prÉmio ipai 2009 · de risco e do controlo interno, a 3ª linha de defesa é, sem dúvida...

1

Auditoria Interna Abril/Junho 2010 Nº 38 Edição Especial Prémio IPAI 2009

PRÉMIO IPAI 2009 MELHOR TRABALHO SOBRE AUDITORIA INTERNA

Vencedores 1º prémio

Nuno Castanheira e Lúcia Lima Rodrigues

Abril/Junho 2010 Trimestral Distribuição gratuita Nº 38

2


CORPOS SOCIAIS PARA O BIÉNIO 2010 – 2011

Assembleia Geral

Presidente da Mesa: António dos Santos Ramos, CIA – Estoril Sol

Secretário: Carlos Alberto Mendes Lopes – Estradas de Portugal

Vogal: Rodrigo Mário de Carvalho – ISCAP

Conselho Fiscal

Presidente: Manuel dos Santos Gomes

Vogais: Álvaro da Silva João

João Manuel Barata da Silva ‐ CGD

Vogal Suplente: Maria de Lurdes Neves ‐ TAP

Direcção

Presidente: Fátima Geada, PHD – TAP

Vice‐Presidentes: Francisco de Melo Albino, CIA; CCSA; CGAP

António Neutel Neves, CIA – Portucel

Nuno Oliveira, CIA ‐ AdP

José Costa Bastos – CGD

Nelson Martins, CCSA – BES

Pedro Cupertino de Miranda, CISA – SONAE

Secretário: Joaquim Leite Pinheiro

Vogais: Luís Filipe Machado, CIA; CCSA – BCP

Severo Praxedes Soares – IGF

Miguel Correia, CIA; CCSA; CFSA I – Liberty Seguros

Georgina Morais – ISCAC

Ana Cláudia – BRISA

Jorge Santos Nunes – Lusitânia

CONSELHO GERAL

Presidente: Manuel Marques Barreiro

Vice‐Presidente: Manuel Agostinho Raul Fernandes

Vogais:

Domingos Sequeira – Ex Presidente da Direcção

Orlando Sousa ‐ SONAE

Ana Margarida Fernandes – Inspecção‐geral de Finanças

António Costa e Silva – Tribunal de Contas

Carlos Baptista da Costa – ISCAL

Octávio Castelo Paulo – Instituto Português Corporate Governance

Jean‐éric Gaign – KPMG

João Frade – DELOITTE

João de Mello Franco – PT e EDP Renováveis

Jorge de Freitas Nunes – Ernst & Young

José Manuel Dias da Fonseca – APOGERIS

Francisco Martins da Rocha – Banco de Portugal

Nasser Sattar – PricewaterhouseCoopers

Orlando Germano da Silva ‐ BES

3


Agenda 2010

CURSO LOCAL DATA FORMADOR

1

Introdução ao Controlo e Auditoria Interna Lisboa Porto

Jan, 25-26 Set, 16-17

Francisco Albino, CIA, CCSA, CGAP

2 Enquadramento Internacional de Práticas Profissionais de Auditoria Interna

Lisboa Out., 11-12 Francisco Albino, CIA, CCSA, CGAP

3

Auditoria Interna Baseada no Risco – Metodologia ERM

Lisboa Set, 6-7 Nuno Oliveira, CIA

4 Auto-avaliação do Risco e do Controlo – Preparação para o Exame CCSA

Lisboa Jun, 28-29 Nuno Oliveira, CIA Orlando Sousa, CCSA Júlia Santos. CCSA

5 Quality Assessment and Improvement Program Lisboa Jun, 18 * Prof. Glenn Sumners, CIA, CPA, CFE

6 Fraude e Auditoria Interna Lisboa Set, 27-28 Tiago Lopes, CIA, CCSA, CFE

7 Relatórios de Auditoria Lisboa Nov., 22-23 Francisco Albino, CIA, CCSA, CGAP

8 Amostragem para Auditoria Lisboa Dez, 13-14 Céu Almeida, ROC

9

SNC – Reforma da Contabilidade Lisboa Mar, 1-2 Baia Engana, ROC Gervásio Lérias, ROC

10 Auditoria de Sistemas e Tecnologias de Informação Lisboa Mai, 31-Jun, 1 Paulo Gomes, CISA

11 Segurança de Sistemas de Informação Lisboa Out., 25-26 Pedro Cupertino, CISA

12

Liderança e Comunicação em Auditoria Interna Lisboa Porto

Mar, 29-30 Out, 18-19

Filipa Oliveira

13 CIA Review – I Part * Lisboa Jun, 14 * Prof. Glenn Sumners, CIA, CPA, CFE 14 CIA Review – II Part * Lisboa Jun, 15 * Prof. Glenn Sumners, CIA, CPA, CFE 15 CIA Review – III Part * Lisboa Jun, 16-17 * Prof. Glenn Sumners, CIA, CPA, CFE 16 CIA Review – IV Part * Lisboa Jun, 17 * Prof. Glenn Sumners, CIA, CPA, CFE 17 Preparação para o exame CIA – I Parte Lisboa Set, 20 Francisco Albino, CIA, CCSA, CGAP 18 Preparação para o exame CIA – II Parte Lisboa Set, 21 Nuno Oliveira, CIA 19 Auditoria de Instituições Públicas – Preparação para o

Exame CGAP

Lisboa Abr, 26-27 Francisco Albino, CIA, CCSA, CGAP

20 Auditoria de Empreitadas de Obras Públicas Lisboa Mai, 24-25 Sara Pestana, CIA Sofia Correia, CIA

21 Auditoria Interna no âmbito de Basileia II -Preparação para o Exame CFSA

Lisboa A indicar A indicar

22

Seminário especializado em parceria com o MIS

Lisboa A indicar

*Em língua inglesa

Pode consultar o calendário em http://www.ipai.pt/gca/index.php?id=69

4


Índice

Colabore. Envie uma sugestão.

