revista nº 33 prepa 5jan09 v word 2003 com ccap · 2009. 4. 4. · cia review – part iii em...

2

Auditoria Interna Janeiro/Março 2009 Nº 33

Introdução ao Controlo e Auditoria Interna Porto Setembro, 7-8 Francisco Albino, CIA, CCSA,

CGAP

Enquadramento de Práticas Profissionais de Auditoria Interna Lisboa Outubro, 12-13 Raul Fernandes

Programas de Trabalho para Auditoria Interna Lisboa Março, 19-20 Joaquim Leite Pinheiro

Auditoria Operacional Lisboa Abril, 16 -17 Joaquim Leite Pinheiro

Auditoria Interna Baseada no Risco – Metodologia ERM Lisboa Maio, 4-5 Nuno Oliveira, CIA

Auto-avaliação do Risco e do Controlo – Preparação para o Exame CCSA

Lisboa Abril, 20-21 Domingos Sequeira, CIA, CCSA

Orlando Sousa, CCSA

Júlia Santos. CCSA

Avaliação da Qualidade da Auditoria Interna Lisboa Novembro, 2-3 Domingos Sequeira, CIA, CCSA

Avaliação da Performance da Auditoria Interna Lisboa A indicar A indicar

Fraud Em Inglês Lisboa Maio, 29 Prof. Glenn Sumners

Sistemas e Controlos Informáticos de Apoio à Auditoria Lisboa Setembro, 14 Pedro Cupertino, CISA

Relatórios de Auditoria Lisboa Maio, 11-12 Domingos Sequeira, CIA, CCSA

Amostragem para Auditoria Lisboa Dezembro, 14-15 Céu Almeida, ROC

Normas Internacionais de Relato Financeiro para Auditores Internos

Lisboa Novembro, 9-10 *

João Nogueira

Liderança e Comunicação em Auditoria Interna Lisboa Abril, 13 e 14 Filipa Oliveira

CIA Review – Part I Em Inglês Lisboa Maio, 25 Prof. Glenn Sumners, CIA, CPA, CFE

CIA Review – Part II Em inglês Lisboa Maio, 26 Prof. Glenn Sumners, CIA, CPA, CFE

CIA Review – Part III Em Inglês Lisboa Maio, 27-28 Prof. Glenn Sumners, CIA, CPA, CFE

CIA Review – Part IV Em Inglês Lisboa Maio, 28 Prof. Glenn Sumners, CIA, CPA, CFE

Preparação para o exame CIA – I Parte Lisboa Setembro, 21 Francisco Albino, CIA, CCSA, CGAP

Preparação para o exame CIA – II Parte Lisboa Setembro, 22 Nuno Oliveira, CIA

Auditoria Interna no âmbito de Basileia II – Preparação para o Exame CFSA

Lisboa A indicar A indicar

Seminários em parceria com o MIS Lisboa A indicar A indicar

Auditoria de Instituições Públicas - Preparação para o Exame CGAP

Lisboa Abril, 27-28 Francisco Albino, CIA, CCSA, CGAP

Auditoria de Empreitadas de Obras Públicas Lisboa Março, 23,24 Março, 30, 31

Nuno Costa

Ricardo Saldanha

As acções de formação aqui apresentadas serão objecto de posterior confirmação podendo vir a sofrer alterações.

Plano de Formação e Certificação 2009

3


Índice

Editorial: Risco, fraude, controlo interno e auditoria, Joaquim Leite Pinheiro

3

Audire: A Lanterna de Diógenes, Manuel Marques Barreiro,

Consultor e Presidente do Conselho Geral IPAI

5

Entrevista Auditoria Interna - Caixa Geral de Depósitos,

Dr. José Costa Bastos 8

Auditoria de Sistemas: Análise de dados em auditoria Novas funcionalidades na nova versão do IDEA 8 - O PROJECT OVERVIEW, Drumond de Freitas – Equiconsulte

12

ARTIGOS Segurança de Informação: a quinta vaga?, Paulo F. Cardoso, CISA

15

A Gestão e a Auditoria Interna: Antecedentes Históricos, Fábio de Albuquerque, César Ribeiro, Tânia Mota.

19

A u d i t A u t o m a t i o n F a c i l i t i e s – M ó d u l o d e A n á l i s e d e R i s c o ( E n t e r p r i s e R i s k M a n a g e m e n t ) , Fernando Fernandes

23

A palavra ao CIA – Miguel Gomes, CIA 26 Notícias 28 Pesquisa Institutos de Auditoria Interna 31

Pesquisa na Rede 32

O Zé auditor, Miguel Silva 33

Colabore.

Propriedade e Administração IPAI – Avenida Duque de Loulé, 5 – 2º B – 1050-085 LISBOA Contribuinte nº 502 718 714; Telefone/Fax: 213 151 002 Correio electrónico: [email protected] Sítio: www.ipai.pt

FICHA TÉCNICA

Presidente da Direcção: Domingos Sequeira, CIA, CCSA Director: Joaquim Leite Pinheiro [email protected]; Coordenação de edição: Orlando Sousa, CCSA Redacção: Manuel Marques Barreiro; Raul Fernandes [email protected]; Conselho Editorial: Manuel Barreiro, Domingos Sequeira, Francisco Melo Albino, CIA, CGAP Colaboradores nesta edição: Manuel Barreiro, José Costa Bastos, Drumond de Freitas, Fernando Fernandes, Paulo F. Cardoso, Fábio Albuquerque, César Ribeiro, Tânia Mota, Miguel Silva, Miguel Silva Pré-impressão: IPAI Impressão e Acabamento: CEM Ano X – Nº 33 – TRIMESTRAL Janeiro/Março 2009 TIRAGEM: 1100 exemplares; Registo: DGCS com o nº 123336;

Depósito Legal: 144226/99; Expedição por correio; Grátis

Correspondência: IPAI – Avenida Duque de Loulé, 5 – 2º B – 1050-085 LISBOA Telefone/Fax: 213 151 002

[email protected]; Visite-nos em www.ipai.pt

Contacto para publicidade: [email protected] (Joaquim Leite Pinheiro)

Alteração de endereços: [email protected] (Bombarda Azevedo)

Nota: Os artigos vinculam exclusivamente os seus autores, não

reflectindo necessariamente as posições da Direcção e do Conselho

Editorial da Revista nem do IPAI. A aceitação de publicação dos artigos

na Revista Auditoria Interna do IPAI, implica a autorização para a

Missão Promover a partilha do saber e da

prática em auditoria interna, gestão do

risco e controlo interno.

4


Risco, fraude, controlo interno e auditoria

Joaquim Leite Pinheiro, Director da Revista Auditoria Interna e Secretário Direcção do IPAI

Editorial

Onde estavam os auditores?

As notícias sobre fraudes, riscos de insolvência,

solicitação de ajudas, risco de nacionalizações

passaram a fazer parte do léxico quotidiano da

Comunicação Social, com destaque para notícias

sobre algumas empresas que até, há poucos dias,

eram uns ícones da indústria ou da área financeira. O

caso Madoff passa a ser um caso menor, já que o

caso das empresas em risco tem um impacto muito

maior ao nível do emprego.

Onde estava a SEC? E os auditores? Que deveriam

ser prudentes e cautelosos nas auditorias realizadas e

não cair em tentação.

Em Portugal, os casos são, aparentemente, mais

suaves, tanto na análise dos acontecimentos como as

consequências para os reguladores.

No caso dos Estados Unidos as personagens

envolvidas nos escândalos tinham uma imagem

construída de responsabilidade social e um estatuto

de notoriedade na comunidade onde se inseriam.

Alguns dos que continuarem a gerir empresas não

tiveram dúvida em manter um elevado nível de

prémios de desempenho.

Quem não viu os sintomas da fraude? Quem não quis

ver? Quem ganha com as comissões de estudos de

fusão e aquisição e defende um determinado modelo

de economia de curto prazo e quem ganha as com as

apreciações /rating das empresas ou mesmo com a

determinação do preço alvo das acções (price target)?

Como refere Stiglitz, no livro “os Loucos anos 90”, os

analistas tinham vantagem imediata em fornecer

preços alvos (price target) das acções com tendência

para subir, fornecendo aos clientes informações pouco

rigorosas ou, se quisermos, uma visão de curto prazo

de modo a que efectuassem transacções.

Os analistas trabalhavam para os bancos e, por isso,

uma notícia boa sobre uma empresa poderia

corresponder a um bom negócio para o referido

banco. O mesmo se pode dizer das sociedades

corretoras nas quais os proveitos dependem do

volume de negócios em bolsa e da cotação das

acções, numa lógica procura/oferta.

…

A "Economia da Informação" representa uma mudança fundamental no paradigma que

prevalece na Economia. Problemas da informação são vitais para se compreender não

só a economia de mercado mas também a economia política e, na última parte desta

aula, eu analiso as implicações das imperfeições na informação para o processo político.

Joseph E. Stiglitz, Prémio Nobel da Economia 2001.

5


…

Temos de voltar aos valores essenciais: integridade,

ética, discrição, objectividade, critérios justos de

avaliação, equidade, conduta irrepreensível, espírito

de escuta, saber trabalhar em equipa e voltar a ter

liderança que desenvolva a gestão numa lógica de

sustentabilidade e crescimento (lideres de

comportamento), em protecção dos presentes e das

gerações seguintes. Como alguém disse, gerir a terra

como sendo um condomínio global e de pertença de

todos.

Back to Basics.

