janeiro/mar 2012 trimestral distribuição gratuita nº 46zonas de sombra - manuel marques barreiro,...

Janeiro/Mar 2012 trimestral distribuição gratuita nº 46

Revista edição Julho/Setembro 2013 Trimestral distribuição gratuita Nº 52

2

IPAI Auditoria Interna Julho/Setembro 2013 nº 52

Missão Promover a partilha do saber e da

prática em auditoria interna, gestão do

risco e controlo interno.

Índice IPAI - Me mbros Colect ivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Parcer ias e protocolos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Auditoria interna – a lg uns aspectos funda mentai s , Joaqui m Leite Pinheiro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Zonas de so mbra - Manuel Marques Barreiro, Consultor e Presidente do Conselho Geral do IPAI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Ex pectat ivas e ações relacionadas - d irei tos econó micos , sociai s e cul turai s , Mário Parra da Si lva; Presidente

Direção da APEE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Esquema de Pirâ mide - Esque ma de f raude g lobal , Luís Montanha Rebelo, CIA, CRISC, ISO 27001 LA, ISO

22301 LA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Cloud Com put ing : Novo paradig ma para Ri scos e Controlos? - Franci sco Gui marã es , CGEIT . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Solvência II : qual o pape l da Auditoria Interna? J org e Nunes, VP Direcçã o IPAI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Estudo de Auditoria Interna nas O rg anizaçõ es -Cabo-Verdianas - Alcinda Borges e Nuno Castanheira . . . . . . . . . . . 23

Caneta Dig i tal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Novos associados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Pesquisa na rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Post - i t , Miguel S i lva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

Pesquisa de Inst i tutos de Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

Propriedade e Administração

IPAI – Avenida Duque de Loulé, 5 – 2º B – 1050-085 LISBOA; [email protected];Contribuinte nº 502 718 714; Telefone/Fax: 213 151 002

Ficha técnica

Presidente da Direção: Fátima Geada; Diretor: Joaquim Leite Pinheiro; Redação: Manuel Barreiro; Raul Fernandes; Conselho Editorial: Jorge Nunes, Manuel

Barreiro, Fátima Geada, Francisco Melo Albino. Colaboradores: Fátima Geada, Manuel Barreiro, Luís Montanha Rebelo, Jorge Nunes, Miguel Silva, Mário Parra da Silva, Alcinda Borges, Nuno Castanheira, Francisco Guimarães.

Pré-impressão: IPAI; Impressão e Acabamento: FIG; Ano XV – Nº 52 – TRIMESTRAL Julho/Setembro de 2013; TIRAGEM: 1350 exemplares.

Registo: DGCS com o nº 123336; Depósito Legal: 144226/99; Expedição por correio; Grátis; Correspondência: IPAI – Avenida Duque de Loulé, 5 – 2º B –

1050-085 LISBOA Telefone/Faxe: 213 151 002; [email protected]; Visite-nos em www.ipai.pt

ERC: Exclusão de registo ao abrigo do artº 12º, DR 8/99, 9 de Julho.

http://pt-pt.facebook.com/people/Instituto-Auditoria-Interna-Ipai/

http://pt.linkedin.com/in/ipaichapteriia

Nota: Os artigos vinculam exclusivamente os seus autores, não refletindo necessariamente as posições da Direcção e do Conselho Editorial da Revista nem do

IPAI. A aceitação de publicação dos artigos na Revista Auditoria Interna do IPAI, implica a autorização para a inserção no sítio do IPAI após a edição da revista impressa.

Foto da capa: JLP

mailto:[email protected]


http://www.ipai.pt/

http://pt-pt.facebook.com/people/Instituto-Auditoria-Interna-Ipai/

http://pt.linkedin.com/in/ipaichapteriia

3


IPAI - Membros Colectivos

Click here to enter

text.

--Click here to enter text.

Click here

to enter text.

Click here to enter text..

4


IPAI – Membros Colectivos

.

-

.

Click here to enter text.

5


Parcerias e protocolos

6


Editorial

Auditoria interna – alguns aspectos

fundamentais, Joaquim Leite Pinheiro

“A Auditoria Interna gere a integridade de desempenho da gestão, a eficiência operacional e a correcção

dos relatórios financeiros".

Empresa Jonhson & Jonhson

A auditoria interna, passa por fornecer valor à

empresa, com o desenvolvimento das acções

focalizadas em processos/transacções, onde

tenham sido identificados r iscos negativos e

cujo impacto no negócio seja materialmente

relevante.

Nesta l inha, torna-se essencial que os

auditores internos possuam intrinsecamente e

desenvolvam um conjunto de compet ências e

de valores potenciadores de acrescentar valor

à empresa e da qual fazem parte integra nte.

As competências dos auditores internos,

reconhecidas como importantes foram a

criatividade/capacidade de comunicação

inteligência, espír i to de equipa,

conhecimentos técnicos, Capacidade de

desafiar as próprias convicções; Abertura de

espíri to; Flexibil idade; Vontade de aprender;

Sentido de humor ( fair play) , trabalho em

equipa, capacidade de avaliação da minuta

pela equipa, capacidade de relacionamento

com os auditados.

O relatório é o corolário final do trabalho do auditor,

sendo um dos documentos de trabalho que o

responsabiliza e serve para transmitir à gestão de topo, o

estado e a saúde do controlo interno dos processos

auditados.

A apresentação de recomendações e a sua análise com os

gestores operacionais, numa lógica de partilha de

informação e de os convencer das vantagens de

implementar as recomendações preconizadas, faz deste

processo um poderoso instrumento de gestão e de

melhoria do controlo interno.

No que concerne à metodologia de avaliação da função

auditoria, o melhor procedimento resulta da análise da

minuta com os responsáveis operacionais e da forma

como aceitam implementar as recomendações

preconizadas (capacidade de vender as recomendações e

conseguir que as mesmas sejam implementadas).

Igualmente, a simplicidade é um factor decisivo em

auditoria, para se ganhar a confiança do auditado, para

potenciar a implementação das recomendações e

detalhadas ao longo da acção de auditoria.

Passa pelos seguintes eixos de actuação:

1. Na descrição dos factos;

2. Na identificação das causas (objectivas);

3. No apuramento dos efeitos (quantificáveis);

4. Na caracterização do problema.

7


5. Na apresentação da solução, de modo que seja

possível a implementação pelos operacionais e na

lógica máxima do custo-benefício, visando a criação

de valor accionista;

Por vezes é esquecido, que a auditoria interna desperta,

com a sua chegada, esperanças de melhoria dos

procedimentos, condimentada com algum cepticismo

quanto aos resultados e às dificuldades de

implementação recomendações preconizadas.

O papel do auditor interno passa por uma postura

proactiva, uma atitude dinâmica e um entusiasmo que

supere as reticências dos auditados.

Conquistar pelo profissionalismo e pela ética para

vencer o cepticismo dos operacionais.

Assim, o auditor deve estabelecer um clima de

confiança, de modo que o auditado lhe confie os

problemas que sente no controlo da actividade e que

perceba que o auditor sabe escutar e transmitir

adequadamente à gestão de topo os problemas

encontrados.

Neste contexto, em simultâneo com as competências e

características enunciadas é fundamental que o auditor

utilize a simplicidade, na argumentação e na

apresentação de recomendações.

A experiência acumulada diz-me que, nestas questões, a

simplicidade é crucial, para se obter uma vantagem

competitiva: quem lê não perde tempo, quem

explica/defende uma recomendação formulada não tem

de argumentar desesperadamente para convencer o

supervisor da bondade da mesma.