Trabalhos completos: Pode consultar as versões completas em http://www.ipai.pt

Editorial:

Auditoria e sustentabilidade, Fátima Geada

6

Factores associados à adopção de abordagens baseadas no risco no

processo de auditoria interna, Nuno

Castanheira e Lúcia Lima Rodrigues

8

Data Warehouse, modelo de controlo interno e auditoria, Rui Almeida Santos

13

Aplicação prática do IDEA em auditoria, Joana Valério e Liliana Andrade

20

Notícias 25

Missão

Promover a partilha do saber e da prática

em auditoria interna, gestão do risco e

controlo interno.

Propriedade e Administração

IPAI – Avenida Duque de Loulé, 5 – 2º B – 1050-085 LISBOA

Contribuinte nº 502 718 714; Telefone/Fax: 213 151 002

Correio electrónico: [email protected]

FICHA TÉCNICA

Presidente da Direcção: Fátima Geada

Director da Revista: Joaquim Leite Pinheiro

Coordenação de edição: Pedro Cupertino de Miranda

Redacção: Manuel Marques Barreiro; Raul Fernandes

Conselho Editorial: Manuel Barreiro, Fátima Geada, Francisco Melo Albino

Colaboradores nesta edição: Fátima Geada, Nuno Castanheira, Lúcia Lima Rodrigues, Rui Almeida Santos, Liliana Andrade, Joana Valério

Pré-impressão: IPAI

Impressão e Acabamento: CEM

Ano XII – Nº 38 – TRIMESTRAL Abril/Junho 2010 Edição Prémios IPAI 2009 – Melhor estudo

TIRAGEM: 1500 exemplares; Registo: DGCS com o nº 123336;

Depósito Legal: 144226/99; Expedição por correio; Grátis

Correspondência: IPAI – Avenida Duque de Loulé, 5 – 2º B – 1050-085 LISBOA Telefone/Fax: 213 151 002

[email protected]

Visite-nos em www.ipai.pt

Nota: Os artigos vinculam exclusivamente os seus autores, não reflectindo necessariamente as posições da Direcção e do Conselho Editorial da Revista nem do IPAI. A aceitação de publicação dos artigos na Revista Auditoria Interna do IPAI, implica a autorização para a inserção no sítio do IPAI após a edição da revista impressa.

5


IPAI - Membros Colectivos http://www.ipai.pt/gca/index.php?id=45

CP

6


Editorial

A frase citada, numa tradução livre, pode aplicar-se à vertente da sustentabilidade social e ambiental nas empresas, quando insuficientemente cuidada e cultivada pelas empresas ao longo do tempo. Relembro-a num contexto de sustentabilidade de longo prazo dos negócios.

Cada vez mais, na nossa sociedade, a confiança dos mercados é determinante para um desempenho efectivo da economia e um dos pilares dessa confiança é construído com “informação confiável e transparente” facultada aos stakeholders e Shareholders.

Neste ponto, o papel a desempenhar pela Auditoria Interna, com o seu profissionalismo e conhecimento das organizações, tem de ser assumido como um sustentáculo fundamental da empresa e como a “pedra de toque” para a existência de empresas em que a “ética dos negócios” seja intrínseca ao ADN da organização.

Cada vez mais se reconhece a necessidade de um controlo interno adequado e eficaz de modo a que as organizações cumpram não só as suas obrigações e deveres legais mas mais do que isso possuam um processo de controlo de riscos que garanta a estabilidade e a sustentabilidade do negócio a médio e longo prazo, e a credibilidade externa.

A lei Sarbanes-Oxley (SOX), publicada em 2002, foi considerada pioneira nestas matérias e a sua secção 404 permitiu sensibilizar as organizações no sentido de criarem e garantirem a eficácia de mecanismos de auditoria e controlo, incorporando em si regras de gestão e mitigação dos riscos e procedimentos regulatórios que visassem evitar fraudes, e assegurar meios para as identificar., constituindo um garante da transparência dos processos.

A auditoria e a sustentabilidade

Fátima Geada, Presidente da Direcção

A sociedade humana tem-se comportado como a rã no balde de água ao lume, em que a temperatura vai subindo aos poucos, de modo que a rã se vai adaptando e nunca pensa em saltar, continua a adaptar-se até ao infeliz desfecho.

Thomas Friedman

7


A Auditoria surge então como o motor das seguintes dinâmicas:

Ambiente de Controlo – que reflecte a cultura das

organizações manifestada pelos juízes de valor da

Administração e restantes colaboradores, bem

como pelas medidas, políticas e procedimentos

desenvolvidos na própria estrutura organizacional.

Sistema de Gestão de Riscos – com a preocupação

de identificar, avaliar, acompanhar/monitorizar, bem

como controlar e acompanhar adoptando as acções

necessárias para a actuação face a situações

indesejáveis.

Sistema da Informação Comunicação – garante da

captação e tratamento de dados relevantes.

Monitorização – com o objectivo de assegurar a

eficácia do sistema de controlo interno e enquanto

instrumento da detecção de oportunidades de

melhoria do próprio sistema organizacional.

Em início deste mandato à frente de uma associação de profissionais a quem cada vez mais, são requeridos enormes desafios, aproveito o ensejo para lançar o repto de uma reflexão conjunta sobre os padrões e níveis de formação dos nossos estudantes e investigadores, bem como o repto de estimular o desenvolvimento de trabalhos académicos e profissionais em Auditoria na vertente de sustentabilidade dos negócios.

O prémio do “Melhor trabalho em Auditoria” foi lançado como mais uma forma de divulgação das metodologias e partilha do conhecimento no âmbito da Auditoria Interna, entre os investigadores, estudantes e profissionais da área, e como forma efectiva de promover a investigação numa vertente do conhecimento com uma importância cada vez mais determinante nas organizações, fazendo jus ao “crescimento pela partilha do conhecimento”

O desafio colocado a esta Direcção de “partilha do conhecimento”, dinamização da profissão e reconhecimento da mesma passa também pelo nosso esforço conjunto no sentido de promover a publicação de artigos na vertente técnica e académica e de promover acções de formação,

Conferências, Fóruns e todas as formas de promover o Saber.