O comportamento de certos gestores, com uma

imagem de elevado conhecimento de cultura e da arte

em geral, contrasta com o desempenho pouco

eficiente na gestão corrente das empresas, visando o

curto prazo, a recolha de prémios de gestão e

distribuição de dividendos, em detrimento de uma

estratégia de desenvolvimento e de sustentabilidade

de longo prazo.

Onde entram os auditores internos? Devem efectuar

um diagnóstico claro da crise e alterar o respectivo

paradigma – ajudar a gestão a operacional a mitigar

os riscos, sem esquecer a responsabilidade que

devem ter para os stakeholders.

Qual a mudança fundamental que os auditores

internos devem operacionalizar para cumprir um

objectivo estratégico: fornecer valor à empresa.

Neste capítulo o Instituto Português de Corporate

Governance está a promover o debate público sobre o

Código de Bom Governo, visando contribuir para a

sistematização de um conjunto de boas práticas para

a gestão das empresas.

Tal documento poderá, ser mais tarde, adoptado

formalmente pela CMVM.

O IPAI deverá contribuir para melhorar o respectivo

documento, com a experiência acumulada dos seus

associados.

Em contexto de crise, é fundamental aproveitar para

melhorar o desempenho e contribuir para que as

empresas consigam sair rapidamente da situação de

dificuldade em que se encontram.

O contributo fundamental é passar do problema para a

solução e ajudar a implementá-la com sucesso e

eficácia.

È fundamental passar uma mensagem de optimismo

(ver o copo “meio cheio”) e reconstruir o edifício

começando pelas fundações e não pelo telhado,

construindo com mais solidez, tanto nos aspectos

relacionados com a definição da estratégia, na análise

dos riscos operacionais, na gestão corrente e na

identificação de fragilidade e sintomas de fraude.

Novas oportunidades para os auditores internos e um

papel relevante na ajuda para mitigar os riscos

negativos, no apoio da permanente à gestão

operacional, com uma metodologia de trabalho

assente nos standards do IIA mas com uma postura

de low- profile e fair-play.

Mudar a forma de encarar as situações identificadas e

saber responder a questões essenciais:

O quê?

Quando?

Como?

Porquê?

Quem?

Com que efeito?

Que recomendação?

Que benefício?

Determinar claramente o focus do problema e, se

possível, ter uma atitude proactiva de antecipar uma

solução, melhorando o sistema de controlo e ajudando

a mitigar o risco.

o

Pode comentar para [email protected]

E d i t o r i a l

6


Audire

Grande parte das razões do que está acontecendo no mundo financeiro estará por identificar e entender.

Mas uma certeza, pelo menos, podemos ter

quanto à génese do caos a que estamos

assistindo, entre o espanto e a incredulidade: a

ganância sem limites dos responsáveis máximos

pela condução das organizações atingidas.

Importa, pois, reflectir sobre a variável de

contornos sempre nebulosos, tentando extrair

contributos para o redesenho do actual

paradigma de governo das sociedades.

Para tentar situar esta temática e discorrer sobre

ela, e de sinteticamente de acordo com uma visão

muito pessoal, diremos que o estado a que se

chegou se deve, entre muitas outras coisas:

às remunerações variáveis dos

administradores, indexadas aos

resultados dos exercícios e fixadas pela

sua “entourage” (“no seu labirinto”), que

não pelos accionistas;

à previsão de resultados de modo a que a

sua superação pudesse justificar os

obscenos prémios de desempenho ou de

gestão;

à criação ad hoc de fringe benefits

acumuláveis; às inefáveis sinecuras e

mordomias;

…

A LANTERNA DE DIÓGENES

Manuel Marques Barreiro

Consultor em Auditoria e Gestão; Presidente do Conselho Geral

IPAI

Se o filósofo cínico da Grécia Antiga, visitasse, hoje e com o mesmo propósito, as empresas deste vasto mundo, encontraria certamente administradores honrados – ainda os há, felizmente – mas constataria, porventura, que são – infelizmente – a

excepção que apenas serve para confirmar a regra.

7


… ao recurso fácil ao seguro dos seus

chorudos vencimentos e das escandalosas

regalias em carteira, ficando, no entanto, a

cargo das organizações sob o seu comando

o pagamento dos prémios às seguradoras;

a alguma displicência das agências de

rating; à incompreensível ineficácia dos

reguladores; ao inusitado afrouxamento dos

órgãos de fiscalização e de controlo;

à incapacidade interventiva das

representações do mundo laboral; à pouca

ou nula influência das assembleias-gerais

de accionistas – mais preocupados, estes,

com as mais-valias bolsistas e com os

dividendos do que propriamente com a

eficácia e sobretudo com a conduta ética

dos administradores;

à desinformação propositada, ou a

mistificação das situações reais;

à não obrigatoriedade de reposição, por

parte das administrações, dos dinheiros

delapidados nas empresas, aquando das

monumentais fraudes conhecidas; à

facilidade com que esses “magníficos”

executivos de topo, transitam de empresa

para empresa, sempre escovados de todo o

“lixo tóxico” que no seu percurso foram

produzindo e acumulado em proveito

próprio.

Diz a lenda que Diógenes andava pelas ruas de Atenas, com uma lanterna acesa em pleno dia, procurando um homem que merecesse o qualificativo de honrado.

Se o filósofo cínico da Grécia Antiga, visitasse, hoje

e com o mesmo propósito, as empresas deste vasto

mundo, encontraria certamente administradores

honrados – ainda os há, felizmente – mas

constataria, porventura, que são – infelizmente – a

excepção que apenas serve para confirmar a regra.

É nossa convicção que, se alguma coisa tem de ser

rapidamente feita no sentido de inverter o presente

estado de coisas, o remédio que, segundo parece,

está sendo preconizado, não interessa de todo em

todo, porque não passará de um mero paliativo,

eventualmente contraproducente e carregado de

efeitos perversos, se não for uma prosaica e inócua

tentativa de “tapar o sol com a peneira”.

É precisa coragem para tirar as empresas deste

páthos.

É fundamental encontrar, com a urgência que se impõe, um novo paradigma para a conduta dos gestores responsáveis, ao mais alto nível, pelas organizações empresariais.

Diógenes, de John William Waterhouse, mostrando a sua lâmpada, o seu barril e as cebolas das quais ele se nutria. Fonte: http://pt.wikipedia.org/


A u d i r e

8


Publicidade

Agenda IPAI

Conferência Anual de

Auditoria Interna 2009

19 Novembro de 2009 5ª Feira

Fórum de Auditoria

Interna 2009 17 Junho de 2009

4ª Feira

9


Considera que a auditoria interna fornece valor à sua empresa?

Inegavelmente, a auditoria interna (AI) cria valor

para a Caixa Geral de Depósitos (CGD).

A prova primeira de que esse valor é criado e

reconhecido é a inserção orgânica e funcional da

AI na estrutura da CGD e do Grupo.

A Direcção de Auditoria Interna é um órgão de

estrutura de primeiro nível que responde

directamente à Administração, sendo responsável

pela AI em todas as estruturas da CGD, incluindo

sucursais, bem como pela AI a todas as filiais, em

Portugal e no estrangeiro, numa perspectiva de

grupo, ou seja, para avaliar os riscos relevantes

para as contas consolidadas da CGD.

Apesar de não ser medido de forma quantitativa,

o valor acrescentado pela AI é reconhecido de

forma generalizada pelas estruturas e unidades

auditadas, muito em particular pela abordagem

orientada para o apoio à correcção de

deficiências e ineficiências detectadas.

Efectivamente, mais do que “apontar o dedo”, a

preocupação do auditor interno centra-se na

recomendação de melhoria, comunicada, em

primeira mão, ao auditado e com ele discutida,

sem prejuízo de um reporting objectivo para os

níveis hierárquicos apropriados.

…

Entrevista Auditoria Interna

Caixa Geral de Depósitos

Dr. José Costa Bastos Director Central

Inegavelmente, a auditoria interna (AI) cria valor para a Caixa Geral de Depósitos (CGD). A prova primeira de que esse valor é criado e reconhecido é a inserção orgânica e funcional da AI na estrutura da CGD e do Grupo.

10


…

Que tipo de auditorias são realizadas?

As redes comerciais da CGD – Agências e

Gabinetes de Empresas – são auditadas

regularmente, quer presencialmente, quer à

distância.

As diversas funções desempenhadas

centralmente são objecto de auditorias, quer

globais – abrangendo todas as estruturas de um

departamento –, quer transversais – abrangendo

vários departamentos, nas componentes

relevantes para um mesmo processo ou área

funcional.

Estas auditorias podem ser, também, presenciais

ou à distância, baseando-se, estas últimas, na

exploração de elementos de informação

sedeados nos sistemas informáticos centrais.

As Filiais, quer nacionais, quer no estrangeiro,

são objecto de auditorias globais, em geral numa

perspectiva das contas consolidadas da CGD e

em complemento da AI própria, existente em

algumas delas.

Qual a formação dos auditores internos, nomeadamente, quantos auditores certificados (CIA’s, CCSA, CFSA, CGAP, CISA) existem na empresa?

Os auditores internos da CGD têm formações

académicas diversificadas. Como regra geral, o

seu recrutamento é interno à CGD,

preferencialmente entre empregados com

experiência na rede de Agências.

Para além da formação “on the job”, com o

necessário enquadramento por auditores

seniores, procura-se também que os novos

auditores frequentem formação específica, quer

em cursos de pós-graduação académicos, quer

em outros de âmbito especificamente profissional,

como por exemplo os ministrados pelo IFB e pelo

IPAI.