É importante, não esquecer que o contributo do auditor

interno é a sua perspectiva nova sobre os problemas, a

sua liberdade de espírito e a sua independência de

julgamento dos factos identificados e depois vertidos em

recomendações, que contribuam para fornecer valor

accionista, valor cliente e valor empregado.

Por outro lado, se o auditor interno se interessar pelas

dificuldades apresentadas pelos operacionais e

desenvolver recomendações que potenciem melhorias e

ajudas efectivas, consegue ganhar adeptos da função.

Para isso, deve trabalhar com ética, transparência,

credibilidade e profissionalismo com o auditado, não

esquecendo, porém, que nesta relação profissional, o

relatório responsabiliza exclusivamente o auditor

interno.

Fazer passar a ideia que a auditoria interna exerce o

papel de identificar disfuncionamentos, como “médico”

da empresa, ao qual não basta elaborar um bom

diagnóstico, mas sim apresentar uma proposta da

melhoria para o estado em que se encontra.

A falta de simplicidade conduz, frequentemente, a pouco

rigor no diagnóstico com impacto na dificuldade em

encontrar uma recomendação adequada.

A empresa não é uma realidade virtual, mas resulta da

combinação dos processos de actividade, interacção com

os clientes e empregados e a capacidade de fornecer

valor.

Em auditoria passa pela capacidade de saber escrever:

1. Factos objectivos;

2. Causas verdadeiras;

3. Efeitos relevantes;

4. Recomendação adequada, centrada no custo-

benefício e que forneça valor accionista.

Uma recomendação percebida pelo auditado, escrita

com rigor e simplicidade, é fundamental para que

seja aceite e implementada com sucesso.

O relatório responsabiliza o auditor, mas nunca terá o

sabor do sucesso na empresa, se as recomendações

formuladas não tiverem êxito, junto dos operacionais.

Auditoria interna – alguns aspectos fundamentais

8


Audire

Zonas de sombra - Manuel Marques Barreiro, Consultor e

Presidente do Conselho Geral do IPAI

Na vida nem tudo é cristalino.

Também não tenho bem a certeza se o mundo viria a ser

melhor se o fosse. No entanto é bom lembrar as

situações em que a ausência de nebulosidade não só é

conveniente como fundamental.

Nas organizações empresariais para não falarmos das

outras que saem fora do contexto desta abordagem,

também a clareza, para que haja um bom entendimento

acerca de todas as variáveis que se prendem ao seu

funcionamento, é de suma importância.

Estamos falando mais precisamente de dois conceitos

que de certo modo se entrelaçam sendo muito badalados,

quer nas organizações, quer ao nível da opinião pública.

São eles, a independência e a transparência, dois

aspectos que nunca deverão passar ao lado do auditor

interno.

Todos sabemos mas nunca é demais lembrar que, o

resultado de qualquer acção de auditoria, pode não ser

devidamente entendido por quem tem a responsabilidade

da sua análise final se estes conceitos não foram levados

em consideração.

Algumas palavras sobre a questão da independência,

mas antes estou tentado a apelidar este conceito mais de

atitude do que propriamente um acto imposto pelas

circunstâncias. A independência, como é sabido, situa-se

em qualquer organização empresarial nos vários

patamares da estrutura e deve ser entendida como forma

e fundo da sua própria cultura.

Por isso é desejável que o conselho de administração

seja composto por alguns membros independentes. Neste

caso, qual deve ser o significado de independência?

Muito simples; que estes vogais do conselho não tenham

afinidades, ligações ou interesses a accionistas de

referência.

Percebe-se porquê. Para além de elementares questões de

natureza ética, podem suscitar-se dúvidas no que respeita

a situações de informação privilegiada. Isso pode

distorcer a verdade sobre a vida da empresa,

principalmente no que respeita aos mercados financeiros.

É uma questão de confiança.

Chegados aqui, importa realçar o seguinte: não obstante

podermos acreditar na declaração formal sobre a

independência, pode vir a ser necessário verificar (em

indícios de situações conflituais de interesse) se a

presunção de independente corresponde de facto à

realidade.

Há pois, trabalhos de auditoria que, para serem

rigorosos, devem atender a estes pormenores, porque

embora não parecendo, são de importância extrema para

a auditoria interna.

9


Para que o exemplo acima possa ser exequível torna-se

necessário que auditoria também goze desta

prerrogativa, isto é, que seja também independente.

A independência da auditoria, como sabemos, não é

muito linear. O princípio mais importante depende do

seu enquadramento na estrutura organizativa onde exerce

a sua actividade.

Nas empresas de grande dimensão (à nossa escala), a

auditoria tem uma dependência funcional da comissão de

auditoria, (constituídas por administradores não

executivos independentes) sendo a dependência

hierárquica daquela, ao “chairman” ou, em alguns casos

ao presidente executivo (ceo).

Durante muitos anos a dependência do órgão de

auditoria esteve sob a alçada do administrador

financeiro. Felizmente que essa situação foi corrigida.

No entanto a auditoria interna para gozar de

verdadeiramente independência deve ter uma actuação

como que ignorando, dentro da organização, áreas tabu,

ou temer personalidades consideradas intocáveis.

A sua independência está na forma absolutamente “cega

a influências” na realização do seu trabalho, não

receando pôr em causa a cadeira onde o “cae” tem o seu

assento.

Nesta perspectiva, se a independência se apresenta como

um risco para si própria, todos ganharão, mormente a

organização no seu todo, enquanto o prestígio da

auditoria sairá reforçado, corporativamente falando.

Transparência é o outro ponto que iremos abordar, ainda

que de forma fugidia.

Muito se tem falado e escrito sobre este vocábulo que

pretende traduzir um conceito tão abrangente como

difícil de definir quando o transportamos para o seio da

organização.

Fala-se em transparência. Mas transparência de quê?

Certamente de tudo!

No entanto aquela que interessa abordar na perspectiva

do auditor tem, a meu a ver, com dois pontos que se

entrecruzam: desde a clareza dos actos de gestão, aqui se

englobando as linhas de actuação de natureza estratégica

(como ponto inicial), até aos pormenores operacionais

(como ponto final de qualquer tarefa).

Por conseguinte, a transparência sendo transversal vai

também do topo à base. A empresa tem de pautar a

sua actividade por princípios de transparência

inscritos no Código das Sociedades, no

“Corporate Governance” e no Código de

Conduta Ética.

Um factor que acaba por se tornar o corolário da

transparência nas organizações empresariais, tem a ver

com o conteúdo do relato financeiro. Basta que a

transparência suscite dúvidas na apresentação da

prestação de contas do exercício, para que toda a

organização seja posta em causa.

Além do mais, quando ausência de transparência é

factual, prejudica, eventualmente, o fisco e põe em

dúvida a credibilidade dos accionistas sobre a gestão

executiva, enquanto vai denegrindo a sua imagem em

termos de opinião pública.

Hoje as grandes empresas cotadas em bolsa de valores,

normalmente as listadas em praças estrangeiras, têm uma

quase obsessão pela transparência, porque sabem que é

também por aí que também vai passar o “valor

accionista”.

Cabe pois mais uma vez à auditoria interna acompanhar

a evolução destes conceitos e ter a certeza que os seus

projectos de auditoria prestam a devida atenção a este

importante edifício da organização corporativa.

.