Tendo em conta o Modelo das “3 linhas de Defesa”

das organizações, em que a 1ª linha coloca a tónica

na operacionalização e acção e a 2ª linha de defesa é

constituída pela liderança funcional, normas e

procedimento de supervisão, com um foco na

monitorização do perfil de risco da organização a

pesquisa das melhores práticas de sistemas de gestão

de risco e do controlo interno, a 3ª linha de defesa é,

sem dúvida constituída pela Auditoria, com a tónica

colocada na avaliação do desenho do controlo e

execução dos testes de eficácia, identificando as

acções correctivas e recomendações que surgem

como um factor da melhoria e uma oportunidade de

acrescentar valor às organizações.

Vivemos uma fase marcada pelas necessidades de um maior e mais efectivo controlo.

As mudanças económicas, culturais e sociais no sentido da globalização dos negócios são um factor determinante para o reforço da actividade e da relevância da auditoria.

No entanto, não podemos falar de auditoria sem falarmos de ética, porque todo o trabalho do auditor deverá ser efectuado com compromisso e competência; e, a ética tende a ser cada vez mais um dado nuclear na vida empresarial e profissional. A ética dos profissionais deverá constituir condição sine qua non para o seu sucesso e das organizações onde trabalham

A actuação ética é um compromisso efectivo com a dignidade, a sustentabilidade e o profissionalismo, enquanto forma íntegra, honesta e empenhada de exercer uma profissão.

É este o desafio e a tónica que pretendo deixar como repto nesta primeira mensagem, para que em conjunto, consigamos junto dos jovens, novos profissionais de Auditoria, reforçar a importância desta temática.

Editorial

8


PRÉMIO IPAI PARA O MELHOR TRABALHO SOBRE AUDITORIA INTERNA

Vencedores 1º prémio

Nuno Castanheira e Lúcia Lima Rodrigues

9


Este estudo analisa a auditoria interna baseada no

risco em Portugal, nomeadamente obtendo evidência

sobre os factores associados à adopção de

abordagens baseadas no risco. Explora também o

papel da auditoria interna no processo de Enterprise

Risk Management [ERM].

Metodologia ─ O estudo envolve a aplicação de um

inquérito por questionário (em apêndice) junto das

empresas onde associados do IPAI exercem a função

de auditores internos. A escolha desta população está

relacionada com o facto das referidas empresas terem

nos seus quadros profissionais de auditoria que, pelo

facto de serem associados do IPAI, têm uma maior

sensibilidade para a importância da auditoria interna

baseada no risco, uma vez que têm periodicamente

acesso a informação actualizada, nomeadamente

através da revista Auditoria Interna, que aponta para a

crescente necessidade de aplicação de abordagens

orientadas para o risco do negócio, em consistência

com o actual paradigma de auditoria interna.

Factores associados à adopção de abordagens baseadas no risco no processo de auditoria interna

10


Para determinar a população, o primeiro autor,

membro efectivo do IPAI, solicitou a colaboração do

referido Instituto, que nos forneceu uma listagem das

entidades que se enquadravam no âmbito da nossa

análise, totalizando 96 empresas.

Os questionários foram estruturados em quatro

secções, com perguntas fechadas, de modo a evitar

processos ambíguos na interpretação e na codificação

das respostas e de forma a possibilitar a utilização de

métodos estatísticos na análise das mesmas.

Na elaboração do questionário foram associadas

escalas de medida às várias alternativas de resposta

de forma a possibilitar a sua análise por meio de

técnicas estatísticas.

Assim, para conjuntos de categorias de respostas

qualitativamente diferentes e mutuamente exclusivas,

aplicamos uma escala nominal e para conjuntos de

respostas alternativas, em que se estabelece uma

relação de ordem entre elas, aplicamos uma escala

ordinal, em que é feita uma ordenação numérica das

diferentes alternativas de resposta.

Neste estudo enviámos um questionário às 96

empresas que constituem a população, tendo sido

obtida uma amostra de cinquenta e nove empresas, o

que representa uma percentagem de respostas de

61,4%.

Implicações Práticas ─ Um melhor conhecimento

sobre os factores que estão associados à adopção de

abordagens orientadas para o risco do negócio no

processo de auditoria interna, assim como, o papel da

auditoria interna no processo de ERM.

Principais Conclusões ─ A abordagem baseada no

risco é aplicada predominantemente a um nível macro

(processo de planeamento anual) e pontualmente ao

nível micro (processo de auditoria individual).

Os resultados apurados demonstram que no que

respeita à abordagem utilizada para determinar o

planeamento anual de auditoria, a maioria das

empresas (63%) afirma utilizar uma abordagem

baseada no risco do negócio, enquanto que apenas

12% recorrem à abordagem cíclica.

No entanto, são cerca de 19% as empresas que

afirmam utilizar abordagens mistas, simultaneamente

cíclicas e baseadas no risco.

Em cerca de metade das entidades, o universo de

auditoria é revisto anualmente e desenhado a partir do

planeamento estratégico da organização, práticas que

estão alinhadas com as actuais orientações,

nomeadamente do IIA, para uma melhorar eficácia da

abordagem baseada no risco.

Relativamente à abordagem utilizada no processo de

planeamento, execução e reporte de auditoria

individual, conclui-se que a maioria (61%) das

empresas utiliza uma abordagem baseada no controlo

em todo o processo de auditoria individual, enquanto

que apenas uma minoria (3,4%) aplica abordagens

baseadas no risco. No entanto, cerca de 23,7% das

empresas afirma utilizar abordagens mistas,

simultaneamente baseadas no risco e no controlo.

Cerca de metade das empresas indica que já tem

processo de ERM implementado ou a decorrer a

implementação. Por outro lado, neste conjunto de

empresas, são cerca de 60% as entidades cuja

auditoria interna assume ou assumiu um papel

dinâmico (consultoria), apoiando a implementação do

processo.