A formação sobre os processos internos da CGD

é assegurada, sobretudo, através de e-learning,

instrumento de formação que, na CGD, conta

com uma ampla oferta.

A equipa do departamento de AI da CGD não

conta, ainda, com auditores certificados, quer

pelo IIA, quer pelo ISACA. Mas é um objectivo de

médio prazo, da política de formação, promover a

certificação de um número relevante de auditores

internos.

Qual o impacto do SOX na estrutura de controlo interno e no funcionamento da Auditoria Interna?

As principais consequências das alterações do

quadro regulamentar da actividade bancária em

matéria prudencial e de controlo interno tiveram

impactes significativos na AI, os quais, aliás,

ainda não terminaram.

No caso da CGD, julgo serem de salientar,

fundamentalmente, duas novas frentes para a AI.

Em primeiro lugar, a validação pela AI dos

modelos de avaliação de riscos de crédito e de

mercado decorrentes da implementação do

Acordo de Basileia II é uma actividade que requer

know-how específico de que tradicionalmente os

departamentos de auditoria interna não dispõem,

e a que têm que aceder, quer por recrutamento

de meios próprios, quer via outsourcing.

…

E n t r e v i s t a A u d i t o r i a I n t e r n a C G D

11


…

Em segundo lugar, a validação dos

levantamentos dos processos e os testes aos

controlos identificados no âmbito da gestão do

risco operacional, actividade que vem

complementar a abordagem tradicional da

auditoria ao controlo interno.

Mais recentemente, o Banco de Portugal publicou

nova regulamentação sobre os Sistemas de

Controlo Interno das Instituições Financeiras

(Aviso 5/2008), a qual obriga aquelas instituições

a novos desafios, nomeadamente para as

actividades de Auditoria Interna.

Esta nova regulamentação da entidade

supervisora prescreve um conjunto de requisitos

de cumprimento obrigatório, nomeadamente ao

nível da sistematização e maturidade dos

processos de auditoria interna, sendo a

orientação para o risco um factor preponderante,

quer ao nível da avaliação dos controlos, quer ao

nível do relato das deficiências de controlo interno

identificadas.

Qual a importância do Conselho de Auditoria e a articulação com a Auditoria Interna?

A Caixa Geral de Depósitos não dispõe de

Conselho (ou Comissão) de Auditoria.

Considera importante que os Auditores tenham certificação em Auditoria (CIA, CCSA, CFSA, CGAP, CISA)?

Apesar de a Direcção de Auditoria Interna da

CGD não dispor de auditores certificados pelo IIA

ou pelo ISACA, consideramos importante

incentivar a preparação e apresentação aos

exames requeridos para o efeito.

As decisões de obtenção da certificação são

individuais, mas a CGD dispõe-se a apoiar,

incluindo com o financiamento de acções de

formação, os auditores que quiserem fazê-lo.

Qual a sua opinião sobre a divulgação, disponibilização dos relatórios de auditoria interna na página da empresa na internet?

Não concordo com a divulgação/disponibilização

dos relatórios de auditoria interna na página da

empresa na Internet. Tal solução criaria,

inevitavelmente, restrições à independência da

função e limitaria o âmbito das matérias

“abordáveis”.

Os relatórios de auditoria interna visam informar

os responsáveis pela empresa – tanto os

responsáveis executivos, como os que têm

funções de supervisão – sobre as deficiências

encontradas, bem como promover a sua

correcção pelos auditados.

Ora estes objectivos podem e devem ser

perseguidos com um adequado esquema de

circulação interna dos referidos relatórios, com

adequada transmissão de feedbacks e decisões,

não se vislumbrando qual a vantagem que

poderia advir da sua divulgação pública.

Qual o desafio mais relevante do modelo de governação e da auditoria interna nos próximos tempos?

No caso particular da CGD, os principais desafios

situam-se, quer na resposta adequada às novas

frentes de actividade de AI desencadeadas pelo

Acordo de Basileia II, quer na implementação

integral dos requisitos definidos no Aviso 5/2008

do Banco de Portugal, quer, ainda, na

necessidade de, em geral, reforçar a eficácia e a

eficiência das acções de AI. …


12


… Para a actividade de AI nas empresas em geral,

quer em Portugal, quer no resto do Mundo, e

considerando algumas das questões que a actual

crise veio colocar na ordem do dia, julgo que o

desafio mais relevante para o modelo de

governação e da auditoria interna, nos próximos

tempos, será a questão da independência da

função relativamente à gestão executiva.

Ou seja, a questão de abranger no domínio do

auditável, pela AI, os actos e as decisões dos

responsáveis executivos da empresa, a todos os

níveis.

A figura da Comissão de Auditoria, em cuja

dependência, funcional e hierárquica, se coloca a

função de AI, será uma forma de resolver a

questão, desde que a composição da referida

Comissão assegure, de forma eficaz, o requisito

de independência, nomeadamente, através de

uma adequada composição – maioria de

membros independentes – e da atribuição da

presidência a um membro não executivo.

Como analisa o relacionamento da auditoria interna com a auditoria externa na sua empresa?

As relações são muito boas, quer com o Auditor

Externo, quer com o Revisor Oficial de Contas.

A complementaridade de funções entre AI e

auditoria externa proporciona uma troca de

informações regular entre os responsáveis, quer

relativamente à avaliação dos principais riscos da

actividade, quer quanto aos resultados dos

trabalhos de auditoria.

Já com o Revisor Oficial de Contas, a articulação

da AI envolve, ainda, o acompanhamento do

sistema de controlo interno e respectivos

relatórios anuais.

Como deve ser avaliada a auditoria interna? Key Performance Indicators (KPI’s) mais relevantes.

Na CGD não há, ainda, um processo formal e

sistemático de avaliação da qualidade de

Auditoria Interna. No entanto, o desempenho do

departamento de AI, é avaliado anualmente no

âmbito de um sistema de gestão de desempenho,

de carácter geral, aplicado a todos os

departamentos da CGD.

No âmbito desse sistema, são fixadas metas

anuais para diversos objectivos, que podem ser

transversais – v.g. cumprimento do orçamento de

despesa – ou específicos da AI, abrangendo

preocupações de eficácia – v.g. número de

auditorias, grau de cobertura dos universos

auditáveis – e de eficiência – v.g. número médio

de auditorias por auditor, prazo médio de

apresentação de relatórios.

o



13


A automatização dos testes repetitivos em auditoria utilizando estas novas funcionalidades das ferramentas mais evoluídas na análise de dados é uma das formas de optimização dos escassos recursos colocados à disposição pelas organizações para as tarefas de auditoria e controlo.

A nova versão do IDEA 8, ferramenta de análise e query de dados para auditoria, controlo e gestão, que se encontra actualmente em fase de lançamento em Portugal apresenta algumas novas funcionalidades muito interessantes para a análise e revisão do trabalho do auditor ou inspector.

Uma das novas ferramentas designada por Project OverView é uma interface gráfica das acções executadas pelo auditor com o IDEA durante o projecto, incluindo a criação, eliminação, modificação, cruzamentos, adição e outras operações sobre as bases de dados.

O Project OverView regista todas as interacções entre as bases de dados em análise existentes no projecto mantendo um diário em formato gráfico das mesmas.

Esta informação registada pela funcionalidade Project OverView pode ser também visualizada, para além do formato gráfico referido, sob a forma analítica de tabela de operações ver Fig. 4.

A partir da visualização da informação em formato gráfico, poderá ser gerado de forma muito simples e directa macros designadas por IDEA VisualScript através de uma mera operação de apontar e

seleccionar ‘caixas’ utilizando o rato sobre o ambiente gráfico. Esta funcionalidade Project OverView tem a virtualidade de poder ser utilizada pelo auditor/inspector para apresentar de forma gráfica todo e desenvolvimento e a estrutura lógica do projecto em análise.

Para exemplificar a forma como esta nova funcionalidade está disponível no IDEA vamos idealizar um pequeno teste para analisar os eventuais Clientes definidos na tabela mestre dos Clientes que ultrapassaram o limite de crédito e ainda outros testes.

Teremos, assim, as seguintes 2 bases de dados Customer-Database1 e SalesTransaction (ver fig.1) que foram importadas para o ambiente IDEA. Da análise desta figura, que é um output do Project OverView do IDEA 8, temos uma visão geral dos testes realizados sobre as duas bases de dados iniciais (à esquerda da figura).

Cada um dos rectângulos representa uma base de dados ou um output contendo o resultado do teste.

… Pode comentar para [email protected]

ANÁLISE DE DADOS EM AUDITORIA

Novas funcionalidades na nova versão do IDEA 8

O PROJECT OVERVIEW

Drumond de Freitas – Consultor, EQUICONSULTE, SA

Auditoria de Sistemas

14


…

Os testes realizados foram entre outros os seguintes:

Sobre a base de dados Customer-Database1 foi

retirada uma amostra aleatória cujo resultado está

depositado no ficheiro SampleOfCustomers; foi feita

uma extracção para obter clientes que têm limites de

crédito elevado, cujo resultado está depositado no

ficheiro Customers with High Credit Limit; sobre as

vendas designadas por SalesTransactions foi

realizada uma sumarização das vendas por Cliente

guardadas no ficheiro Summarized Transaction; foi

efectuada uma operação de Join deste último ficheiro

com o ficheiro Customer-Database1 para cruzar o

total do saldo das vendas por cliente com o

correspondente limite de crédito existente no ficheiro

de clientes obtendo o ficheiro Saldos dos Clientes.