Audire – Zonas de sombra

10


http://www.apee.pt/

Expectativas e ações relacionadas -

direitos económicos, sociais e culturais, Mário Parra da

Silva; Presidente Direção da APEE

Na NPISO 26000, ponto 6.3.9.2 - Direitos humanos,

questão 7: direitos económicos, sociais e culturais -

Expectativas e ações relacionadas, recomenda-se que

as organizações adaptem a sua oferta de produtos e

serviços ao real poder de compra das pessoas.

É mais um exemplo de como um pensamento de

Responsabilidade Social leva a estímulo à inovação e a

novos segmentos de mercado. Para usar um expressão

brasileira, há muito que do outro lado do Atlântico

aprenderam a assistir necessidades de pessoas de baixa

renda.

Entre nós tem crescido o comércio adaptado a menores

rendimentos, nos mais variados domínios, como a

alimentação, cuidados pessoais, vestuário, oferta

turística e de serviços.

Mas é notável a ausência de resposta por parte das

organizações públicas que fornecem serviços. Pelo

contrário têm aumentado todos os seus preços e tornado

cada vez mais difícil a vida dos que vêm o seu

rendimento descer.

Assim enquanto o mercado de oferta privada responde

responsavelmente (e inteligentemente) às capacidades

dos seus potenciais clientes, os fornecedores públicos

sobrecarregam os seus utentes e depois ficam

surpreendidos porque as suas receitas diminuíram.

Para que as organizações comerciais concretizem a sua

oferta com menores preços buscam eficiência interna,

eliminam do produto o que possa ser considerado pelo

cliente como supérfluo (e pelo Ambiente também, como

embalagens inúteis, quantidades excessivas, etc.) e

estruturam formas mais diretas e simples de distribuição.

No sector publico pouco se vê desta forma de pensar e

de procurar ajudar as pessoas. Pelo contrário compensa-

se a redução das verbas do orçamento do Estado com

mais custos sobre o utente.

A realidade mostra que as organizações públicas não

ouviram nada da mensagem da Responsabilidade Social.

Ou melhor ouviram mas reagiram como se isso fosse

apenas para as Empresas.

Alguns no meio empresarial ajudaram isso restringindo a

RS à “empresa” mas desde o início a ISO 26000

enfatizou a necessidade de se aplicar a “qualquer tipo de

organização”.

http://www.apee.pt/

11


Registei algumas entidades publicas portuguesas com

um grande interesse pela RS mas enquanto instrumento

para formular “politicas publicas” ou seja para criarem

meios adicionais de controle e supervisão sobre as

empresas. Sempre me opus a essa visão. Cada

organização deve criar, apoiada nos instrumentos

nacionais e internacionais disponíveis, a sua estratégia e

políticas de RS e definir as suas práticas de acordo com

as suas partes interessadas e os seus objetivos de

negócio.

Cada organismo público deverá fazê-lo de igual modo.

Este é um domínio (como tantos outros) onde as

organizações que a sociedade criou para responder aos

seus problemas (o denominado Estado) deveriam

aprender a responder de forma adequada ao período que

a sociedade portuguesa atravessa e definir as suas

políticas, práticas e preços de acordo com as reais

possibilidades dos seus utentes.

A União Europeia apelou à definição por cada Estado

Membro de uma política de RS e forma muitos os que a

apresentaram, porque já a haviam definido.

Portugal não conseguiu fazê-lo. Como sempre o caso foi

remetido a assessores que o remeteram “aos serviços”,

que após longas reflexões deram respostas complexas,

mas entretanto os assessores tinham mudado, os

ministros também, os relatórios dormem nas secretarias,

de facto ninguém é responsável, de vez em quando umas

declarações vagas dão a impressão de que alguém tem o

dossier mas nada, nada acontece.

Claro que o assunto não é prioritário.

Cortar em serviços e aumentar os preços do que resta é

muito mais fácil. Mas qualquer empresa que tentasse

sobreviver assim em mercado livre fecharia rapidamente

as portas.

A Administração pública tem o monopólio do serviço

público portanto este não é um mercado livre. Talvez até

nem deva ser, não entraremos aqui nessa discussão. Mas

estou certo de que deve ser um mercado responsável e

que as pessoas têm o direito de esperar que os servidores

públicos, titulares políticos incluídos, compreendam que

a Responsabilidade Social é um pacto de interajuda,

cooperação e serviço mútuo entre os elementos de um

ecossistema social. Não se espere que as entidades

privadas sejam responsáveis onde o Estado persiste em

não ser e não se espere que a economia melhore numa

sociedade que não busca o bem comum e onde reina a

irresponsabilidade.

Por muito utópico que isto possa parecer penso que um

elemento decisivo na superação consolidada da crise que

atravessamos é mudar a forma como a Administração

publica vê a sociedade.

A cultura organizacional da Administração publica não é

a de quem usa os recursos escassos que o contribuinte

pode disponibilizar mas a de quem distribui dinheiro

vindo de fontes alheias e potencialmente inesgotáveis.

Repito é a cultura de quem distribui dinheiro e não a de

quem usa o dinheiro do contribuinte.

Esta cultura é fruto do tempo anterior ao 25 de Abril, em

que imperava uma cultura de poder e não de serviço e de

longos anos de subsídios europeus canalizados por uma

administração que se habituou a lidar com a sociedade

como fornecedora e não como servidora.

Uma forte cultura de Responsabilidade Social poderia

mudar as coisas e criar uma Administração publica

diferente, mais eficiente, mais virada para o serviço e

mais consciente das necessidades reais do seus utentes

de modo a adaptar a sua oferta ao que as pessoas podem

de fato suportar.

Expectativas e ações relacionadas - direitos económicos, sociais e culturais

12


Esquema de Pirâmide - Esquema de fraude

global, Luís Montanha Rebelo, CIA, CRISC, ISO 27001 LA, ISO 22301 LA

Vice-Presidente do IPAI, Membro da Direção do ISACA Lisbon Chapter

(As opiniões contidas neste texto são expressas a titulo exclusivamente individual)

Introdução

Outro dia quando passeava pelo Facebook, deparei-me

com um post que apresentava um conjunto

investimentos, que supostamente permitiam rendimentos

elevados e garantidos em curtos espaços de tempo.

Por defeito profissional ou por pura curiosidade tentei

saber do que se tratava e fiquei algo surpreendido com a

diversidade da oferta. Para além de ofertas de

investimento perfeitamente legítimas, mas ao contrário

do que era apregoado, apresentavam um risco elevado na

sua subscrição, encontrei alguns investimentos que se

afiguravam claramente como esquemas em pirâmide.

Para além de ter feito um comentário em resposta ao

post encontrado, alertando para os riscos de se ser

envolvido num esquema de fraude com proporções

desconhecidas, resolvi investigar um pouco sobre estes

esquemas e partilhar convosco.

Como é do conhecimento geral, os esquemas em

pirâmide têm sido responsáveis pela perda das

poupanças de muitas famílias, tendo por vezes

consequências globais.

O conceito por trás deste esquema é simples e muito

fácil de identificar, no entanto este é normalmente

apresentado aos potenciais investidores de formas

distintas. Por esta razão é importante, não só perceber o

funcionamento do esquema, mas também estar

familiarizado com as várias formas como este se tem

apesentado ao longo dos anos.

Anatomia do esquema

Como o próprio nome indica, o esquema está estruturado

em pirâmide. Começa com uma única pessoa – o

recrutador inicial, que ficará no topo da pirâmide – que

recruta a segunda pessoa, a quem é solicitado um

investimento de, por exemplo 100 Euros, pagos ao

recrutador inicial.

Para além de ofertas de investimento perfeitamente legítimas, mas ao contrário do que era

apregoado, apresentavam um risco elevado na sua subscrição, encontrei alguns investimentos que

se afiguravam claramente como esquemas em pirâmide.

