalho feito, assim como facilita o seu acordo sobre as conclusões e possíveis
ações corretivas apuradas.
Mais uma vez, utilizando o processo documentado em seu fluxo vertical, o au-
ditor irá demonstrar, com uma espécie de Planilha de Risco e Controle, os contro-
les que são adotados para suportar o alcance dos objetivos e a não ocorrência dos
riscos envolvidos.
Lembre-se de que não estamos afirmando que os controles efetivamente su-
portam estes riscos. Estes são os controles que o processo adota para suportar os
riscos envolvidos e garantir o atingimento dos objetivos.
Exemplificando, demonstramos abaixo um fluxo vertical de um processo, em
que já temos demonstrados os procedimentos desenvolvidos, os objetivos a serem
atingidos, os riscos identificados e os controles adotados no processo para o supor-
te destes riscos e a garantia do atingimento dos objetivos.
Projeto: Vendas Varejo
Objetivo: Vendas e Cadastro – Telemarketing Receptivo
Aos poucos, começamos a conhecer, de forma mais abrangente e esclarece-
dora, o processo que está sendo avaliado pelo auditor de processo, possibilitando
uma análise dos procedimentos adotados, o que permite concluir sobre a sua efi-
cácia. Trata-se do primeiro passo para identificar possíveis ações corretivas neces-
sárias, assim como mensurar as consequências da possível falta de segurança
quanto à não ocorrência dos riscos envolvidos.
O trabalho do auditor começa a ter seus primeiros frutos revelados, os quais
devem ser repartidos com a área auditada, visando à constante participação inte-
grada e acordada entre auditor e auditado.
2.5 Os controles adotados suportam os riscos existentes
Conhecendo os objetivos existentes, os riscos, se os mesmos não forem alcan-
çados, e os controles adotados para garantir o alcance dos objetivos e a não ocor-rência dos riscos envolvidos, uma nova pergunta torna-se necessária: os controles
adotados garantem o alcance dos objetivos e a não ocorrência dos riscos
envolvidos?
Já sendo conhecidas as razões do processo, as consequências, se o mesmo
não for adotado de forma eficaz, e os controles adotados com o intuito de garantir
sua eficácia, o auditor tem de avaliar se, efetivamente, existe segurança quanto à
não ocorrência dos riscos envolvidos. Trata-se de uma avaliação dos controles
adotados em relação ao objetivo do processo e aos riscos envolvidos.
Quando o auditor identifica algo que pode ser corrigido no processo, por não
representar segurança para a obtenção de seu objetivo e o suporte dos riscos ine-rentes, ele estará levantando o denominado ponto de auditoria ou ponto de con-
trole interno.
Na verdade, no momento em que o processo apresenta-se totalmente levanta-
do, ou seja, com seu fluxo desenhado, objetivos, riscos e controles identificados, o
auditor pode apurar alguns aspectos.
Pontos de auditoria no processo
Seriam aqueles fatos, procedimentos ou controles que efetivamente represen-
tam uma falha no processo, por não assegurarem que os riscos envolvidos não
ocorrerão.
Neste caso, as possíveis ações corretivas devem, de imediato, ser discutidas
com a gestão e a diretoria da área auditada, para definição das possíveis ações
corretivas, considerando responsável e prazo para implementação.
Considerando um enfoque de auditoria de processo, os pontos de auditoria
identificados devem ser imediatamente discutidos com a área auditada, visando ao
acordo de definição das ações corretivas.
Possíveis pontos de auditoria no processo
Trata-se de controles, procedimentos, fatos ou qualquer outro aspecto do pro-
cesso que possam vir a representar uma falha, mas que, apenas avaliando os pro-
cedimentos e os controles adotados para suportar os objetivos e os riscos envolvi-
dos, o auditor não teve condições técnicas de comprovar ou suportar suas conclu-
sões.
Para este suporte, será necessário o aprofundamento das análises, através da
execução de testes específicos ou levantamentos e apuração de dados. Neste ca-so, os possíveis pontos de auditoria também são discutidos com a área auditada,
mas não com o caráter de definição e acordo de ação corretiva, e sim para seu
conhecimento e ajuda, no sentido de identificar a melhor forma de avaliar sua pro-
cedência.
Esses pontos são documentados em um papel de trabalho denominado possí-
veis pontos de auditoria (mais à frente, exemplificaremos o modelo para o
formulário em questão), formalizando se realmente foram considerados efetivos
pontos de auditoria, ou se não foram suportados o suficiente para constarem do
Relatório de Auditoria.
Reiteramos a importância de que todas as análises e conclusões feitas pelo
auditor estejam sempre suportadas em seus papéis de trabalho, corroborando e, se
possível, mensurando as possíveis perdas decorrentes dos pontos levantados, as-
sim como suas conclusões finais.
2.6 COSO
Na Auditoria de Processo, modelos atuais de planejamento, análise dos riscos e
das atividades de controle são sempre importantes para pesquisa e adoção.
Exemplificamos e aproveitamos para um entendimento bem simplificado de
dois desses modelos.
O que é o COSO?
Figura que demonstra o Método Utilizado pelo COSO (2004).
Em 1985, foi criada, nos Estados Unidos, a National Commission on Fraudulent
Financial Reporting (Comissão Nacional sobre Fraudes em Relatórios Financeiros),
uma iniciativa independente, para estudar as causas da ocorrência de fraudes em
relatórios financeiros/contábeis. Esta comissão era composta por representantes
das principais associações de classe de profissionais ligados à área financeira. Seu
primeiro objeto de estudo foram os controles internos.
Em 1992, publicou o trabalho Internal Control – Integrated Framework (Contro-
les Internos – Um Modelo Integrado). Esta publicação tornou-se referência mundial
para o estudo e aplicação dos controles internos, e é a base que fundamenta o
presente texto.
Posteriormente, a Comissão transformou-se em Comitê, que passou a ser co-
nhecido como COSO – The Comitee of Sponsoring Organizations (Comitê das Or-
ganizações Patrocinadoras).
O COSO é uma entidade sem fins lucrativos, dedicada à melhoria dos relató-
rios financeiros através da ética, efetividade dos controles internos e governança
corporativa. É patrocinado por cinco das principais associações de classe de pro-
fissionais ligados à área financeira nos Estados Unidos, a saber:
AICPA American Institute of Certified Public
Accounts
Instituto Americano de Contadores
Públicos Certificados
AAA American Accounting Association Associação Americana de Contadores
FEI Financial Executives Internacional Executivos Financeiros Internacionais
IIA The Institute of Internal Auditors Instituto dos Auditores Internos
IMA Institute of Management Accountants Instituto dos Contadores Gerenciais
O Comitê trabalha com independência, em relação a suas entidades patrocina-
doras. Seus integrantes são representantes da indústria, dos contadores, das em-
presas de investimento e da Bolsa de Valores de New York. O primeiro presidente
foi James C. Treadway, de onde veio o nome Treadway Comission. Atualmente,
John Flaherty ocupa a presidência.
O Trabalho do COSO
Para os integrantes do COSO, o ponto de partida é a definição de controle in-
terno. O grupo chegou à seguinte definição: “controle interno é um processo, de-
senvolvido para garantir, com razoável certeza, que sejam atingidos os objetivos da
empresa”, nas seguintes categorias:
• eficiência e efetividade operacional (objetivos de desempenho ou estra-
tégia): esta categoria está relacionada com os objetivos básicos da entidade, inclu-
sive com os objetivos e metas de desempenho e rentabilidade, bem como da segu-
rança e qualidade dos ativos;
• confiança nos registros contábeis/financeiros (objetivos de informa-
ção): todas as transações devem ser registradas, todos os registros devem refletir
transações reais, consignadas pelos valores e enquadramentos corretos;
• conformidade (objetivos de conformidade) com leis e normativos aplicá-
veis à entidade e sua área de atuação.
Segundo o COSO, o controle interno é um processo constituído de cinco ele-
mentos, que estão inter-relacionados e presentes em todo o controle interno:
• ambiente de controle;
• avaliação e gerenciamento dos riscos;
• atividade de controle;
• informação e comunicação;
• monitoramento.
Ambiente de controle
Ambiente de controle é a consciência de controle da entidade, sua cultura de
controle.
O ambiente de controle é efetivo quando as pessoas da entidade sabem quais
são suas responsabilidades, os limites de sua autoridade e se têm a consciência, a
competência e o comprometimento de fazerem o que é correto da maneira correta.
Ambiente de controle envolve competência técnica e compromisso ético; é um
fator intangível, essencial à efetividade dos controles internos.
A postura da alta administração desempenha papel determinante neste com-
ponente. Ela deve deixar claro para seus comandados quais são as políticas, os
procedimentos, o Código de Ética e o Código de Conduta a serem adotados. Estas
definições podem ser feitas de maneira formal ou informal; o importante é que se-
jam claras aos funcionários da organização.
Avaliação e gerenciamento dos riscos
As funções principiais do controle interno estão relacionadas ao cumprimento
dos objetivos da entidade. Portanto, a existência de objetivos e metas é primordial
para a existência dos controles internos. Se a entidade não tem objetivos e metas
claros, não há necessidade de controles internos.
Uma vez estabelecidos e clarificados os objetivos, deve-se:
• identificar os riscos que ameacem o seu cumprimento; e
• tomar as ações necessárias para o gerenciamento dos riscos identificados.
Avaliação de riscos é a identificação e análise dos riscos associados ao não
cumprimento das metas e dos objetivos operacionais, de informação e de con-
formidade. Este conjunto forma a base para definir como estes riscos serão ge-
renciados.
Os administradores devem definir os níveis de riscos operacionais, de informação
e conformidade que estão dispostos a assumir. A avaliação de riscos é uma respon-
sabilidade da administração, mas cabe à Auditoria Interna fazer uma avaliação própria
dos riscos, confrontando-a com a avaliação feita pelos administradores.
A identificação e o gerenciamento dos riscos é uma ação proativa, que permite
evitar surpresas desagradáveis.
Avaliação e gerenciamento dos riscos
Risco é a probabilidade de perda ou incerteza associada ao cumprimento de
um objetivo.
Para cada objetivo proposto, deve ser feito um processo de identificação dos
riscos.
Análise dos riscos
Uma vez identificados os riscos, devemos avaliá-los, levando em conta os se-
guintes aspectos:
• qual a probabilidade (frequência) de ocorrerem?
• em caso de ocorrerem, qual seria seu impacto nas operações, consideran-
do os aspectos quantitativos e qualitativos?
• verifique, em sua opinião, quais ações seriam necessárias para administrar
os riscos identificados.
Atividade de controle
São aquelas atividades que, quando executadas a tempo e de maneira ade-
quados, permitem a redução ou administração dos riscos. Podem ser de duas natu-
rezas: atividades de prevenção ou de detecção. As principais atividades de controle
e suas respectivas naturezas são relacionadas a seguir.
Alçadas (prevenção): são os limites determinados a um funcionário, quanto à
possibilidade de este aprovar valores ou assumir posições em nome da instituição.
Exemplos:
• estabelecimento de valor máximo para um caixa pagar um cheque;
• estabelecimento dos tetos assumidos por um operador de mercado para
cada horizonte de investimento;
• estabelecimento de alçada operacional para o Comitê de Crédito de uma
agência.
Autorizações (prevenção): a administração determina as atividades e transa-
ções que necessitam de aprovação de um supervisor para que sejam efetivadas. A
aprovação de um supervisor, de forma manual ou eletrônica, implica que ele verifi-
cou e validou a atividade ou transação, e assegurou que a mesma está em confor-
midade com as políticas e os procedimentos estabelecidos. Os responsáveis pela
autorização devem verificar a documentação pertinente, questionar itens pouco
usuais e assegurar-se de que as informações necessárias à transação foram che-
cadas, antes de darem sua autorização. Jamais devem assinar em branco ou for-
necer sua senha eletrônica.
Conciliação (detecção): é a confrontação da mesma informação com dados
vindos de bases diferentes, adotando as ações corretivas, quando necessário.
Revisões de desempenho (detecção): acompanhamento de uma atividade ou
processo, para avaliação de sua adequação e/ou desempenho, em relação às me-
tas, aos objetivos traçados e aos benchmarks, assim como acompanhamento con-
tínuo do mercado financeiro (no caso de bancos), de forma a antecipar mudanças
que possam impactar negativamente a entidade. Exemplos:
• monitoração do comportamento de usuários de cartões de crédito (lugares
inusitados, produtos diferentes etc.);
• monitoração e questionamento de flutuações abruptas nos resultados de
agências, produtos, carteiras próprias e de terceiros;
• monitoração de valores realizados e orçados em unidades, com o objetivo
de identificar dificuldades/problemas;
• acompanhamento da concorrência, visando ao lançamento de novos pro-
dutos.
Segurança física (prevenção e detecção): os valores de uma entidade devem
ser protegidos contra uso, compra ou venda não autorizados. Um dos melhores
controles para proteger estes ativos é a segurança física, que compreende controle
de acessos, controle da entrada e saída de funcionários e materiais, senhas para
arquivos eletrônicos, call-back para acessos remotos, criptografia e outros. Inclu-
em-se, neste controle, os processos de inventário dos itens mais valiosos para a
entidade (por exemplo, conferência de numerário).
Segregação de funções (prevenção): a segregação é essencial para a efetivi-
dade dos controles internos. Ela reduz tanto o risco de erros humanos quanto o
risco de ações indesejadas. Contabilidade e conciliação, informação e autorização,
custódia e inventário, contratação e pagamento, administração de recursos próprios
e de terceiros, normatização (gerenciamento de riscos) e fiscalização (auditoria)
devem estar segregadas entre os funcionários.
Sistemas informatizados (prevenção e detecção): os controles feitos através
de sistemas informatizados dividem-se em dois tipos:
• controles gerais: pressupõem os controles nos centros de processamento
de dados e controles na aquisição, desenvolvimento e manutenção de programas
e sistemas. Exemplos: organização e manutenção dos arquivos de back-up, arqui-
vo de log do sistema, plano de contingência;
• controles de aplicativos: são os controles existentes nos aplicativos corpo-
rativos, que têm a finalidade de garantir a integridade e a veracidade dos dados e
das transações. Exemplos: validação de informações (checagem das informações com registros armazenados em banco de dados).
Normatização interna (prevenção): é a definição, de maneira formal, das re-
gras internas necessárias ao funcionamento da entidade. As normas devem ser de
fácil acesso para os funcionários da organização e devem definir responsabilida-
des, políticas corporativas, fluxos operacionais, funções e procedimentos.
As atividades de controle devem ser implementadas de maneira ponderada,
consciente e consistente. Nada adianta implementar um procedimento de controle
se este for executado de maneira mecânica, sem foco nas condições e problemas
que motivaram a sua implantação. Também é essencial que as situações adversas
identificadas pelas atividades de controles sejam investigadas, adotando-se tem-
pestivamente as ações corretivas apropriadas.
Informação e comunicação
A comunicação é o fluxo de informações dentro de uma organização, enten-
dendo que este fluxo ocorre em todas as direções – dos níveis hierárquicos superi-
ores aos níveis hierárquicos inferiores, dos níveis inferiores aos superiores e comu-
nicação horizontal entre níveis hierárquicos equivalentes.
A comunicação é essencial para o bom funcionamento dos controles. Informa-
ções sobre planos, ambiente de controle, riscos, atividades de controle e desempe-
nho devem ser transmitidas a toda a entidade. Por outro lado, as informações rece-
bidas, de maneira formal ou informal, de fontes externas ou internas, devem ser
identificadas, capturadas, verificadas quanto à sua confiabilidade e relevância, pro-
cessadas e comunicadas às pessoas que delas necessitam, tempestivamente e
de maneira adequada.
O processo de comunicação pode ser formal ou informal. O processo formal
acontece através dos sistemas internos de comunicação – que podem variar, des-
de complexos sistemas computacionais a simples reuniões de equipes de traba-
lho – e é importante para a obtenção das informações necessárias ao acompanha-
mento dos objetivos operacionais, de informação e de conformidade. O processo
informal, que ocorre em conversas e encontros com clientes, fornecedores, autori-
dades e empregados, é importante para a obtenção das informações necessárias à
identificação de riscos e oportunidades.
Monitoramento
O monitoramento é a avaliação dos controles internos ao longo do tempo. Ele é
o melhor indicador para saber se os controles internos estão sendo efetivos ou não.
O monitoramento é feito tanto através do acompanhamento contínuo das ativi-
dades quanto por avaliações pontuais, tais como autoavaliação, revisões eventuais
e auditoria interna.
A função do monitoramento é verificar se os controles internos são adequados e
efetivos. Controles adequados são aqueles em que os cinco elementos do controle
(ambiente, avaliação de riscos, atividade de controle, informação e comunicação e
monitoramento) estão presentes e funcionando conforme o planejado. Controles são
eficientes quando a alta administração tem uma razoável certeza:
• do grau de atingimento dos objetivos operacionais propostos;
• de que as informações fornecidas pelos relatórios e sistemas corporativos
são confiáveis; e
• de que leis, regulamentos e normas pertinentes estão sendo cumpridos.
2.7 Sarbanes-Oxley
Em 30 de julho de 2002, o Presidente dos Estados Unidos sancionou em lei o
Sarbanes-Oxley Act (o Ato). Algumas das determinações do Ato são de aplicação
imediata pelas companhias abertas com registro na Securities and Exchange
Commission (SEC).
O Ato aplica-se a todas as companhias registradas na SEC, o que expande sua
aplicação a empresas que não são de origem norte-americana.
Dentre as principais disposições, destacamos:
• certificação do CEO (Chief Executive Officer) e do CFO (Chief Financial Of-
ficer).
Nos recentes escândalos contábeis norte-americanos, executivos alegaram que
não tinham conhecimento das práticas contábeis indevidas (reconhecimento incor-
reto de receitas, por exemplo). A Sarbanes-Oxley visa a desencorajar alegações des-
te tipo, por intermédio de medidas como controles internos mais rigorosos.
1 Introdução
• A Seção 302 (a) do Ato passa a requerer que o CEO e o CFO certifiquem
as informações financeiras e não financeiras contidas nos relatórios anuais.
• Esta certificação também inclui controles internos, definidos em duas di-
mensões:
a) controles internos propriamente ditos;
b) controles e procedimentos de divulgação (disclosure controls and procedures).
• O modelo de certificação a ser assinado pelo CEO e CFO deve ser exata-
mente o mesmo apresentado no Ato, não sendo permitidas modificações.
• Este ato introduziu responsabilidades criminais que, em certos casos, po-
dem envolver prisão de até 20 anos para CEOs e CFOs pelo fornecimento, proposital
ou não, de certificações incorretas ou não verdadeiras.
• O referido processo de certificação introduz os seguintes requerimentos às
empresas e a seus administradores:
• o CEO e o CFO devem certificar as informações financeiras e não finan-
ceiras contidas nos relatórios anuais;
• as empresas devem manter controles internos, definidos em duas di-
mensões: controles internos propriamente ditos e controles e procedimentos de
divulgação (disclosure controls and procedures); e
• o CEO e o CFO estarão certificando que avaliaram a efetividade desses
controles até, no máximo, 90 dias da data de arquivamento das informações
(Form 20-F). O Form 20-F deve informar sobre o resultado dessa avaliação.