Finalmente sobre este ficheiro fez-se uma operação

de extracção dos registos cujo valor do saldo é

superior ao limite de crédito que se encontra

depositado no ficheiro Clientes

ExcederamLimCredito.

Na Fig. 2 apresenta-se a janela na qual o IDEA permite ao auditor seleccionar as tarefas e operações que pretende automatizar gerando o IDEA todo o código de macro necessário à execução do teste em momentos futuros.

Neste caso foram seleccionadas as tarefas para testar os clientes que excederam o limite de crédito que são as que se encontram realçadas na Fig.2.

Na Fig.3 temos a forma como o IDEA apresenta aos utilizadores o VisualScript definido pelo utilizador na Fig.2. Como se vê a interface de criação das macros é totalmente gráfica não sendo apresentado ao utilizador qualquer linha de código de programação

Deste modo o utilizador para automatizar os seus testes só necessita de interagir com o script através de uma caixa de diálogo semelhante à apresentada.

Já não é mais necessário o auditor ter conhecimentos elementares sobre Visual Basic para automatizar com o IDEA. O processo de criar testes de execução automática é agora simples e directo.

Fig. 1 - Output do Project OverView do IDEA 8

…

Novas funcionalidades na nova versão do IDEA 8 - O PROJECT OVERVIEW

15


…

Fig. 2 - Caixas de selecção para automatizar um teste já executado no IDEA 8 – neste caso Clientes que excederam o Limite Crédito

Fig. 3 - Aspecto do um Visual Script do IDEA 8 que executa o teste acima definido - Clientes que excederam o Limite

Crédito

Fig. 4 - Janela do Project OverView do IDEA 8 - Formato Tabela

Notas Finais:

A automatização dos testes repetitivos em auditoria utilizando estas novas funcionalidades das ferramentas mais evoluídas na análise de dados é uma das formas de optimização dos escassos recursos colocados à disposição pelas organizações para as tarefas de auditoria e controlo.

A correcta selecção de uma ferramenta informática de análise e de query dos dados é essencial em auditoria.

Novas funcionalidades na nova versão do IDEA 8 - O PROJECT OVERVIEW

16


• Vaga de Governo da Segurança de Informação (2005-Presente)

Resumo

Jorge Augustín Nicolás Ruiz de Santayana [1863-1952],

filósofo, poeta e humanista espanhol, no seu The Life of

Reason (Santayana escreveu originalmente em inglês),

afirma que: “O progresso, longe de basear-se na

mudança, depende da retentividade. (…) Aqueles que

não conseguirem relembrar o passado estão

condenados a repeti-lo 1.” [9]. É indubitável a

importância que o passado tem na aprendizagem do

presente e no progresso futuro. Conhecer um pouco da

ainda jovem história da segurança de informação, não

de um ponto de vista dos marcos mais relevantes -

tipicamente evoluções técnicas e tecnológicas -, mas da

sua tendência de um ponto de vista organizacional, é

essencial. O objectivo deste artigo é fazer essa breve

apresentação histórica.

1 Tradução livre do autor.

1 Segurança de Informação – uma perspectiva histórica 1.1 Vaga Técnica

Apesar da sua juventude, é já possível descrever

cronologicamente a segurança de informação,

distribuindo-a por vagas, de acordo com a sua

caracterização. A primeira vaga, designada por

‘Vaga Técnica’, típica até ao início dos anos oitenta, é expressa por uma abordagem

estritamente técnica da segurança de informação.

Nesta fase, aspectos como a definição de políticas

de segurança ou a sensibilização dos utilizadores

eram questões ausentes, sendo a segurança de

informação uma matéria praticamente exclusiva de

técnicos especializados.

Pode estabelecer-se um paralelo entre esta vaga e

a chamada Gestão Científica, emanada a partir

dos princípios definidos por Frederick Winslow

Taylor, em 1911, no seu The Principles of Scientific

Management [10], em que a eficiência foi levada

ao seu expoente máximo, deixando ausente, no

entanto, questões tidas hoje como basilares.

…

Artigos Segurança de Informação: a quinta vaga? Paulo F. Cardoso, CISA

Janeiro de 2009

17


… Apesar de reconhecidamente desactualizadas, as

abordagens da segurança de informação numa

perspectiva técnica e da gestão com o objectivo

quase exclusivo da maximização da eficiência, são

ainda aplicadas em algumas organizações

modernas.

1.2 Vaga de Gestão

A computação distribuída, com especial relevo para a Internet e para o comércio electrónico, trouxe à atenção da gestão de topo as questões da segurança de informação. Assim irrompeu, tendo prevalecido até meados dos anos noventa, a chamada ‘Vaga de Gestão’. Nesta fase, os primeiros departamentos e gestores dedicados a questões de segurança surgiram nos organogramas das empresas e os primeiros esboços de políticas de segurança, de procedimentos e de relato à gestão foram concebidos.

1.3 Vaga de Institucionalização

A quase completa ausência de dimensão humana das vagas anteriores – conhecem algum computador que tenha sido condenado por um crime informático? – e a necessidade de comparar e medir a segurança, rapidamente levou ao que se designou como a ‘Vaga de Institucionalização’.

Num excelente artigo [12], von Solms caracteriza esta vaga como uma resposta a algumas questões chave da segurança de informação surgidas na época, que podem simplificar-se do seguinte modo:

Como sabemos que não nos está a escapar nada no domínio da segurança?

Como provamos a nossa preparação na área da segurança e como sabemos qual a preparação dos nossos parceiros?

Como sabemos se as nossas pessoas não são os nossos piores inimigos no campo da segurança?

Como sabemos como nos estamos a comportar face aos nossos concorrentes, aos objectivos e às boas práticas e padrões?

As respostas a estas questões foram dadas através, nomeadamente:

Da implementação de padrões e de boas práticas de segurança, como os controlos sugeridos na norma ISO/IEC 27002:2005 [3];

Da certificação internacional no domínio da gestão da segurança de informação através de normas reconhecidas internacionalmente [2];

Da proliferação pela empresa de uma cultura de segurança de informação;

Da implementação de métricas para que, de modo continuado, se possam aferir alguns aspectos da segurança de informação.

1.3.1 Sensibilização para a segurança de informação

A sensibilização para as questões de segurança assumem nesta vaga importância vital e muitos especialistas tentam realçar que o envolvimento dos utilizadores como parte interessada na segurança das suas organizações os impele, não a procurar atalhos para explorar vulnerabilidades, mas a cumprirem e a ajudarem a cumprir as políticas de segurança em vigor [6, 5].

Já em 1883, Auguste Kerckhoffs [7], apesar de aplicado no domínio da criptografia, defendeu que devemos evitar aquilo que hoje se designa na segurança de informação como ‘segurança através da obscuridade’, isto é, o facto de que a segurança não deve ser suportada no segredo (salvaguardando aqui a confidencialidade a que a informação deve estar sujeita).

…

S e g u r a n ç a d e I n f o r m a ç ã o : a q u i n t a v a g a ?

18


… 1.4 Vaga de Governo da Segurança de Informação

Até meados da década de 2000 a Vaga de

Institucionalização foi prevalecente, altura em que

uma quarta vaga, designada por ‘Vaga de Governo da Segurança de Informação’ [13],

surgiu de forma natural, devido à pessoal e directa

responsabilização da gestão de topo [1] e ao forte

desenvolvimento no domínio do governo das

sociedades e nas áreas legais e regulatórias.

A moderna definição de Governo das Sociedades

(Corporate Governance) está alinhada com aquele

que foi, talvez, o mais importante documento neste

domínio, o ‘The Cadbury Report’ [11].

Apesar de datar de 1992, serviu de sustentação

para o importante ‘Principles of Corporate

Governance’, da OCDE (quer na sua versão de

1999, quer na revisão de 2004 [8]).

Os dois relatórios servem de suporte ao recente

padrão internacional de Corporate Governance de

tecnologias de informação, o ISO/IEC 38500:2008

[4]. Este padrão tem como objectivo fornecer um

framework de princípios que a Gestão deve utilizar

para avaliar, gerir e monitorizar o uso das

tecnologias de informação dentro das suas

organizações.

Outros frameworks estão disponíveis, mas nenhum

serve por si só os interesses de uma organização

e cada um deles corresponde tipicamente a uma

perspectiva diferente e incompleta de Corporate

Governance de TI.

É importante adoptar aquele ou aqueles que

apresentam o ponto de vista mais adequado com o

alinhamento do negócio e com as inerentes

expectativas da gestão no que diz respeito à

gestão do risco e, particularmente, à segurança de

informação.

2 Conclusão

A consolidação de uma cultura de segurança de

informação nas organizações, a natural

incorporação da segurança de informação nos

processos de negócio e na estrutura

organizacional e ainda a sua utilização no

processo decisório, torna evidente que

caminhamos de forma acelerada para uma quinta

vaga. Pelas especificidades que apresenta,

designá-la-ei por ‘Vaga de Business as Usual’.

Nesta vaga, a segurança de informação deixará de

pertencer ao domínio da possibilidade ou da mera

ferramenta de resolução de situações emergentes

(nice-to-have), para passar a ser uma real

necessidade e uma ferramenta capaz de dar

tantas ou mais respostas que qualquer outro

domínio da Gestão (need-to-have).