13


Para poder reaver o seu dinheiro o novo recruta terá de

recrutar novos investidores, e neste caso, cada um terá de

investir mais 100 Euros.

Se este novo recruta conseguir recrutar 10 novos

investidores, terá um retorno de 900 Euros com um

investimento de apenas 100 Euros.

Adicionalmente, por cada conjunto de novos

investidores, o recruta é obrigado a pagar um

determinado fee à pessoa que o recrutou, fazendo com

que qualquer rendimento obtido pelas faixas intermédias

da pirâmide suba até ao topo, alimentando todos os

recrutadores intermédios.

O problema com este esquema é que o número de

pessoas disponíveis para entrar no esquema é finito, e

este não pode continuar eternamente.

O número de investidores aumenta até que a base da

pirâmide não seja suficiente robusta para suportar a

estrutura que lhe está acima.

As pessoas são atraídas para o esquema pelo facto de

pensarem que investindo, terão um retorno bastante

significativo.

Mas na realidade, com o valor investido, nada foi

produzido ou criado, pelo que, desde que não haja

capacidade de continuar a alimentar o esquema, a

pirâmide desmorona-se e inevitavelmente as pessoas irão

perder o seu investimento.

As pessoas mais vulneráveis são naturalmente as que

estão nas bases da pirâmide, incapazes de recrutar o

número suficiente de novos recrutas para alimentar a

pirâmide e compensar o seu próprio investimento.

Apesar de se poderem apresentar como negócios

perfeitamente legais, este esquema de fraude é ilegal na

maioria dos países do mundo.

Estes têm-se apresentado de forma variada ao longo dos

anos, aproveitando-se do facto das pessoas se sentirem

atraídas pela ideia de fazer dinheiro de forma fácil e

rápida.

Estima-se que cerca de 90% das pessoas envolvidas em

esquemas desta natureza venham a perder parte ou a

totalidade do seu dinheiro.

Formas de apresentação

Marketing multinível

O Marketing multinível é um modelo de negócio

perfeitamente legal, onde uma pessoa é recrutada para

vender um produto ou serviço com um valor intrínseco

real. O recrutado pode obter um rendimento direto das

suas vendas, pelo que, embora este possa ser incentivado

a recrutar outros vendedores para aumentar as receitas,

não necessita de o fazer para receber algum rendimento.

Este modelo de negócio foi adaptado e transformado

num esquema de pirâmide. Neste esquema o produto ou

serviço vendido não tem qualquer valor intrínseco,

servindo unicamente como fee de entrada no esquema.

O recrutado vê-se desta forma obrigado a recrutar novos

vendedores para recuperar o seu valor de entrada e

alimentar toda a pirâmide.

Neste esquema, a única razão para a compra do produto

é entrar para o esquema.

Esquemas Ponzi

O seu nome deve-se ao Sr. Charles Ponzi que, na década

de 1920, pôs em prática um esquema de pirâmide sob a

forma de um plano de investimentos.

Neste esquema, existe uma pessoa que aceita dinheiro de

outros sob a forma de investimento, não havendo

necessidade deste conhecer a forma como a sua

remuneração é gerada.

Desta forma a remuneração pode surgir do nada, poderá

surgir de dinheiro de outros investidores, de atividades

de jogo, etc..

Esquema de Pirâmide - Esquema de fraude global

14


Chain Letters

As Chain letters aparecem-nos hoje de forma eletrónica,

solicitando um donativo, normalmente muito pequeno,

para as pessoas numa determinada lista. Os novos

membros apagarão o primeiro nome da lista, colocando

o seu no fim e reencaminham-na para um determinado

número de potenciais novos membros da cadeia.

Ao reencaminhar para terceiros, a pessoa está a cometer

um ato ilícito, solicitando uma contribuição em dinheiro

em troca da promessa de que estas também virão a

ganhar algum dinheiro.

Casos conhecidos

Uma breve consulta na internet mostra que a história está

recheada de casos conhecidos, deixo aqui apenas alguns

exemplos do que é possível encontrar.

William Miller

Em 1899, William "520 por cento" Miller abriu um

negócio com denominação de "Franklin Syndicate" em

Brooklyn, Nova Iorque.

Miller prometia taxas de rendibilidade de 10% por

semana num esquema em tudo semelhante ao esquema

de pirâmide. A fraude tomou proporções de cerca de 1

milhão USD (em 1900) e foi sentenciado a uma pena de

10 anos de prisão.

Charles Ponzi

Charles Ponzi levou, na década de 1920, milhares de

habitantes Nova Inglaterra a especular em selos de

correio.

Ponzi pensou que podia ganhar vantagem nas diferenças

cambiais para compra de selos de correio. Aliciou os

investidores com um retorno de 40% em apenas 90 dias,

comparativamente com os 5% das contas bancárias

tradicionais.

Conseguiu investimentos no valor 1 milhão USD em

apenas três horas (e estávamos em 1920!). Uma

investigação posterior concluiu que Ponzi apenas tinha

comprado selos de correio no valor de 30 USD.

Ivar Krueger

Ivar Kreuger, um homem de negócios sueco, conhecido

como "match king", pôs em prática um esquema de

pirâmide, prometendo uma rendibilidade fantástica e de

crescimento constante. O esquema entrou rapidamente

em colapso e em 1930 Kreuger pôs termos à sua vida.

Dona Branca

Este é o esquema mais conhecido entre nós, Maria

Branca dos Santos, mais conhecida por Dona Branca, foi

a famosa "Banqueira do Povo" que causou um enorme

escândalo financeiro nos anos 1980 em Portugal.

Ao longo de décadas, o esquema funcionara e apareciam

constantemente novos clientes, vindos de todo o país,

para alimentar a “máquina”.

Em Março de 1983, uma investigação do semanário "Tal

& Qual" divulga a sua atividade e os seus métodos,

fazendo com que o Ministro das Finanças venha advertir

a população para os perigos associados, resultando no

deslocamento de centenas de pessoas na tentativa de

reaver o seu dinheiro, o que imediatamente gerou uma

confusão incontrolável, um pânico estrondoso e o fim do

esquema.

Ao reencaminhar para terceiros, a pessoa está a

cometer um ato ilícito, solicitando uma

contribuição em dinheiro em troca da promessa

de que estas também virão a ganhar algum

dinheiro.


15


Adriaan Nieuwoudt

Em 1984, Adriaan Nieuwoudt iniciou um esquema, que

mais tarde ficou conhecido como o esquema "Kubus".

Os subscritores compravam um suposto produto

biológico sul-africano, utilizado para fazer crescer

culturas agrícolas.

Após o crescimento durante uma semana, a cultura era

colhida, seca e revendida, dando sequência ao esquema.

As culturas não tinham outro propósito senão alimentar

o esquema (ver esquema Marketing multinível).

Bernie Madoff

Bernard L. Madoff está atualmente a cumprir numa

prisão federal Americana, com pena máxima de 150

anos, por ter orquestrado um esquema Ponzi no valor de

vários biliões de USD, tendo ludibriado milhares de

investidores por todo o mundo.

Ao contrário de muitos promotores de esquemas de

pirâmide, Madoff não prometia taxas de curto prazo

exorbitantes.

Eram garantidas rendibilidades constantes ao longo dos

anos, mesmo em períodos de grande turbulência nos

mercados.