A SEC não estipulou procedimentos e controles de divulgação específicos que
devam ser adotados; ao contrário, espera que as empresas desenvolvam um pro-
cesso que seja consistente com o seu negócio e fundamentado em suas atividades
de gerenciamento, supervisão e controles internos.
2 Questões relacionadas à Sarbanes-Oxley Act
• Boas práticas de governança e ética corporativa, tais como:
• código de ética corporativo;
• restrição a empréstimos e concessão de crédito para diretores;
• código de ética para executivos financeiros e insiders;
• restrição à contratação de serviços dos auditores externos;
• quarentena para a contratação de funcionários que já atuaram como au-
ditores externos (nível executivo para a área financeira);
• comitê de Auditoria (transferido para 2005);
• combate a fraudes financeiras;
• estruturação e monitoramento dos controles internos;
• governança em tecnologia da informação;
• gestão e gerenciamento de riscos.
Mais notadamente, a Sarbanes-Oxley é contundente quanto ao papel crítico
dos controles internos, definindo-o como um processo desempenhado pela alta
gestão, diretores, gerentes e demais funcionários, visando a alcançar o sucesso no
negócio, em três categorias:
• eficiência e eficácia das operações;
• confiança nos reportes financeiros;
• submissão a leis e regulamentos aplicáveis.
A Sarbanes-Oxley estabelece, explicitamente, a responsabilidade da alta ges-
tão pelo estabelecimento, avaliação e monitoramento da eficácia dos controles in-
ternos sobre os relatórios financeiros.
A maior parte da discussão em torno da Sarbanes-Oxley está focada nas Se-
ções 302 e 404.
Seção 302
A alta gestão deve assumir pessoalmente a responsabilidade pela divulgação
dos controles e procedimentos. Uma certificação de que os controles foram avaliados
quanto à sua eficiência deve ser emitida, trimestralmente. Essa certificação deve
declarar que todas as deficiências de controle, deficiências materiais e fraudes foram
informadas para o comitê de Auditoria e para os auditores independentes.
Seção 404
Determina uma avaliação anual dos controles e procedimentos internos, para
elaboração dos reportes financeiros. Adicionalmente, os auditores independentes
devem emitir um relatório separado, atestando a aderência da administração em pro-
ver eficientes controles internos e procedimentos, para os reportes financeiros.
Passos para o desenvolvimento do programa de controle interno.
1. Comprometimento e organização
Entender como a Sarbanes-Oxley aplica-se à empresa ajudará no desenvolvi-
mento do programa de controle interno.
2. Escolher uma estrutura adequada de controle interno
Para alcançar os objetivos de controle da Sarbanes-Oxley, muitas companhias
desenvolverão sua estrutura de controle interno, seguindo as recomendações do
Commettee of Sponsoring Organizations of the Treadway Commission (COSO).
Apesar de outras estruturas existirem, acreditamos que o COSO será o modelo
dominante, e recomendamos a sua adoção.
Como já vimos, a estrutura do COSO divide o controle interno em quatro com-
ponentes inter-relacionados:
I. Ambiente de controle: base para todos os outros elementos do controle interno,
que inclui valores éticos, atitudes da administração e competência dos emprega-
dos.
II. Avaliação de risco: identificação e análise dos riscos relevantes, que podem
impedir o atingimento dos objetivos de negócio.
III. Atividades de controle: passos específicos (políticas e procedimentos) para
mitigar os riscos identificados na avaliação de risco.
IV. Informação e comunicação: captura das informações das atividades de con-
trole, nos diversos níveis da companhia e sua devida circulação.
3. Estabelecer um programa de controle interno
• Planejar o projeto: formação de uma equipe para estabelecer, ou reforçar,
o programa de controle interno.
• Avaliar o ambiente de controle: formando a base do controle interno, o
ambiente de controle inclui alguns elementos como integridade, valores éticos e
competência, filosofia de gerenciamento, estilo de operação, delegação de respon-
sabilidade e autoridade e o direcionamento provido pelo board de diretores. Uma
avaliação da cultura da organização pode auxiliar o entendimento e a documenta-
ção do ambiente de controle.
• Definição do escopo: o direcionador para definição do escopo é a identifi-
cação dos riscos de reporte financeiro e disclosure.
• Realização de testes iniciais e de continuidade: a eficiência da opera-
ção das atividades de controle deve ser avaliada por várias partes, incluindo os
indivíduos responsáveis pelos controles e pelo time de gerenciamento do programa
de controle interno.
• Monitoração: a Auditoria Interna deve monitorar a eficiência em todo o
programa de controle interno e infraestrutura.
2.8 Governança corporativa
Em junho de 2002, a CVM (Comissão de Valores Mobiliários) emitiu uma carti-
lha contendo recomendações relativas a boas práticas de governança corporativa.
Em breve, a CVM exigirá a inclusão nas informações anuais das Companhias Aber-
tas, do nível de adoção a estas práticas, na forma de “pratique ou explique”, isto é,
caso a companhia opte por não adotar esta cartilha, deverá explicar os motivos da
não adoção.
Governança Corporativa é o conjunto de práticas que tem por finalidade otimi-
zar o desempenho de uma companhia ao proteger todas as partes interessadas, ou
seja, investidores (minoritários inclusive), empregados e credores. A GC tem por
objetivo principal dar maior transparência, equidade de tratamento dos acionistas e
prestação de contas. Caso sejam aplicadas, em suma, teremos um aumento do
valor da companhia, pois boas práticas de GC repercutem na redução de custo de
capital, o que aumenta a viabilidade do mercado de capitais como alternativa de
capitalização.
Quando um investidor aplica seus recursos em uma companhia, sujeita-se ao
risco de apropriação indevida, por parte de acionistas controladores ou de adminis-
tradores. A adoção de boas práticas de GC constitui, ainda, um conjunto de meca-
nismos através dos quais os investidores se protegem contra desvios de ativos por
indivíduos que têm poder de influenciar ou tomar decisões em nome da companhia.
Quando confeccionada, esta cartilha adaptou alguns conceitos de GC interna-
cional às características próprias da realidade brasileira.
Esta cartilha é dividida em:
I. Transparência: Assembleias, Estrutura Acionária e Grupo de Controle;
II. Estrutura e Responsabilidade do Conselho de Administração;
III. Proteção a Acionistas Minoritários;
IV. Auditoria e Demonstrações Financeiras.
I. Transparência: Assembleias, Estrutura Acionária e Grupo de Controle
As assembleias devem ser realizadas em data e hora que não dificultem o
acesso dos acionistas e, ainda, o edital de convocação deve conter descrição pre-
cisa dos assuntos que serão tratados. Adicionalmente, o Conselho deve incluir na
pauta matérias relevantes e oportunas, sugeridas pelos acionistas minoritários,
independentes do percentual exigido por lei para convocação.
Recomenda-se que a AG seja realizada o mais próximo do final do exercício.
Este item visa à inclusão do maior número de assuntos possível, evitando, desta
forma, a convocação de nova assembleia.
Quando da existência de assuntos considerados complexos, na pauta, a com-
panhia deve convocar a assembleia com antecedência mínima de 30 dias. As em-
presas com ADR (Certificados de Depósitos de Valores Mobiliários no exterior) de-
vem convocar a assembleia com pelo menos 40 dias de antecedência.
Isto se deve à quantidade de solicitações à CVM, para postergação das as-
sembleias.
A companhia deve tornar públicos (acessíveis) todos os acordos realizados,
bem como aqueles em que ela seja interveniente.
Facilitar a obtenção da relação dos acionistas com suas respectivas quantida-
des de ações e, no caso de acionistas detentores de menos do que 0,5% do capi-
tal, de seus endereços para correspondência.
O estatuto deve regular com clareza as exigências necessárias para voto e re-
presentação de acionistas em assembleias.
O item acima presume o princípio de boa-fé, ou seja, presume verdadeiras as
declarações que lhe forem feitas. A apresentação de documentos sem reconheci-
mento de firma, por exemplo, não pode ser impedimento do voto.
II. Estrutura e Responsabilidade do Conselho de Administração
O Conselho de Administração deve ter de cinco a nove membros tecnicamente
qualificados, com pelo menos dois membros com conhecimento contábil-financeiro.
O conselho deve ter o maior número possível de membros independentes da admi-
nistração da companhia.
O conselho deve adotar um regimento com procedimentos sobre suas atribui-
ções e periodicidade mínima das reuniões. O conselho da administração deve fa-
zer, anualmente, uma avaliação formal do desempenho do executivo principal. Os
conselheiros devem receber os materiais com antecedência compatível com o grau
de complexidade da matéria.
O estatuto deve prever que qualquer membro do conselho possa convocar
reuniões em caso de necessidade.
A companhia deve permitir que os acionistas detentores de ações preferenciais
elejam um membro do conselho de administração, por indicação e escolha pró-
prias.
Os cargos de presidente do conselho de administração e presidente da direto-
ria (principal executivo) devem ser exercidos por pessoas diferentes.
O conselho da administração fiscaliza a gestão dos diretores; por conseguinte,
para evitar conflitos de interesse, o presidente do conselho de administração não
deve ser também da diretoria.
III. Proteção a Acionistas Minoritários
As decisões de alta relevância devem ser deliberadas pela maioria do capital
social, cabendo a cada ação um voto, independentemente de classe ou espécie.
Em certas matérias, dentre as quais as citadas, a restrição de direito de voto
que houver sido imposta às ações preferenciais não deve subsistir.
A alienação de ações representativas do controle da companhia deve ser
realizada somente se o adquirente efetuar oferta pública de aquisição de todas as
demais ações da companhia pelo mesmo preço, independentemente de espécie ou
classe.
O adquirente é obrigado a fazer oferta pública de aquisição das ações ordiná-
rias não integrantes do bloco de controle por, no mínimo, 80% do preço pago por
cada ação de controle.
Para companhias constituídas após a entrada em vigor da Lei no 10.303/01, o
adquirente deve oferecer o mesmo preço pago pelas ações de controle a todas as
classes ou espécies de ações.
O conselho de administração deve certificar-se de que as transações entre par-
tes relacionadas estão claramente refletidas nas DFs e foram feitas por escrito e
em condições de mercado. O estatuto deve proibir contratos cuja remuneração seja
baseada em faturamento/receita.
Os contratos devem ser formalizados por escrito, detalhando-se as suas carac-
terísticas principais (direitos, responsabilidades, qualidade, preços, encargos, pra-
zos etc.). Nas assembleias para discutir tais contratos, os acionistas minoritários
poderão pedir um parecer a uma entidade independente, a ser pago pela compa-
nhia.
O estatuto da companhia deverá determinar que, se a assembleia geral não
deliberar pelo pagamento dos dividendos fixos ou mínimos às ações preferenciais
ou a companhia não os pagar no prazo permitido por lei, tais ações adquirirão,
imediatamente, direito a voto. Se a companhia pagar dividendos por três anos, to-
das as ações preferenciais adquirirão direito de voto.
Divergências entre acionistas controladores e minoritários serão solucionadas
por arbitragem.
A adoção de arbitragem visa acelerar a solução de impasses, sem prejuízo da
qualidade do julgamento.
As companhias abertas não constituídas antes da Lei no 10.303/01 não devem
elevar a proporção de ações preferenciais acima do limite de 50%. As companhias
anteriores que já tenham mais de 50% de seu capital representado por ações pre-
ferenciais não devem emitir novas ações dessa espécie.
IV. Auditoria e Demonstrações Financeiras
Trimestralmente, em conjunto com as DFs, a companhia deve divulgar relatório
preparado pela administração com a discussão e análise dos fatores que influencia-
ram preponderantemente o resultado, indicando os principais fatores de risco (in-
terno e externo).
O conselho fiscal deve ser composto por, no mínimo, três e, no máximo, cinco
membros. O controlador deve renunciar ao direito de eleger sozinho o último mem-
bro, o qual deverá ser eleito pela maioria do capital social.
Um comitê de auditoria deve supervisionar o relacionamento com o auditor. O
conselho fiscal e o comitê de auditoria devem se reunir regular e separadamente
com os auditores sem a presença da diretoria.
Isto foi definido para que as DFs sejam discutidas detalhadamente por agentes
capazes de analisá-las e propor ao conselho de administração as alterações que se
façam necessárias.
O conselho de administração deve proibir ou restringir a contratação do auditor
da companhia para outros serviços que possam dar origem a conflitos de interesse.
A companhia deve disponibilizar informações a pedido de qualquer membro do
conselho fiscal, sem limitações relativas a exercícios anteriores, desde que tais
informações tenham relação com questões atuais em análise.
A companhia deve adotar, além dos princípios de contabilidade em vigor no
Brasil, normas internacionais de contabilidade.
Os principais mercados estão caminhando para um padrão internacional de
contabilidade que facilite aos investidores analisar o desempenho da companhia e
compará-lo com seus pares.
A carta de recomendações dos auditores internos deve ser revisada por todos
os membros do conselho de administração e fiscal.
A seguir, transcrevemos o Código de Governança Corporatriva.
Este documento foi preparado pelo Instituto Brasileiro de Governança Corpora-
tiva como contribuição para o aperfeiçoamento da governança corporativa das em-
presas no Brasil.
Ele baseou-se na experiência de seus associados, em Códigos de Melhores
Práticas, tais como Cadbury, General Motors, Hampel, National Association of Cor-
porate Directors (NACD), Viênot e outros, e leva em conta também algumas das
sugestões apresentadas no “Top Management Summit” realizado de 10 a 12 de
abril de 1997 em Itu, Estado de São Paulo (essas sugestões foram incorporadas
num documento editado pela Fundação Dom Cabral intitulado “Governança Corpo-
rativa, Subsídios ao Código Brasileiro de Melhores Práticas”).
Embora a governança corporativa englobe os acionistas/quotistas, o Conselho
de Administração e seus comitês, o Executivo Principal (CEO), a auditoria indepen-
dente e o Conselho Fiscal, os Códigos citados estão focados no Conselho de Ad-
ministração.
Código das melhores práticas
Conselho de Administração
Missão do Conselho de Administração
A missão do Conselho de Administração é proteger o patrimônio e maximizar o
retorno do investimento dos acionistas, agregando valor ao empreendimento.
O Conselho de Administração deve zelar pela observância de valores, crenças
e propósitos dos acionistas, nas atividades da empresa.
Competência do Conselho de Administração
O art. 142 da Lei das Sociedades por Ações determina a competência do Con-
selho de Administração. Devem-se destacar a determinação de estratégias, a elei-
ção e a destituição de diretores, a fiscalização da gestão dos diretores e a eleição e
a destituição dos auditores independentes.
As atividades de competência do Conselho de Administração devem estar
normatizadas em um regimento interno, tornando claras suas responsabilidades e
atribuições, e prevenindo situações de conflito com a Diretoria Executiva, notada-
mente com o Executivo Principal (CEO).
O Conselho de Administração deve estimular a criação formal de um código de
ética da empresa.
O Conselho de Administração não deve imiscuir-se nos assuntos operacionais
da Diretoria Executiva.
Comitês do Conselho de Administração
Várias atividades do Conselho de Administração precisam de análises profundas
que tomam mais tempo do que é disponível nas reuniões. Diferentes comitês, cada
um com alguns membros do Conselho, devem ser formados, por exemplo: comitês
de nomeação, de auditoria, de remuneração etc. Os comitês estudam seus assuntos
e preparam as decisões. Só o Conselho pleno pode tomar as decisões.
Auditoria independente
O Conselho de Administração, ou o comitê de auditoria (se existe), negocia
com os auditores independentes, estabelece o programa de auditoria e acerta pre-
ço e prazo.
Tamanho do Conselho
O tamanho do Conselho de Administração deve ser o menor possível, varian-
do, em função do perfil da empresa, entre 5 e 9 membros.
Reunião dos Conselheiros externos (sessão executiva)
É função do Conselho avaliar a gestão da Diretoria. Para que isto possa ser fei-
to sem constrangimento, é importante que os conselheiros externos e independen-
tes possam reunir-se sem a presença dos Diretores/Conselheiros internos. Se isto
acontece com regularidade, os Diretores se sentem menos desconfortáveis.
Convidados para as reuniões do Conselho de Administração
Pessoas-chave da empresa podem ser convidadas ocasionalmente para as
reuniões do Conselho de Administração para expor suas atividades.
Avaliação do Conselho e do Conselheiro
A cada ano deve ser feita uma avaliação formal do desempenho do Conselho e
de cada um dos Conselheiros. A sistemática de avaliação deve ser adaptada à si-
tuação de cada empresa.
O Conselheiro
Qualificação do Conselheiro
Cada Conselheiro deve ter:
• integridade pessoal;
• capacidade de ler e entender relatórios financeiros;
• ausência de conflitos de interesse;
• disponibilidade de tempo;
• motivação.
Na composição do Conselho, devem estar presentes entre os membros as se-
guintes experiências ou conhecimentos:
• experiência de participação em bons conselhos de administração, ou seja,
os reconhecidos por sua excelência;
• experiências como Executivo Principal;
• experiências em administrar crises;
• conhecimentos de finanças;
• conhecimentos contábeis;
• conhecimentos do ramo da empresa;
• conhecimentos do mercado internacional;
• visão estratégica;
• contatos de interesse da empresa.
A maioria do Conselho deve ser formada por Conselheiros independentes (ver
este tema a seguir).
O Conselho deve ter diversidade de conhecimentos e experiências.
Prazo do Mandato
O prazo do mandato do conselheiro deve ser definido. A sua duração deve ser
curta, variando entre um e três anos. A reeleição deve ser possível depois de uma
avaliação formal de desempenho. A reeleição não deve ser automática.
Limite de idade
Algumas pessoas já estão improdutivas antes de chegar aos 60 anos. Outras
estão muito produtivas aos 75. Se o mandato é curto e o sistema de avaliação de
desempenho é eficiente, não deve ser fixado um limite de idade.
Mudança de ocupação principal do Conselheiro
A ocupação principal do Conselheiro é um dos fatores importantes em sua es-
colha. Quando muda a ocupação principal, o Conselheiro deve renunciar. O comitê
de nomeação deve analisar a conveniência de propor a sua reeleição.
Remuneração do Conselheiro
O Conselheiro deve receber na mesma base do valor da hora de trabalho do
Executivo Principal, aplicado ao tempo efetivamente dedicado à empresa pelo
Conselheiro.
Consultas externas
Os Conselheiros devem ter o direito de fazer consultas a profissionais externos
(advogados, auditores, especialistas em impostos etc.) pagos pela empresa para
obter uma segunda opinião. O Conselho deve preparar um regulamento interno
para isto.
Independência
A razão fundamental da importância de independência é evitar conflitos de inte-
resse.