No que respeita ao envolvimento da auditoria interna

no processo de ERM, a auditoria interna das

empresas assume um papel diversificado.


11


Os resultados apurados demonstram que a aplicação

de abordagens baseadas no risco, em todo o

processo de auditoria (nível macro e nível micro), está

positivamente relacionada com a dimensão das

empresas.

Encontramos evidência estatística de que a aplicação

de abordagens baseadas no risco no planeamento

anual de auditoria está positivamente correlacionada

com a Internacionalização (p≤0.05) das empresas.

Por outro lado, no planeamento anual, este tipo de

abordagens apresenta maior incidência

(estatisticamente não significativa) nas empresas

privadas, cotadas e nas empresas do sector

financeiro.

No âmbito do processo de auditoria individual, a

aplicação de abordagens baseadas no risco é mais

patente nas empresas cotadas, no que respeita às

fases de planeamento, execução e reporte; nas

empresas internacionalizadas, no que respeita às

fases de planeamento e reporte; nas empresas

privadas, apenas no que respeita à fase de execução;

e nas empresas do sector financeiro, apenas no que

respeita à fase de reporte.

Na implementação do processo de ERM, o

desempenho, por parte da auditoria interna, de um

papel dinâmico (consultoria) é mais patente nas

pequenas organizações.

Os resultados apurados apontam para uma correlação

negativa (estatisticamente não significativa) entre a

intervenção da auditoria interna na implementação do

processo de ERM e a dimensão das entidades, as

empresas do sector financeiro e as empresas

internacionalizadas.

O envolvimento da auditoria interna no processo

formal de ERM é mais patente nas empresas do

sector financeiro e nas empresas privadas.

A maioria das empresas inquiridas continua a seguir o

paradigma do controlo, em particular no que respeita

ao processo de auditoria individual.

No entanto, para alcançar as expectativas dos

accionistas, os auditores internos devem evoluir para

abordagens baseadas no risco do negócio em todo o

processo de auditoria, avaliando os riscos que

ameaçam os objectivos estratégicos e propondo

respostas adequadas aos riscos, tendo em vista a

mitigação dos mesmos para níveis considerados

aceitáveis, prestando um serviço que acrescente

efectivamente valor aos accionistas.

Originalidade/valor acrescentado ─ Este artigo

contribui para a literatura, em primeiro lugar porque

tenta encontrar os determinantes da auditoria

interna com base no risco do negócio, quer ao

nível do planeamento anual de auditoria, quer no

processo de planeamento, execução e reporte de

auditoria individual; em segundo lugar porque

apresenta dados sobre um país que, apenas

recentemente, tem sido objecto de estudo na área

da auditoria interna.

É dos primeiros estudos com investigação empírica

sobre auditoria interna baseada no risco em Portugal.


12


Orientações para futura investigação ─ Na

sequência deste estudo, poderão ser realizados outros

trabalhos com vista a aprofundar outras vertentes

associadas à auditoria interna baseada no risco.

Com base numa amostra alargada, a pesquisa pode

ser orientada no sentido da avaliação do impacto da

auditoria interna baseada no risco ao nível:

da contribuição da auditoria interna para a

concretização dos objectivos do negócio;

da independência dos auditores,

fundamentalmente quando são chamados a

desempenhar serviços de consultoria;

da sua prática nas economias em

desenvolvimento, que se caracterizam pela

inexistência de códigos de ética, grande

probabilidade de ocorrência de fraudes,

desinteresse pelas recomendações dos auditores,

etc.;

da credibilidade do departamento de auditoria

interna junto da sua hierarquia e dos órgãos

auditados; do ensino da auditoria interna baseada

no risco.

o


13



Vencedor 2º prémio

Rui Almeida Santos

14


1.1 - Introdução

“No início dos anos 40 surgiram nas organizações

os primeiros sistemas de informação

automatizados que se baseavam em

computadores.

Na altura eram sistemas simples e de operação

limitada, no entanto, rapidamente cresceram

em número e em complexidade.

Progressivamente surgiram tecnologias como

a gestão de bases de dados, o processamento

em tempo real, as redes e as aplicações online.

À medida que o tempo passava e as empresas

cresciam ou se fundiam, novas aplicações foram

sendo desenvolvidas ou compradas e as

aplicações mais antigas tornaram-se obsoletas.

Antes que os gestores se apercebessem do

problema, já existiam múltiplas aplicações

informáticas nas organizações, cada uma delas

tratando de forma separada uma parte do negócio.

Foi neste contexto de grande crescimento dos

sistemas de informação que surgiu o dilema da

necessidade de informação de gestão.

Os gestores sabiam que a informação existia, no

entanto, devido à multiplicidade de sistemas,

tecnologias, filosofias e arquitecturas de

funcionamento, não era possível recolher a

informação necessária, de uma forma expedita e

concordante, com a qualidade suficiente para

suportar o processo de tomada de decisão.”

(Inmon, 2001)

Data Warehouse, modelo de controlo interno e auditoria

15


1.2 – Motivação, Problema e Espaço de

Solução

1.2.1 – O Data Warehouse (DW)

“O DW é um sistema de informação que

assegura a extracção, a limpeza, a

conformidade, e a entrega dos dados da

organização em bases de dados

dimensionais, dando igualmente suporte

ao processo de consulta e análise para

efeitos do processo de tomada de decisão”

(Kimball & Caserta, 2004)

Tradicionalmente um sistema de informação

operacional visa satisfazer os requisitos de uma

determinada unidade da empresa, no entanto, no caso

do DW o foco é servir de base à satisfação da

necessidade de informação de toda a organização, no

que diz respeito ao processo de tomada de decisão,

quer esta seja de nível estratégico, táctico ou

operacional.

O Data Warehouse é um activo da empresa e existe

para benefício corporativo, não apenas para benefício

de uma pessoa ou unidade da organização.

1.2.2 – Motivos para melhorar a gestão e o

controlo do DW

Os projectos de Data Warehouse são normalmente

dispendiosos. Os dados gerados pelas várias áreas do

negócio têm de ser extraídos de sistemas díspares e

integrados num repositório único de dados.