Consultar

http://www.khanacademy.org/science/core-

finance/investment-vehicles-tutorial/mutual-

funds/v/ponzi-schemes

http://en.wikipedia.org/wiki/Chain_letter

http://www.sec.gov/answers/ponzi.htm

http://money.howstuffworks.com/ponzi-scheme5.htm

http://en.wikipedia.org/wiki/List_of_Ponzi_schemes

http://pt.wikipedia.org/wiki/Dona_Branca

Agenda

Dezembro de 2013

Lisboa, 2 de dezembro - Amostragem para auditoria

A certificação está ao seu alcance. Contacte o [email protected]

Comentar este artigo?

Poderá fazê-lo para o IPAI ([email protected]) ou

diretamente para o autor ([email protected])


http://www.khanacademy.org/science/core-finance/investment-vehicles-tutorial/mutual-funds/v/ponzi-schemes



http://en.wikipedia.org/wiki/Chain_letter

http://www.sec.gov/answers/ponzi.htm

http://money.howstuffworks.com/ponzi-scheme5.htm

http://en.wikipedia.org/wiki/List_of_Ponzi_schemes

http://pt.wikipedia.org/wiki/Dona_Branca




16


Cloud Computing: Novo paradigma para Riscos e

Controlos? - Francisco Guimarães, CGEIT

ISACA Lisbon Chapter Certifications & Standards Officer

(As opiniões contidas neste texto são expressas a titulo exclusivamente individual)

Introdução

Nos últimos anos tem-se sentido uma extraordinária

evolução da infra-estrutura de comunicações em termos

de velocidade, desempenho e disponibilidade, acrescido

de uma forte concorrência no sector.

Esta realidade criou uma “pavimentação” de novas

“auto-estradas digitais”, onde novos modelos de

computação para aplicações de suporte ao negócio

podem ser suportados com maior inovação, enfoque na

racionalização de custos de investimentos e

operacionais, além de time-to-market para novos

produtos e serviços suportados em tecnologia de ponta,

com custos e riscos aceitáveis.

Este tipo de tecnologia é conhecida como Cloud

Computing.

Num contexto de crise económica mundial, esta

promessa de valor possibilita novas visões sobre os

sistemas de informação das empresas,

independentemente da sua dimensão, estratégia ou

arquitectura de sistemas de informação.

Perante este cenário, quais os novos riscos, controlos e

especificidades de auditoria que devem ser

considerados no ecossistema de provedores de infra-

estrutura, aplicações e serviços em Cloud Computing?

Esta é uma das principais reflexões sobre a qual o

ISACA Lisbon Chapter se tem debruçado nos últimos

tempos, tendo por base os desafios de quem nas

Organizações toma as decisões, quer no nível estratégico

como operacional, e sempre suportados pelos

referenciais do ISACA nos domínios de governança,

gestão, segurança ou risco (ex. COBIT 5).

Cloud Computing

O termo Cloud Computing remonta a 1960 quando John

McCarthy considerava que “a computação pode algum

dia ser considerada como uma utilidade pública”.

Perante este cenário, quais os novos riscos, controlos e especificidades de auditoria que devem ser

considerados no ecossistema de provedores de infra-estrutura, aplicações e serviços em Cloud

Computing?

Num contexto de crise económica mundial,

esta promessa de valor possibilita novas

visões sobre os sistemas de informação das

empresas, independentemente da sua

dimensão, estratégia ou arquitectura de

sistemas de informação.

17


Foi necessário uma primeira evolução de infra-estrutura

de comunicação de dados assente em tecnologia Internet

a partir de 1992, evolução de capacidade e velocidade de

computação e armazenamento, evolução do hardware,

modelos de virtualização dinâmica na alocação de

espaço e capacidade de processamento em hardware, e

novos modelos de desenvolvimento aplicacionais assente

em serviços (computação distribuída, modelos Service-

Oriented-Architecture, aplicações Web), para se atingir o

conceito enunciado em 1997 por Rammath Chellappa

numa palestra académica, onde numa evolução de

conceitos de computação distribuída, computação em

grelha e Application-as-Service, enunciou um novo

conceito designado por Cloud Computing.

No entanto, foi ainda necessária uma evolução nos

mesmos pilares tecnológicos de convergência de

iniciativas de implementação ao nível de redes,

comunicações, hardware, virtualização e aplicações,

para se atingir hoje uma percepção de Cloud Computing

considerado pelo IEEE como a 6ª tecnologia no ranking

de tendências da década.

De acordo com o NIST (National Institute of Standards

and Technology, EUA) e alinhado com o ISACA, o

Cloud Computing consiste num modelo de computação

em rede para acesso partilhado, ubíquo e on-demand

a um conjunto de recursos computacionais. Neste

contexto, o NIST considera um conjunto de definições

essenciais:

Características: Modelo de acesso e, self-service,

acesso por rede de comunicações alargada, recursos

partilhados entre clientes, elasticidade computacional

dinâmica e serviços medidos

Modelos de Serviços: Software-as-Service (designado

como SAAS, para acesso a serviços aplicacionais),

Platform-as-Service (designado como PAAS, para infra-

estrutura partilhada para desenvolvimento de aplicações)

e Infrastructure-as-Service (designado como IAAS, para

serviços de redes e comunicações)

Modelos de Implementação: Private Cloud no contexto

de uma entidade ou grupo de entidades (que também

pode ser visto Community Cloud) , Public Cloud no

contexto de utilização pública e naturalmente, um

modelo misto designado por Hybrid Cloud

A comunicação deste novo modelo evoca uma visão de

“dados e aplicações na nuvem”, sendo que no entanto,

esta nuvem corresponde somente a um acesso remoto,

estável, elástico e eficaz para acesso a serviços de

computação instalados num DataCenter localizado

num espaço geográfico concreto, e onde existe

hardware escalável e potente, com uma camada de

tecnologia de virtualização para partilha e ajuste

dinâmico às necessidades de serviços aplicacionais e de

redes de dados para os clientes que os utilizam.

Governança e Gestão TI em Cloud

O ISACA, atento às novas tendências tecnológicas e

impacto nos modelos de governança e gestão de TI, em

particular no que refere ao alinhamento e aproveitamento

de novas tecnologias para criação de valor para o

negócio, publicou um documento técnico em 2009

(“Computação em nuvem: benefícios para o negócio

com perspectivas de segurança, governança e

qualidade”), onde reconhece as definições do NIST

como padrão e reforça que o Cloud Computing permite

olhar para os serviços de TI como um utilitário ubíquo.

Por outro lado, aponta os benefícios essenciais deste

modelo, nomeadamente 1) a contenção de despesas; 2)

imediatismo na adesão a novas tecnologias/serviços;

3) nível de disponibilidade e resiliência dos serviços

para a continuidade do negócio; 4) e ganhos de

eficiência.

Cloud Computing: Novo paradigma para Riscos e Controlos?

18


No entanto, o ISACA alerta para o facto da importância

da análise de risco na tomada de decisão sobre a

migração total ou parcial de recursos aplicacionais e

tecnológicos para uma solução em Cloud Computing,

devendo ser somados riscos específicos aqueles já

anteriormente considerados na tomada de decisão para

migração anterior para modelos em Outsourcing

Desta forma, continua a ser necessário uma análise de

oportunidade mediante identificação, classificação e

avaliação de riscos e controlos ao nível do fornecedor

tais como:

1) infra-estrutura de acesso;

2) Níveis de serviço;

3) confidencialidade e continuidade de negócio;

ou 4) estratégias concretas para migração e saída

destes modelos de computação.

Mais do que na análise dos contractos de Outsourcing, as

empresas devem reforçar a percepção de risco de

contexto legal no espaço geográfico do fornecedor, para

uma adequada avaliação dos termos contratuais e regras

de compliance.