Conselheiro independente
A maioria do Conselho deve ser formada por conselheiros independentes. A
definição de independência é:
• não ter qualquer vínculo com a empresa;
• não ter sido empregado da empresa ou alguma subsidiária;
• não estar oferecendo algum serviço ou produto à empresa;
• não ser empregado de alguma entidade que esteja oferecendo algum ser-
viço ou produto à empresa;
• não ser cônjuge ou parente até segundo grau de algum Diretor, gerente da
empresa ou pessoa física controladora direta ou indireta da empresa;
• não receber outra remuneração da empresa além dos honorários de Con-
selheiro ou eventuais dividendos (se for também acionista).
O Conselheiro deve trabalhar para o bem da empresa e por conseguinte para
todos os acionistas. O Conselheiro deve buscar máxima independência possível
em relação ao acionista, grupo acionário ou parte interessada que o tenha indicado
para o cargo.
Conselheiros – internos e externos
Há três classes de Conselheiros:
• independentes (ver definição acima);
• externos (Conselheiros que não trabalham na empresa, mas não são inde-
pendentes);
• internos (Conselheiros que são Diretores da empresa ou que são empre-
gados pela empresa).
O Conselho fiscaliza a gestão dos diretores. Fiscalizar a si mesmo é uma
situação típica de conflito de interesse. Por conseguinte, deve-se evitar acumula-
ção de cargos entre conselheiros e diretores.
Presidente do Conselho e da Diretoria
Deve-se buscar a separação dos cargos do Presidente do Conselho e do Pre-
sidente da Diretoria (Executivo Principal).
A lógica é a mesma do caso de evitar conselheiros internos. O Conselho fisca-
liza a gestão dos diretores. Por conseguinte, o Presidente do Conselho não deve
ser a mesma pessoa que o Presidente da Diretoria.
Liderança independente do Conselho
No caso em que o Presidente do Conselho e o Presidente da Diretoria sejam a
mesma pessoa, é importante que o Conselho tenha um membro de peso, respeita-
do por seus colegas e a comunidade empresarial em geral, que pode servir como
um contrapeso ao poder da pessoa que é Presidente do Conselho e da Diretoria.
Transparência/“Disclosure”
Os acionistas têm o direito a informações transparentes e oportunas com res-
peito às empresas onde estão investindo.
O funcionamento de um mercado de capital depende de informação transpa-
rente das empresas.
Porta-voz da empresa
O Conselho de Administração deve designar uma só pessoa com a responsabi-
lidade de ser o porta-voz da empresa, eliminando-se o risco de haver contradições
entre as declarações do Presidente do Conselho e as do Executivo Principal. O
Diretor de Relações com o Mercado tem poderes delegados pelo porta-voz da em-
presa.
Informação balanceada
As informações da empresa devem ser equilibradas, devendo tratar tanto de
aspectos positivos quanto negativos para facilitar ao leitor a correta avaliação da
empresa.
Veracidade da informação
O Conselho de Administração e o porta-voz da empresa devem assegurar-se
de que as informações aos acionistas e ao mercado são verídicas. Informações
falsas devem ser punidas.
Sistemas de avaliação
Os sistemas de avaliação do Conselho, dos Conselheiros, do Executivo Princi-
pal e dos Diretores devem ser explicados no relatório anual da empresa.
Ações e remuneração dos Conselheiros e Diretores
Os códigos de melhores práticas internacionais recomendam que o relatório
anual especifique o número de ações e a remuneração de cada um dos Conselhei-
ros e Diretores.
Práticas de governança corporativa
O relatório anual deve indicar qual código das melhores práticas tem sido usa-
do pela empresa e explicar todos os desvios da empresa deste código.
Processos e funcionamento do Conselho de Administração
Avaliação do Executivo Principal
O Conselho de Administração deve fazer anualmente uma avaliação formal do
desempenho do Executivo Principal.
Planejamento da sucessão
O Conselho de Administração deve ter, sempre atualizado, um plano de suces-
são do Executivo Principal e de todas as outras pessoas-chave da empresa.
Introdução de novos Conselheiros
Cada novo conselheiro deve ser exposto a um programa de introdução, inclu-
indo uma pasta do conselho com a descrição da função do conselheiro, os últimos
relatórios anuais, as atas das assembleias ordinárias e extraordinárias, atas das
reuniões do Conselho e outras informações da empresa. O novo conselheiro deve
ser apresentado a seus colegas, aos diretores e às pessoas-chave da empresa.
Também deve visitar fábricas e locais de negócios. Dependendo do perfil da em-
presa, devem ser incluídos programas adicionais.
Reuniões do Conselho de Administração
Documentação das reuniões
A eficácia das reuniões do Conselho de Administração depende muito da qua-
lidade da documentação distribuída antecipadamente aos conselheiros. As propos-
tas para decisões devem ser formuladas. A documentação deve estar em mãos
dos conselheiros antes do fim de semana anterior à reunião. Os conselheiros de-
vem ter lido tudo e estar bem preparados para a reunião.
Agenda
A agenda da reunião do Conselho de Administração deve ser preparada pelo
Presidente do Conselho com base em sugestões de conselheiros e diretores.
Atas das reuniões do Conselho de Administração
É importante ter um bom secretário para as reuniões do Conselho de Adminis-
tração. Decisões tomadas ficam registradas na ata. É importante que a ata seja
fidedigna. Os conselheiros devem ler as atas com atenção.
Entendimento do cenário que levou a tornar a Governança Corporativa Necessária
Fraudes contábeis, postura de auditores independentes e Administradores
WorldCom
Colocou no balanço US$ 3,8 bilhões como investimentos, quando, na verdade,
eram despesas. Especialistas dizem que os auditores da Andersen deveriam ter
descoberto o problema.
Enron
Em função de participações acionárias em pequenas empresas que não cons-
tavam no balanço, foram destacados bilhões em dívidas. No último balanço publi-
cado, os lucros foram superestimados em US$ 600 bilhões e fizeram desaparecer
dívidas de US$ 650 bilhões. A Enron vendeu também bens a essas empresas por
preços supervalorizados (falsas receitas).
Parmalat
Registrou operações em suas empresas controladas, que depois se descobriu
que eram falsas. Boa parte do resultado da Parmalat vinha dessas operações.
• Consequências:
• queda do preço das ações sem motivo aparente;
• perdas financeiras – diretas e indiretas;
• excesso de penalidades legais;
• perdas nos canais de entrega dos serviços;
• perda de reputação;
• estragos ao meio ambiente; e
• saídas dos negócios.
Como atuar de forma preventiva, evitando estes fatos:
Estabelecer: políticas, procedimentos ou práticas adotadas para assegurar que
os objetivos do processo sejam atingidos suportando os riscos inerentes, conside-
rando:
• alçadas (prevenção);
• autorizações (prevenção);
• conciliação (detecção);
• revisões de desempenho (detecção);
• segurança física (prevenção e detecção);
• segregação de funções (prevenção);
• sistemas informatizados (prevenção e detecção).
Objetivando:
“Assegurar a integridade dos dados e a confidencialidade de informações,
conscientizando a alta administração, pois a boa GC está baseada na divulgação
de informes claros e acessíveis. Porém, as medidas que promovem a GC devem
ser acompanhadas por especialistas em gestão de risco. Gazeta Mercantil 12/09/05
– Francisco Sanz Esteban.”
2.9 Possíveis melhorias nos controles adotados
Para manter o relacionamento de parceria, vital a uma Auditoria de Processo, o
auditor não pode esperar a formalização do relatório para discussão das possíveis
melhorias identificadas no processo avaliado.
É imprescindível que as possíveis ações corretivas sejam definidas em conjun-
to com a área auditada, para, quando possível, sua imediata adoção ou definição
dos reponsáveis e prazos envolvidos. O auditado percebe que o trabalho está sen-
do produtivo e que o intuito da auditoria é auxiliá-lo e assessorá-lo, avaliando seus
processos.
Existia um paradigma de que os pontos levantados durante a execução do tra-
balho só deveriam ser discutidos com o auditado após exaustivo processo de revi-
são e aprovação do relatório, pela própria área de auditoria. Além de, via de regra,
acarretar a perda da tempestividade requerida à sua apresentação, este procedi-
mento impossibilitava que a área auditada obtivesse, de forma rápida e eficaz, os
valores agregados e os ganhos obtidos com o trabalho de auditoria.
A área de Auditoria focada em Processo tem de possuir profissionais experien-
tes e capacitados a desenvolver e concluir o trabalho de forma eficaz, considerando
a participação do auditado e a discussão dos pontos levantados com sua alta ges-
tão. Ao mesmo tempo, a diretoria ou gerência da área de auditoria precisa desen-
volver procedimentos internos que possibilitem segurança quanto à revisão da qua-
lidade do trabalho feito e das conclusões obtidas.
A utilização de programas específicos para a elaboração e o controle dos proce-
dimentos adotados pelo auditor facilita seu acompanhamento on line por sua gerên-
cia, sem impacto na performance e no prazo firmado junto à área auditada.
Assim, após o volume e a abrangência de revisão considerada ideal pela expe-
riência e capacidade do auditor responsável pelo trabalho de campo, o próprio for-mulário de pontos de auditoria (mais à frente, estaremos exemplificando o
modelo para o formulário em questão) pode ser utilizado para a discussão do
ponto de definição e acordo das ações corretivas.
O relatório de auditoria, quando for emitido, será a formalização e a legalização
das ações já tomadas ou em andamento, propiciando demonstrar mais uma vez a
produtividade da auditoria realizada.
2.10 Definição dos procedimentos de auditoria
A partir do conhecimento dos objetivos existentes, dos riscos, se os mesmos
não forem alcançados, e da avaliação dos controles adotados para garantir o al-
cance dos objetivos e a não ocorrência dos riscos envolvidos, uma outra pergunta é necessária: como verificar se os controles adotados realmente garantem o
alcance dos objetivos e a não ocorrência dos riscos envolvidos?
Como já mencionamos seguidamente em nosso trabalho, o auditor necessita
corroborar suas conclusões em fatos evidenciados e documentados ao longo de
seu trabalho. Mesmo que o controle documentado em nosso fluxo demonstre asse-
gurar a não ocorrência dos riscos envolvidos, o auditor precisa verificar se os pro-
cedimentos e controles levantados junto ao auditado realmente ocorrem da forma e
com a qualidade descritas.
Para execução destes testes, o auditor vai ter de considerar não só o fluxo le-
vantado e documentado em seu trabalho, mas também todas as normas e políticas
internas estabelecidas pela empresa. Estes procedimentos serão adotados por
amostragem, dentro da abrangência e do âmbito que o auditor julgar necessários à
obtenção de segurança do trabalho, e estarão documentados em formulário deno-
minado programa de testes.
Este programa de teste consiste em um papel que consolida todos os procedi-
mentos executados pelo auditor com os papéis e documentos que suportam suas
conclusões.
A existência de papéis eletrônicos facilita a documentação e a guarda destas
informações, assim como o seu acesso pelos gestores da auditoria e demais pro-
fissionais da área.
É importante que o programa de trabalho detenha todos os parâmetros relati-
vos à execução dos testes, de modo que possíveis questionamentos quanto à base
de dados utilizada, período de teste, fonte de informações e responsáveis pela
execução dos testes, por exemplo, sejam prontamente identificados.
Normas e políticas internas estabelecidas pela empresa
No caso das políticas e normas internas estabelecidas pela empresa, é interes-
sante a emissão de programa de trabalho padrão que, no formato de um checklist,
proporcione verificar a exatidão de dados, tais como:
• limites de alçada;
• prazos de emissão e análise de relatórios;
• responsáveis e procuradores da empresa;
• aprovações das operações;
• registros legais;
• apuração e divulgação de indicadores; e
• condições de negociação comerciais.
Esta verificação tem como objetivo constatar se as normas e as políticas esta-
belecidas pela empresa vêm sendo seguidas de forma adequada pelas áreas. Ao
mesmo tempo, este procedimento também serve para verificar se estas normas e
políticas encontram-se atualizadas. Podem existir processos que, apesar de prati-
cados, não estejam incluídos nestas regulamentações.
É comum que, devido a mudanças no enfoque de comercialização de algum
produto ou para atender a alguma demanda específica do mercado, por exemplo,
sejam feitas alterações nessas políticas, que, apesar de valerem na prática das
operações, não se apresentam atualizadas ou regulamentadas pela empresa.
Fluxo levantado e documentado do processo
Após levantar e documentar o fluxo do processo, no enfoque de uma Auditoria
de Processo, o auditor tem, na verdade, uma Planilha de Risco e Controle do Pro-
cesso, onde ele pode concluir sobre a melhor forma de verificar os controles adota-
dos.
Este procedimento de verificação, como já vimos anteriormente, representa os
procedimentos de auditoria que serão adotados para constatar se os controles efe-
tivamente asseguram que os riscos não ocorreram.
Nesta conclusão, é importante que o auditor considere a importância dos con-
troles para o processo auditado, assim como a materialidade envolvida.
Os procedimentos de auditoria podem envolver inúmeras formas de testes e
análises, mas o importante é optar pelo teste mais eficaz e produtivo, considerando
fatores como:
• o resultado previsto para o trabalho;
• o tempo disponível para sua execução;
• a mão de obra disponibilizada;
• a necessidade de especialização técnica ou de terceirização do procedi-
mento;
• os custos envolvidos;
• o envolvimento de aplicativos ou sistemas locais, possibilitando a interrup-
ção ou o atraso do processo produtivo da empresa; e
• o melhor momento para sua execução, considerando as disponibilidades da área auditada para o acompanhamento e supervisão dos resultados obtidos.
Visualizamos, a seguir, alguns procedimentos de auditoria concluídos com ba-
se nos objetivos, riscos e controles documentados em um fluxo levantado pelo au-
ditor de processo.
Projeto: Vendas Varejo
Objetivo: Vendas e Cadastro – Telemarketing Receptivo.
Descrição Objetivo Risco Controle Procedimento
de Auditoria
Faz contato
inicial com o
cliente –
conforme norma.
Caso o cliente
ligue para outra
solicitação,
orienta o contato
correto.
Solicita o número
do CPF ou CNPJ
e o nome do
solicitante.
Registra os
números no
sistema na tela
XX e usa a tecla
Efetuar contato
inicial para
venda e
obtenção dos
dados
necessários à
verificação, se o
solicitante já
possui cadastro
ou não na
empresa.
Falta de
segurança
quanto à
veracidade dos
dados do
solicitante.
O CPF ou CNPJ
é digitado no
sistema.
O sistema
informa quanto à
sua validade.
Através de
escuta sobre os
operadores,
verificar a
solicitação do
CPF e ou CNPJ
dos solicitantes,
e verificar se sua
posição no
sistema condiz
com o processo
seguido pelo
operador.
Simular
solicitações de
clientes com e
sem cadastro,
enter. para verificação
do retorno
devido pelo
operador.
Os campos
aparecem em
branco. Solicita
dados
complementares:
filiação, RG,
emissão, órgão
emissor, data de
nascimento e
nacionalidade.
Registra na XX e
utiliza a tecla F4
para atualizar e
enter para
registrar.
Cadastrar o
solicitante no
sistema.
Falta de
segurança
quanto à
veracidade dos
dados do
solicitante.
Cadastro
indevido do
solicitante.
O sistema
informa na tela
que o cliente não
está cadastrado.
O sistema obriga
o complemento
de todos os
campos dos
dados para o
cadastro do
cliente.
Através de
escuta sobre os
operadores,
verificar no caso
de não
cadastrado se
foram solicitados
todos os campos
previstos no
sistema. Através
de posterior
consulta ao
sistema, verificar
os cadastros
efetuados.
Mais uma vez, verificamos que, graças ao fluxo focado na análise do processo,
o trabalho do auditor é facilitado.
Como podemos observar, ao término do levantamento do processo, a Planilha
de Risco e Controle apurada propiciará extrema facilidade para a execução do Pro-
grama de Testes. Basta o auditor relacionar os procedimentos de auditoria concluí-
dos no fluxo, no formato de um Programa de Testes, consolidando os procedimen-
tos que serão executados.
2.11 Conclusão sobre os controles adotados
A partir da definição dos procedimentos de auditoria que serão adotados, po-deríamos questionar: que tipo de conclusão será obtido após a adoção de
nossos testes.
O resultado esperado de uma Auditoria de Processo recai na possibilidade de
ganhos financeiros ou na qualidade do processo avaliado, considerando:
• recuperação, diminuição ou extinção das perdas financeiras existentes;
• eliminação de prejuízos à imagem da empresa, perante seus clientes e o
mercado utilizado em suas operações;
• melhora na qualidade dos processos, tornando-os mais precisos e rentá-
veis, propiciando assim melhor performance; e
• identificação das mudanças ou adaptações necessárias aos procedimentos
e rotinas desenvolvidos, visando a agilidade, melhor controle e eficácia das opera-
ções envolvidas.
Este resultado pode ser obtido em sua totalidade ou de forma parcial, conside-
rando o tipo de processo auditado e o negócio firmado pela empresa.
Os procedimentos empregados para avaliação do processo também têm in-
fluência direta nos tipos de resultados alcançados.
Os procedimentos executados em relação às normas e rotinas determinadas pela empresa
Os procedimentos que têm como finalidade verificar o cumprimento das nor-
mas e rotinas determinadas pela empresa propiciam a constatação de possíveis
perdas financeiras ou prejuízo à imagem da empresa, pela existência de fatos, tais
como:
• não cumprimento do limite de alçada;
• não atingimento das metas estabelecidas por órgãos reguladores ou ele-
vado volume de reclamações junto aos órgãos controladores dos direitos dos con-
sumidores;
• distorção ou não aplicação das tabelas e condições de negociação estabe-
lecidas pela empresa; e
• atraso no registro de suas obrigações legais/tributárias ou sua execução de forma indevida.
Como vemos, a execução dos procedimentos relativos a normas e rotinas de-
terminadas pela empresa possui um teor de verificação se os processos estão sen-
do praticados dentro das definições, dos critérios e dos parâmetros previamente
definidos pela empresa.
A execução das rotinas em relação ao fluxo documentado pelo auditor
Os procedimentos concluídos a partir do fluxo do processo documentado pelo
auditor têm como finalidade avaliar os procedimentos levantados junto à área audi-
tada, considerando:
• a verificação da efetiva prática dos procedimentos e controles que, avali-
ando o fluxo levantado, denotam assegurar a não ocorrência dos riscos envolvidos
no processo; e
• a confirmação, a mensuração e a documentação da implicação gerada pe-
la existência de procedimentos e controles que não asseguram a não ocorrência dos riscos envolvidos no processo.
Esta avaliação propicia a constatação de possíveis perdas financeiras e prejuí-
zos à imagem da empresa, assim como possibilita a melhora na qualidade dos pro-
cessos e a identificação das mudanças ou adaptações necessárias aos procedi-
mentos e rotinas desenvolvidos, visando à sua agilidade, ao melhor controle e à
eficácia das operações envolvidas.