…



19


Figura 1 – As diversas vagas da segurança de informação Referências

[1] Sarbanes-Oxley Act. http://news.findlaw.com/hdocs/docs/gwbush/sarbanesoxley072302.pdf, 2002.

[2] ISO/IEC 27001:2005 Information Technology - Security Techniques – Information Security Management Systems - Requirements, 2005.

[3] ISO/IEC 27002:2005 Information Technology - Security Techniques - Code of Practice for Information Security Management, 2005.

[4] ISO/IEC 38500:2008 - Corporate Governance of Information Technology, 2008.

[5] ADAMS, A., AND SASSE, M. A. Users Are Not The Enemy. Communications of the ACM 42, 12 (1999).

[6] GOLLMANN, D. Computer Security. Wiley, 2006.

[7] KERCKHOFFS, A. La Cryptographie Militaire. http://www.petitcolas.net/fabien/kerckhoffs/crypto_militaire_1.pdf, 1883. Journal des Sciences Militaires.

[8] OECD. OECD Principles of Corporate Governance. http://www.oecd.org/DATAOECD/32/18/31557724.pdf, 2004.

[9] SANTAYANA, G. The life of reason. http://www.gutenberg.org/files/15000/15000-8.txt, 1906.

[10] Taylor, F. W. Principles of Scientific Management. http://www.gutenberg.org/dirs/etext04/pscmg10.txt, 1911.

[11] UKSA. The Financial Aspects of Corporate Governance - The 'Cadbury' Report.

http://www.uksa.org.uk/Corporate_Governance_Cadbury_1992.pdf, 1992.

[12] VON SOLMS, B. Information Security - The Third Wave? Computers & Security 19 (2000), 615-620.

[13] VON SOLMS, B. Information Security - The Fourth Wave. Computers & Security 25 (2006), 165-168.


o

20


No princípio era a predestinação e a força. Assim os

reis justificavam perante os seus súbditos uma

“inerente” capacidade de liderança, superiormente

emanada.

Falamos de tempos em que conceitos tais como

utilidade social, aptidões e competências eram

secundários – para não dizer inexistentes – no

contexto de uma qualquer governação. Noutras

células sociais, de reduzida dimensão, semelhantes

cousas se passavam.

Nas empresas de então, a generalidade das

sucessões de topo concretizavam-se com exclusiva

base no factor hereditário – pese o facto de a

genética não representar, naquela altura, mais do

que um sonho, reinventado anos mais tarde por

Charles Darwin na suA Origem das Espécies.

Entretanto, vem a Revolução Francesa provocar uma

significativa mudança de valores. E o risco de perder

a cabeça – literalmente falando – traduziu-se numa

maior preocupação por parte dos líderes em serem

percebidos pelo povo como fiéis depositários dos

seus interesses, como “gestores” úteis e

imprescindíveis ao bom governo das nações.

Pouco passa até que uma nova revolução – desta

feita Industrial e não política – viesse condenar ao

insucesso, cada vez mais facilmente, os mais inaptos

gestores.

Nos tempos que correm, as organizações atingem

cada vez maiores níveis de complexidades (tudo o

que envolve pessoas sempre se revestirá de

complexidades), ampliadas pelas necessidades

oriundas dos ambientes interno e externo – cada vez

mais alargados – em que actuam, tais como: a

existência de uma cultura organizacional própria,

coadjuvada pela cultura da sociedade em que se

inserem, a natureza única de cada negócio, as suas

múltiplas relações com o exterior, e etc.

Todo um sem número de elementos que apenas se

ajustam, no tempo e no espaço, a uma gestão

sempre atenta e cada vez mais especializada.

E é nesse contexto que decisivamente evoluiu a

auditoria interna, acompanhando as mudanças que

ali se verificavam.

E de tal modo que nas organizações bem sucedidas

dos nossos dias é cada vez mais profundo o

relacionamento entre os gestores e os auditores

internos, pese o necessário dever de independência

que destes se espera.

…

A Gestão e a Auditoria Interna:

Antecedentes Históricos

Fábio de Albuquerque, César Ribeiro, Tânia Mota.

No princípio era a predestinação e a força. Assim os reis justificavam perante os seus súbditos uma “inerente” capacidade de liderança, superiormente emanada.

21


…

Por fim, ressalte-se que se por um lado a alteração

do contexto histórico e social dos últimos (pelo

menos) cinquenta anos vieram clarificar o papel e a

importância da auditoria interna em tão feliz

casamento, jamais se porá em causa, por outro, que

a sua utilidade social terá sido, desde sempre, e

assim seguirá sendo o motor único para o seu

crescimento e reconhecimento como função

incontornável no seio das organizações do futuro.

1. A Auditoria Interna: Avanços mais recentes Apesar de a auditoria externa ser comummente

referida como bastante anterior à auditoria interna2,

existem fortes indícios que apontam para a ideia de

que esta, à semelhança daquela, fosse também

praticada desde as antigas civilizações (Morais e

Martins: 2003, 60).

Nos Estados Unidos, é certo que já há mais de

cinquenta anos que a auditoria interna vem sendo

adoptada por empresas de médio e grande porte

como principal aliada dos órgãos de gestão, obtendo,

contudo, maior reconhecimento apenas há cerca de

vinte anos. Na Europa, a prática da auditoria interna

foi iniciada pelo Reino Unido, sendo de perto seguido

pela Alemanha. Em Portugal, segundo consta,

apenas recentemente a auditoria interna passou a ser

vista pelas organizações como imprescindível meio

para a melhoria dos seus negócios. (Franco e Reis:

2004)

Se no princípio a detecção de fraudes era parte

fundamental no trabalho dos auditores, actuando

estes como verdadeiros “polícias” na defesa dos

interesses dos detentores do capital, hoje tal vertente

surge como uma decorrência natural das principais

atribuições cometidas ao departamento de auditoria

2 Apenas em 1941 foi criado, nos Estados Unidos, o Institute

of Internal Audits (IIA); e em Portugal, muitos anos mais

tarde, mais precisamente em 1992, o Instituto Português de

Auditores Internos (IPAI).

interna, e não como um dos seus principais

objectivos.

É por isso ponto assente que com o crescimento das

organizações foi-se tornando deveras difícil para a

gestão controlar cada uma das funções que

sucessivamente lhe vinham sendo requeridas.

E é nesse contexto que a auditoria interna emergiu

como principal aliada da gestão de topo, avaliando,

recomendando e monitorizando os vários riscos com

que se confrontavam os objectivos estratégicos por

esta traçados

Tal nível de complexidade terá sido,

indubitavelmente, o estímulo para o despertar da

necessidade de concepção de um outro organismo

que, directamente ligado aos quadros da gestão,

prestasse a ajuda necessária para a melhoria dos

seus negócios, identificando áreas problemáticas e

sugerindo correcções, tendo para tanto o apoio

necessário para o desenvolvimento dos seus

trabalhos no interior da organização.

Falamos, claro está, da função desempenhada pelos

auditores internos.

2. Fundamentos e finalidades

Na óptica do Institute of Internal Auditors (IIA, 1999),

a auditoria interna pode ser definida como (o

sublinhado é nosso):

Uma actividade independente, de avaliação objectiva e de consultoria, destinada a

acrescentar valor e melhorar as operações de

uma organização na consecução dos seus objectivos, através de uma abordagem

sistemática e disciplinada, na avaliação dos

processos da eficácia da gestão de risco, do

controlo e da governação.”

…

A Gestão e a Auditoria Interna: Antecedentes Históricos

22


… Alguns dos aspectos contemplados naquela definição dizem

respeito ao modo como a auditoria interna exerce a sua

actividade com vista ao sucesso dos seus objectivos.

Assim, na visão do IIA (1999), a auditoria interna é entendida

como uma “actividade independente, de avaliação objectiva

e de consultoria”, não importando todavia a forma como tal

actividade é exercida, isto é, se através de uma relação

contratual subordinada ou não.

No que à metodologia de trabalho diz respeito, a referida

definição expressa ainda que a auditoria interna, na

condução dos seus interesses, vale-se-se de uma

“abordagem sistemática e disciplinada”.

Cumpre-nos então analisar outros dos aspectos

contidos, implícita ou explicitamente, no conceito

acima apresentado. Nesse sentido, ali percebemos

ainda que:

1. A auditoria interna é uma função de apoio à

gestão;

2. Partindo desse entendimento, para ser útil, os

auditores têm de acrescentar valor à organização

onde se inserem;

3. Tendo em vista atingir tais fins, deve centrar o seu

foco na eficácia do processo da gestão do risco,

do controlo e da governação.

3. Benefícios da auditoria interna para a gestão

No contexto da estreita relação mantida com a

Direcção da empresa, as funções cometidas aos

auditores internos, e já atrás referidas, baseiam-se

essencialmente:

1. Na vigilância do sistema de controlo interno,

mediante a identificação dos pontos fracos e

executando tarefas de controlo, recomendando

ainda acções correctivas sempre que julgue

necessário;

2. No apoio à implementação do processo da gestão de risco e outros relativos à governação, avaliando e recomendando o

aperfeiçoamento dos mesmos, de modo a

assegurar a consistência com os valores

organizacionais e a concretização dos

objectivos estabelecidos.