Estas considerações devem ser devidamente analisadas

com os fornecedores de soluções, nomeadamente os

fornecedores de infra-estrutura de comunicações, os

fornecedores de infra-estrutura Cloud física em termos

de DataCenter e os fornecedores de serviços sobre a

infra-estrutura física, reforçando sempre os requisitos

relacionados com a qualidade, transparência,

privacidade, conformidade e certificação de controlos.

Independentemente da análise de risco, as empresas,

mais do que nunca, devem aproveitar esta oportunidade

para avaliar o seu modelo de governança, garantindo

sempre o alinhamento estratégico entre o negócio e o seu

sistema de informação e assegurando:

1) a adequação da arquitectura aplicacional e

tecnológica;

2) a formação e capacitação dos recursos humanos; e

3) a eficácia e eficiência de processos para uma

adequada gestão dos sistemas de informação.

Tal só é possível mediante uma adequada avaliação de

riscos e desenho adequado de controlos, acompanhado

de modelos capazes de auditoria a uma maior

complexidade de um novo ecossistema de prestação de

serviços para suporte ao negócio.

Contexto Português

A nível nacional, o conceito de Cloud Computing tem

sido objecto de uma grande efervescência no mercado.

Como tal, tem-se verificado uma grande dinamização e

envolvimento de Associações Internacionais de Cloud

Computing, fornecedores internacionais de software,

infra-estrutura de redes e comunicações no apoio a várias

iniciativas locais relacionadas com o awareness sobre

Cloud Computing, verificando-se já alguns casos de

evolução de soluções de infra-estruturas e aplicacionais

nacionais para modelos de prestação de serviços sob este

novo paradigma.

Atenta a este fenómeno, o ISACA Lisbon Chapter

desenhou uma estratégia de acção que passa por

contribuir com a sua perspectiva de governança, gestão,

risco e controlo na cloud, tendo vindo a organizar e a

participar em várias conferências, round tables e

encontros que tem juntado a comunidade de

profissionais, Academia e empresas do sector.

As empresas, mais do que nunca, devem

aproveitar esta oportunidade para avaliar o

seu modelo de governança, garantindo

sempre o alinhamento estratégico entre o

negócio e o seu sistema de informação.


19


Desta forma temos procurado contribuir para uma ampla

e profunda discussão sobre o tema que permita uma

contínua melhoria da maturidade da governança e gestão

de TI nas Organizações, reforçando o posicionamento da

gestão estratégica de riscos tecnológicos, alinhamento

dos ambientes de controlo interno com as novas

realidades tecnológicas e reforço das competências e

qualificações dos profissionais no suporte a actividades

relacionadas com a governança, gestão, segurança, risco,

controlo e auditoria de tecnologias de informação.

Conclusão

O IEEE considera o Cloud Computing na 6ª posição

de tendências no ranking de tecnologia. No entanto,

tal como referido pelo ISACA, o Cloud Computing, por

se tratar de um novo paradigma tecnológico, deve ser

visto com rigor no que refere aos requisitos de

confiança, estabilidade, disponibilidade,

conformidade e privacidade, tendo sempre em

consideração que dificilmente as empresas poderão “dar-

se ao luxo” de perder as oportunidades e benefícios para

o negócio relacionados com os ganhos de eficiência,

eficácia e inovação.

Mais do que uma avaliação tecnológica, as empresas

devem reforçar a importância de uma adequada gestão

de risco empresarial como base de uma boa governança,

a importância do desenho e planeamento dos recursos de

suporte ao sistema de informação (aplicações,

tecnologia, informação e processos), a necessidade de

desenho de modelos de gestão adequados que permitam

a integração de controlos para mitigação do risco e

aproveitamento das oportunidades, tendo sempre em

perspectiva a criação de valor através da satisfação

das necessidades dos stakeholders, optimização dos

riscos e optimização dos recursos.

Referências

CIO Strategy for Cloud Computing -

http://www.isaca.org/CIO/Pages/CIO-Cloud.aspx

AGENDA

Outubro 2013

Lisboa, 7 de outubro – Preparação para o exame CIA – Introdução e parte I

Lisboa, 14 de outubro – Técnicas de aprsentação

Lisboa, 21 de outubro – Auditoria de sistemas e tecnologias de informação

Novembro 2013

Lisboa, 4 de Novembro - Auditoria de empreitadas de obras públicas

Lisboa, 11 de Novembro - Auditoria interna na saúde

Consulte o plano de formação em http://www.ipai.pt/calendario/formacoes.php?todos=1


http://www.isaca.org/CIO/Pages/CIO-Cloud.aspx

http://www.ipai.pt/calendario/formacoes.php?todos=1

20


Solvência II: qual o papel da

Auditoria Interna? Jorge Nunes, VP

Direcção IPAI

Solvência II é um projeto que tem o objetivo de

efetuar uma revisão global e profunda do modelo de

solvência aplicável ao setor segurador do designado

Espaço Económico Europeu.

Na base deste projeto, destacam-se a avaliação dos

ativos e passivos de uma forma consistente e baseada em

critérios económicos, o maior alinhamento das

exigências regulamentares de capital com os riscos

efetivamente assumidos pelas empresas de seguros e a

promoção de uma cultura de gestão e de supervisão

baseada nos riscos.

O novo regime que se pretende criar assenta numa

estrutura de três pilares:

Pilar 1: compreende os requisitos quantitativos,

nomeadamente as provisões técnicas, os

investimentos e dois níveis de requisitos de capital –

o requisito de capital de solvência (SCR) e o requisito

de capital mínimo (MCR);

Pilar 2: compreende os requisitos qualitativos,

nomeadamente o sistema de governação, que inclui

mecanismos de gestão dos riscos, d controlo interno,

as funções-chave e o processo de autoavaliação do

risco e da solvência (ORSA)

Pilar 3: compreende a transparência e a disciplina de

mercado, por via dos requisitos de prestação pública

de informação e de reporte aos supervisores.

Abordando o pilar 2, e de acordo com a Diretiva

2009/138/CE, de 25 de novembro de 2009, relativa ao

acesso à atividade de seguros e resseguros e ao seu

exercício (Solvência II), o sistema de governação

compreende a função de gestão de riscos, a função de

verificação da conformidade, a função de auditoria

interna e a função actuarial.

Aqui fica reconhecido o papel da auditoria interna para

as empresas do setor segurador, fazendo parte integrante

do sistema de governação.

A mesma Diretiva 2009/138/CE, acrescenta ainda que as

funções incluídas no sistema de governação são

consideradas como funções essenciais e,

consequentemente, como funções importantes e

fundamentais.

Mas vai mais longe: em empresas mais pequenas e

menos complexas, deverá ser possível confiar várias

funções a uma mesma pessoa ou unidade organizativa,

exceto no que respeita à função de auditoria interna.

21


Na realidade portuguesa, o supervisor do setor segurador

– Instituto de Seguros de Portugal, havia já publicado,

em novembro de 2005, uma norma regulamentar (NR

14/2005) sobre os princípios aplicáveis ao

desenvolvimento dos sistemas de gestão de riscos e de

controlo interno das empresas de seguros, em que

procurou verter, para a realidade portuguesa, as melhores

práticas internacionais na regulamentação e supervisão

da atividade seguradora.

Na mencionada NR 14/2005, consta um artigo dedicado

à função de auditoria interna. Recorde-se que, de acordo

com a Diretiva 2009/138/CE, uma função é uma

competência administrativa para realizar determinadas

tarefas de governação.