Podemos exemplificar como conclusões comuns à execução de testes sobre o
fluxo levantado pelo auditor de processo:
• identificação de perdas financeiras no processo, relativas a controles ine-
xistentes ou inadequados às operações realizadas;
• constatação de indicadores apurados de forma inadequada, proporcionan-
do uma divulgação irreal da performance da empresa;
• apuração de procedimento inapropriada para o atendimento e a divulgação
dos serviços e produtos da empresa, junto ao seu público-alvo e ao mercado utili-
zado na prática de suas operações; e
• identificação das mudanças ou adaptações necessárias aos procedimentos
e rotinas desenvolvidos, visando à agilidade, ao melhor controle e à eficácia das operações envolvidas.
Como vemos, a execução dos procedimentos relativos ao fluxo do processo
avaliado propicia uma conclusão mais ampla por parte do auditor, uma vez que a
avaliação das informações, dos dados, controles e procedimentos descritos possi-
bilita que o auditor atue como alguém que, de forma independente do processo,
esteja literalmente visualizando sua totalidade e vislumbrando as melhorias ou os
ganhos possíveis em sua execução.
2.12 Controles que necessitem de possíveis melhorias
Para documentar os controles onde foram identificadas as necessidades de al-
guma melhoria, o auditor de processo, visando à demonstração e à caracterização
do valor agregado em seu trabalho, deve ter a preocupação de mostrar, de forma
clara e objetiva, os seguintes aspectos:
• breve histórico e padrões adotados;
• descrição objetiva do problema ou falha identificada;
• causas apresentadas;
• risco e implicação decorrentes;
• mensuração, quando possível, dos efeitos destas implicações; e
• definição das possíveis ações corretivas.
Esta documentação se dá através do que comumente chamamos de pontos
de controle interno ou pontos de auditoria.
Trata-se de um documento que consolida todas as melhorias de processo iden-
tificadas durante o trabalho do auditor, servindo como uma espécie de rascunho do
relatório final do trabalho. Sua apresentação pode ser feita através de uma tabela
com as conclusões obtidas ou já em forma de texto, propiciando uma prévia visão
do futuro Relatório de Auditoria.
Nas duas formas citadas para a sua documentação, o importante é que os as-
pectos relacionados aos pontos sejam demonstrados.
Breve histórico e padrões adotados
Por representar a identificação de possíveis melhorias no processo, o ponto de
auditoria precisará ser visto e aprovado pelas pessoas que tenham envolvimento
direto ou não em sua operação, visando a seu acordo e aprovação.
As diretorias envolvidas e as gerências correlatas podem não ter um nível de
conhecimento da operação que permita o entendimento dos fatos que estejam im-
pactando o processo, sem um pequeno breve histórico sobre sua forma de atuação
ou características e fatos peculiares ao contexto de sua evolução. Ao mesmo tem-
po, após a descrição destes aspectos preliminares, é importante que os padrões
adotados sobre os processos analisados sejam também demonstrados, visando a
tornar claros procedimentos, limites de alçada, controles e demais formas adotadas
na execução de suas operações.
O esclarecimento dos padrões empregados é muito importante para a análise dos
fatos apontados pela auditoria, considerando possíveis descumprimentos de normas,
falhas nos controles e outros problemas que estejam distorcendo estes padrões.
Lembramos que tais informações são imprescindíveis, principalmente para
quem não participa diretamente do processo ou atua em área diferente de sua ge-
rência, mas que, pelo envolvimento nas operações existentes, necessita também
validar o ponto de auditoria.
Descrição objetiva do problema ou falha identificada
Uma descrição detalhada e objetiva dos problemas identificados torna-se qua-
se redundância, se considerada importante na documentação dos pontos de audi-
toria, que têm como finalidade a demonstração de problemas que estiverem impac-
tando o processo. Porém, existem algumas regras importantes a serem considera-
das, no momento da redação e divulgação dos problemas ou falhas identificadas
na auditoria:
a) Deixar claro se o fato descrito representa o resultado de um teste ou tra-
balho desenvolvido pelos auditores ou uma informação prestada pelo auditado,
sem a possibilidade de sua confirmação durante o trabalho. O auditor deve com-
prometer-se, apenas, pelas conclusões obtidas a partir de seus testes ou trabalhos
realizados.
b) Não podemos mencionar nomes ou responsáveis pelo problema. Lembre-
se de que a auditoria está sendo executada, visando a verificar o processo. Logo,
quando for necessário, citaremos o cargo ou a área envolvida no problema (Gerên-
cia de Produto e/ou Diretoria de Marketing, Área de Marketing etc.).
c) O nível de detalhamento empregado deve ser o suficiente para o enten-
dimento do problema por qualquer pessoa, independentemente de sua participação
ou não no processo. Ao mesmo tempo, é importante manter uma objetividade que
permita a rápida leitura e o esclarecimento dos fatos descritos.
Não existe a necessidade de o texto apresentar-se prolixo para que a dire-
toria ou gerência responsável pelo processo dê a atenção devida ao pro-
blema identificado. A velocidade exigida para a gestão dos processos é
cada vez maior. Logo, o grau de aproveitamento e geração de ganhos, a
partir das reuniões e apresentações firmadas para tal, torna-se fator cruci-
al para seu sucesso.
d) O auditor nunca deve demonstrar sua opinião sobre os fatos levantados;
sua função é demonstrar, de forma clara e objetiva, os problemas identificados, as
evidências e os resultados obtidos em seu trabalho.
Não cabe ao auditor decidir ou julgar o problema, e sim demonstrar todos
os fatos e aspectos necessários para seu entendimento pela gestão da
área auditada.
Causas apresentadas
Mesmo que sejam relatados da forma mais eficaz possível, a mera apresenta-
ção dos problemas identificados, sem a definição dos motivos apontados para sua
existência, deixa implícito que sua identificação não seria atribuição do auditor.
A identificação das causas dos problemas é fato primordial ao sucesso do
trabalho do auditor de processo. Sem ela, não teriam sentido toda a análise e o tra-
balho realizado.
Imaginemos se, ao levarmos o carro para um conserto, embora o problema
existente no veículo fosse identificado e detalhado da maneira mais eficaz possível,
as razões que motivaram o defeito não fossem apontadas ou conhecidas pelo me-
cânico. Como teríamos certeza de que a falha não voltaria a ocorrer? Como pode-
ríamos nos prevenir quanto à sua reincidência? No caso da impossibilidade de sua
prevenção, como proceder ao lidar mais uma vez com o defeito?
O gestor do processo que não é informado sobre as causas das falhas aponta-
das pelo auditor sente-se como o cliente da mecânica imaginada acima.
Mas, visando a uma demonstração eficaz das causas dos problemas identifica-
dos, o auditor também tem de seguir algumas outras regras.
a) Definir, junto com o auditado, as causas existentes para as falhas apon-
tadas, fazendo um trabalho de efetiva redação a quatro mãos.
Não se trata de o auditor simplesmente reportar as causas sugeridas pelo auditado,
e sim que sua conclusão seja obtida em conjunto. A participação do auditado é
importante, uma vez que ninguém mais do que ele conhece o processo. Ao mesmo
tempo, o acordo prévio das causas dos problemas identificados com a área audita-
da demonstra a efetiva parceria firmada no trabalho, caracterizando a oportunidade
para o primeiro contato em que valor agregado pelo mesmo seja apresentado.
b) Evitar concluir sobre causas que não representem fatos concretos e co-
nhecidos por todos os envolvidos no processo. A utilização de palavras como pos-
sivelmente, talvez ou similares não se aplica neste texto. O auditor tem que procu-
rar detectar efetivamente o apêndice do problema, objetivando sua remoção e cica-
trização.
Risco e implicação decorrentes
Para demonstrar os riscos decorrentes, assim como as possíveis consequên-
cias da falta de controle que suporte a sua inexistência, é imprescindível redigir um
texto claro e objetivo.
Os riscos devem ser de simples entendimento e estabelecer situações que
proporcionem problemas, tais como:
• perda financeira;
• prejuízo da imagem da empresa;
• diminuição da receita;
• aumento da despesa;
• falta de amparo legal para a operação;
• inexistência de acordo contratual para a operação;
• sanções trabalhistas, tributárias ou fiscais;
• falta de segurança quanto à integridade dos dados e informações envolvi-
das; e
• falta de segurança quanto à integridade física dos ativos da empresa.
Da mesma forma, a implicação decorrente deve sempre estar associada ao ris-
co identificado, solidificando o seu entendimento e, se possível, exemplificando
consequências da falta de seu controle.
Mensuração, quando possível, dos efeitos destas implicações
Na demonstração dos riscos e consequências decorrentes, sempre que possí-
vel e pertinente, o auditor deve mensurar as possíveis perdas, considerando aspec-
tos como:
• valor em reais das perdas financeiras identificadas ou projetadas;
• total de reclamações junto aos órgãos de proteção ao consumidor e regu-
ladores públicos responsáveis pela monitoria das operações do negócio exercido
pela empresa (ex.: empresas de telecomunicação, de fornecimento de energia
etc.);
• total projetado ou identificado que representou uma diminuição da receita;
• volumes, percentuais e valores em reais do aumento identificado na des-
pesa;
• nos processos relativos ao controle dos ativos da empresa, informar os va-lores envolvidos.
Definição das possíveis ações corretivas
O auditor tem a obrigação de identificar, junto à área auditada, quais as ações
devidas para a eliminação dos pontos de auditoria levantados em seu trabalho. É
primordial que fique claro, junto à área auditada, que esta ação será de sua res-
ponsabilidade e que, de forma objetiva e operacionalmente viável, deverá atuar
sobre as causas apontadas, suportando a inexistência dos riscos e das implicações
decorrentes.
Trata-se, na verdade, de um plano de ação, contendo:
• ações previstas;
• responsável por sua execução; e
• período de sua execução.
Ações previstas
As ações devem determinar, de forma objetiva e clara, o que será realizado pe-
la área auditada para tratamento da causa identificada para o problema.
O auditor deve sempre iniciar sua redação com um verbo no infinitivo, caracte-
rizando efetivamente a execução de uma ação, como:
• garantir, junto à Matriz, as ações necessárias para a assinatura do contrato
firmado;
• definir um padrão corporativo para utilização do canal de vendas, conside-
rando a política de contratação dos parceiros envolvidos e sua forma de remunera-
ção;
• acertar as diferenças apontadas no pagamento da próxima fatura dos for-
necedores envolvidos; e
• estabelecer um treinamento de reciclagem dos vendedores, visando à exe-
cução de uma venda qualificada, avaliando a adoção de script para a abordagem e
sua operacionalização.
A definição da ação corretiva, apesar de ser de responsabilidade da área audi-
tada, deve ter a participação e o acordo do auditor, que analisará se sua implanta-
ção realmente tratará as causas identificadas e suportará os riscos e consequên-
cias identificados no ponto.
É imprescindível que estas ações sejam divulgadas e aprovadas por seus res-
ponsáveis durante a execução do trabalho do auditor, ou seja, enquanto ainda esti-
ver sendo desenvolvido o trabalho de campo.
O auditor não pode perder a oportunidade de demonstrar o valor agregado em
seu trabalho e a importância do imediato início de sua implantação pela área.
As ações corretivas devem ser entendidas e aceitas, de tal forma que sua ado-
ção passe a ser uma meta do auditado, perseguindo o ganho ou a melhoria que a
Auditoria de Processo identificou em seu trabalho.
Responsável por sua execução
Este é o único momento em que o nome do responsável é mencionado no pon-
to de auditoria levantado.
Para que a ação tenha sua implementação exercida a contento, o auditor deve
informar quem será o responsável por sua execução, assim como o cargo que este
ocupa dentro do processo.
Visando a facilitar sua execução, assim como possíveis alterações, inclusões
ou deduções de procedimentos, considerados para sua implantação, a gerência do
processo é o cargo mínimo requerido a um responsável pela ação corretiva.
É importante definir o responsável, objetivando alguém que terá o interesse dire-
to em sua realização e que possua o poder e as condições para sua implantação.
Período de sua execução
É importante que seja definido um período que respeite as necessidades e ur-
gências envolvidas no problema identificado, mas que, da mesma forma, represen-
te uma data factível para o contento da ação corretiva proposta.
Não é válido estabelecer períodos que não possam ser cumpridos ou que re-
presentem a solução parcial do problema. É necessária a definição do tempo efeti-
vamente previsto para aplicação da ação corretiva firmada, considerando:
• manutenção da qualidade requerida;
• totalidade de sua execução; e
• tempestividade exigida do problema identificado.
2.13 Acompanhamento do plano de ação
O auditor tem que exercer um procedimento de acompanhamento da adoção
das ações corretivas concluídas em seu trabalho que, via de regra, é conhecido
como follow-up.
A partir de sistemas internos, desenvolvidos pela própria área de Auditoria de
Processo ou adquiridos no mercado, todas as ações corretivas, responsáveis e
datas acordadas nos pontos de controle são armazenados para o controle de sua
implantação.
Após a data limite estabelecida para a implantação das ações corretivas, o au-
ditor responsável pelo projeto realizará uma nova visita à área auditada. Não se
trata de um novo trabalho, mas da constatação de que todas as ações corretivas
acordadas foram implantadas pela área.
Nesta constatação, o auditor testará a implantação da ação corretiva, ou seja,
executará os procedimentos necessários para constatação de sua total adoção
pela área, de acordo com a forma e o prazo acordados no ponto de auditoria.
Cabe ressaltar que o follow-up é um perfeito termômetro sobre a importância e
o valor dados pela área auditada aos resultados apontados pelo trabalho de audito-
ria.
O cumprimento e a realização das ações corretivas, dentro do prazo estabele-
cido, denotam que a área auditada reconheceu a importância das mudanças gera-
das e o valor agregado com base na adoção das ações corretivas concluídas.
Programação dos trabalhos de follow-up
O procedimento de follow-up pode ser adotado durante a execução de um tra-
balho reincidente sobre a área auditada ou de forma independente. O que vai de-
terminar o melhor período para sua execução é a importância do processo sobre o
negócio exercido pela empresa e o grau de envolvimento que o trabalho tenha so-
bre suas operações.
As ações corretivas que detenham significativa importância sobre os processos
da empresa e cuja adoção represente ganhos através de
• aumento de receita;
• extinção de perdas financeiras; e
• melhorias no processo
devem ter a sua adoção constatada pela auditoria, imediatamente após ser
ultrapassado o período definido pela área, como o prazo necessário à sua imple-
mentação.
A constatação das demais ações corretivas pode aguardar o próximo trabalho
a ser executado sobre a área auditada, mas é importante não ultrapassar um perí-
odo muito longo, uma vez que o valor agregado atribuído a uma conquista do traba-
lho da Auditoria de Processo pode ser esvaziado.
Via de regra, é aconselhável a execução de follow-up, no máximo a cada seis
meses após o prazo estabelecido para implantação da ação corretiva.
Trata-se de um período suficiente para a maturação das ações sugeridas e pa-
ra que não seja identificada a necessidade de mudanças no processo.
Na alta voltagem e velocidade exigidas pelo mundo globalizado, mudanças e
adaptações aos processos, visando à adequação do negócio exercido pela empre-
sa, tornam-se cada dia mais iminentes, obrigando o auditor a entender a tempesti-
vidade necessária à implantação das ações corretivas.
Caso a verificação da adoção destas ações demore a ocorrer, é possível que,
no momento desta, as ações já estejam até obsoletas, considerando possíveis mu-
danças ou inovações necessárias ao processo.
Metodologia empregada nos trabalhos de follow-up
A metodologia utilizada nos trabalhos de follow-up consiste na efetiva verifica-
ção de que todas as ações corretivas foram adotadas pelas áreas auditadas. Esta
verificação vai evidenciar que as ações corretivas seguiram todos os procedimentos
e parâmetros acordados junto à gestão da área e à Auditoria de Processo.
Dentre os procedimentos comuns a um procedimento de follow-up, podemos
destacar:
• verificação da implantação ou mudança de procedimento ou controle;
• constatação do desenvolvimento de projeto ou trabalho para apuração de
volumes e números relacionados ao processo;
• verificação da adoção de procedimento ou controles que assegurem o su-
porte sobre perdas financeiras ou prejuízo à imagem da empresa; e
• observação da utilização de rotinas que proporcionem qualidade às opera-
ções realizadas no processo.
Forma de reportar os trabalhos de follow-up
A forma para reportar os trabalhos de auditoria depende muito do tipo de traba-
lho realizado.
Via de regra, devemos estabelecer um padrão para que, de forma sintetizada e
clara, fique evidenciado que as ações corretivas foram cumpridas dentro dos pra-
zos negociados ao término do trabalho de auditoria. Esta informação deve ser pas-
sada para a alta gestão da empresa e para a diretoria e gerência direta da área
auditada.
É muito importante que os responsáveis pelas decisões estratégicas da empresa
saibam que, nas ações que visam à melhoria dos processos, a maior rentabilidade e
qualidade da operação foram devidamente adotadas pela área auditada.
Esse relatório também é a forma de a Auditoria de Processo documentar o re-
sultado de seu trabalho, demonstrando que as ações concluídas em sua auditoria
eram factíveis e foram adotadas pela área com êxito. Porém, se o follow-up for em
relação a um trabalho específico ou que não estava previamente programado no
cronograma da Auditoria de Processo, e que não tenha muita representatividade
para o negócio exercido, assim como os riscos não representem perdas significati-
vas, o reporte de seu follow-up pode ser feito através de um memorando interno,
enviado para a diretoria e gerência da área auditada.
Não podemos deixar de realizar o follow-up, mas é muito importante ter sempre
em mente que o tempo e o envolvimento da alta gestão da empresa devem ser
empregados em assuntos que:
• tenham materialidade;
• impliquem diretamente a qualidade do produto ou serviço prestado; e/ou
• possibilitem o prejuízo da imagem da empresa.
2.14 Avaliação da eficácia das ações corretivas
Não basta a Auditoria de Processo considerar o êxito na adoção das ações
concluídas em sua auditoria como o resultado final de seu trabalho. Sem dúvida, o
sucesso na implantação das ações corretivas é um grande passo e tem uma repre-
sentatividade imensa para o trabalho do auditor, mas, considerando todos os as-
pectos estudados até então, para o auditor de processo, o valor agregado com as
ações corretivas deverá ser mensurado, a partir dos resultados gerados após a
adoção das ações corretivas.
Os auditores mais tradicionais ou que possuam forte enfoque na operação de-vem estar se perguntando: mas isso não seria atribuição da área? Onde fica a
independência da auditoria?
Quando o auditor de processo define, junto com a área auditada, a ação corre-
tiva que estará suportando as causas dos problemas identificados, ele também
está se responsabilizando pela eficácia da mesma.
Logicamente, a parte principal desta responsabilidade vai recair sobre a área
auditada, uma vez que ela irá executar a ação e será a responsável por sua conti-
nuidade. Porém, para que parte da idealização e, consequentemente, dos méritos
dos valores agregados com sua adoção seja dividida com a Auditoria de Processo,
é importante a constatação do alcance dos ganhos previstos, na conclusão do tra-
balho.
Neste contexto, o auditor de processo terá uma participação equiparada a um
consultor, identificando, junto à área auditada, os resultados obtidos a partir da
adoção da ação corretiva.