Desse modo, iniciamos este ponto pelo entendimento

de Barreiro (2007) acerca dos claros contributos da

auditoria interna para a organização, reconhecendo

naquela uma incontornável fonte de vantagem

competitiva para esta, adentro da estratégia traçada

pela gestão de topo. Refere o autor nesse sentido

que:

(…) se partirmos do princípio de que algumas

daquelas variáveis3 traduzidas como: factores de

risco, de fraude, de controlo interno, etc., bem como

da ética no seu sentido genérico, se não forem

devidamente atendidas e convenientemente

tratadas, podem vir a pôr em risco, a estratégia.

Paupério (2006), por sua vez, apresenta-nos mais

clara e detalhadamente aqueles que considera os

principais contributos da auditoria interna para a

gestão, nas linhas seguintes:

Potenciador de inovação: a auditoria interna

permite que a gestão assuma mais riscos e

aproveitar oportunidades;

Mecanismo de optimização e de evolução

qualitativa da gestão: permite identificar,

questionar e melhorar ineficiências;

Facilitadora da descentralização da gestão,

delegação e autonomia das funções;

Promove o alinhamento de todos os níveis da

organização;

A auditoria interna é um factor de conforto e

garantia no controlo dos riscos;

Exerce um papel relevante na criação e

consolidação da confiança dentro da organização;

…

3 Em causa, “variáveis de alguma vulnerabilidade existentes em todas as organizações”.


23


…

4. A auditoria interna na visão dos gestores portugueses

Pese a existência de claros indicadores favoráveis à

mudança de mentalidades por parte dos gestores

nacionais, no que toca aos benefícios oriundos de

uma auditoria interna com competências bem

definidas no interior da organização, a realidade apresentada por Sá (2008) é reveladora de que “a auditoria interna em Portugal está longe da maturidade”. Essa a conclusão extraída a partir de um inquérito

conduzido pelo Instituto Português de Auditores

Internos (IPAI) em parceria com a KPMG, e discutida

pela referida autora.

Recursos humanos insuficientes, falta de

investimento e pouco envolvimento da gestão de topo

são algumas das deficiências com que se depararam

os investigadores num estudo que pretendia

desvendar o actual cenário da auditoria interna no

nosso país.

Em cerca de metade das empresas portuguesas, o

plano de acção do departamento de auditoria interna

não apresenta um envolvimento directo dos gestores

de topo, o que à partida indicia uma pouca

importância atribuída àquela área pelos principais

responsáveis da organização.

Domingos Sequeira, vice-presidente do IPAI, em

artigo publicado por Sá (2008), no Jornal de

Negócios, justifica que “a gestão ainda não está

muito envolvida e consciente da sua responsabilidade

nesta matéria.

A auditoria interna é considerada menor em algumas organizações, não por má fé, mas por falta de tradição, de sensibilidade e até por uma questão cultural”.

Considerações Finais

A intensa competitividade, a globalização, o advento

das novas tecnologias, as mudanças de atitudes e

expectativas de públicos diversos, entre outros

factores, pressionam as organizações a conduzir e a

gerir os seus compromissos em conformidade com os

requisitos regulamentares a serem observados, de

modo a cumprir com as pretensões e objectivos dos

accionistas e outros destinatários. Os auditores,

como principais aliados da gestão, aceitam

atribuições cada vez mais amplas, destinando-se os

seus trabalhos a um leque de utilizadores cada vez

mais alargado.

A mudança de paradigma passa, sob o nosso ponto de vista, por conduzir os trabalhos da auditoria interna como uma função de apoio à gestão, na identificação e controlo de riscos e na implementação de soluções, fazendo esquecer a antiga visão de auditores como “polícias” ou ainda como uma função conflituosa, desinteressante ou mesmo indesejada.

o As referências bibliográficas podem ser consultadas no sítio do IPAI, em http://www.ipai.pt/gca/index.php?id=59



Abril 2009 Formação Liderança e Comunicação em Auditoria Interna

24


Audit Automation Facilities – Módulo de Análise

de Risco (Enterprise Risk Management)

Fernando Fernandes (Director Projectos da WJPortugal)

[email protected]

D a n d o s e g u i m e n t o a o a r t i g o a n t e r i o r p a s s a m o s a a n a l i s a r o M ó d u l o d e A n á l i s e d e R i s c o , r e l e m b r a n d o q u e : O M ó d u l o d e P r o c e s s o s ( C a t á l o g o ) d o A u d i t A u t o m a t i o n F a c i l i t i e s p e r m i t e r e g i s t a r t o d o s o s F a c t o r e s d e R i s c o d e c a d a p r o c e s s o e a s s o c i a r o s A v a l i a d o r e s d e R i s c o .

E x e m p l i f i c a m o s d e s e g u i d a o M ó d u l o d e A n á l i s e d e R i s c o :

A s u a O r g a n i z a ç ã o e s t á p r e p a r a d a p a r a a c t u a r m e d i a n t e a s N o r m a s e R e g u l a m e n t a ç õ e s I n t e r n a c i o n a i s ? O A A F p e r m i t e - l h e c a l c u l a r o N í v e l d e R i s c o d a s U n i d a d e s A u d i t á v e i s / P r o c e s s o s

d a s u a O r g a n i z a ç ã o .

D e q u e F o r m a ? A t r a v é s d a a s s o c i a ç ã o e n t r e U n i d a d e s

A u d i t á v e i s , P r o c e s s o s , F a c t o r e s d e R i s c o e

A v a l i a d o r e s d e R i s c o .

C o m o s e p r o c e s s a ? O G e s t o r d e R i s c o é o r e s p o n s á v e l p o r

i n i c i a r e s s a A v a l i a ç ã o .

C o m o é c a l c u l a d o o N í v e l d e R i s c o ? A p ó s r e s p o s t a a o s q u e s t i o n á r i o s p e l o s

A v a l i a d o r e s d e R i s c o , o G e s t o r d o R i s c o

f e c h a a a v a l i a ç ã o e s o l i c i t a o c á l c u l o d o

R i s c o .

O A A F c o n s i d e r a a s a v a l i a ç õ e s r e s p o n d i d a s , a s n o t a s d a s A u d i t o r i a s

a n t e r i o r e s , o p e r í o d o d e e x e c u ç ã o d a s

m e s m a s e o s I n d i c a d o r e s d e R i s c o / P e s o

d a s U n i d a d e s A u d i t á v e i s .

…

…

25


O s i s t e m a a s s o c i a a u t o m a t i c a m e n t e o s

F a c t o r e s d e R i s c o p o r

U n i d a d e / P r o c e s s o , e e n v i a

q u e s t i o n á r i o s p a r a o s A v a l i a d o r e s d e

R i s c o r e s p o n d e r e m e m t e r m o s d e

( I m p a c t e v e r s u s P r o b a b i l i d a d e ) d o s

m e s m o s s u c e d e r e m n a s

u n i d a d e s / p r o c e s s o s .

Q u a i s a s V a n t a g e n s ?

P e r m i t e u m c o n h e c i m e n t o e f e c t i v o d o

N í v e l R i s c o d o s s e u s

P r o c e s s o s / U n i d a d e s A u d i t á v e i s .

A s U n i d a d e s A u d i t á v e i s d a s u a

O r g a n i z a ç ã o f i c a m o r d e n a d a s e

a g r u p a d a s p o r n í v e l d e R i s c o .

P e r m i t e u m a A v a l i a ç ã o H i s t ó r i c a d o

R i s c o n a s u a O r g a n i z a ç ã o .

P e r m i t e P l a n e a r c o m m a i o r e f i c i ê n c i a

a s p r ó x i m a s a c ç õ e s d o s e u

D e p a r t a m e n t o d e A u d i t o r i a I n t e r n a ,

m i n i m i z a n d o o s R i s c o d e C o n t r o l o

I n t e r n o .

P e r m i t e c r i a r r e l a t ó r i o s d e G e s t ã o d e

A p o i o à D e c i s ã o .

A u m e n t a a e f i c á c i a d a s a c ç õ e s d o s e u

D e p a r t a m e n t o d e A u d i t o r i a I n t e r n a ,

a n t e c i p a n d o a s o c o r r ê n c i a s ,

m i n i m i z a n d o o s R i s c o s , a c t u a n d o n u m a

ó p t i c a d e p r e v e n ç ã o .

S a b i a q u e a n o v a r e l e a s e d o A A F , p e r m i t i r á : R e a l i z a r A u d i t o r i a s a o s p r o c e s s o s d a s u a O r g a n i z a ç ã o , e m T e m p o R e a l , e m i t i n d o a l e r t a s s e m p r e q u e o s l i m i t e s s ã o u l t r a p a s s a d o s .

C r i a r u m a b a s e d e C o n h e c i m e n t o c o m s é r i e s h i s t ó r i c a s p a r a f u t u r a s A v a l i a ç õ e s d e R i s c o e

A n a l i s e s E s t a t í s t i c a s .

…

A u t oma t i o n F a c i l i t i e s – Módu l o d e A n á l i s e d e R i s c o ( E n t e r p r i s e A u d i t R i s k Man a g eme n t )

26


… D e q u e f o r m a :

P i l o t o Au t o m á t i c o ( R A D A R )

Monitorizando a relação entre os Factores de Risco Vs Controlo Interno/Processos de Negócio.

Q u a l é o O b j e c t i v o ?

O b s e r v a r , m e d i r , a l e r t a r o s I n d i c a d o r e s d e R i s c o , e n c o n t r a n d o o s P C D ( P a d r õ e s C a r a c t e r í s t i c o s d e D e s v i o ) p a r a f u t u r a s

A v a l i a ç õ e s d e R i s c o .