O artigo 17º, para além de algumas notas gerais sobre a

função de auditoria interna, que vão de encontro às

orientações do IIA, apresenta algumas alíneas que

permitem uma maior clarificação do papel a

desempenhar, das quais destacaria:

a função de auditoria interna deve ter autoridade

suficiente para desempenhar as suas competências

objetivamente e de forma independente, não devendo,

neste sentido, ter ligação direta às funções

operacionais da empresa de seguros que serão objeto

de avaliação;

para garantir uma adequada autoridade, a função de

auditoria interna deve ter acesso direto ao órgão de

administração;

o pessoal que executa a auditoria interna deve ter

acesso pleno a todas as atividades da empresa de

seguros, incluindo sucursais, pelo que lhe deve ser

disponibilizada toda a informação necessária à

realização de uma adequada avaliação;

a realização de uma ação de auditoria deve

compreender a elaboração ou atualização do dossier

permanente da atividade de risco alvo de avaliação.

Anualmente, deve ainda ser elaborado um relatório de

auditoria em que sejam apresentados os resultados das

ações de auditoria realizadas, bem como o estado de

implementação e cumprimentos das recomendações

efetuadas.

Este relatório adquire importância acrescida pelo facto

de, no artigo 18º da mesma NR 14/2005, se prever a

elaboração, pelo órgão de administração, de um relatório

anual sobre a estrutura organizacional e os sistemas de

gestão de riscos e de controlo interno da empresa de

seguros.

E acrescenta-se que o mesmo relatório deve conter uma

descrição detalhada do acompanhamento efetuado pela

função de auditoria interna no exercício, identificando as

principais falhas e/ou fragilidades detetadas e as medidas

tomadas no sentido de melhorar os sistemas de gestão de

riscos e de controlo interno implementados.

De notar que o destinatário deste relatório é o regulador.

Algum tempo decorrido, em janeiro de 2013 o IIA –

Institute of Internal Auditors, publicou o position paper

“The Three Lines of Defense in Effective Risk

management and Control” em que se discrimina o

modelo das três linhas de defesa, contribuindo para

um posicionamento da auditoria interna como a

terceira linha de defesa.

Solvência II: qual o papel da Auditoria Interna?

22


Em Junho de 2013, o ECIIA publicou um documento

sobre o papel da auditoria interna no âmbito do projeto

Solvência II (The role of Internal Audit under Solvency

II), frisando que, com Solvência II; o papel importante

desempenhado pela Auditoria Interna no sistema de

governação foi reconhecido pela União Europeia para a

indústria seguradora.

Num cenário com o Solvência II em vigor, os desafios da

auditoria interna serão:

efetuar revisões periódicas e regulares da adequação e

eficácia do processo de governação instalados pelas

outras funções de governação;

garantir uma correta e atempada partilha de

informação com as outras funções de governação;

discutir com outras funções de governação a

classificação dos riscos, os parâmetros de opinião,

ferramentas, etc., e, assim, permitir que todas as

funções de governação usem a mesma linguagem na

comunicação com o Board ;

utilizar os outputs de outras funções de governação

para a construção de planos de auditoria com base

nos riscos.

Assumindo o papel da terceira linha de defesa, a função de auditoria interna, numa abordagem baseada

no risco, irá garantir assurance para o governo das organizações (incluindo o Comité de Auditoria, nas

entidades em que o mesmo existe) e para a gestão, nomeadamente na forma como se encontram a

operar a primeira e segunda linhas de defesa, sendo que esta assurance deverá abarcar todos os

elementos da gestão de riscos da empresa.

Solvência II: qual o papel da Auditoria Interna?

23


Estudo de Auditoria Interna nas Organizações

- Cabo-Verdianas - Alcinda Borges e Nuno Castanheira

Introdução

O estudo apresentado insere-se no âmbito do Mestrado

em Auditoria Empresarial e Pública, do Instituto

Superior de Contabilidade e Administração de Coimbra.

O trabalho foi realizado pela aluna Alcinda Borges, sob

orientação de Nuno Castanheira, docente do ISCAC.

Os resultados do estudo foram apresentados em Cabo

Verde, no passado dia 22 de Novembro, na cidade da

Praia, em Seminário sobre Auditoria Interna, promovido

pelo Banco Comercial do Atlântico, em parceria com o

Banco Central de Cabo Verde e a Bolsa de Valores de

Cabo Verde.

Objetivo

O estudo tem como principal objetivo avaliar o grau de

maturidade da auditoria interna, nas organizações Cabo-

Verdianas.

A opção pelo estudo em Cabo Verde, para a realização

da investigação, resulta do facto de ser o país de origem

da autora do trabalho, a que se associa o facto de se

tratar de um país emergente, com economias em

desenvolvimento, o que motivou a investigação nas

organizações de Cabo Verde.

Originalidade/valor acrescentado

Este artigo contribui para a literatura porque apresenta

dados sobre um país que, apenas recentemente, tem sido

objeto de estudo na área da auditoria interna.

É dos primeiros estudos com investigação sobre

auditoria interna, em Cabo Verde.

Limitações do Estudo

Não obstante termos estruturado o questionário com

perguntas fechadas, minimizando o risco de dupla

interpretação das questões, admitimos que tal cuidado,

por si só, possa não assegurar uma total uniformização

das questões por parte dos inquiridos.

Apesar do esforço realizado, na tentativa de recolha do

maior número de respostas, não podemos considerar que

a amostra obtida é de grande dimensão e que caracteriza

todo o tecido empresarial Cabo-Verdiano, o que implica

que as conclusões retiradas do nosso estudo não possam

envolver extrapolações para o universo da população

empresarial de Cabo-Verde.

Face à escassez dos dados recolhidos, não foi possível

confirmar estatisticamente a dependência da aplicação de

abordagens baseadas no risco nos processos de auditoria

interna, em relação a um conjunto de variáveis

independentes, concretamente ao tipo de entidade, setor

de atividade, dimensão da empresa, internacionalização e

perfil do auditor.

Metodologia

Foi aplicado um inquérito por questionário, como

instrumento de recolha de dados, junto das empresas

Cabo-Verdianas, com o objetivo de obter uma visão

global sobre as práticas e procedimentos de auditoria

interna.

O questionário foi estruturado em cinco partes distintas,

com perguntas fechadas, de modo a evitar processos

ambíguos na interpretação e na codificação das respostas

e de forma a possibilitar a utilização de métodos

estatísticos na análise das mesmas.

A população alvo do nosso estudo envolveu um conjunto

de organizações de Cabo Verde, de diferentes dimensões

e setores de atividade, maioritariamente sediadas na

Cidade da Praia, na Ilha de Santigo, e uma minoria de

empresas sediadas nas ilhas do Sal e São Vicente.

Os questionários foram entregues, pessoalmente, na sede

das empresas, entre 24 de Maio a 30 de Junho de 2012.

Das empresas inquiridas, apenas obtivemos resposta de

26 empresas.

24


Deste conjunto, concluímos que 14 empresas (53,9%)

têm implementada a função de auditoria interna, 9

empresas (34,6%) não têm função de auditoria interna e

as restantes 3 empresas (11,5%) estão em via de

implementação, o que significa que cerca de metade das

empresas que responderam ao questionário não têm

função de auditoria interna.

Principais Conclusões

No que respeita à abordagem utilizada para determinar o

plano de auditoria interna, a maioria (57,1%) das

empresas afirma utilizar uma abordagem baseada no

risco de negócio, enquanto que 28,6% das empresas

afirma utilizar uma abordagem mista, simultaneamente

cíclica e baseada no risco.