Claro que será importante manter a independência sobre as ações tomadas,
porém será, inclusive, a oportunidade de o auditor avaliar se as ações adotadas
estão sendo continuadas de forma a possibilitar os ganhos previstos. Também é
importante ressaltar que, devido aos já citados dinamismo e agilidade, necessários
atualmente à eficácia das operações das empresas, a tempestividade para o
acompanhamento e apuração do valor agregado é importante, uma vez que a de-
mora em sua aplicação poderá impossibilitar a mensuração dos ganhos.
Caso o tempo decorrido entre a implantação das ações e a mensuração dos
ganhos não seja adequado, o auditor corre o risco da ocorrência de alterações ope-
racionais por definições estratégicas ou adaptações ao mercado, que prejudiquem
a identificação dos ganhos obtidos. Porém, se a mensuração dos valores agrega-
dos for feita em tempo, será transparente ao auditor e à área auditada a importân-
cia da manutenção das ações adotadas, assim como a forma de sua adaptação às
possíveis alterações operacionais por definições estratégicas ou adaptações ao
mercado.
Para a execução desta verificação, é importante estabelecer alguns parâmetros
que possam indicar o alcance dos ganhos previstos, assim como medir o desem-
penho alcançado pela área.
Indicadores de desempenho
A partir da constatação da adoção das ações corretivas, é importante que o
auditor estabeleça, junto com a área auditada, quais os indicadores que serão defi-
nidos para apontar os ganhos previstos para o processo.
Quando estivermos definindo estes indicadores, na verdade estaremos apon-
tando as metas que julgamos possíveis de ser alcançadas, a partir das novas
ações corretivas. Para eficácia destes indicadores, sempre que possível iremos
quantificar ou mensurar o resultado previsto.
Exemplificando, no caso de auditoria sobre o processo de atendimento ao pú-
blico de uma prestadora de serviços, que exerce vendas através de seu tele-
marketing, os pontos levantados ao final da Auditoria de Processo devem gerar
ações corretivas, que representem:
• mudanças nos scripts adotados;
• treinamento e reciclagem dos operadores;
• aplicação de controles mais eficientes sobre a monitoria das ligações efe-
tuadas; e
• adoção de controles sobre o resultado obtido com o mailing utilizado.
Como podemos perceber, para nenhuma destas ações conseguimos quantifi-
car, de imediato, um valor agregado.
É notório e inquestionável o ganho em qualidade para o processo, que sozinho
já representa um imenso valor agregado. Mas como mensurar um ganho em quali-
dade? Como saberemos efetivamente quais são os benefícios alcançados com a
melhora na qualidade do processo? Daí a necessidade de definir o indicador de
desempenho.
Na verdade, a mensuração do ganho obtido com a adoção das ações correti-
vas concluídas no trabalho de auditoria terá de ser apurada a partir da continuidade
destas ações, definindo-se um objetivo máximo ou considerado excelente para as
operações desenvolvidas. Este objetivo máximo ou excelente para a operação será
o indicador de desempenho definido.
Em nossos exemplos, as adoções das ações corretivas citadas poderiam levar
à conclusão de indicadores, tais como:
• diminuição do tempo médio de atendimento (TMA) em 30%;
• aumento da conversão das chamadas recebidas em vendas em 10%; e
• aumento da receita de televendas em 5%.
Os percentuais e os volumes devem ser definidos em conjunto com a área au-
ditada, considerando o histórico dos últimos 12 meses e as expectativas previstas
após a adoção das ações corretivas.
É salutar manter uma postura conservadora, uma vez que o estabelecimento
de indicadores muito audaciosos pode ofuscar os resultados obtidos, que mesmo
representando ganho, serão frustrantes em relação ao esperado. O ideal é a ado-
ção de números não muito audaciosos, mas que também representem um desafio
para todos os envolvidos no projeto.
A partir destes indicadores, é importante determinar o prazo considerado ideal
para o seu alcance, sendo importante para tal a identificação de aspectos que afe-
tem a maturação das ações corretivas. Considerando nosso exemplo, poderíamos
citar aspectos, tais como:
• tempo de assimilação e conhecimento, pelos operadores, sobre os novos
scripts, assim como sua absorção ao treinamento recebido;
• tempo necessário para que os novos controles sobre a monitoria das ven-
das passem a gerar novas ações corretivas e estas sejam adotadas junto à opera-
ção; e
• tempo para que o mailing seja adequado às mudanças identificadas após a implantação dos novos controles.
Após a definição destes objetivos ou dos indicadores de desempenho, cabe ao
auditor de processo avaliar, junto com a área auditada, a forma de medição do al-
cance destes indicadores e a periodicidade para apuração da mesma.
Medição do desempenho
Dentro da visão de uma Auditoria de Processo, a identificação da forma de
medição do percentual alcançado pela área, em relação ao indicador de desempe-
nho apontado, é uma tarefa tão ou mais importante do que o follow-up sobre as
ações corretivas.
Trata-se da identificação do ganho já alcançado com a adoção das ações cor-
retivas, e ainda da possibilidade de projetar se este ganho irá representar efetiva-
mente o indicador esperado, ou se poderá até ser maior do que o previsto. Para o
auditor, esta verificação também representa a oportunidade de verificar qual o ga-
nho obtido, em todos os seus trabalhos, até o final do ano ou do período estabele-
cido para apuração de seus resultados perante a empresa.
Além da implantação das ações corretivas previstas, a área de Auditoria de
Processo tem condições de mensurar, então, o efetivo valor agregado à empresa, a
partir desta adoção.
Trata-se da clara, quantitativa, lógica e suportável forma de mensurar, junto à
alta gestão da empresa, o ganho agregado pela área de Auditoria de Processo.
A definição do modelo para medir o percentual alcançado em relação ao indi-
cador de desempenho definido também deve ser tomada em conjunto com a área
auditada, estabelecendo-se:
• unidades de medida;
• periodicidade de sua medição;
• área responsável por sua apuração.
Embora a medição de desempenho seja definida pela área auditada e pela audi-
toria, a responsabilidade pela apuração é da área que adotou a ação corretiva.
Caberá à Auditoria de Processo verificar periodicamente se os números aponta-
dos estão corretos, íntegros e possuem segurança quanto a seu acesso e apuração.
A medição de desempenho apurada será informada à alta gestão, através de
relatórios parciais, durante o período que se julgar satisfatório e, em sua totalidade,
ao término do período acordado com a empresa para a divulgação dos resultados
da área de Auditoria de Processo.
3 Metodologia de Trabalho
Não existem padrões definitivos ou perfeitos, uma vez que devem sempre ser
consideradas as disponibilidades existentes pela área de Auditoria e as políticas
internas da empresa auditada.
Fatores como:
• orçamento atribuído à área de Auditoria;
• localização geográfica das filiais e sedes a serem auditadas;
• hábitos e costumes adotados pelo grupo; e
• objetivo e missão da Auditoria Interna
obrigatoriamente têm de ser considerados na definição da metodologia a ser em-
pregada pela Auditoria Interna. Porém, não nos vamos isentar de fornecer um mo-
delo possível de adoção por qualquer área de Auditoria Interna que esteja disposta
a adotar um enfoque de processo.
Trata-se de papéis de trabalho e formulários desenvolvidos e aperfeiçoados
após 21 anos de experiência na área de Auditoria. Sintetizam as formas e os mode-
los concluídos como a melhor maneira encontrada para a execução de uma audito-
ria que obedeça a todos os aspectos discutidos até então.
A partir destes modelos, aperfeiçoamentos ou acréscimos necessários à carac-
terística de cada empresa poderão complementar a metodologia sugerida, possibili-
tando sua utilização de forma eficaz por qualquer área de Auditoria de Processo.
É imprescindível que seja considerado, na adoção desta metodologia, o uso de
aplicativos ou papéis eletrônicos que, dentro das limitações orçamentais de cada
área de Auditoria de Processo, poderão proporcionar maior produtividade e eficiên-
cia ao trabalho do auditor.
3.1 Programação anual dos trabalhos de auditoria
Uma auditoria com o enfoque nos processos da empresa avalia e classifica os
riscos identificados nos macroprocessos da empresa, para definição do seu grau
de importância dentro do negócio exercido.
Para a definição da programação anual dos trabalhos de auditoria, são neces-
sários alguns cuidados, para que os trabalhos ocorram considerando os principais
processos e as metas tidas pela empresa como primordiais para o período. Pode-
mos destacar os seguintes passos para definição de uma programação de trabalho
ideal:
• definir o prazo para realização dos trabalhos: sugiro fazer uma programação
nova a cada ano, considerando a atualização de todos os processos;
• envolver a alta gestão, solicitando sugestões de processos a serem au-
ditados, considerando o plano estratégico da empresa para o período, assim como
seus principais produtos;
• levantar todas as metas definidas, junto a cada diretoria do grupo, visando
avaliar como os trabalhos de auditoria poderão auxiliar em seu atingimento;
• classificar os processos em riscos alto, médio e baixo, detendo a maior
parte de seus recursos nos processos de riscos altos, logicamente sem esquecer
dos demais riscos. Dentro do possível, adotar uma filosofia de rotação de ênfase
para a auditoria dos demais processos;
• temos que também considerar trabalhos feitos no ano anterior, para a cons-
tatação da necessidade de algum follow-up sobre a aplicação das ações corretivas.
Este trabalho de follow-up deve ocorrer logo após o término do período determinado
para a implantação das ações corretivas;
• obter a aprovação dos processos escolhidos para auditoria no ano, junto à
posição hierárquica de que a área de auditoria ou o prestador contratado se reporte
às demais diretorias da empresa, demonstrando a importância de um trabalho em
parceria;
• dividir os processos selecionados e aprovados para auditoria, consideran-
do os meses de sua execução no ano e o staff técnico disponível;
• é importante que nessa divisão sejam identificados os períodos de férias e
possíveis licenças dos auditores, assim como a necessidade de viagens e deslo-
camentos;
• na definição dos responsáveis pelos trabalhos, devem ser criadas equipes
de trabalho que proporcionem a passagem do conhecimento dos auditores mais
experientes para aqueles que ainda estão iniciando seu desenvolvimento profissio-
nal;
• para a alocação de tempo e profissionais em cada projeto, é importante
avaliar os recursos permitidos para os serviços de auditoria, visando manter sem-
pre a melhor relação custo-benefício;
• avaliar a criação de equipes de auditores especialistas para as áreas de
negócios e operacionais da empresa, visando facilitar o entendimento dos proces-
sos e o atendimento às necessidades da empresa; e
• é importante não estabelecer os projetos com prazos muito justos, pois
trabalhos especiais, não programados, que surgem de solicitações das diretorias,
são fatores que obrigam a definição de períodos bem realistas, para a execução
dos trabalhos, considerando prazos que possibilitem o atendimento destas solicita-ções sem prejuízo da programação original da área de Auditoria Interna.
Modelo de uma programação dos trabalhos de uma área de auditoria de pro-
cessos para o período de um ano:
Legenda dos Processos Verificados:
1. Processo de Vendas: considerando operações efetuadas a prazo e descontos concedidos.
1.1 Processo de Recebimento de Vendas: considerando operações efetuadas em junho
na expectativa dos recebimentos integrais.
2. Processo de Pagamentos: verificar se todos os pagamentos foram quitados no prazos.
3. Follow-up: foi definido um plano de ação criando um método de cobrança interna para
diminuir os casos de inadimplência no Processo de Faturamento.
4. Processo de Compras: verificação da compra dos materiais de insumos para fabricação.
5. Processo de Recebimento: verificar se as vendas efetuadas em junho/05 tiveram os
recebimentos registrados corretamente.
3.2 Índice proposto para uma auditoria de processo
DESCRIÇÃO DOS TRABALHOS DESENVOLVIDOS
Nome do Projeto:
Número:
Objetivo do Trabalho:
Gerente Responsável:
Encarregado de Campo:
As informações contidas neste índice são divididas nas quatro etapas distintas,
aplicadas para a execução e um trabalho com foco na avaliação dos processos
organizacionais, as quais são:
1. Planejamento.
2. Avaliação dos controles internos.
3.
Emissão do programa de trabalho e suporte dos testes feitos nos papéis de traba-
lho.
4. Emissão de relatório final e reporte a alta gestão dos resultados alcançados.
Essas fases são importantes para a definição da forma de execução do traba-
lho, considerando o tempo determinado para o seu término e a abrangência de
todos os aspectos relevantes existentes.
A partir destas etapas, podemos entender melhor cada item do índice apresen-
tado e sua importância para a eficaz concretização do trabalho proposto.
Planejamento
Levantamento e documentação de todas as informações e de todos os dados
necessários à identificação dos objetivos definidos pela auditoria e pela área audi-
tada, para que o trabalho agregue valor ao processo auditado.
Anexos
Conjunto de informações importantes para a execução do planejamento do
trabalho ou para serem consideradas em próximos trabalhos da Auditoria de Pro-
cesso.
Possíveis geradores de melhorias
Documentação dos fatos ou aspectos que possam vir a determinar uma possí-
vel melhoria no processo. O auditor ainda não tem certeza quanto à necessidade
desta melhoria, mas indícios podem servir de alerta para seu trabalho.
Pontos para auditorias futuras
No decorrer do seu trabalho, o auditor identifica algum fato, operação ou infor-
mação que, apesar de não fazer parte do escopo de seu trabalho, por sua materia-
lidade ou importância, poderá auxiliar ou indicar algum futuro projeto da Auditoria
de Processo.
Ata da reunião de definição dos objetivos do trabalho
Documenta a reunião em que a área auditada e o auditor de processo definem
quais os principais objetivos do processo auditado e como é esperado que a Audi-
toria de Processo agregue valor às suas operações.
Planejamento do trabalho
Documento-mestre para a execução do trabalho, em que serão definidos os
parâmetros e os objetivos acordados com a gestão da área auditada. Deverá do-
cumentar, na íntegra, todas as conclusões geradas na reunião de definição dos
objetivos do trabalho, acrescidas das informações necessárias à compreensão e ao
entendimento da metodologia de trabalho que será adotada, e da equipe e dos pra-
zos envolvidos.
Metodologia de Trabalho
Análises, procedimentos e ações tomadas para o entendimento do processo e
a execução do trabalho do auditor.
Macrofluxo do processo
Visão macro de cada operação que compõe o processo, objetivando entender
e conhecer as áreas envolvidas, controles mais importantes e procedimentos-chave
existentes. Trata-se do primeiro contato que o auditor tem com o processo; logo,
sua primeira oportunidade de questionar e aprender sobre seus controles e objeti-
vos.
Fluxo detalhado do processo
Possibilita conhecimento, análise e estudo do processo. Trata-se de peça fun-
damental ao conhecimento do processo, identificação dos objetivos, riscos e contro-
les existentes, análise dos procedimentos adotados e definição dos procedimentos
de auditoria a serem adotados.
Gráfico de causas e efeitos
Forma gráfica de demonstrar as causas e os efeitos dos aspectos ou fatos,
identificados, durante o trabalho, como geradores da necessidade de melhorias
para o processo auditado.
Pontos de auditoria
Documentação das melhorias identificadas nas operações dos processos au-
ditados, considerando: descrição, problema identificado, causa, riscos, consequên-
cias e ações corretivas para sua eliminação.
Programas de trabalho
Descrição dos testes realizados pelo auditor, considerando seus objetivos,
abrangência e resultados obtidos.
Papéis de trabalho
Evidências e documentos que suportam as conclusões do auditor. Representam
a garantia quanto a integridade, exatidão e qualidade dos procedimentos
realizados e resultados gerados pelo trabalho.
A seguir, para melhor entendimento da sugestão apresentada, detalharemos e
exemplificaremos cada um dos modelos considerados nas fases de planejamento e
metodologia do trabalho.
3.3 Possíveis geradores de melhorias
A1
Nome do Projeto: Vendas Varejo – Telemarketing Receptivo
Ref. Problema Identificado Causa
Aparente
Riscos e
Conse-
quências
Conclusão
Test
e
Feito
Reportar Não
Reportar
F3-1
Passo 3
1. Cadastro desatualizado
O cadastro encontra-se desatualiza-
do, gerando a necessidade de o
operador confirmar seus dados de
forma visual no sistema, assim como
a impossibilidade de os dados infor-
mados pelo solicitante serem confir-
mados de forma automática, através
de seu registro no sistema.
F3-1/1
Passo 5
2. Cadastro do endereço do cliente
s/ número de porta
O sistema obriga o preenchimento
dos campos “nome da rua” e “núme-
ro de porta”.
Embora o nome da rua seja conferi-
do com o banco de dados do siste-
ma, o sistema aceita o registro da
informação s/ número de porta.
Neste caso, o sistema solicita um
ponto de referência, que pode ser
representado por qualquer caractere
(> , . ; $ etc.).
F3-1/1
Passo 6
3. O sistema permite o cadastro de
endereço inadimplente
Caso o sistema informe a inadimplên-
cia de um endereço, o operador deve
cancelar a solicitação, de forma ma-
nual, após seu cadastro no sistema.
O sistema permite que, através da
utilização de complementos diferenci-
ados aos números de porta (“casa A”,
“parte A”, “pavimento A”), endereços
inadimplentes sejam considerados
adimplentes.
No caso de o operador não cancelar a
solicitação, o sistema não gera o
pedido, porém o cadastro é mantido
no estágio AT (a trabalhar), o que
poderá afetar o indicador de 14 dias,
caso a área de cadastro não identifi-
que o problema e não cancele a soli-
citação.
Referência
Trata-se da documentação do fato considerado com uma possível melhoria.
Esta constatação pode ser feita tanto na reunião de identificação dos objetivos do
trabalho, como na documentação do fluxo detalhado ou em qualquer momento.
Via de regra, as possíveis melhorias são identificadas no início do trabalho,
pois, no seu decorrer, os demais fatos que implicarão melhorias já serão documen-
tados como um ponto de auditoria, uma vez que o auditor já deverá ter evidências
suficientes para suportar suas conclusões.
Problema identificado
Trata-se da descrição objetiva e clara do fato que pode estar gerando a possi-
bilidade de uma melhoria, considerando a identificação de um título, que sintetize o
problema ou chame a atenção diante de sua leitura.
Causa
Neste campo, como o auditor ainda não executou seus testes, ele faz uma de-
dução das causas aparentes para a ocorrência do problema.
É importante que, embora o ponto ainda não esteja confirmado, o auditor
confirme, com a área auditada, a coerência e a lógica da causa aparente identifi-
cada, considerando-se que o problema realmente exista.
Riscos e consequências
Descrição dos possíveis riscos e consequências, se o problema for constatado
como real.
Conclusão
Documentamos um resumo dos testes executados para a constatação do pro-
blema e, com base nestes testes, concluímos se o ponto é procedente ou não, e se
o mesmo será reportado.
3.4 Pontos para auditorias futuras
A2
Forma de Identificação do Problema
Descrição dos Fatos
Possíveis Riscos
Processo Envolvido
Forma de identificação do problema
Os pontos para auditorias futuras constituem os pontos levantados por um au-
ditor que, necessariamente, não será o responsável por sua confirmação em pró-
ximo trabalho a ser agendado.