As iniciativas de suporte à decisão suportadas por um

DW podem proporcionar vantagens competitivas, mas

também exigem recursos adicionais para a

organização, como por exemplo, novas tecnologias,

tarefas específicas, especialidades profissionais e

novas responsabilidades.

Assim, o insucesso dos projectos DW deve-se

essencialmente a factores como: o planeamento

inadequado, tarefas mal implementadas,

incumprimento de prazos, gestão de projecto

deficiente, incumprimento de requisitos de

negócio ou falta de qualidade da informação final

(Rodero et al, 1999).

Por outro lado, apesar de o nível de informação

contida no DW facultar aos utilizadores uma visão

mais intuitiva do negócio, o desenvolvimento e

operação do DW pode ser alvo de constrangimentos

que podem condicionar o seu sucesso.

Segundo um estudo apresentado por Emily Kay, os

principais desafios do DW são, por ordem de

importância, os seguintes (Kay, 1997):

Gestão da qualidade dos dados;

Modelação dos dados de negócio;

Especificações dos utilizadores;

Transformação de dados legados; Análise

das regras de negócio; Gestão das

expectativas; Performance das bases de

dados.

Deste modo, a má gestão e controlo destes problemas

pode acarretar riscos de impacto elevado para a

organização, especialmente pela possibilidade de

sucederem erros durante os complexos processos de

extracção, transformação e carregamento nos DW,

dos dados que são extraídos dos sistemas

operacionais da organização1.

1 Este processo é vulgarmente conhecido por ETL – Extract, Transform and Load ou por Data Integration.


16


Adicionalmente, a natureza e o tipo de informação

residente no DW é determinante para todo o processo

de gestão do negócio, ou seja, o impacto de um erro a

este nível será muito elevado pois grande parte das

decisões importantes para o futuro da organização

são tomadas com base em informações

proporcionadas pelo Data Warehouse.

Pelas razões referidas acima, a informação

armazenada no Data Warehouse representa um activo

de valor quase inestimável para a organização, o que

faz aumentar a necessidade de gerir e controlar

eficazmente as tecnologias de informação que

suportam esta arquitectura, nomeadamente através da

sistematização de um processo de controlo que seja

eficaz, abrangente e aceite por todos os ‘stakeholders’

com interesse no DW.

1.2.3 – O Problema

O problema que a presente investigação se propõe

solucionar reside na dificuldade que as organizações

têm em assegurar a governação eficaz e o controlo

das suas tecnologias de suporte à decisão, criando

mecanismos eficazes para avaliar se a informação

proporcionada pelo DW está alinhada com os

objectivos de negócio da organização e se os gestores

estão a retirar o máximo benefício da informação e

conhecimento proporcionado, ou seja, se o valor

gerado para a organização corresponde ao previsto no

plano de projecto do DW, se os recursos afectos estão

a ser utilizados de forma eficaz e responsável e se os

riscos estão a ser geridos de forma apropriada.

1.2.4 – Proposta de solução

A forma indicada para optimizar qualquer processo de

gestão reside em melhorar o seu sistema de controlo

interno, nomeadamente através da implementação de

melhorias nas grandes componentes de controlo que

constituem esse mesmo sistema.

Assim, podemos definir controlo interno como:

“O Controlo Interno é um sistema concebido

para assegurar, com um elevado grau de

confiança, que os objectivos definidos, aos

vários níveis da gestão de uma organização,

estão a ser devidamente atingidos.” (COSO,

1992)

1.3 – Estrutura e Objectivos

1.3.1 – Objectivos da Investigação

Os objectivos desta investigação são:

Explicitar os pressupostos que justificam a

implementação de um sistema de controlo

interno do Data Warehouse, perceber todas as

dimensões de conhecimento associadas a

uma arquitectura BI de suporte à decisão e

identificar o ‘estado da arte’ nesta área de

conhecimento;

Propor um modelo ou uma base de trabalho

que se aplique de forma simples e expedita

aos Data Warehouses das organizações, que

possibilite a implementação de um sistema de

controlo interno facilmente auditável, que

garanta uma boa governação das tecnologias

de informação abrangidas e que assegure a

identificação dos riscos associados, bem

como dos respectivos planos de mitigação;

Realizar um estudo de caso que permita

avaliar se a aplicação do modelo num Data

Warehouse real trará uma melhoria

significativa do sistema de controlo interno e

da respectiva gestão.


17


1.3.2 – Metodologia de Investigação

O primeiro passo desta investigação consiste em

justificar o porquê da necessidade de construir um

modelo de controlo interno que optimize o processo de

gestão do DW, com especial enfoque na satisfação

dos objectivos para os quais foi criado (Passo 1).

O passo seguinte reside na análise e sistematização

dos componentes fundamentais deste tipo de

ferramentas de suporte à decisão, sendo primordial

conseguir abranger todas as fases e vertentes que

constituem o processo de Data Warehousing (Passo

2).

Ilustração 1 – Método utilizado para investigar e construir o modelo de avaliação do controlo interno de um

DW

Outro aspecto muito importante a analisar é o conjunto

de meios mais utilizados para construir um adequado

sistema de controlo interno do DW, bem como

identificar quais os métodos e standards mais

utilizados para avaliar os controlos implementados

(Passo 3).

Os passos seguintes deste método são: Desenhar um

modelo que sistematize todos os componentes do DW

(Passo 4), e enumerar os objectivos de controlo, as

principais actividades, funções e responsabilidades de

cada uma das componentes do modelo (Passo 5).


18


Uma vez identificados os componentes de controlo do

modelo, é determinante efectuar um mapeamento

(Passo 6) dos riscos associados a cada componente,

bem como identificar os processos e boas práticas de

controlo mais adequadas, que se encontram definidas

no âmbito dos Standards de avaliação de tecnologias

de informação, como sejam o CobiT® 4.1, o ITIL® V3

e o ISO/IEC 27002, aplicando-se assim métodos de

avaliação e controlo reconhecidos e amplamente

aceites.