E x e m p l o d e u m I n d i c a d o r d e R i s c o ( P r o c e d i m e n t o ) .

U m a R e l a ç ã o s e m a n a l d o s d e p ó s i t o s e

l e v a n t a m e n t o s n u m a U n i d a d e A u d i t á v e l ,

p a r a o s q u a i s s e d e f i n i u u m l i m i t e s u p e r i o r

e i n f e r i o r , e m i t i n d o “ A l e r t a s ” s e m p r e q u e

o s l i m i t e s s ã o u l t r a p a s s a d o s .

O q u e o A A F f a z ?

O A A F e s t a b e l e c e u m p a r a l e l o e n t r e o s I n d i c a d o r e s d e R i s c o e a s O c o r r ê n c i a s d o s P r o c e s s o s d e N e g ó c i o , c o m o o b j e c t i v o d e m e d i r a p e r f o r m a n c e d o s

C o n t r o l o s I n t e r n o s e c a l c u l a r o s v a l o r e s

d a s s é r i e s ( O c o r r ê n c i a s ) a o l o n g o d o t e m p o , d e f o r m a , a o b t e r o s P C D e

i n c r e m e n t a r a B a s e d e C o n h e c i m e n t o .

O s d a d o s r e l a t i v o s à s I n c i d ê n c i a s ( F i n d i n g s ) e n c o n t r a d a s d u r a n t e o s t r a b a l h o s d e A u d i t o r i a e o s d a d o s

f o r n e c i d o s p e l o R A D A R . O q u e f o r n e c e o R A D A R ? S é r i e s h i s t ó r i c a s o u s é r i e s t e m p o r a i s

d o s v a l o r e s d e u m a v a r i á v e l

( O c o r r ê n c i a s ) a o l o n g o d o t e m p o ( P C D ) . Q u a i s a s V a n t a g e n s ? A p o i a r o D e p a r t a m e n t o d e A u d i t o r i a

I n t e r n a n a t o m a d a d e d e c i s õ e s , c o m

b a s e e m a n á l i s e s e x e c u t a d a s s o b r e a

B a s e d e C o n h e c i m e n t o .

P e r m i t e a c t u a r d e f o r m a p r e v e n t i v a .

P e r m i t e u m a a n á l i s e p e r m a n e n t e d a

e f i c i ê n c i a e e f e c t i v i d a d e d o s C o n t r o l o s

I n t e r n o s .

P e r m i t e u m a a n á l i s e d e c u s t o / b e n e f í c i o

d e c a d a C o n t r o l o I n t e r n o .

o

Na próxima edição iremos abordar o Módulo de Planeamento, baseado no Risco, Planeamento à medida e replaneamento automático. Até lá.

Eficácia, Controlo, Transparência, Flexibilidade e Rigor

Ainda não é Subscritor da nossa Newsletter? Envie já um e-mail para: [email protected]

A u d i t A u t oma t i o n F a c i l i t i e s – Módu l o d e A n á l i s e d e R i s c o ( E n t e r p r i s e R i s k Man a g eme n t )

27


Como define a sua experiência em auditoria interna?

A minha primeira experiência em auditoria interna ocorreu em 1994 quando fui seleccionado para ingressar no departamento de auditoria interna de um grupo empresarial português.

Tive a oportunidade e o privilégio de desenvolver trabalhos continuados, durante vários anos, em diversas áreas de actividade, desde a indústria, distribuição, imobiliária, telecomunicações, e numa grande diversidade de serviços.

Actualmente, continuo a prestar serviços de auditoria interna e gestão de risco em negócios diversificados, tais como resorts turísticos, empreendimentos residenciais, gestão de activos imobiliários, operações turísticas diversas, seed and venture Capital, Joint-Ventures e gestão de participações financeiras.

Tenho no entanto ainda muito para aprender. Tendo presente que o valor de cada um de nós depende do contributo e do valor que

conseguimos acrescentar aos negócios, e que a experiência em auditoria interna é um factor facilitador na criação desse valor, defino-a como um pilar fundamental para o desenvolvimento da minha actividade profissional.

Qual a principal motivação para efectuar a cert i f icação (CIA)?

A principal motivação para efectuar a certificação prendeu-se com obtenção de maiores conhecimentos em auditoria interna, para além de um reconhecimento de competências profissionais.

Trata-se de uma certificação que, como é sabido, é reconhecida internacionalmente, sendo também das poucas certificações (ou mesmo a única) que é global. Independentemente da obtenção da certificação, só a oportunidade de aprender, ao frequentar formação específica relacionada com as melhores práticas de auditoria interna, já por si justificou o “tempo ganho” com o processo de certificação.

…

Miguel Gomes

Tenho no entanto ainda muito para aprender. Tendo presente que o valor de cada um de nós depende do contributo e do valor que conseguimos acrescentar aos negócios, e que a experiência em auditoria interna é um factor facilitador na criação desse valor, defino-a como um pilar fundamental para o desenvolvimento da minha actividade profissional.

A palavra ao CIA

28


… Que vantagens identif ica na sua função após a certif icação (CIA)? Na minha opinião a maior vantagem reside no facto de se tratar de uma certificação de competências profissionais para o exercício de uma função, reconhecida de forma global. Tendo em conta que a função de auditoria interna se está a tornar cada vez mais imprescindível na gestão das empresas, e que a globalização e a mobilidade de pessoas e recursos é uma realidade cada vez mais presente, não tenho qualquer dúvida de que uma certificação deste tipo assumirá cada vez maior importância no futuro. Não basta dizer que se sabe, o que as empresas e os gestores precisam é de pessoa com competências profissionais para responder aos diversos desafios das empresas. Penso que a certificação em muito contribuirá nessa escolha.

Qual a importância que a cert i f icação CIA tem na sua empresa?

Pela minha experiência, o que posso dizer é que a certificação é bastante reconhecida e valorizada pelas empresas. Para a organização em que presto serviços, em que a auditoria interna é uma das áreas de suporte à gestão, este tipo de certificação assume bastante relevância.

Que importância tem a cert if icação CIA na valorização da auditoria interna, em Portugal?

Sendo uma certificação profissional reconhecida internacionalmente, não tenho qualquer dúvida de que dará um forte incremento no desenvolvimento e valorização da auditoria interna em Portugal. Penso que cada vez mais, os gestores irão aperceber-se das vantagens e da importância da função de auditoria interna e da certificação (CIA).

O que considera relevante para a preparação da cert if icação?

No meu caso pessoal, a experiência profissional foi de facto uma grande ajuda para a obtenção da certificação. Em relação à preparação para o

exame, penso que a formação organizada pelo IPAI é uma excelente forma de os candidatos aumentarem fortemente as probabilidades de passarem no exame. São acções de formação muito objectivas e orientadas para as matérias abrangidas no exame.

O que achou mais interessante/dif íci l no exame (CIA)?

O mais interessante foi confrontar aquilo que era fruto da minha experiência profissional com a resolução dos casos práticos apresentados no exame. Foi bastante interessante pôr em prática a minha experiência na resolução deste tipo de exercícios. Não menos interessante foram também os temas relacionados com as práticas profissionais de auditoria, cujo estudo me permitiu corrigir e melhorar alguns aspectos na minha actuação como profissional de auditoria interna.

Que conselho dá aos colegas que se queiram cert if icar (CIA)?

O conselho que dou é que, se têm motivação, não olhem para trás nem percam mais tempo. Agarrem a oportunidade e o desfio candidatando-se à certificação, porque tenho a certeza que o futuro dos profissionais de auditoria interna passará necessariamente por este tipo de certificações.

Como aprecia o papel do IPAI na organização da cert if icação CIA em Portugal?

Penso que os profissionais de auditoria interna têm muito a agradecer ao IPAI pelo apoio e desenvolvimento de iniciativas ao nível da formação profissional, bem como pelo contributo decisivo dos seus colaboradores directos para que o exame CIA fosse uma realidade em Portugal.

o

o Seja um CIA. Consul te o s i te do IPAI .

A p a l a v r a a o C I A

29


Como def ine a sua experiência em i toria

Assembleia Geral Anual 2009 Decorreu no passado dia 4 de Março de 2009 a Assembleia Geral Anual do IPAI, tendo sido aprovado por unanimidade: 1. O Relatório e Contas e de actividade de 2008; 2. O Plano de Actividades e Orçamento para 2009. Podem consultar os documentos e respectiva acta em

http://www.ipai.pt/gca/index.php?id=133

Algumas fotos do evento:

O Presidente de Direcção no uso da palavra

O Presidente do Conselho Fiscal no uso da palavra

Pode comentar para [email protected])