Visando a facilitar o entendimento do problema destacado, é importante o audi-
tor documentar a forma de sua identificação, detalhando o teste ou a análise feita
para suas conclusões.
Neste detalhamento, é importante que o dimensionamento dos dados conside-
rados seja evidenciado. Estes dados serão avaliados pelo auditor responsável pela
confirmação do problema, servindo como parâmetros básicos para o planejamento
de seu trabalho.
Descrição dos fatos
Após o estabelecimento dos dados e dimensionamentos necessários ao enten-
dimento de como o problema foi identificado, o auditor deve detalhadamente escla-
recer os fatos apontados como um futuro problema.
É imprescindível que a redação seja objetiva e clara, para que não haja qual-
quer dúvida no momento da confirmação do ponto, que, como já vimos, poderá ser
executado por outro profissional.
Possíveis riscos
Aqui, são detalhados os possíveis riscos, identificados no momento da conclu-
são de um futuro ponto de auditoria.
Para garantir a coerência e pertinência dos riscos, é imprescindível que os
mesmos sejam acordados com a área auditada, considerando o caso de uma con-
firmação do problema.
Processo envolvido
É importante que os pontos levantados sejam controlados por processo envol-
vido e tipo de problema identificado, para que não sejam perdidas as oportunidades
de sua confirmação, no caso de qualquer futuro trabalho da Auditoria de Processo.
Datas e responsáveis
Registra a data e o responsável na identificação e confirmação do problema le-
vantado.
3.5 Ata da reunião de definição dos objetivos do trabalho
A3
Projeto:
Local:
Data: Hora:
Colaborador Cargo/Função Telefone
1. Participantes
2. Objetivos do processo definidos pela área auditada
3. Processos relacionados e controles existentes
4. Sistemas informatizados envolvidos
5. Riscos/deficiências conhecidos
6. Ações em andamento
7. Políticas, normas, procedimentos e legislação vigentes
8. Pessoas-chave envolvidas
Colaborador Cargo/Função Telefone
Participantes
É importante documentar os participantes da reunião, para deixar claro que to-
dos estão efetivamente envolvidos no processo e atuam diretamente em sua ge-
rência, decidindo e executando as ações necessárias ao negócio exercido pela
empresa.
Objetivos do processo definidos pela área auditada
É primordial que a área defina quais os principais objetivos do processo audita-
do. Estes objetivos deverão ser alcançados e melhorados após a Auditoria de Pro-
cesso.
Processos relacionados e controles existentes
A identificação dos demais processos relacionados e dos controles adotados
sobre o processo auditado se transformará em informações importantes para o
entendimento do ambiente onde o auditor estará atuando e devem ser considera-
das nas possíveis melhorias identificadas no trabalho.
Sistemas informatizados envolvidos
Também é imprescindível o levantamento de todos os sistemas informatizados
envolvidos, considerando suas plataformas e linguagens para a análise da melhor
forma de sua avaliação e constatação da integridade, exatidão e segurança de
seus acessos.
Riscos/deficiências conhecidos
Cabe à área informar os riscos e deficiências conhecidos, para que o auditor
conheça-os e considere-os, em seu trabalho, encarando seu correspondente supor-
te e eliminação como um dos objetivos de sua auditoria.
Ações em andamento
Visando à sua consideração, quando da definição das possíveis melhorias, é
importante o auditor ter o conhecimento das ações em andamento, para não inves-
tir tempo e trabalho em aspectos já em trabalho pela área auditada.
Políticas, normas, procedimentos e legislação vigentes
O auditor também deverá considerar, no planejamento de seu trabalho, a cons-
tatação de que as políticas, as normas, os procedimentos e a legislação vigentes
estão sendo respeitados pelas áreas e pelos profissionais envolvidos no processo
auditado.
Pessoas-chave envolvidas
Documentação dos profissionais que serão envolvidos para o sucesso do tra-
balho.
3.6 Planejamento do projeto
B
Auditoria de processos
Planejamento do Projeto
1. Objetivo da auditoria
É muito importante que o objetivo do trabalho fique claramente identificado não
somente perante a equipe de trabalho, mas também junto à alta gestão do pro-
cesso auditado.
Devem ser evitados termos técnicos e jargões de auditoria, uma vez que os
mesmos podem não ser entendidos pelo pessoal da área.
É imprescindível que este objetivo seja acordado com a alta gestão do proces-
so auditado.
2. Objetivos do processo apurados junto à sua gerência
Trata-se dos objetivos do processo identificados e acordados na reunião de de-
finição dos objetivos do trabalho.
Sua documentação no planejamento comprova que o trabalho não poderá per-
der o seu foco ou, até mesmo, sua melhoria como um dos seus objetivos.
2.1 Riscos e controles associados identificados
A identificação dos riscos e controles associados a cada objetivo de pro-
cesso destacado pela área é um importante balizador do trabalho que será
realizado pelo auditor, mas nunca deverá representar um limitador para os
procedimentos que serão adotados, assim como para a revisão e o acom-
panhamento da metodologia empregada.
O gerente que considera meramente estes riscos e controles em sua revi-
são demonstra que não está exercendo uma visão de processo, mas ado-
tando uma postura de verificador do trabalho feito.
Atuando como auditor de processo, estas informações devem representar a
base para os procedimentos adotados que, em sua íntegra, devem sempre
prever ganhos que superem o controle sobre os riscos identificados e me-
lhorias sobre os controles existentes. Aí, o trabalho estará agregando valor
ao processo.
3. Escopo do trabalho
O escopo do trabalho abrange todos os aspectos que deverão ser considera-
dos para o atingimento do seu objetivo ou alvo principal.
Nestes aspectos, podemos exemplificar o ambiente onde o trabalho será
realizado, os períodos em que serão realizados os testes e a data-base con-
siderada para a auditoria.
Ao mesmo tempo, é importante considerar o que o trabalho busca, ou seja,
quais as melhorias ou ganhos previstos, se possível mensuráveis pelo auditor
em conjunto com a alta gestão do processo.
4. Metodologia de trabalho
Trata-se de um resumo da forma empregada para a auditoria, relacionando os
tipos de levantamentos e testes que serão realizados, qual a forma de
amostragem de sua verificação e de abordagem para levantamento e conheci-
mento dos dados e informações envolvidos no processo.
Esta informação é muito importante, principalmente para o entendimento, pelas
áreas auditadas, do trabalho que será realizado pela auditoria.
5. Estimativa de término da auditoria
É imprescindível manter um compromisso sobre o término do trabalho.
O período de sua execução deve considerar o tempo necessário para a avalia-
ção de todos os aspectos, informações e dados envolvidos, mas não pode re-
presentar uma data que supere as expectativas da área auditada para a obten-
ção de suas conclusões.
É muito importante a mensuração do término do trabalho em comum acordo
com a área auditada, e que o mesmo seja cumprido pela auditoria.
6. Dimensionamento das principais operações do processo
Até mesmo para a comprovação e documentação da importância do processo
auditado sobre o negócio exercido pela empresa, assim como para a identifi-
cação de quanto representarão possíveis melhorias sobre o processo, o auditor
deve evidenciar os números e volumes relativos ao processo auditado.
Este dimensionamento é importante para uma futura comparação e/ou medição
dos resultados agregados ao término do trabalho.
7. Equipe de auditoria
Aproveitando a exposição do planejamento do trabalho à área auditada, é
importante também apresentar a equipe que atuará no trabalho, assim como
a responsabilidade e o envolvimento de cada membro, para o devido escla-
recimento e entendimento de que toda a equipe é importante para o sucesso
do trabalho.
Esta documentação também é fator essencial para que o auditado entenda que
existe um grupo que, de forma integrada e eficiente, atua para o sucesso do
trabalho.
Emitido e aprovado por...
Por ser o ponto inicial do trabalho, demonstrando o seu objetivo e a meto-
dologia empregada para o seu sucesso, todos os planejamentos devem ser
aprovados pelo mais alto gestor da Auditoria de Processo, demonstrando que
todo o time da área está envolvido em sua execução e na conclusão sobre me-
lhorias que, efetivamente, se agreguem ao processo.
3.7 Macrofluxo do processo
• Vendas e Cadastro de Clientes – Telemarketing Receptivo-Simbologia
Finalidade
Conhecimento do processo auditado, documentando o risco envolvido em cada
passo do processo, e análise sobre os controles desenvolvidos, constatando se os
riscos são cobertos e quais os procedimentos de auditoria que deverão ser adota-
dos para verificação dos procedimentos adotados.
Metodologia adotada
Após o levantamento do processo, cobrindo todos os procedimentos exercidos
em sua execução, é adotada a seguinte metodologia:
a)
divide-se o processo levantado em passos, considerando-se a sua ordem cronoló-
gica em relação ao processo e seu início e término; e
b)
os passos levantados serão documentados no fluxo detalhado do processo, con-
forme apresentado acima.
Emissão do fluxo
Para cada passo do processo, deve ser completada cada coluna que compõe o
fluxo.
Fluxo do processo
Elaboração de um fluxo de forma vertical dos passos levantados, considerando
a mesma simbologia apresentada para o macrofluxo do processo.
Descrição
Nessa coluna, são documentadas as informações que não puderem ser demons-
tradas no fluxo, tais como: dados contidos nos relatórios ou documentos emitidos,
prazos de emissão de algum documento ou de execução do processo etc.
Objetivo
Documenta o objetivo do passo no processo. Lembre-se de que a análise está
sendo feita de forma segmentada, ou seja, é importante não confundir o objetivo do
processo com o de cada passo identificado no levantamento dos procedimentos.
Risco
O risco é o que pode ocorrer, caso o objetivo do passo não seja completado. É
muito comum considerar o risco como uma reação contrária ao objetivo, mas esta
interpretação está completamente equivocada.
A interpretação que deve ser dada ao risco é aquela a que está sujeito o negó-
cio exercido ou a empresa, no caso de o objetivo do passo analisado não ser al-
cançado.
Controle
O controle é o procedimento ou conjunto de rotinas adotado para que o risco
envolvido naquele passo não ocorra, visando ao alcance de seu objetivo e, conse-
quentemente, ao bem-estar e à eficácia do processo da empresa.
Análise
Esta coluna visa a fazer referência com o documento que evidencia se o con-
trole levantado realmente está impedindo a coerência do risco envolvido ou se, por
falha no processo, existe a possibilidade de alguma perda para a empresa.
Esta análise torna-se importante para a identificação dos possíveis pontos a
serem considerados no relatório de auditoria e são fonte na definição dos procedi-
mentos que serão adotados nos testes sobre o processo.
Procedimentos de auditoria
Com base nos dados da planilha, o auditor tem condições de determinar quais
procedimentos de auditoria serão adotados para constatação do cumprimento do
objetivo do passo, considerando que o risco envolvido não venha ocorrendo e que
os controles apresentam-se exercidos de forma eficaz.
É importante considerar que, caso a análise do passo do processo identifique
alguma falha, o procedimento de auditoria deve vislumbrar possíveis exceções,
como evidência-suporte ao Relatório de Auditoria.
Caso a análise do passo do processo considere o controle pertinente ao seu
objetivo, é importante avaliar se o mesmo vem realmente sendo exercido de forma
correta.
Lembramos que o auditor não verifica 100% dos fatos, considerando sempre
uma análise por amostragem do processo.
3.9 Gráfico de causa e efeito
Finalidade
Trata-se de uma forma gráfica para a demonstração dos subprodutos do pro-
cesso auditado, que estão impactando a falta ou a obtenção de sua eficácia.
Nesta demonstração, também são expostas as causas e os efeitos destes im-
pactos, para a certeza de que as ações corretivas, definidas com a área auditada,
irão sanar os problemas levantados.
Esta ferramenta deve ser incluída no relatório final da auditoria, servindo como
uma forma clara e objetiva de esclarecer à alta gestão da área o que está impac-
tando a eficácia do processo, suas causas e consequências.
Produto final do processo
É o resultado esperado do processo, ao término de todos os procedimentos
envolvidos e do desenvolvimento de todas as operações integrantes de sua exe-
cução.
Subproduto impactando o processo
Refere-se a uma fase, documento utilizado, informação envolvida, controle ge-
rado, procedimento executado ou qualquer aspecto ou fato que tenha participação
no processo e que, de alguma forma, esteja impactando a obtenção do produto
final do processo de forma eficaz.
Causa
São as causas, constatadas e confirmadas junto à área auditada, para que es-
teja existindo este impacto para a eficácia do produto final do processo.
Efeito
Evidencia as consequências do impacto exercido junto ao produto final do pro-
cesso.
3.10 Pontos de auditoria
Ref. Problema identificado Causa Riscos e
Consequências
Reportado?
Sim Ponto no
relatório Não Motivo
xxx As vendas pelo telemarketing
receptivo ocorrem através do
telefone xxxxxxxx, de modo
que o cliente entre em contato
com o Call Center.
A estratégia de vendas desen-
volvida atualmente pela
Regional estabelece que o
operador receptivo tenha o
conhecimento do negócio
exercido e postura pertinente
à de um efetivo vendedor.
Existe um script para o aten-
dimento às vendas do tele-
marketing receptivo. Sua
última versão corresponde a
abril de 2003, havendo
atualizações constantes a
partir do estabelecimento de
novas promoções de vendas
ou de qualquer alteração nos
procedimentos adotados.
Através da monitoria de 26
solicitações de vendas reali-
zadas entre 13 e 14 de maio
de 2003, abragendo tanto
clientes com ou sem cadastro,
verificamos as seguintes
distorções em relação ao
script oficial da empresa:
1.
O script oficial, desenvol-
vido para o atendimento
às vendas, não vem
sendo seguido de forma
padronizada pelos
operadores do tele-
marketing receptivo.
Além disso, a forma
empregada para o
atendimento dos clientes
não condiz com a atual
estratégia de vendas
desenvolvida pela Regi-
onal, que estabelece o
operador do tele-
marketing receptivo
como um efetivo vende-
dor.
Segundo informação da
Coordenação de Vendas
no Varejo, nos meses de
fevereiro a maio de 2003,
60% dos operadores
utilizados foram substitu-
ídos, por desligamento
ou transferência de
função, o que prejudicou
o cumprimento do crono-
grama de treinamento.
A não utilização de um script
padronizado que reflita a
estratégia de vendas que
deve ser seguida pelos
operadores do telemarketing
receptivo proporciona prejuí-
zo à qualidade do atendi-
mento e representa possí-
veis riscos de perdas de
receita.
A falta de dinâmica do
atendimento pelos operado-
res possibilita o aumento no
tempo médio do atendimen-
to, independentemente da
concretização ou não das
vendas, possibilitando o
risco de perda de receita e
de prejuízo da imagem da
empresa. Analisando os
indicadores de atendimento
de maio/03, até o dia 20, em
média de 6 mil ligações
foram atendidas, sendo que,
deste total, 1,3 mil corres-
ponderam a vendas efetiva-
das.
O tempo médio de atendi-
mento apurado em
abril/2003 foi de 3 min 13
segundos, sendo que esta
não vem sendo respeitado um
padrão quanto a sequências
dos questionamentos feitos e
informações fornecidas pelo
operador durante o atendi-
mento (ex.: o preço dos
serviços e promoções existen-
tes no período, mídia utilizada,
figuração ou não em lista
telefônica
2.
em 2 solicitações, o cliente
não foi questionado quanto ao
desejo da figuração de seu
número em linha telefônica.
média considerou todo o tipo
de ligação recebida, gerado-
ra ou não de vendas.
Segundo informações da
Coordenação de Vendas, o
tempo ideal para o fecha-
mento de uma venda pelo
telemarketing Receptivo
corresponde a 15 minutos.
Finalidade
Como podemos observar, trata-se da forma de documentação dos pontos iden-
tificados durante a execução do trabalho.
Referência
É a evidência do papel de trabalho ou da análise que suporta o ponto levanta-
do.
Problema identificado
É a descrição do problema identificado, fazendo uma prévia menção ao históri-
co do fato ou a possíveis padrões envolvidos para o melhor entendimento do que
está ocorrendo em desacordo.
Causa
Identifica a causa do problema levantado.
Riscos e consequências
Demonstra os riscos e consequências, se a causa do problema não for tratada.
Reporte
Evidencia se o ponto foi considerado pertinente para inclusão no relatório e, em
caso negativo, quais as razões para sua não inclusão.
Como podemos verificar, ainda não foram definidas as ações corretivas, uma
vez que só após a definição pelo reporte do ponto é que as ações serão definidas
com a área, visando a evitar o desgaste com problemas que não representem valor
agregado ao processo.
É importante que este papel de trabalho seja revisado pelo encarregado do tra-
balho, objetivando a identificação dos pontos que merecerão estar reportados no
relatório e daquele que não tem representatividade no processo.
3.11 Programa de trabalho
PROJETO:
Processos de Recebimento das Vendas
Locais Visitados: Regional XX
1. Objetivos
Avaliar o processo de Recebimento das Vendas da Empresa, de forma a mini-
mizar os riscos e verificar aderência às normas internas, legislações, adequação e
suficiência dos controles.
2. Campo de aplicação
Processo em fase de execução na Regional XX.
3. Escopo
DATA-BASE: Abril e Maio/2006 EXECUÇÃO: Maio de 2006
Verificar, por amostragem, a exatidão e a aderência das rotinas adotadas nos
processos de Recebimento das Vendas, atentando para:
a) o devido registro na posição do Contas a Receber;
b)
a comprovação da baixa do recebimento através dos correspondentes extratos
bancários.
4. Procedimentos de Auditoria
Item Procedimento
adotado
Objetivo do teste Escopo
(cobertura,
amostra do
período e
critérios de
amostragem)
Feito
por/
Data
Ref. Resultado
do teste
4.1 1. selecionar uma
amostra de Nota
Fiscal de Vendas
e verificar:
a)
Assegurar que as
vendas realizadas
foram provisiona-
das como valores
a receber, junto
Verificar 10%
dos valores
recebidos na
data-base.
Pedro
13/05/06
H1 Identificamos
que não foi
efetuada a
cobrança
(emissão do
o seu Registro na
posição do Con-
tas a Receber; e
b)
o correspodente
crédito nos extra-
tos bancários, na
data de seus ven-
cimentos junto ao
clientes.
aos clientes da
empresa. E que
sua quitação por
estes ocorreu
conforme os valo-
res e prazos en-
volvidos.
boleto) da NF
006 no valor
de R$
95.000,00.
Finalidade
Evidenciar os procedimentos de auditoria empregados para a verificação do
processo, considerando as políticas, as normas e os controles-padrão adotados,
assim como o fluxo detalhado do processo, em que são documentados objetivos,
os riscos e controles existentes.
Objetivo
São os objetivos dos testes, considerando de forma bem focada quais as con-
clusões que o auditor pode ter ao seu término.
Aplicação, data-base, execução e escopo
São os parâmetros utilizados para a execução dos testes.
São de grande importância, pois, em caso de qualquer questionamento ou dú-
vida quanto aos resultados apontados, o auditor tem de deter informações rápidas
e objetivas quanto aos seus parâmetros e às bases de teste.