Deste modo, será estabelecida uma relação entre as

melhores práticas de avaliação dos controlos de SI/TI

e os principais componentes da arquitectura do Data

Warehouse, seus subsistemas, funções e objectivos

de controlo.

Após a conclusão da construção do modelo, este será

testado num estudo de caso (Passo 7), que incluirá

uma acção de auditoria ao DW de uma Instituição

Financeira, bem como um conjunto de entrevistas aos

responsáveis pela gestão do DW e aos responsáveis

pela área de auditoria a sistemas de informação dessa

mesma Instituição Financeira.

Por fim, devido às características cíclicas do método

de investigação, as conclusões, criticas e sugestões

de melhoria poderão ser reutilizadas como elementos

de input para uma nova iteração da metodologia de

investigação.

Esta característica evolutiva não retira valor ao modelo

apresentado, pelo contrário, esta metodologia

acrescenta versatilidade a futuras revisões do modelo,

facilitando a realização de novos ciclos de

investigação, desenvolvimento e validação das novas

versões.

Algo semelhante se passa com os métodos de

investigação do CobiT® 4.1 e do ITIL® V3, também

eles circulares e que actualmente já se encontram

respectivamente na versão 4.1 e 3.0.

1.3.3 – Estrutura da Investigação

Com vista a sistematizar o processo de governação de

um Data Warehouse e definir o modelo que permitirá

avaliar a eficácia do controlo interno, esta investigação

divide-se em três grandes partes: O Estado da Arte; O

Modelo; O Estudo de Caso.

a) O Estado da Arte que define as áreas de

conhecimento que envolvem o tema da investigação e

identifica as principais componentes de análise,

nomeadamente:

Os fundamentos e conceitos associados a

uma arquitectura de Data Warehouse: O que é

um Data Warehouse, para que serve, quais as

principais componentes, quais os passos para

assegurar a sua operacionalidade, que

requisitos possui um sistema desta natureza,

quais as fases do desenvolvimento de

projectos de DW, entre outros;

O Controlo Interno das organizações e os

componentes ou meios fundamentais, como a

gestão de riscos, a auditoria interna e a

monitorização, o sistema de informação de

gestão das organizações, bem como outras

partes constituintes do processo de DW;

Os pressupostos gerais para assegurar a boa

governação das Tecnologias de Informação

(TI) de uma organização, bem como os

Standards e metodologias mais amplamente

reconhecidos em matéria de avaliação do

controlo interno das TI, casos do CobiT® 4.1,

ITIL® V3 e ISO/IEC 270022.

2 Cobit (Control Objectives for Information and Related Technologies); ITIL (Information Technology Infrastructure Library); ISO (International Organization for Standardization) ver ponto 2.3.1


19


b) Construção de um modelo que permita avaliar e

optimizar o sistema de controlo interno de uma

arquitectura de DW.

Partindo de uma metodologia de controlo interno

alinhada com os principais standards de avaliação e

controlo de tecnologias de informação, como sejam o

CobiT® 4.1, o ITIL® V3 e o ISO/IEC 27002, o modelo

proposto visa sistematizar um método de avaliação

dos principais riscos e objectivos de controlo para

cada uma das componentes da arquitectura DW,

resultando desse mapeamento um modelo que

permitirá optimizar o sistema de controlo interno e a

gestão daquela ferramenta de suporte à decisão.

O propósito central deste capítulo é o de apresentar

um instrumento de notação – template – que possa

ser utilizado por todos os gestores do DW,

possibilitando deste modo avaliar e identificar

oportunidades de melhoria no sistema de controlo

interno daquela ferramenta e deste modo assegurar:

Um modelo de governação das TI em geral e

do processo BI em particular

Que os objectivos de negócio suportados no

DW estão a ser plenamente atingidos;

Que os riscos associados ao DW estão

devidamente identificados e que existe um

plano actualizado da severidade e formas de

mitigação de todos os riscos associados às

várias componentes do DW

Que existe um conjunto sistematizado de

controlos, quantificáveis e de implementação

exequível, quer quanto à sua eficácia na

avaliação do risco, quer quanto ao

acompanhamento de avaliações efectuadas

anteriormente

Que o sistema de controlo interno é facilmente

auditável

c) Por fim, com o objectivo de avaliar a aplicabilidade

do modelo proposto, será apresentado um estudo de

caso que descreverá uma auditoria a um ambiente de

Data Warehouse real, a realizar numa instituição

financeira, onde os pressupostos do modelo serão

considerados, bem como uma entrevista aos

responsáveis do DW estudado sobre a pertinência do

modelo para a melhoria do controlo interno.

o


20



Vencedoras 3º Prémio

Liliana Andrade e Joana Valério

21


A auditoria realizada sem sistemas de informação tem

de ser feita com base em amostragens na medida em

que uma análise integral dos dados tornar-se-ia num

processo moroso, oneroso e complexo. A amostragem

constitui por isso uma limitação da auditoria uma vez

que o auditor vai suportar a sua opinião numa

avaliação subjectiva.

Neste contexto pretendemos demonstrar como a

ferramenta de análise de dados IDEA pode ter grande

utilidade para a actividade de auditoria e a forma como

as suas diversas funcionalidades podem ajudar o

auditor no seu trabalho.

Para este efeito, vamos exemplificar alguns dos testes

que poderão ser efectuados com esta ferramenta,

tendo para tal seleccionado duas áreas de auditoria: a

área das existências e a área de clientes e vendas.

Área das Existências

A área das existências é das áreas mais complexas de

auditar, dada a quantidade de produtos que constituem o

inventário de algumas empresas (nomeadamente as de

maior dimensão), muitas vezes expostos em centenas de

páginas. Desta forma, torna-se difícil para o auditor

conseguir garantir a integridade de toda a informação,

recorrendo apenas a técnicas de amostragem.