Notícias

Presidente do Conselho, Presidente da Direcção,

Presidente da Mesa da Assembleia Geral e Presidente do

Conselho Fiscal

30


…

Novos associados

Dulce Maria Guerra do Nascimento

Tânia Isabel Germano Mota

Adriana Luísa M.P.P. Gonçalves

Mafalda Baptista

António Xavier Costa Folgado

Fernando Manuel Bento Pereira

João Manuel Casa Nova Barão

Rui Pedro E. Cupertino de Miranda

Francisco Pedro Ricardo Torres

Ana Mafalda Marques Martins

Rui Miguel Vicente Constâncio

António Eduardo Botas Grilo

José Inácio Ramos Bonecas

Cláudia Alexandra P.L. Cruz Grencho

Maria da Conceição Sá D. Ribeiro Ferraz

Daria Helena Pimpão Segura

Pedro Miguel Vilhena Melo Machado

Maria Manuela da Fonseca Louro

Paulo Jorge Guerra Gonçalves

Vítor Manuel Ramos Pires

Nuno Miguel Bernardo de Morais

Carla Maria T. Brito Santos Patrício

António Manuel D. P. Santos Pinheiro

Célia Maria Marques Pereira

Marina Múrias de Mira Coelho

Ana Sofia Faria e Novais

Maria da Luz Claro

Maria José C. M. Geraldes Freire

Ana Cristina Trigo Relvas

Cristina Maria Calado Martins

Álvaro Manuel Miraldes Santos Ribeiro

Lélio Manuel Vicente Sousa Branca

Mónica Sandra Abreu Tomás

Sara Carvalho Vicente Bernando

António José Torres Pires

Susana Alexandra Oliveira Martins

Maria de Lurdes Rodrigues Fernandes

Carla Isabel da Silva e Sousa

Pedro Miguel Ribeiro Cunha

Ricardo José Ramos Antunes

Ana Maria dos Santos Marques

Susana Maria F. Carneiro Madureira

Manuel João Ribeiro

Maria Inácia Nepomuceno Lucas

Maria Georgina Madeira de Moura

Maria de Fátima P. Cara-Linda Charuto

Carla Filipa de Almeida Soares

Maria Delfina dos Santos Reis

António Vasco Guimarães da Silva

Dora Manuela Antunes F. Nascimento

Luís Manuel do Rosário Fortes

Nuno Miguel Brás Pinto

Joana Cristina Monforte Monteiro

João Pedro Castelo Badalo

Ana Paula Mourão Rodrigues

José Duarte Direito Tomaz

IIA Ranking de associados (CBOK 2006)

Bélgica 1154

Bulgária 357

Chipre 276

Dinamarca 390

Espanha 1556

Estónia 135

Finlândia 584

França 2937

Grécia 456

Holanda 1741

Islândia 100

Itália 2531

Luxemburgo 325

Noruega 662

Polónia 520

Portugal 375

Reino Unido e Irlanda 7185

República Checa 886

Roménia 214

Suécia 542

Suíça 305

Turquia 554

N o t í c i a s

31


Caneta Digital

Seja simpático para as pessoas quando está a progredir pois irá encontrá-las quando estiver em queda.

Wilson Mizner

I respect faith, but doubt is what gets you an education.

Wilson Mizner

Um testemunho sobre o novo site do IPAI

Assunto: RE: IPAI - Entrevista - CONFERÊNCIA

Caros Colegas do IPAI,

MUITOS PARABÉNS pelo vosso novo site.

ADOREI....

Gostei muito, quer pela informação que nos fornecem quer pelas cores fortes que possui ( a cor vermelha fica excelente), mas também sou suspeita, porque adoro o vermelho, que interpreto como uma cor de muita força, ambição, poder no bom sentido, liberdade ....

Simplesmente, uma cor MUITO FORTE. A cor branca que é o fundo do site fica óptima...é a cor da PAZ, da HARMONIA. Duas cores que conjugam muito bem. Parabéns ao designer gráfico.

Já me inscrevi para a área reservada, pois sou uma grande e recente admiradora do vosso Instituto, apesar de só ter um ano e meio de Associada. Agradeço-vos também pelo que sou hoje como Auditora (Júnior, se assim me posso designar) no meio hospitalar, pois tenho aprendido muito, mas muito convosco. BEM HAJAM. FELICIDADES para o IPAI e para todos os seus colaboradores. Com os melhores cumprimentos, Ana Mafalda Costa A Direcção do IPAI agradece todas as opiniões sobre o site e revista. O contributo dos sócios é essencial para melhorarmos. Amanhã faremos melhor com o contributo de todos.

Biblioteca do auditor

Livros para Venda

The International Professional Practices Framework (IPPF) is the conceptual framework that organizes authoritative guidance promulgated by The Institute of Internal Auditors. IPPF guidance includes:

Mandatory Guidance

Definition of Internal Auditing Code of Ethics Standards Strongly Recommended Guidance

Position Papers Practice Advisories Practice Guides

Preço para sócios: 36,73 Euros; Preços para não sócios: 38,40 Euros; Acresce portes de correio: 4,00 Euros (Portugal Continental).

Preço: 30 Euros; Portes de correio: 3,30 Euros (Portugal Continental).

Para encomendar

Enviar cheque a favor do Instituto Português de Auditoria Interna, com indicação do livro pretendido e morada para envio (ou utilizar o método de transferência bancária utilizando o NIB

do IPAI, com informação através do correio electrónico [email protected])

Igualmente, pode encomendar em http://www.ipai.pt/catalogo/detalhes_produto.php?id=4

Não hesite em contactar-nos. Telef. / Fax 213 151 002

(Dr. Bombarda Azevedo.

N o t í c i a s

Não podemos escolher as cartas que nos são distribuídas, a nossa liberdade reside em saber jogá-las.

Randy Pausch

32


Publicidade

Pesquisa de Institutos de Auditoria - Europa

http://www.iiabel.be/ Welcome to IIA Belgium The Institute of Internal Auditors - Belgium v.z.w. (IIA Bel) is the only professional body in Belgium dedicated to the profession of Internal Audit. You may use the different menus of the website to find out more about our Institute and the profession of internal audit

33


Pesquisa em Blogues http://gesbanha.blogs.sapo.pt/202418.html Governo aprova criação Conselho Nacional de Supervisão da Auditoria

Recolha em 20set08 -

http://audijuris.blogs.sapo.pt/arquivo/2004_09.html

Setembro 22, 2004

Tópicos do dia para um auditor (Extracto)

Acabei de ler a revista de Auditoria Interna do IPAI, n.º 18-

Set.2004. Em jeito de reflexão sobre os tópicos que mais

retive e que deverão ser tidos em conta por todos os

profissionais de auditoria e instituições de controlo, sublinho

os seguintes:

1. " O auditor é um estrangeiro para a entidade ou função

auditada: é normal que as suas observações e

recomendações sejam acolhidas com cepticismo pela

entidade ou função auditada e pelos profissionais que a

dirigem: O que sabe ele? Se quiser então que venha fazer!

Julgam que são os maiores. E para mais, os riscos que ele

assinala, são verdadeiros ou servirão apenas para justificar o

seu emprego e para se pôr em evidência?"

Olivier Lemant

2. O GAO ( General Accounting Office ) recomenda que, em

matéria de controlo de qualidade, os auditores participem,

pelo menos uma vez em cada três anos, num programa de

revisão de qualidade executado por uma entidade externa ao

respectivo serviço.

3. Sustenta também o GAO, em termos de acompanhamento

das recomendações ( follow up ), que " uma das mais-valias

do trabalho de auditoria não está nas recomendações feitas,

mas sim na sua concretização eficaz". Para o efeito

recomenda:

- Alta qualidade das recomendações: as quais devem ser

positivas no seu tom e conteúdo, bem dirigidas, credíveis e

específicas;

- Compromisso: devem promover a acção, acreditar nas suas

próprias recomendações e na necessidade de mudança;

- Acompanhamento da implementação: deve existir uma

base consistente para a supervisão e acompanhamento das

acções que garantam a sua continuidade;

- Especial atenção para as recomendações mais importantes:

o relatório de auditoria deve hierarquizar as recomendações

formuladas.

4. O Instituto Nacional de Auditoria Australiano, no seu

manual de boas práticas, considera importante a realização

de questionários periódicos a realizar junto das entidades

auditadas, tendo em vista assegurar a melhoria continua do

trabalho de auditoria em termos de eficácia e de eficiência.

5.Uma Boa governação de auditoria sublinha:

- O contributo do auditor é a sua perspectiva nova, a sua

liberdade de espírito e a sua independência de julgamento;

- O auditor interessa-se pelas dificuldades da entidade

auditada, de modo a corresponder às expectativas criadas

com a chegada da equipa de auditoria;

- O auditor avalia os processos e os sistemas e não as

pessoas;

- O auditor trabalha com transparência, não esconde o que

vai fazer e informa o que vai relatar;

- (Num trabalho de auditoria) a relação auditor-auditado tem,

essencialmente, por objectivo facilitar os trabalhos de auditor

e de convencer o auditado da necessidade de respeitar as

regras;

- O relatório responsabiliza o auditor. A acção de auditoria

não é um entendimento restrito "auditor-auditado";

- O auditor deve reivindicar para sua acção a função auxílio e

a profissão de especialista em identificação e resolução dos

riscos negativos e disfuncionamentos;

- O auditor é verdadeiro e credível e está ao serviço do

diagnóstico de gestão;

- O auditor deve estabelecer um clima de confiança e de

cooperação, fazendo prova de que "sabe escutar".

6. Pecados capitais da auditoria interna:

- falta de cultura ética; - falta de benchmarking;- não saber

trabalhar em equipa

- não adopção dos princípios de Corporate Governance; -

falta de plano de acção baseado em matriz de risco; - falta de

perspectiva de negócio; desconhecimento dos riscos

negativos; relatórios sem oportunidade; ausência de política

de incentivos e de avaliação do desempenho; - ausência de

conceitos de cidadania e de responsabilidade social; - falta

de formação; - falta de formação em ética.

Posted by audijuris at 03:23 PM

Pesquisa na rede

34


O Zé auditor

Miguel Silva

35


36


revista nº 33 prepa 5jan09 v word 2003 com ccap · 2009. 4. 4. · cia review – part iii em...

Documents