Procedimento adotado
Relação de procedimentos realizados pelo auditor em que, de forma clara e ob-
jetiva, fiquem evidenciados os testes feitos para Auditoria do Processo.
É importante sempre dimensionar o escopo e o objetivo de cada teste feito, pa-
ra que não haja dúvidas quanto ao resultado obtido.
Também é imprescindível a documentação de quem executou os procedimen-
tos, quando e se existe algum papel de trabalho ou análise que evidencie o traba-
lho feito.
Para esclarecimento e revisão do trabalho feito, uma breve descrição das con-
clusões obtidas auxilia a identificação de sua coerência ou de que haverá a neces-
sidade da extensão dos testes ou de seu complemento.
3.12 Documentação dos testes e metodologia
Todo o trabalho de auditoria deve ser desenvolvido considerando-se que os
papéis de trabalho, que suportam os testes feitos, não serão analisados apenas
pelo auditor executor dos testes.
No decorrer do trabalho, uma série de consultas a estes papéis terá vital impor-
tância para o entendimento do trabalho feito e principalmente para identificação da
melhor forma de corrigir as falhas encontradas nos processos auditados.
As contínuas revisões adotadas sobre os papéis de trabalho representam um
controle de qualidade sobre o trabalho feito e, ao mesmo tempo, a garantia sobre o
atingimento dos objetivos propostos com o melhor desempenho possível.
Estas revisões seguem alguns padrões imprescindíveis à constatação do su-
porte e documentação de todas as conclusões da auditoria.
O auditor não “acha”, ele tem certeza pela evidência e comprovação de suas
conclusões.
Com base nisso, algumas informações são essenciais ao se montar um Papel
de Trabalho eficaz:
• referência com o Programa de Trabalho, indicando os objetivos dos testes
feitos;
• identificação da data-base utilizada;
• quando da utilização de alguma amostra de teste, descrever o critério de
seleção e o percentual testado e não testado;
• apontar a fonte das informações contidas, especificando o período em que
as mesmas foram obtidas;
• relatar o trabalho feito sobre as amostras testadas, destacando possíveis
exceções e/ou falhas nos processos;
• informar o emissor e o revisor dos papéis; e
• registrar a conclusão obtida com o teste feito, acrescentando se, em caso
de alguma falha no processo, a mesma deve ser reportada ou não no relatório de auditoria.
Todos os pontos de auditoria devem ser suportados da melhor forma possível.
É importante que o trabalho evidencie como e de que forma foi constatado algum
problema.
Os testes que não concluíram algum desvio ou falha no processo devem ser
documentados apenas com a evidência do trabalho feito pelo auditor, porém aque-
les que determinaram problemas têm de ser detalhadamente suportados.
Estes casos podem dar origem a possíveis ações trabalhistas ou cíveis, que,
se não estiverem devidamente documentadas, dificultarão uma futura defesa, o que
representará perdas financeiras e prejuízo à imagem da empresa, no caso de sua
derrota na justiça.
Além disso, a área auditada pode e vai questionar qualquer fato que denote crí-
tica aos seus processos, ou que demonstre falha sobre os procedimentos exercidos
por seus colaboradores.
Como acontece em qualquer atividade em que é necessário criticar algum pro-
duto elaborado ou serviço prestado, seria leviano exercer qualquer opinião sem a
demonstração do total conhecimento de como ocorre a correspondente fabricação
do produto ou execução da prestação do serviço.
É muito importante que o auditor tenha suas sugestões calcadas em fatos, de
preferência exemplificadas e comprovadas, o que proporciona maior facilidade de
sua aceitação pelos colaboradores envolvidos no processo, que, por representarem
os maiores interessados na eficácia do processo, apresentam-se como os grandes
canais de divulgação do resultado produzido por uma Auditoria de Processo.
Esta visão de parceria constante com o auditado, demonstrando como grande
objetivo do trabalho a obtenção de maior qualidade e eficiência em seus processos,
é imprescindível para o sucesso de uma Auditoria de Processo.
Modelo de papel de trabalho referente a uma auditoria sobre os processos de
RECEBIMENTO DAS VENDAS DA EMPRESA, documentando testes sobre os:
a) devidos registros das vendas na posição do Contas a Receber; e
b) as comprovações da quitação desses valores nos correspondentes extra-tos bancários.
H1
CONFORME PASSO 1 (Itens A e B) DO PROGRAMA DE TRABALHO EM G1
1 – ACOMPANHAMENTO DOS VALORES A RECEBER
NOTAS FISCAIS EMITIDAS:
No VALOR VENC. CLIENTES A B
001 111.000,00 05/12/2004 Lilás Com. V X
006 95.000,00 13/02/2005 Vermelho V X
022 83.000,00 20/04/2005 Alphaparf V V
031 59.000,00 15/07/2005 Embeleze V V
049 113.000,00 30/11/2005 Sabor Fino V V
TOTAL TESTADO: 05 10%
TOTAL NÃO TESTADO: 45 90%
TOTAL 50 100%
TRABALHO FEITO:
V = OK
X= FALTA DE REGISTRO BANCÁRIO
CRITÉRIO DE SELEÇÃO:
NO PERÍODO DE 12/2004 A 12/2005 FORAM ANALISADAS NOTAS FISCAIS COM
VALOR SUPERIOR A R$ 50.000,00.
FONTE:
LIVRO DE SAÍDAS E EXTRATOS BANCÁRIOS
CONCLUSÃO:
IDENTIFICAMOS QUE NÃO FOI EFETUADA A COBRANÇA (EMISSÃO DO BOLETO) DA
NF 006 NO VALOR DE R$ 95.000,00
FEITO POR: Antonio 13/05
REVISADO POR: Douglas 31/05
3.13 Revisão dos papéis de trabalho
Os papéis de trabalho devem ser gerados com base nos pontos de auditoria
descritos ao longo do trabalho.
Quando termina o trabalho de campo, a equipe de auditoria já deve estar com
o seu relatório bem próximo do ideal.
Para que esse ideal ocorra, é imprescindível que a Gerência de Auditoria
acompanhe toda a execução do trabalho e participe da discussão e definição de
todos os pontos junto às gerências das áreas auditadas.
Esta definição terá sempre como base as informações documentadas e supor-
tadas nos papéis de trabalho. Isto torna imprescindíveis a organização e o cuidado
quando de sua elaboração.
O Auditor não pode elaborar papéis com informações que não sejam importan-
tes à conclusão do trabalho feito, nem que se apresentem incompletos, em relação
ao suporte de seus dados.
Este conteúdo ideal, que define exatamente as informações necessárias para
evidenciar e suportar os testes feitos, vai sendo alcançado à medida que o auditor
se torna mais experiente e compreende quais fatos ou dados são pertinentes para
documentação em seus papéis de trabalho.
As contínuas revisões dos trabalhos realizados atuam como uma forma de ava-
liar o trabalho desenvolvido pelos auditores, permitindo que possíveis necessidades
de aperfeiçoamentos profissionais sejam identificadas, visando manter a equipe de
auditoria sempre atualizada e preparada para execução de um trabalho qualificado.
Quando se tem alguma distorção no processo, representando dolo ou não, ou
algum tipo de perda para empresa, que esteja impactando a obtenção de rentabili-
dade em sua atividade de negócio, o auditor deve suportar detalhadamente seus
testes, verificando, inclusive, a necessidade de anexar: documentos, contratos,
formulários ou qualquer outro tipo de evidência que comprove suas conclusões.
Este procedimento irá inibir que dúvidas ou preocupações por situações, ações
corretivas e problemas descritos nas minutas do relatório, pela equipe de campo,
não sejam contestadas pela Gerência de Auditoria, uma vez que esta terá todo o
conhecimento inerente à devida análise dos resultados obtidos.
A revisão dos papéis de trabalho, na verdade, é o fechamento do entendimento
conjunto, gerente e equipe, dos resultados de um trabalho, e não uma avaliação
“fria” de quem, atrás de uma mesa, simplesmente tenta entender os pontos levan-
tados.
Os testes que não resultem em problemas não precisam conter anexo ou do-
cumentos que comprovem o trabalho feito. A própria evidência do trabalho realiza-
do, descrita no papel de trabalho, é suficiente, uma vez que o auditor tem uma po-
sição de confiança junto à empresa.
3.14 Auditoria da Tecnologia da Informação (TI)
As implicações da Tecnologia da Informação (TI)
Principais riscos
• Ineficácia da estrutura organizacional da área de TI:
Quando a empresa não possui uma estrutura da área de Tecnologia de Comunica-
ção, capaz de atender a todas as suas necessidades, existe a grande possibilidade
de pendências de atendimento serem acumuladas, permitindo o atraso de ações
voltadas para a própria manutenção da rentabilidade da atividade de negócio exer-cida.
• Recursos materiais e humanos de TI insuficientes e/ou ineficientes:
A falta de equipamentos ou de técnicos especializados coloca em risco a qualidade
do serviço de TI prestado junto à empresa, possibilitando falta de segurança sobre
a eficácia de todos os processos que envolvam sistemas informatizados.
• Fraudes e problemas operacionais:
A utilização de sistemas informatizados gera a oportunidade de que, na falta de
controles de acessos e de segurança adequados, pessoas não bem intencionadas
possam criar fraudes ou problemas para a empresa, acessando, manipulando ou
deteriorando os dados registrados em seus bancos de dados.
Atribuições básicas e perfil ideal do Auditor de Sistemas
• formular, aprimorar e verificar o cumprimento das normas e políticas de TI
da organização;
• avaliar a estrutura organizacional e a sua gestão da TI (eficácia e eficiên-
cia);
• auditar o processo de desenvolvimento de sistemas;
• auditar os sistemas aplicativos; e
• apurar fraudes.
Perfil ideal do Auditor de Sistemas
• ético;
• sólida formação em tecnologia;
• conhecimentos profundos em Auditoria e Negócios/Atualizado tecnicamen-
te;
• capacidade de negociação/Relacionamento pessoal;
• raciocínio lógico acurado/Criatividade; e
• domínio dos idiomas Português e Inglês.
Áreas de atuação da Auditoria de Sistemas
• Gerenciamento e Organização de TI:
· planejamento estratégico de TI;
· terceirizações;
· orçamento;
· planejamento de capacidade e crescimento;
· padrões de documentação; e
· processos de TI.
• Disponibilidade, Confidencialidade e Integridade dos Sistemas de Informa-
ção:
· controle de acesso lógico;
· senhas;
· criptografia;
· controle de acesso físico;
· controle de ambiente; e
· plano de continuidade de negócios.
• Desenvolvimento, Aquisição e Manutenção dos Sistemas de Informação.
· SDLC – Ciclo de Vida de Desenvolvimento de Sistemas;
· metodologias de desenvolvimento;
· o papel do auditor:
a) determinar os riscos e as exposições que o sistema pode inserir;
b) identificar controles que eliminem ou reduzam os riscos e exposições;
e
c) monitorar o desenvolvimento do sistema de forma a garantir que os
controles estejam sendo implementados.
COBIT – Control Objectives for Information & Related Technology
• é publicado pelo ISACA (Information Systems Audit and Control Associa-
tion);
• representa um guia de “melhores práticas” para Gestão, Controle e Au-
ditoria de TI;
• consiste em quatro domínios, que são constituídos por 34 processos de TI;
• pode balizar o Plano Anual de Auditoria; e
• é de grande valia na elaboração de programas de trabalho.
Internet
Oportunidades
• Para o Auditor de Sistemas:
a) fonte de pesquisas e conhecimento;
b) permanente atualização profissional;
c) contato direto com seus pares no mundo inteiro; e
d) benchmarking com outras empresas e auditorias.
• Para os negócios da empresa:
a) recrutamento e seleção de pessoal;
b) prestação e obtenção de serviços;
c) fonte de pesquisas e conhecimento;
d) benchmarking;
e) globalização do seu mercado potencial;
f) globalização dos seus fornecedores em potencial;
g) marketing individualizado/disponibilidade.
Riscos
• Divulgação de informações sigilosas:
A Internet facilita o acesso a informações pertinentes apenas à Empresa. Isto ocor-
re quando não existem atividades de controle sobre os acessos aos bancos de da-dos e cadastros de seus processos.
• Interrupção das comunicações/operações:
O acesso ou invasão pode chegar ao cúmulo de interromper a atividade de negócio
exercida pela empresa, proporcionando, além da perda financeira, prejuízo a sua
imagem perante o mercado e seus clientes.
• Pagamentos indevidos a fornecedores fictícios:
Casos de distorções ou manipulações nos sistemas financeiros estão cada dia
mais corriqueiros e, no caso da inexistência de controles adequados, proporcionam prejuízos imensos às empresas.
• Desvio de recursos financeiros:
Sem controle, desvios financeiros podem nem ser percebidos.
• Corrupção dos sistemas de compras e vendas.
A informatização da área de compras deve ser totalmente monitorada e documen-
tada, visando minimizar o risco de corrupção ou fraudes.
Pontos de Auditoria com enfoque em TI
• Agregar valor aos acionistas, identificando se o ambiente de TI contempla os
seguintes aspectos:
a) atendimento às necessidades da empresa e dos usuários;
b) processamento e controles corretos, adequados e no tempo ideal;
c) segurança física e lógica;
d) vida útil/atualização tecnológica;
e) documentação; e
f) segregação de funções.
4 Resultados Alcançados
O grande momento para qualquer trabalho é a apresentação das conclusões
obtidas ao seu término.
Depois de dias, meses ou anos de afinco, o responsável pelo trabalho feito tem
de demonstrar, em um tempo infinitamente menor do que o necessário à sua exe-
cução, os frutos ou os méritos que garantam a qualidade, a eficácia e a utilidade de
seu esforço.
Podemos pensar que é injustiça, mas, se nos colocarmos no lugar de quem
aguarda o resultado do trabalho, veremos que a expectativa proporcionada não
permite muitas delongas ou explicações detalhadas, visando apenas a justificar ou
enaltecer as dificuldades e os obstáculos superados no seu transcorrer.
Estes aspectos devem ser expostos, de forma sutil, durante a execução do tra-
balho. Aquele que desempenha qualquer função deve valorizar cada etapa vencida
como uma batalha ganha que, sem dúvida, será lembrada quando da comemora-
ção do fim da guerra.
Na Auditoria de Processo, ocorre a mesma coisa. O auditor tem todo o seu tra-
balho documentado, evidenciado e acordado de forma preliminar com as áreas
envolvidas, mas, se não souber extrair destes dados o que realmente agrega ao
processo, não adiantarão todas as horas de trabalho, preocupação e dedicação.
Da mesma forma como descrevemos acima, é importante que, a cada fase do
trabalho, sejam reportados os problemas e as dificuldades superados, não como
uma reclamação junto ao auditado, e sim como uma demonstração de que os obs-
táculos existiram; e sejam identificadas as formas de ultrapassá-los.
Sem dúvida, esta superação representará mais um valor agregado, não ao
processo, mas ao trabalho desenvolvido, demonstrando sua qualidade e seu pro-
fissionalismo.
Quando o auditor termina o trabalho de campo, ele inicia outra etapa que, se
for malfeita ou não contiver a mesma qualidade, poderá representar a perda de
todo o esforço despendido pela equipe.
Uma apresentação indevida do trabalho feito pode representar que todos os
louros ou elogios recebidos ao longo da jornada sejam esquecidos ou enfraqueci-
dos, tornando o trabalho apenas uma tarefa cumprida pelo auditor. Como podemos
fazer para que isso não aconteça? Como podemos identificar o que é esperado e a
forma ideal para apresentação deste resultado às áreas envolvidas?
Neste penúltimo capítulo explicamos e exemplificamos formas de apresentar os
resultados do trabalho de uma Auditoria de Processo, visando a tornar o trabalho
mais produtivo, qualificado, profissional e eficaz possível.
Não queremos mais uma vez ser os donos da verdade, mas, a partir das expe-
riências acumuladas em anos de atuação na área, daremos algumas formas para
que o trabalho – que gastou horas, dias ou, até, meses do auditor, representando
seu deslocamento para outros estados ou países, seu afastamento do lar, de ami-
gos e, principalmente, uma vitória pessoal e profissional – não seja, após sua apre-
sentação, considerado apenas uma tarefa cumprida ou, ainda pior, não demonstre
o valor agregado ao processo.
4.1 Elaboração do relatório final
No enfoque de Auditoria de Processo, a melhor forma para obter uma demons-
tração adequada das conclusões geradas no trabalho é abrir o relatório final do
trabalho em três níveis diferentes de detalhamento:
a) relatório de término do trabalho de campo;
b) relatório detalhado; e
c) sumário executivo.
Como veremos, estes três níveis diferenciam-se quanto ao detalhamento de-
monstrado nos pontos e a quem os mesmos se destinam.
Esses dois aspectos são cruciais para o sucesso de um relatório. Exemplifica-
mos, a seguir, os modelos destes relatórios e analisamos a forma de sua emissão e
seus destinatários.
Relatório de Término do Trabalho de Campo
Empresa, filial ou área auditada
PROCESSO AUDITADO
ÍNDICE
A. INTRODUÇÃO. Contendo o objetivo, o escopo e as abrangências de nos-
sas verificações.
B. METODOLOGIA DE TRABALHO. Forma empregada para nossa análise
dos processos.
C. PONTOS DE CONTROLE IDENTIFICADOS. Detalhamento dos problemas
identificados, sua implicação, causa, nossas sugestões e ações corretivas, defini-
das junto com a área auditada.
A. Introdução
Objetivo
Deve estar em linha com o planejamento do trabalho e apontar os volumes ou
percentuais resultantes de alguma melhoria prevista no processo ou uma maior
qualidade e eficácia sobre suas operações.
Escopo e abrangências
Demonstrar qual foi o alvo perseguido pela auditoria, a data-base utilizada e o
período de execução dos trabalhos.
B. Metodologia de Trabalho
Descrição da forma empregada para auditoria, considerando os procedimentos
desenvolvidos pelos auditores. Avaliamos os controles desenvolvidos, consideran-
do:
• entendimento do processo, avaliando os controles e riscos inerentes;
• verificação, por amostragem, da conformidade dos controles aplicados,
assim como a exatidão e a integridade dos dados envolvidos;
• identificação das melhorias possíveis, considerando as causas e os efeitos dos fatos que estejam interferindo na eficácia dos controles.
C. Pontos de controle identificados
Relaciona os pontos de controle que julgamos representar possíveis melhorias
no processo auditado.
1. Título do Ponto
• representa uma manchete do ponto. Não necessita dizer de forma direta o
problema, mas deve despertar a curiosidade do leitor.
Histórico do processo e padrões envolvidos
• descreve algum breve histórico que seja necessário ao entendimento do pro-
cesso, assim como os padrões envolvidos no problema que será relatado.
Problema identificado
• relata o problema identificado de forma detalhada, se necessário docu-
mentando tabelas ou gráficos que elucidem as informações, assim como dados ou
aspectos que suportem os fatos apresentados;
• é importante que o nível de detalhe seja proporcional ao entendimento claro
dos problemas identificados.