A ferramenta do IDEA ajuda a ultrapassar grande parte

dessas limitações na medida em que permite testar grandes

volumes de dados com fiabilidade, através de uma

crescente extensão e profundidade dos testes.

Desde logo, após a importação do inventário para o

ambiente IDEA e através da propriedade Field Statistics,

podemos obter de imediato uma visão global dos dados, tirar

as primeiras conclusões e identificar potenciais erros.

Aplicação prática do IDEA em auditoria

22


Da análise dessas estatísticas (ver fig. 1), obtemos a

seguinte informação: o total de produtos que constituem o

inventário; se existem dados com erros; se existem produtos

com quantidades negativas ou com preços unitários e totais

negativos; se existem produtos com valores nulos, qual a

quantidade máxima e mínima dos produtos existentes no

inventário, qual o preço unitário mais elevado e o mais

baixo, qual o produto mais representativo do inventário e o

produto com menos peso.

Um dos procedimentos que o auditor deve efectuar nesta

área, consiste em verificar se os valores do inventário estão

aritmeticamente correctos. Dada a quantidade de produtos

existentes em certos inventários, torna-se muito moroso

para o auditor fazer o recálculo de todos os valores, pelo

que é usual fazê-lo apenas a uma amostragem aleatória de

produtos. Com a ferramenta do IDEA este procedimento

pode ser efectuado à integralidade do inventário em muito

pouco tempo, utilizando para tal a propriedade Criteria.

Outro procedimento que deve ser efectuado pelo auditor,

normalmente no final do ano, é assistir à contagem física do

inventário efectuada pela empresa, tendo como objectivo

verificar se as quantidades inscritas no inventário

correspondem à realidade física. Obviamente que ele não

poderá, por questões de tempo, fazê-lo à totalidade dos

produtos, pelo que terá que seleccionar aleatoriamente

alguns produtos para efectuar a sua recontagem.

Figura 1: Fields Statistics de um inventário


23


Neste caso, o IDEA permite, através da opção

Stratification, fazer uma estratificação dos produtos do

inventário por total ou por preço unitário.

Esta opção dá-nos a informação estratificada por intervalos

em tabela ou gráfico e permite-nos obter uma visão global

do tipo de inventário, conhecer quais os produtos mais

representativos em termos de valor total e em termos de

preço unitário, sobre os quais o auditor poderá fazer a

recontagem e outros testes.

Em auditoria, a comparação dos dados entre períodos, ou

seja, a realização de procedimentos analíticos, é

fundamental para tirar conclusões.

De facto, um objectivo importante de auditoria na área das

existências, consiste em verificar se as existências finais do

período em análise estão determinadas em bases

consistentes com as utilizadas em anos anteriores, na

medida em que uma modificação dos critérios de

valorimetria das existências finais pode ter grande influência

na determinação dos resultados.

Para este efeito, a comparação do inventário do período em

análise com o do ano anterior é essencial. O IDEA permite

efectuar a comparação dos inventários juntando as duas

bases de dados através da opção Join Databases. Após

esta junção, a análise das estatísticas (field statistics)

permite-nos aferir se o total das variações dos preços

unitários dos produtos de um inventário para o outro é ou

não materialmente relevante, dando-nos uma garantia da

fiabilidade dos dados.

Outro aspecto importante a analisar nesta área de auditoria

consiste em verificar se existem produtos obsoletos ou com

pouca rotação.

O auditor deve averiguar a probabilidade de venda desses

produtos, pois caso o seu valor de mercado seja inferior ao

seu valor de inventário, será necessário efectuar

ajustamentos às existências, aumentando assim os custos

da empresa e diminuindo o seu resultado.

O IDEA permite extrair os produtos com quantidade idêntica

nos dois períodos, seleccionando a opção Direct

Extraction, inserindo o respectivo critério. Perante as

estatísticas obtidas, o auditor deverá averiguar se os

produtos em causa estão em condições físicas normais e se

existe probabilidade de serem vendidos a um preço não

inferior ao preço de inventário, ou se são produtos

defeituosos ou deteriorados, caso em que terá que ser

constituído um ajustamento.

Área de clientes e vendas

A área de clientes e vendas (normalmente auditadas em

conjunto por pertencerem ao mesmo ciclo de auditoria) é

uma área também difícil de auditar derivado à quantidade de

clientes e ao volume de transacções existente em certas

empresas.

Uma vez mais a ferramenta do IDEA permite reduzir essa

limitação, possibilitando o tratamento da integralidade da

informação de forma profunda e completa.

No que respeita à análise do balancete de clientes em 31 de

Dezembro, é importante identificar e analisar todos os

saldos negativos, de modo a verificar se correspondem a

transacções reais, pois podem derivar de eventuais erros de

lançamento contabilístico.

Nas empresas de maior dimensão, os saldos credores

podem ser muito numerosos, pelo que este procedimento

tornar-se-ia muito moroso e portanto teria que ser feito por

amostragem.

O IDEA permite obter em poucos segundos, directamente

da análise das estatísticas do balancete importado, uma

listagem dos clientes com saldos negativos, que o auditor

poderá utilizar para posterior análise e para obter a

respectiva justificação junto da empresa.

Um procedimento de auditoria obrigatório nesta área é o da

circularização de saldos, que consiste na confirmação dos

saldos através do envio de cartas aos clientes.

O auditor deve seleccionar os clientes a circularizar

atendendo à materialidade dos saldos, de modo a obter uma

percentagem significativa em relação ao valor global dos

saldos das contas correntes.


24


Obviamente, que nem sempre os clientes com maior saldo

são os que têm maior volume de facturação, pelo que

também deverá ter em atenção os clientes com saldos

acumulados elevados.

O IDEA permite efectuar este procedimento de forma rápida

e eficaz, rentabilizando o tempo da auditoria. De modo a

obter uma visão global da materialidade dos saldos,

ordenamos os dados por ordem decrescente de saldo

através da propriedade Indices. Após a análise das

estatísticas, seleccionamos a opção Direct Extraction e

inserimos os critérios previamente estabelecidos de forma a

extraír os clientes que pretendemos circularizar.