Por outro lado, são cerca de 14,3% as empresas que

afirmam utilizar outra abordagem.

Na maioria das empresas, o universo de auditoria é

revisto anualmente e é desenvolvido a partir do processo

de planeamento estratégico da organização, prática que

contribui para melhorar a eficácia do plano de auditoria.

O planeamento das auditorias está, essencialmente,

orientado para auditorias operacionais (26,43%),

auditorias de conformidade (22,74%), auditorias às

demonstrações financeiras (17,74%) e avaliações de

risco (16,67%).

Em relação à abordagem utilizada no ciclo de auditoria,

conclui-se que a maioria (64,3%) das empresas utiliza

abordagens mistas no decorrer do processo de auditoria

individual, isto é, simultaneamente baseadas no controlo

e baseadas no risco.

Apenas uma única empresa afirma utilizar uma

abordagem baseada no risco, ao longo de todo o ciclo de

auditoria individual, e duas empresas afirmam adotar

uma abordagem predominantemente baseada no

controlo.

No que respeita ao reporte de auditoria interna, apenas

21,4% das empresas afirmam reportar as recomendações

em termos de gestão de risco.

Não obstante, cerca de 64,3% das empresas reportam,

simultaneamente, em termos de controlo interno e gestão

de risco.

Adicionalmente, conclui-se que quase metade (42,9%)

das empresas inquiridas não utiliza categorias de risco

no reporte dos resultados de auditoria.

Quanto ao papel da auditoria interna na gestão

empresarial de risco (ERM), conclui-se que a maioria

(71,4%) das empresas tem implementado ou a decorrer a

implementação do processo de ERM e, em cerca de 70%

do referido conjunto de empresas, a auditoria interna

apoia ou apoiou a implementação do processo de ERM.

Relativamente aos profissionais de auditoria interna,

podemos constatar que a grande maioria (85,7%) tem

formação académica na área de auditoria, ou em áreas

conexas.

Os auditores, maioritariamente, estão filiados no IIA, no

IPAI, ou outros Institutos, como por exemplo o OPACC

e o IAIE. Quanto à formação proporcionada aos

auditores internos, a salientar que, em metade das

empresas inquiridas, não são definidas políticas de

formação contínua (apenas proporcionam formação

quando se justifica), facto que poderá ter impacto no

necessário desenvolvimento profissional contínuo dos

auditores.

Perante os factos expostos, conclui-se que a auditoria

interna, em Cabo Verde, é, ainda, uma função recente no

seio das organizações, o que significa, que há um longo

caminho a percorrer.

Questiona-se, para quando um Instituto de Auditoria

Interna, em Cabo-Verde?

Orientações para futura investigação Na sequência

deste estudo, poderão ser realizados outros trabalhos

com vista a aprofundar outras vertentes associadas à

auditoria interna em Cabo Verde. Com base numa

amostra alargada, a pesquisa pode ser orientada no

sentido da avaliação do impacto da auditoria interna ao

nível: da sua contribuição para a concretização dos

objetivos do negócio; da independência dos auditores,

fundamentalmente quando são chamados a desempenhar

serviços de consultoria; da credibilidade da função de

auditoria interna junto da sua hierarquia e dos órgãos

auditados; do ensino da auditoria interna, etc.

Palavras-chave ─ Auditoria interna, Risco, Cabo Verde.

IIA Austria will host ECIIA Conference 2013 - The Sound of Music 2 - 4 October 2013

Estudo de Auditoria Interna nas Organizações -Cabo-Verdianas

25


Caneta Digital

A banker is a fellow who lends you his umbrella when

the sun is shining, but wants it back the minute it begins

to rain.

Mark Twain

Novos associados Ana Raquel Santos Mendes

Catarina Alves Moreira Gomes de Almeida

Maria Susana Faria Pinto Coelho Lima

Maria de Jesus Covas Dimas

Maria João Brandão Fernandes

Vanessa Lara da Silva Martins

Paulo Alexandre Carvalho Mauricio

Maria Helena Alves de Oliveira Diogo

Manuel Eduardo Aires Magriço

Joaquim Manuel Cepeda

Helder Manuel Rodrigues Gonçalves

Tiago Sousa Seixas

Luis Miguel Rodrigues Cost

Paulo Alexandre Marto de Carvalho

Mariana Costa Maia

Maria Manuela Pinto Godinho

Cindy Marie Soares de Carvalho

Sónia Cristina Teixeira Gaspar

Marco André Teixeira Oliveira

Joana Isabel Vieira Alves

Ana Raquel Pancadas Banza

Carla Cristina Soares da Rocha

Mafalda Cristina Mendes Grilo

Jorge Fernando Ferreira Ribeiro

Teresa Alexandra Meca Estevão Pedro

Maria Emília Vidinha Pires Rodrigues

Etelvino Moucho Craveiro

Carina Natacha Ribeiro Peixoto

Filipa Ramalho Teixeira Martins

José Carlos da Silva Nunes

Maria Teresa Pereira da Costa

Ana Cristina Oliveira Miranda

André David Diogo Capitão

Sizalda Gomes Gonçalves

Maria Silvia Martins Fafaiol

Ana Paula Miranda Relvas

Diogo Luís de Sequeira Mota

Frederico Chaves Pinheiro Torres

Luis Pedro Matos Lopes

Natália Maria Pereira de Macedo

Carlos Manuel da Costa Pinto

Liliana Fernanda Antunes Monteiro

Jorge Manuel Mendes Inácio

Nuno Miguel Mapos Lopes

-

Pesquisa na rede

Casos de Fraude - Fraude com cheques.

Recentemente têm sido

feitos estudos e

publicados artigos

mencionando que o

cheque é um meio de

pagamento em declínio.

No entanto a fraude

com cheques continua a ser um grande desafio para

muitas instituições e o seu impacto não deverá ser

subestimado.

O recente exemplo da Liberty Bell Bank demonstra o

impacto que estes esquemas poderão ter. Neste exemplo,

um único caso de rotação de cheques teve um impacto

dramático. De acordo com um artigo do American

Banker, este caso causou perdas no valor de 2.1 milhões

de USD.

A avaliação dos controlos, procedimentos e tecnologias

associadas à gestão da fraude com cheques, é uma boa

forma de mitigação do risco, minimizando a

probabilidade de ocorrência, com especial atenção aos

casos com impactos relevantes sobre as instituições.

Informação na rede:

http://www.americanbanker.com/issues/178_146/check-kiting-

scam-sinks-earnings-at-liberty-bell-bank-1060971-1.html

http://finance.yahoo.com/news/liberty-bell-bank-reports-

second-213400984.html

http://www.americanbanker.com/issues/178_146/check-kiting-scam-sinks-earnings-at-liberty-bell-bank-1060971-1.html

http://www.americanbanker.com/issues/178_146/check-kiting-scam-sinks-earnings-at-liberty-bell-bank-1060971-1.html

http://finance.yahoo.com/news/liberty-bell-bank-reports-second-213400984.html

http://finance.yahoo.com/news/liberty-bell-bank-reports-second-213400984.html

26


Post-it, Miguel Silva

27


Pesquisa de Institutos de Auditoria

http://www.aiam.org.mk/

28


Pré inscrição [email protected]

Consulte programa provisório http://www.ipai.pt/gca/index.php?id=180

Lisboa

21 de Novembro de 2013 Hotel ALTIS


http://www.ipai.pt/gca/index.php?id=180

janeiro/mar 2012 trimestral distribuição gratuita nº 46zonas de sombra - manuel marques barreiro,...

Documents