Causas apontadas
• descrição das causas dos problemas identificados, que devem ser redigidas
em conjunto com as áreas auditadas;
• o nível de detalhe deve também ser o suficiente para a comprovação de que
as causas apresentadas realmente representem os motivos das falhas menciona-
das;
• para isso, sendo necessário, é importante divulgar número ou informações de
volumes e dados que exemplifiquem ou auxiliem o entendimento das causas apre-
sentadas.
Riscos e consequências
• descrição dos riscos envolvidos e consequências previstas, se possível va-
lorando possíveis implicações já constatadas pela auditoria ou que demonstrem
a tendência que possa estar sendo identificada com o problema apontado.
Ações Corretivas
É muito importante que estas ações sejam redigidas pelos responsáveis envolvi-
dos e que os prazos acordados correspondam a um período que permita a solução
do problema, sem que o risco apontado interfira significativamente no processo.
Momento de emissão
Este relatório deve ser emitido ao término do trabalho de campo e discutido no
momento de sua entrega à área auditada.
Discussão do relatório
Não é necessária sua discussão com a alta gerência da área auditada, mas é
imprescindível seu acordo pelas gerências operacionais e médias gerências estra-
tégicas.
A gerência da auditoria deve participar desta discussão, para que dúvidas ou
resumos desnecessários ou impertinentes não sejam sugeridos nas próximas ver-
sões dos relatórios.
É comum a ocorrência destes fatos, quando a Gerência de Auditoria utiliza este
momento como sua única forma de revisão do trabalho. A revisão deve ser uma
atividade contínua e proporcional à evolução do trabalho, para que seu entendi-
mento seja proporcional a toda a equipe envolvida.
Quando da emissão de novas versões do relatório, em que o nível de detalha-
mento pode apresentar-se menor, é importante que aspectos solicitados pela área
auditada ou causas consideradas chaves para explicação dos problemas levanta-
dos não sejam desconsiderados.
O trabalho em parceria da Auditoria de Processo deve sempre considerar que
a área é a principal interessada; logo, também quer participar de forma construtiva
e eficaz na elaboração do relatório.
Distribuição do relatório
Após sua discussão com a área auditada, o relatório deve ser encaminhado a
todas as gerências operacionais e de médio nível envolvidas no processo.
Neste envio, é importante deixar claro que não se trata ainda do relatório final,
mas que este documento já possui todos os aspectos acordados com as áreas,
como fatores que representem melhorias ao processo, assim como que agreguem
valor à sua execução.
RELATÓRIO DETALHADO DO PROCESSO
Empresa, filial ou área auditada
PROCESSO AUDITADO
ÍNDICE
A. INTRODUÇÃO. Contendo o objetivo, o escopo e as abrangências de nos-
sas verificações.
B. SUMÁRIO EXECUTIVO. Conclusão resumida da situação atual dos contro-
les adotados pela entidade.
C. GRÁFICO DE CAUSA E EFEITO. Demonstração gráfica da causa e do efei-
to dos controles carentes de melhorias.
D. PONTOS DE CONTROLE IDENTIFICADOS. Detalhamento das melhorias
sugeridas aos controles internos, identificando sua implicação, causa, nossas su-
gestões e plano de ação para suas implantações.
A. INTRODUÇÃO
Objetivo
Deve estar em linha com o planejamento do trabalho e apontar os volumes ou
percentuais resultantes de alguma melhoria prevista no processo ou uma maior
qualidade e eficácia sobre suas operações.
Escopo e abrangências
Demonstrar qual foi o alvo perseguido pela auditoria, a data-base utilizada e o
período de execução dos trabalhos.
B. SUMÁRIO EXECUTIVO
Descrição resumida dos problemas identificados, assim como dos riscos e con-
sequências envolvidos.
Não é o sumário executivo que será entregue à alta gestão, mas um resumo
dos fatos que serão narrados nos pontos de controle.
Visa a facilitar a leitura e o entendimento dos problemas que estão impactando
o processo.
D. GRÁFICO DE CAUSA E EFEITO
Documentação gráfica já exemplificada em nosso estudo.
Por destinar-se a um público mais estratégico, é interessante a inclusão desta
ferramenta para o entendimento e a visualização das causas e dos efeitos dos pro-
blemas identificados no processo auditado.
E. PONTOS DE CONTROLE IDENTIFICADOS
Relaciona os pontos de controle que julgamos representar possíveis melhorias
no processo auditado.
1. Título do Ponto
• representa uma manchete do ponto. Não necessita dizer de forma direta o
problema, mas deve despertar a curiosidade do leitor.
Histórico do processo e padrões envolvidos
• descreve, quando necessário, algum breve histórico que seja necessário ao
entendimento do processo, assim como os padrões envolvidos no problema que
será relatado.
Problema identificado
• relata o problema identificado de forma sucinta, nos casos estritamente ne-
cessários, documentando tabelas ou gráficos que elucidem as informações ou os
dados, ou aspectos que suportem os fatos apresentados;
• é importante que o nível de detalhe seja proporcional ao entendimento claro
dos problemas identificados, sem a necessidade de uma redação muito extensa.
Causas apontadas
• descrição das causas dos problemas identificados, que devem ser redigidas
em conjunto com a área auditada;
• o nível de detalhe deve também ser o suficiente para a comprovação de que
as causas apresentadas realmente representem os motivos das falhas menciona-
das.
Riscos e consequências
• descrição dos riscos envolvidos e consequências previstas, se possível valo-
rando possíveis implicações já constatadas pela auditoria, ou que demonstrem a
tendência que possa ser identificada com o problema apontado.
AÇÕES CORRETIVAS
Descrição Responsável Período
É muito importante que estas ações sejam redigidas pelos responsáveis envolvi-
dos e que os prazos acordados correspondam a um período que permita a solução
do problema, sem que o risco apontado interfira significativamente no processo.
Momento de emissão
Este relatório deve ser emitido em até, no máximo, dez dias após o término do
trabalho de campo.
Como os pontos já foram discutidos com todas as gerências operacionais e de
nível médio do processo, que representam aqueles que estarão realizando as
ações acordadas, é imprescindível que este relatório seja enviado através de carta,
informando esta discussão e seu aceite.
Distribuição do relatório
O relatório será enviado à alta gerência da área auditada, como base para a
apresentação final do trabalho, que deve ser agendada no mesmo dia da entrega
do documento.
Neste envio, é importante deixar claro que, na apresentação final do trabalho,
possíveis dúvidas serão removidas e, a partir das conclusões geradas, será emitido
sumário executivo junto à alta gestão da empresa e suas demais diretorias.
SUMÁRIO EXECUTIVO
Empresa, filial ou área auditada
PROCESSO AUDITADO
ÍNDICE
A. INTRODUÇÃO. Contendo o objetivo, o escopo e as abrangências de nos-
sas verificações.
B. GRÁFICO DE CAUSA E EFEITO. Demonstração gráfica da causa e do efei-
to dos controles carentes de melhorias.
C. RESUMO DOS RISCOS E CONSEQUÊNCIAS DOS PONTOS DE CON-
TROLE IDENTIFICADOS.
D. DISCUSSÕES REALIZADAS.
A. Introdução
Objetivo
Deve estar em linha com o planejamento do trabalho e apontar os volumes ou
os percentuais resultantes de alguma melhoria prevista no processo ou maior qua-
lidade e eficácia sobre suas operações.
Escopo e abrangências
Demonstrar qual foi o alvo perseguido pela auditoria, a data-base utilizada e o
período de execução dos trabalhos.
B. Gráfico de causa e efeito
Documentação gráfica já exemplificada em nosso estudo.
Por destinar-se a um público mais estratégico, é interessante a inclusão desta
ferramenta para o entendimento e a visualização das causas e dos efeitos dos pro-
blemas identificados no processo auditado.
C. Resumo dos riscos e consequências dos pontos de controle identificados
Expõe os riscos e as consequências dos pontos de controle identificados, con-
siderando de forma bem objetiva, resumida e clara os aspectos mais significativos.
D. Discussões realizadas
Descreve as áreas e os profissionais com que o relatório detalhado e o de en-
cerramento de campo já foram discutidos, acrescentando seu acordo sobre os fatos
levantados, assim como a definição das ações corretivas cabíveis, já iniciadas pe-
las mesmas.
Momento de emissão
Este relatório deve ser emitido em até, no máximo, dez dias após a apresenta-
ção final do trabalho.
Distribuição do relatório
O relatório será enviado à alta gerência da empresa e a todas as suas diretori-
as.
4.2 Forma de apresentação do resultado da auditoria
Como já vimos na seção 4.1, o relatório é a grande forma de apresentar o resul-
tado do trabalho da Auditoria de Processo, porém não é nem pode ser a única.
Como para qualquer área da empresa, a Auditoria de Processo tem a neces-
sidade de vender sua produtividade e importância à alta gestão. Logo, é importan-
te que todos os seus gols sejam marcados e comemorados em conjunto com todos
os envolvidos.
Quando um relatório é encerrado, dá-se início à fase de implantação e solidifi-
cação das ações corretivas acordadas, que só atingirá o sucesso se for efetivamen-
te patrocinada e defendida pela alta gestão das áreas auditadas.
Para facilitar este patrocínio, após a discussão dos pontos levantados com as
áreas auditadas, a emissão do relatório detalhado e seu envio à alta gestão da área
auditada, é agendada uma apresentação do trabalho feito.
Esta apresentação tem como finalidade a demonstração, de forma sucinta e
clara, do trabalho realizado, dos problemas identificados, possíveis riscos e conse-
quências e ações concluídas para seu suporte.
É imprescindível que seja uma apresentação clara e direta e, principalmente,
que esteja respaldada pelas gerências operacionais e de nível médio, que, com o
seu suporte e participação, fortalecerão as necessidades da mais rápida implanta-
ção das ações corretivas, concluídas em conjunto com a Auditoria de Processo.
Trata-se de um grande fechamento do entendimento e esclarecimento do valor
agregado com o trabalho, possibilitando o acordo e a implantação de todas as
ações corretivas, dentro dos prazos estabelecidos com a área.
APRESENTAÇÃO DE TRABALHO DA
AUDITORIA DE PROCESSO
Processo auditado
Áreas envolvidas.
Objetivos do trabalho
Deve estar em linha com o planejamento do trabalho e apontar os volumes ou
os percentuais resultantes de alguma melhoria prevista no processo ou maior qua-
lidade e eficácia sobre suas operações.
Escopo
Demonstrar qual foi o alvo perseguido pela auditoria, a data-base utilizada e o
período de execução dos trabalhos.
Metodologia adotada
Descrição da forma empregada para auditoria, considerando os procedimentos
desenvolvidos pelos auditores.
Gráfico de causas e efeitos
Problemas identificados
Título do ponto
• representa uma manchete do ponto. Não necessita dizer de forma direta o
problema, mas deve despertar a curiosidade do leitor.
Histórico do processo e padrões envolvidos
• descreve, quando necessário, algum breve histórico que seja necessário ao
entendimento do processo, assim como os padrões envolvidos no problema que
será relatado.
Problema identificado
• relata o problema identificado de forma sucinta, nos casos estritamente ne-
cessários, documentando tabelas ou gráficos que elucidem as informações ou da-
dos, ou aspectos que suportem os fatos apresentados;
• é importante que o nível de detalhe seja proporcional ao entendimento claro
dos problemas identificados, sem a necessidade de uma redação muito extensa.
Causas apontadas
• descrição das causas dos problemas identificados, que devem ser redigidas
em conjunto com a área auditada;
• o nível de detalhe deve também ser o suficiente para a comprovação de que
as causas apresentadas realmente representem os motivos das falhas menciona-
das.
Riscos e consequências
• descrição dos riscos envolvidos e consequências previstas, se possível valo-
rando possíveis implicações já constatadas pela auditoria, ou que demonstrem a
tendência que possa ser identificada com o problema apontado.
Ações corretivas
É muito importante que esta apresentação tenha a presença de todas as pes-
soas-chave à execução do trabalho e que seja previamente repassada antes de
sua execução junto à alta gestão do processo.
Lembramos, mais uma vez, que a apresentação da Auditoria de Processo não
pode denotar surpresas ou pontos guardados nas “mangas”.
É sempre bom frisar que o trabalho desenvolvido pelo auditor de processo é
feito em conjunto com o auditado, visando à obtenção de um produto ou serviço
cada vez melhor junto a seus clientes.
Nesta filosofia, não há espaço para “cartas na manga” ou segredos não divul-
gados durante o trabalho.
O auditor tem de ter como objetivo que todas as ações corretivas sejam apro-
vadas e defendidas pela alta gestão, o que corrobora o valor agregado em seu tra-
balho e sua produtividade em sua execução.
4.3 Definição do plano de ação e seu acompanhamento
Terminada a fase de relato e apresentação do trabalho junto a todos os níveis
de gerência envolvidos, assim como junto à alta gestão da empresa e a todas as
suas diretorias, é dado início a uma nova fase, que, na verdade, corresponde a um
novo trabalho.
Este novo trabalho representa o acompanhamento de todas as ações correti-
vas definidas, aprovadas e patrocinadas pela área auditada que estejam efetiva-
mente sendo concretizadas em suas operações.
Não se trata de um simples follow-up, mas da constatação de que as ações
corretivas foram incorporadas, pelas áreas, como uma atividade e/ou meta em seus
procedimentos.
Cabe, então, que o primeiro procedimento seja a inclusão destas ações nos
planos e metas da área auditada, estabelecendo-se um plano de ação detalhado
sobre a forma de sua implantação.
Este plano de ação deve ser discutido e aprovado em conjunto com a Auditoria
de Processo, devendo considerar aspectos como:
• contingente envolvido na implantação da ação;
• ferramentas e investimentos necessários;
• prazos para realização destes investimentos;
• treinamentos e reciclagens envolvidos;
• prazos para estes procedimentos;
•
envolvimento de outras áreas para adoção da ação; e
• prazos para sua conclusão.
Neste momento, é importante manter um plano de ação que contenha:
Atividades Previstas Executadas em até
90 dias 180 dias 270 dias 360 dias
Este plano deverá ser divulgado por todas as áreas envolvidas para seu devido
acompanhamento.
A Auditoria de Processo, além de receber este plano, deverá, a cada ciclo en-
cerrado, promover relatórios parciais sobre o percentual implantado e ainda a im-
plantar pela área.
É imprescindível que estas informações sejam encaminhadas à alta gestão da
área auditada e da empresa, para que possíveis riscos ou consequências do atraso
de sua implantação não ocorram.
4.4 Medição da eficácia das ações corretivas implantadas
Consiste na apresentação de relatórios mensais que mostrem as informações se-
guintes.
Indicadores de desempenho identificados:
• acordados com a área auditada.
Medição feita no período sobre estes indicadores:
• valores ou volumes apurados.
Comparativos entre os indicadores previstos para o período e os números
reais apurados:
• valores ou volumes apurados.
Explicações sobre possíveis diferenças:
• acordados com a área auditada.
Conclusão sobre a eficácia das ações corretivas implantadas.
4.5 Resultados obtidos pela área de auditoria
Refere-se basicamente ao acompanhamento dos relatórios de medições de
desempenho das ações corretivas implantadas.
Após a medição dos indicadores de desempenho definidos, a Auditoria de Pro-
cesso tem condições de avaliar qual foi efetivamente o resultado obtido no período,
em relação aos ganhos previstos, e os números e resultados apontados em seus
acompanhamentos.
Estes números representam os resultados gerados a partir dos trabalhos reali-
zados pela Auditoria de Processo, que podem ser evidenciados através de relatório
que contenha:
• processo auditado;
• indicadores previstos para o período de xx meses;
• posição real alcançada no processo;
• ganhos/perdas sobre o processo, antes da implantação das ações correti-
vas;
• explicações e comentários finais.
Este relatório também será enviado mensalmente à alta gestão da empresa,
para o acompanhamento da evolução dos ganhos previstos com as ações correti-
vas geradas a partir dos trabalhos da Auditoria de Processo.
4.6 Relatório de desempenho da área de auditoria
E, finalmente, ao término do período estabelecido pela empresa para a mensu-
ração da produtividade da área de Auditoria de Processo, poderemos compilar
todos os dados, já apurados durante o ano, e gerando um relatório único que, a
cada trabalho realizado, demonstre:
• processo auditado;
• período de execução do trabalho;
• problemas identificados;
• riscos e consequências envolvidos;
• ações corretivas geradas;
• situação de implantação das ações, em relação aos prazos acordados;
• indicadores de desempenhos propostos a partir da implantação destas
ações corretivas;
• medição destes indicadores na data-base;
• relação de indicadores previstos × números reais obtidos no processo;
• ganhos ou perdas gerados, em relação aos indicadores previstos; e
• conclusões e explicações finais.
Como podemos ver, apenas seguindo uma filosofia, como a exposta em nosso
estudo, a área de Auditoria Interna de uma empresa poderia ter informações e da-
dos tão mensuráveis para avaliar a sua produtividade.
Considerações finais
Todo este trabalho teve como grandes motivadores a esperança e a vontade
de cada vez mais tornar pública a grande responsabilidade e importância do traba-
lho do Auditor Interno, perante sua empresa, e a manutenção de rentabilidade e
segurança sobre o negócio exercido.
Nós, auditores, vivemos constantemente envolvidos com os nossos afazeres, o
que nos leva a, dificilmente, termos tempo para valorizar e referenciar nossa pró-
pria classe.
Muitas dessas linhas foram escritas em hotéis espalhados por todo o país, no
meio da noite ou, até mesmo, em finais de semana solitários, nas diversas regiões
deste Brasil.
Este é o verdadeiro motivo de muitos de meus colegas não terem tido a con-
dição de também documentarem, através de livros, palestras ou qualquer outra
forma, o quanto nossa classe trabalha e dedica-se pelo sucesso de suas empresas.
Quero mais uma vez esclarecer que todo este estudo está calcado em meus 19
anos de experiência na área, que abrangem muitas alegrias, decepções, orgulhos,
tristezas, sucesso, fracassos e crescimentos.
Não tenho a intenção de estabelecer novos horizontes para minha área, mas
penso que, cada vez mais, é necessária a adaptação de minha profissão a todas as
necessidades existentes no mercado.
O mundo evolui e, junto com ele, nós temos também de evoluir. Se não, até ho-
je teríamos carruagens e trens a vapor, como meios de transporte, ou telégrafos,
como fonte de informação.
O nosso futuro depende única e exclusivamente de nós mesmos. Nós repre-
sentamos a diferença entre a acomodação e a vontade de evoluir.
As grandes invenções partiram da vontade de querer algo melhor que, de al-
guma forma, tornasse nossas vidas mais interessantes.
Quebrar paradigmas faz parte de qualquer profissão, e a Auditoria Interna não
pode e não deve ficar alheia a esta evolução.
A identificação do auditado como um participante do trabalho do auditor é uma
verdade e necessidade para o sucesso de sua área.
Trabalhando como parceiros, auditor e auditado reconhecem
sua importância para a empresa e potencializam o valor
a ser agregado ao negócio exercido.