Outro procedimento fundamental que deve ser realizado

nesta área de auditoria é a análise da antiguidade dos

saldos dos clientes, com o objectivo de averiguar se existem

saldos de cobrança duvidosa e se há necessidade de

constituir ajustamentos, atendendo à incobrabilidade dos

saldos e ao seu tempo de mora.

Para identificarmos os saldos sem movimento no exercício

teremos que comparar os saldos em 31 de Dezembro com

os do período homólogo anterior. Para tal, fazemos a junção

dos dois balancetes através da opção Join Databases e

extraímos os saldos sem movimento de um ano para o outro

seleccionando a opção Direct Extraction.

Com base nessa base de dados, o auditor deverá obter

explicações perante a Administração para a mora destas

dívidas e indagar se ainda existe probabilidade de vir a

recebê-las, pois caso contrário será necessário efectuar

ajustamentos.

É frequente verificarem-se erros de integração entre o

programa de contabilidade e o programa da gestão

comercial, nomeadamente na facturação a clientes. Por este

motivo, torna-se importante fazer o cruzamento dos saldos

dos clientes entre o balancete da contabilidade e o da

gestão, de modo a identificar eventuais diferenças.

Para o efeito fazemos a junção dos dois balancetes através

da opção Join Databases, escolhendo como chave comum

o “número do cliente” de modo a fazer o cruzamento das

duas bases de dados. Assim, conseguimos identificar quais

os clientes com saldo diferente na contabilidade e na gestão,

se existem clientes com saldo na gestão não existentes na

contabilidade e vice-versa.

Na área de vendas, é fundamental que o auditor faça, ao

longo do ano, uma análise mensal das vendas,

seleccionando o diário de vendas de um determinado mês

para a realização dos testes pretendidos. Este documento é

constituído por todas as transacções de venda efectuadas

nesse período, nomeadamente por facturas, vendas a

dinheiro, notas de crédito e notas de débito e permite ao

auditor efectuar análises bastante interessantes nesta área.

A opção Summarization permite analisar o montante de

vendas por cliente e saber quais os clientes com maior

volume de facturação, fornecendo-nos o total de facturas,

vendas a dinheiro e outros documentos emitidos a cada

cliente.

O auditor também pode facilmente testar a integridade do

diário de vendas fazendo verificações sequenciais. O IDEA

permite identificar se existem facturas em falta na sequência

numérica através da opção Gap Detection e também

permite identificar a existência de facturas em duplicado

através da opção Duplicate Key Detection.

Apesar de termos abordado apenas algumas

funcionalidades possíveis do IDEA, podemos concluir, que é

sem dúvida uma excelente ferramenta de apoio à auditoria e

uma poderosa ferramenta de produtividade.

O IDEA vem reduzir a limitação da auditoria de recorrer à

amostragem para a análise dos dados e para a realização

dos testes substantivos, através de uma utilização eficiente

dos recursos, permitindo testar a integralidade dos dados

com uma crescente extensão e profundidade dos testes em

pouco tempo, obtendo desta forma resultados mais

objectivos e conclusivos. É, por isso, uma ferramenta que

transmite segurança ao auditor na medida em que lhe

proporciona uma garantia da fiabilidade dos dados.

o


25


Notícias

IIA Global Conference 2010

The IIA is bringing a world-class conference to the

spectacular Georgia World Congress Center and you will

definitely want be part of the action. Guaranteed to be the

year’s largest gathering of internal auditing practitioners,

the 2010 International Conference will focus on “Auditing

Through Leadership (ATL).”

It features an unprecedented number of concurrent

sessions on today’s top issues, industry best practices, and

unique challenges to help you add value to your

organization; recognized keynote speakers including The

Economist’s US Economics Editor Zanny Minton-Beddoes

and The Home Depot’s Chief Financial Officer and

Executive Vice President of Corporate Services Carol B.

Tomé who will educate and entertain you; a hands-on

exhibit hall filled with the latest tools, techniques, products,

and services that will make you more successful at your

job; sightseeing galore including the Georgia Aquarium,

Inside CNN Atlanta, and the Centennial Olympic Park, all of

which are within walking distance of the Omni Hotel at CNN

Center (the official Conference hotel); and receptions and

networking opportunities that will keep your ATL

experience memorable for many years to come. The 2010

International Conference, Atlanta, At Last!

http://www.iia2010atl.org/

26


Caneta Digital

“Viver é como desenhar sem poder utilizar a borracha para apagar”.

Biblioteca do auditor

Livros para Venda

The International Professional Practices Framework (IPPF)

is the conceptual framework that organizes authoritative

guidance promulgated by The Institute of Internal Auditors.

Preço para sócios: 36,73 Euros; Preços para não sócios:

38,40 Euros; Acresce portes de correio: 4,00 Euros (Portugal

Continental).

Preço: 30 Euros; Portes de correio: 3,30 Euros (Portugal

Continental).

Para encomendar

Enviar cheque a favor do Instituto Português de Auditoria

Interna, com indicação do livro pretendido e morada para

envio (ou utilizar o método de transferência bancária

utilizando o NIB do IPAI, com informação através do correio

electrónico [email protected])

Não hesite em contactar-nos. Telef. / Fax 213 151 002 (Dr. Bombarda Azevedo).

Nota de agradecimento

A todos os que tiveram a ousadia de participarem no

concurso Prémio IPAI 2009, os nossos

agradecimentos.

Aos vencedores, um reconhecimento especial e que o

prémio seja um incentivo a continuarem a

desempenhar um papel proactivo e a partilhar com os

outros colegas.

Em 2010 desejamos que o concurso seja, novamente,

um sucesso e com mais participações.

Partilhe as suas experiências: escreva um

artigo para a revista Auditoria Interna.

Notícias

27


Publicidade

Fórum de Auditoria Interna

26 de Maio de 2010

Lisboa

28


prÉmio ipai 2009 · de risco e do controlo interno, a 3ª linha de defesa é, sem dúvida...

Documents